O assistente de configuração da organização simplifica o estabelecimento e a delegação da administração do recurso da sua organização. Ele também permite migrar projetos e contas de faturamento para o novo recurso da organização.
Para começar a usar o assistente de configuração de Organização:
Adquira um recurso de organização. Para instruções detalhadas, consulte Como conseguir um recurso de organização.
Atribua a organização, o faturamento e os administradores de rede ao seu recurso de organização do Google Cloud. Para obter instruções detalhadas, veja Como conceder, alterar e revogar acesso a recursos.
Para iniciar o processo de migração:
Envie o projeto e a solicitação de migração de faturamento aos proprietários do projeto.
Aguarde até que os proprietários do projeto confirmem a solicitação de migração.
Aprove a migração do projeto e da conta de faturamento.
Este guia fornece instruções sobre como migrar projetos e contas de faturamento usando o assistente de configuração do Google Cloud. Para mais informações sobre como usar o Resource Manager, consulte Como migrar projetos.
A associação de projetos ou contas de faturamento a um recurso da organização permite o controle centralizado de todos os recursos no recurso da organização. Para saber mais, consulte benefícios do recurso Organização.
Nas seções a seguir, você encontra instruções detalhadas para as etapas acima.
Migrar projetos existentes e contas de faturamento
Depois que um recurso de organização é criado para seu domínio, todos os projetos criados sob o recurso de organização pertencem automaticamente a ele. Também é possível migrar projetos atuais para o recurso da organização.
Se você for proprietário ou editor de um projeto e um Criador de projetos no recurso da organização, poderá migrar projetos diretamente.
Se você for um administrador da organização, poderá solicitar que os proprietários do projeto concedam o controle dele para que você possa migrá-lo para o recurso da organização.
A migração do projeto é irreversível. Depois que um projeto é associado a um recurso de organização, não é possível mudar de volta para Nenhuma organização ou movê-lo para outro recurso por conta própria. Se você precisar mover um projeto depois de ele estar associado a um recurso da organização, entre em contato com o Google Cloud Premium Support.
Quando um projeto é migrado para um recurso da organização, o Administrador da organização recebe o controle administrativo do projeto e herda o Identity and Access Management (IAM) e as políticas da organização. Leia mais sobre as implicações das políticas do IAM.
Quando você move projetos para um recurso de organização, eles são faturados como eram antes da migração, mesmo que a conta de faturamento do projeto ainda não tenha sido migrada. Da mesma forma, se você migrar a conta de faturamento para um recurso da organização, todos os projetos vinculados a ela continuarão a funcionar, mesmo que ainda estejam fora do recurso da organização. Você pode vincular projetos recém-importados a uma conta de faturamento nova ou existente no recurso da sua organização a qualquer momento, sem interromper a funcionalidade do projeto.
Configuração de recursos da organização para superadministradores
Criar um recurso de organização
Antes de designar administradores do Google Cloud e migrar projetos e contas de faturamento, você precisa ter um recurso de organização. Para adquirir um recurso da organização, inscreva-se no Google Workspace ou no Cloud Identity, verifique seu domínio e crie um Projeto usando essa conta. Um recurso de organização será provisionado automaticamente assim que o projeto for criado. Para mais informações sobre como adquirir um recurso de organização, consulte Como conseguir um recurso de organização.
Designando administradores do Google Cloud
Para designar administradores do Google Cloud:
No e-mail "Bem-vindo à [ORGANIZATION_NAME] no Google Cloud", clique em Ir para o Meu console ou acesse a página Configuração da organização no console do Google Cloud.
Na página Configuração da organização, clique em Delegar a configuração.
Na página Delegar papel de administrador da organização exibida, insira os endereços de e-mail dos indivíduos ou grupos que você quer adicionar como Administradores da organização.
Ao terminar de adicionar os Administradores da organização, clique em Delegar.
Os endereços de e-mail que você inseriu vão receber uma notificação por e-mail informando que agora são administradores da organização do seu recurso da organização do Google Cloud.
Para adicionar mais administradores posteriormente, clique em Definir permissões na página Identidade e organização.
Migração para administradores do Google Cloud
Quando um usuário da conta do Google Workspace ou do Cloud Identity delega o papel de Administrador da organização a você por meio do processo de configuração do recurso da organização, você recebe uma notificação por e-mail. Durante a configuração de recursos da organização, você poderá atribuir permissões a outros administradores da organização, do faturamento e da rede. Os indivíduos que você atribuir como administradores não receberão um e-mail.
Você precisa do papel Criador de projetos para solicitar a migração do projeto e da conta de faturamento. Por padrão, todos os usuários em seu domínio recebem esse papel. Para mais informações sobre como mudar esse comportamento padrão e conceder essa função aos usuários, consulte Como gerenciar papéis padrão da organização.
Migrar projetos e contas de faturamento
Para migrar projetos ou contas de faturamento de outras contas de usuário, primeiro você solicitará que os proprietários aprovem a migração. Em seguida, os proprietários receberão uma notificação para analisar sua solicitação e aprovar projetos ou contas de faturamento para migração. Os proprietários do projeto podem ignorar sua solicitação e ela expirará após 30 dias. Você pode solicitar a migração novamente se a solicitação original expirar ou ainda estiver pendente. Depois que um proprietário aprova projetos ou contas de faturamento para migração, você receberá uma notificação e selecionará o que quer migrar.
Solicitar migração do projeto ou da conta de faturamento
Acesse a página Identidade e organização do console do Google Cloud.
Na caixa Solicitar projetos ou contas de faturamento de, adicione os endereços de e-mail da conta de faturamento ou dos proprietários de projetos de onde você quer solicitar projetos e clique em Solicitar.
A conta de faturamento ou os proprietários do projeto receberão um e-mail com sua solicitação de migração. Depois que eles aprovarem a migração, você receberá um e-mail com um link para concluir a migração.
Aguardar pelas aprovações de solicitações de migração
Quando você solicita a migração do projeto ou da conta de faturamento, os proprietários da conta do projeto ou do faturamento recebem um e-mail com sua solicitação. Eles poderão selecionar os projetos a serem configurados para a migração. Sua solicitação permanece válida por até 30 dias. Após 30 dias, a solicitação expira e você precisará enviar uma nova solicitação de migração para projetos ou contas de faturamento pendentes.
Quando um proprietário de conta de projeto ou de faturamento confirmar a solicitação de migração, você vai receber um e-mail e uma notificação vai aparecer no console do Google Cloud. Para aprovar a migração, continue na próxima etapa.
Aprovar a migração de projetos e contas de faturamento
Depois que um proprietário aprovar sua solicitação de migração, você vai receber um e-mail das Notificações de Plataforma indicando que o proprietário do projeto respondeu à sua solicitação de migração, e uma notificação vai aparecer no console do Google Cloud.
Você vai precisar dos papéis Criador de projetos, Criador de contas de faturamento e Administrador da organização no recurso da organização para a qual você está migrando os projetos. Para concluir a migração:
Clique em Migrar no e-mail ou acesse a página Migrar projetos no console do Google Cloud.
Nas guias Selecionar projetos e Selecionar contas de faturamento, selecione qualquer combinação de projetos e contas de faturamento que você queira migrar e clique em Avançar.
A guia Revisar e aprovar exibe uma lista de todos os projetos e contas de faturamento que você selecionou para migração.
Para concluir a migração, clique em Aprovar.
Agora, os projetos ou as contas de faturamento que você selecionou para migrar estão associados ao recurso da sua organização. Todos os projetos ou contas de faturamento que você não migrou permanecerão na lista Nenhuma organização. Você ainda terá o papel Transportador de projetos do IAM para esses projetos e o papel Administrador de faturamento para essas contas de faturamento. Você pode acessar a página Migrar projetos do Console do Google Cloud para aprovar a migração desses projetos e contas de faturamento.
Ao concluir a migração de um projeto, ele será cobrado como era antes da migração, mesmo que sua conta de faturamento ainda não tenha sido migrada. Da mesma forma, quando você concluir a migração de uma conta de faturamento, todos os projetos vinculados a ela continuarão funcionando, mesmo que ainda estejam fora do recurso da organização.
Como revisar solicitações de migração
Quando um administrador da organização solicita que você migre um projeto ou uma conta de faturamento para o recurso da organização, você recebe um e-mail "Solicitação de migração". Se você aprovar a migração, concederá ao Administrador da organização estes papéis:
Projeto:
role/project.mover
- Com o papel de Transportador de projetos, um usuário pode importar projetos e alterar as permissões do IAM nesses projetos.
Contas de faturamento:
roles/billing.admin
- O papel de Administrador de faturamento permite que um usuário importe contas de faturamento e altere as permissões do IAM nesses projetos.
Depois que o Administrador da organização aprova uma migração, ele pode alterar os papéis do Cloud IAM no projeto que herdará as políticas atuais da organização. Leia mais sobre as implicações das políticas do IAM.
Para revisar solicitações, siga estes passos:
Clique em Revisar solicitação no e-mail para abrir a página Revisar solicitação de migração.
Nas guias Selecionar projetos e Selecionar contas de faturamento, selecione qualquer combinação de projetos e contas de faturamento que você queira migrar para o recurso da organização e clique em Próxima. Pode levar até cinco minutos para que a lista de projetos seja preenchida.
A guia Confirmar exibe os seguintes detalhes sobre a migração:
O endereço de e-mail do Administrador da organização a quem você está concedendo os papéis de Movimentador de projetos e Administrador de faturamento.
Uma lista de confirmação de todos os projetos e contas de faturamento que você selecionou para migração.
Para concluir a migração, insira o endereço de e-mail da entidade que fez a solicitação de migração e clique em Confirmar.
Agora, o Administrador da organização pode migrar os projetos ou as contas de faturamento que você selecionou para migração.
Se você quiser interromper o processo de migração de um projeto ou conta de faturamento, faça isso antes que o administrador da organização faça a importação para o recurso da organização. Para interromper a migração, acesse a página IAM do console do Google Cloud do projeto e remova o papel de Transportador de projeto ou Administrador de faturamento do Administrador da organização.
Todos os projetos ou contas de faturamento que você não selecionou para migração permanecerão em Nenhuma organização. Você pode clicar no link "Solicitação de migração" em seu e-mail para aprovar a migração por até 30 dias. Após esse prazo, a solicitação de migração expira e o Administrador da organização precisará enviar uma nova solicitação de migração para você revisar.
Implicações da política do IAM
As políticas de gerenciamento de identidade e acesso que já estão definidas para um projeto são migradas com ele. Isso significa que os usuários que têm permissões no projeto antes de uma migração terão as mesmas permissões depois que o projeto for migrado.
Como as permissões do IAM são herdadas e aditivas, os papéis definidos no nível da organização são herdados pelos projetos quando migram para o recurso da organização. Por exemplo, se projectAuthor@myorganization.com tiver o papel de Editor de projetos definido no nível da organização, ele também vai receber esse papel em qualquer projeto que seja migrado para o recurso da organização. Isso não corromperá nada em projetos existentes, mas outros usuários podem conseguir acesso devido à herança.
As políticas da organização também são herdadas em hierarquia descendente. Por padrão, os recursos de organizações recém-criadas não têm políticas da organização. Se você definir políticas da organização para o recurso da organização, verifique se os projetos migrados são consistentes com elas.