Fluxo guiado de configuração de Google Cloud

Um recurso de organização no Google Cloud representa a sua empresa e serve como o nó de nível superior da sua hierarquia. Para criar a sua organização, configura um serviço de identidade Google e associa-o ao seu domínio. Quando concluir este processo, é criado automaticamente um recurso de organização.

Para uma vista geral do recurso organization, consulte o seguinte:

• Faça a gestão dos recursos da organização.
• Práticas recomendadas para o planeamento de contas e organizações.

Quem realiza esta tarefa

Os dois administradores seguintes realizam esta tarefa:

• Um administrador de identidade responsável pela atribuição de acesso baseado em funções. Atribui esta pessoa como superadministrador do Cloud ID. Para mais informações sobre o utilizador superadministrador, consulte o artigo Funções de administrador pré-criadas.

• Um administrador de domínio com acesso ao anfitrião de domínio da empresa. Esta pessoa edita as definições do seu domínio, como as configurações de DNS, como parte do processo de validação do domínio.

O que faz nesta tarefa

• Se ainda não o fez, configure o Cloud Identity, onde cria uma conta de utilizador gerida para o utilizador superadministrador.
• Associe o Cloud ID ao seu domínio (como example.com).
• Valide o seu domínio. Este processo cria o nó de raiz da hierarquia de recursos, conhecido como o recurso de organização.

Por que motivo recomendamos esta tarefa

Tem de configurar o seguinte como parte da sua Google Cloud base:

• Um serviço de identidade da Google para gerir identidades de forma centralizada.
• Um recurso de organização para estabelecer a raiz da sua hierarquia e controlo de acesso.

Opções do serviço de identidade Google

Utiliza um ou ambos os seguintes serviços de identidade Google para administrar as credenciais dos Google Cloud utilizadores:

• Cloud ID: gere utilizadores e grupos de forma centralizada. Pode federar identidades entre a Google e outros fornecedores de identidade. Para mais informações, consulte o Resumo do Cloud Identity.
• Google Workspace: gere utilizadores e grupos, e fornece acesso a produtos de produtividade e colaboração, como o Gmail e o Google Drive. Para mais informações, consulte o Google Workspace.

Para ver informações detalhadas sobre o planeamento de identidades, consulte o artigo Planeie o processo de integração das identidades corporativas.

Antes de começar

Para saber como gerir uma conta de superadministrador, consulte o artigo Práticas recomendadas para contas de superadministrador.

Configure um Fornecedor de identidade e valide o seu domínio

Os passos que conclui nesta tarefa dependem de ser um cliente novo ou existente. Identifique a opção que se adequa às suas necessidades:

• Novo cliente: configure o Cloud ID, valide o seu domínio e crie a sua organização.

• Cliente existente do Google Workspace: use o Google Workspace como o seu fornecedor de identidade para utilizadores que acedem ao Google Workspace e Google Cloud. Se planeia criar utilizadores que só acedem ao Google Cloud, ative o Cloud ID.

• Cliente existente do Cloud ID: valide o seu domínio, certifique-se de que a sua organização foi criada e confirme que o Cloud ID está ativado.

O que se segue?

Crie grupos e adicione membros.

Nesta tarefa, configura identidades, utilizadores e grupos para gerir o acesso aos Google Cloud recursos.

Para mais informações sobre a gestão de acessos no Google Cloud, consulte o seguinte:

• Vista geral da gestão de identidade e de acesso (IAM).
• Para ver as práticas recomendadas, consulte o artigo Use o IAM em segurança.

Quem realiza esta tarefa

Pode realizar esta tarefa se tiver um dos seguintes elementos:

• O superadministrador do Google Workspace ou Cloud ID que criou na tarefa Organização.
• Uma das seguintes funções de IAM:
  • Administrador da organização (roles/resourcemanager.organizationAdmin).
  • Administrador do Workforce Identity Pool (roles/iam.workforcePoolAdmin).

O que faz nesta tarefa

• Estabeleça ligação ao Cloud ID ou ao seu fornecedor de identidade (IdP) externo.

• Crie grupos administrativos e utilizadores que vão realizar os restantesGoogle Cloud passos de configuração. Concede acesso a estes grupos numa tarefa posterior.

Por que motivo recomendamos esta tarefa

Esta tarefa ajuda a implementar as seguintes práticas recomendadas de segurança:

• Princípio do menor privilégio: conceda aos utilizadores as autorizações mínimas necessárias para desempenharem a respetiva função e remova o acesso assim que deixar de ser necessário.

• Controlo de acesso baseado em funções (RBAC): atribua autorizações a grupos de utilizadores de acordo com a respetiva função. Não adicione autorizações a contas de utilizador individuais.

Pode usar grupos para aplicar funções de IAM de forma eficiente a uma coleção de utilizadores. Esta prática ajuda a simplificar a gestão do acesso.

Selecione um fornecedor de identidade

Pode usar uma das seguintes opções para gerir utilizadores e grupos, e associá-los ao Google Cloud:

• Google Workspace ou Cloud ID: cria e gere utilizadores e grupos no Google Workspace ou Cloud ID. Pode optar por sincronizar com o seu fornecedor de identidade externo mais tarde.
• O seu fornecedor de identidade externo, como o Microsoft Entra ID ou o Okta: cria e gere utilizadores e grupos no seu fornecedor de identidade externo. Em seguida, associa o seu fornecedor ao Google Cloud para ativar o início de sessão único.

Para selecionar o seu fornecedor de identidade, faça o seguinte:

1. Inicie sessão na Google Cloud consola como um dos utilizadores que identificou em Quem realiza esta tarefa.

2. Aceda a Google Cloud Configuração: utilizadores e grupos.

   Aceda a Utilizadores e grupos

3. Reveja os detalhes da tarefa e clique em Continuar configuração da identidade.

4. Na página Selecione o seu fornecedor de identidade, selecione uma das seguintes opções para iniciar uma configuração guiada:

   • Use o Google para gerir os Google Cloud utilizadores de forma centralizada: use o Google Workspace ou o Cloud ID para aprovisionar e gerir utilizadores e grupos como superadministrador do seu domínio validado. Pode sincronizar posteriormente com o seu fornecedor de identidade externo.
   • Microsoft Entra ID (Azure AD): use o OpenID Connect para configurar uma ligação ao Microsoft Entra ID.
   • Okta: use o OpenID Connect para configurar uma ligação à Okta.
   • OpenID Connect: use o protocolo OpenID para estabelecer ligação a um fornecedor de identidade compatível.
   • SAML: use o protocolo SAML para estabelecer ligação a um fornecedor de identidade compatível.
   • Ignorar a configuração de um IdP externo por agora: se tiver um fornecedor de identidade externo e não tiver tudo pronto para o associar ao Google Cloud, pode criar utilizadores e grupos no Google Workspace ou no Cloud ID.

5. Clique em Continuar.

6. Consulte uma das seguintes opções para conhecer os passos seguintes:

   • Crie utilizadores e grupos no Cloud Identity
   • Associe o seu fornecedor de identidade externo ao Google Cloud

Crie utilizadores e grupos no Cloud ID

Se não tiver um fornecedor de identidade existente ou não estiver pronto para associar o seu fornecedor de identidade ao Google Cloud, pode criar e gerir utilizadores e grupos no Cloud Identity ou Google Workspace. Para criar utilizadores e grupos, faça o seguinte:

• Crie um grupo para cada função administrativa recomendada, incluindo organização, faturação e administração da rede.
• Crie contas de utilizador gerido para administradores.
• Atribua utilizadores a grupos administrativos que correspondam às respetivas responsabilidades.

Antes de começar

• Encontre e migre utilizadores que já tenham Contas Google. Para obter informações detalhadas, consulte o artigo Adicione utilizadores com contas não geridas.

• Tem de ser um superadministrador.

Crie grupos administrativos

Um grupo é uma coleção com nome de Contas Google e contas de serviço. Cada grupo tem um endereço de email exclusivo, como gcp-billing-admins@example.com. Crie grupos para gerir utilizadores e aplicar funções da IAM em grande escala.

Os seguintes grupos são recomendados para ajudar a administrar as funções principais da sua organização e concluir o Google Cloud processo de configuração.

Para criar grupos administrativos, faça o seguinte:

1. Selecione a Google como fornecedor.

2. Na página Criar grupos, reveja a lista de grupos administrativos recomendados e, em seguida, faça uma das seguintes ações:

   • Para criar todos os grupos recomendados, clique em Criar todos os grupos.
   • Se quiser criar um subconjunto dos grupos recomendados, clique em Criar nas linhas escolhidas.

3. Clique em Continuar.

Crie utilizadores administrativos

Recomendamos que adicione inicialmente utilizadores que concluam procedimentos organizacionais, de rede, de faturação e de outra configuração. Pode adicionar outros utilizadores depois de concluir o Google Cloud processo de configuração.

Para adicionar utilizadores administrativos que realizam Google Cloud tarefas de configuração, faça o seguinte:

1. Migre contas de consumidor para contas de utilizador geridas controladas pelo Cloud Identity. Para ver passos detalhados, consulte o seguinte:

   • Migrar contas de consumidor.
   • Adicione utilizadores com contas não geridas.

2. Inicie sessão na consola do administrador Google com uma conta de superadministrador.

3. Use uma das seguintes opções para adicionar utilizadores:

   • Para adicionar utilizadores em massa, consulte o artigo Adicione ou atualize vários utilizadores a partir de um ficheiro CSV.
   • Para adicionar utilizadores individualmente, consulte o artigo Adicione uma conta para um novo utilizador.

4. Quando terminar de adicionar utilizadores, regresse a Google Cloud Configuração: utilizadores e grupos (criar utilizadores).

5. Clique em Continuar.

Adicione utilizadores administrativos a grupos

Adicione os utilizadores que criou a grupos administrativos que correspondam às respetivas funções.

1. Certifique-se de que criou utilizadores administrativos.

2. Em Google Cloud Configuração: utilizadores e grupos (adicione utilizadores a grupos), reveja os detalhes do passo.

3. Em cada linha Grupo, faça o seguinte:

   1. Clique em Adicionar membros.
   2. Introduza o endereço de email do utilizador.

   3. Na lista pendente Função do grupo, selecione as definições de autorização do grupo do utilizador. Para mais informações, consulte o artigo Defina quem pode ver, publicar e moderar.

      Cada membro herda todas as funções da IAM que atribui a um grupo, independentemente da função do grupo que selecionar.

   4. Para adicionar outro utilizador a este grupo, clique em Adicionar outro membro e repita estes passos. Recomendamos que adicione mais do que um membro a cada grupo.

   5. Quando terminar de adicionar utilizadores a este grupo, clique em Guardar.

4. Quando terminar com todos os grupos, clique em Confirmar utilizadores e grupos.

5. Se quiser federar o seu Fornecedor de identidade no Google Cloud, consulte o seguinte:

   • Arquiteturas de referência: usar um IdP externo.
   • Para aprovisionar automaticamente utilizadores e ativar o início de sessão único, consulte o seguinte:
     • Federe o Cloud ID com o Active Directory.
     • Federe o Cloud ID com o Microsoft Entra ID.
   • Para sincronizar utilizadores e grupos do Active Directory com o Google Cloud, use a Sincronização de diretórios ou a Sincronização de diretórios do Google Cloud.
     • Para uma comparação, consulte o artigo Compare a Sincronização de diretórios com a GCDS.

Associe o seu Fornecedor de identidade externo a Google Cloud

Pode usar o seu fornecedor de identidade existente para criar e gerir grupos e utilizadores. Configura o Início de sessão único Google Cloud configurando a federação de identidade da força de trabalho com o seu Fornecedor de identidade externo. Para ver os conceitos principais deste processo, consulte o artigo Federação de identidade da força de trabalho.

Para associar o seu fornecedor de identidade externo, conclui uma configuração guiada que inclui os seguintes passos:

1. Crie um Workforce Pool: um Workforce Identity Pool ajuda a gerir identidades e o respetivo acesso a recursos. Introduza os seguintes detalhes num formato legível por humanos.
   • ID do Workforce Pool: um identificador globalmente exclusivo usado na IAM.
   • ID do fornecedor: um nome para o seu fornecedor, que os utilizadores vão especificar quando iniciarem sessão no Google Cloud.
2. Configure Google Cloud no seu fornecedor: a configuração guiada inclui passos específicos para o seu fornecedor.
3. Introduza os detalhes do workforce pool do seu fornecedor: para adicionar o seu fornecedor como uma autoridade fidedigna para afirmar identidades, obtenha os detalhes do seu fornecedor e adicione-os a Google Cloud:
4. Configure um conjunto inicial de grupos administrativos: a configuração guiada inclui passos específicos para o seu fornecedor. Atribui grupos no seu fornecedor e estabelece uma ligação a Google Cloud. Para uma descrição detalhada de cada grupo, consulte o artigo Crie grupos administrativos.
5. Atribua utilizadores a cada grupo: recomendamos que atribua mais do que um utilizador a cada grupo.

Para ver informações gerais sobre o processo de associação para cada fornecedor, consulte o seguinte:

• Configure a federação de identidades da força de trabalho com o Azure AD e inicie sessão como utilizador.
• Configure a federação de identidades da força de trabalho com o Okta e inicie sessão nos utilizadores
• Para outros fornecedores que suportam OIDC ou SAML, consulte o artigo Configure a federação de identidades da força de trabalho

O que se segue?

Atribuir autorizações aos seus grupos de administradores.

Nesta tarefa, vai usar a gestão de identidades e acessos (IAM) para atribuir conjuntos de autorizações a grupos de administradores ao nível da organização. Este processo dá aos administradores visibilidade e controlo centralizados sobre todos os recursos da nuvem que pertencem à sua organização.

Para uma vista geral do Identity and Access Management no Google Cloud, consulte a vista geral do IAM.

Quem realiza esta tarefa

Para realizar esta tarefa, tem de ser um dos seguintes:

• Um utilizador superadministrador.
• Um utilizador com a função de administrador da organização (roles/resourcemanager.organizationAdmin).

O que faz nesta tarefa

• Reveja uma lista de funções predefinidas atribuídas a cada grupo de administradores que criou na tarefa Utilizadores e grupos.

• Se quiser personalizar um grupo, pode fazer o seguinte:

  • Adicione ou remova funções.
  • Se não planeia usar um grupo, pode eliminá-lo.

Por que motivo recomendamos esta tarefa

Tem de conceder explicitamente todas as funções administrativas da sua organização. Esta tarefa ajuda a implementar as seguintes práticas recomendadas de segurança:

• Princípio do menor privilégio: conceda aos utilizadores as autorizações mínimas necessárias para desempenharem as respetivas funções e remova o acesso assim que deixar de ser necessário.

• Controlo de acesso baseado em funções (RBAC): atribua autorizações a grupos de utilizadores de acordo com as respetivas funções. Não conceda funções a contas de utilizadores individuais.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.

Conceda acesso a grupos de administradores

Para conceder o acesso adequado a cada grupo de administradores que criou na tarefa Utilizadores e grupos, reveja as funções predefinidas atribuídas a cada grupo. Pode adicionar ou remover funções para personalizar o acesso de cada grupo.

1. Certifique-se de que tem sessão iniciada na Google Cloud consola como utilizador superadministrador.

   Em alternativa, pode iniciar sessão como um utilizador com a função de administrador da organização (roles/resourcemanager.organizationAdmin).

2. Aceda a Google Cloud Configuração: acesso administrativo.

   Aceda a Acesso administrativo

3. Selecione o nome da sua organização na lista pendente Selecionar de na parte superior da página.

4. Reveja a vista geral da tarefa e clique em Continuar acesso administrativo.

5. Reveja os grupos na coluna Grupo (principal) que criou na tarefa Utilizadores e grupos.

6. Para cada grupo, reveja as funções de IAM predefinidas. Pode adicionar ou remover funções atribuídas a cada grupo para se adequarem às necessidades únicas da sua organização.

   Cada função contém várias autorizações que permitem aos utilizadores realizar tarefas relevantes. Para mais informações sobre as autorizações em cada função, consulte a referência de funções básicas e predefinidas do IAM.

7. Quando tiver tudo pronto para atribuir funções a cada grupo, clique em Guardar e conceder acesso.

O que se segue?

Configure a faturação.

Nesta tarefa, configura uma conta de faturação para pagar os Google Cloud recursos. Para o fazer, associa uma das seguintes opções à sua organização.

• Uma conta do Cloud Billing existente. Se não tiver acesso à conta, pode solicitá-lo ao administrador da conta de faturação.

• Uma nova conta do Cloud Billing.

Para mais informações sobre a faturação, consulte a documentação da Faturação do Google Cloud.

Quem realiza esta tarefa

Uma pessoa no gcp-billing-admins@YOUR_DOMAIN grupo que criou na tarefa Utilizadores e grupos.

O que faz nesta tarefa

• Crie ou use uma conta do Cloud Billing autónoma existente.
• Decidir se quer fazer a transição de uma conta autónoma para uma conta faturada.
• Configure uma conta do Cloud Billing e um método de pagamento.

Por que motivo recomendamos esta tarefa

As contas do Cloud Billing estão associadas a um ou mais Google Cloud projetos e são usadas para pagar os recursos que usa, como máquinas virtuais, trabalho em rede e armazenamento.

Determine o tipo de conta de faturação

A conta de faturação que associa à sua organização é de um dos seguintes tipos.

• Autónomo (ou online): inscreva-se online através de um cartão de crédito ou débito. Recomendamos esta opção se for uma pequena empresa ou um indivíduo. Quando se inscreve online numa conta de faturação, a sua conta é configurada automaticamente como uma conta de autosserviço.

• Faturada (ou offline). Se já tiver uma conta de faturação autónoma, pode ser elegível para se candidatar à faturação mensal se a sua empresa cumprir os requisitos de elegibilidade.

Não pode criar uma conta faturada online, mas pode candidatar-se à conversão de uma conta de autosserviço numa conta faturada.

Para mais informações, consulte o artigo Tipos de contas do Cloud Billing.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções do IAM a grupos na tarefa Acesso administrativo.

Configure a conta de faturação

Agora que escolheu um tipo de conta de faturação, associe a conta de faturação à sua organização. Quando concluir este processo, pode usar a sua conta de faturação para pagar os Google Cloud recursos.

1. Inicie sessão na Google Cloud consola como um utilizador do grupo gcp-billing-admins@YOUR_DOMAIN.

2. Aceda a Google Cloud Configuração: Faturação.

   Aceder a Faturação

3. Reveja a vista geral da tarefa e, de seguida, clique em Continuar faturação.

4. Selecione uma das seguintes opções de conta de faturação:

   Criar uma nova conta

   Se a sua organização não tiver uma conta, crie uma nova.

   1. Selecione Quero criar uma nova conta de faturação.
   2. Clique em Continuar.

   3. Selecione o tipo de conta de faturação que quer criar. Para ver passos detalhados, consulte o seguinte:

      • Para criar uma nova conta autónoma, consulte o artigo Crie uma nova conta de faturação do Google Cloud autónoma.
      • Para fazer a transição de uma conta de autosserviço existente para a faturação com fatura, consulte o artigo Candidate-se à faturação mensal.

   4. Confirme que a sua conta de faturação foi criada:

      1. Se criou uma conta com faturação mensal, aguarde até 5 dias úteis para receber a confirmação por email.

      2. Aceda à página Faturação.

      3. Selecione a sua organização na lista Selecionar de na parte superior da página. Se a conta tiver sido criada com êxito, é apresentada na lista de contas de faturação.

   Usar a minha conta existente

   Se tiver uma conta de faturação existente, pode associá-la à sua organização.

   1. Selecione Identifiquei uma conta de faturação nesta lista que quero usar para concluir os passos de configuração.
   2. Na lista pendente Faturação, selecione a conta que quer associar à sua organização.
   3. Clique em Continuar.
   4. Reveja os detalhes e clique em Confirmar conta de faturação.

   Use a conta de outro utilizador

   Se outro utilizador tiver acesso a uma conta de faturação existente, pode pedir-lhe que associe a conta de faturação à sua organização ou que lhe conceda acesso para concluir a associação.

   1. Selecione Quero usar uma conta de faturação gerida por outra conta de utilizador Google.
   2. Clique em Continuar.
   3. Introduza o endereço de email do administrador da conta de faturação.
   4. Clique em Contactar administrador.
   5. Aguarde que o administrador da conta de faturação entre em contacto consigo com mais instruções.

O que se segue?

Crie uma hierarquia de recursos e atribua acesso.

Nesta tarefa, configura a hierarquia de recursos criando e atribuindo acesso aos seguintes recursos:

Pastas

Fornecem um mecanismo de agrupamento e limites de isolamento entre projetos. Por exemplo, as pastas podem representar departamentos na sua organização, como finanças ou retalho.

As pastas de ambiente, como Production, na hierarquia de recursos são pastas ativadas para apps. Pode definir e gerir aplicações nestas pastas.

Projetos

Contenha os seus Google Cloud recursos, como máquinas virtuais, bases de dados e contentores de armazenamento. Cada pasta com apps ativadas também contém um projeto de gestão, que ajuda a gerir o acesso, a faturação, a observabilidade e outras funções administrativas para as suas aplicações.

Para ver considerações de design e práticas recomendadas para organizar os seus recursos em projetos, consulte o artigo Decida uma hierarquia de recursos para a sua Google Cloud zona de destino.

Quem realiza esta tarefa

Uma pessoa no gcp-organization-admins@YOUR_DOMAIN grupo que criou na tarefa Utilizadores e grupos pode realizar esta tarefa.

O que faz nesta tarefa

• Crie uma estrutura de hierarquia inicial que inclua pastas e projetos.
• Defina políticas de IAM para controlar o acesso às suas pastas e projetos.

Por que motivo recomendamos esta tarefa

A criação de uma estrutura para pastas e projetos ajuda a gerir Google Cloud recursos e aplicações. Pode usar a estrutura para atribuir acesso com base na forma como a sua organização opera. Por exemplo, pode organizar e conceder acesso com base na coleção única da sua organização de regiões geográficas, estruturas subsidiárias ou frameworks de responsabilidade.

Planeie a hierarquia de recursos

A hierarquia de recursos ajuda a criar limites e a partilhar recursos na sua organização para tarefas comuns. Cria a sua hierarquia através de uma das seguintes configurações iniciais, com base na estrutura da sua organização:

• Simples e orientado para o ambiente:

  • Isolar ambientes como Non-production e Production.
  • Implemente políticas distintas, requisitos regulamentares e controlos de acesso em cada pasta de ambiente.
  • Bom para pequenas empresas com ambientes centralizados.

• Simples e orientado para a equipa:

  • Isolar equipas como Development e QA.
  • Isolar o acesso aos recursos através de pastas de ambiente secundárias em cada pasta de equipa.
  • Bom para pequenas empresas com equipas autónomas.

• Orientado para o ambiente:

  • Priorize o isolamento de ambientes como Non-production e Production.
  • Em cada pasta de ambiente, isole as unidades de negócio.
  • Isolar equipas em cada unidade de negócio.
  • É uma boa opção para grandes empresas com ambientes centralizados.

• Orientado para a unidade de negócio:

  • Priorize o isolamento de unidades empresariais, como Human Resources e Engineering, para ajudar a garantir que os utilizadores só podem aceder aos recursos e aos dados de que precisam.
  • Isolar equipas em cada unidade de negócio.
  • Isolar ambientes em cada equipa.
  • É uma boa opção para grandes empresas com equipas autónomas.

Cada configuração tem uma pasta Common para projetos que contêm recursos partilhados. Isto pode incluir o registo e a monitorização de projetos.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções de IAM a grupos na tarefa Acesso administrativo.
• Crie ou associe uma conta de faturação na tarefa Faturação.

Configure pastas e projetos iniciais

Selecione a hierarquia de recursos que representa a estrutura da sua organização.

Para configurar pastas e projetos iniciais, faça o seguinte:

1. Inicie sessão na Google Cloud consola como um utilizador do grupo gcp-organization-admins@YOUR_DOMAINque criou na tarefa Utilizadores e grupos.

2. Selecione a sua organização na lista pendente Selecionar de na parte superior da página.

3. Aceda a Google Cloud Configuração: hierarquia e acesso.

   Aceda a Hierarquia e acesso

4. Reveja a vista geral da tarefa e, de seguida, clique em Iniciar junto a Hierarquia de recursos.

5. Selecione uma configuração inicial.

6. Clique em Continuar e configurar.

7. Personalize a hierarquia de recursos para refletir a estrutura organizacional. Por exemplo, pode personalizar o seguinte:

   • Nomes das pastas.

   • Projetos de serviço para cada equipa. Para conceder acesso a projetos de serviço, pode criar o seguinte:

     • Um grupo para cada projeto de serviço.
     • Utilizadores em cada grupo.

     Para uma vista geral dos projetos de serviço, consulte o artigo VPC partilhada.

   • Projetos necessários para a monitorização, o registo e a rede.

   • Projetos personalizados.

8. Clique em Continuar.

9. Conceda acesso às suas pastas e projetos.

Conceda acesso às suas pastas e projetos

Na tarefa Acesso administrativo, concedeu acesso administrativo a grupos ao nível da organização. Nesta tarefa, vai configurar o acesso a grupos que interagem com as pastas e os projetos recém-configurados.

Os projetos, as pastas e as organizações têm as suas próprias políticas de IAM, que são herdadas através da hierarquia de recursos:

• Organização: as políticas aplicam-se a todas as pastas e projetos na organização.
• Pasta: as políticas aplicam-se a projetos e outras pastas na pasta.
• Projeto: as políticas aplicam-se apenas a esse projeto e aos respetivos recursos.

Atualize as políticas IAM das suas pastas e projetos:

1. Na secção Configurar controlo de acesso de Hierarquia e acesso, conceda aos seus grupos acesso às suas pastas e projetos:

   1. Na tabela, reveja a lista de funções de IAM recomendadas concedidas a cada grupo para cada recurso.

   2. Se quiser modificar as funções atribuídas a cada grupo, clique em Editar na linha pretendida.

      Para mais informações sobre cada função, consulte o artigo Funções básicas e predefinidas do IAM.

2. Clique em Continuar.

3. Reveja as alterações e clique em Confirmar configuração de rascunho.

Configure a faturação para projetos de gestão

Depois de implementar a configuração, tem de configurar a faturação para cada projeto de gestão. A conta de faturação é necessária para pagar as APIs que têm custos associados. Para mais informações, consulte o artigo Associe uma conta de faturação ao projeto de gestão.

O que se segue?

Configure as definições de segurança.

Nesta tarefa, vai configurar definições e produtos de segurança para ajudar a proteger a sua organização.

Quem realiza esta tarefa

Tem de ter um dos seguintes elementos para concluir esta tarefa:

• A função de administrador da organização (roles/resourcemanager.organizationAdmin).
• Associação a um dos seguintes grupos que criou na tarefa Utilizadores e grupos:
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

O que faz nesta tarefa

Aplique políticas da organização recomendadas com base nas seguintes categorias:

• Gestão de acessos.
• Comportamento da conta de serviço.
• Configuração da rede da VPC.
• Cloud KMS com Autokey: só disponível para a opção base de segurança melhorada.

Também ativa o Security Command Center para centralizar os relatórios de vulnerabilidades e ameaças.

Por que motivo recomendamos esta tarefa

A aplicação de políticas organizacionais recomendadas ajuda a limitar as ações dos utilizadores que não se alinham com a sua postura de segurança.

A ativação do Security Command Center ajuda a criar uma localização central para analisar vulnerabilidades e ameaças.

A aplicação e a automatização do Cloud KMS com o Autokey ajudam a usar chaves de encriptação geridas pelo cliente (CMEKs) de forma consistente para proteger os seus recursos.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções de IAM a grupos na tarefa Acesso administrativo.

Inicie a tarefa de segurança

1. Inicie sessão na Google Cloud consola com um utilizador que identificou em Quem realiza esta tarefa.

2. Selecione a sua organização no menu pendente Selecionar de na parte superior da página.

3. Aceda a Google Cloud Configuração: segurança.

   Aceda à segurança

4. Reveja a vista geral da tarefa e, de seguida, clique em Iniciar segurança.

Centralize os relatórios de vulnerabilidades e ameaças

Para centralizar os serviços de relatórios de vulnerabilidades e ameaças, ative o Security Command Center. Isto ajuda a reforçar a sua postura de segurança e a mitigar riscos. Para mais informações, consulte o artigo Vista geral do Security Command Center.

1. Na página Google Cloud Configuração: segurança, certifique-se de que a caixa de verificação Ativar Security Command Center: Standard está ativada.

   Esta tarefa ativa o nível Standard gratuito. Pode atualizar para a versão Premium mais tarde. Para mais informações, consulte o artigo Níveis de serviço do Security Command Center.

2. Clique em Aplicar definições das SCCs.

Aplique políticas organizacionais recomendadas

As políticas de organização aplicam-se ao nível da organização e são herdadas por pastas e projetos. Nesta tarefa, reveja e aplique a lista de políticas recomendadas. Pode modificar as políticas da organização em qualquer altura. Para mais informações, consulte o artigo Introdução ao serviço de políticas de organização.

1. Reveja a lista de políticas da organização recomendadas. Se não quiser aplicar uma política recomendada, clique na respetiva caixa de verificação para a remover.

   Para uma explicação detalhada de cada política de organização, consulte Restrições da política de organização.

2. Clique em Confirmar configurações da política da organização.

As políticas organizacionais que selecionar são aplicadas quando implementar a sua configuração numa tarefa posterior.

Aplique e automatize as chaves de encriptação do cliente

O Cloud KMS com Autokey permite que os programadores na sua organização criem chaves de encriptação simétricas quando necessário para proteger os seus recursos Google Cloud. Pode configurar o Cloud KMS com a chave automática se tiver selecionado a opção de base de segurança melhorada.

1. Reveja a descrição do Cloud KMS com a chave automática e, de seguida, para Usar o Cloud KMS com a chave automática e aplicar políticas organizacionais, clique em Sim (recomendado).
2. Clique em Confirmar configuração de gestão de chaves.

As seguintes configurações são aplicadas quando implementa a sua configuração numa tarefa posterior:

• Configure um projeto Autokey em cada pasta de ambiente da sua hierarquia.
• Ative o Cloud KMS com a chave automática nas pastas de ambiente.
• Exigir a utilização de chaves de encriptação geridas pelo cliente (CMEKs) para recursos criados em cada pasta de ambiente.
• Restrinja cada pasta para usar apenas chaves do Cloud KMS no projeto Autokey dessa pasta.

O que se segue?

Registo e monitorização centralizados.

Nesta tarefa, configura o seguinte:

• Registo centralizado para ajudar a analisar e obter estatísticas a partir dos registos de todos os projetos da sua organização.
• Monitorização centralizada para ajudar a visualizar métricas em todos os projetos criados nesta configuração.

Quem realiza esta tarefa

Para configurar o registo e a monitorização, tem de ter um dos seguintes:

• As funções de administrador de registo (roles/logging.admin) e administrador de monitorização (roles/monitoring.admin).
• Associação a um dos seguintes grupos que criou na tarefa Utilizadores e grupos:
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

O que faz nesta tarefa

Nesta tarefa, faz o seguinte:

• Organize centralmente os registos criados em projetos em toda a sua organização para ajudar com a segurança, a auditoria e a conformidade.
• Configure um projeto de monitorização central para ter acesso às métricas de monitorização nos projetos que criou nesta configuração.

Por que motivo recomendamos esta tarefa

O armazenamento e a retenção de registos simplificam a análise e preservam a sua trilha de auditoria. A monitorização central dá-lhe uma vista das métricas num único local.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções do IAM a grupos na tarefa Acesso administrativo.
• Crie ou associe uma conta de faturação na tarefa Faturação.
• Configure a hierarquia e atribua acesso na tarefa Hierarquia e acesso.

Organize os registos de forma centralizada

O Cloud Logging ajuda a armazenar, pesquisar, analisar, monitorizar e alertar sobre dados de registos e eventos da Google Cloud. Também pode recolher e processar registos das suas aplicações, recursos no local e outras nuvens. Recomendamos que use o Cloud Logging para consolidar os registos num único contentor de registos.

Para mais informações, consulte o seguinte:

• Para uma vista geral, consulte o artigo Vista geral do encaminhamento e do armazenamento.
• Para obter informações sobre o registo de recursos no local, consulte o artigo Registo de recursos no local com o BindPlane.
• Para ver os passos para alterar o filtro de registo depois de implementar a configuração, consulte os filtros de inclusão.

Para armazenar os seus dados de registos num contentor de registos central, faça o seguinte:

1. Inicie sessão na Google Cloud consola como um utilizador que identificou em Quem realiza esta tarefa.

2. Selecione a sua organização na lista pendente Selecionar de na parte superior da página.

3. Aceda a Google Cloud Configuração: registo e monitorização centralizados.

   Aceda ao registo e monitorização centralizados

4. Reveja a vista geral da tarefa e clique em Iniciar registo e monitorização centralizados.

5. Reveja os detalhes da tarefa.

6. Para encaminhar os registos para um contentor de registos central, certifique-se de que a opção Armazenar registos de auditoria ao nível da organização num contentor de registos está selecionada.

7. Expanda Encaminhar registos para um contentor de registos do Logging e faça o seguinte:

   1. No campo Nome do contentor de registos, introduza um nome para o contentor de registos central.

   2. Na lista Região do contentor de registos, selecione a região onde os seus dados de registo estão armazenados.

      Para mais informações, consulte o artigo Localizações dos contentores de registos.

   3. Por predefinição, os registos são armazenados durante 30 dias. Recomendamos que as grandes empresas armazenem registos durante 365 dias. Para personalizar o período de retenção, introduza o número de dias no campo Período de retenção.

      Os registos armazenados durante mais de 30 dias incorrem num custo de retenção. Para mais informações, consulte o resumo dos preços do Cloud Logging.

Exporte registos fora do Google Cloud

Se quiser exportar registos para um destino fora do Google Cloud, pode exportar através do Pub/Sub. Por exemplo, se usar vários fornecedores de nuvem, pode decidir exportar dados de registo de cada fornecedor de nuvem para uma ferramenta de terceiros.

Pode filtrar os registos que exporta para satisfazer as suas necessidades e requisitos únicos. Por exemplo, pode optar por limitar os tipos de registos que exporta para controlar os custos ou reduzir o ruído nos seus dados.

Para mais informações sobre a exportação de registos, consulte o seguinte:

• Para uma vista geral, consulte o artigo O que é o Pub/Sub?
• Para ver informações de preços, consulte o seguinte:
  • Preços do Pub/Sub.
  • Práticas recomendadas para os registos de auditoria do Cloud: preços.
• Para obter informações sobre o streaming para o Splunk, consulte o artigo Transmita registos do Google Cloud para o Splunk.

Para exportar registos, faça o seguinte:

1. Clique em Transmita os seus registos para outras aplicações, outros repositórios ou terceiros.

2. No campo ID do tópico do Pub/Sub, introduza um identificador para o tópico que contém os registos exportados. Para obter informações sobre como subscrever um tópico, consulte Subscrições de obtenção.

3. Para selecionar os registos a exportar, faça o seguinte:

   1. Para ver informações sobre cada tipo de registo, consulte o artigo Compreenda os registos de auditoria do Cloud.

   2. Para impedir a exportação de um dos seguintes registos recomendados, clique na lista Filtro de inclusão e desmarque a caixa de verificação do registo:

      • Registos de auditoria da nuvem: atividade de administrador: chamadas API ou ações que modificam a configuração ou os metadados dos recursos.
      • Registos de auditoria da nuvem: evento do sistema: Google Cloud ações que modificam a configuração dos recursos.
      • Transparência de acesso: ações que o pessoal da Google realiza quando acede ao conteúdo do cliente.

   3. Selecione os seguintes registos adicionais para os exportar:

      • Registos de auditoria do Cloud: acesso a dados: chamadas API que leem a configuração ou os metadados dos recursos, e chamadas API orientadas pelo utilizador que criam, modificam ou leem os dados dos recursos fornecidos pelo utilizador.
      • Registos de auditoria da nuvem: política recusada: Google Cloud recusas de acesso ao serviço a contas de utilizador ou de serviço, com base em violações da política de segurança.

   4. Os registos que selecionar neste passo só são exportados se estiverem ativados nos seus projetos ou recursos. Para ver os passos para alterar o filtro de registo para os seus projetos e recursos depois de implementar a configuração, consulte os Filtros de inclusão.

   5. Clique em OK.

4. Clique em Continuar para monitorização.

Configure a monitorização central

A monitorização central ajuda a analisar o estado, o desempenho e a segurança do sistema para vários projetos. Nesta tarefa, adiciona os projetos que criou durante a tarefa Hierarquia e acesso a um projeto de âmbito. Em seguida, pode monitorizar esses projetos a partir do projeto de âmbito. Depois de concluir a configuração do Cloud, pode configurar outros projetos para serem monitorizados pelo projeto de âmbito.

Para mais informações, consulte o artigo Vista geral do âmbito das métricas.

Para configurar a monitorização central, faça o seguinte:

1. Para configurar projetos criados durante a Google Cloud configuração para monitorização central, certifique-se de que a opção Usar monitorização central está selecionada.

   Os projetos que criou durante a Google Cloud configuração são adicionados ao âmbito das métricas do projeto de âmbito indicado.

2. O Cloud Monitoring inclui uma atribuição mensal gratuita. Para mais informações, consulte o resumo dos preços do Cloud Monitoring.

3. Para ver os passos de configuração de projetos que cria fora da Google Cloud configuração, consulte o seguinte:

   • Configure um âmbito das métricas.
   • Limites de projetos monitorizados.

Conclua a configuração

Para concluir a tarefa de registo e monitorização, faça o seguinte:

1. Clique em Confirmar configuração.

2. Reveja os detalhes da configuração de registo e monitorização. A sua configuração não é implementada até implementar as definições numa tarefa posterior.

O que se segue?

Configure a configuração de rede inicial.

Nesta tarefa, configura a configuração de rede inicial, que pode dimensionar à medida que as suas necessidades mudam.

Arquitetura da nuvem virtual privada

Uma rede de nuvem privada virtual (VPC) é uma versão virtual de uma rede física implementada na rede de produção da Google. Uma rede VPC é um recurso global que consiste em sub-redes (subnets) regionais.

As redes VPC oferecem capacidades de rede aos seus recursos, como instâncias de máquinas virtuais do Compute Engine, contentores do GKE e instâncias do ambiente flexível do App Engine. Google Cloud

A VPC partilhada liga recursos de vários projetos a uma rede VPC comum para que possam comunicar entre si através dos endereços IP internos da rede. O diagrama seguinte mostra a arquitetura básica de uma rede VPC partilhada com projetos de serviço anexados.

Quando usa a VPC partilhada, designa um projeto anfitrião e anexa um ou mais projetos de serviço ao mesmo. As redes da nuvem virtual privada no projeto anfitrião são denominadas redes da VPC partilhada.

O diagrama de exemplo tem projetos anfitriões de produção e não produção, que contêm cada um uma rede de VPC partilhada. Pode usar um projeto anfitrião para gerir centralmente o seguinte:

• Trajetos
• Firewalls
• Ligações VPN
• Sub-redes

Um projeto de serviço é qualquer projeto anexado a um projeto anfitrião. Pode partilhar sub-redes, incluindo intervalos secundários, entre projetos de anfitrião e de serviço.

Nesta arquitetura, cada rede VPC partilhada contém sub-redes públicas e privadas:

• A sub-rede pública pode ser usada por instâncias viradas para a Internet para conectividade externa.
• A sub-rede privada pode ser usada por instâncias viradas para o interior às quais não são atribuídos endereços IP públicos.

Nesta tarefa, cria uma configuração de rede inicial com base no diagrama de exemplo.

Quem realiza esta tarefa

Precisa de um dos seguintes elementos para realizar esta tarefa:

• A função de roles/compute.networkAdmin.
• Inclusão no gcp-network-admins@YOUR_DOMAIN grupo que criou na tarefa Utilizadores e grupos.

O que faz nesta tarefa

Crie uma configuração de rede inicial, incluindo o seguinte:

• Crie vários projetos anfitriões para refletir os seus ambientes de desenvolvimento.
• Crie uma rede VPC partilhada em cada projeto anfitrião para permitir que recursos distintos partilhem a mesma rede.
• Crie sub-redes distintas em cada rede VPC partilhada para fornecer acesso à rede a projetos de serviço.

Por que motivo recomendamos esta tarefa

As equipas distintas podem usar a VPC partilhada para estabelecer ligação a uma rede VPC comum gerida centralmente.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções do IAM a grupos na tarefa Acesso administrativo.
• Crie ou associe uma conta de faturação na tarefa Faturação.
• Configure a hierarquia e atribua acesso na tarefa Hierarquia e acesso.

Configure a arquitetura de rede

Crie a sua configuração de rede inicial com dois projetos anfitriões para segmentar cargas de trabalho de produção e não produção. Cada projeto anfitrião contém uma rede VPC partilhada, que pode ser usada por vários projetos de serviço. Configura os detalhes da rede e, em seguida, implementa um ficheiro de configuração numa tarefa posterior.

Para configurar a sua rede inicial, faça o seguinte.

1. Inicie sessão na Google Cloud consola como um utilizador do grupo gcp-organization-admins@YOUR_DOMAINque criou na tarefa Utilizadores e grupos.

2. Selecione a sua organização na lista pendente Selecionar uma organização na parte superior da página.

3. Aceda a Google Cloud Configuração: rede.

   Aceda a Redes

4. Reveja a arquitetura de rede predefinida.

5. Para editar o nome da rede, faça o seguinte:

   1. Clique em more_vert Ações
   2. Selecione Editar nome da rede.
   3. No campo Nome da rede, introduza letras minúsculas, números ou hífens. O nome da rede não pode exceder 25 carateres.
   4. Clique em Guardar.

Modifique os detalhes da firewall

As regras de firewall predefinidas no projeto anfitrião baseiam-se nas práticas recomendadas. Pode optar por desativar uma ou mais das regras de firewall predefinidas. Para informações gerais sobre as regras de firewall, consulte o artigo Regras de firewall da VPC.

Para modificar as definições da firewall, faça o seguinte:

1. Clique em more_vert Ações.

2. Selecione Editar regras de firewall.

3. Para ver informações detalhadas sobre cada regra de firewall predefinida, consulte o artigo Regras pré-preenchidas na rede predefinida.

4. Para desativar uma regra de firewall, desmarque a caixa de verificação correspondente.

5. Para desativar o Registo de regras de firewall, clique em Desativado.

   Por predefinição, o tráfego de e para as instâncias do Compute Engine é registado para fins de auditoria. Este processo implica custos. Para mais informações, consulte o artigo Registo de regras da firewall.

6. Clique em Guardar.

Modifique os detalhes da sub-rede

Cada rede VPC contém, pelo menos, uma sub-rede, que é um recurso regional com um intervalo de endereços IP associado. Nesta configuração multirregional, tem de ter, pelo menos, duas sub-redes com intervalos de IP não sobrepostos.

Para mais informações, consulte o artigo Sub-redes.

Cada sub-rede está configurada com as práticas recomendadas. Se quiser personalizar cada sub-rede, faça o seguinte:

1. Clique em more_vert Ações
2. Selecione Editar sub-redes.
3. No campo Nome, introduza letras minúsculas, números ou hífenes. O nome da sub-rede não pode exceder 25 carateres.

4. No menu pendente Região, selecione uma região perto do seu ponto de serviço.

   Recomendamos uma região diferente para cada sub-rede. Não pode alterar a região depois de implementar a configuração. Para obter informações sobre como escolher uma região, consulte o artigo Recursos regionais.

5. No campo Intervalo de endereços IP, introduza um intervalo na notação CIDR, por exemplo, 10.0.0.0/24.

   O intervalo que introduzir não pode sobrepor-se a outras sub-redes nesta rede. Para ver informações sobre intervalos válidos, consulte o artigo Intervalos de sub-redes IPv4.

6. Repita estes passos para a sub-rede 2.

7. Para configurar sub-redes adicionais nesta rede, clique em Adicionar sub-rede e repita estes passos.

8. Clique em Guardar.

As suas sub-redes são configuradas automaticamente de acordo com as práticas recomendadas. Se quiser modificar a configuração, na página Google Cloud Configuração: redes VPC, faça o seguinte:

1. Para desativar os registos de fluxo da VPC, na coluna Registos de fluxo, selecione Desativar.

   Quando os registos de fluxo estão ativados, cada sub-rede regista fluxos de rede que pode analisar para fins de segurança, otimização de despesas e outros. Para mais informações, consulte o artigo Use os registos de fluxo da VPC.

   Os registos de fluxo da VPC incorrem em custos. Para mais informações, consulte os preços da Virtual Private Cloud.

2. Para desativar o acesso privado da Google, na coluna Acesso privado, selecione Desativado.

   Quando o acesso privado à Google está ativado, as instâncias de VM que não têm endereços IP externos podem aceder às APIs e aos serviços Google. Para mais informações, consulte o acesso privado à Google.

3. Para ativar o Cloud NAT, na coluna Cloud NAT, selecione Ativado.

   Quando a NAT na nuvem está ativada, determinados recursos podem criar ligações de saída à Internet. Para mais informações, consulte o artigo Vista geral do Cloud NAT.

   O Cloud NAT incorre em custos. Para mais informações, consulte os preços da Virtual Private Cloud.

4. Clique em Continuar para associar projetos de serviço.

Associe projetos de serviço aos seus projetos anfitriões

Um projeto de serviço é qualquer projeto que tenha sido anexado a um projeto anfitrião. Esta associação permite que o projeto de serviço participe na VPC partilhada. Cada projeto de serviço pode ser operado e administrado por diferentes departamentos ou equipas para criar uma separação de responsabilidades.

Para mais informações sobre como associar vários projetos a uma rede VPC comum, consulte a vista geral da VPC partilhada.

Para associar projetos de serviço aos seus projetos anfitriões e concluir a configuração, faça o seguinte:

1. Para cada sub-rede na tabela Redes de VPC partilhada, selecione um projeto de serviço para ligar. Para o fazer, selecione no menu pendente Selecionar um projeto na coluna Projeto de serviço.

   Pode associar um projeto de serviço a várias sub-redes.

2. Clique em Continuar para revisão.

3. Reveja a configuração e faça alterações.

   Pode fazer edições até implementar o ficheiro de configuração.

4. Clique em Confirmar configuração do rascunho. A configuração de rede é adicionada ao ficheiro de configuração.

   A sua rede não é implementada até implementar o ficheiro de configuração numa tarefa posterior.

O que se segue?

Configure a conetividade híbrida, que ajuda a ligar servidores no local ou outros fornecedores de nuvem ao Google Cloud.

Nesta tarefa, estabelece ligações entre as suas redes de pares (nas instalações ou noutra nuvem) e as suas redes Google Cloud , como no diagrama seguinte.

Este processo cria uma VPN de HA, que é uma solução de alta disponibilidade (HA) que pode criar rapidamente para transmitir dados através da Internet pública.

Depois de implementar a sua Google Cloud configuração, recomendamos que crie uma ligação mais robusta através do Cloud Interconnect.

Para mais informações sobre as ligações entre redes ponto a ponto e Google Cloud, consulte o seguinte:

• Vista geral da Cloud VPN
• Escolher um produto de conetividade de rede

Quem realiza esta tarefa

Tem de ter a função de administrador da organização (roles/resourcemanager.organizationAdmin).

O que faz nesta tarefa

Crie ligações de baixa latência e alta disponibilidade entre as suas redes VPC e as suas redes nas instalações ou noutras nuvens. Configura os seguintes componentes:

• Google Cloud Gateway de VPN de HA: um recurso regional que tem duas interfaces, cada uma com o seu próprio endereço IP. Especifica o tipo de pilha de IP, que determina se o tráfego IPv6 é suportado na sua ligação. Para ver informações gerais, consulte o artigo HA VPN.
• Gateway de VPN de intercâmbio: o gateway na sua rede de intercâmbio ao qual o gateway de VPN de HA se liga. Google CloudIntroduza os endereços IP externos que o gateway do seu par usa para estabelecer ligação a Google Cloud. Para informações gerais, consulte o artigo Configure o gateway de VPN de intercâmbio.
• Cloud Router: usa o Border Gateway Protocol (BGP) para trocar dinamicamente rotas entre a sua VPC e redes de pares. Atribui um número do sistema autónomo (ASN) como um identificador para o seu Cloud Router e especifica o ASN que o seu router de pares usa. Para informações gerais, consulte o artigo Crie um Cloud Router para ligar uma rede de VPC a uma rede de pares.
• Túneis de VPN: ligam o gateway Google Cloud ao gateway de intercâmbio. Especifica o protocolo de troca de chaves da Internet (IKE) a usar para estabelecer o túnel. Pode introduzir a sua própria chave IKE gerada anteriormente ou gerar e copiar uma nova chave. Para informações gerais, consulte o artigo Configure o IKE.

Por que motivo recomendamos esta tarefa

Uma VPN de AD oferece uma ligação segura e altamente disponível entre a sua infraestrutura existente e Google Cloud.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções do IAM a grupos na tarefa Acesso administrativo.
• Crie ou associe uma conta de faturação na tarefa Faturação.
• Configure a hierarquia e atribua acesso na tarefa Hierarquia e acesso.
• Configure a sua rede na tarefa Redes VPC.

Recolha as seguintes informações junto do administrador da rede ponto a ponto:

• O nome do gateway de VPN de intercâmbio: o gateway ao qual o Cloud VPN se liga.
• Endereço IP da interface de pares 0: um endereço IP externo no gateway da sua rede de pares.
• Endereço IP da interface de pares 1: um segundo endereço externo ou pode reutilizar o endereço IP 0 se a sua rede de pares tiver apenas um endereço IP externo.
• Número do sistema autónomo (ASN) de pares: um identificador exclusivo atribuído ao router da sua rede de pares.
• ASN do Cloud Router: um identificador exclusivo que atribui ao seu Cloud Router.
• Chaves do Internet Key Exchange (IKE): chaves que usa para estabelecer dois túneis de VPN com o seu gateway de VPN de pares. Se não tiver chaves existentes, pode gerá-las durante esta configuração e, em seguida, aplicá-las ao seu gateway de pares.

Configure as suas associações

Faça o seguinte para ligar as suas redes VPC às redes pares:

1. Inicie sessão como um utilizador com a função de administrador da organização.

2. Selecione a sua organização na lista pendente Selecionar de na parte superior da página.

3. Aceda a Google Cloud Configuração: conetividade híbrida.

   Aceda à conetividade híbrida

4. Reveja os detalhes da tarefa fazendo o seguinte:

   1. Reveja a vista geral da tarefa e clique em Iniciar conetividade híbrida.

   2. Clique em cada separador para saber mais sobre a conetividade híbrida e clique em Continuar.

   3. Veja o que esperar em cada passo da tarefa e clique em Continuar.

   4. Reveja as informações de configuração do gateway de pares que tem de recolher e clique em Continuar.

5. Na área Ligações híbridas, identifique as redes VPC que quer associar, com base nas necessidades da sua empresa.

6. Na linha da primeira rede que escolheu, clique em Configurar.

7. Na área Vista geral da configuração, leia a descrição e clique em Seguinte.

8. Na área Google Cloud Gateway de HA VPN, faça o seguinte:

   1. No campo Nome do gateway de VPN na nuvem, introduza até 60 carateres com letras minúsculas, números e hífenes.

   2. Na área Tipo de pilha de IP interno do túnel de VPN, selecione um dos seguintes tipos de pilha:

      • IPv4 e IPv6 (recomendado): pode suportar tráfego IPv4 e IPv6. Recomendamos esta definição se planear permitir tráfego IPv6 no seu túnel.
      • IPv4: só pode suportar tráfego IPv4.

      O tipo de pilha determina o tipo de tráfego permitido no túnel entre a sua rede da VPC e a sua rede de pares. Não pode modificar o tipo de pilha depois de criar a entrada. Para ver informações gerais, consulte o seguinte:

      • Suporte do IPv6
      • Tipos de pilha e sessões de BGP

   3. Clicar em Seguinte.

9. Na área Gateway de VPN de intercâmbio, faça o seguinte:

   1. No campo Nome do gateway VPN de pares, introduza o nome fornecido pelo administrador da rede de pares. Pode introduzir até 60 carateres com letras minúsculas, números e hífenes.

   2. No campo Endereço IP da interface do par 0, introduza o endereço IP externo da interface do gateway do par fornecido pelo administrador de rede do par.

   3. No campo Endereço IP da interface de pares 1, efetue uma das seguintes ações:

      • Se o gateway de pares tiver uma segunda interface, introduza o respetivo endereço IP.
      • Se o gateway de pares tiver apenas uma interface, introduza o mesmo endereço que introduziu em Endereço IP da interface de pares 0.

      Para informações gerais, consulte o artigo Configure o gateway de VPN de intercâmbio.

   4. Clicar em Seguinte.

10. Na área Cloud Router, faça o seguinte:

    1. No campo ASN do router na nuvem, introduza o número do sistema autónomo que quer atribuir ao seu router na nuvem, conforme fornecido pelo administrador da rede paritária. Para informações gerais, consulte o artigo Crie um Cloud Router.

    2. No campo ASN do router de pares, introduza o número do sistema autónomo do router da sua rede de pares, conforme fornecido pelo administrador da rede de pares.

11. Na área Túnel de VPN 0, faça o seguinte:

    1. No campo Nome do túnel 0, introduza até 60 carateres com letras minúsculas, números e hífenes.

    2. Na área Versão IKE, selecione uma das seguintes opções:

       • IKEv2 – recomendado: suporta tráfego IPv6.
       • IKEv1: use esta definição se não planear permitir tráfego IPv6 no túnel.

       Para informações gerais, consulte o artigo Configure túneis de VPN.

    3. No campo Chave pré-partilhada IKE, introduza a chave que usa na configuração do gateway de pares, conforme fornecido pelo administrador da rede de pares. Se não tiver uma chave existente, pode clicar em Gerar e copiar e, em seguida, dar a chave ao administrador da rede de pares.

12. Na área Túnel VPN 1, repita o passo anterior para aplicar as definições ao segundo túnel. Configura este túnel para redundância e débito adicional.

13. Clique em Guardar.

14. Repita estes passos para todas as outras redes VPC que quer associar à sua rede de pares.

Depois de implementar

Depois de implementar a Google Cloud configuração de configuração, conclua os seguintes passos para garantir que a ligação de rede está concluída:

1. Colabore com o administrador da rede de pares para alinhar a rede de pares com as definições de conetividade híbrida. Após a implementação, são fornecidas instruções específicas para a sua rede ponto a ponto, incluindo o seguinte:

   • Definições de túnel.
   • Definições da firewall.
   • Definições de IKE.

2. Valide as associações de rede que criou. Por exemplo, pode usar o Network Intelligence Center para verificar a conetividade entre redes. Para mais informações, consulte o artigo Vista geral dos testes de conetividade.

3. Se as necessidades da sua empresa exigirem uma ligação mais robusta, use o Cloud Interconnect. Para mais informações, consulte o artigo Escolher um produto de conetividade de rede.

O que se segue?

Implemente a sua configuração, que inclui definições para a hierarquia e o acesso, o registo, a rede e a conetividade híbrida.

À medida que conclui o Google Cloud processo de configuração, as suas definições das seguintes tarefas são compiladas em ficheiros de configuração do Terraform:

• Hierarquia e acesso
• Segurança
• Registo e monitorização centralizados
• Redes VPC
• Conetividade híbrida

Para aplicar as definições, reveja as seleções e escolha um método de implementação.

Quem realiza esta tarefa

Uma pessoa no gcp-organization-admins@YOUR_DOMAIN grupo que criou na tarefa Utilizadores e grupos.

O que faz nesta tarefa

Implemente ficheiros de configuração para aplicar as definições de configuração.

Por que motivo recomendamos esta tarefa

Tem de implementar ficheiros de configuração para aplicar as definições que selecionou.

Antes de começar

Tem de concluir as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções do IAM a grupos na tarefa Acesso administrativo.
• Crie ou associe uma conta de faturação na tarefa Faturação.
• Configure a hierarquia e atribua acesso na tarefa Hierarquia e acesso.

Recomendamos as seguintes tarefas:

• Reforce a sua postura de segurança configurando serviços sem custos financeiros na tarefa Segurança.
• Consolide os dados de registo numa única localização e monitorize todos os projetos a partir de um único projeto na tarefa de registo e monitorização centralizados.
• Configure a sua rede inicial na tarefa Redes VPC.
• Ligue redes ponto a ponto Google Cloud na tarefa Conetividade híbrida

Reveja os detalhes da configuração

Faça o seguinte para se certificar de que as definições de configuração estão concluídas:

1. Inicie sessão na Google Cloud consola como um utilizador do grupo gcp-organization-admins@YOUR_DOMAINque criou na tarefa Utilizadores e grupos.

2. Selecione a sua organização na lista pendente Selecionar de na parte superior da página.

3. Aceda a Google Cloud Configuração: implemente ou transfira.

   Aceda a Implementar ou transferir

4. Reveja as definições de configuração que selecionou. Clique em cada um dos seguintes separadores e reveja as suas definições:

   • Hierarquia de recursos e acesso
   • Segurança
   • Registo e monitorização
   • Redes VPC
   • Conetividade híbrida

Implemente a configuração

Agora que reviu os detalhes da configuração, use uma das seguintes opções:

• Implemente diretamente a partir da consola: use esta opção se não tiver um fluxo de trabalho de implementação do Terraform existente e quiser um método de implementação simples. Só pode implementar com este método uma vez.

• Transferir e implementar o ficheiro Terraform: use esta opção se quiser automatizar a gestão de recursos através de um fluxo de trabalho de implementação do Terraform. Pode transferir e implementar através deste método várias vezes.

Faça a implementação com uma das seguintes opções:

O que se segue?

Escolha um plano de apoio técnico.

Nesta tarefa, escolhe um plano de apoio técnico adequado às necessidades da sua empresa.

Quem realiza esta tarefa

Uma pessoa no gcp-organization-admins@YOUR_DOMAIN grupo criado na tarefa Utilizadores e grupos.

O que faz nesta tarefa

Escolha um plano de apoio técnico com base nas necessidades da sua empresa.

Por que motivo recomendamos esta tarefa

Um plano de apoio técnico premium oferece apoio técnico essencial para a empresa para resolver rapidamente problemas com a ajuda de especialistas da Google Cloud.

Escolha uma opção de apoio técnico

Recebe automaticamente apoio técnico básico gratuito, que inclui o acesso aos seguintes recursos:

• Documentação
• Apoio técnico e debates da comunidade
• Apoio técnico para problemas de faturação

Recomendamos que os clientes empresariais se inscrevam no apoio técnico Premium, que oferece apoio técnico individual com os engenheiros de apoio técnico da Google. Para comparar os planos de apoio técnico, consulte o Google Cloud apoio ao cliente.

Antes de começar

Conclua as seguintes tarefas:

• Crie um utilizador superadministrador e a sua organização na tarefa Organização.
• Adicione utilizadores e crie grupos na tarefa Utilizadores e grupos.
• Atribua funções do IAM a grupos na tarefa Acesso administrativo.

Ative o apoio técnico

Identifique e selecione uma opção de apoio técnico.

1. Reveja e selecione um plano de apoio técnico. Para mais informações, consulte o artigo Google Cloud Apoio ao cliente.

2. Inicie sessão na Google Cloud consola com um utilizador do grupo gcp-organization-admins@<your-domain>.com que criou na tarefa Utilizadores e grupos.

3. Aceda a Google Cloud Configuração: apoio técnico.

   Aceder ao apoio técnico

4. Reveja os detalhes da tarefa e clique em Ver ofertas de apoio técnico para selecionar uma opção de apoio técnico.

5. Depois de configurar a opção de apoio técnico, regresse à página Google Cloud Configuração: apoio técnico e clique em Marcar tarefa como concluída.

O que se segue?

Agora que concluiu a Google Cloud configuração, pode estender a configuração inicial, implementar soluções pré-criadas e migrar os fluxos de trabalho existentes. Para mais informações, consulte o artigo Expanda a configuração inicial e comece a criar.