创建和管理组织

组织资源是 Google Cloud 资源层次结构中的根节点，也是项目的分层超级节点。本页面介绍如何获取和管理组织资源。

准备工作

阅读组织资源概览。

获取组织资源

组织资源可供 Google Workspace 和 Cloud Identity 客户使用：

• Google 工作区：注册 Google 工作区。
• Cloud Identity：注册 Cloud Identity。

创建 Google Workspace 或 Cloud Identity 帐号并将其与网域关联后，系统将自动为您创建组织资源。资源将根据您的帐号状态在不同的时间进行预配：

• 如果您刚接触 Google Cloud，但尚未创建项目，则当您登录 Google Cloud Console 并接受条款及条件时，系统会为您创建组织资源。

• 如果您是现有 Google Cloud 用户，则当您创建新项目或结算帐号时，系统会为您创建组织资源。您之前创建的所有项目都会列在“无组织”下，这属于正常情况。系统会显示组织资源，并且您创建的新项目会自动链接到该资源。

  您需要将在“无组织”下创建的所有项目移动到新组织资源中。如需了解如何移动项目，请参阅将项目迁移至组织。

创建的组织资源将与您创建的具有项目或结算帐号的 Google Workspace 或 Cloud Identity 帐号关联，这些项目和结算帐号被设置为子资源。在您的 Google Workspace 或 Cloud Identity 网域下创建的所有项目和结算帐号都将成为该组织的子级。

• 如需了解如何迁移现有项目，请参阅迁移现有项目。

每个 Google Workspace 或 Cloud Identity 帐号只能与一个组织关联。一个组织只能与一个网域关联，该网域在创建组织资源时设置。

创建组织资源后，我们会向 Google Workspace（原 G Suite）或 Cloud Identity 超级用户通知组织资源的可用性。请谨慎使用这些超级用户帐号，因为他们对您的组织及其中的所有资源拥有大量控制权。为此，我们不建议您使用 Google Workspace 或 Cloud Identity 超级用户帐号来执行组织的日常管理工作。如需详细了解如何在 Google Cloud 中使用 Google Workspace 或 Cloud Identity 超级用户帐号，请参阅超级用户最佳做法。

要主动采用组织资源，Google Workspace 或 Cloud Identity 超级用户需要向用户或群组分配 Organization Administrator 这一 IAM 角色。如需了解如何设置组织，请参阅设置组织。

• 在您创建组织后，系统会在组织层级为您网域中的所有用户自动授予项目创建者和结算帐号创建者 IAM 角色。因此，您网域中的用户可以继续创建项目，没有任何中断。
• 组织管理员将决定何时开始积极使用组织。然后，他们可以根据需要更改默认权限并实施更严格的政策。
• 如果组织可用，但您没有查看该组织的 IAM 权限，您仍可以创建项目和结算帐号。即使您无法看到，这些项也都会在组织资源下自动创建。

获取组织 ID

组织 ID 是组织的唯一标识符，在创建组织资源时自动创建。组织 ID 采用十进制数字的格式，不能添加前导零。

您可以使用 Cloud Console、gcloud 工具或 Resource Manager API 获取组织 ID。

gcloud organizations list

设置组织

如果您是 Google Workspace 或 Cloud Identity 客户，则系统会自动为您提供组织资源。

Google Workspace 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。所有其他用户或群组将能够像以前一样使用 Google Cloud。他们将能够查看组织资源，但只有在设置了正确的权限后，才能修改资源。

Google Workspace 或 Cloud Identity 超级用户和 GCP 组织管理员是设置过程中的关键角色，用于对组织资源进行生命周期控制。这两个角色通常分配给不同的用户或群组，具体取决于组织结构和需求。

在 GCP 组织设置的上下文中，Google Workspace 或 Cloud Identity 超级用户的责任包括：

• 向部分用户分配组织管理员角色
• 担任恢复问题的联系人
• 如删除组织资源中所述，控制 Google Workspace 或 Cloud Identity 帐号和组织资源的生命周期

分配的组织管理员可以向其他用户分配 IAM 角色。 组织管理员角色的责任包括：

• 定义 IAM 政策
• 确定资源层次结构的结构
• 通过 IAM 角色委派对关键组成部分的责任，如网络、结算、资源层次结构

该角色遵循最小权限原则，不包括执行其他操作的权限，如创建文件夹。要获得这些权限，组织管理员必须为其帐号分配其他角色。

拥有两个不同的角色可确保 Google Workspace 或 Cloud Identity 超级用户和 Google Cloud 组织管理员之间的职责分离。我们通常会要求满足该条件，因为这两个 Google 产品通常由客户组织中的不同部门管理。

要开始积极使用组织资源，请按以下步骤添加组织管理员：

添加组织管理员

如获取组织资源中所述，默认情况下，创建组织后，系统会在组织层级为网域中的所有用户授予项目创建者和结算帐号创建者角色。这确保在创建组织资源时，不会对 GCP 用户造成中断。组织管理员获得控制权后，他们可能想要移除这些组织层级权限，开始将访问权限锁定到更精细的级别（例如，文件夹或项目级层）。请注意，由于 IAM 政策是按层次结构继承的，因此在组织层级向整个网域 (domain:mycompany.com) 分配项目创建者角色表示该网域中的每个用户可以在层次结构中的任意位置创建项目。

在组织中创建项目

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

在组织中查看项目

用户只能通过 IAM 角色查看和列出他们有权访问的项目。Organization Admin 可以查看和列出组织中的所有项目。

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

删除组织资源

组织资源与 Google Workspace 或 Cloud Identity 帐号绑定。

如果您不希望使用组织资源，我们建议您按照以下步骤操作，将组织的 IAM 政策恢复到原始状态：

1. 将您的网域添加到 Project Creator 和 Billing Account Creator 角色。
2. 移除组织 IAM 政策中的其他所有条目。

这样一来，您的用户便可继续创建项目和结算帐号，并且 Google Workspace 或 Cloud Identity 超级用户之后也可以恢复集中管理。

如果您删除 Google Workspace 帐号，则您的组织以及与之关联的所有资源也将一并删除。因此，如果您想删除组织，可以通过删除 Google Workspace 帐号来实现。对于 Cloud Identity 用户，请取消其他所有 Google 服务，然后删除您的 Google 帐号。此操作具有非常强的破坏性，可能无法完全逆转，因此建议您仅在确定没有资源正在使用时再执行此操作。