Sobre a hierarquia de recursos

A hierarquia de recursos Google Cloud oferece uma maneira estruturada de organizar seus recursos da nuvem. Todos os recursos, exceto o mais alto em uma hierarquia, têm exatamente um pai. A hierarquia consiste na organização (raiz) na parte superior, seguida por pastas (opcional) para agrupamento e, em seguida, projetos, que contêm os recursos de serviço reais, como máquinas virtuais do Compute Engine e buckets de armazenamento.

Usar uma hierarquia estruturada oferece as seguintes vantagens:

  • Propriedade: vincula o ciclo de vida de um recurso ao pai imediato. Os projetos pertencem à organização, e não ao funcionário que os criou. Se um funcionário sair, o projeto vai continuar ativo e seguro.
  • Herança: fornece pontos de conexão para controle de acesso e políticas da organização, que fluem pela hierarquia. É possível conceder papéis em um nível alto (como a organização ou uma pasta). Essas funções são herdadas por todos os recursos filhos, reduzindo a necessidade de configurar manualmente as permissões para cada projeto individual.

O diagrama a seguir ilustra a hierarquia de recursos Google Cloud .

Hierarquia de recursos do Google Cloud, com uma organização na parte superior, contendo pastas, projetos e recursos de serviço

O recurso da organização

O recurso organização representa uma entidade (como uma empresa) e serve como o nó raiz da hierarquia de recursos doGoogle Cloud . Ele oferece as seguintes funções principais:

  • Ela funciona como a mãe de todos os recursos de pasta e projeto.
  • As políticas de controle de acesso (como papéis do Identity and Access Management (IAM)) e as políticas da organização aplicadas nesse nível são herdadas por todos os recursos da organização.
  • Embora não seja estritamente necessário para todos os usuários do Google Cloud , um recurso de organização é necessário para usar recursos específicos do Resource Manager.

Uma conta do Google Workspace ou do Cloud Identity é um pré-requisito para ter acesso ao recurso de organização.

  • Uma conta do Google Workspace ou do Cloud Identity pode ser associada a exatamente um recurso de organização.
  • Quando um usuário com uma conta do Google Workspace ou do Cloud Identity cria um recurso de projeto Google Cloud , um recurso de organização é provisionado automaticamente para ele.

A imagem a seguir mostra o vínculo entre a conta do Google Workspace, o Cloud Identity e a hierarquia de recursos do Google Cloud .

Relação entre uma conta do Google Workspace ou do Cloud Identity e a hierarquia de recursos Google Cloud

O superadministrador do Google Workspace é o responsável pela verificação da propriedade de domínio e o contato em casos de recuperação. Por isso, o superadministrador do Google Workspace pode atribuir papéis do IAM por padrão. A função principal do superadministrador do Google Workspace com relação ao Google Cloud é atribuir o papel de administrador da organização do IAM aos usuários apropriados no domínio. Isso criará a separação entre o Google Workspace e as responsabilidades de administração do Google Cloud que os usuários normalmente procuram.

Regras de criação de projetos para usuários gerenciados

Depois que um recurso de organização é criado para um domínio, regras estritas são aplicadas à criação de projetos:

  • Os usuários gerenciados (membros do domínio da conta) precisam criar projetos em uma organização. Não é possível que contas associadas a um recurso de organização criem recursos de projeto que não estejam associados a um recurso de organização.
  • Por padrão, os novos projetos pertencem à organização associada ao usuário.
  • Se um usuário tiver as permissões adequadas, ele poderá especificar um recurso de organização diferente durante a criação do projeto. Caso contrário, a organização padrão será a inicial.

Benefícios do recurso "Organização"

Com um recurso de organização, os recursos do projeto pertencem à sua organização, e não ao funcionário que os criou. Isso significa que sua organização retém os recursos de projeto quando um funcionário sai da empresa. Os recursos do projeto seguem o ciclo de vida do recurso da organização em Google Cloud.

Além disso, os administradores da organização controlam todos os recursos de forma centralizada. Eles podem visualizar e gerenciar todos os recursos de projeto na sua empresa. Isso evita projetos paralelos ou administradores não autorizados.

Também é possível conceder papéis no nível da organização, que são herdados por todos os recursos de projeto e pasta abaixo do recurso da organização. Por exemplo, é possível atribuir o papel de Administrador de rede à equipe de rede de computadores no nível da organização, o que permite gerenciar todas as redes em todos os recursos de projeto na empresa, em vez de conceder o papel para cada recurso de projeto individual.

Um recurso de organização é definido pelos seguintes atributos:

  • Um ID de recurso da organização, que é um identificador exclusivo para uma organização.
  • Um nome de exibição, gerado a partir do nome do domínio principal no Google Workspace ou no Cloud Identity.
  • A hora de criação do recurso da organização.
  • A hora da última modificação do recurso da organização.
  • O proprietário do recurso de organização, que é o ID de cliente do Google Workspace da API Directory. O proprietário é especificado ao criar o recurso de organização e não pode ser alterado.

O snippet de código a seguir mostra a estrutura de um recurso de organização:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

A política de permissão inicial para um novo recurso de organização concede os papéis de Criador do projeto e Criador da conta de faturamento a todo o domínio do Google Workspace. Isso significa que os usuários podem continuar criando recursos de projeto e contas de faturamento como faziam antes da existência do recurso de organização. Quando um recurso de organização é criado, nenhum outro recurso é gerado. As políticas de permissão, negação e da organização são herdadas pela hierarquia, e a política vigente para cada recurso na hierarquia resulta das políticas aplicadas diretamente ao recurso e das políticas herdadas dos ancestrais dele.

O recurso de pasta

Os recursos de pasta são um mecanismo de agrupamento opcional entre recursos de organização e de projeto. É necessário ter um recurso de organização para usar pastas. Os recursos de pasta e os recursos de projeto filhos ficam no recurso de organização.

Os recursos de pasta podem fornecer limites de isolamento entre projetos. Elas funcionam como suborganizações dentro do recurso de organização. Os recursos de pastas podem modelar diferentes pessoas jurídicas, departamentos e equipes em uma empresa. Por exemplo, o primeiro nível de pastas pode representar os principais departamentos da sua organização. Como as pastas podem conter projetos e outras pastas, cada uma pode incluir subpastas para representar equipes diferentes. Cada pasta de equipe pode conter subpastas adicionais para representar diferentes aplicativos. Para mais detalhes sobre o uso de recursos de pastas, consulte Criar pastas.

Se o recurso da organização tiver recursos de pasta e você tiver as permissões de visualização adequadas, poderá acessá-los no console do Google Cloud . Para instruções mais detalhadas, consulte Visualizar, atualizar e excluir pastas.

Com os recursos de pasta, é possível delegar direitos de administração. Por exemplo, você pode conceder a cada chefe de departamento a propriedade total de todos os recursos do Google Cloud nos respectivos departamentos. Da mesma forma, os recursos de pasta podem limitar o acesso a recursos, o que significa que os usuários de um departamento só podem acessar e criar recursos Google Clouddentro desse recurso de pasta.

O snippet de código a seguir mostra a estrutura de um recurso de pasta:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Assim como os recursos de organização e projeto, os recursos de pasta atuam como um ponto de herança de política para políticas de permissão, negação e políticas da organização. Os papéis do IAM concedidos em um recurso de pasta são herdados por todos os recursos de projeto e pasta dessa pasta.

O recurso do projeto

O recurso projeto é a entidade organizadora fundamental. Os recursos de organização e pasta podem conter vários projetos. Você precisa de um recurso de projeto para usar o Google Cloud. Ele é essencial para criar, ativar e usar todos os serviços doGoogle Cloud , gerenciar APIs, ativar o faturamento, adicionar e remover colaboradores e gerenciar permissões.

Todos os recursos do projeto consistem no seguinte:

  • Dois identificadores:
    1. O ID do recurso do projeto, que é um identificador exclusivo do recurso do projeto.
    2. O número do recurso do projeto, que é atribuído automaticamente quando você cria o projeto. Ele é somente leitura.
  • um nome de exibição mutável;
  • O estado do ciclo de vida do recurso do projeto, por exemplo, ACTIVE ou DELETE_REQUESTED.
  • uma coleção de rótulos que podem ser usados na filtragem de projetos;
  • O horário em que o recurso do projeto foi criado.

O snippet de código a seguir mostra a estrutura de um recurso de projeto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Para interagir com a maioria dos recursos do Google Cloud , você precisa fornecer os identificadores de recursos do projeto para cada solicitação. É possível identificar um recurso de projeto de duas maneiras: pelo ID ou pelo número dele. No snippet de código, eles são projectId e projectNumber.

O ID do recurso do projeto é o nome personalizado que você escolhe ao criar um projeto. Se você ativar uma API que requer um projeto, poderá criar um novo ou selecionar um projeto usando o ID do recurso do projeto. A string name, que aparece na UI, não é igual ao ID do recurso do projeto.

OGoogle Cloud gera automaticamente um número de recurso do projeto. É possível encontrar o ID e o número do recurso do projeto no painel dele no consoleGoogle Cloud . Para informações sobre como conseguir identificadores de projeto e outras tarefas de gerenciamento para recursos de projeto, consulte Criar projetos.

A política inicial do IAM para o recurso do projeto recém-criado concede o papel de proprietário ao criador do projeto.

Todos os usuários, incluindo os de teste sem custo financeiro, do nível sem custo financeiro e clientes do Google Workspace e do Cloud Identity, podem criar recursos de projeto. Os usuários do Google Cloud Programa sem custo financeiro só podem criar recursos de projeto e de serviço dentro dos projetos. Os recursos de projeto podem estar no topo da hierarquia, mas apenas se forem criados por um usuário do teste sem custo financeiro ou do nível sem custo financeiro. Os clientes do Google Workspace e do Cloud Identity têm acesso a outros recursos da hierarquia de recursos Google Cloud , como recursos de organização e pasta. Saiba mais na visão geral do Cloud Identity. Os recursos de projeto no topo da hierarquia não têm recursos pai, mas podem ser migrados para um recurso de organização assim que ele for criado para o domínio. Para mais detalhes sobre como migrar recursos de projeto, consulte Migrar projetos entre recursos da organização.

A seguir