本指南提供相關資訊,說明如何在 Google Cloud中取得及管理獨立機構。
機構資源是資源階層的根節點。 Google Cloud 在大多數情況下,您必須是 Cloud Identity 超級管理員,並將機構連結至 DNS 網域,才能建立機構。 Google Cloud
使用獨立機構時,您不需要 Cloud Identity。註冊 Google Cloud 並提供 Google 電子郵件地址後,系統會自動為您建立獨立機構。身為帳戶擁有者,您也會取得機構擁有者角色。然後,您可以使用「機構詳細資料」頁面,管理其他使用者的擁有權存取權。
獨立機構具有下列優點:
- 可將具有同盟身分的使用者新增為機構擁有者。
- 支援多個機構測試不同功能。
- 支援多位機構擁有者,避免員工離職時發生單點故障。
下表列出 Cloud Identity 機構和獨立機構之間的差異。
| 功能 | Cloud Identity 機構 | 獨立機構 |
|---|---|---|
| Fundamental | ||
| 須使用 Cloud Identity | 是 | 否 |
| 註冊 | ||
| 註冊時需要的身分 | 2 | 1 |
| 必須驗證網域/DNS | 是 | 否 |
| 擁有權 | ||
| 無法撤銷的超級管理員擁有權 | 是 | 否 |
| Cloud Identity 做為機構擁有者 | 是 | 是 |
| 以聯合身分識別做為機構擁有者 | 不可行 | 是 |
| 以 Google 帳戶做為機構擁有者 | 不可行 | 是 |
| 生命週期 | ||
| 變更機構擁有者 | 不可行 | 是 |
| 刪除機構 | 非政策排除 | 是 |
| 還原已刪除的機構 | 不可行 | 是 |
| 變更顯示名稱 | 不可行 | 是 |
| 管理 | ||
| 定義主體存取邊界 (PAB) 政策,限制使用者存取權 | 是 | 是 |
事前準備
開始之前,請先詳閱下列事項:
- 瞭解機構資源。
- 瞭解如何為登陸區決定資源階層結構 Google Cloud 。
找出貴機構
獨立機構會以機構名稱和機構 ID 識別。
機構名稱
預設機構名稱是由使用者名稱和 -org 組合而成。
使用者名稱中的所有特殊字元都會替換成破折號。舉例來說,如果使用者名稱是 lara_brown,機構名稱就會是 lara-brown-org。這個名稱未用於任何 Google API。建立機構後,隨時可以編輯機構名稱。
確認名稱符合下列條件:
- 只能包含英文字母、數字或連字號。
- 請勿使用網域名稱。網域名稱僅保留給 Cloud Identity 和 Google Workspace 機構。
- 不得包含「Google Cloud」等常見字詞。
機構 ID
機構 ID 是機構的全域專屬 ID。Google Cloud 控制台會產生這個號碼,用來區分貴機構與 Google Cloud中的所有其他機構。機構 ID 的格式為整數,開頭不得為零。
請勿在機構名稱或其他資源名稱中加入敏感資訊,例如個人識別資訊 (PII) 或安全性資料。許多其他 Google Cloud 資源的名稱都會使用機構 ID。凡是提及機構或相關資源,都會公開機構 ID 和資源名稱。
取得獨立機構資源
所有新 Google Cloud 客戶都能使用獨立機構。建立 Google Cloud 帳戶後,系統會自動建立機構資源。當您登入 Google Cloud 控制台並接受條款時,就會發生這種情況。現有Google Cloud 帳戶無法使用獨立機構。
每個使用者帳戶只能建立一個機構。不過,您可以邀請單一使用者擁有及管理多個機構。
建立機構資源時,系統會將下列角色指派給帳戶擁有者:
roles/cloudowner.admin(機構擁有者)roles/resourcemanager.organizationAdmin(機構管理員)
如要瞭解如何為機構新增更多擁有者和管理員,請參閱「設定獨立機構」。
取得機構 ID
如要取得獨立機構的機構 ID,可以使用 Google Cloud 控制台、Google Cloud CLI 或 Resource Manager API。
主控台
前往 Google Cloud 控制台的「My organizations」(我的機構) 頁面。
表格會列出您的機構和機構 ID。
gcloud
如要找出機構資源 ID,請執行下列指令:
gcloud organizations list
這個指令會列出您所屬的所有機構資源,以及對應的機構資源 ID。
API
如要使用 Cloud Resource Manager API 尋找機構資源 ID,請使用 organizations.search() 方法,包括查詢網域。例如:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
回應中會有屬於 altostrat.com 的機構資源中繼資料,包括機構資源 ID。
設定獨立機構
建立 Google Cloud 帳戶時,系統會自動提供獨立的機構資源。本節將說明初始設定、必要角色,以及如何在機構內管理這些權限。
帳戶建立者是第一個有權存取機構資源的使用者。機構中的其他使用者可以查看資源,但只有在設定適當權限後才能修改。
機構擁有者和機構管理員是設定及控管機構資源生命週期的重要角色。這兩個角色通常指派給不同的使用者或群組,但這取決於機構結構和需求。
機構擁有者的責任
機構擁有者角色可讓您執行下列動作:
- 將機構管理員角色指派給其他使用者。
- 發生復原問題時的聯絡人。
- 如「刪除、還原及重新命名獨立機構」一文所述,控管獨立機構資源的生命週期。
機構擁有者可以是個人,也可以是工作團隊集區中的主體。每個獨立機構都必須至少有一個有效的 Google 帳戶做為機構擁有者。服務帳戶無法受邀成為機構擁有者。
機構管理員的責任
機構管理員角色可讓您執行下列動作:
- 定義允許和拒絕政策。
- 在 Google Cloud中將 Identity and Access Management 角色授予其他使用者。
- 查看資源階層。
為遵循最低權限的原則,此角色不允許您執行其他動作,例如建立資料夾或專案。如要取得這些權限,必須由機構管理員將其他角色指派給帳戶。
將機構擁有者角色授予個人
- 以機構擁有者身分登入 Google Cloud 控制台。
前往 Google Cloud 控制台的「Organization details」(機構詳細資料) 頁面。
在「機構擁有者」下方,按一下「新增機構擁有者」。
輸入要新增為擁有者的主體電子郵件地址。系統會傳送電子郵件給主體,邀請對方成為機構擁有者。校長必須在 30 天內接受邀請,才能成為機構擁有者。
授予工作團隊身分集區中的使用者機構擁有者角色
這個步驟假設您已為貴機構設定員工身分聯盟。此外,請確認帳戶已設定重要聯絡人。
- 以機構擁有者身分登入 Google Cloud 控制台。
前往 Google Cloud 控制台的「Organization details」(機構詳細資料) 頁面。
在「機構擁有者」下方,按一下「新增機構擁有者」。
以
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE格式輸入使用者的主體 ID。點選「下一步」。
輸入要傳送擁有者邀請連結的電子郵件地址。 Google Cloud 傳送電子郵件給使用者,邀請對方成為機構的擁有者。使用者必須在 30 天內接受邀請,才能成為機構擁有者。使用者接受邀請後,系統會自動授予「機構管理員」角色。
移除機構擁有者
如要移除機構擁有者角色的使用者,請按照下列步驟操作:
- 以機構擁有者身分登入 Google Cloud 控制台。
前往 Google Cloud 控制台的「Organization details」(機構詳細資料) 頁面。
在「機構擁有者」下方,選取要移除的主體。
在表格的最後一欄中,按一下負責人旁邊的「更多動作」下方的「更多動作」。
在隨即顯示的對話方塊中,按一下「移除」。
移除機構管理員
如要移除具有機構管理員角色的使用者,請按照下列步驟操作:
前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。
在「IAM Allow」(IAM 允許) 下方,前往「View by principals」(依主體檢視)。
找出您授予角色的主體,然後點選位於同一列中的「Edit principal」(編輯主體) 。
在「編輯權限」窗格中,按一下「機構管理員」角色旁的刪除圖示。
按一下 [儲存]。