创建和管理组织

组织资源是 Google Cloud Platform 资源层次结构中的根节点，是项目的分层超级节点。本页面介绍如何获取和管理组织资源。

准备工作

阅读组织资源概览。

获取组织资源

组织资源可供 G Suite 和 Cloud Identity 客户使用：

• G Suite：了解 G Suite。
• Cloud Identity：了解 Cloud Identity。

与 G Suite 或 Cloud Identity 网域关联的用户第一次创建项目或结算帐号时，系统会自动创建组织资源。系统会将该组织关联到您的帐号，并将该项目或结算帐号设置为子资源。在 G Suite 或 Cloud Identity 网域下创建的所有项目和结算帐号都将是此组织的子级。

• 如需了解有关如何迁移预先存在的项目的信息，请参阅迁移现有项目。

每个 G Suite 或 Cloud Identity 帐号只能与一个组织关联。一个组织只能与一个网域关联，您可以在创建组织资源时设置相应网域。

创建好组织资源后，我们会向 G Suite 或 Cloud Identity 超级用户通知组织资源是否可用。请谨慎使用这些超级用户帐号，因为他们对您的组织及其中的所有资源拥有大量控制权。为此，我们不建议您使用 G Suite 或 Cloud Identity 超级用户帐号执行日常组织管理。如需详细了解如何在 GCP 中使用 G Suite 或 Cloud Identity 超级用户帐号，请参阅超级用户最佳做法。

要积极采用组织资源，G Suite 或 Cloud Identity 超级用户需要向用户或群组分配组织管理员 Cloud IAM 角色。如需了解如何设置组织，请参阅设置组织。

• 在您创建组织后，系统会在组织层级为您网域中的所有用户自动授予项目创建者和结算帐号创建者 IAM 角色。因此，您网域中的用户可以继续创建项目，没有任何中断。
• 组织管理员将决定何时开始积极使用组织。然后，他们可以根据需要更改默认权限并强制执行更严格的政策。
• 如果组织可用，但您没有查看该组织的 Cloud IAM 权限，您仍然可以创建项目和结算帐号。这些帐号在组织资源下自动创建，即便您看不到也是如此。

获取组织 ID

组织 ID 是组织的唯一标识符，在创建组织资源时自动创建。组织 ID 采用十进制数字的格式，不能添加前导零。

您可以使用 GCP Console、gcloud 工具或 Resource Manager API 获取组织 ID。

gcloud organizations list

设置组织

如果您是 G Suite 或 Cloud Identity 客户，系统会自动为您提供组织资源。

G Suite 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。所有其他用户或群组将能够像以前一样使用 GCP。他们将能够查看组织资源，但只有在设置了正确的权限后，才能修改资源。

G Suite 或 Cloud Identity 超级用户和 GCP 组织管理员是设置过程中的关键角色，用于对组织资源进行生命周期控制。这两个角色通常分配给不同的用户或群组，具体取决于组织结构和需求。

在 GCP 组织设置的上下文中，G Suite 或 Cloud Identity 超级用户的责任包括：

• 向部分用户分配组织管理员角色
• 担任恢复问题的联系人
• 如删除组织资源中所述，控制 G Suite 或 Cloud Identity 帐号和组织资源的生命周期

组织管理员分配好后，便能够向其他用户分配 IAM 角色。组织管理员角色的责任包括：

• 定义 IAM 政策
• 确定资源层次结构的结构
• 通过 IAM 角色委派对关键组成部分的责任，如网络、结算、资源层次结构

该角色遵循最小权限原则，不包括执行其他操作的权限，如创建文件夹。要获得这些权限，组织管理员必须为其帐号分配其他角色。

拥有两个不同的角色可确保 G Suite 或 Cloud Identity 超级用户和 GCP 组织管理员之间的职责分离。我们通常会要求满足该条件，因为这两个 Google 产品通常由客户组织中的不同部门管理。

要开始积极使用组织资源，请按以下步骤添加组织管理员：

添加组织管理员

如获取组织资源中所述，默认情况下，创建组织后，系统会在组织层级为网域中的所有用户授予项目创建者和结算帐号创建者角色。这确保在创建组织资源时，不会对 GCP 用户造成中断。组织管理员获得控制权后，他们可能想要移除这些组织层级权限，开始将访问权限锁定到更精细的级别（例如，文件夹或项目级层）。请注意，由于 IAM 政策是按层次结构继承的，因此在组织层级向整个网域 (domain:mycompany.com) 分配项目创建者角色表示该网域中的每个用户可以在层次结构中的任意位置创建项目。

在组织中创建项目

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

在组织中查看项目

用户只能通过 IAM 角色查看和列出他们有权访问的项目。组织管理员可以查看和列出组织中的所有项目。

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

删除组织资源

组织资源与 G Suite 或 Cloud Identity 帐号绑定。

如果您不希望使用组织资源，我们建议您按照以下步骤操作，将组织的 IAM 政策恢复到原始状态：

1. 为 Project Creator 和 Billing Account Creator 角色添加您的网域。
2. 移除组织 IAM 政策中的所有其他条目。

通过该方式，您的用户可以继续创建项目和结算帐号，并且之后 G Suite 或 Cloud Identity 超级用户可以恢复集中管理。

如果您想要删除您的组织以及与其关联的所有资源，请删除您的 G Suite 帐号。对于 Cloud Identity 用户，请取消所有其他 Google 服务，然后删除您的 Google 帐号。