组织设置向导

通过组织设置向导,您可以轻松建立并委派组织的管理工作。您还可以将现有项目和结算帐号迁移到您的新组织。

要开始使用组织设置向导,请执行以下操作:

  1. 通过 G Suite 或 Cloud Identity 创建组织。

  2. 为您的 GCP 组织分配组织、结算和网络管理员。

要开始迁移过程,请执行以下操作:

  1. 向现有所有者发送项目和结算迁移请求。

  2. 等待现有所有者确认迁移请求。

  3. 批准项目和结算帐号迁移。

本指南提供有关如何使用 Google Cloud Platform 设置向导迁移项目和结算帐号的说明。如需详细了解如何使用 Resource Manager,请参阅将现有项目迁移到组织中

通过将项目或结算帐号与组织关联,可以对组织中的所有资源进行集中控制。如需了解详情,请参阅组织资源的优势

以下部分提供了上述步骤的详细说明。

迁移现有项目和结算帐号

为网域创建组织资源后,在组织下创建的所有项目都将自动属于该组织。您也可以将现有项目迁移到组织中。

  • 如果您是项目的所有者或编辑者和组织的项目创建者,则可以直接迁移项目

  • 如果您是组织管理员,您可以请求项目所有者为您提供项目的控制权,以便将项目迁移到组织中。

项目迁移操作不可撤消。某个项目与组织建立关联后,您便无法将其更改回无组织状态或自行将其转移到其他组织。在项目与组织建立关联后,如果您需要移动项目,您将需要联系 GCP 高级支持

将项目迁移到组织后,组织管理员获得项目的管理控制权,并且项目将继承 Cloud Identity and Access Management (Cloud IAM) 和组织政策。请参阅 Cloud IAM 政策影响以了解详情。

当您将现有项目移动到组织后,这些项目会继续按迁移前的方式进行结算,即使项目的结算帐号尚未迁移也是如此。同样,如果您将结算帐号移动到组织中,那么与该帐号关联的所有项目都将继续运行,即使这些项目仍在组织以外也是如此。您可以随时将新导入的项目链接到组织中的新结算帐号或现有结算帐号,不影响项目功能。

超级用户的组织设置

创建组织

在委派 GCP 管理员并迁移项目和结算帐号之前,您需要创建组织资源。当您注册 G Suite 或 Cloud Identity 并验证网域时,可获得 GCP 组织资源。请参阅获取组织资源以了解详情。

委派 GCP 管理员

要委派 GCP 管理员,请执行以下操作:

  1. 在“欢迎使用 GCP 的 [ORGANIZATION_NAME]”电子邮件中,请点击转到我的控制台或转到 GCP Console 中的组织设置页面。

  2. 组织设置页面中,点击委派设置

  3. 在出现的委派组织管理员角色页面中,输入要作为组织管理员添加的个人或群组的电子邮件地址。

  4. 添加完组织管理员后,点击委派

您输入的电子邮件地址将收到一封电子邮件通知,告知他们现已是 GCP 组织的组织管理员

日后若要添加更多管理员,请点击身份和组织页面上的设置权限

GCP 管理员的迁移

当 G Suite 或 Cloud Identity 帐号用户通过组织设置过程向您委派组织管理员角色时,您将收到电子邮件通知。在组织设置期间,您将能够向其他组织、结算和网络管理员分配权限。您指定为管理员的个人将不会收到电子邮件。

您需要项目创建者角色来请求项目和结算帐号迁移。默认情况下,系统会为您网域中的所有用户授予此角色。如需详细了解如何更改此默认行为并向用户授予该角色,请参阅管理默认组织角色

迁移项目和结算帐号

要从其他用户帐号迁移项目或结算帐号,首先您需要请求所有者批准迁移。然后,所有者会收到通知,以审核您的请求并批准迁移项目或结算帐号。项目所有者可以忽略您的请求,请求将在 30 天后到期。如果初始请求到期或者仍处于待处理状态,您可以再次请求迁移。在所有者批准迁移项目或结算帐号之后,您将收到通知,并且可以选择要迁移的对象。

请求项目或结算帐号迁移

  1. 转到 Google Cloud Platform Console 身份和组织页面。

    组织设置向导界面

  2. 项目或结算帐号的请求对象框中,添加要向其请求项目的结算帐号或项目所有者的电子邮件地址,然后点击请求

    请求项目界面

结算帐号或项目所有者将收到一封包含迁移请求的电子邮件。在他们批准迁移后,您将收到一封电子邮件,其中包含完成迁移的链接。

等待迁移请求批准

当您请求项目或结算帐号迁移时,项目或结算帐号所有者会收到一封包含请求的电子邮件。他们将能够选择项目进行针对迁移的设置。请求在 30 天内有效。30 天后,请求到期,对于任何未完成的项目或结算帐号,您将需要发送新的迁移请求。

当项目或结算帐号所有者确认迁移请求时,您将收到电子邮件,并且您的 GCP Console 上将显示一条通知。要批准迁移,请继续下一步。

批准项目和结算帐号迁移

所有者批准了您的迁移请求后,您将收到平台通知发来的一封电子邮件,告知您项目所有者已回复您的迁移请求,并且您的 GCP Console 上将显示一条通知。

对于项目的目标迁移组织,您将需要拥有项目创建者结算帐号创建者组织管理员角色。要完成迁移,请执行以下操作:

  1. 点击电子邮件中的迁移,或者转到 GCP Console 中的迁移项目页面。

    迁移项目页面

  2. 选择项目选择结算帐号标签上,选择要迁移的项目和结算帐号的任意组合,然后点击下一步

  3. 审核和批准标签显示选中要迁移的所有项目和结算帐号的列表。

  4. 要完成迁移,请点击批准

您选中要迁移的项目或结算帐号现已与您的组织关联。您未迁移的任何项目或结算帐号将保留在无组织列表中。您仍然拥有这些项目的项目移动者 Cloud IAM 角色和这些结算帐号的结算管理员角色。您可以重新访问 GCP Console 的迁移项目页面,以批准这些项目和结算帐号的迁移。

完成项目迁移后,项目会继续按迁移前的方式进行结算,即使项目的结算帐号尚未迁移也是如此。同样,当您完成结算帐号的迁移后,与该帐号关联的所有项目都将继续运行,即使这些项目仍在组织以外也是如此。

审核迁移请求

当组织管理员请求您将项目或结算帐号迁移到他们的组织时,您将收到“迁移请求”电子邮件。批准迁移时,您为组织管理员授予以下角色:

  • 项目:role/project.mover

    • 用户可利用项目移动者角色导入项目并更改对这些项目的 Cloud IAM 权限。
  • 结算帐号:roles/billing.admin

    • 用户可利用结算管理员角色导入结算帐号并更改对这些项目的 Cloud IAM 权限。

组织管理员批准迁移后,他们可以更改项目的 Cloud IAM 角色,项目会继承现有组织政策。请参阅 Cloud IAM 政策影响以了解详情。

要审核请求,请按以下步骤操作:

  1. 点击电子邮件中的审核请求,以打开审核迁移请求页面。

  2. 选择项目选择结算帐号标签上,选择要迁移到组织的项目和结算帐号的任意组合,然后点击下一步

  3. 确认标签显示有关迁移的以下详细信息:

    1. 为其授予项目移动者和结算管理员角色的组织管理员的电子邮件地址。

    2. 您选中要迁移的所有项目和结算帐号的确认列表。

  4. 要完成迁移,请输入发出迁移请求的实体的电子邮件地址,然后点击确认

现在,组织管理员可以将您选中要迁移的项目或结算帐号迁移到他们的组织中。

如果您想要停止项目或结算帐号的迁移过程,您必须在组织管理员将其导入组织之前停止。要停止迁移,请转到项目的 GCP Console Cloud IAM 页面,并移除组织管理员的项目移动者或结算管理员角色。

您未选择迁移的任何项目或结算帐号将保留无组织状态。您可以在 30 天内点击“迁移请求”电子邮件中的链接来批准迁移。30 天后,迁移请求到期,组织管理员将必须发送新的迁移请求供您审核。

Cloud IAM 政策影响

已为项目定义的 Cloud Identity and Access Management 政策将与项目一起迁移。这意味着,在项目迁移之前对项目拥有权限的用户将在项目迁移后保有相同的权限。

由于 Cloud IAM 权限支持继承和附加,因此如果在组织层级定义了相关角色,那么在项目迁移到组织中后,项目会继承这些角色。例如,如果 projectAuthor@myorganization.com 拥有在组织层级定义的项目编辑者角色,那么他们也将对迁移到该组织中的任何项目拥有此角色。这不会影响现有项目中的任何内容,但继承设置可能会使更多用户获得访问权限。

组织政策也是按层次结构继承的。默认情况下,新创建的组织没有组织政策。如果您为组织定义组织政策,请确保您迁移的项目与组织政策一致。

要点:将项目迁移到组织中时,您需负责确保 Cloud IAM 与组织政策保持一致。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Resource Manager 文档