本指南介绍了如何在 Google Cloud中获取和管理独立组织。
组织资源是 Google Cloud资源层次结构的根节点。在大多数情况下,创建组织需要您是 Cloud Identity 超级用户,并将 Google Cloud组织与 DNS 网域相关联。
对于独立组织,您不需要 Cloud Identity。当您注册 Google Cloud 并提供 Google 电子邮件地址后,系统会自动为您创建独立组织。作为账号所有者,您还会获得组织所有者角色。然后,您可以使用组织详细信息页面来管理其他用户的“所有者”访问权限。
独立组织具有以下优势:
- 能够添加具有联合身份的用户作为组织所有者。
- 能够支持多个组织测试不同的功能。
- 能够支持多个组织所有者,以避免因员工离职而出现单点故障。
下表概述了 Cloud Identity 组织与独立组织之间的差异。
| 能力 | Cloud Identity 组织 | 独立组织 |
|---|---|---|
| 基本 | ||
| 需要 Cloud Identity | 是 | 否 |
| 注册 | ||
| 注册所需身份信息 | 2 | 1 |
| 需要进行网域/DNS 验证 | 是 | 否 |
| 所有权 | ||
| 不可撤消的超级用户所有权 | 是 | 否 |
| 以组织所有者的身份使用 Cloud Identity | 是 | 是 |
| 以组织所有者的身份使用联合身份 | 不可行 | 是 |
| Google 账号作为组织所有者 | 不可行 | 是 |
| 生命周期 | ||
| 更改组织所有者 | 不可行 | 是 |
| 删除组织 | 未隔离 | 是 |
| 恢复已删除的组织 | 不可行 | 是 |
| 更改显示名称 | 不可行 | 是 |
| 治理 | ||
| 定义主账号访问权限边界 (PAB) 政策以限制用户 | 是 | 是 |
准备工作
在开始之前,请查看以下内容:
- 了解组织资源。
- 了解如何确定 Google Cloud 着陆区的资源层次结构。
确定您的组织
独立组织通过组织名称和组织 ID 来标识。
组织名称
默认组织名称是通过将用户名与 -org 相结合来创建的。
用户名中的所有特殊字符都会替换为短划线。例如,如果用户名为 lara_brown,则组织名称将为 lara-brown-org。任何 Google API 都不会使用此名称。您可以在组织创建后的任何时间修改组织名称。
确保名称符合以下条件:
- 只能包含字母、数字或连字符。
- 不使用域名。域名仅预留给 Cloud Identity 和 Google Workspace 组织使用。
- 不得包含“Google Cloud”等常用字词。
组织 ID
组织 ID 是组织的全局唯一标识符。Google Cloud 控制台会生成此编号,以便在 Google Cloud中将您的组织与其他所有组织区分开来。组织 ID 采用整数格式,不能以零开头。
请勿在组织名称或其他资源名称中包含敏感信息,例如个人身份信息 (PII) 或安全数据。组织 ID 用于许多其他 Google Cloud 资源的名称中。对组织或相关资源的任何引用都会公开组织 ID 和资源名称。
获取独立组织资源
所有新 Google Cloud 客户都可以使用独立组织。 创建 Google Cloud 账号后,系统会自动创建组织资源。当您登录 Google Cloud 控制台并接受相应条款时,系统会执行此操作。独立组织不适用于现有Google Cloud 账号。
每个用户账号只能创建一个组织。不过,您可以邀请单个用户拥有和管理多个组织。
创建组织资源后,系统会向账号所有者分配以下角色:
roles/cloudowner.admin(组织所有者)roles/resourcemanager.organizationAdmin(Organization Administrator)
如需了解如何为组织添加更多所有者和管理员,请参阅设置独立组织。
获取组织 ID
如需获取独立组织的组织 ID,您可以使用 Google Cloud 控制台、Google Cloud CLI 或 Resource Manager API。
控制台
在 Google Cloud 控制台中,前往我的组织页面。
该表格会列出您的组织及其组织 ID。
gcloud
如需查找组织资源 ID,请运行以下命令:
gcloud organizations list
此命令会列出您所属的所有组织资源,以及它们对应的组织资源 ID。
API
如需使用 Cloud Resource Manager API 查找组织资源 ID,请使用 organizations.search() 方法,并添加针对您的网域的查询。例如:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
响应包含属于 altostrat.com 的组织资源的元数据,其中包括组织资源 ID。
设置独立组织
创建 Google Cloud 账号时,系统会自动为您生成一个独立的组织资源。在本部分中,您将了解初始设置、基本角色,以及如何在组织内管理这些权限。
账号创建者是第一个有权访问组织资源的用户。组织中的其他用户可以查看资源,但只有在设置了适当的权限后才能修改资源。
组织所有者和 Organization Administrator 是设置和控制组织资源生命周期的关键角色。这两个角色通常会分配给不同的用户或群组,具体取决于贵组织的结构和需求。
组织所有者的职责
组织所有者角色允许您执行以下操作:
- 向其他用户分配 Organization Administrator 角色。
- 担任恢复问题的联系人。
- 如删除、恢复和重命名独立组织中所述,控制独立组织资源的生命周期。
组织所有者可以是个人,也可以是员工池中的主账号。每个独立组织都必须始终至少有一个有效的 Google 账号作为组织所有者。服务账号无法受邀成为组织所有者。
Organization Administrator 职责
组织管理员角色允许您执行以下操作:
- 定义允许政策和拒绝政策。
- 向 Google Cloud中的其他用户授予 Identity and Access Management 角色。
- 查看资源层次结构。
该角色遵循最小权限原则,可防止您执行其他操作,例如创建文件夹或项目。如需获得这些权限,Organization Administrator 必须为您的账号分配其他角色。
向个人授予“组织所有者”角色
- 以组织所有者的身份登录 Google Cloud 控制台。
在 Google Cloud 控制台中,前往组织详细信息页面。
在组织所有者下方,点击添加组织所有者。
输入您要添加为所有者的主账号的电子邮件地址。系统会向相应主账号发送一封电子邮件,邀请其成为组织的所有者。校长必须在 30 天内接受邀请,才能成为组织所有者。
向员工身份池中的用户授予组织所有者角色
此步骤假设您已为组织配置员工身份联合。此外,请确保您的账号已配置重要联系人。
- 以组织所有者的身份登录 Google Cloud 控制台。
在 Google Cloud 控制台中,前往组织详细信息页面。
在组织所有者下方,点击添加组织所有者。
以
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE格式输入用户的主账号标识符。点击下一步。
输入要向其发送所有者邀请链接的电子邮件地址。 Google Cloud 会向用户发送电子邮件,邀请对方成为组织的所有者。如需成为组织所有者,用户必须在 30 天内接受邀请。用户接受邀请后,系统会自动向其授予组织管理员角色。
移除组织所有者
如需移除具有“组织所有者”角色的用户,请按以下步骤操作:
- 以组织所有者的身份登录 Google Cloud 控制台。
在 Google Cloud 控制台中,前往组织详细信息页面。
在组织所有者下,选择要移除的主账号。
在表格的最后一列中,点击相应主账号旁边的操作下的更多操作。
在随即显示的对话框中,点击移除。
移除组织管理员
如需移除具有 Organization Administrator 角色的用户,请按以下步骤操作:
在 Google Cloud 控制台中,前往 IAM 页面。
在 IAM 允许下,前往按主账号查看。
找到包含已被授予角色的主账号的行,然后点击该行中的修改主账号 。
在修改权限窗格中,点击“Organization Administrator”角色旁边的“删除”图标。
点击保存。