Práticas recomendadas de integração para organizações estaduais, locais e educacionais

Last reviewed 2022-10-15 UTC

As organizações estaduais, locais e educacionais (SLED) geralmente têm necessidades únicas de TI em comparação a outras. Este guia define considerações de integração e as práticas recomendadas para criar um ambiente do Google Cloud e do Google Workspace para uma organização que usa o SLED. Este documento é destinado aos administradores que estão configurando o Google Cloud e o Google Workspace ou o Google Workspace for Education para a organização deles.

Visão geral da identidade

Antes de criar um ambiente do Google Cloud, você precisa entender como o Google Cloud fornece autenticação, autorização e auditoria. Três serviços de nuvem funcionam em conjunto para autenticação, controle de acesso e auditoria:

Cloud Identity

O Cloud Identity é um produto de identidade como serviço (IDaaS) que permite gerenciar centralmente os usuários e grupos que acessam os recursos do Google Cloud, do Google Workspace ou do Google Workspace for Education. O Cloud Identity está disponível nas versões gratuita ou paga (premium). Durante a integração com o processo do Google Cloud, o Cloud Identity fornece a validação de domínios principais usando um registro TXT. Os benefícios de usar o Cloud Identity são os seguintes:

  • Permite criar e gerenciar grupos usando o Admin Console do Google Workspace.
  • Fornece controle de segurança da conta, incluindo o Logon único (SSO) e a autenticação de dois fatores (2FA).
  • Pode ser usado como um provedor de identidade para aplicativos de terceiros porque é compatível com a Linguagem de marcação para autorização de segurança (SAML) e com o LDAP.

Configurar identidade

De modo geral, as etapas recomendadas para estabelecer uma identidade são as seguintes:

  1. Se você ainda não usa o Cloud Identity, o Google Workspace ou o Google Workspace for Education, comece com uma das seguintes páginas de inscrição:

    Use uma conta de administrador para acessar a lista de verificação no console.

  2. Use o Cloud Identity para verificar seu domínio. A verificação de domínio cria automaticamente uma organização, que serve como o nó raiz da hierarquia de recursos do Google Cloud.

    Se você encontrar um erro informando que um domínio já foi reivindicado, conclua o processo de recuperação do domínio. Esse processo poderá levar até cinco dias úteis.

  3. Após a verificação de domínio, faça login no Admin Console do Google Workspace com a conta de administrador recém-criada.

  4. Identifique os administradores da organização que gerenciarão a nova organização do Google Cloud no Console do Google Cloud.

  5. Adicione usuários usando a federação de identidade do Workforce

    ou o Cloud Identity. Com o Cloud Identity, é possível adicionar usuários de uma das seguintes maneiras:

Gerenciar recursos

Nesta seção, descrevemos as práticas recomendadas para gerenciar recursos em uma organização que usa o SLED.

Implementar uma abordagem centralizada para o gerenciamento de recursos do Google Cloud

O Google Cloud conta com um sistema hierárquico de contêineres que consiste em organizações, pastas e projetos. Nessas estruturas, é possível organizar outros recursos, como máquinas virtuais (VMs) do Compute Engine, bancos de dados e buckets do Cloud Storage. Essa hierarquia ajuda a gerenciar aspectos como o controle de acesso e as definições de configuração comuns a vários recursos. Você pode gerenciar programaticamente esses recursos por meio do Resource Manager.

Organizações de grande porte costumam ter muitos projetos e usuários que interagem diretamente com os recursos do Google Cloud. Para atender melhor às estratégias atuais de controle de acesso e governança de TI, recomendamos que você implemente uma abordagem centralizada para organização de recursos do Google Cloud.

Usar nós da organização para organizar seus recursos

Os recursos são organizados com o nó organizacional na raiz. As pastas podem ser aninhadas até quatro níveis abaixo do node Essas pastas podem conter projetos, que por sua vez, contêm outros recursos como filhos abaixo dos projetos. Cada recurso tem exatamente um pai. Quando você define políticas de controle de acesso e configurações para um recurso pai, os recursos filhos herdam essas políticas e configurações.

Um nó da organização garante que todos os projetos criados pelos usuários no seu domínio fiquem visíveis para os superadministradores. Cada domínio principal tem um nó da organização. Por padrão, o superadministrador do Google Workspace tem acesso irrevogável para definir a política para a organização. Para organizações que têm administradores de TI e nuvem separadas, o superadministrador do Google Workspace precisa atribuir um administrador para gerenciar a organização. Para mais informações, consulte Práticas recomendadas para contas de superadministrador.

Se os projetos foram criados antes da criação do nó da organização, você pode migrar esses projetos não afiliados para o nó da organização.

Quando você começa a usar o Google Cloud, a configuração padrão é ter um único nó da organização. As seções a seguir discutem as abordagens de nó único x várias organizações. Para mais informações sobre essas opções, consulte Decidir uma hierarquia de recursos para sua zona de destino do Google Cloud.

Opção 1: nó de uma única organização

Nesta opção, você mapeia um único nó da organização para o domínio do Workspace, que é a fonte de verdade do IAM. Cada uma delas pode ter os próprios administradores, com papéis separados e outras políticas. O diagrama a seguir mostra um único nó da organização, usando uma instituição educacional como exemplo. É possível adicionar mais subpastas para equipes e ambientes conforme necessário.

Um único nó da organização.

Você pode hospedar recursos globais, como redes de projetos cruzados e imagens compartilhadas, em uma pasta com permissões que permitem o acesso a todos os usuários da organização.

Para ver mais informações, consulte os seguintes tópicos:

Opção 2: separar os nós da organização

Se você quiser tratar os departamentos da organização como entidades isoladas sem administração central, considere criar organizações separadas. O diagrama a seguir mostra nós da organização separados, usando uma escola como exemplo.

Nós da organização separados.

Para implementar essa configuração, defina school.edu e lab3.school.edu como domínios principais separados do Google Workspace, resultando em nós organizacionais distintos. Use esta opção somente se todos os itens a seguir forem verdadeiros:

  • Você quer manter domínios de identidade separados.
  • É necessário manter controles de acesso, papéis personalizados, faturamento, cota e configurações da segunda organização diferentes do nó central da organização school.edu.

Para muitas instituições de ensino com governança de TI centralizada, o gerenciamento de dois ambientes separados do Google Cloud gera uma sobrecarga. Por exemplo, as políticas de segurança entre vários nós da organização podem divergir ao longo do tempo, a menos que os administradores tenham o cuidado de manter as políticas sincronizadas.

Para mais informações sobre as implicações dessa abordagem, consulte Usar um único nó da organização.

Usar pastas para organizar os recursos

As pastas permitem organizar seus recursos do Google Cloud, aplicar políticas, delegar privilégios administrativos e dar mais autonomia aos departamentos e às equipes. As pastas também ajudam você a administrar políticas e controlar o acesso a um grupo de projetos ao mesmo tempo. As pastas, os projetos e os recursos aninhados em uma pasta herdam as políticas da pasta pai.

Veja a seguir alguns cenários em que o uso de pastas pode ser apropriado:

  • Sua organização tem diferentes unidades de negócios, cada uma com um grupo de TI próprio.
  • Você está mapeando para uma estrutura estabelecida baseada em um diretório LDAP, como o Microsoft Active Directory.
  • Você quer separar projetos por caso de uso, como infraestrutura de TI, computação de pesquisa ou ensino e aprendizado.

Para mais informações, consulte Gerenciar seus recursos do Google Cloud.

Use projetos para organizar recursos.

Todos os recursos do Google Cloud que você alocar e usar precisam pertencer a um projeto. Um projeto é uma entidade organizadora para o que você está criando. Ele é composto de configurações, permissões e outros metadados que descrevem os aplicativos. Os recursos em um único projeto trabalham juntos para se comunicarem por uma rede interna. Os recursos que cada projeto usa permanecem separados entre os limites do projeto. Só é possível vincular recursos por meio de uma conexão de rede externa ou uma rede compartilhada de nuvem privada virtual (VPC).

Cada projeto do Google Cloud apresenta as seguintes características:

  • Um nome que você escolhe.
  • Um código do projeto, que você ou o Google Cloud pode providenciar.
  • Um número do projeto gerado pelo Google Cloud.

Ao criar um projeto, considere o seguinte:

  • Determine a propriedade de projetos e crie projetos separados para diferentes cargas de trabalho ou equipes.
  • Usar projetos separados para dividir um aplicativo em ambientes de produção e não produção. Dessa forma, as alterações feitas no ambiente de não produção não afetam a produção, e as alterações podem ser promovidas ou propagadas com o uso de scripts de implantação.
  • Separe os recursos de computação e dados entre os laboratórios ou até mesmo trabalhe em um laboratório. Essa segregação permite total autonomia e separação de dados entre projetos, o que é útil se um laboratório trabalhar em vários projetos com partes interessadas concorrentes.

Ao criar um projeto, ele precisa ser associado a uma conta de faturamento. É necessário ter o papel de administrador da conta de faturamento ou de usuário da conta de faturamento na conta de faturamento de destino para associar um novo projeto a uma conta de faturamento atual.

Usar o Active Assist para gerenciar recursos em grande escala

À medida que sua organização cresce, a quantidade de complexidade geralmente aumenta. Os projetos não são usados, as VMs ficam inativas e as permissões são concedidas, mas não são removidas quando não são mais necessárias. Para reduzir a complexidade, recomendamos manter um inventário de recursos atualizado e analisá-lo usando as recomendações e os insights do Active Assist. O Active Assist fornece recomendações para encontrar VMs inativas, remover permissões de IAM em excesso, excluir ou recuperar projetos não utilizados.

O uso dessas recomendações pode trazer benefícios significativos para sua organização. Isso inclui a redução dos gastos desnecessários e a redução dos riscos à segurança, além de aumento do desempenho e da capacidade de gerenciamento da organização.

Para acessar um inventário e o histórico de todos os projetos do Google Cloud e recursos associados, use o Inventário de recursos do Cloud. É possível exportar o histórico de recursos para o BigQuery ou o Cloud Storage.

Gerenciar controles de acesso

Nesta seção, você verá as práticas recomendadas para gerenciar o acesso aos serviços do Google Cloud e do Google Workspace.

Usar grupos para gerenciamento de políticas

A prática recomendada do IAM é usar grupos em vez de indivíduos em políticas. À medida que os membros da equipe entram e saem, você pode ajustar a associação ao grupo, e as alterações corretas na política ocorrem automaticamente. Para implementar essa prática, crie grupos do Google com base nas funções do job para cada projeto ou pasta. Em seguida, atribua vários papéis a cada grupo, conforme necessário a cada função.

Um superadministrador ou administrador delegado pode usar o Admin Console do Google Workspace para gerenciar grupos.

Usar o privilégio mínimo para criar limites de confiança

Ao escolher uma estrutura de projeto, considere os limites de confiança de TI, que provavelmente seguem um modelo de governança ou segurança de TI. Por exemplo, pense se sua organização inclui departamentos separados, como engenharia, negócios e leis, que precisam manter limites de confiança entre si.

Ao aplicar a prática de segurança recomendada de privilégio mínimo , é possível conceder diferentes papéis a contas de usuário e contas de serviço entre projetos. Se um usuário tiver acesso de administrador a um projeto, mas exigir acesso de leitor a outro, defina esses papéis explicitamente usando uma política de permissão. Para mais informações, consulte a Orientação do IAM sobre o privilégio mínimo.

Use contas de serviço, papéis e políticas para gerenciar o acesso a recursos

Organizações de grande porte costumam separar equipes de operações, como de segurança e administração de redes, de outros departamentos. Essa separação exige o uso de recursos gerenciados por outras equipes e a aplicação do princípio do menor privilégio. Configurar essa separação usando o IAM e as contas de serviço.

Com o IAM, você gerencia o controle de acesso ao definir quem tem qual nível de acesso a quais recursos. Para conceder papéis aos usuários, crie uma política de permissão. Para conceder acesso granular a recursos específicos do Google Cloud, use papéis predefinidos ou defina papéis personalizados.

No Google Cloud, um superadministrador no Google Workspace recebe o papel de administrador da organização por padrão. Esse papel é usado para conceder permissões a outros usuários e não pode ser removido da conta de usuário de superadministrador. O papel mais importante para um superadministrador conceder é o papel de criador do projeto para que usuários designados possam começar a criar os próprios projetos.

Para mais informações sobre contas de serviço, consulte Noções básicas sobre contas de serviço.

Criar contas com privilégios com moderação

Seguindo o princípio de privilégio mínimo, atribua papéis de superadministrador a contas separadas das contas regulares dos administradores. Por exemplo, use alex@school.edu para atividades cotidianas, mas use alex.admin@school.edu para fazer alterações no Console do administrador do Google Workspace ou no Console do Google Cloud.

Criar identidades para cargas de trabalho

O Google Cloud usa contas de serviço para invocar chamadas de API do Google para garantir que as credenciais do usuário não sejam envolvidas diretamente. Essas contas são tratadas como identidade e recurso das seguintes maneiras:

  • Quando uma conta de serviço atua como uma identidade, você concede papéis a ela para que ela possa acessar um recurso, como um bucket de armazenamento.
  • Quando uma conta de serviço atua como um recurso, você precisa conceder permissão aos usuários para acessar essa conta da mesma maneira que concede permissão para acessar um conjunto de dados do BigQuery. É possível conceder a um usuário o papel de proprietário, editor, visualizador ou usuário da conta de serviço. Os usuários com o papel de usuário da conta de serviço podem acessar todos os recursos que a conta de serviço pode acessar.

Gerenciar faturamento

Há dois tipos de contas do Cloud Billing: conta de autoatendimento (ou on-line) e conta com fatura (ou off-line).

Os recursos de uma conta de autoatendimento são os seguintes:

  • Se compatível com seu país ou região, o pagamento será feito usando um instrumento de pagamento, como cartão de crédito, cartão de débito ou débito automático da CCA.
  • Os custos são cobrados automaticamente do instrumento de pagamento conectado à conta do Cloud Billing.
  • Você pode se inscrever em contas de autoatendimento sem a nossa ajuda.
  • Os documentos gerados para contas de autoatendimento incluem extratos, comprovantes de pagamento e notas fiscais. Você pode acessá-los no console.

Os recursos de uma conta com fatura são os seguintes:

  • O pagamento é feito com cheque ou transferência eletrônica.
  • As faturas são enviadas por correio ou eletronicamente.
  • É possível acessar faturas e recibos de pagamento no console.
  • Você precisa estar qualificado para a conta com fatura. Para mais informações, consulte a qualificação para faturamento com fatura.

As seções a seguir descrevem as práticas recomendadas para os dois tipos de contas do Cloud Billing.

Exportar os dados do Cloud Billing para o BigQuery para análise

Para analisar o uso e os custos, exporte os dados de faturamento para um conjunto de dados do BigQuery.

Exportar dados de faturamento para o BigQuery ajuda você a encontrar projetos que estão gastando mais do que um limite definido por você. Também é possível consultar a lista de serviços que você está cobrando. Por exemplo, a consulta a seguir lista todos os projetos que gastaram mais de US$ 0,10 no mês atual.

SELECT
  project.name,
  cost
FROM
  YOUR_BIGQUERY_TABLE
WHERE
  cost > 0.1 AND usage_month IN "YYYY-MM"
ORDER BY
   cost DESC

Substitua:

  • YOUR_BIGQUERY_TABLE com o nome da tabela.
  • YYYY-MM com a data e o mês atuais. Por exemplo, 2022-10.

Use uma única conta de faturamento para gerenciar o faturamento e os orçamentos

Use o console do Google Cloud para gerenciar sua conta do Cloud Billing. Lá, é possível atualizar as configurações da conta, como formas de pagamento e contatos administrativos. Também é possível configurar o console para definir orçamentos, acionar alertas, visualizar seu histórico de pagamentos e exportar dados de faturamento.

Para a maioria das organizações, basta uma conta de faturamento para todos os projetos. Os descontos para toda a organização se aplicam a todos os projetos associados à conta de faturamento. É possível fazer um único pagamento ao Google para liquidar a fatura mensal e cobrar projetos específicos da agência, do departamento ou do laboratório usando um processo interno de TI.

O diagrama a seguir mostra como funciona uma única conta de faturamento:

Conta de faturamento única.

As considerações de faturamento também podem orientar o modo como você organiza projetos e pastas no Google Cloud. Dependendo dos seus centros de custo internos, faça a organização como no diagrama a seguir:

Usar várias pastas.

Neste diagrama, as pastas identificam todos os projetos e recursos associados a um centro de custo, departamento ou projeto de TI. O custo é exibido para cada projeto, e os IDs do projeto estão incluídos na exportação de faturamento para o BigQuery.

Considere várias contas de faturamento se os centros de custo precisarem pagar uma fatura separada ou se sua organização tiver cargas de trabalho que precisam pagar com uma moeda separada. Essa abordagem pode exigir um contrato assinado para cada conta de faturamento ou engajamento com um revendedor do Google Cloud.

Atribuir funções da conta de faturamento

As funções de conta de faturamento ajudam você a gerenciar as contas de faturamento. É possível atribuir os seguintes papéis de faturamento a usuários específicos no nível da organização.

Papel Descrição
Administrador da conta de faturamento Gerencia todas as contas de faturamento da organização.
Criador da conta de faturamento Cria contas de faturamento na organização.
Usuário da conta de faturamento Vincula projetos a contas de faturamento.
Gerente de faturamento do projeto Dá acesso para atribuir uma conta de faturamento de um projeto ou desativar o faturamento.
Gerente de custos da conta de faturamento Gerencia orçamentos e visualizações, e exporta informações de custo para contas de faturamento, mas não pode ver ou exportar informações de preços.
Leitor da conta de faturamento Visualizar as informações de custo da conta de faturamento e as transações.

Para permitir que os usuários vejam todas as contas de faturamento na sua organização, conceda o papel de Administrador da conta de faturamento no nível da organização. Para limitar quem pode criar contas de faturamento e como fazer isso, use o papel de criador da conta de faturamento e restrinja quais usuários têm essa permissão. Para mais informações, consulte Criar, modificar ou encerrar a conta de faturamento e Visão geral do controle de acesso de faturamento.

Para alterar a conta de faturamento de um projeto, consulte Como alterar a conta de faturamento do projeto.

Criar orçamentos e alertas para monitorar o faturamento

Para monitorar sua conta de faturamento e projetos individuais, crie orçamentos e envie alertas por e-mail para administradores de faturamento e usuários de faturamento.

Os orçamentos geram alertas, mas não desativam o faturamento de projetos. Isso significa que um projeto continua a ser executado mesmo se exceder o orçamento. Se um projeto estiver ultrapassando o orçamento, será preciso desativar o faturamento manualmente. Além disso, como o orçamento não é atualizado em tempo real, talvez você não descubra o problema com gastos acima do esperado por um ou dois dias.

Para enviar alertas de orçamento a usuários que não são administradores de faturamento ou usuários de faturamento, configure os canais de notificação do Cloud Monitoring.

Organizar recursos usando rótulos

Os rótulos são pares de chave-valor que ajudam você a organizar seus recursos do Google Cloud. Os identificadores são encaminhados para o sistema de faturamento e incluídos na exportação de faturamento para o BigQuery. Os rótulos permitem consultar cobranças faturadas por rótulo.

Adicionar rótulos a recursos por departamento, faculdade, carga de trabalho ou laboratório pode ajudar a associar as cobranças faturadas à entidade certa, sem que você precise criar contas de faturamento separadas para cada novo projeto. Para mais informações sobre rótulos, consulte Como criar e gerenciar rótulos.

Monitorar cotas e limites

Muitos recursos no Google Cloud são limitados por cotas. Por exemplo, um novo projeto vinculado a uma nova conta de faturamento associada tem uma cota de oito CPUs virtuais no Compute Engine. É possível monitorar o uso da cota de testes no console do Google Cloud. Além disso, é possível solicitar um aumento de cota para acessar mais recursos ou novos recursos, como GPUs.

Gerenciar sua rede

Nesta seção, você verá as práticas recomendadas para gerenciar sua rede do Google Cloud.

Escolher uma abordagem de rede

Isole seus serviços de nuvem com a VPC. Por exemplo, use a VPC para configurar uma rede, que inclui um espaço de IP RFC 1918 comum e particular que abrange todos os seus projetos. Em seguida, poderá adicionar instâncias de qualquer projeto a essa rede ou às sub-redes dela. Uma rede VPC padrão é criada para cada novo projeto. Essa rede padrão é adequada para testes ou desenvolvimento, mas é preciso substituí-la por uma rede VPC personalizada para produção.

Também é possível anexar uma conexão do Cloud VPN a uma única rede, que pode ser usada por todos ou um subconjunto de projetos. Use a conexão VPN para se conectar a um espaço de IP RFC 1918 específico do Google Cloud ou para estender o espaço de endereço IP do RFC 1918 da sua rede local.

A tabela a seguir descreve duas das opções de rede mais comuns no Google Cloud.

Opção de rede Descrição
Peering direto Se você tiver um número de sistema autônomo (ASN, na sigla em inglês) registrado e tiver prefixos de IP roteáveis publicamente, conecte-se ao Google usando peering direto. Essa opção usa o mesmo modelo de interconexão que a Internet pública. No entanto, diferentemente da Internet pública, não há um provedor de serviços. Para mais informações, consulte Rede de borda do Google.
Peering por operadora Se você não tiver ASNs públicos ou quiser se conectar ao Google usando um provedor de serviços, use o Peering por operadora. Esse peering por operadora foi desenvolvido para clientes que querem conectividade de nível empresarial com a rede de borda do Google.

Muitas vezes, é difícil prever o custo associado ao tráfego de saída. Para ajudar os membros do Internet2 Higher Education, o Google renuncia às taxas de saída da Internet que são calculadas de acordo com os preços de tabela até um máximo de 15% do custo total mensal de consumo. Esta oferta se aplica a SKUs de saída de Internet específicas.

Para mais informações sobre as opções de rede, consulte Como escolher um produto de conectividade de rede.

Receba ajuda

Nesta seção, você verá as práticas recomendadas para receber ajuda do Google.

Escolha um plano de suporte que atenda às suas necessidades

Escolha um plano de suporte que atenda às necessidades da sua organização e documente os usuários que têm as permissões apropriadas para criar um caso de suporte.

O suporte básico é gratuito e está disponível para todos os usuários do Google Cloud. O básico inclui suporte de faturamento, mas não suporte técnico. Para receber suporte técnico, você precisa comprar um plano de suporte técnico.

Só é possível comprar planos de suporte técnico do Google Cloud no nível da organização. A taxa de suporte técnico é cobrada no nível do projeto para todos os projetos na organização.

Para uma comparação detalhada dos recursos e dos custos dos planos de suporte, consulte Cloud Customer Care.

No mínimo, recomendamos que as organizações que usam SLED comprem o plano de suporte padrão. No entanto, caso sua organização esteja executando cargas de trabalho críticas para os negócios, considere a compra de um plano de suporte avançado. Com o plano de suporte avançado, você pode acessar o atendimento ao cliente 24 horas por dia, sete dias por semana, criar casos usando a API Customer Support e encaminhar os casos.

Para sua organização, recomendamos que um gerente técnico de contas ajude você com a integração guiada, gerenciamento de casos, encaminhamento e análises de integridade operacionais mensais. Se você quer um gerente técnico de contas, mas não quer um plano de suporte Premium, recomendamos o serviço de Consultoria Técnica de Contas.

É possível comprar o Suporte padrão e o Suporte avançado usando o Console do Google Cloud. Para comprar o Suporte Premium, entre em contato com a equipe de vendas.

Criar e encaminhar casos de suporte

Para criar um caso, é possível usar o Console do Google Cloud ou a API Cloud Support (suporte avançado ou premium obrigatório). Ao criar um caso, lembre-se da prioridade de caso de suporte adequada.

Se você já definiu a prioridade do caso apropriada para seu caso e está enfrentando problemas com o processo de suporte, é possível escalonar o caso. Para ver uma lista dos possíveis motivos para encaminhar um caso, consulte Encaminhar um caso.

Se você tem o suporte Premium, também pode solicitar um encaminhamento ao entrar em contato com o gerente técnico de contas durante o horário de funcionamento local.

A seguir