组织资源设置向导

通过组织设置向导,您可以轻松建立并委派组织资源的管理工作。此外,您还可以将现有项目和结算账号迁移到您的新组织资源。

如需开始使用组织设置向导,请执行以下操作:

  1. 获取组织资源。如需了解详细说明,请参阅获取组织资源

  2. 为您的 Google Cloud 组织资源分配组织管理员、结算管理员和网络管理员。如需了解详细说明,请参阅授予、更改和撤消对资源的访问权限

要开始执行迁移过程,请执行以下操作:

  1. 向项目所有者发送项目和结算迁移请求。

  2. 等待项目所有者确认迁移请求。

  3. 批准项目和结算账号迁移。

本指南介绍了如何使用 Google Cloud 设置向导迁移项目和结算账号。如需详细了解如何使用 Resource Manager,请参阅迁移项目

通过将项目或结算账号与组织资源关联,可以对组织资源中的所有资源进行集中控制。如需了解详情,请参阅组织资源的优势

以下部分提供了上述步骤的详细说明。

迁移现有项目和结算账号

为网域创建组织资源后,在组织资源下创建的所有项目都将自动属于该组织资源。您也可以将现有项目迁移到组织资源中。

  • 如果您既是项目的所有者或编辑者,又具有组织资源的 Project Creator 角色,则可以直接迁移项目

  • 如果您是 Organization Administrator,可以请求项目所有者为您提供项目的控制权,以便将项目迁移到组织资源中。

项目迁移操作不可撤消。当项目与某个组织资源建立关联后,您便无法将项目更改回无组织状态,也不能自行将项目迁移到其他组织资源。如果您想要在项目与某一组织资源建立关联后迁移项目,则需要联系 Google Cloud 高级支持团队

将项目迁移到组织资源后,具有 Organization Administrator 角色的用户会获得项目的管理控制权,并且项目会继承 Identity and Access Management (IAM) 和组织政策。请参阅 IAM 政策影响以了解详情。

当您将现有项目移动到组织资源后,这些项目会继续按迁移前的方式进行结算,即使项目的结算账号尚未迁移也是如此。同样,如果您将结算账号移至组织资源,那么与该账号关联的所有项目都将继续运行,即使这些项目仍位于组织资源外部也是如此。您可以随时将新导入的项目链接到组织资源中的新结算账号或现有结算账号,不影响项目功能。

超级用户的组织资源设置

创建组织资源

您必须拥有组织资源,才能委派 Google Cloud 管理员以及迁移项目和结算账号。如需获取组织资源,请注册 Google Workspace 或 Cloud Identity、验证您的网域,然后使用该账号创建项目。创建项目后,系统就会自动预配组织资源。 如需详细了解如何获取组织资源,请参阅获取组织资源

委派 Google Cloud 管理员

要委派 Google Cloud 管理员,请执行以下操作:

  1. 在“欢迎在 Google Cloud 管理 [ORGANIZATION_NAME]”(Welcome to [ORGANIZATION_NAME] at Google Cloud) 电子邮件中,点击转到我的控制台 (Go to My Console),或转到 Google Cloud 控制台中的组织设置 (Organization Setup) 页面。

  2. 组织设置 (Organization Setup) 页面中,点击委托设置

  3. 在出现的委派组织管理员角色页面中,输入要作为组织管理员添加的个人或群组的电子邮件地址。

  4. 添加完组织管理员后,点击委派

您输入的电子邮件地址将收到一封电子邮件通知,告知这些用户他们现已具有您的 Google Cloud 组织资源的 Organization Administrator 角色。

如果您日后需要添加更多管理员,请点击身份和组织页面上的设置权限

Google Cloud 管理员迁移

当 Google Workspace 或 Cloud Identity 账号用户通过组织资源设置流程向您委派 Organization Administrator 角色时,您会收到电子邮件通知。在组织资源设置期间,您将能够向其他组织、结算和网络管理员分配权限。您指定为管理员的个人将不会收到电子邮件。

您需要项目创建者角色来请求项目和结算账号迁移。默认情况下,系统会为您网域中的所有用户授予此角色。如需详细了解如何更改此默认行为并向用户授予该角色,请参阅管理默认组织角色

迁移项目和结算账号

要从其他用户账号迁移项目或结算账号,您需先请求所有者批准迁移。随后,所有者会收到通知,进而审核您的请求并批准迁移项目或结算账号。 项目所有者可以忽略您的请求;如果发生这种情况,您的请求将在 30 天后过期。如果原始请求过期或者仍处于待处理状态,您可以再次请求迁移。 在所有者批准迁移项目或结算账号后,您会收到通知,并且可以选择要迁移的对象。

请求项目或结算账号迁移

  1. 前往 Google Cloud 控制台中的身份和组织页面。

    组织设置向导界面

  2. 项目或结算账号的请求对象 (Request projects or billing accounts from) 框中,添加您要向其请求项目的结算账号或项目所有者的电子邮件地址,然后点击请求

    请求项目界面

结算账号或项目所有者将收到一封包含您的迁移请求的电子邮件。在他们批准迁移后,您将收到一封电子邮件,其中包含完成迁移的链接。

等待批准迁移请求

当您请求项目或结算账号迁移时,项目或结算账号所有者会收到一封包含您的请求的电子邮件。他们将能够选择项目以进行迁移设置。您的请求在 30 天内有效。30 天后,请求即会过期。对于任何尚未完成的项目或结算账号,您将需要发送新的迁移请求。

当项目或结算账号所有者确认迁移请求后,您会收到一封电子邮件,并会在您的 Google Cloud 控制台中看到通知。 要批准迁移,请继续下一步操作。

批准项目和结算账号迁移

在所有者批准迁移请求后,您会收到来自平台通知的电子邮件,其中说明项目所有者已对您的迁移请求做出响应。此外,您的 Google Cloud 控制台也会显示一条通知。

在项目将迁往的目标组织资源中,您需要拥有 Project CreatorBilling Account CreatorOrganization Administrator 角色。要完成迁移,请执行以下操作:

  1. 点击电子邮件中的迁移,或前往 Google Cloud 控制台中的迁移项目页面。

    “迁移项目”页面

  2. 选择项目选择结算账号标签页上,选择要迁移的一组任意项目和结算账号,然后点击下一步

  3. 审核和批准标签显示选中要迁移的所有项目和结算账号的列表。

  4. 要完成迁移,请点击批准

您选中要迁移的项目或结算账号现已与您的组织资源相关联。您未迁移的任何项目或结算账号将保留在无组织列表中。您仍然会拥有这些项目的 Project Mover IAM 角色,以及这些结算账号的 Billing Administrator 角色。您可以重新访问 Google Cloud 控制台的迁移项目页面,以批准这些项目和结算账号的迁移。

当您完成项目迁移后,项目会继续按迁移前的方式计费,即使项目的结算账号尚未迁移也是如此。同样,当您完成结算账号的迁移后,与该账号关联的所有项目都将继续运行,即使这些项目仍在组织资源之外也是如此。

审核迁移请求

当 Organization Administrator 请求您将项目或结算账号迁移到其组织资源时,您将收到“迁移请求”电子邮件。在您批准迁移后,组织管理员会获得以下角色:

  • 项目:role/project.mover

    • Project Mover 角色可让用户导入项目并更改对这些项目的 IAM 权限。
  • 结算账号:roles/billing.admin

    • Billing Administrator 角色可让用户导入结算账号并更改对这些项目的 IAM 权限。

组织管理员批准迁移后,他们可以更改项目的 IAM 角色,而项目会继承现有的组织政策。请参阅 IAM 政策影响以了解详情。

要审核请求,请按以下步骤操作:

  1. 点击电子邮件中的审核请求,以打开审核迁移请求页面。

  2. 选择项目选择结算账号标签页上,选择要迁移到组织资源的一组任意项目和结算账号,然后点击下一步。项目列表最多需要五分钟完成填充。

  3. 确认标签显示有关迁移的以下详细信息:

    1. 为其授予项目移动者和结算管理员角色的组织管理员的电子邮件地址。

    2. 您选中要迁移的所有项目和结算账号的确认列表。

  4. 要完成迁移,请输入发出迁移请求的实体的电子邮件地址,然后点击确认

现在,Organization Administrator 可以将您选中要迁移的项目或结算账号迁移到其组织资源中。

如果您想要停止项目或结算账号的迁移过程,则必须在 Organization Administrator 将其导入组织资源之前停止。如需停止迁移,请前往项目的 Google Cloud 控制台 IAM 页面,然后移除 Organization Administrator 的 Project Mover 或 Billing Administrator 角色。

您未选择迁移的任何项目或结算账号将保留无组织状态。您可以在 30 天内点击“迁移请求”电子邮件中的链接来批准迁移。30 天后,迁移请求到期,组织管理员将必须发送新的迁移请求供您审核。

IAM 政策影响

已为项目定义的 Identity and Access Management 政策将与项目一起迁移。这意味着,在项目迁移之前对项目拥有权限的用户将在项目迁移后保有相同的权限。

由于 IAM 权限支持继承和附加,因此如果在组织层级定义了相关角色,那么在项目迁移到组织资源中后,项目会继承这些角色。例如,如果 projectAuthor@myorganization.com 拥有在组织层级定义的项目编辑者角色,那么他们也将对迁移到该组织资源中的任何项目拥有此角色。这不会影响现有项目中的任何内容,但继承设置可能会使更多用户获得访问权限。

组织政策也是按层次结构继承的。默认情况下,新创建的组织资源没有组织政策。如果您为组织资源定义组织政策,请确保您迁移的项目与组织政策一致。