组织设置向导

通过组织设置向导,您可以轻松地建立和委派组织资源的管理工作。您还可以将现有项目和结算帐号迁移到新的组织资源中。

如需开始使用组织设置向导,请执行以下操作:

  1. 获取组织资源。如需了解详细说明,请参阅获取组织资源

  2. 为您的 Google Cloud 组织资源分配组织、结算和网络管理员。如需了解详细说明,请参阅授予、更改和撤消对资源的访问权限

要开始执行迁移过程,请执行以下操作:

  1. 向项目所有者发送项目和结算迁移请求。

  2. 等待项目所有者确认迁移请求。

  3. 批准项目和结算帐号迁移。

本指南介绍了如何使用 Google Cloud 设置向导迁移项目和结算帐号。如需详细了解如何使用 Resource Manager,请参阅迁移项目

通过将项目或结算帐号与组织资源相关联,您可以集中控制组织资源中的所有资源。如需了解详情,请参阅组织资源的优势

以下部分提供了上述步骤的详细说明。

迁移现有项目和结算帐号

为您的网域创建组织资源后,在组织资源下创建的所有项目都将自动属于该组织资源。您还可以将现有项目迁移到组织资源中。

  • 如果您是项目的所有者或编辑者和组织资源的项目创建者,则可以直接迁移项目

  • 如果您是组织管理员,您可以请求项目所有者为您提供项目控制权,以便将其迁移到您的组织资源中。

项目迁移操作不可撤消。项目与组织资源关联后,您便无法将其更改回无组织状态或自行将其移至其他组织资源。在项目与组织资源关联后,如果您需要移动项目,您需要与 Google Cloud 高级支持团队联系。

将项目迁移到组织资源后,组织管理员获得项目的管理控制权,并继承 Identity and Access Management (IAM) 和组织政策。请参阅 IAM 政策影响以了解详情。

当您将现有项目迁移到组织资源后,它们的计费方式与在迁移之前相同,即使项目的结算帐号尚未迁移也是如此。同样,如果您将结算帐号移动到组织资源中,则与该帐号关联的所有项目都将继续运行,即使这些项目仍在组织资源之外也是如此。您可以随时将新导入的项目关联到组织资源中的新结算帐号或现有结算帐号,而不会中断项目功能。

超级用户的组织资源设置

创建组织资源

您必须拥有组织资源,才能委托 Google Cloud 管理员并迁移项目和结算帐号。要获取组织资源,请注册 Google Workspace 或 Cloud Identity,验证您的网域,然后使用该帐号创建项目。创建项目后,系统会自动预配组织资源。如需详细了解如何获取组织资源,请参阅获取组织资源

委派 Google Cloud 管理员

要委派 Google Cloud 管理员,请执行以下操作:

  1. 在“欢迎使用 Google Cloud 的 [ORGANIZATION_NAME]”电子邮件中,点击转到我的控制台或转到控制台中的组织设置页面。

  2. 组织设置 (Organization Setup) 页面中,点击委托设置

  3. 在出现的委派组织管理员角色页面中,输入要作为组织管理员添加的个人或群组的电子邮件地址。

  4. 添加完组织管理员后,点击委派

您输入的电子邮件地址将收到一封电子邮件通知,告知其现在是您 Google Cloud 组织资源的组织管理员

如果您日后需要添加更多管理员,请点击身份和组织页面上的设置权限

Google Cloud 管理员迁移

当 Google Workspace 或 Cloud Identity 帐号用户通过组织资源设置流程向您委派组织管理员角色时,您会收到电子邮件通知。在组织资源设置期间,您将能够为其他组织、结算和网络管理员分配权限。您指定为管理员的个人将不会收到电子邮件。

您需要项目创建者角色来请求项目和结算帐号迁移。默认情况下,系统会为您网域中的所有用户授予此角色。如需详细了解如何更改此默认行为并向用户授予该角色,请参阅管理默认组织角色

迁移项目和结算帐号

要从其他用户帐号迁移项目或结算帐号,您需先请求所有者批准迁移。随后,所有者会收到通知,进而审核您的请求并批准迁移项目或结算帐号。 项目所有者可以忽略您的请求;如果发生这种情况,您的请求将在 30 天后过期。如果原始请求过期或者仍处于待处理状态,您可以再次请求迁移。 在所有者批准迁移项目或结算帐号后,您会收到通知,并且可以选择要迁移的对象。

请求项目或结算帐号迁移

  1. 转到 Google Cloud Console 的 Identity &Organization 页面。

    组织设置向导界面

  2. 项目或结算帐号的请求对象 (Request projects or billing accounts from) 框中,添加您要向其请求项目的结算帐号或项目所有者的电子邮件地址,然后点击请求

    请求项目界面

结算帐号或项目所有者将收到一封包含您的迁移请求的电子邮件。在他们批准迁移后,您将收到一封电子邮件,其中包含完成迁移的链接。

等待批准迁移请求

当您请求项目或结算帐号迁移时,项目或结算帐号所有者会收到一封包含您的请求的电子邮件。他们将能够选择项目以进行迁移设置。您的请求在 30 天内有效。30 天后,请求即会过期。对于任何尚未完成的项目或结算帐号,您将需要发送新的迁移请求。

当项目或结算帐号所有者确认迁移请求后,您将收到一封电子邮件,您的控制台中将显示通知。 要批准迁移,请继续下一步操作。

批准项目和结算帐号迁移

所有者批准迁移请求后,您会收到来自平台通知的电子邮件,内容是项目所有者已响应您的迁移请求。您的控制台上将显示一条通知。

您需要对将项目迁移到的组织资源拥有 Project CreatorBilling Account CreatorOrganization Administrator 角色。要完成迁移,请执行以下操作:

  1. 点击电子邮件中的迁移,或转到控制台中的迁移项目页面。

    “迁移项目”页面

  2. 选择项目选择结算帐号标签页上,选择要迁移的一组任意项目和结算帐号,然后点击下一步

  3. 审核和批准标签显示选中要迁移的所有项目和结算帐号的列表。

  4. 要完成迁移,请点击批准

您选择迁移的项目或结算帐号现已与您的组织资源相关联。您未迁移的任何项目或结算帐号将保留在无组织列表中。您仍然会拥有这些项目的 Project Mover IAM 角色,以及这些结算帐号的 Billing Administrator 角色。您可以重新访问控制台迁移项目页面,以批准这些项目和结算帐号的迁移。

当您完成项目迁移后,项目会继续按迁移前的方式计费,即使项目的结算帐号尚未迁移也是如此。同样,当您完成结算帐号的迁移后,与结算帐号关联的所有项目都将继续运行,即使这些项目仍在组织资源之外也是如此。

审核迁移请求

当组织管理员要求您将项目或结算帐号迁移到其组织资源时,您将收到一封“迁移请求”电子邮件。在您批准迁移后,组织管理员会获得以下角色:

  • 项目:role/project.mover

    • Project Mover 角色可让用户导入项目并更改对这些项目的 IAM 权限。
  • 结算帐号:roles/billing.admin

    • Billing Administrator 角色可让用户导入结算帐号并更改对这些项目的 IAM 权限。

组织管理员批准迁移后,他们可以更改项目的 IAM 角色,而项目会继承现有的组织政策。请参阅 IAM 政策影响以了解详情。

要审核请求,请按以下步骤操作:

  1. 点击电子邮件中的审核请求,以打开审核迁移请求页面。

  2. 选择项目选择结算帐号标签页上,选择要迁移到组织资源的项目和结算帐号的任意组合,然后点击下一步。项目列表最多需要五分钟完成填充。

  3. 确认标签显示有关迁移的以下详细信息:

    1. 为其授予项目移动者和结算管理员角色的组织管理员的电子邮件地址。

    2. 您选中要迁移的所有项目和结算帐号的确认列表。

  4. 要完成迁移,请输入发出迁移请求的实体的电子邮件地址,然后点击确认

您现在选择要迁移的项目或结算帐号可供组织管理员迁移到其组织资源。

如果您想要停止项目或结算帐号的迁移过程,则必须在组织管理员将其导入组织资源之前停止。如需停止迁移,请转到项目的控制台 IAM 页面,然后从组织管理员中移除 Project Mover 或 Billing Administrator 角色。

您未选择要迁移的任何项目或结算帐号将保持为无组织状态。您可以在 30 天内点击“迁移请求”电子邮件中的链接来批准迁移。30 天后,迁移请求到期,组织管理员将必须发送新的迁移请求供您审核。

IAM 政策影响

已为项目定义的 Identity and Access Management 政策将与项目一起迁移。这意味着,在项目迁移之前对项目拥有权限的用户将在项目迁移后保有相同的权限。

由于 IAM 权限是继承和累加的,因此在组织定义的角色在迁移到组织资源时会被项目继承。例如,如果 projectAuthor@myorganization.com 拥有在组织层级定义的项目编辑者角色,那么他们也将对迁移到组织资源中的任何项目拥有此角色。这不会影响现有项目中的任何内容,但继承设置可能会使更多用户获得访问权限。

组织政策也是按层次结构继承的。默认情况下,新创建的组织资源没有组织政策。如果您为组织资源定义组织政策,请确保迁移的项目与组织政策保持一致。