遷移專案時,請務必評估遷移作業對專案內執行服務的影響。Resource Manager API 會將專案資源和其下執行的所有服務視為單一單元,因此專案內不會套用任何設定變更。
雖然遷移作業不會直接變更專案設定,但資源階層的變更可能會影響專案及其執行服務的功能。遷移專案時,系統不會一併遷移允許、拒絕或機構政策 (這些政策是沿用而非直接附加至專案)。系統會遷移直接附加至資源的機構政策和服務帳戶。遷移完成後,這可能會導致非預期的行為。
視目標組織資源的組織政策而定,遷移專案也可能導致違反組織政策。
在組織資源之間遷移專案之前,請先考慮建立遷移計畫,判斷組織資源和要遷移的專案是否已準備就緒。在這項遷移計畫中,請清查專案執行的每個服務,以及可能受到遷移作業或專案目的地資源階層影響的任何其他服務。
庫存總覽
使用 Cloud Asset Inventory 建立所用資源的總覽,包括允許政策。您可以參考這份總覽,擬定遷移計畫。
您也可以使用 Cloud Asset Inventory 將這項資料移轉至 BigQuery。這樣一來,您就能使用 SQL 查詢資料,與解讀 JSON 格式的資料相比,SQL 更容易閱讀。如要瞭解如何匯出這項資料,請參閱「匯出至 BigQuery」。
如要取得會影響專案存取權的所有允許和拒絕政策清單,請參閱「查看適用於資源的所有允許和拒絕政策」。
政策驗證
遷移專案後,專案就不會再沿用資源階層中目前位置的政策,而是會受到目的地有效政策評估的影響。建議您盡量確保專案目的地中的有效政策,與專案來源位置中的政策相符。
直接套用至專案的任何政策,在遷移作業完成後仍會附加至專案。直接將政策套用至專案,可確保遷移完成後,系統會立即套用正確政策。
「允許」、「拒絕」和機構政策會透過資源階層架構沿用,如果設定不當,可能會導致服務無法運作。在資源階層中,判斷專案目的地的有效政策,確保政策符合您的控管目標。
管理加密金鑰
請確認專案是否已啟用客戶管理的加密金鑰或其他 Cloud Key Management Service。加密金鑰屬於專案,因此對該專案擁有 owner 存取權的使用者,將可管理及對該專案的 Cloud KMS 金鑰執行加密作業。
詳情請參閱「權責劃分」。
預先發布版功能
您可以在機構資源、資料夾或專案中啟用預覽功能。如果您在要遷移的專案中啟用 Alpha 或 Beta 版功能,遷移後這項功能應會繼續運作。如果預覽功能是私人功能,且未列入目標機構資源的允許清單,遷移作業完成後,您就無法進行任何設定變更。
復原計畫
如果發現任何已遷移的專案無法正常運作,可以將專案還原至原始位置。如要這麼做,您必須具備必要的 IAM 權限,並設定必要的機構政策,才能反向執行專案遷移作業。
如需必要權限清單,請參閱「指派權限」。如要瞭解允許專案遷移作業的機構政策設定,請參閱「設定機構政策」。
專用的匯入和匯出資料夾
遷移專案時,來源和目的地機構資源的政策繼承可能會造成非預期的影響。您可以建立特定資料夾,只存放要匯出及匯入的專案,並確保兩個機構資源中的資料夾都沿用相同政策,藉此降低風險。您也可以在這些資料夾中設定權限,讓移入的專案沿用這些權限,加快專案遷移程序。
規劃遷移作業時,請考慮先設定專屬來源資料夾。如要這麼做,請為每個要匯出專案的目的地機構資源建立資料夾。然後在這些資料夾中設定機構政策,並將 constraints/resourcemanager.allowedExportDestinations 限制設為要匯出專案的單一機構資源。
舉例來說,您可以設定 Export to Marketing Org 和 Export to Sales Org 資料夾,並為每個資料夾設定適當的機構政策限制。
同樣地,在目標機構資源中設定專屬匯入資料夾,每個要匯入專案的機構資源各有一個資料夾。如要這麼做,請為每個要匯入專案的來源機構資源建立資料夾。然後,在這些資料夾中設定組織政策,並將每個資料夾的 constraints/resourcemanager.allowedImportSources 限制條件設為要匯入專案的單一機構資源。
舉例來說,您可以設定 Import from Marketing Org 和 Import from App Development Org 資料夾,並為每個資料夾設定適當的機構政策限制。
在每個匯入和匯出資料夾中,指派 roles/resourcemanager.projectMover 角色給負責移動專案的人員。這個角色會由這些資料夾中的所有專案繼承,讓使用者能夠對移至這些資料夾的任何專案執行移動作業。
專案遷移完成後,請移除這些專用資料夾。
如要瞭解如何設定機構政策,請參閱「設定機構政策」。
後續步驟
如要指派身分與存取權管理角色和權限,以便在不同機構之間遷移專案,請參閱「指派身分與存取權管理角色和權限」。