O recurso de organização é o nó de raiz na Google Cloud hierarquia de recursos e é o supernó hierárquico dos projetos. Esta página explica como adquirir e gerir um recurso de organização.
Antes de começar
Leia uma vista geral do recurso organization.
Obter um recurso de organização
Um recurso de organização está disponível para clientes do Google Workspace e Cloud ID:
- Google Workspace: inscreva-se no Google Workspace.
- Cloud ID: inscreva-se no Cloud ID.
Depois de criar a sua conta do Google Workspace ou do Cloud ID e associá-la a um domínio, o recurso da organização é criado automaticamente. O recurso é aprovisionado em momentos diferentes, consoante o estado da sua conta:
- Se for um novo utilizador do Google Cloud e ainda não tiver criado um projeto, o recurso de organização é criado para si quando iniciar sessão na consola Google Cloud e aceitar os termos de utilização.
-
Se for um Google Cloud utilizador existente, o recurso de organização é criado para si quando cria um novo projeto ou uma conta de faturação. Todos os projetos que criou anteriormente são apresentados em "Nenhuma organização", o que é normal. O recurso organization é apresentado e o novo projeto que criou é associado automaticamente a este.
Tem de mover todos os projetos que criou em "Nenhuma organização" para o novo recurso da organização. Para obter instruções sobre como mover os seus projetos, consulte o artigo Migrar projetos para um recurso de organização.
O recurso da organização criado é associado à sua conta do Google Workspace ou do Cloud ID com o projeto ou a conta de faturação que criou definida como um recurso filho. Todos os projetos e contas de faturação criados no seu domínio do Google Workspace ou Cloud ID serão filhos deste recurso de organização.
- Para informações sobre como migrar projetos pré-existentes, consulte o artigo Migrar projetos existentes.
Cada conta do Google Workspace ou do Cloud ID está associada exatamente a um recurso de organização. Um recurso de organização está associado exatamente a um domínio, que é definido quando o recurso de organização é criado.
Quando o recurso da organização é criado, comunicamos a respetiva disponibilidade aos superadministradores do Google Workspace ou Cloud ID. Estas contas de superadministrador devem ser usadas com cuidado, uma vez que têm muito controlo sobre o recurso da sua organização e todos os recursos abaixo dele. Por este motivo, recomendamos que não use contas de superadministrador do Google Workspace ou Cloud ID para a gestão diária do recurso da sua organização. Para mais informações sobre a utilização de contas de superadministrador do Google Workspace ou do Cloud Identity no Google Cloud, consulte as práticas recomendadas para superadministradores.
Para adotar ativamente o recurso da organização, os superadministradores do Google Workspace ou
Cloud ID têm de atribuir a função de
administrador da organização
(roles/resourcemanager.organizationAdmin) de gestão de identidade e de acesso (IAM) a um
utilizador ou grupo. Para ver os passos sobre como configurar o recurso da organização, consulte o artigo
Configurar o recurso da organização.
- Quando o recurso da organização é criado, todos os utilizadores no seu domínio recebem automaticamente as funções de IAM de criador de projetos (
roles/resourcemanager.projectCreator) e criador de contas de faturação (roles/billing.creator) ao nível do recurso da organização. Isto permite que os utilizadores no seu domínio continuem a criar projetos sem interrupções. - O administrador da organização decide quando quer começar a usar ativamente o recurso da organização. Em seguida, podem alterar as autorizações predefinidas e aplicar políticas mais restritivas, conforme necessário.
- Se o recurso da organização estiver disponível e não tiver as autorizações da IAM para o ver, pode continuar a criar projetos e contas de faturação. Estas são criadas automaticamente no recurso da organização, mesmo que não as consiga ver.
Obter o ID do recurso da sua organização
O ID do recurso da organização é um identificador exclusivo de um recurso da organização e é criado automaticamente quando o recurso da organização é criado. Os IDs dos recursos da organização estão formatados como números decimais e não podem ter zeros à esquerda.
Pode obter o ID do recurso da sua organização através da Google Cloud consola, da CLI gcloud ou da API Cloud Resource Manager.
consola
Para obter o ID do recurso da organização através da Google Cloud consola, faça o seguinte:
- Aceda à Google Cloud consola:
- No seletor de projetos na parte superior da página, selecione o recurso da sua organização.
- No lado direito, clique em Mais e, de seguida, em Definições.
A página Definições apresenta o ID do recurso da sua organização.
gcloud
Para encontrar o ID do recurso da organização, execute o seguinte comando:
gcloud organizations list
Este comando apresenta todos os recursos da organização aos quais pertence e os respetivos IDs de recursos da organização.
API
Para encontrar o ID do recurso da sua organização através da API Cloud Resource Manager, use o método
organizations.search(), incluindo uma consulta para o seu domínio. Por exemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
A resposta contém os metadados do recurso da organização que pertence a altostrat.com, incluindo o ID do recurso da organização.
Configurar o recurso da organização
Se for cliente do Google Workspace ou do Cloud ID, é-lhe fornecido automaticamente um recurso de organização.
Os superadministradores do Google Workspace ou Cloud ID são os primeiros utilizadores que podem aceder ao recurso da organização após a criação. Todos os outros utilizadores ou grupos vão poder usar o serviço Google Cloud como antes. Podem ver o recurso de organização, mas só o podem modificar depois de as autorizações corretas serem definidas.
Os superadministradores do Google Workspace ou Cloud ID e o Google Cloud administrador da organização são funções essenciais durante o processo de configuração e para o controlo do ciclo de vida do recurso da organização. Geralmente, os dois papéis são atribuídos a diferentes utilizadores ou grupos, embora isto dependa da estrutura e das necessidades do recurso da organização.
As responsabilidades do superadministrador do Google Workspace ou Cloud ID, no contexto da configuração do recurso da organização, são: Google Cloud
- Atribuir a função de administrador da organização a alguns utilizadores
- Ser um ponto de contacto em caso de problemas de recuperação
- Controlar o ciclo de vida da conta do Google Workspace ou do Cloud ID e do recurso da organização, conforme explicado em Eliminar um recurso da organização
O administrador da organização, assim que lhe é atribuída a função, pode atribuir funções de gestão de identidade e acesso a outros utilizadores. As responsabilidades da função de administrador da organização são:
- Definir políticas de permissão e negação, e conceder funções a outros utilizadores.
- Ver a estrutura da hierarquia de recursos
Seguindo o princípio do menor privilégio, esta função não inclui a autorização para realizar outras ações, como criar pastas ou projetos. Para receber estas autorizações, um administrador da organização tem de atribuir funções adicionais à respetiva conta.
Ter duas funções distintas garante a separação de funções entre os superadministradores do Google Workspace ou Cloud ID e oGoogle Cloud administrador da organização. Este é frequentemente um requisito, uma vez que os dois produtos Google são normalmente geridos por diferentes departamentos na organização do cliente.
Para começar a usar ativamente o recurso da organização, siga os passos abaixo para adicionar um administrador da organização:
Adicionar um administrador da organização
Consola
Para adicionar um administrador da organização:
Inicie sessão na Google Cloud consola como superadministrador do Google Workspace ou do Cloud ID e navegue para a página IAM e administração:
Selecione o recurso da organização que quer editar:
Clique na lista pendente de projetos na parte superior da página.
Na caixa de diálogo Selecionar de, clique na lista pendente da organização e selecione o recurso da organização ao qual quer adicionar um administrador da organização.
Na lista apresentada, clique no recurso da organização para abrir a respetiva página de autorizações da IAM.
Clique em Adicionar e, de seguida, introduza o endereço de email de um ou mais utilizadores que quer definir como administradores da organização.
Na lista pendente Selecionar uma função, selecione Resource Manager > Administrador da organização e, de seguida, clique em Guardar.
O administrador da organização pode fazer o seguinte:
Assumir o controlo administrativo total do recurso da organização. A separação de responsabilidades entre o superadministrador do Google Workspace ou Cloud ID e o administrador do Google Cloud está estabelecida.
Delegue responsabilidade sobre funções críticas atribuindo as funções IAM relevantes.
Conforme explicado no artigo Adquirir um recurso de organização, após a criação, todos os utilizadores no domínio recebem por predefinição as funções de criador de projetos e criador de contas de faturação ao nível do recurso de organização. Isto garante que não há interrupções para os utilizadores do Google Cloud quando o recurso da organização é criado. À medida que o administrador da organização assume o controlo, pode querer remover estas autorizações ao nível da organização para começar a restringir o acesso com uma granularidade mais precisa (por exemplo, ao nível da pasta ou do projeto). Tenha em atenção que, uma vez que as políticas de permissão e negação são herdadas na hierarquia, ter a função de criador de projetos atribuída a todo o domínio (domain:mycompany.com) ao nível do recurso da organização implica que todos os utilizadores no domínio podem criar projetos em qualquer parte da hierarquia.
Criar projetos no recurso da sua organização
Consola
Pode criar um projeto no recurso da organização através da Google Cloud consola depois de o recurso da organização ser ativado para o seu domínio.
Para criar um novo projeto no recurso da organização:
Para criar um novo projeto, faça o seguinte:
-
Aceda à página Gerir recursos na Google Cloud consola.
Os passos restantes aparecem na Google Cloud consola.
- Na lista pendente Selecionar organização na parte superior da página, selecione o recurso de organização no qual quer criar um projeto. Se for um utilizador da avaliação gratuita, ignore este passo, uma vez que esta lista não é apresentada.
- Clique em Criar projeto.
- Na janela Novo projeto apresentada, introduza um nome do projeto e selecione uma conta de faturação, conforme aplicável. Um nome de projeto só pode conter letras, números, aspas simples, hífenes, espaços ou pontos de exclamação e tem de ter entre 4 e 30 carateres.
- Introduza a organização principal ou o recurso de pasta na caixa Localização. Esse recurso vai ser o principal hierárquico do novo projeto. Se Nenhuma organização for uma opção, pode selecioná-la para criar o seu novo projeto como o nível superior da sua própria hierarquia de recursos.
- Quando terminar de introduzir os detalhes do novo projeto, clique em Criar.
API
Pode criar um novo projeto no recurso da organização criando um project e definindo o respetivo campo parent para o organizationId do recurso da organização.
O seguinte fragmento do código demonstra como criar um projeto num recurso de organização:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Ver projetos num recurso de organização
Os utilizadores só podem ver e listar os projetos aos quais têm acesso através de funções do IAM. O administrador da organização pode ver e listar todos os projetos no recurso da organização.
Consola
Para ver todos os projetos num recurso de organização através da Google Cloud consola:
Aceda à Google Cloud consola:
Clique no menu pendente Organização na parte superior da página.
Selecione o recurso da sua organização.
Clique no menu pendente Projeto na parte superior da página e, de seguida, clique em Ver mais projetos. Todos os projetos no recurso da organização são apresentados na página.
A opção Nenhuma organização no menu pendente Organização apresenta os seguintes projetos:
- Projetos que ainda não pertencem ao recurso da organização.
- Projetos aos quais o utilizador tem acesso, mas que estão num recurso de organização ao qual o utilizador não tem acesso.
gcloud
Para ver todos os projetos num recurso de organização, execute o seguinte comando:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Use o método
projects.list()
para listar todos os projetos num recurso principal, conforme mostrado no
seguinte fragmento do código:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminar um recurso de organização
O recurso da organização está associado à sua conta do Google Workspace ou Cloud ID.
Se preferir não usar o recurso da organização, recomendamos que restaure a política de autorização do recurso da organização para o estado original através dos seguintes passos:
- Adicione o seu domínio às funções
Project CreatoreBilling Account Creator. - Remova todas as outras entradas na política de permissão do recurso da organização.
Isto permite que os seus utilizadores continuem a criar projetos e contas de faturação, ao mesmo tempo que permite aos superadministradores do Google Workspace ou Cloud ID recuperar a administração central mais tarde.
Se eliminar a sua conta do Google Workspace, elimina o recurso da organização e todos os recursos associados a esta. Por conseguinte, se quiser eliminar o recurso da organização, pode fazê-lo através da eliminação da sua conta do Google Workspace. Para os utilizadores do Cloud ID, cancele todos os outros serviços Google e, em seguida, elimine a sua conta de utilizador. Esta ação é potencialmente muito prejudicial e pode ser impossível de reverter totalmente. Por isso, recomendamos que só a execute se tiver a certeza de que não existem recursos em utilização ativa.
Experimente
Se for um novo utilizador do Google Cloud, crie uma conta para avaliar o desempenho dos nossos produtos em cenários reais. Os novos clientes também recebem 300 USD em créditos gratuitos para executar, testar e implementar cargas de trabalho.
Comece gratuitamente