组织设置向导

通过组织设置向导,您可以轻松建立并委派组织的管理工作。此外,您还可以将现有项目和结算帐号迁移到您的新组织。

如需开始使用组织设置向导,请执行以下操作:

  1. 获取组织资源。如需了解详细说明,请参阅获取组织资源

  2. 为您的 Google Cloud 组织分配组织管理员、结算管理员和网络管理员。如需了解详细说明,请参阅授予、更改和撤消对资源的访问权限

要开始执行迁移过程,请执行以下操作:

  1. 向项目所有者发送项目和结算迁移请求。

  2. 等待项目所有者确认迁移请求。

  3. 批准项目和结算帐号迁移。

本指南介绍了如何使用 Google Cloud 设置向导迁移项目和结算帐号。如需详细了解如何使用 Resource Manager,请参阅将现有项目迁移到组织中

通过将项目或结算帐号与组织关联,可以对组织中的所有资源进行集中控制。如需了解详情,请参阅组织资源的优势

以下部分提供了上述步骤的详细说明。

迁移现有项目和结算帐号

为网域创建组织资源后,在组织下创建的所有项目都将自动属于该组织。您也可以将现有项目迁移到组织中。

  • 如果您既是项目的所有者或编辑者,又具有组织的 Project Creator 角色,则可以直接迁移项目

  • 如果您具有 Organization Administrator 角色,则可以请求项目所有者为您提供项目的控制权,以便将项目迁移到您的组织中。

项目迁移操作不可撤消。项目与组织建立关联后,您便无法将其更改回无组织状态或自行将其移至其他组织。如果您想要在项目与某一组织建立关联后迁移项目,则需要联系 Google Cloud 高级支持团队

将项目迁移到组织后,具有 Organization Administrator 角色的用户会获得项目的管理控制权,并且项目会继承 Identity and Access Management (IAM) 和组织政策。请参阅 IAM 政策影响以了解详情。

当您将现有项目移动到组织后,这些项目会继续按迁移前的方式进行结算,即使项目的结算帐号尚未迁移也是如此。同样,如果您将结算帐号移动到组织中,那么与该帐号关联的所有项目都将继续运行,即使这些项目仍在组织以外也是如此。您可以随时将新导入的项目链接到组织中的新结算帐号或现有结算帐号,不影响项目功能。

超级用户的组织设置

创建组织

您必须拥有组织资源,才能委派 Google Cloud 管理员以及迁移项目和结算帐号。要获取组织资源,请注册 G Suite 或 Cloud Identity、验证您的网域,然后使用该帐号创建项目。一旦创建了项目,系统就会自动预配组织资源。 如需详细了解如何获取组织资源,请参阅获取组织资源

委派 Google Cloud 管理员

要委派 Google Cloud 管理员,请执行以下操作:

  1. 在“欢迎在 Google Cloud 管理 [ORGANIZATION_NAME]”(Welcome to [ORGANIZATION_NAME] at Google Cloud) 电子邮件中,点击转到我的控制台 (Go to My Console),或转到 Cloud Console 中的组织设置 (Organization Setup) 页面。

  2. 组织设置 (Organization Setup) 页面中,点击委托设置

  3. 在出现的委派组织管理员角色页面中,输入要作为组织管理员添加的个人或群组的电子邮件地址。

  4. 添加完组织管理员后,点击委派

您输入的电子邮件地址将收到一封电子邮件通知,告知这些用户他们现已具有您的 Google Cloud 组织的 Organization Administrator 角色。

如果您日后需要添加更多管理员,请点击身份和组织页面上的设置权限

Google Cloud 管理员迁移

当 G Suite 或 Cloud Identity 帐号用户通过组织设置过程向您委派 Organization Administrator 角色时,您会收到电子邮件通知。在组织设置期间,您将能够向其他组织、结算和网络管理员分配权限。您指定为管理员的个人将不会收到电子邮件。

您必须拥有 Project Creator 角色才能请求项目和结算帐号迁移。默认情况下,系统会为您网域中的所有用户授予此角色。如需详细了解如何更改此默认行为并向用户授予该角色,请参阅管理默认组织角色

迁移项目和结算帐号

要从其他用户帐号迁移项目或结算帐号,您需先请求所有者批准迁移。随后,所有者会收到通知,进而审核您的请求并批准迁移项目或结算帐号。 项目所有者可以忽略您的请求;如果发生这种情况,您的请求将在 30 天后过期。如果原始请求过期或者仍处于待处理状态,您可以再次请求迁移。 在所有者批准迁移项目或结算帐号后,您会收到通知,并且可以选择要迁移的对象。

请求项目或结算帐号迁移

  1. 转到 Google Cloud Console 的身份和组织页面。

    组织设置向导界面

  2. 项目或结算帐号的请求对象 (Request projects or billing accounts from) 框中,添加您要向其请求项目的结算帐号或项目所有者的电子邮件地址,然后点击请求

    请求项目界面

结算帐号或项目所有者将收到一封包含您的迁移请求的电子邮件。在他们批准迁移后,您将收到一封电子邮件,其中包含完成迁移的链接。

等待批准迁移请求

当您请求项目或结算帐号迁移时,项目或结算帐号所有者会收到一封包含您的请求的电子邮件。他们将能够选择项目以进行迁移设置。您的请求在 30 天内有效。30 天后,请求即会过期。对于任何尚未完成的项目或结算帐号,您将需要发送新的迁移请求。

当项目或结算帐号所有者确认迁移请求后,您会收到一封电子邮件,并会在您的 Cloud Console 上看到通知。 要批准迁移,请继续下一步操作。

批准项目和结算帐号迁移

在所有者批准迁移请求后,您会收到来自平台通知的电子邮件,其中说明项目所有者已对您的迁移请求做出响应。此外,您的 Cloud Console 也会显示一条通知。

在项目将迁往的目标组织中,您需要拥有 Project CreatorBilling Account CreatorOrganization Administrator 角色。要完成迁移,请执行以下操作:

  1. 点击电子邮件中的迁移,或转到 Cloud Console 中的迁移项目页面。

    “迁移项目”页面

  2. 选择项目选择结算帐号标签页上,选择要迁移的一组任意项目和结算帐号,然后点击下一步

  3. 审核和批准标签显示选中要迁移的所有项目和结算帐号的列表。

  4. 要完成迁移,请点击批准

您已选择要迁移的项目或结算帐号现已与您的组织建立关联。您未迁移的任何项目或结算帐号将保留在无组织列表中。您仍然会拥有这些项目的 Project Mover IAM 角色,以及这些结算帐号的 Billing Administrator 角色。您可以重新访问 Cloud Console 的迁移项目页面,以批准这些项目和结算帐号的迁移。

当您完成项目迁移后,项目会继续按迁移前的方式计费,即使项目的结算帐号尚未迁移也是如此。同样,当您完成结算帐号的迁移后,与该帐号关联的所有项目都将继续运行,即使这些项目仍在组织以外也是如此。

审核迁移请求

当组织管理员请求您将项目或结算帐号迁移到他们的组织时,您将收到“迁移请求”电子邮件。在您批准迁移后,组织管理员会获得以下角色:

  • 项目:role/project.mover

    • Project Mover 角色可让用户导入项目并更改对这些项目的 IAM 权限。
  • 结算帐号:roles/billing.admin

    • Billing Administrator 角色可让用户导入结算帐号并更改对这些项目的 IAM 权限。

组织管理员批准迁移后,他们可以更改项目的 IAM 角色,而项目会继承现有的组织政策。请参阅 IAM 政策影响以了解详情。

要审核请求,请按以下步骤操作:

  1. 点击电子邮件中的审核请求,以打开审核迁移请求页面。

  2. 选择项目选择结算帐号标签上,选择要迁移到组织的项目和结算帐号的任意组合,然后点击下一步。项目列表最多需要五分钟完成填充。

  3. 确认标签显示有关迁移的以下详细信息:

    1. 为其授予项目移动者和结算管理员角色的组织管理员的电子邮件地址。

    2. 您选中要迁移的所有项目和结算帐号的确认列表。

  4. 要完成迁移,请输入发出迁移请求的实体的电子邮件地址,然后点击确认

现在,组织管理员可以将您已选择要迁移的项目或结算帐号迁移到他们的组织中。

如果您想要停止项目或结算帐号的迁移过程,则必须在组织管理员将其导入组织之前停止。要停止迁移,请转到项目的 Cloud Console IAM 页面,然后移除组织管理员的 Project Mover 或 Billing Administrator 角色。

您未选择迁移的任何项目或结算帐号将保留无组织状态。您可以在 30 天内点击“迁移请求”电子邮件中的链接来批准迁移。30 天后,迁移请求到期,组织管理员将必须发送新的迁移请求供您审核。

IAM 政策影响

已为项目定义的 Identity and Access Management 政策将与项目一起迁移。这意味着,在项目迁移之前对项目拥有权限的用户将在项目迁移后保有相同的权限。

由于 IAM 权限支持继承和附加,因此如果在组织层级定义了相关角色,那么在项目迁移到组织中后,项目会继承这些角色。例如,如果 projectAuthor@myorganization.com 拥有在组织层级定义的项目编辑者角色,那么他们也将对迁移到该组织中的任何项目拥有此角色。这不会影响现有项目中的任何内容,但继承设置可能会使更多用户获得访问权限。

组织政策也是按层次结构继承的。默认情况下,新创建的组织没有组织政策。如果您为组织定义组织政策,请确保您迁移的项目与组织政策一致。

要点:当项目迁移到组织中以后,您需负责确保 IAM 与组织政策保持一致。