组织资源是 Google Cloud 资源层次结构中的根节点,也是项目的分层超级节点。本页面介绍了如何获取和管理组织资源。
准备工作
阅读组织资源的概览。
获取组织资源
组织资源可供 Google Workspace 和 Cloud Identity 客户使用:
- Google 工作区:注册 Google 工作区。
- Cloud Identity:注册 Cloud Identity。
创建 Google Workspace 或 Cloud Identity 帐号并将其与网域关联后,系统将自动为您创建组织资源。资源将根据您的帐号状态在不同的时间进行预配:
- 如果您刚开始接触 Google Cloud 并且尚未创建项目,那么在您登录 Google Cloud 控制台并接受条款及条件后,系统将为您创建组织资源。
-
如果您是现有 Google Cloud 用户,则系统会在您创建新项目或结算帐号时为您创建组织资源。您之前创建的任何项目都会列在“无组织”下,这是正常的。此时将显示组织资源,并且您创建的新项目将自动与之关联。
您需要将在“无组织”下创建的所有项目移至新的组织资源中。如需了解如何迁移项目,请参阅将项目迁移到组织资源。
创建的组织资源将与您创建的具有项目或结算帐号的 Google Workspace 或 Cloud Identity 帐号关联,这些项目和结算帐号被设置为子资源。在您的 Google Workspace 或 Cloud Identity 网域下创建的所有项目和结算帐号都将是此组织资源的子级。
- 如需了解如何迁移现有项目,请参阅迁移现有项目。
每个 Google Workspace 或 Cloud Identity 帐号只能与一项组织资源关联。一个组织资源仅与一个网域关联,该网域在创建组织资源时设置。
创建组织资源后,我们会向 Google Workspace 或 Cloud Identity 超级用户通知组织资源的可用性。请谨慎使用这些超级用户帐号,因为他们对您的组织资源及其下的所有资源拥有很大的控制权。因此,我们不建议您使用 Google Workspace 或 Cloud Identity 超级用户帐号对组织资源进行日常管理。如需详细了解如何在 Google Cloud 中使用 Google Workspace 或 Cloud Identity 超级用户帐号,请参阅超级用户最佳做法。
为了主动采用组织资源,Google Workspace 或 Cloud Identity 超级用户需要向用户或群组分配 Organization Administrator (roles/resourcemanager.organizationAdmin) Identity and Access Management (IAM) 角色。如需了解设置组织资源的步骤,请参阅设置组织资源。
- 创建组织资源后,系统会在组织层级为您网域中的所有用户自动授予 Project Creator (
roles/resourcemanager.projectCreator) 和 Billing Account Creator (roles/billing.creator) IAM 角色。因此,您网域中的用户可以继续创建项目,没有任何中断。 - Organization Administrator 将决定他们何时想要开始使用组织资源。然后,他们可以根据需要更改默认权限并实施更严格的政策。
- 如果组织资源可用,但您没有查看该资源的 IAM 权限,您仍然可以创建项目和结算帐号。这些任务会在组织资源下自动创建,即使您看不到它们也是如此。
获取组织资源 ID
组织资源 ID 是组织资源的唯一标识符,在创建组织资源时自动创建。组织资源 ID 采用十进制数字格式,不能包含前导零。
您可以使用 Google Cloud 控制台、gcloud CLI 或 Resource Manager API 获取组织资源 ID。
控制台
如需使用 Google Cloud 控制台获取组织资源 ID,请执行以下操作:
- 前往 Google Cloud 控制台:
- 点击页面顶部的项目选择下拉列表。
- 在出现的选择范围窗口中,点击组织资源下拉列表,然后选择所需的组织资源。
- 点击右侧的更多,然后点击设置。
设置页面会显示您的组织资源 ID。
gcloud
如需查找您的组织资源 ID,请运行以下命令:
gcloud organizations list
系统将列出您所属的所有组织资源及其对应的组织资源 ID。
API
如需使用 Resource Manager API 查找您的组织资源 ID,请使用过滤条件 domain:[company.com] 调用 organizations.search() 方法。响应将包含组织资源的元数据,其中包括组织资源 ID。
设置组织资源
如果您是 Google Workspace 或 Cloud Identity 客户,系统会自动为您提供组织资源。
Google Workspace 或 Cloud Identity 超级用户是最先创建组织资源的用户。所有其他用户或群组将能够像以前一样使用 Google Cloud。他们将能够查看组织资源,但只有在设置正确的权限后才能对其进行修改。
Google Workspace 或 Cloud Identity 超级用户和 Google Cloud 组织管理员是设置过程中的关键角色,用于对组织资源进行生命周期控制。这两个角色通常分配给不同的用户或群组,具体取决于组织的结构和需求。
在 Google Cloud 组织资源设置的上下文中,Google Workspace 或 Cloud Identity 超级用户的责任包括:
- 向部分用户分配 Organization Administrator 角色
- 担任恢复问题的联系人
- 按照删除组织资源下的说明控制 Google Workspace 或 Cloud Identity 帐号和组织资源的生命周期
分配的 Organization Administrator 可以为其他用户分配 Identity and Access Management 角色。Organization Administrator 角色的责任包括:
- 定义 IAM 政策并将 IAM 角色授予其他用户。
- 确定资源层次结构的结构
该角色遵循最小权限原则,不包括执行其他操作的权限,如创建文件夹或项目。如需获得这些权限,Organization Administrator 必须为其帐号分配其他角色。
拥有两个不同的角色可确保 Google Workspace 或 Cloud Identity 超级用户和 Google Cloud Organization Administrator 之间的职责分离。我们通常会要求满足该条件,因为这两个 Google 产品通常由客户组织中的不同部门管理。
如需开始积极使用组织资源,请按以下步骤添加 Organization Administrator:
添加 Organization Administrator
控制台
要添加组织管理员,请执行以下操作:
以 Google Workspace 或 Cloud Identity 超级用户的身份登录 Google Cloud 控制台,然后转到 IAM 和管理页面:
选择您要修改的组织资源:
点击页面顶部的项目下拉列表。
在请选择对话框中,点击组织下拉列表,然后选择要添加组织管理员的组织资源。
在显示的列表中,点击组织资源以打开其 IAM 权限页面。
点击添加,然后输入要设置为组织管理员的一个或多个用户的电子邮件地址。
在选择角色下拉列表中,选择 Resource Manager > Organization Administrator,然后点击保存。
Organization Administrator 可以执行以下操作:
完全控制组织资源。Google Workspace 或 Cloud Identity 超级用户和 Google Cloud 管理员之间已实现职责分离。
分配相关 IAM 角色以委派对关键职能的责任。
如获取组织资源中所述,创建后,系统会默认为网域中的所有用户授予组织级层的 Project Creator 和 Billing Account Creator 角色。这样可以确保在创建组织资源时不会造成 Google Cloud 用户中断。Organization Administrator 获得控制权后,他们可能想要移除这些组织层级权限,开始将访问权限锁定到更精细的级别(例如,文件夹或项目级层)。请注意,由于 IAM 政策是按层次结构继承的,因此在组织层级向整个网域 (domain:mycompany.com) 分配 Project Creator 角色表示该网域中的每个用户可以在层次结构中的任意位置创建项目。
在组织资源中创建项目
控制台
为您的网域启用组织资源后,您可以使用 Google Cloud 控制台在组织资源中创建项目。
如需在组织资源中创建新项目,请执行以下操作:
如需创建新项目,请执行以下操作:
-
转到 Google Cloud 控制台中的管理资源页面。
转到“管理资源”
剩余步骤将自动显示在 Google Cloud 控制台中。 - 在页面顶部的选择组织下拉列表中,选择要在其中创建项目的组织资源。如果您使用的是免费试用版,请跳过此步骤,因为系统不会显示此列表。
- 点击创建项目。
- 在显示的新建项目窗口中,输入项目名称并选择适用的结算帐号。项目名称只能包含字母、数字、英文单引号、连字符、空格或英文感叹号,且长度必须介于 4 到 30 个字符之间。
- 在位置框中输入父级组织或文件夹资源。该资源将是新项目的分层父级。如果可以选择无组织,那么您也可以选择该选项,将新项目作为其自身资源层次结构的顶层进行创建。
- 输入完新项目的详细信息后,点击创建。
API
通过创建 project 并将其 parent 字段设置为组织资源的 organizationId,您可以在组织资源中创建新项目。
以下代码段演示了如何在组织资源中创建项目:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
查看组织资源中的项目
用户只能通过 IAM 角色查看和列出他们有权访问的项目。Organization Administrator 可以查看和列出组织资源中的所有项目。
控制台
如需使用 Google Cloud 控制台查看组织资源中的所有项目,请执行以下操作:
前往 Google Cloud 控制台:
点击页面顶部的组织下拉列表。
选择您的组织资源。
点击页面顶部的项目下拉菜单,然后点击查看更多项目。此页面会列出组织资源中的所有项目。
组织下拉列表中的无组织选项可列出以下项目:
- 尚不属于组织资源的项目。
- 用户有权访问但位于用户无权访问的组织资源的项目。
gcloud
如需查看组织资源中的所有项目,请运行以下命令:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
使用 projects.list() 方法列出父级资源下的所有项目,如以下代码段所示:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
删除组织资源
组织资源绑定到您的 Google Workspace 或 Cloud Identity 帐号。
如果您不想使用组织资源,我们建议您按照以下步骤将组织资源的 IAM 政策恢复到原始状态:
- 将您的网域添加到
Project Creator和Billing Account Creator角色。 - 移除组织资源 IAM 政策中的所有其他条目。
这样一来,您的用户便可继续创建项目和结算帐号,并且 Google Workspace 或 Cloud Identity 超级用户之后也可以恢复集中管理。
如果您删除 Google Workspace 帐号,则您的组织资源以及与其关联的所有资源也将删除。因此,如果您想删除组织资源,可以通过删除 Google Workspace 帐号来实现此目的。对于 Cloud Identity 用户,请取消其他所有 Google 服务,然后删除您的 Google 帐号。此操作具有非常强的破坏性,可能无法完全逆转,因此建议您仅在确定没有资源正在使用后执行此操作。