组织资源是 Google Cloud 资源层次结构中的根节点,也是项目的分层超级节点。本页面介绍如何获取和管理组织资源。
准备工作
阅读组织资源概览。
获取组织资源
组织资源可供 Google Workspace 和 Cloud Identity 客户使用:
- Google 工作区:注册 Google 工作区。
- Cloud Identity:注册 Cloud Identity。
创建 Google Workspace 或 Cloud Identity 帐号并将其与网域关联后,系统将自动为您创建组织资源。资源将根据您的帐号状态在不同的时间进行预配:
- 如果您刚接触 Google Cloud,但尚未创建项目,则当您登录 Google Cloud Console 并接受条款及条件时,系统会为您创建组织资源。
-
如果您是现有 Google Cloud 用户,则当您创建新项目或结算帐号时,系统会为您创建组织资源。您之前创建的所有项目都会列在“无组织”下,这属于正常情况。系统会显示组织资源,并且您创建的新项目会自动链接到该资源。
您需要将在“无组织”下创建的所有项目移动到新组织资源中。如需了解如何移动项目,请参阅将项目迁移至组织。
创建的组织资源将与您创建的具有项目或结算帐号的 Google Workspace 或 Cloud Identity 帐号关联,这些项目和结算帐号被设置为子资源。在您的 Google Workspace 或 Cloud Identity 网域下创建的所有项目和结算帐号都将成为该组织的子级。
- 如需了解如何迁移现有项目,请参阅迁移现有项目。
每个 Google Workspace 或 Cloud Identity 帐号只能与一个组织关联。一个组织只能与一个网域关联,该网域在创建组织资源时设置。
创建组织资源后,我们会向 Google Workspace 或 Cloud Identity 超级用户通知组织资源的可用性。请谨慎使用这些超级用户帐号,因为他们对您的组织及其中的所有资源拥有大量控制权。为此,我们不建议您使用 Google Workspace 或 Cloud Identity 超级用户帐号来执行组织的日常管理工作。如需详细了解如何在 Google Cloud 中使用 Google Workspace 或 Cloud Identity 超级用户帐号,请参阅超级用户最佳做法。
如需主动采用组织资源,Google Workspace 或 Cloud Identity 超级用户需要分配 Organization Administrator (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) 角色。如需了解如何设置组织,请参阅设置组织。
- 在您创建组织后,系统会在组织层级为您网域中的所有用户自动授予 Project Creator (
roles/resourcemanager.projectCreator) 和 Billing Account Creator (roles/billing.creator) IAM 角色。因此,您网域中的用户可以继续创建项目,没有任何中断。 - 组织管理员将决定何时开始积极使用组织。然后,他们可以根据需要更改默认权限并实施更严格的政策。
- 如果组织可用,但您没有查看该组织的 IAM 权限,您仍可以创建项目和结算帐号。即使您无法看到,这些项也都会在组织资源下自动创建。
获取组织 ID
组织 ID 是组织的唯一标识符,在创建组织资源时自动创建。组织 ID 采用十进制数字的格式,不能添加前导零。
您可以使用 Cloud Console、gcloud 工具或 Resource Manager API 获取组织 ID。
Console
要使用 Cloud Console 获取组织 ID,请执行以下操作:
- 转到 Cloud Console:
- 点击页面顶部的项目选择下拉列表。
- 在随即显示的请选择:窗口中,点击组织下拉列表,然后选择所需的组织。
- 点击右侧的更多,然后点击设置。
设置页面会显示您的组织 ID。
gcloud
要查找您的组织 ID,请运行以下命令:
gcloud organizations list
该命令将列出您所属的全部组织,及其对应的组织 ID。
API
要使用 Resource Manager API 查找您的组织 ID,请使用过滤条件 domain:[company.com] 调用 organizations.search() 方法。响应将包含组织资源的元数据,其中包括组织 ID。
设置组织
如果您是 Google Workspace 或 Cloud Identity 客户,则系统会自动为您提供组织资源。
Google Workspace 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。所有其他用户或群组将能够像以前一样使用 Google Cloud。他们将能够查看组织资源,但只有在设置了正确的权限后,才能修改资源。
Google Workspace 或 Cloud Identity 超级用户和 Google Cloud Organization Administrator 是设置过程中的关键角色,用于对组织资源进行生命周期控制。这两个角色通常分配给不同的用户或群组,具体取决于组织结构和需求。
在 Google Cloud 组织设置上下文中,Google Workspace 或 Cloud Identity 超级用户的责任包括:
- 向部分用户分配 Organization Administrator 角色
- 担任恢复问题的联系人
- 如删除组织资源中所述,控制 Google Workspace 或 Cloud Identity 帐号和组织资源的生命周期
分配的 Organization Administrator 可以为其他用户分配 Identity and Access Management 角色。Organization Administrator 角色的责任包括:
- 定义 IAM 政策并将 IAM 角色授予其他用户。
- 确定资源层次结构的结构
该角色遵循最小权限原则,不包括执行其他操作的权限,如创建文件夹或项目。如需获得这些权限,Organization Administrator 必须为其帐号分配其他角色。
拥有两个不同的角色可确保 Google Workspace 或 Cloud Identity 超级用户和 Google Cloud Organization Administrator 之间的职责分离。我们通常会要求满足该条件,因为这两个 Google 产品通常由客户组织中的不同部门管理。
如需开始积极使用组织资源,请按以下步骤添加 Organization Administrator:
添加 Organization Administrator
控制台
要添加组织管理员,请执行以下操作:
以 Google Workspace 或 Cloud Identity 超级用户身份登录 Google Cloud Console,然后导航到 IAM 和管理页面:
选择要修改的组织:
点击页面顶部的项目下拉列表。
在请选择:对话框中,点击组织下拉列表,然后选择要向其中添加组织管理员的组织。
在随即显示的列表中,点击相应组织以打开其 IAM 权限页面。
点击添加,然后输入要设置为组织管理员的一个或多个用户的电子邮件地址。
在选择角色下拉列表中,选择 Resource Manager > Organization Administrator,然后点击保存。
组织管理员可以执行以下操作:
完全控制组织。Google Workspace 或 Cloud Identity 超级用户和 Google Cloud 管理员之间已实现职责分离。
分配相关 IAM 角色以委派对关键职能的责任。
如获取组织资源中所述,默认情况下,创建组织后,系统会在组织层级为网域中的所有用户授予 Project Creator 和 Billing Account Creator 角色。这确保在创建组织资源时,不会对 Google Cloud 用户造成中断。Organization Administrator 获得控制权后,他们可能想要移除这些组织层级权限,开始将访问权限锁定到更精细的级别(例如,文件夹或项目级层)。请注意,由于 IAM 政策是按层次结构继承的,因此在组织层级向整个网域 (domain:mycompany.com) 分配 Project Creator 角色表示该网域中的每个用户可以在层次结构中的任意位置创建项目。
在组织中创建项目
Console
为您的网域启用组织资源后,您可以使用 Cloud Console 在组织中创建项目。
要在组织中创建新项目,请执行以下操作:
-
转到 Cloud Console 中的管理资源页面。
转到“管理资源”页面 - 在页面顶部的选择组织下拉列表中,选择要在其中创建项目的组织。如果您使用的是免费试用版,请跳过此步骤,因为系统不会显示此列表。
- 点击创建项目。
- 在显示的新建项目窗口中,输入项目名称并选择适用的结算帐号。项目名称只能包含字母、数字、英文单引号、连字符、空格或英文感叹号,且长度必须介于 4 到 30 个字符之间。
- 在位置框中输入父级组织或文件夹。该资源将是新项目的分层父级。
- 输入完新项目的详细信息后,点击创建。
API
您可以通过以下方式创建新项目:创建 project 并将其 parent 字段设置为组织的 organizationId。
以下代码段展示了如何在组织中创建项目:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
在组织中查看项目
用户只能通过 IAM 角色查看和列出他们有权访问的项目。Organization Administrator 可以查看和列出组织中的所有项目。
控制台
要使用 Cloud Console 查看组织中的所有项目,请执行以下操作:
转到 Google Cloud Console:
点击页面顶部的组织下拉列表。
选择您的组织。
点击页面顶部的项目下拉列表,然后点击查看更多项目。页面会列出该组织中的所有项目。
组织下拉列表中的无组织选项可列出以下项目:
- 尚不属于该组织的项目。
- 用户拥有其访问权限、但没有其父组织访问权限的项目。
gcloud
要查看组织中的所有项目,请运行以下命令:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
使用 projects.list() 方法列出父级资源下的所有项目,如以下代码段所示:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
删除组织资源
组织资源与 Google Workspace 或 Cloud Identity 帐号绑定。
如果您不希望使用组织资源,我们建议您按照以下步骤操作,将组织的 IAM 政策恢复到原始状态:
- 将您的网域添加到
Project Creator和Billing Account Creator角色。 - 移除组织 IAM 政策中的其他所有条目。
这样一来,您的用户便可继续创建项目和结算帐号,并且 Google Workspace 或 Cloud Identity 超级用户之后也可以恢复集中管理。
如果您删除 Google Workspace 帐号,则您的组织以及与之关联的所有资源也将一并删除。因此,如果您想删除组织,可以通过删除 Google Workspace 帐号来实现。对于 Cloud Identity 用户,请取消其他所有 Google 服务,然后删除您的 Google 帐号。此操作具有非常强的破坏性,可能无法完全逆转,因此建议您仅在确定没有资源正在使用后执行此操作。