Este guia fornece informações sobre como conseguir e gerenciar uma organização independente no Google Cloud.
O recurso de organização serve como o nó raiz da hierarquia de recursos do Google Cloud. Na maioria das circunstâncias, para criar uma organização, é necessário ser um superadministrador do Cloud Identity e conectar a organização Google Clouda um domínio DNS.
Com organizações independentes, você não precisa do Cloud Identity. Quando você se inscreve no Google Cloud e fornece um endereço de e-mail do Google, a organização independente é criada automaticamente para você. Como proprietário da conta, você também recebe a função de proprietário da organização. Em seguida, use a página Detalhes da organização para gerenciar o acesso de propriedade de outros usuários.
As organizações independentes oferecem os seguintes benefícios:
- Capacidade de adicionar usuários com identidades federadas como proprietários da organização.
- Capacidade de oferecer suporte a várias organizações para testar recursos diferentes.
- Capacidade de oferecer suporte a vários proprietários da organização para evitar pontos únicos de falha se um funcionário sair.
A tabela a seguir descreve as diferenças entre uma organização do Cloud Identity e uma organização independente.
| Capacidade | Organização do Cloud Identity | Organização independente |
|---|---|---|
| Fundamental | ||
| Requer o Cloud Identity | Sim | Não |
| Inscreva-se | ||
| Identidades necessárias para se inscrever | 2 | 1 |
| Requer verificação de domínio/DNS | Sim | Não |
| Propriedade | ||
| Propriedade irrevogável de superadministrador | Sim | Não |
| Cloud Identity como proprietário da organização | Sim | Sim |
| Identidades federadas como proprietário da organização | Não é possível | Sim |
| Conta do Google como proprietário da organização | Não é possível | Sim |
| Lifecycle | ||
| Mudar o proprietário da organização | Não é possível | Sim |
| Excluir organização | Não isolado | Sim |
| Restaurar uma organização excluída | Não é possível | Sim |
| Mudar nome de exibição | Não é possível | Sim |
| Governança | ||
| Definir políticas de limite de acesso principal (PAB) para restringir usuários | Sim | Sim |
Antes de começar
Antes de começar, leia o seguinte:
- Entenda o recurso organização.
- Saiba como decidir uma hierarquia de recursos para sua Google Cloud zona de destino.
Identificar sua organização
Sua organização independente é identificada por um nome e um ID.
Nome da organização
O nome padrão da organização é criado combinando o nome de usuário com -org.
Todos os caracteres especiais no nome de usuário são substituídos por um traço. Por exemplo, se o nome de usuário for lara_brown, o nome da organização será lara-brown-org.
Esse nome não é usado por nenhuma API do Google. É possível editar o nome da organização a qualquer momento depois da criação.
Verifique se os nomes atendem aos seguintes critérios:
- conter apenas letras, números ou hífens.
- Não use um nome de domínio. Os nomes de domínio são reservados apenas para organizações do Cloud Identity e do Google Workspace.
- Não podem conter palavras comuns, como "Google Cloud".
ID da organização
O ID da organização é um identificador globalmente exclusivo da sua organização. O console Google Cloud gera esse número para diferenciar sua organização de todas as outras em Google Cloud. Os IDs de organizações são formatados como números inteiros e não podem ter zeros à esquerda.
Não inclua informações sensíveis, como informações de identificação pessoal (PII, na sigla em inglês) ou dados de segurança no nome da organização ou em outros nomes de recursos. O ID da organização é usado no nome de muitos outros recursos do Google Cloud . Qualquer referência à organização ou aos recursos relacionados expõe o ID da organização e o nome do recurso.
Receber um recurso de organização independente
As organizações independentes estão disponíveis para todos os novos clientes do Google Cloud . Depois de criar sua conta do Google Cloud , o recurso de organização será criado automaticamente. Isso acontece quando você faz login no console Google Cloud e aceita os termos. As organizações independentes não estão disponíveis para contas Google Cloud atuais.
Apenas uma organização é criada por conta de usuário. No entanto, é possível convidar um único usuário para ser proprietário e administrador de várias organizações.
Quando o recurso da organização é criado, o sistema atribui as seguintes funções ao proprietário da conta:
roles/cloudowner.admin(proprietário da organização)roles/resourcemanager.organizationAdmin(administrador da organização)
Para saber como adicionar mais proprietários e administradores à sua organização, consulte Configurar sua organização independente.
Encontrar o ID da organização
Para conseguir o ID da organização independente, use o console Google Cloud , a Google Cloud CLI ou a API Resource Manager.
Console
No console do Google Cloud , acesse a página Minhas organizações.
A tabela lista suas organizações e os IDs delas.
gcloud
Para encontrar o ID do recurso da organização, execute o seguinte comando:
gcloud organizations list
Esse comando lista todos os recursos da organização a que você pertence e os IDs correspondentes.
API
Para encontrar a ID do recurso da organização usando a API Cloud Resource Manager, use o método
organizations.search(), incluindo uma consulta para seu domínio. Exemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
A resposta contém os metadados do recurso da organização que pertence a altostrat.com, incluindo o ID do recurso da organização.
Configurar sua organização independente
Ao criar uma conta do Google Cloud , você recebe automaticamente um recurso de organização independente. Nesta seção, você vai aprender sobre a configuração inicial, os papéis essenciais e como gerenciar essas permissões na sua organização.
O criador da conta é o primeiro usuário com acesso ao recurso da organização. Outros usuários na organização podem ver o recurso, mas só podem modificá-lo depois que as permissões apropriadas são definidas.
O proprietário e o administrador da organização são papéis importantes para configurar e controlar o ciclo de vida do recurso da organização. Esses dois papéis são geralmente atribuídos a diferentes usuários ou grupos, dependendo da estrutura e das necessidades da organização.
Responsabilidades do proprietário da organização
Com a função de proprietário da organização, você pode realizar as seguintes ações:
- Atribua a função de administrador da organização a outros usuários.
- ser o ponto de contato em caso de problemas de recuperação;
- Controlar o ciclo de vida do recurso de organização independente, conforme explicado em Excluir, restaurar e renomear organizações independentes.
Os proprietários da organização podem ser indivíduos ou principais em um pool de colaboradores. Cada organização independente precisa ter pelo menos uma Conta do Google ativa como proprietária. Não é possível convidar contas de serviço para serem proprietárias da organização.
Responsabilidades do administrador da organização
Com a função de administrador da organização, você pode realizar as seguintes ações:
- Defina políticas de permissão e negação.
- Conceda papéis do Identity and Access Management a outros usuários em Google Cloud.
- Confira a hierarquia de recursos.
Seguindo o princípio de privilégio mínimo, esse papel impede que você execute outras ações, como criar pastas ou projetos. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à sua conta.
Conceder a função de proprietário da organização a indivíduos
- Faça login no console Google Cloud como proprietário da organização.
No console do Google Cloud , acesse a página Detalhes da organização.
Em Proprietário da organização, clique em Adicionar proprietário da organização.
Digite o endereço de e-mail do principal que você quer adicionar como proprietário. O sistema envia um e-mail ao principal convidando-o a se tornar proprietário da organização. O principal precisa aceitar o convite em até 30 dias para se tornar proprietário da organização.
Conceder a função de proprietário da organização a usuários em um pool de identidades de força de trabalho
Esta etapa pressupõe que você já configurou a federação de identidade de colaboradores para sua organização. Além disso, verifique se os contatos essenciais estão configurados na sua conta.
- Faça login no console Google Cloud como proprietário da organização.
No console do Google Cloud , acesse a página Detalhes da organização.
Em Proprietário da organização, clique em Adicionar proprietário da organização.
Insira o identificador principal do usuário no formato
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Clique em Próxima.
Insira o endereço de e-mail para onde o link de convite de proprietário será enviado. OGoogle Cloud envia um e-mail ao usuário convidando-o a se tornar proprietário da organização. Para se tornar proprietário de uma organização, o usuário precisa aceitar o convite em até 30 dias. Quando o usuário aceita o convite, ele recebe automaticamente a função de administrador da organização.
Remover um proprietário da organização
Para remover usuários com a função de proprietário da organização, siga estas etapas:
- Faça login no console Google Cloud como proprietário da organização.
No console do Google Cloud , acesse a página Detalhes da organização.
Em Proprietários da organização, selecione o principal que você quer remover.
Na última coluna da tabela, em Ações, clique em Mais ações ao lado do principal.
Na caixa de diálogo exibida, clique em Remover.
Remover um administrador da organização
Para remover usuários com a função de administrador da organização, siga estas etapas:
No console do Google Cloud , acesse a página IAM.
Em Permitir do IAM, acesse Ver pelos principais.
Localize a linha que contém o principal para o qual você concedeu papéis e clique em Editar principal nessa linha.
No painel Editar permissões, clique no ícone de exclusão ao lado do papel de administrador da organização.
Clique em Salvar.