Como criar e gerenciar organizações

O recurso da organização é o nó raiz na hierarquia de recursos do Google Cloud e é o supernó hierárquico dos projetos. Nesta página, explicamos como adquirir e gerenciar um recurso da organização.

Antes de começar

Leia uma visão geral do recurso da organização.

Como conseguir um recurso de organização

Um recurso da organização está disponível para clientes do Google Workspace e do Cloud Identity:

Depois de criar sua conta do Google Workspace ou Cloud Identity e associá-la a um domínio, o recurso da sua organização será criado automaticamente. O recurso será provisionado em momentos diferentes, dependendo do status da sua conta:

  • Se você é novo no Google Cloud e ainda não criou um projeto, o recurso da organização será criado quando fizer login no console do Google Cloud e aceitar os Termos e Condições.
  • Se você já é usuário do Google Cloud, o recurso da organização é criado quando você cria um novo projeto ou conta de faturamento. Todos os projetos criados anteriormente serão listados em "Sem organização", o que é normal. O recurso da organização será exibido e o novo projeto criado será vinculado a ele automaticamente.

    Você precisará mover todos os projetos criados em "Sem organização" para o novo recurso da organização. Para instruções sobre como mover os projetos, consulte Como migrar projetos para um recurso de organização.

O recurso da organização criado será vinculado à sua conta do Google Workspace ou do Cloud Identity com o projeto ou a conta de faturamento que você definiu como recurso filho. Todos os projetos e contas de faturamento criados no domínio do Google Workspace ou do Cloud Identity vão ser filhos desse recurso.

  • Para informações sobre como migrar projetos atuais, leia este artigo.

Cada conta do Google Workspace ou do Cloud Identity está associada a exatamente um recurso da organização. Um recurso da organização está associado a exatamente um domínio, que é definido quando o recurso é criado.

Quando o recurso da organização é criado, comunicamos a disponibilidade dele aos superadministradores do Google Workspace ou do Cloud Identity. Essas contas de superadministrador devem ser usadas com cuidado porque elas têm muito controle sobre o recurso da organização e todos os recursos abaixo dele. Por esse motivo, não recomendamos usar contas de superadministrador do Google Workspace ou do Cloud Identity para gerenciar diariamente o recurso da sua organização. Para mais informações sobre o uso das contas de superadministrador do Google Cloud Workspace ou do Cloud Identity no Google Cloud, consulte Práticas recomendadas para superadministradores.

Para adotar o recurso, o superadministrador do Google Workspace ou do Cloud Identity precisa atribuir o papel de Administrador da organização (roles/resourcemanager.organizationAdmin) do Identity and Access Management (IAM) a um usuário ou grupo. Veja as etapas para configurar o recurso da organização em Como configurar o recurso da organização.

  • Quando o recurso da organização é criado, todos os usuários no domínio recebem automaticamente os papéis do IAM "Criador do projeto" (roles/resourcemanager.projectCreator) e "Criador da conta de faturamento" (roles/billing.creator) no nível da organização. Isso permite que os usuários no domínio continuem criando projetos sem interrupção.
  • O administrador da organização decide quando quer começar a usar o recurso. A partir de então, eles podem alterar as permissões padrão e aplicar políticas mais restritivas, se necessário.
  • Se o recurso da organização estiver disponível e você não tiver as permissões do IAM para visualizá-lo, ainda será possível criar projetos e contas de faturamento. Elas são criadas automaticamente no recurso da organização, mesmo que você não possa vê-lo.

Como conseguir o ID do recurso da organização

O ID do recurso da organização é um identificador exclusivo gerado automaticamente após a criação do recurso. Os IDs dos recursos da organização são formatados como números decimais e não podem ter zeros à esquerda.

É possível conseguir o ID de recurso da organização usando o Console do Google Cloud, a CLI gcloud ou a API Resource Manager.

Console


Para conseguir o ID do recurso da organização usando o console do Google Cloud:

  1. Acesse o Console do Google Cloud:

    Acesse o console do Google Cloud

  2. Na parte superior da página, clique na lista suspensa de seleção de projetos.
  3. Na janela Selecionar exibida, clique na lista suspensa de recursos da organização e selecione o recurso que você quer.
  4. No lado direito, clique em Mais e em Configurações.

A página Configurações mostra o ID do recurso da organização.

gcloud


Para encontrar o ID do recurso da organização, execute o seguinte comando:

gcloud organizations list

Isso vai listar todos os recursos da organização a que você pertence e os IDs de recursos da organização correspondentes.

API


Para encontrar o ID de recurso da organização usando a API Resource Manager, chame o método organizations.search() com o filtro domain:[company.com]. A resposta conterá os metadados do recurso da organização, incluindo o ID de recurso.

Como configurar o recurso da organização

Para clientes do Google Workspace ou do Cloud Identity, um recurso da organização é fornecido automaticamente.

Os superadministradores do Google Workspace ou do Cloud Identity são os primeiros usuários que podem acessar o recurso da organização após a criação. Todos os outros usuários ou grupos podem usar o Google Cloud como antes. Eles poderão ver o recurso da organização, mas só poderão modificá-lo após a definição das permissões corretas.

Os superadministradores do Google Workspace ou do Cloud Identity e o administrador da organização do Google Cloud são papéis importantes durante o processo de configuração e para o controle do ciclo de vida do recurso da organização. Geralmente, ambos são atribuídos a diferentes usuários ou grupos, embora isso dependa da estrutura e das necessidades da organização.

As responsabilidades do superadministrador do Google Workspace ou do Cloud Identity no contexto da configuração do recurso da organização do Google Cloud são:

  • Atribuir o papel de Administrador da Organização a alguns usuários.
  • Ser um ponto de contato em caso de problemas de recuperação.
  • Controlar o ciclo de vida da conta do Google Workspace ou do Cloud Identity e do recurso da organização, conforme explicado em Como excluir o recurso da organização.

Depois de atribuído, o Administrador da Organização pode atribuir papéis Identity and Access Management a outros usuários. As responsabilidades do papel Administrador da Organização são:

  • definir políticas do IAM e conceder papéis do IAM a outros usuários;
  • determinar a estrutura da hierarquia de recursos.

Seguindo o princípio do menor privilégio, esse papel não inclui a permissão para executar outras ações, como criar pastas ou projetos. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à conta deles.

Ter dois papéis distintos garante a separação de tarefas entre os superadministradores do Google Workspace ou do Cloud Identity e o Administrador da Organização do Google Cloud. Isso geralmente é obrigatório, já que os dois produtos do Google costumam ser gerenciados por departamentos diferentes na organização do cliente.

Para começar a usar ativamente o recurso da organização, siga as etapas abaixo para adicionar um administrador da Organização:

Como adicionar um administrador da organização

Console

Para adicionar um administrador da organização, siga estas etapas:

  1. Faça login no console do Google Cloud como um superadministrador do Google Workspace ou do Cloud Identity e navegue até a página IAM e administrador:

    Abrir a página IAM e administrador

  2. Selecione o recurso da organização que você quer editar:

    1. Clique na lista suspensa do projeto localizada no topo da página.

    2. Na caixa de diálogo Selecionar de, clique na lista suspensa da organização e selecione o recurso a que você quer adicionar um administrador.

    3. Na lista que aparece, clique no recurso da organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar um papel , selecione Resource Manager> Administrador da organização e clique em Salvar.

    O administrador da organização pode fazer o seguinte:

    • Assuma o controle total do recurso da organização. É estabelecida uma separação de responsabilidades entre o superadministrador do Google Workspace ou do Cloud Identity e o administrador do Google Cloud.

    • Delegar a responsabilidade sobre papéis críticos com a atribuição dos papéis relevantes do IAM.

Conforme explicado em Como adquirir um recurso da organização, por padrão, todos os usuários no domínio recebem os papéis de Criador do projeto e Criador da conta de faturamento no nível da organização. Isso garante que nenhuma interrupção seja causada aos usuários do Google Cloud quando o recurso da organização for criado. Após assumir o controle, o administrador da Organização pode remover essas permissões no nível da organização para começar a bloquear o acesso em uma granularidade mais fina (por exemplo, na pasta ou para envolvidos no projeto). Como as políticas de IAM são herdadas pela hierarquia, atribuir o papel "Criador do projeto" a todo o domínio (domain:mycompany.com) no nível da organização significa que todos os usuários no domínio poderão criar projetos em qualquer lugar da hierarquia.

Criar projetos no recurso da organização

Console


É possível criar um projeto no recurso da organização usando o Console do Google Cloud depois que o recurso da organização estiver ativado no domínio.

Para criar um novo projeto no recurso da organização:

Para criar um projeto novo, execute as seguintes etapas:

  1. Acesse a página Gerenciar recursos no console do Google Cloud.

    Acesse "Gerenciar recursos"
    As etapas restantes vão aparecer automaticamente no console do Google Cloud.

  2. Na lista suspensa Selecionar organização, na parte de cima da página, escolha o recurso da organização em que o projeto vai ser criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto que vai ser exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável. O nome de um projeto só pode ser composto por letras, números, aspas simples, hifens, espaços ou pontos de exclamação e precisa ter entre 4 e 30 caracteres.
  5. Insira o recurso da organização ou pasta mãe na caixa Local. Esse recurso vai ser o pai hierárquico do novo projeto. Se houver a opção Sem organização, selecione-a para criar o novo projeto como o nível superior da própria hierarquia de recursos.
  6. Ao concluir a inserção dos detalhes do novo projeto, clique em Criar.

API


É possível gerar um novo projeto no recurso da organização criando um project e definindo o campo parent para o organizationId do recurso da organização.

O snippet de código abaixo demonstra como criar um projeto em um recurso da organização:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Como visualizar projetos em um recurso da organização

Os usuários só podem visualizar e listar projetos aos quais tenham acesso com papéis do IAM. O administrador da organização pode ver e listar todos os projetos no recurso da organização.

Console


Para ver todos os projetos em um recurso da organização usando o console do Google Cloud:

  1. Acesse o Console do Google Cloud:

    Acessar o Console do Google Cloud

  2. Clique na lista suspensa Organização na parte superior da página.

  3. Selecione o recurso da organização.

  4. Clique no menu suspenso Projeto na parte superior da página e em Ver mais projetos. Todos os projetos no recurso da organização são listados na página.

A opção Sem organização na lista suspensa Organização mostra os seguintes projetos:

  • Projetos que ainda não pertencem ao recurso da organização.
  • Projetos a que o usuário tem acesso, mas que estão em um recurso da organização ao qual o usuário não tem acesso.

gcloud


Para ver todos os projetos em um recurso da organização, execute o seguinte comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Use o método projects.list() para listar todos os projetos em um recurso pai, conforme mostrado no snippet de código a seguir:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Como excluir um recurso da organização

O recurso da organização está vinculado à sua conta do Google Workspace ou do Cloud Identity.

Se você preferir não usar o recurso da organização, recomendamos restaurar a política do IAM do recurso da organização para o estado original seguindo estas etapas:

  1. Adicione seu domínio aos papéis Project Creator e Billing Account Creator.
  2. Remova todas as outras entradas na política do IAM do recurso da organização.

Assim, os usuários podem continuar criando Projetos e Contas de faturamento. Além disso, os superadministradores do Google Workspace ou Cloud Identity podem recuperar a administração central posteriormente.

Se você excluir sua conta do Google Workspace, o recurso da organização e todos os recursos associados a ele também serão excluídos. Portanto, se você quiser excluir o recurso da sua organização, faça isso excluindo sua conta do Google Workspace. Para usuários do Cloud Identity, cancele todos os outros serviços do Google e exclua sua conta do Google. Essa é uma ação muito prejudicial que talvez não possa ser totalmente revertida. Portanto, é recomendável realizá-la somente se tiver certeza de que não há recursos em uso.

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Comece a usar gratuitamente