Práticas recomendadas para usar o IAM e o Cloud Billing no ensino superior

Universidades, faculdades, escolas vocacionais e outras instituições de ensino superior muitas vezes têm necessidades únicas de TI em comparação com outros tipos de empresas. Neste guia, apresentamos as práticas recomendadas e descrevemos vários problemas críticos a serem resolvidos durante a configuração do ambiente do Google Cloud da sua instituição.

Veja a seguir algumas definições de termos básicos que ajudarão você a entender o guia.

Node organizacional
O node da organização (node organizacional) representa uma instituição como sua universidade. Ele é o nó raiz na hierarquia dos recursos do Google Cloud.
pasta
As pastas servem para organizar os recursos da sua organização. Quando você configura as políticas do gerenciamento de identidade e acesso (IAM, na sigla em inglês) no nível da pasta, elas são aplicadas transitivamente aos recursos contidos nela.
projeto
O nível do projeto é quando você ativa e usa todos os serviços do Google Cloud, gerencia APIs e faturamento, adiciona e remove colaboradores e gerencia permissões.
IAM
O IAM controla as políticas da organização e os projetos. Ele regula o nível de acesso que os membros do projeto têm para gerenciar máquinas virtuais (VMs), registros e outros recursos.
Papel
Um papel é um conjunto de permissões. Não é possível atribuir permissões diretamente aos usuários. Em vez disso, atribua um papel. Quando você concede um papel, todas as permissões inclusas nele são atribuídas ao usuário.
Recurso
Um recurso físico, como um computador ou uma unidade de disco rígido, ou um recurso virtual, como uma máquina virtual (VM). Como exemplos de recursos, citamos projetos, instâncias do Compute Engine e buckets do Cloud Storage.

Como configurar o Google Workspace for Education

Se sua escola está investigando os recursos do Google Cloud, a configuração do Google Workspace for Education costuma ser o ponto de partida. Mesmo que você não pretenda usar o Gmail, é possível configurar o Google Workspace for Education e desativar os serviços não utilizados, como o Gmail, para que você aproveite as contas de usuário e os grupos para identidade e autenticação do Google Cloud. Para entidades comerciais que não se qualificam para contas gratuitas do Google Workspace for Education, o Cloud Identity é uma opção.

Como gerenciar recursos

O Google Cloud conta com um sistema hierárquico de contêineres que consiste em organizações, pastas e projetos. Nessas estruturas, é possível organizar outros recursos, como máquinas virtuais do Compute Engine (VMs) e tópicos do Pub/Sub. Essa hierarquia ajuda a gerenciar aspectos como o controle de acesso e as definições de configuração comuns a vários recursos. Você pode gerenciar programaticamente esses recursos por meio do Resource Manager.

As instituições de grande porte, que abrangem muitas universidades, geralmente têm vários projetos e usuários que interagem diretamente com os recursos do Google Cloud. Para atender melhor às estratégias atuais de controle de acesso e governança de TI, recomendamos que você implemente uma abordagem centralizada para organização de recursos do Google Cloud.

Organizações e pastas

Os recursos são organizados com o nó organizacional na raiz. As pastas podem ser aninhadas até quatro níveis abaixo do node e podem conter projetos que, por sua vez, contêm abaixo deles outros recursos como nodes filhos. Cada recurso tem exatamente um pai. Quando você define políticas de controle de acesso e configurações para um recurso pai, os recursos filhos herdam essas políticas e configurações.

Um nó organizacional garante que todos os projetos criados pelos usuários no domínio do Google Workspace for Education sejam visíveis para os superadministradores. Cada domínio principal no Google Workspace for Education tem um nó organizacional. os domínios secundários do Google Workspace não recebem um nó organizacional próprio. Por padrão, o superadministrador do espaço de trabalho do Google tem acesso irrevogável para definir a política da organização. Para organizações que têm administrações de TI e de nuvem separadas, o superadministrador do Google Workspace precisa atribuir um administrador da organização.

A estrutura de uma organização tradicional do Google Cloud pode ter a seguinte aparência:

Estrutura de uma organização típica do Google Cloud

Se os projetos foram criados antes do estabelecimento do node organizacional, você pode migrar esses projetos órfãos para o node.

Para listar todos os projetos no seu nó organizacional, execute o seguinte comando:

gcloud projects list --filter "parent.type=organization parent.id=$ORG_ID"

Quando uma escola com um domínio do Google Workspace for Education está adotando o Google Cloud, a configuração padrão é ter um único nó organizacional. Na seção a seguir, discutimos as diferenças entre as abordagens de node organizacional único e de vários nodes.

Quando usar um nó organizacional centralizado

O nó organizacional centralizado é mapeado para o domínio do Google Workspace, que é a fonte da verdade do IAM. É possível configurar cada pasta com administradores centrais próprios e com o IAM e outras políticas separadas.

nó organizacional centralizado

Para mais informações, consulte estes recursos:

Você pode hospedar recursos globais, como redes de projetos cruzados e imagens compartilhadas, em uma pasta com permissões que permitem o acesso a todos os usuários da organização.

Quando usar nodes organizacionais separados

Se você quiser tratar os departamentos da universidade como entidades isoladas sem administração central, crie organizações separadas, como mostrado no diagrama a seguir.

estrutura organizacional separada

Para implementar essa configuração, defina school.edu e lab3.school.edu como domínios principais separados do Google Workspace, resultando em nós organizacionais distintos. Use essa opção somente se você decidiu:

  • manter domínios de identidade separados;
  • manter IAM, papéis personalizados, faturamento, cota e configurações diferentes do nó organizacional central school.edu.

Para muitas instituições de ensino com governança de TI centralizada, o gerenciamento de dois ambientes separados do Google Cloud gera uma sobrecarga. Além disso, com o tempo, as políticas podem divergir entre vários nodes organizacionais.

Como usar pastas

As pastas permitem organizar seus recursos do Google Cloud, aplicar políticas, delegar privilégios administrativos e dar mais autonomia aos departamentos e às equipes. Elas também ajudam você a administrar políticas e controlar o acesso acima do nível do projeto. As pastas, os projetos e os recursos aninhados em uma pasta herdam as políticas da pasta pai.

Veja alguns cenários em que o uso de pastas pode ser útil:

  • Sua instituição tem departamentos distintos, como engenharia, negócios e artes, cada uma com um grupo de TI próprio.
  • Você está mapeando para uma estrutura estabelecida baseada em um diretório LDAP, como o Microsoft Active Directory.
  • Você quer separar projetos por caso de uso, como infraestrutura de TI, computação de pesquisa ou ensino e aprendizado.

Projetos e recursos

Todos os recursos do Google Cloud que você alocar e usar precisam pertencer a um projeto. Pense em um projeto como a entidade organizadora do seu plano. Ele é composto de configurações, permissões e outros metadados que descrevem os aplicativos. Os recursos de um único projeto trabalham juntos de forma eficiente e se comunicam por meio de uma rede interna, sujeitos a regras que variam por região ou zona. Os recursos que cada projeto usa permanecem separados entre os limites do projeto. Você pode vinculá-los somente por meio de uma conexão de rede externa ou de uma rede de nuvem privada virtual (VPC) compartilhada.

Cada projeto do Google Cloud apresenta as seguintes características:

  • Um nome que você escolhe.
  • Um código do projeto, que você ou o Google Cloud pode providenciar.
  • Um número do projeto gerado pelo Google Cloud.

Ao configurar um novo projeto, você pode se basear em um destes cenários:

  • Propriedade de aplicativos ou projetos, como a configuração de um projeto para uma carga de trabalho ou equipe pequena.
  • Dividir um aplicativo entre projetos de produção e não produção. Dessa maneira, as alterações feitas no ambiente de teste que não é de produção não afetarão o ambiente de produção, e é possível promover ou propagar alterações com scripts de implantação.
  • Segregar recursos de computação e de dados entre laboratórios ou até projetos dentro de um laboratório. Essa segregação permite total autonomia e separação de dados entre projetos, o que é útil se um laboratório trabalhar em vários projetos com partes interessadas concorrentes.

Os projetos precisam estar associados a contas de faturamento, abordadas posteriormente neste documento. Observe que somente alguém com o papel de administrador da conta de faturamento ou de usuário da conta de faturamento pode associar um novo projeto a uma conta de faturamento existente.

Cotas

Muitos recursos no Google Cloud são limitados por cotas. Por exemplo, um novo projeto vinculado a uma nova conta de faturamento associada tem uma cota de oito CPUs virtuais no Compute Engine. É possível solicitar um aumento na sua cota para adicionar recursos novos ou extras, como GPUs, que não são emitidos por padrão.

Além das cotas de recursos, as organizações estão sujeitas a cotas de número de projetos criados. Mesmo se você excluir um projeto, ele continuará fazendo parte da cota de projetos por alguns dias até ser completamente eliminado.

Limites de confiança

Ao decidir sobre uma estrutura de projeto, considere os limites de confiança de TI, que provavelmente seguem um modelo de governança ou segurança de TI existente. Por exemplo, departamentos separados, como engenharia, negócios e direito, mantêm limites de confiança entre si? Os setores separados dentro das instituições confiam uns nos outros?

Ao aplicar a prática recomendada de segurança de TI de acesso com menos privilégios, você pode conceder diferentes papéis a contas de usuário e de serviço em um único projeto e em vários. Se um usuário tiver acesso de administrador a um projeto, mas precisar ter acesso somente leitura ou exibição a outro projeto, defina esses papéis explicitamente usando a política do IAM no Google Cloud. Para mais informações, consulte a Orientação do IAM sobre o privilégio mínimo.

Políticas do IAM

Grandes organizações geralmente separam as equipes de operações, como segurança e administração de rede, das equipes de produção. Essa separação exige o uso de recursos gerenciados por outras equipes e a aplicação do princípio do menor privilégio. É possível definir as configurações dessa separação por meio do IAM e das contas de serviço.

Com o IAM, você gerencia o controle de acesso ao definir quem tem qual nível de acesso a quais recursos. Para conceder papéis a usuários, crie uma política do IAM, que é um conjunto de instruções anexadas a um recurso que definem e controlam as pessoas e o tipo de acesso delas a esse recurso. Para conceder acesso granular a recursos específicos do Google Cloud, use papéis predefinidos ou defina papéis personalizados do IAM.

Como usar contas privilegiadas

Seguindo o princípio do menor privilégio, atribua papéis de superadministrador a contas usadas com pouca frequência. Por exemplo, use jo.watanabe@school.edu para atividades cotidianas, mas use jo.watanabe.admin@school.edu para fazer alterações no Admin Console do Google Workspace ou no Console do Cloud.

Como usar contas de serviço

O Google Cloud usa as contas de serviço do IAM para invocar chamadas de API do Google de modo que as credenciais de usuário individuais não sejam diretamente envolvidas. Uma das características dessas contas é serem tratadas como uma identidade e como um recurso.

  • Quando uma conta de serviço age como uma identidade, você concede papéis a ela para que ela possa acessar um recurso, como um bucket do Cloud Storage.

  • Quando uma conta de serviço atua como um recurso, você precisa conceder permissão aos usuários para acessar essa conta da mesma maneira que concede permissão para acessar um conjunto de dados do BigQuery. É possível conceder a um usuário o papel de proprietário, editor, visualizador ou usuário da conta de serviço. Os membros com papéis de usuários de contas de serviço têm acesso a todos os recursos da conta.

Quando usar grupos

Ao usar grupos em vez de indivíduos nas políticas, seus administradores podem ajustar a associação ao grupo, sempre que membros da equipe forem adicionados e removidos. Como resultado, as políticas são sempre atualizadas da forma correta. Para implementar essa prática, crie grupos baseados em cargos para cada projeto ou pasta. Em seguida, atribua vários papéis a cada grupo, conforme necessário a cada função.

O gerenciamento de grupos é feito pelo Grupos do Google para empresas, que faz parte do Google Workspace. Um usuário administrador ou administrador delegado do Google Workspace pode usar o Admin Console para acessar essa ferramenta.

Opções de rede

Com a nuvem privada virtual (VPC), você pode isolar seus serviços de nuvem privada. Por exemplo, você pode usar a VPC para configurar uma rede, um espaço privado de IP RFC 1918, que abrange todos os seus projetos. Em seguida, poderá adicionar instâncias de qualquer projeto a essa rede ou às sub-redes dela.

Você também pode anexar uma rede privada virtual (VPN) a uma única rede, que pode ser usada por todos ou por um subconjunto dos projetos. A conexão VPN pode ser usada para se conectar a um espaço de IP RFC 1918 específico do Google Cloud ou ampliar esse espaço na sua rede local.

O Google oferece as seguintes opções para se conectar às suas instâncias de VPC.

Interconexão Peering
Interconexão dedicada VPN IPsec Peering direto Peering de operadora
Útil para estender redes corporativas e espaço de IP RFC 1918 para a nuvem.

Nenhuma VPN é necessária para acessar os recursos do Google Cloud na sua VPC.
Útil para criar túneis para a Internet pública, para se conectar ao Google e para conexões de dados de baixo volume. Útil para se conectar diretamente ao Google e economizar 50% nas taxas de saída em comparação com a VPN ou o acesso público pela Internet. Útil se você gosta dos benefícios do peering direto, mas não cumpre os requisitos de peering sem um parceiro.
10 Gbps para cada link 1,5 a 3 Gbps para cada túnel 10 Gbps para cada link Varia com base na oferta dos parceiros

Para mais detalhes sobre essas opções, consulte a página do Cloud Interconnect.

Quando usar o peering direto

Qualquer cliente do Google Cloud que tenha um número de sistema autônomo (ASN, na sigla em inglês) registrado e prefixos de IP publicamente roteáveis pode fazer peering direto com o Google. Essa opção usa o mesmo modelo de interconexão que a Internet pública, com a exceção de que não há um provedor de serviços como intermediário. Saiba mais sobre o peering com o Google (em inglês).

Quando usar o peering de operadora

Para clientes que não têm ASNs públicos ou que querem se conectar ao Google por meio de um provedor de serviços, o Google oferece o serviço de peering de operadora. Esse serviço foi desenvolvido para clientes que querem conectividade de nível empresarial com a rede avançada do Google.

Faturamento do Cloud

Use o Console do Cloud para gerenciar sua conta de faturamento do Cloud. No Console do Cloud, é possível atualizar as configurações da conta, como formas de pagamento e contatos administrativos. É possível também configurar o Console do Cloud para definir orçamentos, acionar alertas, visualizar histórico de pagamentos e exportar dados de faturamento.

Para a maioria dos usuários, uma única conta do Faturamento do Cloud é suficiente. Os descontos para instituições são aplicáveis a todos os projetos associados à conta. Os usuários fazem um único pagamento ao Google para liquidar a fatura mensal, e os projetos específicos de departamentos ou laboratórios podem ser cobrados por meio de um processo interno de reembolso de TI.

A conta de faturamento única é estruturada desta forma:

conta de faturamento única

As considerações de faturamento também podem orientar o modo como você organiza projetos e pastas no Google Cloud. Dependendo dos seus centros de custo internos, faça a organização como no diagrama a seguir.

conta de faturamento separada por pastas

  • Neste diagrama, as pastas identificam todos os projetos e recursos associados a um centro de custo, departamento ou projeto de TI.
  • Projetos organizam recursos. O custo é mostrado por projeto, e os códigos do projeto estão incluídos na exportação de faturamento.
  • Anote os projetos com rótulos, que fornecem mais informações do agrupamento, como environment=test. Os rótulos são incluídos na exportação do faturamento.
  • O centro de custo é codificado no nome ou no código do projeto.

Esse modelo funciona bem se você alinhar cada pasta com um centro de custo interno separado. No entanto, os reembolsos internos ainda são necessários porque o Google envia uma única fatura para uma determinada conta de faturamento.

Se os centros de custo precisarem pagar uma fatura separada ou faturar algumas cargas de trabalho com uma moeda separada uma opção é solicitar várias contas de faturamento. Essa abordagem pode exigir um contrato assinado para cada conta de faturamento.

Como administrar contas do Faturamento do Cloud

Os papéis da conta do Faturamento do Cloud ajudam você a administrar as contas de faturamento. Você pode atribuir os seguintes papéis de faturamento no nível da organização.

Papel Descrição
Administrador da conta de faturamento Gerencia todas as contas de faturamento da organização.
Criador da conta de faturamento Cria contas de faturamento na organização.
Usuário da conta de faturamento Vincula projetos a contas de faturamento.
Gerente de faturamento do projeto Dá acesso para atribuir uma conta de faturamento de um projeto ou desativar o faturamento.

Conceda o papel de administrador da conta de faturamento no nível do node organizacional para permitir a visualização de todas as contas de faturamento da sua organização. Para limitar quem pode criar contas de faturamento e como fazer isso, use o papel de criador da conta de faturamento e restrinja quais usuários têm essa permissão. Estes artigos da Central de Ajuda do Google fornecem mais informações:

Como alterar contas de faturamento

Se você quiser alterar as contas do Faturamento do Cloud para um projeto ou desativar o faturamento, siga estas etapas:

  1. No menu de navegação esquerdo do Console do Cloud, clique em Faturamento.
  2. À direita do nome do projeto, clique no ícone de três pontos e, em seguida, clique em Alterar conta de faturamento. Também é possível usar esse ícone para desativar o faturamento, mas isso também desativará o projeto.

    alterar uma conta de faturamento

Como criar um orçamento

Os orçamentos geram alertas, mas não desativam o faturamento de projetos. Isso significa que um projeto continua a ser executado mesmo se exceder o orçamento. Se um projeto estiver ultrapassando o orçamento, será preciso desativar o faturamento manualmente. Ou, então, você pode interromper os recursos que estão gerando cobranças para evitar que o orçamento seja excedido. Como o orçamento não é atualizado em tempo real, pode ser que você descubra que excedeu o limite de custo depois de um dia ou dois.

Siga estas etapas para criar um orçamento:

  1. No Console do Cloud, acesse o menu Faturamento, clique em Orçamentos e alertas e clique em Criar orçamento.

    como criar um orçamento

    Nesse exemplo, a conta já está acima do orçamento do mês. Lembre-se de que um orçamento não desativa nenhum serviço, mas notifica o administrador de faturamento quando o valor é excedido.

  2. Insira os detalhes do orçamento e em quais níveis de uso você quer receber alertas.

    alertas de orçamento

  3. Em Conta do projeto ou de faturamento, escolha se você quer monitorar seu orçamento geral ou projetos individuais. O recurso de orçamentos leva em consideração o período de um mês. É possível definir o orçamento para um determinado mês.

Como configurar a exportação do faturamento

Se você quiser um relatório detalhado de todos os serviços usados pela sua conta de faturamento do Cloud, configure Exportação do faturamento no menu Faturamento no Console do Cloud. Armazene os detalhes no Cloud Storage ou no BigQuery. Se você quiser usar o Cloud Storage, poderá armazenar os dados no formato JSON ou CSV.

exportação de faturamento

Exportar dados de faturamento para o BigQuery permite encontrar rapidamente os projetos que estão gastando mais do que o limite definido por você. Você também pode ver os serviços pelos quais está sendo cobrado. Por exemplo, a consulta a seguir lista todos os projetos que gastaram mais de US$ 0,10 no mês atual. Substitua [YOUR_BIGQUERY_TABLE] pelo nome da sua tabela.

SELECT
  project.name,
  cost
FROM
  [YOUR_BIGQUERY_TABLE]
WHERE
  cost > 0.1
ORDER BY
  cost DESC

A seguir