บัญชี Google Cloud: จะเปลี่ยนบัญชี Google Cloud GCP เป็นกล่องจดหมายที่ผูกไว้ได้อย่างไร?
ในการดำเนินการประจำวันและการบำรุงรักษา Google Cloud Platform (GCP) และการจัดการสถาปัตยกรรมองค์กร "กล่องจดหมายที่เชื่อมโยงกัน" ไม่ใช่การดำเนินการ "แก้ไขข้อมูลส่วนบุคคล" ง่ายๆทีมงานจำนวนมากนักพัฒนาอิสระหรือบริษัทอีคอมเมิร์ซข้ามพรมแดนที่เดินทางไปต่างประเทศจากจีนมักเผชิญกับภาวะที่กลืนไม่เข้าคายไม่ออกนี้เนื่องจากการลงทะเบียนที่ผิดปกติในช่วงต้น:
"ในช่วงแรกๆ GCP ได้รับการลงทะเบียนกับ Gmail ส่วนตัวของอดีตพนักงานตอนนี้มีคนลาออกแล้วจะคืนความเป็นเจ้าของโครงการได้อย่างไร"
บัญชี Google Cloud
"ทิศทางธุรกิจของบริษัทเปลี่ยนไปและจำเป็นต้องย้ายโครงการ GCP จากกล่องจดหมายธุรกิจเก่าไปยังชื่อโดเมนกล่องจดหมายขององค์กรใหม่"
"ฉันพบการเปิดและการชำระเงินภายนอกและตอนนี้ฉันต้องการแยกบัญชีของฉันออกทั้งหมดและแทนที่ด้วยกล่องจดหมายที่ฉันควบคุมได้100%"
ในตรรกะพื้นฐานของ Google Cloud
ไม่มีปุ่มที่เรียกว่า "คลิกเดียวเพื่อผูกกล่องจดหมายหลัก"
。 Google Cloud ดำเนินการโดยใช้ระบบการอนุญาต IAM (Identity and Access Control) โดยมี "Project" และ "Organization" เป็นแกนหลัก
บทความนี้ไม่ได้พูดถึงเรื่องไร้สาระโดยตรงจากสี่มิติของตรรกะพื้นฐานขั้นตอนการปฏิบัติการควบคุมความเสี่ยงและการหลีกเลี่ยงหลุมและการส่งมอบสินทรัพย์การปฏิบัติตามข้อกำหนดขององค์กรจะสอนวิธีดำเนินการ "การแลกเปลี่ยนกล่องจดหมาย" ของบัญชี GCP Google Cloud อย่างปลอดภัยและทั่วถึง
1.ตรรกะพื้นฐาน: อะไรคือสาระสำคัญของ "การแลกเปลี่ยน" ของ Google Cloud?
ก่อนที่จะคลิกปุ่มใดๆคุณต้องชี้แจงโครงสร้างสินทรัพย์ของ Google Cloud ก่อนมิฉะนั้นการทำงานของคนตาบอดจะนำไปสู่การ "ล็อกตัวเอง" หรือกระตุ้นการควบคุมความเสี่ยงของระบบได้อย่างง่ายดาย
บทบาทของบัญชี Google (Gmail หรือกล่องจดหมาย Google Workspace) ใน GCP เป็นเพียง "Identity" เปรียบเสมือนกุญแจและการกำหนดค่าเซิร์ฟเวอร์ฐานข้อมูลและเครือข่ายของคุณเป็นของ "โครงการ"
ดังนั้น,
สิ่งที่เรียกว่า "กล่องจดหมายทดแทน" ภาษาทางเทคนิคมาตรฐานใน GCP เรียกว่า: Transfer Project Ownership และ Change Billing Permissions
บัญชี Google Cloud
กระบวนการทั้งหมดแบ่งออกเป็นสามขั้นตอน:
เชิญกล่องจดหมายใหม่: ให้กล่องจดหมายใหม่เป็นเจ้าของร่วมของโครงการ
การถ่ายโอนอำนาจ: ตรวจสอบให้แน่ใจว่ากล่องจดหมายใหม่มีอำนาจสูงสุดสำหรับรายการและตั๋วเงิน
กำจัดกล่องจดหมายเก่า: ลบสิทธิ์ของกล่องจดหมายเก่าอย่างปลอดภัยและทำการลอกให้เสร็จสิ้น
2.คู่มือปฏิบัติ: จับมือคุณเปลี่ยนได้อย่างปลอดภัย
เพื่อให้แน่ใจว่าไม่มีอะไรผิดพลาดโปรดเตรียมกล่องจดหมายสองกล่อง:
กล่องจดหมายเก่า (เจ้าของโครงการปัจจุบัน) และกล่องจดหมายใหม่ (กล่องจดหมายเป้าหมายพร้อมที่จะใช้โครงการ)
。ขอแนะนำให้เตรียมเบราว์เซอร์ที่แตกต่างกันสองตัว (หรือโหมดปกติหรือโหมดไม่ระบุตัวตน) บนคอมพิวเตอร์และล็อกอินเข้าสู่กล่องจดหมายทั้งสองนี้แยกกันเพื่ออำนวยความสะดวกในการดำเนินการสลับกัน
ขั้นตอนที่1: การส่งมอบความเป็นเจ้าของโครงการ (Project Owner)
เข้าสู่ระบบอีเมลเก่า:
เปิดและลงชื่อเข้าใช้ Google Cloud Console 。
เลือกรายการ: ในเมนูแบบเลื่อนลงของแถบนำทางด้านบนให้เลือกรายการ GCP ที่คุณกำลังจะเปลี่ยน
ไปที่หน้า IAM: คลิกที่เมนูการนำทาง (เส้นแนวนอนสามเส้น) ที่มุมบนซ้ายจากนั้นเลือก "IAM & Admin"-> "IAM"
เพิ่มกล่องจดหมายใหม่: * คลิกที่ "ให้สิทธิ์การเข้าถึง" (GRANT ACCESS) ที่ด้านบนของหน้ากรอกที่อยู่อีเมลใหม่ของคุณให้ถูกต้องในช่องป้อน "หลักการใหม่" ในเมนูแบบเลื่อนลง "มอบหมายบทบาท" เลือก "โครงการ" (โครงการ) -> "เจ้าของ" (เจ้าของ) ข้อควรจำ: ต้องเป็นเจ้าของมิฉะนั้นกล่องจดหมายใหม่จะไม่สามารถดำเนินการกำจัดสิทธิ์ในภายหลังได้คลิก "บันทึก"
การยืนยันการเปิดใช้งานกล่องจดหมายใหม่: * ลงชื่อเข้าใช้กล่องจดหมายใหม่ของคุณแล้วคุณจะได้รับอีเมลเชิญจาก Google Cloud 。คลิกลิงก์ตอบรับคำเชิญในอีเมลเพื่อข้ามและเข้าสู่ระบบคอนโซล GCP 。ขณะนี้กล่องจดหมายใหม่ได้กลายเป็นเจ้าของร่วมของโครงการอย่างเป็นทางการ
ขั้นตอนที่สอง: การโอนสิทธิ์ของบัญชีการชำระเงิน (Billing Account)
หลายคนคิดว่าเสร็จสิ้นในขั้นตอนแรกแต่ในเดือนหน้าพวกเขาพบว่าใบเรียกเก็บเงินยังคงถูกหักออกจากบัตรเครดิตที่ผูกไว้กับกล่องจดหมายเก่าหรือเมื่อกล่องจดหมายเก่าถูกยกเลิกเซิร์ฟเวอร์จะถูกปิดโดยตรงเนื่องจากการค้างชำระ
การถ่ายโอนความสัมพันธ์ในการเรียกเก็บเงินเป็นขั้นตอนหลักในการแลกเปลี่ยน
นี่คือสองสถานการณ์โปรดเลือกตามความต้องการที่แท้จริงของคุณ:
สถานการณ์ A: เปลี่ยนเฉพาะกล่องจดหมายและใช้บัตรเครดิต/ช่องทางการชำระเงินเดิมต่อไป
ลงชื่อเข้าใช้คอนโซล GCP ด้วยกล่องจดหมายเก่าและเข้าสู่หน้า "Billing"
คลิก "Account Management" ที่ด้านล่างของเมนูด้านซ้าย
ในแผง "สิทธิ์" ทางด้านขวาให้คลิก "เพิ่มตัวหลัก" (ADD PRINCIPAL)
ป้อนกล่องจดหมายใหม่กำหนดบทบาทของ "Billing Account Administrator" (ตัวจัดการบัญชีการชำระเงิน) และบันทึกไว้
เปลี่ยนไปใช้กล่องจดหมายใหม่เพื่อเข้าสู่ระบบเข้าสู่หน้าการชำระเงินและตรวจสอบให้แน่ใจว่าคุณสามารถดูและจัดการบัญชีการชำระเงินได้
สถานการณ์ B: ถอดออกโดยสิ้นเชิงกล่องจดหมายใหม่ต้องผูกกับบัตรเครดิตใหม่ของคุณเอง (แนะนำ)
หากกล่องจดหมายเก่าเป็นของอดีตพนักงานหรือคุณซื้อเซิร์ฟเวอร์จากผู้อื่นคุณต้องใช้เส้นทางนี้:
สร้างบัญชีอิสระสำหรับกล่องจดหมายใหม่: ลงชื่อเข้าใช้คอนโซล GCP สำหรับกล่องจดหมายใหม่เข้าสู่หน้า "การชำระเงิน" คลิก "สร้างบัญชี" และผูกบัตรเครดิตใหม่ของคุณเองและที่อยู่การเรียกเก็บเงินจริง
เชื่อมโยงกับใบเรียกเก็บเงินใหม่: กล่องจดหมายใหม่จะเข้าสู่รายการที่คุณต้องการรับช่วงต่อคลิก "เปลี่ยนบัญชีการเรียกเก็บเงิน" ในหน้า "การชำระบัญชี" เพื่อผูกรายการกับกล่องจดหมายใหม่
สร้างบัญชีการชำระเงินใหม่
ด้วยวิธีนี้ค่าใช้จ่ายที่ตามมาทั้งหมดที่เกิดขึ้นจากโครงการจะถูกแยกออกจากกล่องจดหมายเก่าและบัตรเก่าโดยสิ้นเชิง
ขั้นตอนที่สาม: กำจัดกล่องจดหมายเก่าและทำวงปิดให้สมบูรณ์
เมื่อกล่องจดหมายใหม่ควบคุมโครงการ (Owner) และ Billing Admin ได้อย่างสมบูรณ์แบบการแยกขั้นสุดท้ายสามารถดำเนินการได้
เข้าสู่ระบบอีเมลใหม่: เข้าสู่ระบบคอนโซล GCP ด้วยอีเมลใหม่และป้อน "IAM และการจัดการ"-> "IAM"
ค้นหากล่องจดหมายเก่า: ค้นหากล่องจดหมายเก่าที่กำลังจะถูกทิ้งในรายการ
ลบสิทธิ์เก่า: คลิกไอคอนแก้ไข "ดินสอ" ทางด้านขวาของกล่องจดหมายเก่าเพื่อลบบทบาท "Owner" หรือตรวจสอบกล่องจดหมายเก่าโดยตรงแล้วคลิก "REMOVE ACCESS" (REMOVE ACCESS) ที่ด้านบน
ล้างสิทธิ์การเรียกเก็บเงิน: ในลักษณะเดียวกันให้ป้อน "การชำระเงิน"-> "การจัดการบัญชี" และลบกล่องจดหมายเก่าออกจากผู้ดูแลระบบการชำระเงินในรายการสิทธิ์
จนถึงขณะนี้การควบคุมสูงสุดการเป็นเจ้าของทรัพย์สินและใบเรียกเก็บเงินการหักเงินของโครงการ GCP นี้ถูกโอนไปยังกล่องจดหมายใหม่100%
3.แนวปะการังร้ายแรง: การควบคุมความเสี่ยงและหลุมยักษ์ทางเทคนิคในกระบวนการเปลี่ยน
ระบบควบคุมความเสี่ยง (Risk Control) ของ Google Cloud เปรียบเสมือนตัวแทนดิจิทัลที่มีความระมัดระวังสูงการดำเนินการที่ละเอียดอ่อนซึ่งเกี่ยวข้องกับการเปลี่ยนแปลงการเป็นเจ้าของสินทรัพย์สามารถเหยียบเส้นสีแดงได้อย่างง่ายดาย
1."องค์กร" ข้ามชื่อโดเมนระบบนิเวศถูกล็อค
หากกล่องจดหมายเก่าของคุณเป็นกล่องจดหมายขององค์กร (เช่น
) และโครงการ GCP ถูกสร้างขึ้นภายใต้โครงสร้างองค์กรของ Google Workspace แล้วคุณ
ไม่สามารถโอนโดยตรงไปยังกล่องจดหมาย @ gmail.com ส่วนตัวหรือกล่องจดหมายขององค์กรอื่นที่ไม่เกี่ยวข้องผ่าน IAM
。
เหตุผล: องค์กร (Organization) เป็นระดับทรัพยากรสูงสุดของ GCP และโครงการถูกล็อคไว้ในกลุ่มสินทรัพย์ชื่อโดเมนของบริษัทเก่า
วิธีแก้ไข: คุณต้องมีสิทธิ์ของผู้ดูแลระบบขั้นสูงสำหรับโครงสร้างองค์กรเก่าและแก้ไขข้อจำกัด/iam ใน "นโยบายองค์กร" allowedPolicyMemberDomains จำกัดอนุญาตให้อนุญาตข้ามชื่อโดเมนหรือผ่านกระบวนการ "Project Migration" อย่างเป็นทางการของ Google โครงการจะถูกแยกออกจากองค์กรเก่าและติดตั้งไปยังองค์กรใหม่
2.การดำเนินการระยะไกลทริกเกอร์ "ล็อคป้องกันการฉ้อโกง"
หากผู้ถือกล่องจดหมายเก่าอยู่ในเซินเจิ้นและผู้ถือกล่องจดหมายใหม่อยู่ในปักกิ่งคนสองคนจะเข้าสู่ระบบในเวลาเดียวกันและแก้ไขสิทธิ์ IAM บ่อยครั้งและยกเลิกการเรียกเก็บเงินภายในไม่กี่นาที
ผลที่ตามมา: กลไกหมายเลขป้องกันการโจรกรรมของ Google จะเปิดใช้งานทันทีระบบจะพิจารณาว่าโครงการอยู่ภายใต้การโจมตี "แฮ็กเกอร์ล้างทรัพย์สิน" และระงับโครงการทั้งหมดชั่วคราว (Suspend) ภายในไม่กี่วินาที
เซิร์ฟเวอร์ถูกตัดการเชื่อมต่อและปิดโดยตรง
การป้องกัน: พยายามให้บุคคลเข้าสู่ระบบสองบัญชีสลับกันผ่านอุปกรณ์เดียวกัน (หรือโหนดพร็อกซีที่สะอาดชุดเดียวกัน) ในสภาพแวดล้อมเครือข่ายที่ค่อนข้างสะอาดและคงที่การดำเนินการไม่ควรรุนแรงเกินไป
3.หลุมที่มองไม่เห็นซึ่งคีย์ API และบัญชีบริการ (Service Accounts) ล้มเหลว
ทีมเทคนิคหลายทีมเปลี่ยนกล่องจดหมายและพบว่าแม้ว่าเซิร์ฟเวอร์จะยังคงเปิดอยู่แต่ฟังก์ชันบางอย่างของเว็บไซต์ (เช่นการเข้าสู่ระบบของ Google, Google Maps API, การอัปโหลดที่เก็บข้อมูลบนคลาวด์) ก็รายงานข้อผิดพลาดอย่างกะทันหัน
เหตุผล: ในการพัฒนาในช่วงแรกทีมงานอาจใช้ข้อมูลประจำตัวของกล่องจดหมายเก่าโดยตรงเพื่อสร้างใบรับรอง OAuth 2.0หรือสิทธิ์บางอย่างของบัญชีบริการขึ้นอยู่กับกลุ่มที่กล่องจดหมายเก่าตั้งอยู่ (Google Groups)
การป้องกัน: ก่อนลบกล่องจดหมายเก่าอย่าลืมไปที่หน้า "API และบริการ"-> "ใบรับรอง" เพื่อนับคีย์ API และบัญชีบริการที่มีอยู่และตรวจสอบให้แน่ใจว่าสิทธิ์ทั้งหมดของพวกเขาผูกไว้กับโครงการเองหรือบัญชีบริการสาธารณะของทีมใหม่แทนที่จะแขวนไว้ภายใต้ชื่ออีเมลส่วนตัวของพนักงาน
4.ธุรกิจกำลังดำเนินไปอย่างถูกต้อง: จะหลีกเลี่ยงปัญหา "การเปลี่ยน" โดยพื้นฐานได้อย่างไร?
หากคุณกำลังดำเนินงานบริษัทในต่างประเทศอย่างเป็นทางการเมทริกซ์อีคอมเมิร์ซข้ามพรมแดนหรือบริษัทการค้าต่างประเทศด้านเทคโนโลยีการเปลี่ยนและเปลี่ยนโครงการระหว่าง Gmail ส่วนตัวบ่อยๆก็เท่ากับการเต้นรำบนปลายมีด
บัญชี Google Cloud
วันนี้ฉันโชคดีและพรุ่งนี้ฉันอาจถูกตัดสินว่าเป็น "ธุรกรรมที่ผิดกฎหมายของบัญชี" โดยการควบคุมความเสี่ยงเนื่องจากฉันไม่สังเกตเห็นรายละเอียดบางอย่างและฉันจะถูกบล็อกทั้งหมด
เพื่อแก้ปัญหานี้โดยพื้นฐานควรจัดตั้งทีมธุรกิจในช่วงเริ่มต้นของโครงสร้าง
ไฟร์วอลล์สินทรัพย์ที่เป็นไปตามข้อกำหนด
:
1.สร้างกลไกเจ้าของสาธารณะ (Co-Owner)
อย่าปล่อยให้มีกล่องจดหมายส่วนตัวเพียงกล่องเดียวในรายการ Owner ของโครงการในช่วงเริ่มต้นของโครงการควรผูกกล่องจดหมายของผู้บริหารหลักของบริษัทอย่างน้อยสองคนเพื่อสำรองข้อมูลซึ่งกันและกันแม้ว่ากล่องจดหมายใดกล่องหนึ่งจะถูกล็อกเนื่องจากการลาออกการสูญเสียรหัสผ่านหรือการเข้าสู่ระบบจากระยะไกลแต่กล่องจดหมายอื่นๆก็ยังสามารถควบคุมสถานการณ์โดยรวมได้อย่างมั่นคงในเบื้องหลังและจัดการกับการเปลี่ยนแปลงอำนาจในช่วงเวลาที่ดี
2.ยอมรับโครงสร้างองค์กรและช่องทางการจัดจำหน่ายอย่างเป็นทางการ
สำหรับธุรกิจขนาดใหญ่วิธีที่ปลอดภัยที่สุดคือการติดต่อโดยตรง
ผู้จัดจำหน่ายหลัก (Partner) ที่ได้รับอนุญาตอย่างเป็นทางการจาก Google Cloud
。
เปิด GCP ผ่านโหมดผู้จัดจำหน่ายและคุณจะได้รับการรับประกันระดับองค์กร:
การเรียกเก็บเงินและกล่องจดหมายจะแยกออกจากกันโดยสิ้นเชิง: รายการย่อยของคุณเชื่อมโยงกับบัญชีองค์กรขนาดใหญ่ของผู้จัดจำหน่ายและคุณไม่จำเป็นต้องผูกบัตรเครดิตส่วนบุคคลใดๆที่ง่ายต่อการเรียกใช้การควบคุมความเสี่ยงในพื้นหลังการชำระค่าธรรมเนียมการต่ออายุและการเติมเงินทั้งหมดจะดำเนินการโดยตัวแทนจำหน่ายในเบื้องหลังเพื่อเชื่อมต่อกับคุณอย่างเป็นทางการ
การโอนสินทรัพย์ที่ปราศจากความเสี่ยง: เมื่อทีมของคุณมีการเปลี่ยนแปลงบุคลากรหรือการเปลี่ยนแปลงโครงการและจำเป็นต้อง "เปลี่ยน" คุณไม่จำเป็นต้องดำเนินการอย่างสุ่มสี่สุ่มห้าในเบื้องหลังคุณจะต้องส่งใบสมัครการปฏิบัติตามข้อกำหนดไปยังผู้จัดจำหน่ายเท่านั้นและสถาปนิกมืออาชีพของพวกเขาจะอยู่ใน Google Enterprise Management Backstage (Cl
Cloud Partner Console) ใช้เส้นทางการปฏิบัติตามข้อกำหนดอย่างเป็นทางการเพื่อช่วยให้คุณดำเนินการย้ายโครงการและเปลี่ยนสิทธิ์บุคลากรได้อย่างปลอดภัยและราบรื่นในช่วงเวลานี้เซิร์ฟเวอร์จะไม่มีความเสี่ยงที่จะหยุดทำงานเป็นเวลาครึ่งวินาที
การปฏิบัติตามข้อกำหนดและใบแจ้งหนี้: นอกจากนี้ยังสามารถแก้ปัญหาที่บริษัทในประเทศไม่สามารถออกใบกำกับภาษีมูลค่าเพิ่มพิเศษได้และการปฏิบัติตามกฎหมายของเงินทุนในต่างประเทศ
สรุป
"กล่องจดหมายแลกเปลี่ยน" ของบัญชี GCP Google Cloud นั้นเป็น
การส่งมอบที่ปลอดภัยของการเป็นเจ้าของสินทรัพย์ดิจิทัล
。
ตราบใดที่คุณปฏิบัติตามกฎเหล็กที่ว่า "เพิ่มคนใหม่ก่อนโอนใบเรียกเก็บเงินและสุดท้ายกำจัดผู้สูงอายุ" และรักษาสภาพแวดล้อมเครือข่ายให้คงที่และสะอาดในระหว่างการดำเนินการคุณก็สามารถลงจอดได้อย่างปลอดภัยในกรณีส่วนใหญ่แต่โปรดจำไว้ว่าข้อมูลไม่มีค่าในวินาทีสุดท้ายก่อนที่จะดำเนินการลบสิทธิ์ IAM ใดๆโปรดตรวจสอบสแนปชอตเซิร์ฟเวอร์และการสำรองฐานข้อมูลของคุณในโลกคลาวด์ความระมัดระวังเป็นเครื่องรางที่ทรงพลังที่สุดของคุณเสมอ
บัญชี Google Cloud