Fluxo guiado de configuração do Google Cloud

Um recurso de organização no Google Cloud representa sua empresa e atua como o nó de nível superior da hierarquia. Para criar a organização, configure um serviço de identidade do Google e associe-o ao seu domínio. Quando você conclui esse processo, um recurso de organização é criado automaticamente.

Para uma visão geral do recurso da organização, consulte:

• Gerenciar recursos da organização.
• Práticas recomendadas para o planejamento de contas e organizações.

Quem realiza esta tarefa

Os dois administradores a seguir executam essa tarefa:

• Um administrador de identidade responsável por atribuir acesso com base em papéis. Você atribui essa pessoa como o superadministrador do Cloud Identity. Para mais informações sobre o usuário superadministrador, consulte Funções de administrador pré-criadas.

• Um administrador de domínio com acesso ao host de domínio da empresa. Essa pessoa edita as configurações do domínio, como as configurações de DNS, como parte do processo de verificação de domínio.

O que você fará nesta tarefa

• Configure o Cloud Identity, se ainda não tiver feito isso, em que você cria uma conta de usuário gerenciada para seu usuário superadministrador.
• Vincule o Cloud Identity ao seu domínio (como example.com).
• Verifique seu domínio. Esse processo cria o nó raiz da hierarquia de recursos, conhecida como recurso da organização.

Por que recomendamos realizar esta tarefa

É preciso configurar o seguinte como parte da base do Google Cloud :

• Serviço de identidade do Google para gerenciar identidades de modo centralizado.
• Um recurso da organização para estabelecer a raiz da hierarquia e do controle de acesso.

Opções de serviço de identidade do Google

Você usa um ou ambos os serviços de identidade do Google a seguir para administrar as credenciais de usuários do Google Cloud :

• Cloud Identity: gerencia usuários e grupos de maneira centralizada. É possível federar identidades entre o Google e outros provedores de identidade. Para mais informações, consulte a Visão geral do Cloud Identity.
• Google Workspace: gerencia usuários e grupos e fornece acesso a produtos de produtividade e colaboração, como o Gmail e o Google Drive. Para mais informações, consulte o Google Workspace.

Acesse as informações detalhadas sobre o planejamento de identidade em Como planejar o processo de integração de identidades corporativas.

Antes de começar

Para entender como gerenciar uma conta de superadministrador, consulte Práticas recomendadas para contas de superadministrador.

Configurar um provedor de identidade e verificar seu domínio

As etapas concluídas nesta tarefa dependem de você ser um cliente novo ou atual. Identifique a opção mais adequada às suas necessidades:

• Novo cliente: configure o Cloud Identity, verifique seu domínio e crie a organização.

• Cliente atual do Google Workspace: use o Google Workspace como seu provedor de identidade para usuários que acessam o Google Workspace e o Google Cloud. Se você planeja criar usuários que acessam apenas o Google Cloud, ative o Cloud Identity.

• Cliente atual do Cloud Identity: verifique seu domínio, confirme se a organização foi criada e se o Cloud Identity está ativado.

A seguir

Criar grupos e adicionar participantes

Nesta tarefa, você configura identidades, usuários e grupos para gerenciar o acesso aos recursos doGoogle Cloud .

Para mais informações sobre o gerenciamento de acesso no Google Cloud, consulte:

• Visão geral do Identity and Access Management (IAM).
• Para práticas recomendadas, consulte Usar o IAM com segurança.

Quem realiza esta tarefa

Você pode realizar esta tarefa se tiver uma das seguintes opções:

• O superadministrador do Google Workspace ou do Cloud Identity que você criou na tarefa Organização.
• Um dos seguintes papéis do IAM:
  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador de pool de Identidade da força de trabalho (roles/iam.workforcePoolAdmin).

O que você fará nesta tarefa

• Conectar ao Cloud Identity ou ao seu provedor de identidade (IdP) externo.

• Crie grupos administrativos e usuários que vão realizar o restante das etapas de configuração do Google Cloud . Você vai conceder acesso a esses grupos em uma tarefa posterior.

Por que recomendamos realizar esta tarefa

Esta tarefa ajuda você a implementar as seguintes práticas recomendadas de segurança:

• Princípio de privilégio mínimo: conceda aos usuários as permissões mínimas necessárias para exercerem o papel e remova o acesso assim que ele não for mais necessário.

• Controle de acesso baseado em função (RBAC, na sigla em inglês): atribua permissões a grupos de usuários de acordo com a função deles. Não adicione permissões a contas de usuário individuais.

É possível usar grupos para aplicar com eficiência os papéis do IAM a uma coleção de usuários. Essa prática ajuda a simplificar o gerenciamento de acesso.

Selecionar um provedor de identidade

É possível usar uma das opções a seguir para gerenciar usuários e grupos e conectá-los ao Google Cloud:

• Google Workspace ou Cloud Identity: você cria e gerencia usuários e grupos no Google Workspace ou no Cloud Identity. Você pode sincronizar com o provedor de identidade externo mais tarde.
• Seu provedor de identidade externo, como o Microsoft Entra ID ou o Okta: você cria e gerencia usuários e grupos no provedor de identidade externo. Em seguida, conecte seu provedor ao Google Cloud para ativar o Logon único.

Para selecionar o provedor de identidade, faça o seguinte:

1. Faça login no console do Google Cloud como um dos usuários identificados em Quem realiza essa tarefa.

2. Acesse Google Cloud Configuração: usuários e grupos.

   Acessar "Usuários e grupos"

3. Revise os detalhes da tarefa e clique em Continuar configuração de identidade.

4. Na página Selecionar seu provedor de identidade, selecione uma das opções a seguir para iniciar uma configuração guiada:

   • Usar o Google para gerenciar centralmente Google Cloud usuários: use o Google Workspace ou o Cloud Identity para provisionar e gerenciar usuários e grupos como superadministrador do seu domínio verificado. Depois, você pode sincronizar com o provedor de identidade externo.
   • ID do Microsoft Entra (Azure AD): use o OpenID Connect para configurar uma conexão com o ID do Microsoft Entra.
   • Okta: use o OpenID Connect para configurar uma conexão com o Okta.
   • OpenID Connect: use o protocolo OpenID para se conectar a um provedor de identidade compatível.
   • SAML: use o protocolo SAML para se conectar a um provedor de identidade compatível.
   • Pular a configuração de um IdP externo por enquanto: se você tiver um provedor de identidade externo e não estiver com tudo pronto para conectá-lo ao Google Cloud, crie usuários e grupos no Google Workspace ou no Cloud Identity.

5. Clique em Continuar.

6. Confira uma das opções a seguir para saber o que fazer em seguida:

   • Criar usuários e grupos no Cloud Identity
   • Conectar seu provedor de identidade externo ao Google Cloud

Criar usuários e grupos no Cloud Identity

Se você não tiver um provedor de identidade ou não estiver pronto para conectar o provedor ao Google Cloud, crie e gerencie usuários e grupos no Cloud Identity ou no Google Workspace. Para criar usuários e grupos, faça o seguinte:

• Crie um grupo para cada função administrativa recomendada, incluindo organização, faturamento e administração de rede.
• Crie contas de usuário gerenciado para administradores.
• Atribua usuários a grupos administrativos que correspondam às responsabilidades deles.

Antes de começar

• Encontre e migre usuários que já têm Contas do Google. Para informações detalhadas, consulte Adicionar usuários com contas não gerenciadas.

• Você precisa ser um superadministrador.

Criar grupos administrativos

Um grupo é uma coleção nomeada de Contas do Google e de serviço. Cada grupo tem um endereço de e-mail exclusivo, como gcp-billing-admins@example.com. Você cria grupos para gerenciar usuários e aplicar papéis do IAM em grande escala.

Os grupos a seguir são recomendados para ajudar você a administrar as principais funções da sua organização e concluir o Google Cloud processo de configuração.

Para criar grupos administrativos, faça o seguinte:

1. Selecione o Google como provedor.

2. Na página Criar grupos, analise a lista de grupos administrativos recomendados e siga um destes procedimentos:

   • Para criar todos os grupos recomendados, clique em Criar todos os grupos.
   • Se você quiser criar um subconjunto dos grupos recomendados, clique em Criar nas linhas escolhidas.

3. Clique em Continuar.

Criar usuários administrativos

Recomendamos que você adicione inicialmente usuários que concluam procedimentos de configuração organizacional, de rede, de faturamento e outros. É possível adicionar outros usuários depois de concluir o processo de configuração do Google Cloud .

Para adicionar usuários administrativos que executam tarefas de configuração do Google Cloud , faça o seguinte:

1. Migre contas pessoais para contas de usuário gerenciadas controladas pelo Cloud Identity. Para conferir as etapas detalhadas, consulte estes recursos:

   • Como migrar contas pessoais.
   • Adicionar usuários com contas não gerenciadas.

2. Faça login no Admin Console do Google Workspace usando uma conta de superadministrador.

3. Use uma das seguintes opções para adicionar usuários:

   • Para adicionar usuários em massa, consulte Adicionar ou atualizar vários usuários com um arquivo CSV.
   • Para adicionar usuários individualmente, consulte Adicionar uma conta para um novo usuário.

4. Quando terminar de adicionar usuários, volte para Configuração doGoogle Cloud : usuários e grupos (criar usuários).

5. Clique em Continuar.

Adicionar usuários administrativos aos grupos

Adicione os usuários criados a grupos administrativos que correspondem às tarefas deles.

1. Verifique se você criou usuários administrativos.

2. Em Google Cloud Configuração: usuários e grupos (adicionar usuários a grupos), analise os detalhes da etapa.

3. Em cada linha Group, faça o seguinte:

   1. Clique em Adicionar participantes.
   2. Insira o endereço de e-mail do usuário.

   3. Na lista suspensa Função do grupo, selecione as configurações de permissão do usuário. Para mais informações, consulte Definir quem pode ver, postar e moderar (em inglês).

      Cada membro herda todos os papéis do IAM que você concede a um grupo, independentemente do papel do grupo selecionado.

   4. Para adicionar outro usuário a esse grupo, clique em Adicionar outro membro e repita essas etapas. Recomendamos que você adicione mais de um membro a cada grupo.

   5. Quando terminar de adicionar usuários ao grupo, clique em Salvar.

4. Quando terminar de adicionar todos os grupos, clique em Confirmar usuários e grupos.

5. Se você quiser federar seu provedor de identidade no Google Cloud, consulte o seguinte:

   • Arquiteturas de referência: como usar um IdP externo
   • Para provisionar usuários automaticamente e ativar o Logon único, consulte:
     • Federar o Cloud Identity com o Active Directory.
     • Federar o Cloud Identity com o Microsoft Entra ID.
   • Para sincronizar usuários e grupos do Active Directory com o Google Cloud, use o Directory Sync ou o Google Cloud Directory Sync.
     • Para uma comparação, consulte Comparar o Directory Sync com o GCDS.

Conectar seu provedor de identidade externo ao Google Cloud

Você pode usar seu provedor de identidade atual para criar e gerenciar grupos e usuários. Para configurar o Logon único no Google Cloud , defina a federação de identidade da força de trabalho com seu provedor de identidade externo. Para conferir os principais conceitos desse processo, consulte Federação de identidade de colaboradores.

Para conectar o provedor de identidade externo, conclua uma configuração guiada que inclui as seguintes etapas:

1. Criar um pool de colaboradores: um pool de identidade de colaboradores ajuda a gerenciar identidades e o acesso delas aos recursos. Você insere os seguintes detalhes em um formato legível por humanos.
   • ID do pool de força de trabalho: um identificador globalmente exclusivo usado no IAM.
   • ID do provedor: um nome para seu provedor, que os usuários especificam ao fazer login no Google Cloud.
2. Configurar Google Cloud no seu provedor: a configuração guiada inclui etapas específicas para o provedor.
3. Digite os detalhes do pool de força de trabalho do provedor: para adicionar o provedor como uma autoridade confiável para declarar identidades, extraia os detalhes do provedor e adicione-os a Google Cloud:
4. Configurar um conjunto inicial de grupos administrativos: a configuração guiada inclui etapas específicas para seu provedor. Você atribui grupos no seu provedor e estabelece uma conexão com Google Cloud. Para uma descrição detalhada de cada grupo, consulte Criar grupos administrativos.
5. Atribuir usuários a cada grupo: recomendamos que você atribua mais de um usuário a cada grupo.

Para informações básicas sobre o processo de conexão de cada provedor, consulte o seguinte:

• Configurar a federação de identidade da força de trabalho com o Azure AD e fazer login dos usuários
• Configurar a federação de identidade da força de trabalho com o Okta e fazer login de usuários
• Para outros provedores compatíveis com OIDC ou SAML, consulte Configurar a federação de identidade da força de trabalho.

A seguir

Atribua permissões aos seus grupos de administradores.

Nesta tarefa, você usará o Identity and Access Management (IAM) para atribuir coleções de permissões a grupos de administradores no nível da organização. Esse processo oferece aos administradores visibilidade e controle centralizados sobre todos os recursos da nuvem que pertencem à organização.

Para uma visão geral do Identity and Access Management no Google Cloud, consulte Visão geral do IAM.

Quem realiza esta tarefa

Para executar essa tarefa, é preciso seguir um destes procedimentos:

• Um usuário superadministrador.
• Um usuário com o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

O que você fará nesta tarefa

• Analise uma lista de papéis padrão atribuídos a cada grupo de administradores criado na tarefa Usuários e grupos.

• Se quiser personalizar um grupo, você pode fazer o seguinte:

  • Adicione ou remova papéis.
  • Você pode excluir um grupo se não pretende usá-lo.

Por que recomendamos realizar esta tarefa

Você precisa conceder explicitamente todos os papéis administrativos da sua organização. Essa tarefa ajuda a implementar as seguintes práticas recomendadas de segurança:

• Princípio de privilégio mínimo: conceda aos usuários as permissões mínimas necessárias para executar os jobs e remova o acesso quando não for mais necessário.

• Controle de acesso baseado em função (RBAC, na sigla em inglês): atribua permissões a grupos de usuários de acordo com os respectivos jobs. Não atribua papéis a contas de usuário individuais.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.

Conceder acesso a grupos de administradores

Para conceder o acesso apropriado a cada grupo de administradores criado na tarefa Usuários e grupos, revise os papéis padrão atribuídos a cada grupo. É possível adicionar ou remover papéis para personalizar o acesso de cada grupo.

1. Verifique se você fez login no console do Google Cloud como um usuário superadministrador.

   Se preferir, faça login como usuário com a função de administrador da organização (roles/resourcemanager.organizationAdmin).

2. Acesse Google Cloud Configuração: acesso administrativo.

   Ir para "Acesso administrativo"

3. Escolha o nome da sua organização na lista suspensa Selecionar de na parte superior da página.

4. Analise a visão geral da tarefa e clique em Continuar acesso administrativo.

5. Revise os grupos na coluna Grupo (Principal) que você criou na tarefa Usuários e grupos.

6. Para cada grupo, revise os papéis do IAM padrão. É possível adicionar ou remover papéis atribuídos a cada grupo para atender às necessidades exclusivas da sua organização.

   Cada papel contém várias permissões que autorizam os usuários a executar tarefas relevantes. Para mais informações sobre as permissões em cada papel, consulte a Referência de papéis básicos e predefinidos do IAM.

7. Quando você estiver pronto para atribuir papéis a cada grupo, clique em Salvar e conceder acesso.

A seguir

Configure o faturamento.

Nesta tarefa, você vai configurar uma conta de faturamento para pagar recursos do Google Cloud. Para fazer isso, associe uma das seguintes opções à sua organização.

• Uma conta do Cloud Billing atual. Se você não tiver acesso à conta, solicite acesso ao administrador da conta de faturamento.

• Uma nova conta do Cloud Billing.

Para mais informações sobre faturamento, consulte a documentação do Cloud Billing.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-billing-admins@YOUR_DOMAIN que você criou na tarefa Usuários e grupos.

O que você fará nesta tarefa

• Crie ou use uma conta de autoatendimento atual do Cloud Billing.
• Decida se fará a transição de uma conta de autoatendimento para uma conta com fatura.
• Configure uma conta e uma forma de pagamento do Cloud Billing.

Por que recomendamos realizar esta tarefa

As contas do Cloud Billing são vinculadas a um ou mais projetos do Google Cloud e são usadas para pagar pelos recursos que você usa, como máquinas virtuais, rede e armazenamento.

Determinar o tipo de conta de faturamento

A conta de faturamento associada à sua organização é um dos tipos a seguir.

• Autoatendimento (ou on-line): faça a inscrição on-line usando um cartão de crédito ou débito. Recomendamos essa opção se você é uma pequena empresa ou uma pessoa física. Quando você se inscreve on-line em uma conta de faturamento, sua conta é configurada automaticamente como conta de autoatendimento.

• Com fatura (ou off-line). Se você já tiver uma conta de faturamento por autoatendimento, poderá se qualificar para a cobrança por fatura se sua empresa atender aos requisitos de qualificação.

Não é possível criar uma conta com fatura on-line, mas você pode se inscrever para converter uma conta de autoatendimento em uma conta com fatura.

Para mais informações, consulte os Tipos de conta do Cloud Billing.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.

Configurar a conta de faturamento

Agora que você escolheu um tipo de conta de faturamento, associe-a à sua organização. Ao concluir esse processo, use sua conta de faturamento para pagar pelos recursos do Google Cloud .

1. Faça login no console Google Cloud como um usuário do grupo gcp-billing-admins@YOUR_DOMAIN.

2. Acesse Google Cloud Configuração: faturamento.

   Acessar Faturamento

3. Analise a visão geral da tarefa e clique em Continuar faturamento.

4. Selecione uma das seguintes opções de conta de faturamento:

   Criar uma nova conta

   Caso sua organização não tenha uma conta, crie uma nova.

   1. Selecione Quero criar uma nova conta de faturamento..
   2. Clique em Continuar.

   3. Selecione o tipo de conta de faturamento que você quer criar. Para conferir as etapas detalhadas, consulte:

      • Para criar uma conta de autoatendimento, consulte Criar uma nova conta de autoatendimento do Cloud Billing.
      • Para fazer a transição de uma conta de autoatendimento atual para a cobrança com fatura, consulte Inscrever-se para a cobrança com fatura mensal.

   4. Verifique se a conta de faturamento foi criada:

      1. Se você criou uma conta com fatura, aguarde até cinco dias úteis para receber a confirmação por e-mail.

      2. Acesse a página de faturamento.

      3. Escolha a organização na lista Selecionar de na parte de cima da página. Se a conta tiver sido criada com êxito, ela será exibida na lista de contas de faturamento.

   Usar minha conta atual

   Se você já tiver uma conta de faturamento, será possível associá-la à sua organização.

   1. Selecione Identifiquei uma conta de faturamento na lista que gostaria de usar para concluir as etapas de configuração..
   2. Na lista suspensa Faturamento, selecione a conta que você quer associar à organização.
   3. Clique em Continuar.
   4. Revise os detalhes e clique em Confirmar conta de faturamento.

   Usar a conta de outro usuário

   Se outro usuário tiver acesso a uma conta de faturamento atual, solicite que ele a associe à sua organização ou conceda acesso para concluir a associação.

   1. Selecione Quero usar uma conta de faturamento gerenciada por outra conta de usuário do Google.
   2. Clique em Continuar.
   3. Digite o endereço de e-mail do administrador da conta de faturamento.
   4. Clique em Entrar em contato com o administrador.
   5. Aguarde o administrador da conta de faturamento entrar em contato com você com mais instruções.

A seguir

Criar uma hierarquia de recursos e atribuir acesso.

Nesta tarefa, você vai configurar a hierarquia de recursos criando e atribuindo acesso aos seguintes recursos:

Pastas

Fornecem um mecanismo de agrupamento e isolamento entre projetos. Por exemplo, as pastas podem representar departamentos da sua organização, como finanças ou varejo.

As pastas de ambiente, como Production, na hierarquia de recursos são pastas habilitadas para apps. Você pode definir e gerenciar aplicativos nessas pastas.

Projetos

Contêm seus recursos do Google Cloud , como máquinas virtuais, bancos de dados e buckets de armazenamento. Cada pasta habilitada para gerenciar apps também contém um projeto de gerenciamento, que ajuda você a gerenciar acesso, faturamento, capacidade de observação e outras funções administrativas dos seus aplicativos.

Para considerações de design e práticas recomendadas para organizar seus recursos em projetos, consulte Decidir uma hierarquia de recursos para sua Google Cloud zona de destino.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-organization-admins@YOUR_DOMAIN que você criou na tarefa Usuários e grupos pode realizar essa tarefa.

O que você fará nesta tarefa

• Crie uma estrutura de hierarquia inicial que inclua pastas e projetos.
• Defina políticas do IAM para controlar o acesso a pastas e projetos.

Por que recomendamos realizar esta tarefa

Criar uma estrutura para pastas e projetos ajuda a gerenciar Google Cloud recursos e aplicativos. Você pode usar a estrutura para atribuir acesso com base na maneira como sua organização opera. Por exemplo, é possível organizar e fornecer acesso com base na coleção exclusiva de regiões geográficas, estruturas de subsidiárias ou frameworks de responsabilidade da sua organização.

Planejar a hierarquia de recursos

A hierarquia de recursos ajuda a criar limites e compartilhar recursos em toda a organização para tarefas comuns. Você cria a hierarquia usando uma das seguintes configurações iniciais, com base na estrutura organizacional:

• Voltado simplesmente para o ambiente:

  • Isolar ambientes, como Non-production e Production.
  • Implemente políticas, requisitos regulatórios e controles de acesso distintos em cada pasta do ambiente.
  • Recomendado para pequenas empresas com ambientes centralizados.

• Simples voltado para equipe:

  • Isole equipes como Development e QA.
  • Isolar o acesso a recursos usando pastas do ambiente filho em cada pasta da equipe.
  • Recomendado para pequenas empresas com equipes autônomas.

• Voltado para o ambiente:

  • Priorize o isolamento de ambientes, como Non-production e Production.
  • Em cada pasta do ambiente, isole as unidades de negócios.
  • Em cada unidade de negócios, isole as equipes.
  • Recomendado para grandes empresas com ambientes centralizados.

• Foco na unidade de negócios:

  • Priorize o isolamento de unidades de negócios, como Human Resources e Engineering, para garantir que os usuários possam acessar apenas os recursos e dados de que precisam.
  • Em cada unidade de negócios, isole as equipes.
  • Em cada equipe, isole os ambientes.
  • Recomendado para grandes empresas com equipes autônomas.

Cada configuração tem uma pasta Common para projetos que contêm recursos compartilhados. Isso pode incluir projetos de geração de registros e monitoramento.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
• Crie ou vincule uma conta de faturamento na tarefa Faturamento.

Configurar pastas e projetos iniciais

Selecione a hierarquia de recursos que representa a estrutura da sua organização.

Para configurar pastas e projetos iniciais, faça o seguinte:

1. Faça login no console do Google Cloud como um usuário do grupo gcp-organization-admins@YOUR_DOMAIN que você criou na tarefa Usuários e grupos.

2. Escolha a organização na lista suspensa Selecionar de na parte de cima da página.

3. Acesse Google Cloud Configuração: hierarquia e acesso.

   Acessar "Hierarquia e acesso"

4. Analise a visão geral da tarefa e clique em Iniciar ao lado de Hierarquia de recursos.

5. Selecione uma configuração inicial.

6. Clique em Continuar e configurar.

7. Personalize a hierarquia de recursos para refletir sua estrutura organizacional. Por exemplo, você pode personalizar o seguinte:

   • Nomes das pastas

   • Projetos de serviço para cada equipe. Para conceder acesso a projetos de serviço, crie o seguinte:

     • Um grupo para cada projeto de serviço.
     • Usuários em cada grupo.

     Para uma visão geral dos projetos de serviço, consulte VPC compartilhada.

   • Projetos necessários para monitoramento, geração de registros e rede.

   • Projetos personalizados.

8. Clique em Continuar.

9. Conceda acesso a suas pastas e projetos.

Conceder acesso a pastas e projetos

Na tarefa Acesso administrativo, você concedeu acesso administrativo a grupos no nível da organização. Nesta tarefa, você configura o acesso a grupos que interagem com suas pastas e projetos recém-configurados.

Projetos, pastas e organizações têm as próprias políticas do IAM, que são herdadas por meio da hierarquia de recursos:

• Organização: as políticas se aplicam a todas as pastas e projetos na organização.
• Pasta: as políticas se aplicam a projetos e outras pastas na pasta.
• Projeto: as políticas se aplicam apenas ao projeto e aos recursos dele.

Atualize as políticas do IAM para suas pastas e projetos:

1. Na seção Configurar controle de acesso de Hierarquia e acesso, conceda aos seus grupos acesso às suas pastas e projetos:

   1. Na tabela, revise a lista de papéis recomendados do IAM concedidos a cada grupo para cada recurso.

   2. Se você quiser modificar os papéis atribuídos a cada grupo, clique em Editar na linha desejada.

      Para mais informações sobre cada papel, consulte Papéis básicos e predefinidos do IAM.

2. Clique em Continuar.

3. Confira as mudanças e clique em Confirmar configuração de rascunho.

Configurar o faturamento para projetos de gerenciamento

Depois de implantar a configuração, configure o faturamento para cada projeto de gerenciamento. A conta de faturamento é necessária para pagar pelas APIs que têm custos associados. Para mais informações, consulte Vincular uma conta de faturamento ao projeto de gerenciamento.

A seguir

Defina as configurações de segurança.

Nesta tarefa, você vai definir as configurações de segurança e os produtos para proteger sua organização.

Quem realiza esta tarefa

Você precisa ter uma das seguintes opções para concluir esta tarefa:

• Papel de administrador da organização (roles/resourcemanager.organizationAdmin).
• A associação a um dos seguintes grupos que você criou na tarefa Usuários e grupos.
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

O que você fará nesta tarefa

Aplique as políticas da organização recomendadas com base nestas categorias:

• Gerenciamento de acesso.
• Comportamento da conta de serviço.
• Configuração da rede VPC.
• Cloud KMS com Autokey: disponível apenas para a opção de base de segurança avançada.

Você também ativa o Security Command Center para centralizar os relatórios de vulnerabilidade e ameaças.

Por que recomendamos realizar esta tarefa

A aplicação das políticas da organização recomendadas ajuda a limitar as ações do usuário que não estão alinhadas à sua postura de segurança.

Ativar o Security Command Center ajuda a criar um local central para analisar vulnerabilidades e ameaças.

A aplicação e a automação do Cloud KMS com o Autokey ajudam você a usar chaves de criptografia gerenciadas pelo cliente (CMEKs) de maneira consistente para proteger seus recursos.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.

Iniciar a tarefa de segurança

1. Faça login no console Google Cloud com um usuário identificado em Quem realiza essa tarefa.

2. Escolha a organização no menu suspenso Selecionar de na parte de cima da página.

3. Acesse Google Cloud Configuração: segurança.

   Acessar a Segurança.

4. Analise a visão geral da tarefa e clique em Iniciar segurança.

Centralize relatórios de vulnerabilidade e ameaças

Para centralizar os serviços de relatórios de vulnerabilidades e ameaças, ative o Security Command Center. Isso ajuda a fortalecer sua postura de segurança e reduzir riscos. Para mais informações, consulte Visão geral do Security Command Center.

1. Na página Google Cloud Configuração: segurança, verifique se a caixa de seleção Ativar o Security Command Center: Standard está marcada.

   Essa tarefa ativa o nível Standard gratuito. Você poderá fazer upgrade para a versão Premium quando quiser. Para mais informações, consulte Níveis de serviço do Security Command Center.

2. Clique em Aplicar configurações do SCC.

Aplicar as políticas recomendadas da organização

As políticas da organização são aplicadas no nível da organização e herdadas por pastas e projetos. Nesta tarefa, você vai analisar e aplicar a lista de políticas recomendadas. As políticas da organização podem ser modificadas a qualquer momento. Para mais informações, consulte Introdução ao serviço de políticas da organização.

1. Analise a lista de políticas recomendadas da organização. Se você não quiser aplicar uma política recomendada, clique na caixa de seleção para removê-la.

   Para uma explicação detalhada de cada política da organização, consulte Restrições da política da organização.

2. Clique em Confirmar configurações de políticas da organização.

As políticas da organização selecionadas são aplicadas quando você implanta a configuração em uma tarefa posterior.

Aplicar e automatizar chaves de criptografia do cliente

Com o Cloud KMS com Autokey, os desenvolvedores da sua organização podem criar chaves de criptografia simétrica quando necessário para proteger seus recursos do Google Cloud. É possível configurar o Cloud KMS com o Autokey se você selecionou a opção de base Segurança avançada.

1. Revise a descrição do Cloud KMS com Autokey e, em seguida, em Usar o Cloud KMS com Autokey e aplicar políticas organizacionais, clique em Sim (recomendado).
2. Clique em Confirmar configuração de gerenciamento de chaves.

As seguintes configurações são aplicadas quando você implanta a configuração em uma tarefa posterior:

• Configure um projeto do Autokey em cada pasta de ambiente da sua hierarquia.
• Ative o Cloud KMS com Autokey nas pastas de ambiente.
• Exigir o uso de chaves de criptografia gerenciadas pelo cliente (CMEKs) para recursos criados em cada pasta de ambiente.
• Restrinja cada pasta para usar apenas chaves do Cloud KMS no projeto Autokey dessa pasta.

A seguir

Geração de registros e monitoramento centralizados.

Nesta tarefa, você vai configurar o seguinte:

• Geração de registros centralizada para ajudar você a analisar e obter insights de registros de todos os projetos na sua organização.
• Monitoramento central para ajudar você a visualizar métricas em todos os projetos criados nesta configuração.

Quem realiza esta tarefa

Para configurar o registro e o monitoramento, você precisa ter um dos seguintes itens:

• Os papéis de administrador do Logging (roles/logging.admin) e administrador do Monitoring (roles/monitoring.admin).
• A associação a um dos seguintes grupos que você criou na tarefa Usuários e grupos:
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

O que você fará nesta tarefa

Nesta tarefa, você vai:

• Organize de maneira centralizada os registros criados em projetos em toda a organização para ajudar na segurança, na auditoria e na conformidade.
• Configure um projeto de monitoramento central para ter acesso às métricas de monitoramento dos projetos criados nesta configuração.

Por que recomendamos realizar esta tarefa

O armazenamento e a retenção de registros simplificam a análise e preservam a trilha de auditoria. O monitoramento centralizado oferece uma visão das métricas em um só lugar.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
• Crie ou vincule uma conta de faturamento na tarefa Faturamento.
• Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.

Organizar a geração de registros de modo centralizado

O Cloud Logging ajuda você a armazenar, pesquisar, analisar, monitorar e criar alertas sobre dados e eventos de registros do Google Cloud. Também é possível coletar e processar registros de seus aplicativos, recursos locais e outras nuvens. Recomendamos que você use o Cloud Logging para consolidar registros em um único bucket.

Para ver mais informações, consulte os seguintes tópicos:

• Para uma visão geral, consulte Visão geral de roteamento e armazenamento.
• Para informações sobre como registrar recursos no local, consulte Como gerar registros de recursos no local com o BindPlane.
• Para saber como mudar o filtro de registro depois de implantar a configuração, consulte Filtros de inclusão.

Para armazenar dados de registro em um bucket de registros central, faça o seguinte:

1. Faça login no console Google Cloud como um usuário identificado em Quem realiza essa tarefa.

2. Escolha a organização na lista suspensa Selecionar de na parte de cima da página.

3. Acesse Google Cloud Configuração: monitoramento e geração de registros centralizados.

   Acessar o monitoramento e a geração de registros centralizados

4. Analise a visão geral da tarefa e clique em Iniciar monitoramento e geração de registros centralizados.

5. Revise os detalhes da tarefa.

6. Para rotear registros para um bucket de registros central, verifique se a opção Armazenar registros de auditoria no nível da organização em um bucket de registros está selecionada.

7. Expanda Rotear registros para um bucket de registros do Logging e faça o seguinte:

   1. No campo Nome do bucket de registros, insira o nome do bucket de registros central.

   2. Na lista Região do bucket de registros, selecione a região onde os dados de registro são armazenados.

      Para mais informações, consulte Locais de buckets de registros.

   3. Por padrão, os registros são armazenados por 30 dias. Recomendamos que grandes empresas armazenem registros por 365 dias. Para personalizar o período de armazenamento, insira o número de dias no campo Período de armazenamento.

      Os registros armazenados por mais de 30 dias geram custo de retenção. Para mais informações, consulte o Resumo de preços do Cloud Logging.

Exportar registros fora do Google Cloud

Se você quiser exportar registros para um destino fora de Google Cloud, use o Pub/Sub. Por exemplo, se você usa vários provedores de nuvem, pode exportar dados de registro de cada provedor para uma ferramenta de terceiros.

Você pode filtrar os registros exportados para atender às suas necessidades e requisitos. Por exemplo, você pode limitar os tipos de registros exportados para controlar custos ou reduzir o ruído nos dados.

Para mais informações sobre como exportar registros, consulte:

• Para uma visão geral, consulte O que é o Pub/Sub?
• Para informações sobre preços, consulte:
  • Preços do Pub/Sub
  • Práticas recomendadas para registros de auditoria do Cloud.
• Para saber como fazer streaming para o Splunk, consulte Fazer streaming de registros do Google Cloud para o Splunk.

Para exportar registros, faça o seguinte:

1. Clique em Transmitir os registros para outros aplicativos, outros repositórios ou terceiros.

2. No campo ID do tópico do Pub/Sub, insira um identificador para o tópico que contém os registros exportados. Para mais informações sobre como se inscrever em um tópico, consulte Assinaturas de pull.

3. Para selecionar os registros a serem exportados, faça o seguinte:

   1. Para informações sobre cada tipo de registro, consulte Entender os registros de auditoria do Cloud.

   2. Para impedir que um dos seguintes registros recomendados seja exportado, clique na lista Filtro de inclusão e desmarque a caixa de seleção do registro:

      • Registros de auditoria do Cloud: atividade do administrador: chamadas de API ou ações que modificam a configuração ou os metadados de recursos.
      • Registros de auditoria do Cloud: evento do sistema: Google Cloud ações que modificam a configuração de recursos.
      • Transparência no acesso: ações realizadas pela equipe do Google ao acessar o conteúdo do cliente.

   3. Selecione os seguintes registros para exportá-los:

      • Registros de auditoria do Cloud: acesso a dados: chamadas de API que leem a configuração ou os metadados dos recursos, além de chamadas de API orientadas pelo usuário que criam, modificam ou leem os dados dos recursos fornecidos pelo usuário.
      • Registros de auditoria do Cloud: política negada: Google Cloud negações de acesso a serviços a contas de usuário ou de serviço com base em violações da política de segurança.

   4. Os registros selecionados nesta etapa só serão exportados se estiverem ativados nos seus projetos ou recursos. Para saber como mudar o filtro de registro dos seus projetos e recursos depois de implantar a configuração, consulte Filtros de inclusão.

   5. Clique em OK.

4. Clique em Continuar para o Monitoring.

Configurar monitoramento central

O monitoramento centralizado ajuda a analisar a integridade, o desempenho e a segurança do sistema em vários projetos. Nesta tarefa, você adiciona os projetos criados durante a tarefa Hierarquia e acesso a um projeto de escopo. Em seguida, é possível monitorar esses projetos no projeto de escopo. Depois de concluir a configuração do Google Cloud, é possível configurar outros projetos para serem monitorados pelo projeto de escopo.

Para mais informações, consulte Visão geral do escopo de métricas.

Para configurar o monitoramento central, faça o seguinte:

1. Para configurar projetos criados durante a Google Cloud configuração para monitoramento central, verifique se a opção Usar monitoramento central está selecionada.

   Os projetos criados durante a Google Cloud configuração são adicionados ao escopo de métricas do projeto de escopo listado.

2. O Cloud Monitoring inclui uma cota mensal gratuita. Para mais informações, consulte o resumo de preços do Cloud Monitoring.

3. Para saber como configurar projetos criados fora da configuração do Google Cloud , consulte:

   • Configure um escopo de métricas.
   • Limites do projeto monitorado.

Concluir a configuração

Para concluir a tarefa de geração de registros e monitoramento, faça o seguinte:

1. Clique em Confirmar configuração.

2. Revise os detalhes da configuração de geração de registros e monitoramento. A configuração não será implantada até que você implante as configurações em uma tarefa posterior.

A seguir

Defina a configuração de rede inicial.

Nesta tarefa, você definirá sua configuração de rede inicial, que pode ser escalonada conforme suas necessidades mudam.

Arquitetura de nuvem privada virtual

Uma rede de nuvem privada virtual (VPC) é uma versão virtual de uma rede física implementada dentro da rede de produção do Google. Uma rede VPC é um recurso global que consiste em sub-redes regionais.

As redes VPC fornecem recursos de rede para seus recursos do Google Cloud , como instâncias de máquina virtual do Compute Engine, contêineres do GKE e instâncias de ambiente flexível do App Engine.

A VPC compartilhada conecta recursos de vários projetos a uma rede VPC comum para que eles possam se comunicar usando os endereços IP internos da rede. No diagrama a seguir, mostramos a arquitetura básica de uma rede VPC compartilhada com projetos de serviço anexados.

Ao usar a VPC compartilhada, você designa um projeto host e anexa um ou mais projetos de serviço a ele. As redes de nuvem privada virtual no projeto host são chamadas de redes VPC compartilhadas.

O diagrama de exemplo tem projetos host de produção e não produção, cada um contendo uma rede VPC compartilhada. Use um projeto host para gerenciar centralmente o seguinte:

• Rotas
• Firewalls
• Conexões VPN
• Sub-redes

Um projeto de serviço é qualquer um que foi anexado a um projeto host. É possível compartilhar sub-redes, incluindo intervalos secundários, entre projetos host e de serviço.

Nesta arquitetura, cada rede VPC compartilhada contém sub-redes públicas e privadas:

• A sub-rede pública pode ser usada por instâncias voltadas para a Internet para conectividade externa.
• A sub-rede privada pode ser usada por instâncias internas que não são endereços IP públicos alocados.

Nesta tarefa, você vai criar uma configuração de rede inicial com base no diagrama de exemplo.

Quem realiza esta tarefa

Você precisa de uma das seguintes opções para executar a tarefa:

• O papel roles/compute.networkAdmin.
• Inclusão ao grupo gcp-network-admins@YOUR_DOMAIN que você criou na tarefa Usuários e grupos.

O que você fará nesta tarefa

Crie uma configuração de rede inicial, incluindo o seguinte:

• Crie vários projetos host para refletir seus ambientes de desenvolvimento.
• Crie uma rede VPC compartilhada em cada projeto host para permitir que recursos diferentes compartilhem a mesma rede.
• Crie sub-redes distintas em cada rede VPC compartilhada para fornecer acesso de rede aos projetos de serviço.

Por que recomendamos realizar esta tarefa

Equipes distintas podem usar a VPC compartilhada para se conectar a uma rede VPC comum gerenciada centralmente.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
• Crie ou vincule uma conta de faturamento na tarefa Faturamento.
• Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.

Configurar a arquitetura de rede

Crie sua configuração de rede inicial com dois projetos host para segmentar cargas de trabalho de produção e de não produção. Cada projeto host contém uma rede VPC compartilhada, que pode ser usada por vários projetos de serviço. Você configura detalhes da rede e, em seguida, implanta um arquivo de configuração em uma tarefa posterior.

Para configurar a rede inicial, faça o seguinte:

1. Faça login no console Google Cloud como um usuário do grupo gcp-organization-admins@YOUR_DOMAIN que você criou na tarefa Usuários e grupos.

2. Escolha a organização na lista suspensa Selecionar uma organização na parte superior da página.

3. Acesse Configuração doGoogle Cloud : rede.

   Acesse a rede.

4. Revisar a arquitetura de rede padrão.

5. Para editar o nome da rede, faça o seguinte:

   1. Clique em more_vert Ações
   2. Selecione Editar nome da rede.
   3. No campo Nome da rede, digite letras minúsculas, números ou hifens. O nome da rede não pode ter mais de 25 caracteres.
   4. Clique em Salvar.

Modificar detalhes do firewall

As regras de firewall padrão no projeto host são baseadas nas práticas recomendadas. É possível desativar uma ou mais regras de firewall padrão. Para informações gerais sobre regras de firewall, consulte Regras de firewall de VPC.

Para modificar as configurações de firewall, faça o seguinte:

1. Clique em more_vert Ações.

2. Selecione Editar regras de firewall.

3. Para informações detalhadas sobre cada regra de firewall padrão, consulte Regras pré-preenchidas na rede padrão.

4. Para desativar uma regra de firewall, desmarque a caixa de seleção correspondente.

5. Para desativar a Geração de registros de regras de firewall, clique em Desativado.

   Por padrão, o tráfego de e para instâncias do Compute Engine é registrado para fins de auditoria. Esse processo gera custos. Para mais informações, consulte Geração de registros de regras de firewall.

6. Clique em Salvar.

Modificar detalhes da sub-rede

Cada rede VPC contém pelo menos uma sub-rede, que é um recurso regional com um intervalo de endereços IP associado. Nesta configuração multirregional, é preciso ter pelo menos duas sub-redes com intervalos de IP não sobrepostos.

Para mais informações, consulte Sub-redes.

Cada sub-rede é configurada usando as práticas recomendadas. Se você quiser personalizar cada sub-rede, faça o seguinte:

1. Clique em more_vert Ações
2. Selecione Editar sub-redes.
3. No campo Nome, digite letras minúsculas, números ou hifens. O nome da sub-rede não pode ter mais de 25 caracteres.

4. No menu suspenso Região, selecione uma região próxima ao seu ponto de serviço.

   Recomendamos uma região diferente para cada sub-rede. Não é possível alterar a região depois de implantar a configuração. Para mais informações sobre como escolher uma região, consulte Recursos regionais.

5. No campo Intervalo de endereços IP, insira um intervalo na notação CIDR, por exemplo, 10.0.0.0/24.

   O intervalo inserido não pode se sobrepor a outras sub-redes nessa rede. Para informações sobre intervalos válidos, consulte Intervalos de sub-rede IPv4.

6. Repita essas etapas para a sub-rede 2.

7. Para configurar mais sub-redes nessa rede, clique em Adicionar sub-rede e repita essas etapas.

8. Clique em Salvar.

As sub-redes são configuradas automaticamente de acordo com as práticas recomendadas. Se você quiser modificar a configuração, na página Configuração doGoogle Cloud : redes VPC, faça o seguinte:

1. Para desativar os registros de fluxo de VPC, na coluna Registros de fluxo, selecione Desativado.

   Quando os registros de fluxo estão ativados, cada sub-rede registra fluxos de rede que podem ser analisados para fins de segurança, otimização de despesas e outras finalidades. Para mais informações, consulte Usar registros de fluxo de VPC.

   Os registros de fluxo de VPC geram custos. Para mais informações, consulte Preços da nuvem privada virtual.

2. Para desativar o Acesso privado do Google, selecione Desativado na coluna Acesso privado.

   Quando o Acesso privado do Google está ativado, as instâncias de VM sem endereços IP externos podem acessar as APIs e serviços do Google. Para mais informações, consulte Acesso privado do Google.

3. Para ativar o Cloud NAT, na coluna Cloud NAT, selecione Ativado.

   Quando o Cloud NAT está ativado, determinados recursos podem criar conexões de saída com a Internet. Para mais informações, consulte Visão geral do Cloud NAT.

   O Cloud NAT gera custos. Para mais informações, consulte Preços da nuvem privada virtual.

4. Clique em Continuar para vincular projetos de serviço.

Vincular projetos de serviço aos seus projetos host

Um projeto de serviço é qualquer um que tenha sido anexado a um projeto host. Esse anexo permite que o projeto de serviço participe da VPC compartilhada. Cada projeto de serviço pode ser operado e administrado por diferentes departamentos ou equipes para criar uma separação de responsabilidades.

Para mais informações sobre como conectar vários projetos a uma rede VPC comum, consulte Visão geral da VPC compartilhada.

Para vincular projetos de serviço aos projetos host e concluir a configuração, faça o seguinte:

1. Para cada sub-rede na tabela Redes VPC compartilhadas, selecione um projeto de serviço para se conectar. Para fazer isso, selecione um projeto no menu suspenso Selecionar um projeto na coluna Projeto de serviço.

   É possível conectar um projeto de serviço a várias sub-redes.

2. Clique em Continuar a revisar.

3. Revise a configuração e faça alterações.

   É possível fazer edições até implantar o arquivo de configuração.

4. Clique em Confirmar configuração de rascunho. A configuração de rede será adicionada ao arquivo de configuração.

   A rede só será implantada depois que você implantar o arquivo de configuração em uma tarefa posterior.

A seguir

Configure a conectividade híbrida, que ajuda você a se conectar servidores no local ou outros provedores de nuvem para Google Cloud.

Nesta tarefa, você vai estabelecer conexões entre pares (no local ou outros, cloud) e suas redes do Google Cloud , como no diagrama a seguir.

Esse processo cria uma VPN de alta disponibilidade, solução de alta disponibilidade (HA) que pode ser criada rapidamente para transmitir dados para o público Internet.

Depois de implantar a configuração do Google Cloud , recomendamos criar uma conexão mais robusta usando o Cloud Interconnect.

Para mais informações sobre conexões entre redes em peering e Google Cloud, consulte o seguinte:

• Visão geral do Cloud VPN
• Como escolher um produto de conectividade de rede

Quem realiza esta tarefa

É necessário ter o papel Administrador da organização (roles/resourcemanager.organizationAdmin).

O que você fará nesta tarefa

Criar conexões de baixa latência e alta disponibilidade entre sua VPC do Google e as redes no local ou outras redes na nuvem. Você configura os seguintes componentes:

• Google Cloud Gateway de VPN de alta disponibilidade: um recurso regional que tem duas interfaces, cada uma com o próprio endereço IP. Você especifica o tipo de pilha de IP, determina se o tráfego IPv6 tem suporte na sua conexão. Para informações básicas, consulte VPN de alta disponibilidade.
• Gateway de VPN de peering: o gateway na rede de peering, ao qual o gateway de VPN de alta disponibilidade do Google Cloud se conecta. Você insere endereços IP externo que o gateway de peering usa para se conectar a Google Cloud. Para mais informações, consulte Configurar o gateway de VPN de peering.
• Cloud Router: usa o protocolo de gateway de borda (BGP) para fazer a troca dinâmica as rotas entre a VPC e as redes em peering. Você atribui um Número de sistema autônomo (ASN, na sigla em inglês) como identificador do Cloud Router especifique o ASN que o roteador de peering usa. Para mais informações em segundo plano, consulte Criar um Cloud Router para conectar uma rede VPC a uma rede com peering.
• Túneis VPN: conecte o gateway Google Cloud ao gateway de peering. Você especifica o protocolo Internet Key Exchange (IKE) a ser usado para estabelecer o túnel. É possível inserir sua própria chave IKE gerada anteriormente ou gerar e copiar uma nova de dados. Para informações contextuais, consulte Configurar o IKE.

Por que recomendamos realizar esta tarefa

A VPN de alta disponibilidade oferece conexão entre a infraestrutura atual e Google Cloud.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
• Crie ou vincule uma conta de faturamento na tarefa Faturamento.
• Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.
• Configure sua rede no redes VPC.

Colete as seguintes informações do seu administrador de rede de peering:

• Nome do gateway de VPN de peering: o gateway em que o Cloud VPN se conecta.
• Endereço IP da interface de peering 0: um endereço IP externo na rede de peering gateway de gateway de borda.
• Endereço IP da interface de peering 1: um segundo endereço externo ou reutilize o IP endereço 0 se a rede de peering tiver apenas um endereço IP externo.
• Número de sistema autônomo (ASN, na sigla em inglês): um identificador exclusivo atribuído ao seu de rede de peering.
• ASN do Cloud Router: um identificador exclusivo que você atribuirá aos Cloud Router.
• Chaves da Internet Key Exchange (IKE): chaves usadas para estabelecer dois túneis de VPN. ao gateway de VPN de peering. Se você não tiver chaves, é possível gerar durante a configuração e aplicá-los ao gateway de peering.

Configurar as conexões

Faça o seguinte para conectar suas redes VPC ao peering redes:

1. Faça login como usuário com a função de administrador da organização.

2. Escolha a organização na lista suspensa Selecionar de na parte de cima da página.

3. Acesse Google Cloud Configuração: conectividade híbrida.

   Acesse a conectividade híbrida

4. Revise os detalhes da tarefa fazendo o seguinte:

   1. Analise a visão geral da tarefa e clique em Iniciar conectividade híbrida.

   2. Clique em cada guia para saber mais sobre a conectividade híbrida e clique em Continuar.

   3. Veja o que esperar em cada etapa da tarefa e clique em Continuar.

   4. Revise as informações de configuração do gateway de peering que você precisa coletar e clique em Continuar.

5. Na área Conexões híbridas, identifique as redes VPC. com base nas necessidades da sua empresa.

6. Na linha da primeira rede escolhida, clique em Configurar.

7. Na área Visão geral da configuração, leia a descrição e clique em Próxima.

8. Na área Gateway de VPN de alta disponibilidadeGoogle Cloud , faça o seguinte:

   1. No campo Nome do gateway do Cloud VPN, digite até 60 caracteres usando letras minúsculas, números e hifens.

   2. Na área Tipo de pilha do IP interno do túnel da VPN, selecione uma das os seguintes tipos de pilha:

      • IPv4 e IPv6 (recomendado): oferece suporte ao tráfego IPv4 e IPv6. Recomendamos essa configuração se você planeja permitir o tráfego IPv6 no túnel.
      • IPv4: oferece suporte apenas ao tráfego IPv4.

      O tipo de pilha determina o tipo de tráfego permitido no entre a rede VPC e a rede de peering. Você não é possível modificar o tipo de pilha após a criação do gateway. Para outras informações básicas, consulte:

      • Suporte ao IPv6
      • Tipos de pilha e sessões do BGP

   3. Clique em Próxima.

9. Na área Gateway de VPN de peering, faça o seguinte:

   1. No campo Nome do gateway de VPN de peering, digite o nome fornecido pelo administrador de rede de peering. Você pode inserir até 60 caracteres usando letras minúsculas, números e hifens.

   2. No campo Endereço IP da interface de peering 0, insira o gateway de peering. endereço IP externo da interface fornecido pelo administrador da rede de peering.

   3. No campo Endereço IP da interface de peering 1, siga um destes procedimentos:

      • Se o gateway de peering tiver uma segunda interface, insira o endereço IP dela.
      • Se o gateway de peering tiver apenas uma interface, insira o mesmo endereço você inseriu em Endereço IP da interface de peering 0.

      Para mais informações em segundo plano, consulte Configurar o gateway de VPN de peering.

   4. Clique em Próxima.

10. Na área do Cloud Router, faça o seguinte:

    1. No campo ASN do Cloud Router, insira o número do sistema autônomo que você quer atribuir ao Cloud Router, conforme fornecido pela rede de peering administrador. Para mais informações em segundo plano, consulte Criar um Cloud Router.

    2. No campo ASN do roteador de peering, insira o nome do roteador. Número de sistema autônomo, conforme fornecido pelo administrador da rede de peering.

11. Na área do Túnel da VPN 0, faça o seguinte:

    1. No campo Nome do túnel 0, digite até 60 caracteres usando letras minúsculas, números e hifens.

    2. Na área IKE version, selecione uma das seguintes opções:

       • IKEv2 – recomendado: oferece suporte ao tráfego IPv6.
       • IKEv1: use esta configuração se você não planeja permitir o tráfego IPv6 na pelo túnel.

       Para informações contextuais, consulte Configurar túneis de VPN.

    3. No campo Chave pré-compartilhada do IKE, insira a chave que você usa no gateway de peering. configuração da rede, conforme fornecido pelo administrador da rede de peering. Se você não já tem uma chave, clique em Gerar e copiar e atribua chave para o administrador da rede em peering.

12. Na área do Túnel de VPN 1, repita a etapa anterior para aplicar as configurações ao no segundo túnel. Você configura este túnel para redundância e capacidade de processamento.

13. Clique em Salvar.

14. Repita essas etapas para todas as outras redes VPC que você quiser conecte-se à sua rede de peering.

Após a implantação

Depois de implantar a configuração do Google Cloud Setup, siga estas etapas para garantir que a conexão de rede esteja completa:

1. Trabalhe com seu administrador de redes de peering para alinhar essa rede com às suas configurações de conectividade híbrida. Após a implantação, instruções específicas fornecidos para sua rede de peering, incluindo o seguinte:

   • Configurações do túnel.
   • Configurações do Firewall.
   • Configurações de IKE.

2. Valide as conexões de rede que você criou. Por exemplo, é possível usar Network Intelligence Center para verificar a conectividade entre as redes. Para mais informações, consulte a visão geral dos testes de conectividade.

3. Se as necessidades da sua empresa exigirem uma conexão mais robusta, use o Cloud Interconnect. Para mais informações, consulte Como escolher um produto de conectividade de rede.

A seguir

Implante sua configuração, que inclui configurações para hierarquia e acesso, geração de registros, rede e conectividade híbrida.

À medida que você conclui o processo de configuração do Google Cloud , as configurações das tarefas a seguir são compiladas nos arquivos de configuração do Terraform:

• Hierarquia e acesso
• Segurança
• Monitoramento e geração de registros centralizados
• Redes VPC
• Conectividade híbrida

Para aplicar as configurações, revise suas escolhas e escolha um método de implantação.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-organization-admins@YOUR_DOMAIN que você criou na tarefa Usuários e grupos.

O que você fará nesta tarefa

Implante os arquivos de configuração para aplicar as definições de configuração.

Por que recomendamos realizar esta tarefa

É preciso implantar arquivos de configuração para aplicar as configurações selecionadas.

Antes de começar

Você precisa concluir as seguintes tarefas:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.
• Crie ou vincule uma conta de faturamento na tarefa Faturamento.
• Configure sua hierarquia e atribua acesso na tarefa Hierarquia e acesso.

As tarefas a seguir são recomendadas:

• Reforce sua postura de segurança configurando serviços sem custo financeiro na tarefa Segurança.
• Consolide os dados de registro em um único local e monitore todos os projetos em um único projeto na tarefa Centralizar a geração de registros e o monitoramento.
• Configure sua rede inicial nas redes VPC tarefa.
• Conecte redes de peering ao Google Cloud na tarefa Conectividade híbrida

Revise os detalhes da configuração

Faça o seguinte para verificar se as definições de configuração estão completas:

1. Faça login no console Google Cloud como um usuário do grupo gcp-organization-admins@YOUR_DOMAIN que você criou na tarefa Usuários e grupos.

2. Escolha a organização na lista suspensa Selecionar de na parte de cima da página.

3. Acesse Configuração doGoogle Cloud : implantar ou fazer o download.

   Acessar "Implantar" ou "Fazer o download"

4. Revise as definições de configuração selecionadas. Clique em cada uma das seguintes guias e revise suas configurações:

   • Hierarquia e acesso a recursos
   • Segurança
   • Geração de registros e monitoramento
   • Redes VPC
   • Conectividade híbrida

Implantar configuração

Agora que você analisou os detalhes de configuração, use uma das seguintes opções:

• Implantar diretamente do console: use essa opção se você não tiver um fluxo de trabalho de implantação do Terraform e quiser um método de implantação simples. Só é possível implantar usando esse método uma vez.

• Fazer o download e implantar o arquivo do Terraform: use essa opção se você quiser automatizar o gerenciamento de recursos usando um fluxo de trabalho de implantação do Terraform. É possível fazer o download e implantar usando esse método várias vezes.

Implante usando uma das seguintes opções:

A seguir

Escolha um plano de suporte.

Nesta tarefa, você escolhe um plano de suporte que atenda às necessidades da sua empresa.

Quem realiza esta tarefa

Uma pessoa no grupo gcp-organization-admins@YOUR_DOMAIN criado na tarefa Usuários e grupos.

O que você fará nesta tarefa

Escolha um plano de suporte com base nas necessidades da sua empresa.

Por que recomendamos realizar esta tarefa

Um plano de Suporte Premium oferece suporte essencial aos negócios para resolver problemas rapidamente com a ajuda de especialistas do Google Cloud.

Escolher uma opção de suporte

Você recebe automaticamente o Suporte Básico gratuito, que inclui acesso aos seguintes recursos:

• Documentação
• Suporte e discussões da comunidade
• Suporte para problemas de faturamento

Recomendamos que clientes corporativos se inscrevam no Suporte Premium, que oferece suporte técnico individual com engenheiros de suporte do Google. Para comparar os planos de suporte, consulte Google Cloud atendimento ao cliente.

Antes de começar

Realize as tarefas a seguir:

• Crie um usuário superadministrador e sua organização na tarefa Organização.
• Adicione usuários e crie grupos na tarefa Usuários e grupos.
• Atribua papéis do IAM a grupos na tarefa Acesso administrativo.

Ativar suporte

Identifique e selecione uma opção de suporte.

1. Analise e selecione um plano de suporte. Para mais informações, consulte Google Cloud Atendimento ao cliente.

2. Faça login no console Google Cloud com um usuário do grupo gcp-organization-admins@<your-domain>.com que você criou na tarefa Usuários e grupos.

3. Acesse Configuração doGoogle Cloud : suporte.

   Acesse o suporte

4. Revise os detalhes da tarefa e clique em Ver opções de suporte para selecionar uma opção.

5. Depois de configurar a opção de suporte, volte para a página Google Cloud Configuração: suporte e clique em Marcar tarefa como concluída.

A seguir

Agora que você concluiu a Google Cloud configuração, está pronto para estender sua configuração inicial, implantar soluções pré-criadas e migrar seus fluxos de trabalho atuais. Para mais informações, consulte Ampliar a configuração inicial e começar a criar.