Como criar e gerenciar organizações

O recurso Organização é o nó raiz na hierarquia de recursos do Google Cloud Platform e é o supernó hierárquico dos projetos. Esta página explica como adquirir e gerenciar o recurso Organização.

Antes de começar

Leia a visão geral do recurso Organização.

Como adquirir um recurso Organização

O recurso Organização está disponível aos clientes do G Suite e do Cloud Identity:

A organização é gerada automaticamente na primeira vez que um usuário associado a um domínio do G Suite ou Cloud Identity cria um projeto ou uma conta de faturamento. A organização é vinculada à conta com o projeto ou conta de faturamento definidos como recurso filho. Todos os projetos e contas de faturamento criados no domínio do G Suite ou Cloud Identity serão filhos dessa organização.

  • Para informações sobre como migrar projetos atuais, leia este artigo.

Cada conta do G Suite ou do Cloud Identity está associada a apenas uma organização. Cada organização está associada a exatamente um domínio, que é definido quando o recurso Organização é criado.

Após a criação do recurso Organização, comunicamos a disponibilidade dele aos superusuários do G Suite ou do Cloud Identity. Essas contas de superadministrador devem ser usadas com cuidado porque elas têm muito controle sobre a organização e todos os recursos subjacentes. Por isso, não recomendamos o uso de contas de superadministrador do G Suite ou do Cloud Identity para o gerenciar sua organização no dia a dia. Para mais informações sobre o uso das contas de superadministrador do G Suite ou Cloud Identity no Google Cloud, consulte Práticas recomendadas para superadministradores.

Para adotar o recurso Organização ativamente, superadministradores do G Suite ou do Cloud Identity precisam atribuir o papel de Administrador da organização do Cloud IAM a algum usuário ou grupo. Para saber os passos para configurar sua organização, consulte Como configurar sua organização.

  • No momento de criação da organização, todos os usuários no domínio recebem automaticamente os papéis "Criador do projeto" e "Criador da conta de faturamento" do IAM no nível da organização. Isso permite que os usuários no domínio continuem criando projetos sem interrupção.
  • O Administrador da organização decide quando quer começar a usá-la ativamente. Em seguida, ele pode alterar as permissões padrão e aplicar políticas mais restritivas, se necessário.
  • Se a organização estiver disponível e você não tiver as permissões do Cloud IAM para visualizá-la, ainda poderá criar projetos e contas de faturamento. Eles serão criados automaticamente no recurso Organização, mesmo que ele não fique visível.

Como conseguir o código da organização

O código da organização é um identificador exclusivo, gerado automaticamente a partir da criação dela. Os códigos de organizações são formatados como números decimais e não podem ter zeros à esquerda.

É possível conseguir a ID da organização usando o Console do Cloud, a ferramenta gcloud ou a API Resource Manager.

console


Para conseguir a ID da sua organização usando o Console do Cloud, siga estas etapas:

  1. Acesse o Console do Cloud:

    Acessar Console do Cloud

  2. Na parte superior da página, clique na lista suspensa de seleção de projetos.
  3. Na janela Selecionar, clique na lista suspensa da organização e selecione a organização em questão.
  4. No lado direito, clique em Mais e em Configurações.

A página Configurações exibe o código da organização.

gcloud


Para descobrir o código da organização, execute o seguinte comando:

gcloud organizations list

Isso lista todas as organizações às quais você pertence e os códigos delas.

API


Para localizar a ID da organização usando a API Resource Manager, chame o método organizations.search() com o filtro domain:[company.com]. A resposta conterá os metadados da organização, incluindo o código dela.

Como configurar sua organização

Se você é um cliente do G Suite ou do Cloud Identity, o recurso Organização é fornecido automaticamente.

Os superadministradores do G Suite ou do Cloud Identity são os primeiros usuários que podem acessar a organização após a criação. Todos os outros usuários ou grupos podem usar o GCP como antes. Eles podem ver o recurso Organização, mas só conseguem modificá-lo depois que as permissões corretas são definidas.

Os superusuários do G Suite ou Cloud Identity e o administrador da Organização do GCP são papéis importantes no processo de configuração e no controle do ciclo de vida do recurso Organização. Geralmente, ambos são atribuídos a diferentes usuários ou grupos. No entanto, isso depende da estrutura e das necessidades da organização.

No contexto da configuração da Organização do GCP, as responsabilidades do superusuário do G Suite ou do Cloud Identity são:

  • Atribuir a função de administrador da Organização a alguns usuários.
  • Ser um ponto de contato em caso de problemas de recuperação.
  • controlar o ciclo de vida da conta do G Suite ou do Cloud Identity e do recurso Organização, conforme explicado em Como excluir o recurso Organização.

Depois que é definido, o administrador da organização pode conceder papéis do IAM a outros usuários. As responsabilidades do papel de administrador da Organização são:

  • Definir políticas de IAM.
  • determinar a estrutura da hierarquia de recursos;
  • delegar responsabilidade sobre componentes importantes como rede, faturamento e hierarquia de recursos por meio de papéis do IAM.

Seguindo o princípio do menor privilégio, esse papel não inclui a permissão para executar outras ações, como criar pastas. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à conta deles.

Ter dois papéis distintos garante a separação de tarefas entre os superadministradores do G Suite ou do Cloud Identity e o administrador da Organização do GCP. Isso geralmente é obrigatório, já que os dois produtos do Google costumam ser gerenciados por departamentos diferentes na organização do cliente.

Para começar a usar ativamente o recurso, siga as etapas abaixo para adicionar um administrador da Organização:

Como adicionar um administrador da organização

Console

Para adicionar um administrador da organização, siga estas etapas:

  1. Faça login no Console Google Cloud como um superadministrador do G Suite ou do Cloud Identity e navegue até a página IAM e administrador :

    Abrir a página IAM e administrador

  2. Selecione a organização que você quer editar:

    1. Clique na lista suspensa do projeto localizada no topo da página.

    2. Na caixa de diálogo Selecionar de, clique na lista suspensa da organização e selecione a organização à qual você quer adicionar um administrador.

    3. Na lista que aparece, clique na organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar um papel , selecione Resource Manager> Administrador da organização e clique em Salvar.

    O administrador da organização tem as seguintes opções:

    • Assumir o controle total da organização. É estabelecida uma separação de responsabilidades entre o superadministrador do G Suite ou do Cloud Identity e o administrador do Google Cloud.

    • Delegar a responsabilidade sobre papéis críticos com a atribuição dos papéis relevantes do Cloud IAM.

Conforme explicado em Como adquirir o recurso Organização, após a criação, todos os usuários no domínio recebem os papéis de Criador do projeto e Criador da conta de faturamento no nível da organização por padrão. Isso garante que nenhuma interrupção atinja os usuários do GCP quando o recurso for criado. Após assumir o controle, o administrador da Organização pode remover essas permissões no nível da organização para começar a bloquear o acesso em uma granularidade mais fina (por exemplo, na pasta ou para envolvidos no projeto). Como as políticas de IAM são herdadas pela hierarquia, atribuir o papel de Criador do projeto a todo o domínio (domain:mycompany.com) no nível da organização significa que todos os usuários no domínio poderão criar projetos em qualquer lugar da hierarquia.

Como criar projetos na sua organização

Console


É possível criar um projeto na organização usando o Console do Cloud após a ativação do recurso Organização no seu domínio.

Para criar um novo projeto na organização, siga estas etapas:

  1. Acesse a página Gerenciar recursos no Console do Cloud.
    ACESSE A PÁGINA "GERENCIAR RECURSOS"
  2. Na lista suspensa Selecionar organização na parte superior da página, escolha a organização em que o projeto será criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto que será exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável.
  5. Se você quiser adicionar o projeto a uma pasta, digite o nome da pasta na caixa Local.
  6. Quando terminar de inserir os detalhes do novo projeto, clique em Criar.

API


Para criar um novo projeto na organização, crie um project e defina o campo parent dele para organizationId da organização.

O snippet de código a seguir demonstra como criar um projeto em uma organização:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Como visualizar projetos em uma Organização

Os usuários só podem visualizar e listar projetos aos quais tenham acesso por meio dos papéis de IAM. O Administrador da Organização pode ver e listar todos os projetos na organização.

Console


Para visualizar todos os projetos em uma organização usando o Console do Cloud:

  1. Acesse o Console do Google Cloud:

    Acessar o Console do Google Cloud

  2. Clique na lista suspensa Organização na parte superior da página.

  3. Selecione sua organização.

  4. Clique na lista suspensa Projeto na parte superior da página e clique em Visualizar mais projetos. Todos os projetos na organização estão listados na página.

A opção Sem organização na lista suspensa Organização mostra os seguintes projetos:

  • Projetos que ainda não pertencem à organização
  • Projetos aos quais o usuário tem acesso, mas que estão em uma organização que o usuário não pode acessar

gcloud


Para visualizar todos os projetos em uma organização, execute o seguinte comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Use o método projects.list() para listar todos os projetos em uma organização, conforme mostrado no snippet de código a seguir:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Exclusão de um recurso Organização

O recurso Organização está vinculado à sua conta do G Suite ou do Cloud Identity.

Se você preferir não usar o recurso Organização, recomendamos restaurar a política do IAM da Organização para o estado original usando as seguintes etapas:

  1. Adicione seu domínio aos papéis Project Creator e Billing Account Creator.
  2. Remova todas as outras entradas na política do IAM da Organização.

Assim, os usuários podem continuar criando Projetos e Contas de faturamento. Além disso, os superadministradores do G Suite ou Cloud Identity podem recuperar a administração central posteriormente.

Se você quiser excluir sua organização e todos os recursos associados a ela, exclua sua conta do G Suite. Para os usuários do Cloud Identity, cancele todos os outros serviços do Google e exclua sua conta do Google.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Resource Manager