创建和管理组织

组织资源是 Google Cloud Platform 资源层次结构中的根节点,是项目的分层超级节点。本页面介绍如何获取和管理组织资源。

准备工作

阅读组织资源概览

获取组织资源

组织资源可供 G Suite 和 Cloud Identity 客户使用:

与 G Suite 或 Cloud Identity 网域关联的用户第一次创建项目或结算帐号时,系统会自动创建组织资源。系统会将该组织关联到您的帐号,并将该项目或结算帐号设置为子资源。在 G Suite 或 Cloud Identity 网域下创建的所有项目和结算帐号都将是此组织的子级。

  • 如需了解有关如何迁移预先存在的项目的信息,请参阅迁移现有项目

每个 G Suite 或 Cloud Identity 帐号只能与一个组织关联。一个组织只能与一个网域关联,您可以在创建组织资源时设置相应网域。

创建好组织资源后,我们会向 G Suite 或 Cloud Identity 超级用户通知组织资源是否可用。请谨慎使用这些超级用户帐号,因为他们对您的组织及其中的所有资源拥有大量控制权。为此,我们不建议您使用 G Suite 或 Cloud Identity 超级用户帐号执行日常组织管理。如需详细了解如何在 GCP 中使用 G Suite 或 Cloud Identity 超级用户帐号,请参阅超级用户最佳做法

要积极采用组织资源,G Suite 或 Cloud Identity 超级用户需要向用户或群组分配组织管理员 Cloud IAM 角色。如需了解如何设置组织,请参阅设置组织

  • 在您创建组织后,系统会在组织层级为您网域中的所有用户自动授予项目创建者和结算帐号创建者 IAM 角色。因此,您网域中的用户可以继续创建项目,没有任何中断。
  • 组织管理员将决定何时开始积极使用组织。然后,他们可以根据需要更改默认权限并强制执行更严格的政策。
  • 如果组织可用,但您没有查看该组织的 Cloud IAM 权限,您仍然可以创建项目和结算帐号。这些帐号在组织资源下自动创建,即便您看不到也是如此。

获取组织 ID

组织 ID 是组织的唯一标识符,在创建组织资源时自动创建。组织 ID 采用十进制数字的格式,不能添加前导零。

您可以使用 GCP Console、gcloud 工具或 Resource Manager API 获取组织 ID。

Console


要使用 GCP Console 获取组织 ID,请执行以下操作:

  1. 转到 GCP Console:

    转到 GCP Console

  2. 点击页面顶部的项目选择下拉列表。
  3. 在出现的选择范围窗口中,点击组织下拉列表,然后选择所需的组织。
  4. 在右侧,点击更多,然后点击设置

设置页面会显示您组织的 ID。

gcloud


要查找您的组织 ID,请运行以下命令:

gcloud organizations list

该命令将列出您所属的全部组织,及其对应的组织 ID。

API


要使用 Resource Manager API 查找您的组织 ID,请使用过滤条件 domain:[company.com] 调用 organizations.search() 方法。响应将包含组织资源的元数据,其中包括组织 ID。

设置组织

如果您是 G Suite 或 Cloud Identity 客户,系统会自动为您提供组织资源。

G Suite 或 Cloud Identity 超级用户是第一批可以在组织创建后访问组织的用户。所有其他用户或群组将能够像以前一样使用 GCP。他们将能够查看组织资源,但只有在设置了正确的权限后,才能修改资源。

G Suite 或 Cloud Identity 超级用户和 GCP 组织管理员是设置过程中的关键角色,用于对组织资源进行生命周期控制。这两个角色通常分配给不同的用户或群组,具体取决于组织结构和需求。

在 GCP 组织设置的上下文中,G Suite 或 Cloud Identity 超级用户的责任包括:

  • 向部分用户分配组织管理员角色
  • 担任恢复问题的联系人
  • 删除组织资源中所述,控制 G Suite 或 Cloud Identity 帐号和组织资源的生命周期

组织管理员分配好后,便能够向其他用户分配 IAM 角色。组织管理员角色的责任包括:

  • 定义 IAM 政策
  • 确定资源层次结构的结构
  • 通过 IAM 角色委派对关键组成部分的责任,如网络、结算、资源层次结构

该角色遵循最小权限原则,不包括执行其他操作的权限,如创建文件夹。要获得这些权限,组织管理员必须为其帐号分配其他角色。

拥有两个不同的角色可确保 G Suite 或 Cloud Identity 超级用户和 GCP 组织管理员之间的职责分离。我们通常会要求满足该条件,因为这两个 Google 产品通常由客户组织中的不同部门管理。

要开始积极使用组织资源,请按以下步骤添加组织管理员:

添加组织管理员

Console

要添加组织管理员,请执行以下操作:

  1. 以 G Suite 或 Cloud Identity 超级用户的身份登录 Google Cloud Platform Console,并导航到 IAM 和管理页面:

    打开“IAM 和管理”页面

  2. 选择要修改的组织:

    1. 点击页面顶部的选择项目下拉列表。

    2. 在出现的选择对话框中,点击组织下拉列表,然后选择要添加组织管理员的组织。

    3. 在出现的列表中,点击组织以打开 IAM 权限页面。

  3. 点击添加,然后输入要设置为组织管理员的一个或多个用户的电子邮件地址。

  4. 选择角色下拉列表中,选择 Resource Manager > 组织管理员,然后点击添加

  5. 组织管理员可以完全控制组织,并在 G Suite 或 Cloud Identity 超级用户和 GCP 管理员之间建立责任分离。

  6. 组织管理员可以通过分配相关 Cloud IAM 角色来委派对关键职能的责任。

获取组织资源中所述,默认情况下,创建组织后,系统会在组织层级为网域中的所有用户授予项目创建者和结算帐号创建者角色。这确保在创建组织资源时,不会对 GCP 用户造成中断。组织管理员获得控制权后,他们可能想要移除这些组织层级权限,开始将访问权限锁定到更精细的级别(例如,文件夹或项目级层)。请注意,由于 IAM 政策是按层次结构继承的,因此在组织层级向整个网域 (domain:mycompany.com) 分配项目创建者角色表示该网域中的每个用户可以在层次结构中的任意位置创建项目。

在组织中创建项目

Console


为您的网域启用组织资源后,您可以使用 GCP Console 在组织中创建项目。

要在组织中创建新项目,请执行以下操作:

  1. 转到 GCP Console 中的管理资源页面。
    转到“管理资源”页面
  2. 在页面顶部的选择组织下拉列表中,选择要在其中创建项目的组织。如果您目前在免费试用,请跳过此步骤,因为系统不会显示此列表。
  3. 点击创建项目
  4. 在显示的新建项目窗口中,输入项目名称并选择适用的结算帐号。
  5. 如果要将项目添加到文件夹,请在位置框中输入文件夹名称。
  6. 输入完新项目的详细信息后,点击创建

API


通过创建 project 并将 parent 字段设置为组织的 organizationId,您可以在组织中创建新项目。

以下代码段展示了如何在组织中创建项目:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

在组织中查看项目

用户只能通过 IAM 角色查看和列出他们有权访问的项目。组织管理员可以查看和列出组织中的所有项目。

Console


要使用 GCP Console 查看组织中的所有项目,请执行以下操作:

  1. 转到 Google Cloud Platform Console:

    转到 Google Cloud Platform Console

  2. 点击页面顶部的组织下拉列表。

  3. 选择您的组织。

  4. 点击页面顶部的项目下拉列表,然后点击查看更多项目。页面会列出该组织中的所有项目。

组织下拉列表中的无组织选项可列出以下项目:

  • 尚不属于该组织的项目。
  • 用户有权访问但位于用户无权访问的组织中的项目。

gcloud


要查看组织中的所有项目,请运行以下命令:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


如以下代码段所示,您可以使用 projects.list() 方法列出组织中的所有项目:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

删除组织资源

组织资源与 G Suite 或 Cloud Identity 帐号绑定。

如果您不希望使用组织资源,我们建议您按照以下步骤操作,将组织的 IAM 政策恢复到原始状态:

  1. Project CreatorBilling Account Creator 角色添加您的网域。
  2. 移除组织 IAM 政策中的所有其他条目。

通过该方式,您的用户可以继续创建项目和结算帐号,并且之后 G Suite 或 Cloud Identity 超级用户可以恢复集中管理。

如果您想要删除您的组织以及与其关联的所有资源,请删除您的 G Suite 帐号。对于 Cloud Identity 用户,请取消所有其他 Google 服务,然后删除您的 Google 帐号。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Resource Manager 文档