Este guia fornece informações sobre como conseguir e gerenciar uma organização independente no Google Cloud.
O recurso organização serve como o nó raiz da hierarquia de recursos do Google Cloud. Na maioria das circunstâncias, para criar uma organização, é necessário ser um superadministrador do Cloud Identity e conectar a organização Google Clouda um domínio DNS.
Com organizações independentes, você não precisa do Cloud Identity. Quando você se inscreve no Google Cloud e fornece um endereço de e-mail do Google, a organização independente é criada automaticamente para você. Como proprietário da conta, você também recebe a função de proprietário da organização. Em seguida, use a página Detalhes da organização para gerenciar o acesso de propriedade de outros usuários.
As organizações independentes oferecem os seguintes benefícios:
- Capacidade de adicionar usuários com identidades federadas como proprietários da organização.
- Capacidade de oferecer suporte a várias organizações para testar diferentes recursos.
- Capacidade de oferecer suporte a vários proprietários da organização para evitar pontos únicos de falha se um funcionário sair.
A tabela a seguir descreve as diferenças entre uma organização do Cloud Identity e uma organização independente.
| Capacidade | Organização do Cloud Identity | Organização independente |
|---|---|---|
| Fundamental | ||
| Requer o Cloud Identity | Sim | Não |
| Inscrever-se | ||
| Identidades necessárias para se inscrever | 2 | 1 |
| Requer verificação de domínio/DNS | Sim | Não |
| Propriedade | ||
| Propriedade irrevogável de superadministrador | Sim | Não |
| Cloud Identity como proprietário da organização | Sim | Sim |
| Identidades federadas como proprietário da organização | Não é possível | Sim |
| Conta do Google como proprietário da organização | Não é possível | Sim |
| Lifecycle | ||
| Mudar o proprietário da organização | Não é possível | Sim |
| Excluir organização | Não em isolamento | Sim |
| Restaurar uma organização excluída | Não é possível | Sim |
| Mudar nome de exibição | Não é possível | Sim |
| Governança | ||
| Definir políticas de limite de acesso principal (PAB) para restringir usuários | Sim | Sim |
Antes de começar
Antes de começar, leia o seguinte:
- Entenda o recurso organização.
- Saiba como decidir uma hierarquia de recursos para sua zona de destino do Google Cloud .
Identificar sua organização
Sua organização independente é identificada por um nome e um ID.
Nome da organização
O nome padrão da organização é criado combinando o nome de usuário com -org.
Todos os caracteres especiais no nome de usuário são substituídos por um traço. Por exemplo, se o nome de usuário for lara_brown, o nome da organização será lara-brown-org.
Esse nome não é usado por nenhuma API do Google. É possível editar o nome da organização a qualquer momento depois da criação.
Verifique se os nomes atendem aos seguintes critérios:
- conter apenas letras, números ou hífens.
- Não use um nome de domínio. Os nomes de domínio são reservados apenas para organizações do Cloud Identity e do Google Workspace.
- Não podem conter palavras comuns, como "Google Cloud".
ID da organização
O ID da organização é um identificador globalmente exclusivo da sua organização. O console Google Cloud gera esse número para diferenciar sua organização de todas as outras em Google Cloud. Os IDs de organizações são formatados como números inteiros e não podem ter zeros à esquerda.
Não inclua informações sensíveis, como informações de identificação pessoal (PII, na sigla em inglês) ou dados de segurança no nome da organização ou em outros nomes de recursos. O ID da organização é usado no nome de muitos outros recursos do Google Cloud . Qualquer referência à organização ou aos recursos relacionados expõe o ID da organização e o nome do recurso.
Receber um recurso de organização independente
As organizações independentes estão disponíveis para todos os novos clientes do teste sem custo financeiro doGoogle Cloud . Depois de criar sua conta do Google Cloud , o recurso de organização será criado automaticamente. Isso acontece quando você faz login no console Google Cloud e aceita os termos. As organizações independentes não estão disponíveis para contas Google Cloud atuais.
Apenas uma organização é criada por conta de usuário. No entanto, é possível convidar um único usuário para ser proprietário e administrador de várias organizações.
Quando o recurso da organização é criado, o sistema atribui as seguintes funções ao proprietário da conta:
roles/cloudowner.admin(proprietário da organização)roles/resourcemanager.organizationAdmin(administrador da organização)
O papel de proprietário da organização é gerenciado fora do IAM e concede permissões para gerenciar proprietários e administradores da organização na página Detalhes da organização. Para saber como adicionar mais proprietários e administradores à sua organização, consulte Configurar sua organização independente.
Encontrar o ID da organização
Para conseguir o ID da organização independente, use o console Google Cloud , a Google Cloud CLI ou a API Resource Manager.
Console
No console do Google Cloud , acesse a página Minhas organizações.
A tabela lista suas organizações e os IDs delas.
gcloud
Para encontrar o ID do recurso da organização, execute o seguinte comando:
gcloud organizations list
Esse comando lista todos os recursos da organização a que você pertence e os IDs correspondentes.
API
Para encontrar a ID do recurso da organização usando a API Resource Manager, use o método organizations.search(), incluindo uma consulta para seu domínio. Exemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
A resposta contém os metadados do recurso da organização que pertence a altostrat.com, incluindo o ID do recurso da organização.
Configurar sua organização independente
Ao criar uma conta do Google Cloud , você recebe automaticamente um recurso de organização independente. Nesta seção, você vai aprender sobre a configuração inicial, os papéis essenciais e como gerenciar essas permissões na sua organização.
O criador da conta é o primeiro usuário com acesso ao recurso da organização. Outros usuários na organização podem ver o recurso, mas só podem modificá-lo depois que as permissões apropriadas são definidas.
O proprietário e o administrador da organização são papéis importantes para configurar e controlar o ciclo de vida do recurso de organização. Esses dois papéis são atribuídos a diferentes usuários ou grupos, dependendo da estrutura e das necessidades da organização.
Responsabilidades do proprietário da organização
Com a função de proprietário da organização, é possível realizar as seguintes ações:
- Atribua a função de administrador da organização a outros usuários.
- Servir como ponto de contato em caso de problemas de recuperação.
- Controlar o ciclo de vida do recurso de organização independente, conforme explicado em Excluir, restaurar e renomear organizações independentes.
Os proprietários da organização podem ser indivíduos ou principais em um pool de colaboradores. Cada organização independente precisa ter pelo menos uma Conta do Google ativa como proprietária. Não é possível convidar contas de serviço para serem proprietárias da organização.
Responsabilidades do administrador da organização
Com a função de administrador da organização, você pode realizar as seguintes ações:
- Defina políticas de permissão e negação.
- Conceda papéis do Identity and Access Management a outros usuários em Google Cloud.
- Confira a hierarquia de recursos.
Seguindo o princípio de privilégio mínimo, esse papel impede que você execute outras ações, como criar pastas ou projetos. Para ter essas permissões, um administrador da Organização precisa atribuir papéis adicionais à sua conta.
Conceder o papel de proprietário da organização a indivíduos
- Faça login no console Google Cloud como proprietário da organização.
No console do Google Cloud , acesse a página Detalhes da organização.
Em Proprietário da organização, clique em Adicionar proprietário da organização.
Digite o endereço de e-mail do principal que você quer adicionar como proprietário. O sistema envia um e-mail ao principal convidando-o a se tornar proprietário da organização. O principal precisa aceitar o convite em até 30 dias para se tornar proprietário da organização.
Conceder a função de proprietário da organização a usuários em um pool de identidades de força de trabalho
Esta etapa pressupõe que você já configurou a federação de identidade de colaboradores para sua organização. Além disso, verifique se os contatos essenciais estão configurados na sua conta.
- Faça login no console Google Cloud como proprietário da organização.
No console do Google Cloud , acesse a página Detalhes da organização.
Em Proprietário da organização, clique em Adicionar proprietário da organização.
Insira o identificador principal do usuário no formato
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Clique em Próxima.
Insira o endereço de e-mail para onde o link de convite de proprietário será enviado. OGoogle Cloud envia um e-mail ao usuário convidando-o a se tornar proprietário da organização. Para se tornar proprietário de uma organização, o usuário precisa aceitar o convite em até 30 dias. Quando o usuário aceita o convite, ele recebe automaticamente a função de administrador da organização.
Conceder a função de administrador da organização
O proprietário da organização pode conceder a função de administrador da organização a outros usuários na página Detalhes da organização. Isso é útil se você removeu inadvertidamente as permissões de administrador da organização de todos os usuários que podem definir políticas do IAM na organização e precisa restaurar o acesso.
Para conceder aos usuários a função de administrador da organização, siga estas etapas:
- Faça login no console Google Cloud como proprietário da organização.
No console do Google Cloud , acesse a página Detalhes da organização.
Consulte a lista de proprietários da organização na tabela Proprietários da organização.
Selecione o principal a quem você quer atribuir a função de administrador da organização.
Na última coluna da tabela, em Ações, clique em Mais ações ao lado do principal.
Clique em Conceder a função de administrador da organização. O principal recebe a função de administrador da organização (
roles/resourcemanager.organizationAdmin) no recurso da organização.
Remover um proprietário da organização
Para remover usuários com a função de proprietário da organização, siga estas etapas:
- Faça login no console Google Cloud como proprietário da organização.
No console do Google Cloud , acesse a página Detalhes da organização.
Em Proprietários da organização, selecione o principal que você quer remover.
Na última coluna da tabela, em Ações, clique em Mais ações ao lado do principal.
Na caixa de diálogo exibida, clique em Remover.
Remover um administrador da organização
Para remover usuários com a função de administrador da organização, siga estas etapas:
No console do Google Cloud , acesse a página IAM.
Em Permitir do IAM, acesse Ver pelos principais.
Localize a linha que contém o principal para o qual você concedeu papéis e clique em Editar principal nessa linha.
No painel Editar permissões, clique no ícone de exclusão ao lado da função de administrador da organização.
Clique em Salvar.