Наша организация является давним пользователем AWS.В AWS мы создаем учетную запись с доступом Root, затем добавляем в нее пользователей через IAM, назначая имя пользователя и предоставляя существующий адрес электронной почты.Каждому пользователю назначается роль (и) для всей учетной записи.С помощью этой модели мы можем легко добавлять / удалять отдельных сотрудников и подрядчиков, используя электронную почту существующего человека - либо в нашем почтовом домене, либо в другом месте.Теперь нам нужно развернуть приложение, написанное для Google Cloud Platform GAE: мы настроили пробную учетную запись Google Cloud Platform для учетной записи пользователя Google нашего системного администратора.Как мы можем добавить пользователей всей учетной записи в эту учетную запись Google Cloud Platform в соответствии со смешанным сценарием использования сотрудника и подрядчика, описанным выше?
Мы можем добавить любого пользователя Google в проект GAE и, возможно, другие конкретные ресурсы - но не для всего аккаунта.В учетной записи, которую мы «обновили» до версии по умолчанию, предложенной в бесплатной пробной версии, есть возможность настроить организацию.Это похоже на способ настройки доступа пользователей по всей учетной записи, но запутанная часть заключается в том, что необходимо зарегистрироваться для Cloud Identity, предоставляя домен организации, который нам нужно будет показать как владелец через CNAME или html, а не просто TXT.?Домен и система электронной почты нашей основной организации работают на AWS, и мы не хотим играть с его маршрутизацией или сервером.Кроме того, в руководстве говорится, что все пользователи в этом домене получат доступ по умолчанию к учетной записи GCP - это не имеет смысла, поскольку только пользователи Google могут подключаться к GCP.Так что довольно запутанно.
Такое ощущение, что нам нужно настроить какую-то "новую" организацию для GCP, вероятно, на основе одного из свободных, неиспользуемых доменов, которые у нас есть, где мы можем начать добавлять пользователей Google - это лучший вариант?Помните, что у нас уже есть несколько учетных записей, настроенных для Документов Google и для Консоли поиска - в настоящее время они кажутся совершенно отдельными от концепции идентификации GCP.
ОБНОВЛЕНИЕ - С ОТВЕТОМ
Google Cloud Identity Organization - это организация, которая должна быть настроена для управления несколькими пользователями ваших ресурсов GCP внутренними ИТ-специалистами и консультантами (если вы не используете G Suite - Google Mail и т. Д., А затем прочитайте о том, как связать это с GCP).,Настройка Организации, вероятно, должна стать первым шагом в создании вашей первой учетной записи GCP, а НЕ опцией бесплатной учетной записи по умолчанию, которая появляется.Существует путь перехода от бесплатной учетной записи к учетной записи, управляемой через организацию, но ее можно избежать, если при входе в GCP организация была настроена как шаг-1.
Каждый пользователь в организации будетиметь имя пользователя с суффиксом «домен», выбранный вами для организации, и комбинация «имя пользователя» @ «домен» должна быть действительным адресом электронной почты, подлежащим доставке.Таким образом, домен должен быть вашим существующим почтовым доменом, к которому вы можете добавить запись DNS TXT для проверки прав собственности, или любым доменом, который вы можете настроить в качестве псевдонима, входящего в вашу существующую систему электронной почты.Существующий домен может вызывать совпадение идентификаторов пользователей в Google, если ваши пользователи уже настроили идентификаторы Google для своих электронных писем в домене.Скорее всего, им придется удалить эти идентификаторы, как только они будут установлены в организации.
Ознакомьтесь с рекомендациями по назначению и защите учетных записей Создателя / Администратора для Организации (перед тем как перейти к созданию учетной записи GCP и Организации).В организации вы создаете пользователей и назначаете роли доступа для всей GCP, а не для всего проекта, доступного без организации.Другими словами, организация необходима, чтобы позволить нескольким пользователям создавать проекты.Консультанты, имеющие доступ к отдельным проектам, не должны быть настроены в организации - их можно добавлять в отдельные проекты с помощью существующих идентификаторов Google и предоставлять им соответствующие права (если вас не очень беспокоит то, как они защищают / делятсяих удостоверения личности вне помолвки).При масштабировании можно создавать и управлять конкретными ролями всей организации - конечно.