您创建 Cloud Identity 帐号并验证域名后,系统会将您返回到 Google Cloud 控制台。您需要代表贵组织接受《Cloud Identity 协议》,才能继续操作。然后,系统会将您定向到 Identity 页面。
现在,您已获得功能齐全的 Cloud Identity 帐号。不过,您也可以按照下述说明,在控制台中完成一些其他设置步骤。
注意:日后,您可能会想返回到 Google 管理控制台添加更多用户和创建群组。有关说明,请参阅管理用户。
关于您的 Cloud Identity 组织
完成 Cloud Identity 服务的注册和设置步骤后,您就创建了自己的 Cloud Identity 组织。这会将 Cloud Identity 帐号从管理控制台映射到 Google Cloud,并可用于将您的所有项目分组,以便进行结算和管理。举例来说,您可以通过 Cloud Identity 组织设置权限,仅允许 Cloud Identity 用户访问项目。
由于您是第一位访问 Google Cloud 控制台的超级用户,系统会向您分配 Org Owner 角色,让您可以管理最高级别的组织设置和分配最高级别的政策。
迁移项目和结算帐号并设置权限
重要提示:
- 请通过您的非管理员 Google Cloud 帐号完成以下的第 1 - 2 步。此帐号一般是个人 Gmail 帐号。
- 请通过您的 Cloud Identity 管理员帐号完成第 3 - 6 步。
要从以前的帐号中迁移内容,请按以下步骤操作:
按以下步骤从您的 Cloud Identity 组织以外的帐号中,将项目和结算帐号迁移到新的 Cloud Identity 组织。我们建议您在另一个标签页中打开此页面,以便在完成以下步骤时参考。
- 登录其中有您要关联的现有结算帐号的 Google Cloud 帐号。
- 授权您的 Cloud Identity 组织管理员访问此结算帐号。
- 转到左侧的导航菜单,打开结算。
- 转到您要关联的结算帐号。
- 将您的 Cloud Identity 的组织管理员添加为“结算管理员”。
您可以逐个授予项目访问权限,也可以通过批量授权界面来授予权限。按照下述第 1 步可逐个授予权限,而按照第 2 步则可以批量授权。
- 向组织管理员授予项目“Owner”的访问权限。
转到您要迁移的项目的 IAM 和管理页面,将组织管理员的帐号添加为“Owner”。 - 设置批量权限(可选)。
转到 IAM 和管理部分,点击左侧导航菜单中的管理资源或所有项目。在“管理资源”视图中,选择要迁移的所有项目,然后使用“IAM”面板将您的新帐号添加为这些项目的“Owner”。
登录您的 Cloud Identity 帐号,并查看电子邮件。
对于您要迁移的项目,您必须接受系统通过电子邮件向您的新帐号发送的项目邀请。请务必针对您要迁移的每一个项目,点击各电子邮件中的链接。
- 移除对结算帐号的访问权限。
转到您通过旧帐号关联的结算帐号,并移除您公司网域以外的任何用户帐号(包括您的“@gmail.com”帐号)的访问权限。 - 移除对项目的访问权限。
- 转到 IAM 和管理页面,点击管理资源。
- 在“管理资源”页面中,从过滤器控件旁边的下拉列表中选择“无组织”。
- 来自您的旧帐号的项目会显示黄色警告图标。请选择这些项目,并使用“IAM”面板移除您公司网域以外的任何帐号(包括您的“@gmail.com”帐号)的访问权限。
- 转到 IAM 和管理部分,点击管理资源。
- 在“管理资源”页面中,从过滤器控件旁边的下拉列表中点击“无组织”。来自您的旧帐号的项目会显示黄色警告图标。
- 选择来自您的旧帐号的这些项目,然后点击顶部栏中的迁移,或点击各个项目所显示的图标。
迁移完毕后,您的项目会移到贵公司的组织。您必须将无组织下拉列表切换为您公司的组织,然后才能查看项目。
- 转到 IAM 和管理部分,从顶部栏中的下拉列表中选择您的组织。这样一来,您就可以针对组织中的所有项目设置 IAM 权限。
- 在“IAM”页面添加您的管理员用户,并为其分配适当的角色,
如需了解详情,您也可以参阅在 Google Cloud 中配置权限。