Como gerenciar várias organizações

O nó da organização estabelece a propriedade de projetos e pastas abaixo dele na hierarquia de recursos do Google Cloud Platform. Sua conta do G Suite ou do Cloud Identity está associada exatamente a um nó da organização. Cada conta do G Suite ou do Cloud Identity está associada a exatamente um domínio, como example.com.

Na maioria dos casos de uso, é melhor usar pastas abaixo do nó da organização. Para manter suborganizações ou departamentos da sua empresa como entidades isoladas sem administração central, configure várias contas do G Suite ou do Cloud Identity. Cada conta terá um único nó da organização associado a um domínio.

Efeitos do uso de vários nós da organização

Use vários nós da organização quando você não quiser que os usuários de uma conta do G Suite ou do Cloud Identity acessem recursos criados por usuários de outra conta do G Suite ou do Cloud Identity. No entanto, separar os recursos em vários nós da organização tem várias consequências:

  • Por padrão, nenhum usuário terá visibilidade central e controle de todos os recursos.

  • As políticas comuns em todas as suborganizações precisarão ser replicadas em cada nó da organização.

  • Mover projetos e pastas de um nó da organização para outro não é uma operação de autoatendimento e exigirá uma solicitação de suporte.

  • Cada nó da organização requer uma conta do G Suite. Portanto, para operar vários nós da organização, é necessário muitas contas do G Suite e a capacidade de gerenciar identidades entre elas.

Como usar um único nó da organização

A maioria das organizações que querem manter suborganizações separadas pode fazer isso usando um único nó da organização e pastas. Se você tem uma única conta do G Suite, ela é mapeada para o nó da organização, enquanto as suborganizações são mapeadas para as pastas.

Escolher um administrador da organização

Escolha um ou mais usuários para atuar como administrador da organização do Cloud IAM em relação ao nó da organização.

Console

Para adicionar um administrador da organização, siga estas etapas:

  1. Faça login no Console do Google Cloud Platform como um superadministrador do G Suite ou do Cloud Identity e navegue até a página IAM e Admin:

    Abrir a página "IAM e Admin"

  2. Selecione a organização que você quer editar:

    1. Clique na lista suspensa Sel. projeto, na parte superior da página.

    2. Na caixa de diálogo Selecionar exibida, clique na lista suspensa de organizações e selecione aquela em que você quer adicionar um administrador.

    3. Na lista que aparece, clique na organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar papel, escolha Resource Manager > Administrador da organização e clique em Adicionar.

  5. O administrador pode assumir total controle da organização, e as responsabilidades são separadas entre o superadministrador do G Suite ou do Cloud Identity e o administrador do GCP.

  6. O administrador da organização pode delegar responsabilidades sobre funções importantes atribuindo os papéis relevantes do Cloud IAM.

Criar pastas para suborganizações

Crie uma pasta abaixo do nó da organização para cada suborganização.

Para criar pastas, você precisa ter o papel Administrador de pasta ou Criador de pastas no nível pai. Por exemplo, para criar pastas no nível da Organização, você precisa ter um desses papéis nesse nível.

Como parte da criação de uma pasta, você precisa atribuir um nome a ela. Os nomes de pasta precisam atender aos seguintes requisitos:

  • O nome pode conter letras, dígitos, espaços, hifens e sublinhados.
  • O nome de exibição da pasta precisa começar e terminar com uma letra ou um dígito.
  • O nome precisa ter 30 caracteres ou menos.
  • O nome precisa ser distinto de todas as outras pastas que compartilhem o mesmo pai.

Para criar uma pasta:

Console

As pastas podem ser criadas na IU usando a seção "Gerenciar projetos e pastas".

  1. Acesse a página Gerenciar recursos no Console do GCP:

    Abrir a página "Gerenciar recursos"

  2. Clique em Criar pasta.

  3. Na caixa Nome da pasta, insira o nome da nova pasta.

  4. Em Destino, clique em Procurar e selecione o nó ou a pasta da organização em que você quer criar a nova pasta.

    1. Clique em Criar

gcloud

As pastas podem ser criadas programaticamente com a ferramenta de linha de comando gcloud.

Para criar uma pasta no recurso Organização com o uso da ferramenta de linha de comando gcloud, execute o seguinte comando:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para criar uma pasta cujo pai é outra pasta:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta. Pastas com o mesmo pai não podem ter o mesmo nome de exibição. O nome de exibição precisa começar e terminar com uma letra ou um dígito, pode conter letras, dígitos, espaços, hifens e sublinhados e não pode ter mais de 30 caracteres;
  • [ORGANIZATION_ID] é o código da organização pai, se o pai for uma organização;
  • [FOLDER_ID] é o código da pasta pai, se o pai for uma pasta.

API

É possível criar pastas com uma solicitação de API.

A solicitação JSON:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

A solicitação curl Criar pasta:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta nova. Por exemplo, "Minha pasta maravilhosa";
  • [ORGANIZATION_NAME] é o nome da organização em que você está criando a pasta. Por exemplo, organizations/123.

A resposta "Criar pasta":

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

A solicitação curl Receber operação:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

A resposta Receber operação:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Atribuir papéis de administrador na pasta

Para cada pasta da suborganização que você cria, atribua o papel Administrador de pasta a um ou mais usuários. Esses usuários terão controle administrativo sobre a pasta e a suborganização que ela representa.

Para configurar o acesso às pastas, você precisa ter o papel Administrador de pastas do IAM ou Administrador de pasta no nível pai.

Console

  1. No Console do Google Cloud Platform, abra a página Gerenciar recursos.

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior esquerda e selecione a organização.

  3. Marque a caixa de seleção ao lado do projeto em que você quer alterar as permissões.

  4. No Painel de informações ao lado direito, em Permissões, insira os endereços de e-mail dos membros que você quer adicionar.

  5. Na lista suspensa Selecionar papel, escolha o papel que você quer conceder a esses membros.

    Captura de tela da IU

  6. Clique em Adicionar. Uma notificação será exibida para confirmar a adição ou atualização do novo papel dos membros.

gcloud

Configure o acesso às pastas de modo programático usando a ferramenta de linha de comando gcloud ou a API.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Como alternativa:

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Em que:

  • [FOLDER_ID] é o código da nova pasta.
  • [POLICY_FILE] é o caminho para um arquivo de política para a pasta.

API

SetsIamPolicy define a política de controle de acesso em uma pasta, substituindo qualquer política existente. O campo resource precisa ser o nome do recurso da pasta. Por exemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

A solicitação curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Em que:

  • [FOLDER_NAME] é o nome da pasta com a política do IAM que está sendo definida. Por exemplo, folders/123.

Como restringir papéis das suborganizações

Cada Administrador de pasta pode restringir o papel Criador do projeto aos membros da sua suborganização. Ele também pode remover o domínio do papel Criador do projeto na política do IAM do nó da organização.

Os superadministradores do G Suite têm privilégios irrevogáveis de administrador da organização. Normalmente, esses superadministradores gerenciam identidades e políticas de identidade, em vez de gerenciar recursos do GCP e políticas de recursos.

Console

Para remover os papéis atribuídos por padrão aos usuários usando o Console do Google Cloud Platform:

  1. Acesse a página Gerenciar recursos no Console do GCP:

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior da página e selecione a organização.

  3. Marque a caixa de seleção do recurso Organização em que você quer alterar as permissões. Se você não tiver um recurso "Pasta", o recurso Organização não estará visível. Para continuar, veja as instruções para revogar papéis por meio da página do Cloud IAM.

  4. No painel direito, em Permissões, clique para expandir o papel do qual você quer remover os usuários.

  5. Na lista expandida de papéis, clique em "Remover" ao lado do membro que você quer remover do papel. Captura de tela da IU

  6. Na caixa de diálogo Remover membro? exibida, clique em Remover para confirmar a remoção do papel do membro especificado.

  7. Repita as duas etapas acima para cada papel que você quer remover.

Exemplo

O diagrama abaixo ilustra uma organização que usou pastas para separar dois departamentos. Os chefes dos departamentos de engenharia e de finanças têm controle administrativo, e outros usuários não podem criar projetos.

Diagrama da hierarquia

Como usar vários nós da organização

Se a organização tem várias contas do G Suite, por padrão você tem muitos nós da organização. Para manter a visibilidade central e o controle, escolha um nó da organização como mestre. Os superadministradores da conta do G Suite associada ao nó mestre da organização terão controle administrativo sobre todos os recursos, incluindo aqueles criados pelos usuários das outras contas do G Suite. Os usuários dessas contas do G Suite terão acesso a uma pasta em que eles poderão criar projetos. Essa pasta fica abaixo do nó mestre da organização.

Escolher um administrador da organização

Escolha um ou mais usuários para atuar como administrador da organização do Cloud IAM em relação ao nó da organização.

Console

Para adicionar um administrador da organização, siga estas etapas:

  1. Faça login no Console do Google Cloud Platform como um superadministrador do G Suite ou do Cloud Identity e navegue até a página IAM e Admin:

    Abrir a página "IAM e Admin"

  2. Selecione a organização que você quer editar:

    1. Clique na lista suspensa Sel. projeto, na parte superior da página.

    2. Na caixa de diálogo Selecionar exibida, clique na lista suspensa de organizações e selecione aquela em que você quer adicionar um administrador.

    3. Na lista que aparece, clique na organização para abrir a página Permissões do IAM.

  3. Clique em Adicionar e insira o endereço de e-mail de um ou mais usuários que você quer definir como administradores da organização.

  4. Na lista suspensa Selecionar papel, escolha Resource Manager > Administrador da organização e clique em Adicionar.

  5. O administrador pode assumir total controle da organização, e as responsabilidades são separadas entre o superadministrador do G Suite ou do Cloud Identity e o administrador do GCP.

  6. O administrador da organização pode delegar responsabilidades sobre funções importantes atribuindo os papéis relevantes do Cloud IAM.

Remover o papel Criador do projeto

Remova o papel Criador do projeto do nó da organização para garantir que os recursos não sejam criados nos outros nós da organização.

Console

Para remover os papéis atribuídos por padrão aos usuários usando o Console do Google Cloud Platform:

  1. Acesse a página Gerenciar recursos no Console do GCP:

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior da página e selecione a organização.

  3. Marque a caixa de seleção do recurso Organização em que você quer alterar as permissões. Se você não tiver um recurso "Pasta", o recurso Organização não estará visível. Para continuar, veja as instruções para revogar papéis por meio da página do Cloud IAM.

  4. No painel direito, em Permissões, clique para expandir o papel do qual você quer remover os usuários.

  5. Na lista expandida de papéis, clique em "Remover" ao lado do membro que você quer remover do papel. Captura de tela da IU

  6. Na caixa de diálogo Remover membro? exibida, clique em Remover para confirmar a remoção do papel do membro especificado.

  7. Repita as duas etapas acima para cada papel que você quer remover.

Criar pastas para contas do G Suite

Crie uma pasta abaixo do nó da organização para cada conta do G Suite.

Para criar pastas, você precisa ter o papel Administrador de pasta ou Criador de pastas no nível pai. Por exemplo, para criar pastas no nível da Organização, você precisa ter um desses papéis nesse nível.

Como parte da criação de uma pasta, você precisa atribuir um nome a ela. Os nomes de pasta precisam atender aos seguintes requisitos:

  • O nome pode conter letras, dígitos, espaços, hifens e sublinhados.
  • O nome de exibição da pasta precisa começar e terminar com uma letra ou um dígito.
  • O nome precisa ter 30 caracteres ou menos.
  • O nome precisa ser distinto de todas as outras pastas que compartilhem o mesmo pai.

Para criar uma pasta:

Console

As pastas podem ser criadas na IU usando a seção "Gerenciar projetos e pastas".

  1. Acesse a página Gerenciar recursos no Console do GCP:

    Abrir a página "Gerenciar recursos"

  2. Clique em Criar pasta.

  3. Na caixa Nome da pasta, insira o nome da nova pasta.

  4. Em Destino, clique em Procurar e selecione o nó ou a pasta da organização em que você quer criar a nova pasta.

    1. Clique em Criar

gcloud

As pastas podem ser criadas programaticamente com a ferramenta de linha de comando gcloud.

Para criar uma pasta no recurso Organização com o uso da ferramenta de linha de comando gcloud, execute o seguinte comando:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para criar uma pasta cujo pai é outra pasta:

gcloud alpha resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta. Pastas com o mesmo pai não podem ter o mesmo nome de exibição. O nome de exibição precisa começar e terminar com uma letra ou um dígito, pode conter letras, dígitos, espaços, hifens e sublinhados e não pode ter mais de 30 caracteres;
  • [ORGANIZATION_ID] é o código da organização pai, se o pai for uma organização;
  • [FOLDER_ID] é o código da pasta pai, se o pai for uma pasta.

API

É possível criar pastas com uma solicitação de API.

A solicitação JSON:

request_json= '{
  display_name: "[DISPLAY_NAME]"
}'

A solicitação curl Criar pasta:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v2/folders?parent=[ORGANIZATION_NAME]

Em que:

  • [DISPLAY_NAME] é o nome de exibição da pasta nova. Por exemplo, "Minha pasta maravilhosa";
  • [ORGANIZATION_NAME] é o nome da organização em que você está criando a pasta. Por exemplo, organizations/123.

A resposta "Criar pasta":

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

A solicitação curl Receber operação:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v1/operations/fc.123456789

A resposta Receber operação:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v2.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Atribuir papéis de administrador na pasta

Para cada uma das pastas criadas, atribua o papel Administrador de pasta a um ou mais usuários. Esses usuários receberão o controle administrativo sobre a pasta e a suborganização que ela representa.

Para configurar o acesso às pastas, você precisa ter o papel Administrador de pastas do IAM ou Administrador de pasta no nível pai.

Console

  1. No Console do Google Cloud Platform, abra a página Gerenciar recursos.

    Abrir a página "Gerenciar recursos"

  2. Clique na lista suspensa Organização na parte superior esquerda e selecione a organização.

  3. Marque a caixa de seleção ao lado do projeto em que você quer alterar as permissões.

  4. No Painel de informações ao lado direito, em Permissões, insira os endereços de e-mail dos membros que você quer adicionar.

  5. Na lista suspensa Selecionar papel, escolha o papel que você quer conceder a esses membros.

    Captura de tela da IU

  6. Clique em Adicionar. Uma notificação será exibida para confirmar a adição ou atualização do novo papel dos membros.

gcloud

Configure o acesso às pastas de modo programático usando a ferramenta de linha de comando gcloud ou a API.

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud alpha resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Como alternativa:

gcloud alpha resource-manager \
  folders set-iam-policy [FOLDER_ID] [POLICY_FILE]

Em que:

  • [FOLDER_ID] é o código da nova pasta.
  • [POLICY_FILE] é o caminho para um arquivo de política para a pasta.

API

SetsIamPolicy define a política de controle de acesso em uma pasta, substituindo qualquer política existente. O campo resource precisa ser o nome do recurso da pasta. Por exemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

A solicitação curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v2/[FOLDER_NAME]:setIamPolicy

Em que:

  • [FOLDER_NAME] é o nome da pasta com a política do IAM que está sendo definida. Por exemplo, folders/123.

Cada Administrador de pasta poderá atribuir o papel Criador do projeto aos usuários do domínio associado.

Exemplo

O diagrama abaixo ilustra uma organização com um domínio principal que é isolado do domínio secundário adquirido. Cada um dos dois domínios tem as próprias contas do G Suite, sendo hypothetical.com o nó mestre da organização.

Diagrama da hierarquia

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Resource Manager