Como criar e gerenciar organizações

O recurso Organização é o node raiz na hierarquia de recursos do Google Cloud Platform e é o supernode hierárquico dos projetos. Esta página explica como adquirir e gerenciar o recurso Organização.

Antes de começar

Leia a visão geral do recurso Organização.

Como adquirir um recurso Organização

O recurso Organização está disponível aos clientes do G Suite e do Cloud Identity:

  • G Suite:
    • Um recurso Organização é criado automaticamente na primeira vez que um usuário associado a um domínio do G Suite cria um projeto ou uma conta de faturamento. A organização será vinculada à respectiva conta do G Suite com o projeto ou à conta de faturamento definida como um recurso filho. Todos os projetos e contas de faturamento criados no domínio do G Suite serão filhos dessa organização.
    • Para ver mais informações sobre como migrar projetos preexistentes, leia este artigo.
  • Cloud Identity
    • É possível usar uma conta gratuita do Cloud Identity para criar um recurso Organização. Saiba mais em Sobre o Cloud Identity.

Cada conta do G Suite ou do Cloud Identity está associada a exatamente uma organização. Cada organização está associada a exatamente um domínio, que é definido quando o recurso Organização é criado.

Após a criação do recurso Organização, comunicamos a disponibilidade dele aos superadministradores do G Suite ou do Cloud Identity. Essas contas de superadministrador devem ser usadas com cuidado porque elas têm muito controle sobre a organização e todos os recursos subjacentes. Por isso, não recomendamos o uso de contas de superadministrador do G Suite ou do Cloud Identity para o gerenciar sua organização no dia a dia. Para saber mais informações sobre o uso de contas de superadministrador do G Suite ou do Cloud Identity no GCP, consulte Práticas recomendadas de superadministradores.

Para adotar o recurso Organização ativamente, superadministradores do G Suite ou do Cloud Identity precisam atribuir o papel de Administrador da organização do Cloud IAM a algum usuário ou grupo. Para saber os passos para configurar sua organização, consulte Como configurar sua organização.

  • No momento de criação da organização, todos os usuários no domínio recebem automaticamente os papéis "Criador do projeto" e "Criador da conta de faturamento" do IAM no nível da organização. Isso permite que os usuários no domínio continuem criando projetos sem interrupção.
  • O Administrador da organização decide quando quer começar a usá-la ativamente. Em seguida, ele pode alterar as permissões padrão e aplicar políticas mais restritivas, se necessário.
  • Se a organização estiver disponível e você não tiver as permissões do Cloud IAM para visualizá-la, ainda poderá criar projetos e contas de faturamento. Eles serão criados automaticamente no recurso Organização, mesmo que ele não fique visível.

Como conseguir o código da organização

O código da organização é um identificador exclusivo, gerado automaticamente a partir da criação dela. Os códigos de organizações são formatados como números decimais e não podem ter zeros à esquerda.

É possível conseguir o código da organização usando o Console do GCP, a ferramenta gcloud ou a API Resource Manager.

Console


Para conseguir o código da organização usando o console do GCP:

  1. Acesse o console do GCP.

    Acessar o console do GCP

  2. Na parte superior da página, clique na lista suspensa de seleção de projetos.
  3. Na janela Selecionar, clique na lista suspensa da organização e selecione a organização em questão.
  4. No lado direito, clique em Mais e em Configurações.

A página Configurações exibe o código da organização.

gcloud


Para descobrir o código da organização, execute o seguinte comando:

gcloud organizations list

Isso lista todas as organizações às quais você pertence e os códigos delas.

API


Para localizar o código da organização usando a API Resource Manager, chame o método organizations.search() com o filtro domain:[company.com]. A resposta conterá os metadados do recurso Organização, inclusive o código.

Como configurar sua organização

Se você é um cliente do G Suite ou do Cloud Identity, o recurso Organização é fornecido automaticamente.

Os superadministradores do G Suite ou do Cloud Identity são os primeiros usuários que podem acessar a organização após a criação. Todos os outros usuários ou grupos podem usar o GCP como antes. Eles podem ver o recurso Organização, mas só conseguem modificá-lo depois que as permissões corretas são definidas.

Os superusuários do G Suite ou Cloud Identity e o administrador da Organização do GCP são papéis importantes no processo de configuração e no controle do ciclo de vida do recurso Organização. Geralmente, ambos são atribuídos a diferentes usuários ou grupos. No entanto, isso depende da estrutura e das necessidades da organização.

No contexto da configuração da Organização do GCP, as responsabilidades do superusuário do G Suite ou do Cloud Identity são:

  • Atribuir a função de administrador da Organização a alguns usuários.
  • ser um ponto de contato em caso de problemas de recuperação;
  • controlar o ciclo de vida da conta do G Suite ou do Cloud Identity e do recurso Organização, conforme explicado em Como excluir o recurso Organização.

Depois que é definido, o administrador da organização pode conceder papéis do IAM a outros usuários. As responsabilidades do papel de administrador da Organização são:

  • definir políticas de IAM;
  • determinar a estrutura da hierarquia de recursos;
  • delegar responsabilidade sobre componentes importantes como rede, faturamento e hierarquia de recursos por meio de papéis do IAM.

Seguindo o princípio do menor privilégio, esse papel não inclui a permissão para executar outras ações, como criar pastas. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à conta deles.

Ter dois papéis distintos garante a separação de tarefas entre os superadministradores do G Suite ou do Cloud Identity e o administrador da Organização do GCP. Isso geralmente é obrigatório, já que os dois produtos do Google costumam ser gerenciados por departamentos diferentes na organização do cliente.

Para começar a usar ativamente o recurso, siga as etapas abaixo para adicionar um administrador da Organização:

Como adicionar um administrador da organização

Console

Para adicionar um administrador da organização, siga estas etapas:

  1. Faça login no Console do Google Cloud Platform como um superadministrador do G Suite ou do Cloud Identity e navegue até a página IAM e Admin:

    Abrir a página "IAM e Admin"

  2. Selecione a organização que você quer editar:

    1. Clique na lista suspensa Sel. projeto, na parte superior da página.

    2. Na caixa de diálogo Selecionar exibida, clique na lista suspensa de organizações e selecione aquela em que você quer adicionar um administrador.

    3. Na lista que aparece, clique na organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar papel, escolha Resource Manager > Administrador da organização e clique em Adicionar.

  5. O administrador pode assumir total controle da organização, e as responsabilidades são separadas entre o superadministrador do G Suite ou do Cloud Identity e o administrador do GCP.

  6. O administrador da organização pode delegar responsabilidades sobre funções importantes atribuindo os papéis relevantes do Cloud IAM.

Conforme explicado em Como adquirir o recurso Organização, após a criação, todos os usuários no domínio recebem os papéis de Criador do projeto e Criador da conta de faturamento no nível da organização por padrão. Isso garante que nenhuma interrupção atinja os usuários do GCP quando o recurso for criado. Após assumir o controle, o administrador da Organização pode remover essas permissões no nível da organização para começar a bloquear o acesso em uma granularidade mais fina (por exemplo, na pasta ou para envolvidos no projeto). Como as políticas de IAM são herdadas pela hierarquia, atribuir o papel de Criador do projeto a todo o domínio (domain:mycompany.com) no nível da organização significa que todos os usuários no domínio poderão criar projetos em qualquer lugar da hierarquia.

Como criar projetos na sua organização

Console


É possível criar um projeto na organização usando o console do GCP depois que o recurso Organização estiver ativado no domínio.

Para criar um novo projeto na organização, siga estas etapas:

  1. Acesse a página Gerenciar recursos no console do GCP:
    ACESSAR A PÁGINA "GERENCIAR RECURSOS"
  2. Na lista suspensa Selecionar organização na parte superior da página, escolha a organização em que o projeto será criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto que será exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável.
  5. Se você quiser adicionar o projeto a uma pasta, digite o nome da pasta na caixa Local.
  6. Quando terminar de inserir os detalhes do novo projeto, clique em Criar.

API


É possível gerar um novo projeto na organização por meio da criação de um project e da definição do campo parent dele como o organizationId da organização.

O snippet de código a seguir demonstra como criar um projeto em uma organização:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Como visualizar projetos em uma Organização

Os usuários só podem visualizar e listar projetos aos quais tenham acesso por meio dos papéis de IAM. O Administrador da Organização pode ver e listar todos os projetos na organização.

Console


Para visualizar todos os projetos em uma organização usando o console do GCP:

  1. Acesse o console do Google Cloud Platform:

    Acessar o Console do Google Cloud Platform

  2. Clique na lista suspensa Organização na parte superior da página.

  3. Selecione sua organização.

  4. Clique na lista suspensa Projeto na parte superior da página e clique em Visualizar mais projetos. Todos os projetos na organização estão listados na página.

A opção Sem organização na lista suspensa Organização mostra os seguintes projetos:

  • Projetos que ainda não pertencem à organização
  • Projetos aos quais o usuário tem acesso, mas que estão em uma organização que o usuário não pode acessar

gcloud


Para visualizar todos os projetos em uma organização, execute o seguinte comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Use o método projects.list() para listar todos os projetos em uma organização, conforme mostrado no snippet de código a seguir:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Como excluir um recurso Organização

O recurso Organização está vinculado à sua conta do G Suite ou do Cloud Identity.

Se você preferir não usar o recurso Organização, recomendamos restaurar a política do IAM da Organização para o estado original usando as seguintes etapas:

  1. Adicione seu domínio aos papéis Project Creator e Billing Account Creator.
  2. Remova todas as outras entradas na política do IAM da Organização.

Assim, os usuários podem continuar criando Projetos e Contas de faturamento. Além disso, os superadministradores do G Suite ou Cloud Identity podem recuperar a administração central posteriormente.

Se você quiser excluir sua organização e todos os recursos associados a ela, exclua sua conta do G Suite. Para usuários do Cloud Identity, cancele todos os outros serviços do Google e exclua sua Conta do Google.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Resource Manager