Assistente de configuração do recurso da organização

O assistente de configuração Organização simplifica o estabelecimento e a delegação da administração do recurso da organização. Ele também permite migrar projetos existentes e contas de faturamento para o novo recurso da organização.

Para começar a usar o assistente de configuração de Organização:

  1. Adquirir um recurso da organização. Para instruções detalhadas, consulte Como receber um recurso da organização.

  2. Atribua os administradores da organização, do faturamento e da rede ao recurso da organização do Google Cloud. Para obter instruções detalhadas, veja Como conceder, alterar e revogar acesso a recursos.

Para iniciar o processo de migração:

  1. Envie o projeto e a solicitação de migração de faturamento aos proprietários do projeto.

  2. Aguarde até que os proprietários do projeto confirmem a solicitação de migração.

  3. Aprove a migração do projeto e da conta de faturamento.

Este guia fornece instruções sobre como migrar projetos e contas de faturamento usando o assistente de configuração do Google Cloud. Para mais informações sobre como usar o Resource Manager, consulte Como migrar projetos.

A associação de projetos ou contas de faturamento a um recurso da organização permite o controle centralizado de todos os recursos contidos nele. Para saber mais, confira os benefícios do recurso Organização.

Nas seções a seguir, você encontra instruções detalhadas para as etapas acima.

Migrar projetos existentes e contas de faturamento

Depois que um recurso da organização for criado para seu domínio, todos os projetos criados nesse recurso pertencerão automaticamente a ele. Também é possível migrar projetos já existentes para o recurso da organização.

  • Se você for proprietário ou editor de um projeto e um Criador de projetos no recurso da organização, poderá migrar projetos diretamente.

  • Se você for um Administrador da organização, poderá solicitar que os proprietários do projeto concedam a você o controle de um projeto para que você possa migrá-lo para o recurso da organização.

A migração do projeto é irreversível. Depois que um projeto for associado a um recurso da organização, não será possível alterá-lo de volta para Sem organização ou movê-lo para outro recurso da organização por conta própria. Se você precisar mover um projeto depois que ele estiver associado a um recurso da organização, será necessário entrar em contato com o Suporte Premium do Google Cloud.

Quando um projeto é migrado para um recurso da organização, o Administrador da organização assume o controle administrativo do projeto e herda o Identity and Access Management (IAM) e as políticas da organização. Leia mais sobre as implicações das políticas do IAM.

Quando você move projetos existentes para um recurso da organização, eles são faturados como eram antes da migração, mesmo que a conta de faturamento do projeto ainda não tenha sido migrada. Da mesma forma, se você migrar a conta de faturamento para um recurso da organização, todos os projetos vinculados a ele continuarão funcionando, mesmo que ainda estejam fora dele. É possível vincular projetos recém-importados a uma conta de faturamento nova ou atual no recurso da organização a qualquer momento, sem interromper a funcionalidade do projeto.

Configuração do recurso da organização para superadministradores

Criar um recurso da organização

Antes de delegar administradores do Google Cloud e migrar projetos e contas de faturamento, você precisa ter um recurso da organização. Para adquirir um recurso da organização, inscreva-se no Google Workspace ou no Cloud Identity, verifique seu domínio e crie um projeto usando essa conta. Um recurso da organização vai ser provisionado automaticamente quando o projeto for criado. Para mais informações sobre como adquirir um recurso da organização, consulte Como receber um recurso da organização.

Designando administradores do Google Cloud

Para designar administradores do Google Cloud:

  1. No e-mail "Bem-vindo à [NOME_DA_ORGANIZAÇÃO] no Google Cloud", clique em Ir para meu console ou acesse a página Configuração da organização no console do Google Cloud.

  2. Na página Configuração da organização, clique em Delegar a configuração.

  3. Na página Delegar papel de administrador da organização exibida, insira os endereços de e-mail dos indivíduos ou grupos que você quer adicionar como Administradores da organização.

  4. Ao terminar de adicionar os Administradores da organização, clique em Delegar.

Os endereços de e-mail inseridos vão receber uma notificação informando que eles agora são Administrador da organização no recurso Organização do Google Cloud.

Para adicionar mais administradores posteriormente, clique em Definir permissões na página Identidade e organização.

Migração para administradores do Google Cloud

Quando um usuário da conta do Google Workspace ou do Cloud Identity delega o papel de Administrador da organização a você durante o processo de configuração do recurso da organização, você recebe uma notificação por e-mail. Durante a configuração de recursos da organização, você poderá atribuir permissões a outros administradores da organização, do faturamento e da rede. Os indivíduos que você atribuir como administradores não receberão um e-mail.

Você precisa do papel Criador de projetos para solicitar a migração do projeto e da conta de faturamento. Por padrão, todos os usuários em seu domínio recebem esse papel. Para mais informações sobre como alterar esse comportamento padrão e conceder aos usuários esse papel, consulte Como gerenciar papéis padrão da organização.

Migrar projetos e contas de faturamento

Para migrar projetos ou contas de faturamento de outras contas de usuário, primeiro você solicitará que os proprietários aprovem a migração. Em seguida, os proprietários receberão uma notificação para analisar sua solicitação e aprovar projetos ou contas de faturamento para migração. Os proprietários do projeto podem ignorar sua solicitação e ela expirará após 30 dias. Você pode solicitar a migração novamente se a solicitação original expirar ou ainda estiver pendente. Depois que um proprietário aprova projetos ou contas de faturamento para migração, você receberá uma notificação e selecionará o que quer migrar.

Solicitar migração do projeto ou da conta de faturamento

  1. Acesse a página Identidade e organização do console do Google Cloud.

    IU do assistente de configuração da organização

  2. Na caixa Solicitar projetos ou contas de faturamento de, adicione os endereços de e-mail da conta de faturamento ou dos proprietários de projetos de onde você quer solicitar projetos e clique em Solicitar.

    IU de "Solicitar projetos"

A conta de faturamento ou os proprietários do projeto receberão um e-mail com sua solicitação de migração. Depois que eles aprovarem a migração, você receberá um e-mail com um link para concluir a migração.

Aguardar pelas aprovações de solicitações de migração

Quando você solicita a migração do projeto ou da conta de faturamento, os proprietários da conta do projeto ou do faturamento recebem um e-mail com sua solicitação. Eles poderão selecionar os projetos a serem configurados para a migração. Sua solicitação permanece válida por até 30 dias. Após 30 dias, a solicitação expira e você precisará enviar uma nova solicitação de migração para projetos ou contas de faturamento pendentes.

Quando o proprietário de um projeto ou de uma conta de faturamento confirmar a solicitação de migração, você receberá um e-mail e uma notificação será exibida no console do Google Cloud. Para aprovar a migração, continue na próxima etapa.

Aprovar a migração de projetos e contas de faturamento

Depois que um proprietário aprovar sua solicitação de migração, você receberá um e-mail das Notificações da plataforma informando que o proprietário do projeto respondeu à sua solicitação de migração. Além disso, uma notificação será exibida no console do Google Cloud.

Você precisará dos papéis Criador de projetos, Criador da conta de faturamento e Administrador da organização no recurso da organização para o qual estiver migrando os projetos. Para concluir a migração:

  1. Clique em Migrar no e-mail ou acesse a página Migrar projetos no console do Google Cloud.

    Página "Migrar projetos"

  2. Nas guias Selecionar projetos e Selecionar contas de faturamento, selecione qualquer combinação de projetos e contas de faturamento que você queira migrar e clique em Avançar.

  3. A guia Revisar e aprovar exibe uma lista de todos os projetos e contas de faturamento que você selecionou para migração.

  4. Para concluir a migração, clique em Aprovar.

Os projetos ou as contas de faturamento que você selecionou para migrar agora estão associados ao recurso da sua organização. Todos os projetos ou contas de faturamento que você não migrou permanecerão na lista Nenhuma organização. Você ainda terá o papel Transportador de projetos do IAM para esses projetos e o papel Administrador de faturamento para essas contas de faturamento. Acesse a página Migrar projetos do console do Google Cloud para aprovar a migração desses projetos e contas de faturamento.

Ao concluir a migração de um projeto, ele será cobrado como era antes da migração, mesmo que sua conta de faturamento ainda não tenha sido migrada. Da mesma forma, quando você concluir a migração de uma conta de faturamento, todos os projetos vinculados a ela continuarão funcionando, mesmo que ainda estejam fora do recurso da organização.

Como revisar solicitações de migração

Quando um Administrador da organização solicitar que você migre um projeto ou uma conta de faturamento para o recurso da organização, você receberá um e-mail "Solicitação de migração". Se você aprovar a migração, concederá ao Administrador da organização estes papéis:

  • Projeto: role/project.mover

    • Com o papel de Transportador de projetos, um usuário pode importar projetos e alterar as permissões do IAM nesses projetos.
  • Contas de faturamento: roles/billing.admin

    • O papel de Administrador de faturamento permite que um usuário importe contas de faturamento e altere as permissões do IAM nesses projetos.

Depois que o Administrador da organização aprova uma migração, ele pode alterar os papéis do Cloud IAM no projeto que herdará as políticas atuais da organização. Leia mais sobre as implicações das políticas do IAM.

Para revisar solicitações, siga estes passos:

  1. Clique em Revisar solicitação no e-mail para abrir a página Revisar solicitação de migração.

  2. Nas guias Selecionar projetos e Selecionar contas de faturamento, selecione qualquer combinação de projetos e contas de faturamento que você queira migrar para o recurso da organização e clique em Próxima. Pode levar até cinco minutos para que a lista de projetos seja preenchida.

  3. A guia Confirmar exibe os seguintes detalhes sobre a migração:

    1. O endereço de e-mail do Administrador da organização a quem você está concedendo os papéis de Movimentador de projetos e Administrador de faturamento.

    2. Uma lista de confirmação de todos os projetos e contas de faturamento que você selecionou para migração.

  4. Para concluir a migração, insira o endereço de e-mail da entidade que fez a solicitação de migração e clique em Confirmar.

Os projetos ou as contas de faturamento que você selecionou para migrar agora estão disponíveis para o Administrador da organização migrar para o recurso da organização.

Se você quiser interromper o processo de migração de um projeto ou uma conta de faturamento, faça isso antes que o Administrador da organização faça a importação para o recurso da organização. Para interromper a migração, acesse a página IAM do console do Google Cloud do projeto e remova o papel Movimentador de projetos ou Administrador de faturamento do Administrador da organização.

Todos os projetos ou contas de faturamento que você não selecionou para migração permanecerão em Nenhuma organização. Você pode clicar no link "Solicitação de migração" em seu e-mail para aprovar a migração por até 30 dias. Após esse prazo, a solicitação de migração expira e o Administrador da organização precisará enviar uma nova solicitação de migração para você revisar.

Implicações da política do IAM

As políticas de gerenciamento de identidade e acesso que já estão definidas para um projeto são migradas com ele. Isso significa que os usuários que têm permissões no projeto antes de uma migração terão as mesmas permissões depois que o projeto for migrado.

Como as permissões do IAM são herdadas e aditivas, os papéis definidos no nível da organização são herdados pelos projetos quando migram para o recurso da organização. Por exemplo, se projectAuthor@myorganization.com tiver o papel Editor do projeto definido no nível da organização, ele também receberá esse papel em qualquer projeto que for migrado para o recurso da organização. Isso não corromperá nada em projetos existentes, mas outros usuários podem conseguir acesso devido à herança.

As políticas da organização também são herdadas em hierarquia descendente. Por padrão, os recursos recém-criados da organização não têm políticas da organização. Se você definir políticas da organização para o recurso dela, verifique se os projetos migrados são consistentes com as políticas da organização.