Criar e gerenciar recursos da organização

O recurso da organização é o nó raiz na hierarquia de recursos do Google Cloud e é o supernó hierárquico dos projetos. Esta página explica como adquirir e gerenciar um recurso de organização.

Antes de começar

Leia uma visão geral do recurso da organização.

Como acessar um recurso da organização

Um recurso "Organização" está disponível para clientes do Google Workspace e do Cloud Identity:

Depois de criar sua conta do Google Workspace ou Cloud Identity e associá-la a um domínio, o recurso da sua organização será criado automaticamente. O recurso será provisionado em momentos diferentes, dependendo do status da sua conta:

  • Se você é novo no Google Cloud e ainda não criou um projeto, o recurso da organização será criado quando você fizer login no console do Google Cloud e aceitar os Termos e Condições.
  • Se você já é um usuário do Google Cloud, o recurso da organização será criado quando você criar um novo projeto ou uma conta de faturamento. Todos os projetos criados anteriormente serão listados em "Sem organização", e isso é normal. O recurso da organização vai aparecer, e o novo projeto que você criou será vinculado a ele automaticamente.

    Você precisará mover todos os projetos criados em "Sem organização" para o novo recurso da organização. Para instruções sobre como mover seus projetos, consulte Como migrar projetos para um recurso de organização.

O recurso da organização criado será vinculado à sua conta do Google Workspace ou do Cloud Identity com o projeto ou a conta de faturamento que você definiu como recurso filho. Todos os projetos e contas de faturamento criadas no domínio do Google Workspace ou Cloud Identity serão filhos desse recurso da organização.

  • Para informações sobre como migrar projetos atuais, leia este artigo.

Cada conta do Google Workspace ou do Cloud Identity está associada a exatamente um recurso de organização. Um recurso da organização é associado a exatamente um domínio, que é definido quando o recurso da organização é criado.

Quando o recurso "Organização" é criado, comunicamos a disponibilidade dele aos superadministradores do Google Workspace ou do Cloud Identity. Essas contas de superadministrador devem ser usadas com cuidado porque elas têm muito controle sobre o recurso da organização e todos os recursos subjacentes. Por isso, não recomendamos o uso de contas de superadministrador do Google Workspace ou do Cloud Identity para o gerenciamento diário do recurso da sua organização. Para mais informações sobre o uso das contas de superadministrador do Google Cloud Workspace ou do Cloud Identity no Google Cloud, consulte Práticas recomendadas para superadministradores.

Para adotar o recurso Organização ativamente, os superadministradores do Google Workspace ou do Cloud Identity precisam atribuir o papel Administrador da organização (roles/resourcemanager.organizationAdmin) do Identity and Access Management (IAM) a um usuário ou grupo. Para saber como configurar o recurso da organização, consulte Como configurar o recurso da organização.

  • Quando o recurso da organização é criado, todos os usuários no domínio recebem automaticamente os papéis do IAM Criador de projetos (roles/resourcemanager.projectCreator) e Criador da conta de faturamento (roles/billing.creator) no nível do recurso da organização. Isso permite que os usuários no domínio continuem criando projetos sem interrupção.
  • O administrador da organização decide quando quer começar a usar o recurso de organização. A partir de então, eles podem alterar as permissões padrão e aplicar políticas mais restritivas, se necessário.
  • Se o recurso da organização estiver disponível e você não tiver as permissões do IAM para acessá-lo, ainda será possível criar projetos e contas de faturamento. Eles são criados automaticamente no recurso da organização, mesmo que ele não fique visível.

Como conseguir o ID do recurso da organização

O ID do recurso de organização é um identificador exclusivo e é criado automaticamente quando o recurso é criado. Os IDs de recursos de organização são formatados como números decimais e não podem ter zeros à esquerda.

É possível conseguir o ID do recurso da organização usando o console do Google Cloud, a CLI gcloud ou a API Cloud Resource Manager.

Console

Para conferir o ID do recurso da sua organização usando o console do Google Cloud, faça o seguinte:

  1. Acesse o Console do Google Cloud:

    Acesse o console do Google Cloud

  2. No seletor de projetos na parte de cima da página, selecione o recurso da sua organização.
  3. No lado direito, clique em Mais e em Configurações.

A página Configurações mostra o ID do recurso da organização.

gcloud

Para encontrar o ID do recurso da organização, execute o seguinte comando:

gcloud organizations list

Esse comando lista todos os recursos da organização aos quais você pertence e os IDs correspondentes.

API

Para encontrar o ID do recurso da sua organização usando a API Cloud Resource Manager, use o método organizations.search(), incluindo uma consulta para seu domínio. Exemplo:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

A resposta contém os metadados do recurso da organização que pertence a altostrat.com, incluindo o ID do recurso da organização.

Como configurar o recurso da organização

Se você é um cliente do Google Workspace ou do Cloud Identity, um recurso de organização é fornecido automaticamente.

Os superadministradores do Google Workspace ou do Cloud Identity são os primeiros usuários que podem acessar o recurso da organização após a criação. Todos os outros usuários ou grupos podem usar o Google Cloud como antes. Eles podem acessar o recurso da organização, mas só conseguem modificá-lo depois que as permissões corretas são definidas.

Os superadministradores do Google Workspace ou do Cloud Identity e o Administrador da organização do Google Cloud são os principais papéis durante o processo de configuração e para o controle do ciclo de vida do recurso da organização. Geralmente, os dois papéis são atribuídos a diferentes usuários ou grupos. No entanto, isso depende da estrutura e das necessidades do recurso da organização.

No contexto da configuração do recurso de organização do Google Cloud, as responsabilidades do superadministrador do Google Workspace ou do Cloud Identity são:

  • Atribuir o papel de Administrador da Organização a alguns usuários.
  • Ser um ponto de contato em caso de problemas de recuperação.
  • controlar o ciclo de vida da conta do Google Workspace ou do Cloud Identity e do recurso da organização, conforme explicado em Como excluir um recurso da organização.

Depois de atribuído, o Administrador da Organização pode atribuir papéis Identity and Access Management a outros usuários. As responsabilidades do papel Administrador da Organização são:

  • definir políticas do IAM e conceder papéis do IAM a outros usuários;
  • determinar a estrutura da hierarquia de recursos.

Seguindo o princípio do menor privilégio, esse papel não inclui a permissão para executar outras ações, como criar pastas ou projetos. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à conta deles.

Ter dois papéis distintos garante a separação de tarefas entre os superadministradores do Google Workspace ou do Cloud Identity e o Administrador da Organização do Google Cloud. Isso geralmente é obrigatório, já que os dois produtos do Google costumam ser gerenciados por departamentos diferentes na organização do cliente.

Para começar a usar ativamente o recurso da organização, siga as etapas abaixo para adicionar um administrador da Organização:

Como adicionar um administrador da organização

Console

Para adicionar um administrador da organização:

  1. Faça login no console do Google Cloud como um superadministrador do Google Workspace ou do Cloud Identity e navegue até a página IAM e administrador:

    Abrir a página IAM e administrador

  2. Selecione o recurso da organização que você quer editar:

    1. Clique na lista suspensa do projeto localizada no topo da página.

    2. Na caixa de diálogo Selecionar de, clique na lista suspensa de organizações e selecione o recurso da organização em que você quer adicionar um Administrador da organização.

    3. Na lista que aparece, clique no recurso da organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar um papel , selecione Resource Manager> Administrador da organização e clique em Salvar.

    O administrador da organização pode fazer o seguinte:

    • Assumir o controle total do recurso da organização. É estabelecida uma separação de responsabilidades entre o superadministrador do Google Workspace ou do Cloud Identity e o administrador do Google Cloud.

    • Delegar a responsabilidade sobre papéis críticos com a atribuição dos papéis relevantes do IAM.

Conforme explicado em Como adquirir um recurso de organização, após a criação, todos os usuários no domínio recebem os papéis de Criador de projetos e Criador da conta de faturamento no nível do recurso da organização por padrão. Isso garante que nenhuma interrupção seja causada para os usuários do Google Cloud quando o recurso de organização é criado. Após assumir o controle, o administrador da Organização pode remover essas permissões no nível da organização para começar a bloquear o acesso em uma granularidade mais fina (por exemplo, na pasta ou para envolvidos no projeto). Como as políticas de IAM são herdadas pela hierarquia, atribuir o papel de Criador de projetos a todo o domínio (domain:mycompany.com) no nível do recurso da organização significa que todos os usuários no domínio poderão criar projetos em qualquer lugar da hierarquia.

Como criar projetos no recurso da sua organização

Console


Você pode criar um projeto no recurso da organização usando o Console do Google Cloud depois que ele for ativado para seu domínio.

Para criar um novo projeto no recurso da organização:

Para criar um novo projeto, faça o seguinte:

  1. Acesse a página Gerenciar recursos no console do Google Cloud.

    Acessar "Gerenciar recursos"

    As etapas restantes aparecem no console do Google Cloud.

  2. Na lista suspensa Selecionar organização, na parte de cima da página, escolha o recurso da organização em que o projeto vai ser criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto que será exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável. O nome de um projeto só pode ser composto por letras, números, aspas simples, hifens, espaços ou pontos de exclamação e precisa ter entre 4 e 30 caracteres.
  5. Insira o recurso da organização ou pasta mãe na caixa Local. Esse recurso vai ser o pai hierárquico do novo projeto. Se houver a opção Sem organização, selecione-a para criar o novo projeto como o nível superior da própria hierarquia de recursos.
  6. Quando terminar de inserir os detalhes do novo projeto, clique em Criar.

API


Para criar um novo projeto no recurso da organização, crie um project e defina o campo parent dele como organizationId do recurso da organização.

O snippet de código a seguir demonstra como criar um projeto em um recurso de organização:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Como conferir projetos em um recurso de organização

Os usuários só podem visualizar e listar projetos aos quais tenham acesso com papéis do IAM. O administrador da organização pode conferir e listar todos os projetos no recurso da organização.

Console


Para conferir todos os projetos em um recurso de organização usando o console do Google Cloud:

  1. Acesse o Console do Google Cloud:

    Acessar o Console do Google Cloud

  2. Clique na lista suspensa Organização na parte superior da página.

  3. Selecione o recurso da sua organização.

  4. Clique no menu suspenso Project na parte de cima da página e em View more projects. Todos os projetos no recurso da organização estão listados na página.

A opção Sem organização na lista suspensa Organização mostra os seguintes projetos:

  • Projetos que ainda não pertencem ao recurso da organização
  • Projetos aos quais o usuário tem acesso, mas que estão em um recurso de organização que o usuário não pode acessar.

gcloud


Para conferir todos os projetos em um recurso de organização, execute o seguinte comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Use o método projects.list() para listar todos os projetos em um recurso pai, conforme mostrado no snippet de código a seguir:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Como excluir um recurso da organização

O recurso da organização está vinculado à sua conta do Google Workspace ou do Cloud Identity.

Se você preferir não usar o recurso da organização, recomendamos restaurar a política de IAM do recurso da organização para o estado original usando as seguintes etapas:

  1. Adicione seu domínio aos papéis Project Creator e Billing Account Creator.
  2. Remova todas as outras entradas na política de IAM do recurso da organização.

Assim, os usuários podem continuar criando Projetos e Contas de faturamento. Além disso, os superadministradores do Google Workspace ou Cloud Identity podem recuperar a administração central posteriormente.

Se você excluir sua conta do Google Workspace, ela excluirá o recurso da organização e todos os recursos associados a ela. Portanto, se você quiser excluir o recurso da organização, exclua sua conta do Google Workspace. Para usuários do Cloud Identity, cancele todos os outros serviços do Google e exclua sua conta do Google. Essa é uma ação muito prejudicial que talvez não possa ser totalmente revertida. Portanto, é recomendável realizá-la somente se tiver certeza de que não há recursos em uso.

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Comece a usar gratuitamente