组织资源设置向导

利用组织设置向导,您可以轻松建立并委派组织资源的管理。此外,您还可以通过 Cloud SQL 将现有项目和结算帐号迁移到新的组织资源。

如需开始使用组织设置向导,请执行以下操作:

  1. 获取组织资源。如需了解详细说明,请参阅获取组织资源

  2. 为您的 Google Cloud 组织资源分配组织管理员、结算管理员和网络管理员。如需了解详细说明,请参阅授予、更改和撤消对资源的访问权限

要开始执行迁移过程,请执行以下操作:

  1. 向项目所有者发送项目和结算迁移请求。

  2. 等待项目所有者确认迁移请求。

  3. 批准项目和结算账号迁移。

本指南介绍了如何使用 Google Cloud 设置向导迁移项目和结算账号。如需详细了解如何使用 Resource Manager,请参阅迁移项目

通过将项目或结算帐号与组织资源相关联,可以集中管理组织资源中的所有资源。如需了解详情,请参阅组织资源的优势

以下部分提供了上述步骤的详细说明。

迁移现有项目和结算账号

为网域创建组织资源后,在该组织资源下创建的所有项目都将自动属于该组织资源。您还可以将现有项目迁移到组织资源中。

  • 如果您是项目的所有者或编辑者以及组织资源的 Project Creator,则可以直接迁移项目

  • 如果您是 Organization Administrator,则可以请求项目所有者为您提供项目的控制权,以便将其迁移到组织资源中。

项目迁移操作不可撤消。项目与组织资源关联后,您便无法将其更改回无组织状态,也无法自行将其移至其他组织资源。在项目与组织资源相关联后,如果您需要移动项目,则需要与 Google Cloud 高级支持团队联系。

将项目迁移到组织资源后,Organization Administrator 会获得项目的管理控制权,并且项目会继承 Identity and Access Management (IAM) 和组织政策。请参阅 IAM 政策影响以了解详情。

当您将现有项目迁移到组织资源中时,即使项目的结算帐号尚未迁移,系统也会按照迁移前的方式对这些项目计费。同样,如果您将结算帐号移至组织资源,那么与该结算帐号关联的所有项目都将继续运行,即使这些项目仍在组织资源之外也是如此。您可以随时将新导入的项目关联到组织资源中的新结算帐号或现有结算帐号,项目功能不会中断。

超级用户的组织资源设置

创建组织资源

您必须拥有组织资源,才能委派 Google Cloud 管理员以及迁移项目和结算帐号。如需获取组织资源,请注册 Google Workspace 或 Cloud Identity,验证您的网域,然后使用该帐号创建项目。创建项目后,系统会自动预配组织资源。如需详细了解如何获取组织资源,请参阅获取组织资源

委派 Google Cloud 管理员

要委派 Google Cloud 管理员,请执行以下操作:

  1. 在“欢迎使用 Google Cloud 的 [ORGANIZATION_NAME]”电子邮件中,点击转到我的控制台或转到 Google Cloud 控制台中的组织设置页面。

  2. 组织设置 (Organization Setup) 页面中,点击委托设置

  3. 在出现的委派组织管理员角色页面中,输入要作为组织管理员添加的个人或群组的电子邮件地址。

  4. 添加完组织管理员后,点击委派

您输入的电子邮件地址将收到一封电子邮件通知,告知他们现已是 Google Cloud 组织资源的组织管理员

如果您日后需要添加更多管理员,请点击身份和组织页面上的设置权限

Google Cloud 管理员迁移

当 Google Workspace 或 Cloud Identity 帐号用户通过组织资源设置流程向您委派 Organization Administrator 角色时,您将收到电子邮件通知。在设置组织资源期间,您可以将权限分配给其他组织、结算和网络管理员。您指定为管理员的个人将不会收到电子邮件。

您需要项目创建者角色来请求项目和结算账号迁移。默认情况下,系统会为您网域中的所有用户授予此角色。如需详细了解如何更改此默认行为以及向用户授予此角色,请参阅管理默认组织角色

迁移项目和结算账号

要从其他用户账号迁移项目或结算账号,您需先请求所有者批准迁移。随后,所有者会收到通知,进而审核您的请求并批准迁移项目或结算账号。 项目所有者可以忽略您的请求;如果发生这种情况,您的请求将在 30 天后过期。如果原始请求过期或者仍处于待处理状态,您可以再次请求迁移。 在所有者批准迁移项目或结算账号后,您会收到通知,并且可以选择要迁移的对象。

请求项目或结算账号迁移

  1. 转到 Google Cloud 控制台的身份和组织页面。

    组织设置向导界面

  2. 项目或结算账号的请求对象 (Request projects or billing accounts from) 框中,添加您要向其请求项目的结算账号或项目所有者的电子邮件地址,然后点击请求

    请求项目界面

结算账号或项目所有者将收到一封包含您的迁移请求的电子邮件。在他们批准迁移后,您将收到一封电子邮件,其中包含完成迁移的链接。

等待批准迁移请求

当您请求项目或结算账号迁移时,项目或结算账号所有者会收到一封包含您的请求的电子邮件。他们将能够选择项目以进行迁移设置。您的请求在 30 天内有效。30 天后,请求即会过期。对于任何尚未完成的项目或结算账号,您将需要发送新的迁移请求。

当项目或结算帐号所有者确认迁移请求后,您会收到一封电子邮件,并且您的 Google Cloud 控制台上会显示一条通知。要批准迁移,请继续下一步操作。

批准项目和结算账号迁移

所有者批准您的迁移请求后,您会收到来自平台通知的电子邮件,告知您项目所有者已回复您的迁移请求,并且您的 Google Cloud 控制台上会显示一条通知。

对于项目的目标迁移组织资源,您将需要拥有 Project CreatorBilling Account CreatorOrganization Administrator 角色。要完成迁移,请执行以下操作:

  1. 点击电子邮件中的迁移,或前往 Google Cloud 控制台中的迁移项目页面。

    “迁移项目”页面

  2. 选择项目选择结算账号标签页上,选择要迁移的一组任意项目和结算账号,然后点击下一步

  3. 审核和批准标签显示选中要迁移的所有项目和结算账号的列表。

  4. 要完成迁移,请点击批准

您选择要迁移的项目或结算帐号现在已与您的组织资源相关联。您未迁移的任何项目或结算账号将保留在无组织列表中。您仍然会拥有这些项目的 Project Mover IAM 角色,以及这些结算账号的 Billing Administrator 角色。您可以重新访问 Google Cloud 控制台的迁移项目页面,以批准这些项目和结算帐号的迁移。

当您完成项目迁移后,项目会继续按迁移前的方式计费,即使项目的结算账号尚未迁移也是如此。同样,当您完成结算帐号的迁移后,与该结算帐号关联的所有项目都将继续运行,即使这些项目仍在组织资源之外也是如此。

审核迁移请求

当组织管理员请求您将项目或结算帐号迁移到其组织资源时,您将收到“迁移请求”电子邮件。在您批准迁移后,组织管理员会获得以下角色:

  • 项目:role/project.mover

    • Project Mover 角色可让用户导入项目并更改对这些项目的 IAM 权限。
  • 结算账号:roles/billing.admin

    • Billing Administrator 角色可让用户导入结算账号并更改对这些项目的 IAM 权限。

组织管理员批准迁移后,他们可以更改项目的 IAM 角色,而项目会继承现有的组织政策。请参阅 IAM 政策影响以了解详情。

要审核请求,请按以下步骤操作:

  1. 点击电子邮件中的审核请求,以打开审核迁移请求页面。

  2. 选择项目选择结算帐号标签页上,选择要迁移到组织资源的项目和结算帐号的任意组合,然后点击下一步。项目列表最多需要五分钟完成填充。

  3. 确认标签显示有关迁移的以下详细信息:

    1. 为其授予项目移动者和结算管理员角色的组织管理员的电子邮件地址。

    2. 您选中要迁移的所有项目和结算账号的确认列表。

  4. 要完成迁移,请输入发出迁移请求的实体的电子邮件地址,然后点击确认

现在,Organization Administrator 可以将您已选择要迁移的项目或结算帐号迁移到其组织资源中。

如果您要停止项目或结算帐号的迁移过程,则必须在 Organization Administrator 将其导入组织资源之前停止。如需停止迁移,请转到项目的 Google Cloud 控制台 IAM 页面,并移除 Organization Administrator 的 Project Mover 或 Billing Administrator 角色。

您未选择迁移的任何项目或结算账号将保留无组织状态。您可以在 30 天内点击“迁移请求”电子邮件中的链接来批准迁移。30 天后,迁移请求到期,组织管理员将必须发送新的迁移请求供您审核。

IAM 政策影响

已为项目定义的 Identity and Access Management 政策将与项目一起迁移。这意味着,在项目迁移之前对项目拥有权限的用户将在项目迁移后保有相同的权限。

由于 IAM 权限具有继承和累加性,因此在项目迁移到组织资源时,项目会继承在组织级别定义的角色。例如,如果 projectAuthor@myorganization.com 具有在组织级别定义的 Project Editor 角色,则他们也将对迁移到组织资源的任何项目拥有该角色。这不会影响现有项目中的任何内容,但继承设置可能会使更多用户获得访问权限。

组织政策也是按层次结构继承的。默认情况下,新创建的组织资源没有组织政策。如果您为组织资源定义组织政策,请确保您迁移的项目与组织政策一致。