Como criar e gerenciar recursos da organização

O recurso da organização é o nó raiz na hierarquia de recursos do Google Cloud e é o supernó hierárquico dos projetos. Nesta página, explicamos como adquirir e gerenciar um recurso da organização.

Antes de começar

Leia uma visão geral do recurso Organização.

Como receber um recurso da organização

Um recurso da organização está disponível para os clientes do Google Workspace e do Cloud Identity:

Depois de criar sua conta do Google Workspace ou Cloud Identity e associá-la a um domínio, o recurso da sua organização será criado automaticamente. O recurso será provisionado em momentos diferentes, dependendo do status da sua conta:

  • Se você é novo no Google Cloud e ainda não criou um projeto, o recurso de organização será criado quando você fizer login no console do Google Cloud e aceitar os termos e condições.
  • Se você já for usuário do Google Cloud, o recurso de organização será criado quando você criar um novo projeto ou conta de faturamento. Todos os projetos que você criou anteriormente serão listados em "Sem organização", e isso é normal. O recurso da organização aparecerá e o novo projeto criado será automaticamente vinculado a ele.

    Você precisará mover todos os projetos criados em "Sem organização" para o novo recurso de organização. Para instruções sobre como mover os projetos, consulte Como migrar projetos para um recurso de organização.

O recurso da organização criado será vinculado à sua conta do Google Workspace ou do Cloud Identity com o projeto ou a conta de faturamento que você definiu como recurso filho. Todos os projetos e contas de faturamento criados no domínio do Google Workspace ou do Cloud Identity serão filhos desse recurso da organização.

  • Para informações sobre como migrar projetos atuais, leia este artigo.

Cada conta do Google Workspace ou do Cloud Identity está associada a exatamente um recurso da organização. Um recurso da organização está associado a exatamente um domínio, que é definido quando o recurso da organização é criado.

Quando o recurso da organização é criado, comunicamos a disponibilidade dele aos superadministradores do Google Workspace ou do Cloud Identity. Essas contas de superadministrador devem ser usadas com cuidado porque elas têm muito controle sobre o recurso da organização e todos os recursos que estão sob ele. Por esse motivo, não recomendamos o uso de contas de superadministrador do Google Workspace ou do Cloud Identity para o gerenciamento diário do recurso da organização. Para mais informações sobre o uso das contas de superadministrador do Google Cloud Workspace ou do Cloud Identity no Google Cloud, consulte Práticas recomendadas para superadministradores.

Para adotar o recurso Organização ativamente, os superadministradores do Google Workspace ou do Cloud Identity precisam atribuir o papel Administrador de Organização (roles/resourcemanager.organizationAdmin) do Identity and Access Management (IAM) a um usuário ou grupo. Para as etapas de configuração do recurso, consulte Como configurar o recurso Organização.

  • Quando o recurso da organização é criado, todos os usuários no domínio recebem automaticamente os papéis do IAM "Criador de projetos" (roles/resourcemanager.projectCreator) e "Criador da conta de faturamento" (roles/billing.creator) no nível do recurso da organização. Isso permite que os usuários no domínio continuem criando projetos sem interrupção.
  • O administrador da organização decide quando quer começar a usar o recurso da organização. A partir de então, eles podem alterar as permissões padrão e aplicar políticas mais restritivas, se necessário.
  • Se o recurso da organização estiver disponível e você não tiver as permissões do IAM para visualizá-lo, ainda será possível criar projetos e contas de faturamento. Elas são criadas automaticamente no recurso da organização, mesmo que você não possa vê-las.

Como conseguir ID do recurso da organização

O ID de recurso da organização é um identificador exclusivo do recurso. Ele é gerado automaticamente quando esse recurso é criado. Os códigos de recursos da organização são formatados como números decimais e não podem ter zeros à esquerda.

É possível conseguir o ID do recurso da organização usando o console do Google Cloud, a CLI gcloud ou a API Resource Manager.

Console


Para conseguir o ID do recurso da organização usando o console do Google Cloud:

  1. Acesse o Console do Google Cloud:

    Acesse o console do Google Cloud

  2. Na parte superior da página, clique na lista suspensa de seleção de projetos.
  3. Na janela Selecionar exibida, clique na lista suspensa de recursos da organização e selecione o recurso desejado.
  4. No lado direito, clique em Mais e em Configurações.

A página Configurações exibe o ID de recurso da organização.

gcloud


Para encontrar o ID do recurso da organização, execute o seguinte comando:

gcloud organizations list

Isso lista todos os recursos da organização a que você pertence e os códigos de recurso da organização correspondentes.

API


Para encontrar o ID de recurso da organização usando a API Resource Manager, chame o método organizations.search() com o filtro domain:[company.com]. A resposta conterá os metadados do recurso da organização, que inclui o ID do recurso da organização.

Como configurar o recurso da organização

Se você é um cliente do Google Workspace ou do Cloud Identity, um recurso da organização é fornecido automaticamente.

Os superadministradores do Google Workspace ou do Cloud Identity são os primeiros usuários que podem acessar o recurso da organização após a criação. Todos os outros usuários ou grupos podem usar o Google Cloud como antes. Eles poderão ver o recurso da organização, mas só poderão modificá-lo após a definição das permissões corretas.

Os superadministradores do Google Workspace ou do Cloud Identity e o administrador da organização do Google Cloud são papéis importantes durante o processo de configuração e para o controle do ciclo de vida do recurso da organização. Os dois papéis geralmente são atribuídos a diferentes usuários ou grupos, embora isso dependa da estrutura e das necessidades do recurso da organização.

No contexto da configuração de recursos da organização do Google Cloud, as responsabilidades do superadministrador do Google Workspace ou do Cloud Identity são:

  • Atribuir o papel de Administrador da Organização a alguns usuários.
  • Ser um ponto de contato em caso de problemas de recuperação.
  • Controlar o ciclo de vida da conta do Google Workspace ou do Cloud Identity e do recurso da organização, conforme explicado em Como excluir um recurso da organização

Depois de atribuído, o Administrador da Organização pode atribuir papéis Identity and Access Management a outros usuários. As responsabilidades do papel Administrador da Organização são:

  • definir políticas do IAM e conceder papéis do IAM a outros usuários;
  • determinar a estrutura da hierarquia de recursos.

Seguindo o princípio do menor privilégio, esse papel não inclui a permissão para executar outras ações, como criar pastas ou projetos. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à conta deles.

Ter dois papéis distintos garante a separação de tarefas entre os superadministradores do Google Workspace ou do Cloud Identity e o Administrador da Organização do Google Cloud. Isso geralmente é obrigatório, já que os dois produtos do Google costumam ser gerenciados por departamentos diferentes na organização do cliente.

Para começar a usar ativamente o recurso da organização, siga as etapas abaixo para adicionar um administrador da Organização:

Como adicionar um administrador da organização

Console

Para adicionar um administrador da organização:

  1. Faça login no console do Google Cloud como um superadministrador do Google Workspace ou do Cloud Identity e navegue até a página IAM e administrador:

    Abrir a página IAM e administrador

  2. Selecione o recurso da organização que você quer editar:

    1. Clique na lista suspensa do projeto localizada no topo da página.

    2. Na caixa de diálogo Selecionar de, clique na lista suspensa da organização e selecione o recurso da organização a que você quer adicionar um Administrador da organização.

    3. Na lista que aparece, clique no recurso Organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar um papel , selecione Resource Manager> Administrador da organização e clique em Salvar.

    O administrador da organização pode fazer o seguinte:

    • Assuma o controle total do recurso da organização. É estabelecida uma separação de responsabilidades entre o superadministrador do Google Workspace ou do Cloud Identity e o administrador do Google Cloud.

    • Delegar a responsabilidade sobre papéis críticos com a atribuição dos papéis relevantes do IAM.

Conforme explicado em Como adquirir o recurso Organização, todos os usuários no domínio recebem os papéis Criador de projetos e Criador da conta de faturamento no nível do recurso da organização por padrão. Isso garante que nenhuma interrupção seja causada para os usuários do Google Cloud quando o recurso da organização for criado. Após assumir o controle, o administrador da Organização pode remover essas permissões no nível da organização para começar a bloquear o acesso em uma granularidade mais fina (por exemplo, na pasta ou para envolvidos no projeto). Observe que, como as políticas do IAM são herdadas na hierarquia, ter o papel Criador de projetos atribuído a todo o domínio (domain:mycompany.com) no nível do recurso da organização implica que todos os usuários no domínio poderão criar projetos em qualquer lugar da hierarquia.

Como criar projetos no recurso da organização

Console


É possível criar um projeto no recurso da organização usando o Console do Google Cloud depois que o recurso da organização estiver ativado no domínio.

Para criar um novo projeto no recurso Organização:

Para criar um projeto novo, execute as seguintes etapas:

  1. Acesse a página Gerenciar recursos no console do Google Cloud.

    Acessar "Gerenciar recursos"

    As etapas restantes serão exibidas automaticamente no console do Google Cloud.

  2. Na lista suspensa Selecionar organização, na parte de cima da página, escolha o recurso da organização em que o projeto vai ser criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto que vai ser exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável. O nome de um projeto só pode ser composto por letras, números, aspas simples, hifens, espaços ou pontos de exclamação e precisa ter entre 4 e 30 caracteres.
  5. Insira o recurso da organização ou pasta mãe na caixa Local. Esse recurso vai ser o pai hierárquico do novo projeto. Se houver a opção Sem organização, selecione-a para criar o novo projeto como o nível superior da própria hierarquia de recursos.
  6. Ao concluir a inserção dos detalhes do novo projeto, clique em Criar.

API


É possível criar um novo projeto no recurso da organização criando um project e definindo o campo parent como organizationId do recurso da organização.

O snippet de código a seguir demonstra como criar um projeto em um recurso da organização:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Como visualizar projetos em um recurso de organização

Os usuários só podem visualizar e listar projetos aos quais tenham acesso com papéis do IAM. O administrador da organização pode ver e listar todos os projetos no recurso da organização.

Console


Para visualizar todos os projetos em um recurso da organização usando o console do Google Cloud:

  1. Acesse o Console do Google Cloud:

    Acessar o Console do Google Cloud

  2. Clique na lista suspensa Organização na parte superior da página.

  3. Selecione o recurso da organização.

  4. Clique na lista suspensa Projeto na parte superior da página e depois em Ver mais projetos. Todos os projetos no recurso da organização estão listados na página.

A opção Sem organização na lista suspensa Organização mostra os seguintes projetos:

  • Projetos que ainda não pertencem ao recurso da organização.
  • Projetos aos quais o usuário tem acesso, mas que estão em um recurso da organização ao qual o usuário não tem acesso.

gcloud


Para ver todos os projetos em um recurso da organização, execute o seguinte comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Use o método projects.list() para listar todos os projetos em um recurso pai, conforme mostrado no snippet de código a seguir:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Como excluir um recurso da organização

O recurso da organização está vinculado à sua conta do Google Workspace ou do Cloud Identity.

Se você preferir não usar o recurso Organização, recomendamos restaurar a política do IAM do recurso Organização para o estado original seguindo estas etapas:

  1. Adicione seu domínio aos papéis Project Creator e Billing Account Creator.
  2. Remova todas as outras entradas na política do IAM do recurso da organização.

Assim, os usuários podem continuar criando Projetos e Contas de faturamento. Além disso, os superadministradores do Google Workspace ou Cloud Identity podem recuperar a administração central posteriormente.

Se você excluir sua conta do Google Workspace, o recurso da organização e todos os recursos associados a ela também serão excluídos. Portanto, se você quiser excluir o recurso da organização, faça isso excluindo a conta do Google Workspace. Para usuários do Cloud Identity, cancele todos os outros serviços do Google e exclua sua conta do Google. Essa é uma ação muito prejudicial que talvez não possa ser totalmente revertida. Portanto, é recomendável realizá-la somente se tiver certeza de que não há recursos em uso.

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Comece a usar gratuitamente