GCP上如何建立Organization ？ 透過Cloud Identity Free 幫你實現 

透過Cloud Identity Free 在 GCP上建立Organization

為什麼使用 GCP 需要建立Organization？

很多 GCP 個人用戶 會遇到一個問題是：最早在創建GCP的Project時，使用的是個人的Gmail帳號，以致於GCP的Project會建立在No Organization的結構下，如圖一。這類的Project在使用到需要使用Organization level 的資源時，會需要有Organization才有辦法使用，例如像Shared VPC這樣的功能。

這篇文章主要是針對 No Organization 的 Project 做說明

No Organization的用戶可以透過GCP的選單註冊Cloud Identity後，建立一個Organization，最後並將這個No Organization的Project移轉至新建立的Organization底下。

首先進入到GCP Console後，點擊IAM & Admin > Identity & Organization。會看到Cloud Identity 的區塊，點Sign up，如圖二。

點擊之後會開始進入Cloud Identity的註冊頁面，如圖三。接下來會需要輸入一些公司的基本資訊及目前的email，請依照各自的狀況依序填寫，填寫完畢後按Next。

圖三、Cloud Identity註冊畫面

接著會詢問我們需要使用的Domain是什麼，填入欲申請Cloud Identity的Domain (例如example.com.tw)。這篇文章使用的Domain是用 wildlions.site 作為範例，如圖四。

圖四、輸入Domain

接下來會詢問是否要使用這個Domain去建立Cloud Identity，按Next如圖五。

圖五、確認Domain

接下來會需要設定在Cloud Identity上的第一位Account Admin，輸入完成後按Next。

圖六、Account admin for Cloud Identity

完成之後會進入到驗證Domain的階段，這邊的主要目的是確保註冊的Domain確實為您所使用，所以會需要在我們的DNS上加入一段特定的TXT紀錄，以供Google去驗證，如圖七及圖八。

圖七、驗證網域擁有權

圖八、在您的網域中新增TXT紀錄

由於每個Domain的DNS設定頁面皆有點不同，不過大致上是大同小異，主要就是進到該Domain Provider的DNS Records設定，將上述中的TXT紀錄加入至DNS之中。這篇文章使用的是GoDaddy，設定方式如圖九。

圖九、DNS Records 設定

圖十、驗證網域之TXT紀錄是否正確，以確保該Domain為我們所持有。

完成之後回到Cloud Identity的驗證頁面，按下驗證網域，如圖十。

若成功，則會出現“驗證網域已完成”如圖十一。接著便可以在Cloud Identity中新增使用者。我們可以在這個階段就建立Cloud Identity的使用者，也可以之後透過Cloud Identity的後台新增。GCP的Cloud Identity 目前有兩種版本，分別為Cloud Identity Free及Cloud Identity Premium (訂閱收費制 USD$ 6/month)。這篇文章介紹的是Cloud Identity Free的教學，最多支援50個Cloud Identity使用者，若超過的話，則須考慮升級至Cloud Identity Premium版本。

圖十一、驗證網域已完成

Cloud Identity註冊完成後，會出現這樣的畫面，如圖十二。可以點選前往Cloud Console按鈕，會回到GCP Console頁面。

圖十二、Cloud Identity設定已完成

這邊可以看到一個新的Organization已經被建立起來，如圖十三及圖十四。

圖十三、Organization is being created

圖十四、新的Organization已經可以看見

看起來差不多完成了，但等等

這時候還沒完成！

由於剛剛的No Organization的Project尚未被加入至新建立的Organization底下，我們需要把還不屬於任何Organization的Project，遷移(Migrate)加入至新的Organization。但由於Migrate 需要Project Owner or Editor，以及加上在Organization Level的Project Creator。

所以我們需要將自己的個人email，在Organization level中加入Project Creator的角色。

這時候會需要利用剛剛建立好的Account admin重新登入GCP Console。在選擇Project的下拉式選單，先切換到Organization Level，再進入到IAM，將自己個人的gmail帳號加入成為Project Creator的角色，如此一來這個帳號便可以將Project遷移至此Organization。

圖十五、將個人gmail帳號，透過account admin加入成為Org Level Project creator

＊或是，我們也可以將Account admin的帳號，於Project level中加入成為Project Owner or Editor，同樣地Organization Level 中也需要加入Project Creator。這邊需注意的是假設我們用自己的個人gmail邀請account admin變成Project Owner時，GCP系統會發送一封Invitation email至 account admin的email address，如果是新的domain 可能還沒設定好ＭＸ，可能會有收不到邀請信的狀況，這樣的話會建議使用前述方式會較為方便。

加好之後，透過個人Gmail登入GCP Console，點擊IAM &Admin > Settings，點擊Migrate。選擇剛剛建立好的Organization，開始Migrate，理論上會立即完成Migrate作業。

圖十六、IAM & Admin > Settings : [MIGRATE]

圖十七、選擇欲Migrate之Organization

最後確認一下是否Migrate至正確的Org底下，如圖十八，完成！

圖十八、Migrate至Organization底下的結果

Cloud Identity 為GCP上沒有使用G Suite的GCP用戶提供了一個類似 G Suite後台 (Google Admin) 的管理畫面，用戶可以利用Cloud Identity達到GCP Organization的建立，並可透過GCP的選單 (圖十九) 進入Cloud Identity的後台Google Admin管理介面（圖二十）。

圖十九、進入Cloud Identity 後台Google Admin點擊位置

（需要有Cloud Identity的Account Admin進行登入）

圖二十、Cloud Identity 後台畫面 (Google Admin)

這篇文章主要是針對有Project的No Organization用戶，說明如何透過GCP 上的Cloud Identity（Free）將公司或企業Domain申請Organization，進而將Project遷移至新產生的Organization底下，如此一來當需要使用Organization 層級才有的功能時，便可以切換至Organization進行管理。

有任何問題，都歡迎留言給我們喔！