组织资源设置向导

通过组织设置向导,您可以轻松建立并委派组织资源的管理工作。此外,您还可以将现有项目和结算账号迁移到您的新组织资源。

如需开始使用组织设置向导,请执行以下操作:

  1. 获取组织资源。如需了解详细说明,请参阅 获取组织资源

  2. 为您的 Cloud de Confiance 组织资源分配组织、结算和网络管理员。如需了解详细说明,请参阅 授予、更改和撤消对资源的访问权限

要开始执行迁移过程,请执行以下操作:

  1. 向项目所有者发送项目和结算迁移请求。

  2. 等待项目所有者确认迁移请求。

  3. 批准项目和结算账号迁移。

本指南介绍了如何使用设置向导迁移项目和结算 账号。 Cloud de Confiance by S3NS 如需详细了解如何使用 Resource Manager,请参阅 迁移项目

通过将项目或结算账号与组织资源关联,可以对组织资源中的所有资源进行集中控制。如需了解详情,请参阅 组织资源的优势

以下部分提供了上述步骤的详细说明。

迁移现有项目和结算账号

为网域创建组织资源后,在组织资源下创建的所有项目都将自动属于该组织资源。您也可以将现有项目迁移到组织资源中。

  • 如果您既是项目的所有者或编辑者,又具有组织的 Project Creator 角色,则可以直接迁移项目

  • 如果您是 Organization Administrator,您可以请求项目所有者为您提供项目的控制权,以便将项目迁移到组织资源中。

项目迁移操作不可撤消。当项目与某个组织资源建立关联后,您便无法将项目更改回无组织 状态,也不能自行将项目迁移到其他组织资源。在项目与组织资源建立关联后,如果您需要移动项目,您将需要联系 Cloud de Confiance 高级支持服务

将项目迁移到组织资源后,具有 Organization Administrator 角色的用户会获得项目的管理控制权,并且项目会继承组织政策以及 Identity and Access Management (IAM) 允许和拒绝政策。请参阅政策影响以了解详情。

当您将现有项目移动到组织资源后,这些项目会继续按迁移前的方式进行结算,即使项目的结算账号尚未迁移也是如此。同样,如果您将结算账号移动到组织资源中,那么与该账号关联的所有项目都将继续运行,即使这些项目仍在组织资源以外也是如此。您可以随时将新导入的项目链接到组织资源中的新结算账号或现有结算账号,不影响项目功能。

超级用户的组织资源设置

创建组织资源

您必须拥有组织资源,才能委派 Cloud de Confiance 管理员以及迁移项目和结算账号。要获取组织资源,请注册 Google Workspace 或 Cloud Identity、验证您的网域,然后使用该账号创建项目。一旦创建了项目,系统就会自动预配组织资源。 如需详细了解如何获取组织资源,请参阅 获取组织资源

委派 Cloud de Confiance 管理员

如需委派 Cloud de Confiance 管理员,请执行以下操作:

  1. 在“欢迎使用 [ORGANIZATION_NAME]”电子邮件中,点击 前往我的控制台,或前往控制台中的 组织设置 页面。 Cloud de ConfianceCloud de Confiance

  2. 组织设置 页面中,点击委托设置

  3. 在出现的委派组织管理员角色页面中,输入要作为组织管理员添加的个人或群组的电子邮件地址。

  4. 添加完组织管理员后,点击 委派

您输入的电子邮件地址将收到一封电子邮件通知,告知他们现已是 组织管理员组织资源的 Cloud de Confiance 。

如果您日后需要添加更多管理员,请点击设置权限,位置在 身份和组织页面上。

管理员的迁移 Cloud de Confiance

当 Google Workspace 或 Cloud Identity 账号用户通过组织资源设置过程向您委派 Organization Administrator 角色时,您会收到电子邮件通知。在组织资源设置期间,您将能够向其他组织、结算和网络管理员分配权限。您指定为管理员的个人将不会收到电子邮件。

您需要项目创建者角色来请求项目和结算账号迁移。默认情况下,系统会为您网域中的所有用户授予此角色。如需详细了解如何更改此默认行为并向用户授予该角色,请参阅 管理默认组织角色

迁移项目和结算账号

要从其他用户账号迁移项目或结算账号,您需先请求所有者批准迁移。随后,所有者会收到通知,进而审核您的请求并批准迁移项目或结算账号。 项目所有者可以忽略您的请求;如果发生这种情况,您的请求将在 30 天后过期。如果原始请求过期或者仍处于待处理状态,您可以再次请求迁移。 在所有者批准迁移项目或结算账号后,您会收到通知,并且可以选择要迁移的对象。

请求项目或结算账号迁移

  1. 前往 Cloud de Confiance 控制台 “身份和组织” 页面。

    组织设置向导界面

  2. 项目或结算账号的请求对象 (Request projects or billing accounts from) 框中,添加您要向其请求项目的结算账号或项目所有者的电子邮件地址,然后点击请求

    请求项目界面

结算账号或项目所有者将收到一封包含您的迁移请求的电子邮件。在他们批准迁移后,您将收到一封电子邮件,其中包含完成迁移的链接。

等待批准迁移请求

当您请求项目或结算账号迁移时,项目或结算账号所有者会收到一封包含您的请求的电子邮件。他们将能够选择项目以进行迁移设置。您的请求在 30 天内有效。30 天后,请求即会过期。对于任何尚未完成的项目或结算账号,您将需要发送新的迁移请求。

当项目或结算账号所有者确认迁移请求后,您会 收到一封电子邮件,并且会在您的 Cloud de Confiance 控制台上看到通知。 要批准迁移,请继续下一步操作。

批准项目和结算账号迁移

在所有者批准迁移请求后,您会收到来自 平台通知的电子邮件,其中说明项目所有者已对您的迁移 请求做出响应。此外,您的 Cloud de Confiance 控制台也会显示一条通知。

在项目将迁往的目标组织资源中,您需要拥有 Project CreatorBilling Account CreatorOrganization Administrator 角色。要完成迁移,请执行以下操作:

  1. 点击电子邮件中的迁移 ,或前往 迁移项目 页面中的 Cloud de Confiance 控制台。

    “迁移项目”页面

  2. 选择项目选择结算账号标签页上,选择要迁移的一组任意项目和结算账号,然后点击下一步

  3. 审核和批准标签显示选中要迁移的所有项目和结算账号的列表。

  4. 要完成迁移,请点击批准

您选中要迁移的项目或结算账号现已与您的组织资源关联。您未迁移的任何项目或结算账号将保留在无组织 列表中。您仍然会拥有这些项目的 Project Mover IAM 角色,以及这些结算账号的 Billing Administrator 管理员角色。您可以重新访问 Cloud de Confiance 控制台 “迁移项目” 页面,以批准这些项目和结算账号的迁移。

当您完成项目迁移后,项目会继续按迁移前的方式计费,即使项目的结算账号尚未迁移也是如此。同样,当您完成结算账号的迁移后,与该账号关联的所有项目都将继续运行,即使这些项目仍在组织资源以外也是如此。

审核迁移请求

当组织管理员请求您将项目或结算账号迁移到他们的组织资源时,您将收到“迁移请求”电子邮件。在您批准迁移后,Organization Administrator 会获得以下角色:

  • 项目:role/project.mover

    • Project Mover 角色可让用户导入项目并更改对这些项目的 IAM 权限。

  • 结算账号:roles/billing.admin

    • Billing Administrator 角色可让用户导入结算账号并更改对这些项目的 IAM 权限。

Organization Administrator 批准迁移后,他们可以更改项目的 IAM 角色,而项目会继承现有的组织政策。请参阅 政策影响以了解详情。

要审核请求,请按以下步骤操作:

  1. 点击电子邮件中的审核请求 ,以打开审核迁移请求 页面。

  2. 选择项目选择结算账号 标签页上,选择要迁移到组织资源的一组任意项目和结算账号,然后点击下一步 。项目列表最多需要五分钟完成填充。

  3. 确认标签显示有关迁移的以下详细信息:

    1. 为其授予项目移动者和结算管理员角色的组织管理员的电子邮件地址。

    2. 您选中要迁移的所有项目和结算账号的确认列表。

  4. 要完成迁移,请输入发出迁移请求的实体的电子邮件地址,然后点击确认

现在,Organization Administrator 可以将您选中要迁移的项目或结算账号迁移到他们的组织资源中。

如果您想要停止项目或结算账号的迁移过程,则必须在 Organization Administrator 将其导入组织资源之前停止。要停止迁移,请转到项目的 Cloud de Confiance 控制台 IAM页面,然后移除 Organization Administrator 的 Project Mover 或 Billing Administrator 角色。

您未选择迁移的任何项目或结算账号将保留无组织 状态。您可以在 30 天内点击“迁移请求”电子邮件中的链接来批准迁移。30 天后,迁移请求到期,Organization Administrator 将必须发送新的迁移请求供您审核。

政策影响

已为项目定义的 IAM 允许和拒绝政策将与项目一起迁移。这意味着,在项目迁移之前对项目拥有角色的主账号将在项目迁移后保有相同的角色。使用拒绝政策被拒绝权限的主账号将在迁移后被拒绝相同的权限。

由于 IAM 角色支持继承和附加,因此如果在组织层级定义了相关角色,那么在项目迁移到组织资源后,项目会继承这些角色。例如,如果 projectAuthor@myorganization.com 拥有在组织层级定义的项目编辑者角色,那么他们也将对迁移到该组织资源中的任何项目拥有此角色。这不会破坏现有项目中的任何内容,但由于继承,可能会有更多用户获得访问权限。

组织政策也是按层次结构继承的。默认情况下,新创建的组织资源没有组织政策。如果您为组织资源定义组织政策,请确保您迁移的项目与组织政策一致。