Este guia fornece informações sobre como obter e gerir uma organização autónoma no Trusted Cloud by S3NS.
O recurso da organização serve como o nó raiz da sua Trusted Cloud hierarquia de recursos. Na maioria dos casos, a criação de uma organização requer que seja um superadministrador do Cloud ID e associe a organização a um domínio DNS. Trusted Cloud
Com organizações autónomas, não precisa do Cloud ID. Quando se inscreve e fornece um endereço de email do Google, a organização autónoma é criada automaticamente para si. Trusted Cloud Enquanto proprietário da conta, também adquire a função de proprietário da organização. Em seguida, pode usar a página Detalhes da organização para gerir o acesso de propriedade para outros utilizadores.
As organizações autónomas oferecem as seguintes vantagens:
- Capacidade de adicionar utilizadores com identidades federadas como proprietários da organização.
- Capacidade de suportar várias organizações para testar diferentes funcionalidades.
- Capacidade de suportar vários proprietários da organização para evitar pontos únicos de falha se um funcionário sair.
A tabela seguinte descreve as diferenças entre uma organização do Cloud Identity e uma organização autónoma.
| Capacidade | Organização do Cloud ID | Organização autónoma |
|---|---|---|
| Fundamental | ||
| Requer o Cloud ID | Sim | Não |
| Inscrever-se | ||
| Identidades necessárias para se inscrever | 2 | 1 |
| Requer validação de domínio/DNS | Sim | Não |
| Propriedade | ||
| Propriedade de superadministrador irrevogável | Sim | Não |
| Cloud ID como proprietário da organização | Sim | Sim |
| Identidades federadas como proprietário da organização | Não é possível | Sim |
| Conta Google como proprietário da organização | Não é possível | Sim |
| Ciclo de vida | ||
| Altere o proprietário da organização | Não é possível | Sim |
| Eliminar entidade | Não isolado | Sim |
| Restaure uma organização eliminada | Não é possível | Sim |
| Altere o nome a apresentar | Não é possível | Sim |
| Governança | ||
| Defina políticas de limite de acesso principal (PAB) para restringir utilizadores | Sim | Sim |
Antes de começar
Antes de começar, reveja o seguinte:
- Compreenda o recurso da organização.
- Saiba como decidir uma hierarquia de recursos para a sua Trusted Cloud by S3NS zona de destino.
Identifique a sua organização
A sua organização autónoma é identificada por um nome da organização e um ID da organização.
Nome da organização
O nome da organização predefinido é criado combinando o nome de utilizador com -org.
Todos os carateres especiais no nome de utilizador são substituídos por um traço. Por exemplo, se o nome de utilizador for lara_brown, o nome da organização é lara-brown-org.
Este nome não é usado por nenhuma API Google. Pode editar o nome da organização em qualquer altura após a criação da organização.
Certifique-se de que os nomes cumprem os seguintes critérios:
- Contêm apenas letras, números ou hífenes.
- Não use um nome de domínio. Os nomes de domínios estão reservados apenas para organizações do Cloud ID e do Google Workspace.
- Não contêm palavras comuns, como "Trusted Cloud".
ID da organização
O ID da organização é um identificador global exclusivo da sua organização. A consolaTrusted Cloud gera este número para diferenciar a sua organização de todas as outras no Trusted Cloud. Os IDs das organizações estão formatados como números inteiros e não podem ter zeros à esquerda.
Não inclua informações confidenciais, como informações de identificação pessoal (IIP) ou dados de segurança, no nome da sua organização ou noutros nomes de recursos. O ID da organização é usado no nome de muitos outros recursos Trusted Cloud . Qualquer referência à organização ou aos recursos relacionados expõe o ID da organização e o nome do recurso.
Obtenha um recurso de organização autónomo
As organizações autónomas estão disponíveis para todos os novos Trusted Cloud clientes. Depois de criar a sua conta do Trusted Cloud , o recurso da organização é criado automaticamente. Isto ocorre quando inicia sessão na Trusted Cloud consola e aceita os termos. As organizações autónomas não estão disponíveis para contas Trusted Cloud existentes.
Só é criada uma organização por conta de utilizador. No entanto, pode convidar um único utilizador para ser proprietário e administrador de várias organizações.
Quando o recurso de organização é criado, o sistema atribui as seguintes funções ao proprietário da conta:
roles/cloudowner.admin(proprietário da organização)roles/resourcemanager.organizationAdmin(administrador da organização)
Para obter informações sobre como adicionar mais proprietários e administradores à sua organização, consulte o artigo Configure a sua organização autónoma.
Obtenha o ID da organização
Para obter o ID da organização autónoma, pode usar a Trusted Cloud consola, a Google Cloud CLI ou a API Resource Manager.
Consola
Na Trusted Cloud consola, aceda à página As minhas organizações.
Aceda a As minhas organizações
A tabela apresenta as suas organizações e os respetivos IDs de organização.
gcloud
Para encontrar o ID do recurso da organização, execute o seguinte comando:
gcloud organizations list
Este comando apresenta todos os recursos da organização aos quais pertence e os respetivos IDs de recursos da organização.
API
Para encontrar o ID do recurso da sua organização através da API Cloud Resource Manager, use o método
organizations.search(), incluindo uma consulta para o seu domínio. Por exemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
A resposta contém os metadados do recurso da organização que pertence a altostrat.com, incluindo o ID do recurso da organização.
Configure a sua organização autónoma
Quando cria uma Trusted Cloud conta, recebe automaticamente um recurso de organização autónomo. Nesta secção, vai saber mais sobre a configuração inicial, as funções essenciais e como gerir estas autorizações na sua organização.
O criador da conta é o primeiro utilizador com acesso ao recurso da organização. Os outros utilizadores na organização podem ver o recurso, mas só o podem modificar depois de serem definidas as autorizações adequadas.
O proprietário da organização e o administrador da organização são funções essenciais para configurar e controlar o ciclo de vida do recurso da organização. Normalmente, estas duas funções são atribuídas a utilizadores ou grupos diferentes, consoante a estrutura e as necessidades da sua organização.
Responsabilidades do proprietário da organização
A função Proprietário da organização permite-lhe realizar as seguintes ações:
- Atribuir a função de administrador da organização a outros utilizadores.
- Servir como ponto de contacto em caso de problemas de recuperação.
- Controlar o ciclo de vida do recurso de organização autónoma, conforme explicado em Elimine, restaure e mude o nome de organizações autónomas.
Os proprietários da organização podem ser indivíduos ou diretores de um conjunto de trabalhadores. Cada organização autónoma tem de ter sempre, pelo menos, uma Conta Google ativa como proprietário da organização. Não é possível convidar contas de serviço para se tornarem proprietárias da organização.
Responsabilidades do administrador organizacional
A função de administrador da organização permite-lhe realizar as seguintes ações:
- Defina políticas de permissão e recusa.
- Conceda funções de gestão de identidades e acessos a outros utilizadores no Trusted Cloud.
- Ver a hierarquia de recursos.
Seguindo o princípio do menor privilégio, esta função impede-o de realizar outras ações, como criar pastas ou projetos. Para receber estas autorizações, um administrador da organização tem de atribuir funções adicionais à sua conta.
Conceda a função de proprietário da organização a indivíduos
- Inicie sessão na Trusted Cloud consola como proprietário da organização.
Na Trusted Cloud consola, aceda à página Detalhes da organização.
Em Proprietário da organização, clique em Adicionar proprietário da organização.
Introduza o endereço de email do principal que quer adicionar como proprietário. O sistema envia um email ao diretor a convidá-lo a tornar-se proprietário da organização. O diretor tem de aceitar o convite no prazo de 30 dias para se tornar proprietário da organização.
Conceda a função de proprietário da organização a utilizadores num Workload Identity Pool
Este passo pressupõe que já configurou a federação de identidade da força de trabalho para a sua organização. Além disso, certifique-se de que os contactos essenciais estão configurados na sua conta.
- Inicie sessão na Trusted Cloud consola como proprietário da organização.
Na Trusted Cloud consola, aceda à página Detalhes da organização.
Em Proprietário da organização, clique em Adicionar proprietário da organização.
Introduza o identificador principal do utilizador no formato
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Clicar em Seguinte.
Introduza o endereço de email para o qual enviar o link de convite do proprietário. Trusted Cloud envia um email ao utilizador convidando-o a tornar-se proprietário da organização. Para se tornar proprietário de uma organização, o utilizador tem de aceitar o convite no prazo de 30 dias. Quando o utilizador aceita o convite, recebe automaticamente a função de administrador da organização.
Remova um proprietário da organização
Para remover utilizadores com a função de proprietário da organização, siga estes passos:
- Inicie sessão na Trusted Cloud consola como proprietário da organização.
Na Trusted Cloud consola, aceda à página Detalhes da organização.
Em Proprietários da organização, selecione o principal que quer remover.
Na última coluna da tabela, em Ações, clique em Mais ações junto ao principal.
Na caixa de diálogo apresentada, clique em Remover.
Remova um administrador da organização
Para remover utilizadores com a função de administrador da organização, siga estes passos:
Na Trusted Cloud consola, aceda à página IAM.
Em IAM Allow, aceda a Ver por responsáveis.
Localize a linha que contém o principal ao qual concedeu funções e clique em Editar principal nessa linha.
No painel Editar autorizações, clique no ícone de eliminação junto à função de administrador da organização.
Clique em Guardar.