Criação e gerenciamento de organizações

O recurso Organização é o nó raiz na hierarquia de recursos do Google Cloud e é o supernó hierárquico dos projetos. Esta página explica como adquirir e gerenciar o recurso Organização.

Antes de começar

Leia a visão geral do recurso Organização.

Como adquirir um recurso Organização

Um recurso Organização está disponível para os clientes do Google Workspace e do Cloud Identity:

Depois de criar sua conta do Google Workspace ou Cloud Identity e associá-la a um domínio, o recurso da sua organização será criado automaticamente. O recurso será provisionado em momentos diferentes, dependendo do status da sua conta:

  • Se você é novo no Google Cloud e ainda não criou um projeto, o recurso da organização será criado quando você fizer login no Console do Google Cloud e aceitar os Termos e Condições.
  • Se você for um usuário do Google Cloud, o recurso da organização será criado quando você criar um novo projeto ou uma conta de faturamento. Todos os projetos criados anteriormente serão listados em "Sem organização", e isso é normal. O recurso da organização será exibido e o novo projeto que você criou será vinculado automaticamente a ele.

    Você precisará mover todos os projetos criados em "Sem organização" ao novo recurso da organização. Para instruções sobre como mover seus projetos, consulte Como migrar projetos a uma organização.

O recurso da organização criado será vinculado à sua conta do Google Workspace ou do Cloud Identity com o projeto ou a conta de faturamento que você definiu como recurso filho. Todos os projetos e contas de faturamento criadas no domínio do Google Workspace ou Cloud Identity serão filhas dessa Organização.

  • Para informações sobre como migrar projetos atuais, leia este artigo.

Cada conta do Google Workspace ou do Cloud Identity está associada a apenas uma organização. Cada organização está associada a apenas um domínio, definido quando o recurso Organização é criado.

Após a criação do recurso Organização, comunicamos sua disponibilidade ao Google Workspace (antigo G Suite) ou aos superadministradores do Cloud Identity. Essas contas de superadministrador devem ser usadas com cuidado porque elas têm muito controle sobre a organização e todos os recursos subjacentes. Por isso, não recomendamos o uso de contas de superadministrador do Google Workspace ou do Cloud Identity para o gerenciamento diário da sua organização. Para mais informações sobre o uso das contas de superadministrador do Google Cloud Workspace ou do Cloud Identity no Google Cloud, consulte Práticas recomendadas para superadministradores.

Para adotar o recurso Organização ativamente, superadministradores do Google Workspace ou do Cloud Identity precisam atribuir o papel de Administrador da Organização do IAM a algum usuário ou grupo. Para saber os passos para configurar sua organização, consulte Como configurar sua organização.

  • No momento de criação da organização, todos os usuários no domínio recebem automaticamente os papéis "Criador do projeto" e "Criador da conta de faturamento" do IAM no nível da organização. Isso permite que os usuários no domínio continuem criando projetos sem interrupção.
  • O Administrador da organização decide quando quer começar a usá-la ativamente. Em seguida, ele pode alterar as permissões padrão e aplicar políticas mais restritivas, se necessário.
  • Se a organização estiver disponível e você não tiver as permissões de IAM para vê-la, ainda será possível criar projetos e contas de faturamento. Eles serão criados automaticamente no recurso Organização, mesmo que ele não fique visível.

Como conseguir o código da organização

O código da organização é um identificador exclusivo, gerado automaticamente a partir da criação dela. Os códigos de organizações são formatados como números decimais e não podem ter zeros à esquerda.

É possível conseguir a ID da organização usando o Console do Cloud, a ferramenta gcloud ou a API Resource Manager.

console


Para conseguir a ID da sua organização usando o Console do Cloud, siga estas etapas:

  1. Acesse o Console do Cloud:

    Acessar Console do Cloud

  2. Na parte superior da página, clique na lista suspensa de seleção de projetos.
  3. Na janela Selecionar, clique na lista suspensa da organização e selecione a organização em questão.
  4. No lado direito, clique em Mais e em Configurações.

A página Configurações exibe o código da organização.

gcloud


Para descobrir o código da organização, execute o seguinte comando:

gcloud organizations list

Isso lista todas as organizações às quais você pertence e os códigos delas.

API


Para localizar a ID da organização usando a API Resource Manager, chame o método organizations.search() com o filtro domain:[company.com]. A resposta conterá os metadados da organização, incluindo o código dela.

Como configurar sua organização

Se você é um cliente do Google Workspace ou do Cloud Identity, um recurso Organização é fornecido automaticamente.

Os superadministradores do Google Workspace ou do Cloud Identity são os primeiros usuários que podem acessar a organização após a criação. Todos os outros usuários ou grupos podem usar o Google Cloud como antes. Eles podem ver o recurso Organização, mas só conseguem modificá-lo depois que as permissões corretas são definidas.

Os superusuários do Google Workspace ou Cloud Identity e o administrador da Organização do GCP são papéis importantes no processo de configuração e no controle do ciclo de vida do recurso Organização. Geralmente, ambos são atribuídos a diferentes usuários ou grupos. No entanto, isso depende da estrutura e das necessidades da organização.

No contexto da configuração da Organização do GCP, as responsabilidades do superusuário do Google Workspace ou do Cloud Identity são:

  • Atribuir a função de administrador da Organização a alguns usuários.
  • Ser um ponto de contato em caso de problemas de recuperação.
  • controlar o ciclo de vida da conta do Google Workspace ou do Cloud Identity e do recurso Organização, conforme explicado em Como excluir o recurso Organização.

Depois que é definido, o administrador da organização pode conceder papéis do IAM a outros usuários. As responsabilidades do papel de administrador da Organização são:

  • Definir políticas de IAM.
  • determinar a estrutura da hierarquia de recursos;
  • delegar responsabilidade sobre componentes importantes como rede, faturamento e hierarquia de recursos por meio de papéis do IAM.

Seguindo o princípio do menor privilégio, esse papel não inclui a permissão para executar outras ações, como criar pastas. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à conta deles.

Ter dois papéis distintos garante a separação de tarefas entre os superadministradores do Google Workspace ou do Cloud Identity e o administrador da Organização do Google Cloud. Isso geralmente é obrigatório, já que os dois produtos do Google costumam ser gerenciados por departamentos diferentes na organização do cliente.

Para começar a usar ativamente o recurso, siga as etapas abaixo para adicionar um administrador da Organização:

Como adicionar um administrador da organização

Console

Para adicionar um administrador da organização, siga estas etapas:

  1. Faça login no Console do Google Cloud como um superadministrador do Google Workspace ou do Cloud Identity e navegue até a página IAM e administrador:

    Abrir a página IAM e administrador

  2. Selecione a organização que você quer editar:

    1. Clique na lista suspensa do projeto localizada no topo da página.

    2. Na caixa de diálogo Selecionar de, clique na lista suspensa da organização e selecione a organização à qual você quer adicionar um administrador.

    3. Na lista que aparece, clique na organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar um papel , selecione Resource Manager> Administrador da organização e clique em Salvar.

    O administrador da organização tem as seguintes opções:

    • Assumir o controle total da organização. É estabelecida uma separação de responsabilidades entre o superadministrador do Google Workspace ou do Cloud Identity e o administrador do Google Cloud.

    • Delegar a responsabilidade sobre papéis críticos com a atribuição dos papéis relevantes do IAM.

Conforme explicado em Como adquirir o recurso Organização, após a criação, todos os usuários no domínio recebem os papéis de Criador do projeto e Criador da conta de faturamento no nível da organização por padrão. Isso garante que nenhuma interrupção atinja os usuários do GCP quando o recurso for criado. Após assumir o controle, o administrador da Organização pode remover essas permissões no nível da organização para começar a bloquear o acesso em uma granularidade mais fina (por exemplo, na pasta ou para envolvidos no projeto). Como as políticas de IAM são herdadas pela hierarquia, atribuir o papel de Criador do projeto a todo o domínio (domain:mycompany.com) no nível da organização significa que todos os usuários no domínio poderão criar projetos em qualquer lugar da hierarquia.

Como criar projetos na sua organização

Console


Você pode criar um projeto na organização usando o Console do Cloud depois que o recurso Organização estiver ativado para seu domínio.

Para criar um novo projeto na organização, siga estas etapas:

  1. Acesse a página Gerenciar recursos no Console do Cloud.
    ACESSAR A PÁGINA "GERENCIAR RECURSOS"
  2. Na lista suspensa Selecionar organização na parte superior da página, escolha a organização em que o projeto será criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto que será exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável. O nome de um projeto pode ter apenas letras, números, aspas simples, hifens, espaços ou pontos de exclamação e precisa ter entre 4 e 30 caracteres.
  5. Insira a organização ou a pasta pai na caixa Local. Esse recurso será o pai hierárquico do novo projeto.
  6. Quando terminar de inserir os detalhes do novo projeto, clique em Criar.

API


Para criar um novo projeto na organização, crie um project e defina o campo parent dele para organizationId da organização.

O snippet de código a seguir demonstra como criar um projeto em uma organização:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Como visualizar projetos em uma Organização

Os usuários só podem visualizar e listar projetos aos quais tenham acesso por meio dos papéis de IAM. O Administrador da Organização pode ver e listar todos os projetos na organização.

Console


Para visualizar todos os projetos em uma organização usando o Console do Cloud:

  1. Acesse o Console do Google Cloud:

    Acessar o Console do Google Cloud

  2. Clique na lista suspensa Organização na parte superior da página.

  3. Selecione sua organização.

  4. Clique na lista suspensa Projeto na parte superior da página e clique em Visualizar mais projetos. Todos os projetos na organização estão listados na página.

A opção Sem organização na lista suspensa Organização mostra os seguintes projetos:

  • Projetos que ainda não pertencem à organização
  • Projetos aos quais o usuário tem acesso, mas que estão em uma organização que o usuário não pode acessar

gcloud


Para visualizar todos os projetos em uma organização, execute o seguinte comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Use o método projects.list() para listar todos os projetos em uma organização, conforme mostrado no snippet de código a seguir:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Exclusão de um recurso Organização

O recurso Organização está vinculado à sua conta do Google Workspace ou do Cloud Identity.

Se você preferir não usar o recurso Organização, recomendamos restaurar a política do IAM da Organização para o estado original usando as seguintes etapas:

  1. Adicione seu domínio aos papéis Project Creator e Billing Account Creator.
  2. Remova todas as outras entradas na política do IAM da Organização.

Assim, os usuários podem continuar criando Projetos e Contas de faturamento. Além disso, os superadministradores do Google Workspace ou Cloud Identity podem recuperar a administração central posteriormente.

Se você excluir sua conta do Google Workspace, ela excluirá sua Organização e todos os recursos associados a ela. Portanto, se você quiser excluir sua organização, exclua sua conta do Google Workspace. Para usuários do Cloud Identity, cancele todos os outros serviços do Google e exclua sua conta do Google. Essa é uma ação muito prejudicial que talvez não possa ser totalmente revertida. Portanto, é recomendável realizá-la somente se tiver certeza de que não há recursos em uso.