Lista de verificação de configuração do Google Cloud

Antes de começar

• Para proteger sua conta do Google Cloud, aprenda e utilize as práticas recomendadas da conta de superadministrador.
• Reúna as credenciais de administrador do domínio (como exemplo.com) que você quer vincular ao Google Cloud. Você precisa dessas credenciais para ajustar as configurações de DNS durante a configuração.
• Identifique a conta de e-mail principal (como maria@example.com) para usar como endereço de recuperação da organização do Google Cloud. Quando você inicia o processo de inscrição, o Cloud Identity solicita esse endereço primeiro.
• Identifique um endereço de e-mail secundário de backup para redundância. Esse endereço de backup será vinculado à sua conta de superadministrador. Esse e-mail precisa ser diferente do endereço de e-mail principal. O Cloud Identity solicitará esse endereço depois que você já tiver fornecido o endereço de recuperação de conta descrito anteriormente.

O que você fará nesta tarefa

• Fornecer um endereço de e-mail inicial para usar na recuperação de conta.
• Criar uma conta de usuário gerenciada para o primeiro usuário superadministrador do Google Cloud.
• Vincule o domínio da sua empresa (como exemplo.com) ao Google Cloud usando um processo de verificação.

Depois de concluir essas ações, o Google Cloud criará o nó raiz da hierarquia de recursos, que chamamos de recurso da organização.

Use o Cloud Identity no Admin Console para concluir esta tarefa. O Cloud Identity oferece gerenciamento unificado de identidade, acesso, aplicativos e endpoints nos serviços do Google. Ele oferece 50 licenças de usuário gratuitas, e você pode solicitar mais, se necessário. Os usuários do Cloud Identity também podem acessar os serviços do Google Drive, Google Keep e Grupos do Google da organização.

O Google Cloud oferece o Cloud Identity como um produto independente ou um pacote junto com o Google Workspace. Com o Google Workspace, você tem o Cloud Identity junto com ferramentas de produtividade e colaboração conhecidas, como Gmail, Agenda, Meet, Chat etc. Ele tem várias opções de teste gratuito. Algumas empresas economizam custos usando uma combinação de licenças do Cloud Identity independentes para alguns usuários, com licenças do Google Workspace só para aqueles que precisam das ferramentas de colaboração adicionais.

Permissões necessárias

Nesta tarefa, você criará o primeiro superadministrador da sua organização do Google Cloud. O superadministrador tem privilégios irrevogáveis de administrador com acesso root na sua organização e pode conceder o mesmo papel a outros usuários.

Práticas recomendadas de segurança

Proteger suas contas de superadministrador é fundamental para a segurança da sua organização do Google Cloud. Leia e siga as práticas recomendadas da conta de superadministrador do Google Cloud ao criar suas contas de superadministrador.

Procedimento

Para concluir esta tarefa, selecione se você é um Novo cliente ou um cliente atual do Google Workspace.

Solução de problemas

Não consigo inscrever meu domínio em um serviço do Google

Para mais informações sobre problemas e soluções comuns, consulte Não consigo inscrever meu domínio em um serviço do Google.

A conta do Google já existe

Consulte o erro "Conta do Google já existe" para ver uma solução provisória.

Minha conta não tem permissão para administrar nem usar a organização do Google Cloud da minha empresa.

Esse erro indica que o domínio da sua empresa já foi verificado e tem superadministradores em vigor. Se você ainda precisar de acesso para administrar sua organização do Google Cloud, encontre um administrador na sua empresa para conceder acesso.

Meu firewall está exibindo erros, e não consigo verificar o domínio

Se a empresa usar um servidor proxy que nega determinados URLs, você encontrará erros quando tentar registrar o domínio. Esse cenário é comum com clientes que têm configurações de segurança avançadas, como instituições financeiras. Se você vir esse erro, verifique se o servidor proxy permite explicitamente os seguintes URLs:

URL obrigatório	Por que isso é importante
accounts.google.com	Obrigatório para federação de SSO de SAML para o Google Cloud e para acesso do SSO no console do Cloud. Observação: ele só funciona depois que o domínio do cliente estiver na lista de permissões do back-end do Google Cloud.
www.googleapis.com	Obrigatório durante o login para a sincronização do Active Directories se você usar um provedor de identidade federado.
https://console.cloud.google.com/	Obrigatório para acessar o console.
fonts.googleapis.com	Fontes para o console. Obrigatório para um estilo de IU adequado.
*.clients6.google.com	Obrigatório para o console. Esse URI fornece endpoints gRPC da API Service usados para exibir informações no console.
ssl.gstatic.com www.gstatic.com lh3.googleusercontent.com lh4.googleusercontent.com lh5.googleusercontent.com lh6.googleusercontent.com	Obrigatório para o console exibir conteúdo estático e algumas APIs. Também armazena chaves públicas para certificados personalizados.
cloud.google.com	Necessário para acessar a documentação e as páginas de ajuda do Google Cloud.
ssh.cloud.google.com	Obrigatório para o Cloud Shell.
apis.google.com *.googleapis.com	Necessário para acesso remoto à API do Google Cloud. (Opcional para o Console do Google Cloud. Dê acesso particular ou restrito à API ao usar a interface de linha de comando da CLI do Google Cloud.)
admin.google.com	Opcional durante a administração (Cloud Identity).
payments.google.com	Opcional ao enviar informações de pagamento, assinaturas do Google Admin e contas de faturamento.

Outros recursos

Os recursos a seguir fornecem mais identidade de contexto e outros tópicos relevantes para essa tarefa.

• Visão geral da criação e do gerenciamento de organizações
• Práticas recomendadas para o planejamento de contas e organizações
• Como avaliar e planejar sua configuração de identidade
• Cloud Identity edição gratuita
• Verificação de domínio:
  • Documentação
  • Tutorial em vídeo
• Papéis de administrador do Google Workspace
• Papéis de administrador do Cloud Identity

Nesta tarefa, você adicionará seus primeiros usuários, criará grupos para administrar o acesso dos usuários e atribuirá a eles. Você atribui as permissões a esses grupos de usuários na tarefa 3. Você precisa do Admin Console e do console do Google Cloud para fazer o seguinte:

• Adicione usuários gerenciados à sua organização do Google Cloud.
• Crie um Grupo do Google para cada tipo de usuário administrativo, como administradores da organização e administradores de faturamento.
• Atribua os usuários aos grupos correspondentes às funções.

Antes de começar

• Verifique se você fez login no Admin Console do Google Workspace e no console do Cloud com uma das contas de superadministrador criadas na tarefa 1.
• Se a empresa já usa um provedor de identidade, como o Active Directory, o Azure AD, o Okta ou o Ping Identity, é possível federá-lo no Google Cloud. Para detalhes, consulte as arquiteturas de referência do provedor de identidade para federação de identidade.
• Federe o Cloud Identity com o Active Directory para provisionar usuários automaticamente e ativar o logon único.
• Crie uma solução personalizada usando o SDK Admin do Google Workspace.

Práticas recomendadas de segurança

Princípio do menor privilégio: conceda aos usuários as permissões mínimas necessárias para realizar o papel deles e remova o acesso assim que ele não for mais necessário.

Controle de acesso baseado em papéis (RBAC, na sigla em inglês): atribua permissões a grupos de usuários de acordo com o cargo deles usando os Grupos do Google para organizar os usuários. Não é recomendável adicionar permissões específicas a contas de usuário individuais.

Procedimento

Adicionar usuários no console do administrador do Google Workspace

Para esta lista de verificação de integração, recomendamos que você adicione as pessoas que participarão das tarefas da lista, como administradores e responsáveis por decisões envolvidos em práticas de configuração da nuvem.

1. faça login no Admin Console do Google Workspace usando uma conta de superadministrador;
2. Adicione usuários com uma das opções a seguir:
   • Adicionar vários usuários de uma vez.
   • Adicione os usuários individualmente.

Criar Grupos do Google e adicionar participantes

Em seguida, você usará o recurso Grupos do console do Cloud para criar Grupos do Google correspondentes aos diferentes tipos de usuário na sua organização. Um Grupo do Google é uma coleção nomeada de Contas do Google e contas de serviço. Cada Grupo do Google tem um endereço de e-mail exclusivo associado ao grupo (como gcp-organization-admins@example.com).

Os grupos abaixo são comuns em organizações empresariais com vários departamentos que administram a infraestrutura em nuvem. Caso a configuração exija uma estrutura de grupo diferente, personalize as recomendações de acordo com suas necessidades.

Group	Função
gcp-organization-admins (obrigatório para lista de verificação)	Administrar qualquer recurso que pertença à organização. Atribua esse papel com moderação. os administradores da organização têm acesso a todos os recursos do Google Cloud.
gcp-network-admins (obrigatório para lista de verificação)	Criar redes, sub-redes, regras de firewall e dispositivos de rede, como o Cloud Router, Cloud VPN e Cloud Load Balancing.
gcp-billing-admins (obrigatório para lista de verificação)	configurar contas de faturamento e monitorar o uso delas.
gcp-developers (obrigatório para lista de verificação)	Projetar, programar e testar aplicativos.
gcp-security-admins (opcional)	Estabelecimento e gerenciamento de políticas de segurança para toda a organização, incluindo o gerenciamento de acesso e as políticas de restrição da organização. Consulte o guia de bases de segurança do Google Cloud para mais informações sobre o planejamento da sua infraestrutura de segurança do Google Cloud.
gcp-devops (opcional)	Criar ou gerenciar pipelines completos compatíveis com integração e entrega contínuas, monitoramento e provisionamento do sistema;

Para concluir, as etapas posteriores da lista de verificação são necessárias para que os seguintes grupos tenham pelo menos um membro em cada grupo.

• gcp-organization-admins
• gcp-network-admins
• gcp-billing-admins
• gcp-devops

Para criar grupos e adicionar usuários usando o console do Cloud:

1. Faça login no console do Cloud com uma conta de superadministrador criada na Tarefa 1.

2. Acesse a página Grupos de instâncias no console.

   Acessar a página "Grupos"

3. Clique em Criar.

4. Preencha os detalhes de um grupo, incluindo o nome, o endereço de e-mail e uma descrição opcional.

5. Adicione membros ao grupo:

   1. Clique em Adicionar membro.
   2. Digite o endereço de e-mail do membro.

   3. Escolha o papel do Grupos do Google.

6. Clique em Enviar para criar o grupo com os usuários especificados.

Outros recursos

• Como gerenciar contas conflitantes:
  • usando a ferramenta de transferência para usuários não gerenciados;
    • usando um upload em CSV;
    • usando a API User Invitation.
• Visão geral do Identity and Access Management (IAM) e dos Grupos do Google.
• Práticas recomendadas para o IAM.
• Criar um grupo.
• Adicionar ou convidar usuários para um grupo.
• Federação da identidade:
  • Consulte a arquitetura de referência para federar com provedores de identidade externos.
  • Sincronize o Active Directory ou outros armazenamentos de identidade baseados em LDAP com o Google Cloud usando as opções descritas na próxima seção.
  • Automatize a administração de identidades usando o SDK Admin do Google Workspace.
• Sincronize os armazenamentos de identidade com o Google Cloud usando o GCDS ou o Directory Sync:
  • Para sincronizar o Active Directory ou outros armazenamentos de identidade baseados em LDAP com o Google Cloud, use o Google Cloud Directory Sync (GCDS):
  • Para sincronizar usuários e grupos do Active Directory com o Google Cloud, use o Directory Sync, uma solução sem agente que requer a configuração do Cloud VPN ou do Interconnect (abordada na tarefa 8).
  • Compare o GCDS e o Directory Sync.

Nesta tarefa, você configura o acesso de administrador para sua organização, o que dá aos administradores visibilidade e controle centrais sobre todos os recursos da nuvem que pertencem à organização.

Quem realiza esta tarefa

Caso a empresa já use o serviço pago do Google Workspace, qualquer pessoa com acesso de superadministrador do Google Workspace poderá realizar esta etapa. Caso contrário, use a conta do Cloud Identity criada na tarefa 1.

O que você fará nesta tarefa

• Verificar se sua organização foi criada
• Atribua o papel de administrador ao grupo gcp-organization-admins@<your-domain>.com que foi criado na tarefa 2.
• Adicione permissões administrativas para você mesmo e para outros administradores da sua organização para que você possa executar tarefas posteriores na lista de verificação.

Por que recomendamos realizar esta tarefa

Por motivos de segurança, é necessário definir explicitamente todos os papéis de administrador da sua organização. Separar os papéis de superadministrador e de administrador da organização é uma prática recomendada de segurança do Google Cloud. O papel de superadministrador gerencia todas as outras identidades no Cloud Identity e no Google Workspace e é necessário para criar a organização raiz do Google Cloud. Para saber mais, acesse práticas recomendadas de superadministrador.

Verifique se sua organização foi criada

1. Faça login no Console do Cloud usando a conta de superadministrador do Google Workspace ou do Cloud Identity, configurada na tarefa 1.

2. Acesse a página Identidade e organização para concluir a criação da organização. Depois de acessar o link, talvez seja necessário aguardar alguns minutos para que o processo seja concluído.

3. Verifique se o nome da sua organização aparece na lista Selecionar uma organização. Pode levar alguns minutos para sua organização ser criada a partir das etapas da tarefa 1. Se você não vir o nome da organização, aguarde alguns minutos e atualize a página.

Configurar acesso do administrador

Em seguida, atribua papéis administrativos ao grupo gcp-organization-admins@<your-domain>.com criado na tarefa 2.

1. Conclua os passos em Conceder acesso, com as seguintes alterações:

   • Após abrir a página do IAM no Console do GCP, verifique se o nome da sua organização foi selecionado na lista de organizações no topo da página.

   • Quando você for solicitado a inserir um endereço de e-mail, use gcp-organization-admins@<your-domain>.com.

   • Quando você for solicitado a selecionar um papel, selecione Resource Manager > Administrador da organização.

2. Após adicionar o primeiro papel, clique em Adicionar outro papel e adicione os seguintes papéis adicionais ao membro gcp-organization-admins@<your-domain>.com:

   • Resource Manager > Administrador de pastas
   • Resource Manager > Criador do projeto
   • Faturamento > Usuário da conta de faturamento
   • Papéis > Administrador de papéis da organização
   • Política da organização > Administrador de políticas da organização
   • Central de segurança > Administrador da Central de segurança
   • Suporte > Administrador de contas de suporte

3. Após terminar de adicionar papéis, clique em Salvar.

Nesta tarefa, você configura uma conta de faturamento para pagar recursos do Google Cloud e define o acesso de administrador para suas contas de faturamento.

Ao se preparar para a tarefa, você precisará decidir o tipo de conta de faturamento que será usada na configuração:

• Autoatendimento. Você se inscreve on-line usando um cartão de débito ou crédito ou débito automático do CCA. Os custos são cobrados automaticamente.
• Recebimento de fatura. Se você já tiver configurado o faturamento de autoatendimento, talvez esteja qualificado para alterar o tipo de conta por fatura mensal se sua empresa atender a determinados requisitos. As faturas são enviadas por correio ou eletronicamente e podem ser pagas com cheque ou transferência eletrônica.

Para mais informações, consulte Tipos de conta de faturamento.

Quem realiza esta tarefa

A tarefa precisa de várias pessoas:

1. Uma pessoa no grupo gcp-organization-admins@<your-domain>.com criado na tarefa 2.

2. Uma pessoa no grupo gcp-billing-admins@<your-domain>.com criado na tarefa 2.

O que você fará nesta tarefa

• Atribuir acesso administrativo ao grupo gcp-billing-admins@<your-domain>.com criado na tarefa 2.
• Decidir se quer usar uma conta de faturamento com autoatendimento ou fatura.
• Configura uma conta de faturamento e uma forma de pagamento.

Por que recomendamos realizar esta tarefa

Uma conta do Cloud Billing é necessária para usar produtos do Google Cloud. As contas do Cloud Billing são vinculadas a um ou mais projetos do Google Cloud e são usadas para pagar pelos recursos que você usa, como máquinas virtuais, rede e armazenamento. Os papéis do IAM controlam o acesso às contas de faturamento do Cloud.

Configurar acesso do administrador

Membros da equipe que recebem o papel do IAM de Administrador de contas de faturamento podem concluir tarefas, como gerenciar pagamentos e faturas, definir orçamentos e associar projetos a contas de faturamento. O papel não dá aos membros da equipe permissão para visualizar o conteúdo dos projetos.

1. Verifique se você fez login no console do Cloud como um usuário no Grupo do Google gcp-organization-admins criado na tarefa 2.

2. Conclua os passos em Conceder acesso, com as seguintes alterações:

   • Quando você for solicitado a inserir um endereço de e-mail, use gcp-billing-admins@<your-domain>.com.

   • Quando você for solicitado a selecionar um papel, selecione Faturamento > Administrador da conta de faturamento.

   • Após adicionar o primeiro papel, clique em Adicionar outro papel e adicione os seguintes papéis adicionais ao membro gcp-billing-admins@<your-domain>.com:

     • Faturamento > Criador da conta de faturamento
     • Resource Manager > Leitor da organização

Configurar a conta de faturamento

Em seguida, configure uma conta do Cloud Billing. Há dois tipos de conta de faturamento:

• Autoatendimento. Você se inscreve on-line usando um cartão de débito ou crédito ou débito automático do CCA. Os custos são cobrados automaticamente.

• Recebimento de fatura. Você paga com cheque ou por transferência eletrônica. As faturas são enviadas por correio ou eletronicamente.

Quando você se inscreve on-line em uma conta de faturamento, sua conta é configurada automaticamente como um tipo de conta de autoatendimento. Não é possível se inscrever on-line em um tipo de conta faturado. Por isso, você precisa se inscrever para a cobrança por fatura. Para mais informações, consulte Tipos de conta de faturamento.

Após configurar a conta de faturamento

Para monitorar os custos e evitar surpresas na sua conta, depois de configurar sua conta do Cloud Billing, recomendamos que você implemente as seguintes práticas recomendadas de faturamento para cada conta de faturamento:

• Configure exportações de dados do Cloud Billing para um conjunto de dados do BigQuery.
• Defina orçamentos para gerar alertas quando os gastos atingirem determinados limites.

Se quiser ver as práticas recomendadas para monitorar e controlar custos, consulte Monitorar e controlar custos.

Nesta tarefa, você cria uma estrutura básica para pastas e projetos na sua hierarquia de recursos.

• As pastas fornecem um mecanismo de agrupamento e isolamento entre projetos. Por exemplo, elas podem representar os principais departamentos da sua organização, como finanças ou varejo, ou ambientes como produção versus não produção.

• Os projetos contêm seus recursos de nuvem, como máquinas virtuais, bancos de dados e buckets de armazenamento. Para considerações de design e práticas recomendadas para organizar seus recursos em projetos, consulte Decidir uma hierarquia de recursos para sua zona de destino do Google Cloud.

É possível definir políticas do IAM para controlar o acesso a diferentes níveis da hierarquia de recursos. Você definirá essas políticas como uma tarefa posterior nesta lista de verificação.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-organization-admins@<your-domain>.com que foi criado na tarefa 2.

O que você fará nesta tarefa

Crie a estrutura de hierarquia inicial com pastas e projetos.

Por que recomendamos realizar esta tarefa

A criação da estrutura é um requisito para uma tarefa posterior em que você define as políticas do IAM para controlar o acesso em diferentes níveis da hierarquia de recursos.

Planejar a hierarquia de recursos

Há muitas maneiras de criar sua hierarquia de recursos. O diagrama a seguir mostra um exemplo típico:

No exemplo, a hierarquia de recursos da organização contém três níveis de pastas:

• Ambiente (produção e não produção) Ao separar ambientes uns dos outros, você controla melhor o acesso aos ambientes de produção e evita mudanças não intencionais de produção que afetam a produção acidentalmente.

• Unidades empresariais. No diagrama, elas estão representadas como Dept X e Dept Y, e podem ser unidades empresariais como Engenharia e Marketing, e uma pasta Shared com projetos contendo recursos compartilhados por toda a hierarquia, como rede, geração de registros e monitoramento.

• Equipes. São representadas no diagrama como Team A, Team B e Team C, e podem ser equipes como Desenvolvimento, Ciência de Dados, controle de qualidade e assim por diante.

Criar pastas iniciais na hierarquia de recursos

Nesta etapa, você cria pastas básicas para sua configuração inicial, conforme mostrado neste diagrama. As pastas permitem agrupar recursos.

Para criar pastas iniciais:

1. Faça login no console do Google Cloud como usuário no Grupo do Google gcp-organization-admins (criado na tarefa 2).

2. No console, acesse a página Gerenciar recursos:

   Acessar "Gerenciar recursos"

3. Crie estas duas pastas:

   • Produção > Compartilhada
   • Não produção > Compartilhada

Criar projetos iniciais na hierarquia de recursos

Depois de criar a hierarquia inicial, você cria projetos. Seguindo o princípio da separação de ambientes de produção e não produção, para esta lista de verificação, é preciso criar os seguintes projetos:

• example-vpc-host-nonprod. Este projeto é usado para ajudar a conectar recursos de não produção de vários projetos a uma rede VPC comum.

• example-vpc-host-prod-draft. Esse projeto é um marcador para conectar recursos de produção de vários projetos a uma rede VPC comum no futuro.

• example-monitoring-nonprod. Esse projeto é usado para hospedar recursos de monitoramento de não produção.

• example-monitoring-prod-draft. Esse projeto é um marcador para hospedar recursos de monitoramento de produção no futuro.

• example-logging-nonprod. Esse projeto é usado para hospedar dados de registro exportados do ambiente de não produção.

• example-logging-prod-draft Esse projeto é um marcador usado para hospedar dados de registro exportados do ambiente de produção no futuro.

Nomes de projetos são limitados a 30 caracteres. Use o nome da sua empresa em vez de example, desde que ele respeite o limite de 30 caracteres. Ao criar projetos na hierarquia de recursos futuramente, use um nome comum, como <business unit name>-<team name>-<application name>-<environment>, de acordo com a hierarquia da sua organização.

Para criar projetos, faça o seguinte:

1. No console, acesse a página Gerenciar recursos:

   Acessar "Gerenciar recursos"

2. Clique em Create Project.

3. Na janela Novo projeto, insira um dos nomes de projeto listados anteriormente.

4. Se for solicitado que você selecione uma conta de faturamento, escolha a que você quiser usar para esta lista de verificação.

5. Para Local, clique em Procurar e defina o local da seguinte maneira:

   • Se o nome do projeto que você está criando terminar em prod, selecione Produção > Compartilhado.
   • Se o nome do projeto que você está criando terminar em nonprod, selecione Não produção > Compartilhado.

6. Clique em Criar

7. Repita as etapas de 2 a 6 para cada um dos projetos recomendados.

Confirmar projetos que estão vinculados à conta de faturamento adequada

Para executar tarefas posteriormente nesta lista de verificação, os projetos precisarão estar vinculados a uma conta de faturamento. Para ver uma lista atual dos seus projetos e das contas de faturamento vinculadas, acesse a Tarefa 5 no console do Cloud.

Se você não tiver acesso a uma conta de faturamento ativa, pule para a próxima tarefa. Se você tentar usar projetos não vinculados a uma conta de faturamento, o console do Cloud solicitará que você ative o faturamento. Quando você tiver uma conta de faturamento pronta, volte para esta etapa para ativar o faturamento desses projetos.

Para revisar ou alterar as contas de faturamento definidas para os projetos no Cloud Billing:

1. Veja as contas de faturamento na página Faturamento e selecione a guia Meus projetos. A página lista todas as contas de faturamento vinculadas aos projetos da organização.
2. Para alterar a conta de faturamento de qualquer projeto, consulte Ativar, desativar ou alterar o faturamento de um projeto.

Nesta tarefa, você configura o controle de acesso à hierarquia de recursos por meio da adição de políticas do IAM aos recursos. Essa política é um conjunto de instruções que define o acesso de cada um. Essa política é anexada a um recurso e, sempre que ele é acessado, o controle de acesso é aplicado.

Para definir permissões, você executa o mesmo procedimento básico, mas o faz somente para recursos de diferentes níveis hierárquicos (organizações, pastas e projetos). Recomendamos que você use o princípio do menor privilégio e conceda ao recurso o mínimo de acesso necessário em cada nível. Os papéis que recomendamos nos procedimentos a seguir ajudam você a impor o princípio do menor privilégio.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-organization-admins@<your-domain>.com que foi criado na tarefa 2.

O que você fará nesta tarefa

Defina políticas do IAM no nível da organização, da pasta e do projeto.

Por que recomendamos realizar esta tarefa

Definir políticas do IAM em toda a hierarquia de recursos permite controlar o acesso aos recursos da nuvem de maneira escalonável.

Sobre as políticas do IAM

As políticas de IAM são aplicadas em três níveis da hierarquia de recursos:

1. Da Organização. As políticas que são definidas no nível da organização se aplicam a todas as pastas e projetos da organização.
2. De uma Pasta. As políticas definidas em uma pasta se aplicam aos projetos dentro dela.
3. um projeto. As políticas definidas no nível do projeto se aplicam apenas a esse projeto.

A tabela a seguir lista os principais e os papéis que você atribui a eles no nível da organização.

Principal	Papéis a serem concedidos
gcp-network-admins@<your-domain>.com	Compute Engine > Administrador de rede do Compute. Concede permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL. Compute Engine > Administrador da VPC compartilhada do Compute. Concede permissões para administrar projetos de host da VPC compartilhada. Compute Engine > Administrador de segurança do Compute. Concede permissões para criar, modificar e excluir regras de firewall e certificados SSL. Resource Manager > Leitor de pasta Concede permissões para visualizar pastas.
gcp-security-admins@<your-domain>.com	Política da organização > Administrador da política da organização. Concede permissões para definir as políticas do IAM no nível da organização. Política da organização > Leitor de políticas da organização. Concede permissões para visualizar as políticas do IAM que são aplicáveis à organização. IAM > Avaliador de segurança. Concede permissões para visualizar todos os recursos da organização e as políticas do IAM que se aplicam a eles. Papéis > Visualizador de papéis da organização. Concede permissões para visualizar todos os papéis do IAM da organização e os projetos que se aplicam a eles. Central de segurança > Administrador da central de segurança. Concede ao administrador acesso à central de comando de segurança. Resource Manager > Administrador de pastas do IAM. Concede permissões para a definição de políticas do IAM no nível da pasta. Logging > Leitor de registros privados. Concede acesso somente leitura a recursos do Cloud Logging, incluindo a leitura de registros privados. Logging > Gravador de configuração de registros. Concede permissões para criar métricas com base em registros e coletores de exportação. Kubernetes Engine > Leitor do Kubernetes Engine. Concede acesso somente leitura aos recursos do Google Kubernetes Engine. Compute Engine > Leitor do Compute. Isso concede acesso somente leitura aos recursos do Compute Engine. BigQuery > Leitor de dados do BigQuery. Concede permissões para conjuntos de dados do BigQuery.
gcp-devops@<your-domain>.com	Resource Manager > Leitor de pasta Concede permissões para visualizar pastas.

Administrar papéis do IAM

1. Verifique se você fez login no console do Cloud como um usuário no Grupo do Google gcp-organization-admins criado na tarefa 2.

2. No console, acesse a página Gerenciar recursos:

   Acessar "Gerenciar recursos"

3. Selecione a organização na grade da árvore da organização.

4. Se o Painel de informações à direita estiver oculto, clique em Exibir painel de informações no canto superior direito.

5. Marque a caixa de seleção da organização.

6. No Painel de informações, localizado na guia Permissões, clique em Adicionar membro.

7. No campo Novos membros, insira o nome de um membro da tabela. Por exemplo, comece inserindo gcp-network-admins@<your-domain>.com, como listado na tabela anterior.

8. Na lista Selecionar um papel, selecione o primeiro papel para esse membro, como listado na tabela. Por exemplo, para o primeiro membro, o primeiro papel que você seleciona é Compute Engine > Administrador da rede do Compute.

9. Clique em Adicionar outro papel e adicione o próximo papel para o membro.

10. Adicione o próximo papel para esse membro.

11. Depois de adicionar todos os papéis para o membro, clique em Salvar.

12. Repita as etapas 2 a 7 para os outros membros listados na tabela.

Definir políticas do IAM no nível da pasta

As políticas definidas no nível da pasta também se aplicam aos projetos nas pastas. O procedimento é o mesmo realizado na organização, mas você seleciona um nível diferente na hierarquia.

1. Desmarque a caixa de seleção da organização e de qualquer outro recurso que estiver marcada.

2. Marque a caixa de seleção da pasta Production.

3. No Painel de informações, localizado na guia Permissões, clique em Adicionar membro.

4. No campo Novos membros, insira gcp-devops@<your-domain>.com.

5. Seguindo as mesmas etapas usadas para adicionar papéis aos membros da organização, conceda os papéis a seguir ao membro gcp-devops@<your-domain>.com:

   • Logging > Administrador do Logging. Concede permissão total ao Cloud Logging.
   • Error Reporting > Administrador do Error Reporting. Concede permissão total aos dados do Error Reporting.
   • Service Management > Administrador de cotas. Concede acesso para administrar cotas de serviços.
   • Monitoring > Administrador do Monitoring. Concede permissão total aos dados do Monitoring.
   • Compute Engine > Administrador do Compute. Concede permissão total aos recursos do Compute Engine.
   • Kubernetes Engine > Administrador do Kubernetes Engine. Concede permissão total aos clusters de contêiner do Google Kubernetes Engine.

6. Quando terminar de adicionar papéis, clique em Salvar.

7. Desmarque a caixa de seleção da pasta Production.

8. Marque a caixa de seleção da pasta Non-Production.

9. Adicione gcp-developers@<your-domain>.com como um novo membro.

10. Atribua os papéis do IAM ao membro gcp-developers@<your-domain>.com:

    • Compute Engine > Administrador do Compute. Concede permissão total aos recursos do Compute Engine.
    • Kubernetes Engine > Administrador do Kubernetes Engine. Concede permissão total aos clusters de contêiner do Google Kubernetes Engine.

Definir políticas do IAM para envolvidos no projeto

As políticas definidas no nível do projeto se aplicam apenas aos projetos a que elas foram aplicadas. Assim, você define permissões detalhadas em cada projeto.

1. Desmarque a caixa de seleção das pastas e de qualquer outro recurso que estiver selecionada.

2. Marque as caixas de seleção dos projetos a seguir:

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. Adicione gcp-network-admins@<your-domain>.com como membro.

4. Atribua o seguinte papel ao membro gcp-network-admins@<your-domain>.com:

   • Projeto > Proprietário. Concede permissão total a todos os recursos nos projetos selecionados.

5. Clique em Salvar.

6. Desmarque as caixas de seleção dos projetos selecionados.

7. Marque as caixas de seleção dos projetos a seguir:

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. Adicione gcp-devops@<your-domain>.com como um novo membro.

9. Atribua o seguinte papel ao membro gcp-devops@<your-domain>.com:

   • Projeto > Proprietário. Concede permissão total a todos os recursos nos projetos selecionados.

10. Clique em Save.

Nesta tarefa, você definirá a configuração de rede inicial. Você precisa fazer o seguinte:

• Projete, crie e configure uma arquitetura de nuvem privada virtual.
• Se você tiver uma rede no local ou em outro provedor de nuvem, configure a conectividade entre esse provedor e o Google Cloud.
• Configure um caminho para tráfego de saída externo.
• Implemente controles de segurança de rede, como regras de firewall.
• Escolha uma opção preferencial de tráfego de entrada para serviços hospedados na nuvem.

Nesta tarefa, você verá um exemplo para o item 1 como base para sua própria arquitetura de nuvem privada virtual.

Os itens restantes, como conectividade externa, configuração do tráfego de saída, implementação de regras de firewall e escolha de uma opção de entrada, dependem das suas necessidades comerciais. Por isso, eles não são abordados nesta lista de verificação. No entanto, fornecemos links com mais informações sobre esses itens.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-network-admins@<your-domain>.com que foi criado na tarefa 2.

O que você fará nesta tarefa

Defina uma configuração de rede inicial.

• Crie redes VPC compartilhadas
• Configure a conectividade entre o provedor externo e o Google Cloud
• Configurar um caminho para o tráfego de saída externo
• Implementar controles de segurança de rede
• Escolher uma opção de tráfego de entrada

Por que recomendamos realizar esta tarefa

• A VPC compartilhada permite que equipes separadas se conectem a uma rede VPC comum gerenciada centralmente a partir de vários produtos distintos.

• A configuração da conectividade híbrida permite a migração perfeita de aplicativos para o Google Cloud enquanto ainda se conecta às dependências de serviço.

• A criação de caminhos de entrada e saída seguros desde o início permite que suas equipes trabalhem de maneira produtiva no Google Cloud sem comprometer a segurança.

Arquitetura de nuvem privada virtual

O Google oferece uma nuvem privada virtual (VPC, na sigla em inglês) que agrega funcionalidade de rede aos recursos do Google Cloud como, como instâncias de máquina virtual do Compute Engine, contêineres do GKE e o ambiente flexível do App Engine. O diagrama a seguir exibe uma arquitetura básica multirregional:

Esta arquitetura tem dois projetos host com VPC compartilhada. Um é para o ambiente que não é de produção e o outro é para o futuro ambiente de produção (atualmente marcado como "production-draft"). Com a nuvem privada virtual compartilhada, as organizações conectam recursos de vários projetos a uma rede comum para que eles possam se comunicar de maneira mais segura e eficiente usando endereços IP internos dessa rede.

Um projeto host de VPC compartilhada contém uma ou mais redes VPC compartilhadas. Nesta arquitetura, cada rede VPC compartilhada, tanto de produção quanto de não produção, contém sub-redes públicas e privadas em duas regiões. Neste caso, us-east1 e us-west1:

• A sub-rede pública pode ser usada em instâncias voltadas para a Internet para fornecer conectividade externa.
• A sub-rede privada só pode ser usada em instâncias internas, e não pode ser alocada com endereços IP públicos.

A arquitetura exibida no diagrama anterior usa exemplos de nomes para vários recursos. Para sua configuração, é possível alterar elementos do nome, como sua empresa (example no exemplo de nomes) e a região usada (us-east1 e us-west1 nos exemplos).

Configurar rede

As configurações de rede variam de acordo com a carga de trabalho, mas as seguintes atividades são comuns:

1. Criar redes de nuvem privada virtual (VPC) compartilhadas. Uma VPC compartilhada permite que uma organização conecte recursos de vários projetos a uma rede VPC comum. Para criar uma rede VPC compartilhada, use o console do Cloud.

2. Configurar a conectividade entre o provedor externo e o Google Cloud. Se você tiver uma rede no local ou em outro provedor de nuvem, será possível configurar o Cloud VPN, um serviço que ajuda a conectar sua rede em peering com segurança à rede VPC do Google Cloud por uma conexão VPN com IPSec. O Cloud VPN é compatível com conexões de até 3,0 Gbps. Se você precisar de uma largura de banda maior para conectar seu sistema local ao Google Cloud, consulte Interconexão por parceiro e Interconexão dedicada. Para criar uma conexão VPN, siga as instruções em Como criar um gateway e um túnel para as redes VPC compartilhadas de produção e de não produção, criadas no procedimento anterior.

3. Configure um caminho para tráfego de saída externo. Use o Cloud NAT para permitir que as VMs se conectem à Internet sem usar endereços IP externos. O Cloud NAT é um recurso regional. É possível configurá-lo para permitir o tráfego de todos os intervalos de IP primário e secundário de sub-redes em uma região, ou é possível configurá-lo para aplicação em apenas alguns intervalos. Para configurar um caminho para o tráfego de saída externo, siga as instruções em Criar NAT para todas as regiões nas redes VPC compartilhadas criadas no procedimento anterior para redes de produção e de não produção.

4. Implementar controles de segurança de rede Com as regras de firewall, você permite ou rejeita o tráfego proveniente ou destinado às instâncias de máquina virtual (VM, na sigla em inglês) com base em uma configuração especificada. Siga as instruções em Como usar regras de firewall para configurar esses controles para redes VPC compartilhadas de produção e não de produção criadas no procedimento anterior.

5. Escolha uma opção de tráfego de entrada O Cloud Load Balancing permite controlar como os recursos de computação são distribuídos entre as regiões. O balanceamento de carga ajuda a atender aos requisitos de disponibilidade tanto para o tráfego externo de entrada quanto para o tráfego dentro da sua rede VPC. Ao planejar a arquitetura do seu aplicativo no Google Cloud, leia Como escolher um balanceador de carga para decidir quais tipos de balanceadores de carga você precisa.

Nesta tarefa, você aprenderá a configurar os recursos básicos de geração registros e monitoramento usando o Cloud Logging e o Cloud Monitoring.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-devops@<your-domain>.com que foi criado na tarefa 2.

O que você fará nesta tarefa

Configure recursos básicos de geração de registros e monitoramento usando o Cloud Logging e o Cloud Monitoring.

Por que recomendamos realizar esta tarefa

A geração de registros e o monitoramento abrangentes são essenciais para manter a observabilidade no ambiente em nuvem. Configurar a retenção da geração de registros apropriada desde o início permite criar e garantir a preservação de uma trilha de auditoria, enquanto a configuração do monitoramento centralizado fornece à sua equipe um painel central para visualizar seus ambientes.

Configurar o monitoramento

O Cloud Monitoring coleta métricas, eventos e metadados dos serviços do Google Cloud, sondagens de tempo de atividade hospedadas, instrumentação de aplicativos e outros componentes comuns do aplicativo.

Nesta tarefa, você vai configurar um projeto do Google Cloud para ter acesso às métricas de outros projetos do Google Cloud:

1. Faça login no console do Cloud como usuário no Grupo do Google gcp-devops criado na tarefa 2.
2. Adicione os projetos que você quer monitorar. Por exemplo, adicione todos os outros projetos de não produção.
3. Repita este procedimento para os projetos de produção. Use example-monitoring-prod como o projeto de escopo e adicione os projetos de produção que você quer monitorar.

Configurar a geração de registros

O Cloud Logging permite que você armazene, pesquise, analise, crie alertas e monitore dados de registro e eventos do Google Cloud e da Amazon Web Services (AWS). O Cloud Logging também permite ingerir dados de registro personalizados de qualquer origem e exportar registros para coletores de dados externos.

1. Verifique se você fez login no console do Cloud como um usuário no grupo gcp-devops criado na tarefa 2.

2. Use os valores a seguir para ativar a exportação de geração de registros para o BigQuery:

   • Selecione o projeto example-logging-nonprod.
   • Crie um conjunto de dados do BigQuery. Em ID do conjunto de dados, use um nome como example_logging_export_nonprod.
   • Após nomear o conjunto de dados, clique em Criar conjunto de dados.

3. Repita a etapa anterior para o projeto example-logging-prod, mas use example_logging_export_prod para a ID do conjunto de dados.

4. Analise os períodos de armazenamento de registros para determinar se eles atendem aos seus requisitos de conformidade. Se eles não atenderem, configure a exportação de registros para o Cloud Storage, o que pode ser útil em armazenamentos de longo prazo.

Nesta tarefa, você irá configurar os produtos do Google Cloud para ajudar a proteger sua organização. O Google Cloud apresenta muitas ofertas de segurança.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-organization-admins@<your-domain>.com que foi criado na tarefa 2.

O que você fará nesta tarefa

• Ative o painel do Security Command Center.
• Configure a política da organização

Por que recomendamos realizar esta tarefa

Recomendamos configurar os dois produtos a seguir:

• Security Command Center. Com essa plataforma abrangente de gerenciamento de segurança e risco de dados, você monitora os recursos na nuvem, procura dados confidenciais em sistemas de armazenamento, detecta vulnerabilidades comuns da Web e revisa os direitos de acesso a recursos essenciais.

• Serviço de políticas da organização Com esse serviço, você tem controle centralizado e programático sobre os recursos de nuvem da organização.

Configurar os produtos

1. Faça login no console do Cloud como um usuário no grupo gcp-organization-admins criado na tarefa 2.

2. Ative o painel do Security Command Center.

3. Siga as etapas descritas em Como personalizar políticas de restrições booleanas para configurar a política da organização. Quando você receber uma solicitação para selecionar um projeto, uma pasta ou organização, selecione a organização.

   Recomendamos que você defina as seguintes políticas:

   1. Pular criação de rede padrão.

      1. Na tela Políticas da organização, filtre por Pular a criação de rede padrão.
      2. Selecione Pular a política de criação de rede padrão.
      3. Clique em Editar.
      4. Selecione Personalizar e clique em Adicionar regra.
      5. Quando você receber uma solicitação para selecionar uma opção de aplicação, selecione Ativar.

   2. Definir os IPs externos permitidos para instâncias de VM.

      1. Na tela Políticas da organização, filtre por Definir os IPs externos permitidos para instâncias de VM.
      2. Selecione Definir os IPs externos permitidos para a política de instâncias de VM e clique em Editar.
      3. Selecione Personalizar e clique em Adicionar regra. Quando precisar selecionar valores de política, selecione Negar tudo.

      Também é possível definir uma política personalizada para permitir/negar IPs externos para instâncias de VM específicas.

   3. Configure a restrição de compartilhamento restrito de domínio.

Nesta tarefa, é possível escolher uma opção de suporte.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-organization-admins@<your-domain>.com criado na tarefa 2.

O que você fará nesta tarefa

Escolha um plano de suporte com base nas necessidades da sua empresa.

Por que recomendamos realizar esta tarefa

Um plano Suporte Premium oferece suporte essencial aos negócios para resolver problemas rapidamente com a ajuda de especialistas do Google.

Escolha uma opção de suporte

Os clientes do Google Cloud têm automaticamente suporte gratuito que inclui documentação de suporte do produto, suporte da comunidade e suporte para problemas de faturamento. No entanto, recomendamos que os clientes empresariais assinem um plano de suporte premium, que oferece suporte técnico individual de engenheiros de suporte do Google. Para mais informações, compare os planos de suporte.

Ativar suporte

1. Leia sobre os planos de suporte e escolha um deles. A configuração do plano de suporte é uma etapa posterior. Se você quiser permanecer com as opções de suporte gratuito, siga para a próxima tarefa.

2. Verifique se você fez login no console do Cloud como um usuário no Grupo do Google gcp-organization-admins criado na tarefa 2.

3. Configure o plano de suporte.

   • Para solicitar o Suporte Premium, entre em contato com seu representante de vendas do Google. Se você não tiver um representante, entre em contato com a equipe de vendas.

   • Para ativar o Suporte com base no papel atribuído, acesse a página Ativar Suporte com base no papel atribuído no console do Google Cloud e siga as instruções na tela para concluir as etapas necessárias.

4. Siga as instruções em Papéis do usuário de suporte para atribuir os papéis Usuário de suporte e Visualizador da organização a todos os usuários que precisem interagir com o suporte do Google Cloud.