Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud de S3NS.

Se usó la API de Cloud Translation para traducir esta página.

Flujo guiado de configuración de Trusted Cloud by S3NS

Antes de ejecutar cargas de trabajo en Trusted Cloud by S3NS, recomendamos que los administradores configuren una base con Trusted Cloud by S3NS Setup. Una base incluye parámetros de configuración fundamentales que te ayudan a organizar, administrar y mantener los recursos deTrusted Cloud by S3NS .

Antes de leer esta guía, consulta Cómo configurar tu organización, ya que no todo el contenido de esta página se aplica a Trusted Cloud. En particular, la guía interactiva basada en la consola de Google Cloud no está disponible en Trusted Cloud, aunque muchas prácticas recomendadas y principios asociados siguen siendo pertinentes. Puedes leer sobre las diferencias más generales entre Trusted Cloudy Google Cloud en Diferencias clave.

En este documento, se describen los pasos y la información general para ayudarte a completar el proceso de configuración, incluidas las siguientes fases:

Selecciona una opción de base: Según la carga de trabajo que desees admitir, selecciona una base de prueba de concepto, producción o seguridad mejorada.
Establece tu organización, tus administradores y tu facturación: Configura el nodo de nivel superior de tu jerarquía, crea usuarios administradores iniciales y asigna acceso, y conecta tu forma de pago.
Crea una arquitectura inicial: Selecciona una carpeta y una estructura de proyecto iniciales, aplica la configuración de seguridad, configura el registro y la supervisión, y establece tu red.
Implementa tu configuración: Las opciones iniciales de arquitectura se compilan en archivos de configuración de Terraform. Puedes realizar implementaciones rápidamente a través de la consola de Trusted Cloud o descargar los archivos para iterar y personalizar con tu propio flujo de trabajo. Después de la implementación, selecciona un plan de asistencia.

Selecciona una opción de Trusted Cloud by S3NS configuración básica

Para comenzar a usar Trusted Cloud by S3NS Setup, selecciona una de las siguientes opciones de base según las necesidades de tu organización:

Prueba de concepto: Admite cargas de trabajo de prueba de concepto teniendo en cuenta la seguridad básica. Esta opción te guía por las tareas de organización y facturación. Por ejemplo, puedes seleccionar esta opción para experimentar con Trusted Cloudantes de asumir un compromiso mayor.
Producción: Admite cargas de trabajo listas para producción teniendo en cuenta la seguridad y la escalabilidad. Esta opción incluye todas las tareas de Trusted Cloud by S3NS configuración de este documento. Por ejemplo, puedes seleccionar esta opción para configurar una base segura y escalable para tu organización.
Seguridad mejorada: Incluye todas las tareas de la base de producción, así como la configuración de Cloud KMS con Autokey en la tarea Seguridad. Por ejemplo, puedes seleccionar esta opción si tu organización está sujeta a requisitos de seguridad estrictos.

Para seleccionar una opción de base, haz lo siguiente:

Ve a Trusted Cloud by S3NS Configuración: Nociones básicas.

Ir a Fundamentos
Haz clic en Iniciar en una de las siguientes opciones:
- Prueba de concepto
- Producción.
- Seguridad mejorada.
Realiza una de las siguientes acciones:
- Si seleccionaste la opción Prueba de concepto, consulta Crea una base para la prueba de concepto.
- Si seleccionaste las opciones Producción o Seguridad mejorada, consulta Establece tu organización, tus administradores y tu facturación.

Crea una base para la prueba de concepto

Una base de prueba de concepto te ayuda a realizar las siguientes acciones:

Tareas de organización y facturación
Crea una implementación liviana que incluya lo siguiente:
- Una carpeta habilitada para aplicaciones en la que puedes definir y administrar aplicaciones.
- Un proyecto de administración que te ayuda a administrar el acceso, la facturación, la observabilidad y otras funciones administrativas de tus aplicaciones
- Un proyecto estándar en el que puedes implementar recursos.
- Grupos de administradores de la organización y de facturación
- Políticas de la organización recomendadas.

Para crear una base de prueba de concepto, haz lo siguiente:

Completa la tarea Organización.

Configura un proveedor de identidad, verifica tu dominio y genera tu organización.
Accede a la consola como el usuario administrador avanzado que creaste en la tarea de Organización.
Selecciona la opción de base de prueba de concepto.
Asegúrate de que esté seleccionada la organización que creaste y haz clic en Continuar con la facturación.

Se crean los grupos gcp-organization-admins y gcp-billing-admins, y se te agrega como miembro de cada uno de ellos.
Selecciona o crea una cuenta de facturación. Para obtener más información, consulta la tarea Facturación.
Haz clic en Continuar con la revisión y la implementación de Foundation.
En la pantalla Revisa e implementa tu configuración, revisa los siguientes parámetros de configuración del borrador:
- Jerarquía de recursos: Revisa la carpeta y los proyectos.
- Políticas de la organización: Revisa la lista de políticas de la organización recomendadas. Para obtener más información, consulta Aplica las políticas de la organización recomendadas.
Haz clic en Implementar. Se implementó la base de tu prueba de concepto.
Para habilitar la facturación en el proyecto de administración, consulta Cómo vincular una cuenta de facturación a tu proyecto de administración.

Para obtener información sobre cómo experimentar y compilar, consulta Compila tu arquitectura de Trusted Cloud by S3NS .

Establece tu organización, tus administradores y tu facturación

Organización

Un recurso de organización en Trusted Cloud by S3NS representa tu empresa y sirve como el nodo de nivel superior de tu jerarquía. Para crear tu organización, debes configurar un servicio de identidad de Google y asociarlo con tu dominio. Cuando completas este proceso, se crea un recurso de organización automáticamente.

Para obtener una descripción general del recurso de la organización, consulta los siguientes vínculos:

Quiénes deben realizar esta tarea

Los siguientes dos administradores realizan esta tarea:

Un administrador de identidades responsable de asignar acceso basado en roles. Debes asignar a esta persona como el administrador avanzado de Cloud Identity. Para obtener más información sobre el usuario administrador avanzado, consulta Roles de administrador precompilados
Un administrador de dominio con acceso al host del dominio de la empresa. Esta persona edita la configuración del dominio, como los parámetros de configuración de DNS, como parte del proceso de verificación del dominio

Qué debes hacer en esta tarea

Si aún no lo haz hecho, configura Cloud Identity, en el que creas una cuenta de usuario administrada para tu usuario de administrador avanzado.
Vincula Cloud Identity a tu dominio (como example.com).
Verifique su dominio. Este proceso crea el nodo raíz de la jerarquía de recursos, conocida como recurso de organización.

Por qué recomendamos esta tarea

Debes configurar lo siguiente como parte de tu base de Trusted Cloud by S3NS :

Un servicio de identidad de Google para administrar identidades de manera centralizada
Un recurso de organización para establecer la raíz de tu jerarquía y el control de acceso

Opciones de Google Identity Services

Usa uno o ambos de los siguientes servicios de identidad de Google para administrar las credenciales de los usuarios de Trusted Cloud by S3NS :

Cloud Identity: Administra usuarios y grupos de manera centralizada. Puedes federar identidades entre Google y otros proveedores de identidad. Para obtener más información, consulta Descripción general de Cloud Identity.
Google Workspace: Administra usuarios y grupos, y proporciona acceso a productos de productividad y colaboración, como Gmail y Google Drive. Para obtener más información, consulta Google Workspace.

Si deseas obtener información detallada sobre la planificación de identidad, consulta Planifica el proceso de integración para tus identidades corporativas.

Antes de comenzar

Para comprender cómo administrar una cuenta de administrador avanzado, consulta las Prácticas recomendadas para cuentas de administrador avanzado.

Configura un proveedor de identidad y verifica tu dominio

Los pasos que debes completar en esta tarea dependen de si eres un cliente nuevo o existente. Identifica la opción que mejor se adapte a tus necesidades:

Cliente nuevo: Configura Cloud Identity, verifica tu dominio y crea tu organización.
Cliente existente de Google Workspace: Usa Google Workspace como proveedor de identidad para los usuarios que acceden a Google Workspace y Trusted Cloud by S3NS. Si planeas crear usuarios que solo accedan a Trusted Cloud by S3NS, habilita Cloud Identity.
Cliente existente de Cloud Identity: Verifica tu dominio, asegúrate de que se haya creado tu organización y confirma que Cloud Identity esté habilitado.

Cliente nuevo

Cliente nuevo: Configura Cloud Identity y crea tu organización

Para crear el recurso de tu organización, primero configura Cloud Identity, que te ayudará a administrar usuarios y grupos que acceden a los Trusted Cloud by S3NS recursos.

En esta tarea, configurarás la edición gratuita de Cloud Identity. Puedes habilitar Cloud Identity Premium después de completar la configuración inicial. Para obtener más información, consulta esta comparación de las funciones y ediciones de Cloud Identity.

Identifica a la persona que actúa como administrador de Cloud Identity (también conocido como administrador avanzado) en tu organización

Registra el nombre de usuario del administrador en el siguiente formato: administrador-nombre@example.com. Por ejemplo, administrador-maria@example.com. Especifica este nombre de usuario cuando crees tu primer usuario administrador.
Para completar el proceso de configuración y crear la cuenta de administrador avanzado, ve a la página de registro de Cloud Identity.

Si recibes un error cuando configuras la cuenta de administrador, consulta el error “La cuenta de Google ya existe”.

Verifica tu dominio y crea el recurso de tu organización

Cloud Identity requiere que verifiques que eres el propietario del dominio. Una vez que se complete la verificación, se creará automáticamente tu Trusted Cloud by S3NS recurso de organización.

Asegúrate de haber creado una cuenta de administrador avanzado cuando configuraste tu proveedor de identidad.
Verifica tu dominio en Cloud Identity. Cuando completes el proceso de verificación, ten en cuenta lo siguiente:
- Cuando se te solicite, no hagas clic en Crear usuarios nuevos. Crearás usuarios nuevos en una tarea posterior.
- Si no puedes registrar tu dominio, consulta No puedo registrarme en un servicio de Google con mi dominio.
- La verificación puede tardar varias horas en procesarse.
Sigue los pasos que se indican en Verifica tu dominio.
Cuando termines los pasos de verificación del dominio, haz clic en Configurar la consola de Trusted Cloud ahora.
Accede a la Trusted Cloud consola como el usuario administrador avanzado con la dirección de correo electrónico que especificaste. Por ejemplo, administrador-maria@example.com.
Ve a Trusted Cloud by S3NS Configuración: Organización. Tu organización se crea automáticamente.

Ir a la organización
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.

Solicita licencias de usuario adicionales de Cloud Identity

La edición gratuita de Cloud Identity incluye una asignación de licencias de usuario. Si deseas ver los pasos para solicitar y ver licencias, consulta Límite de usuarios de Cloud Identity Free Edition.

Cliente de Workspace

Cliente existente de Google Workspace: Verifica tu dominio y habilita Cloud Identity

Si ya eres cliente de Google Workspace, verifica tu dominio, asegúrate de que se cree automáticamente el recurso de tu organización y, de forma opcional, habilita Cloud Identity.

Para verificar tu dominio en Google Workspace, consulta Verifica tu dominio. Cuando completes el proceso de verificación, ten en cuenta lo siguiente:
- Cuando se te solicite, no hagas clic en Crear usuarios nuevos. Crearás usuarios nuevos en una tarea posterior.
- Si no puedes registrar tu dominio, consulta No puedo registrarme en un servicio de Google con mi dominio.
- La verificación puede tardar varias horas en procesarse.
Accede a la consola Trusted Cloud como el usuario administrador avanzado.
Ve a Trusted Cloud by S3NS Configuración: Organización.

Ir a la organización
Selecciona Soy cliente actual de Google Workspace.
Asegúrate de que el nombre de tu organización se muestre en la lista Organización.
Si deseas crear usuarios que accedan a Trusted Cloud by S3NS, pero no reciban licencias de Google Workspace, haz lo siguiente:
1. En Google Workspace, habilita Cloud Identity.
2. Cuando configures Cloud Identity, Inhabilita las licencias automáticas de Google Workspace.

Cliente de Cloud Identity

Cliente de Cloud Identity existente: Verifica tu dominio

Si ya eres cliente de Cloud Identity, asegúrate de que verificaste tu dominio y de que el recurso de tu organización se creó automáticamente.

Para asegurarte de que verificaste tu dominio, consulta Verifica tu dominio. Cuando completes el proceso de verificación, ten en cuenta lo siguiente:
- Cuando se te solicite, no hagas clic en Crear usuarios nuevos. Crearás usuarios nuevos en una tarea posterior.
- Si no puedes registrar tu dominio, consulta No puedo registrarme en un servicio de Google con mi dominio.
- La verificación puede tardar varias horas en procesarse.
Accede a la consola Trusted Cloud como el usuario administrador avanzado.
Ve a Trusted Cloud by S3NS Configuración: Organización.

Ir a la organización
Selecciona Soy cliente actual de Cloud Identity.
Asegúrate de que el nombre de tu organización se muestre en la lista Organización.
Asegúrate de que Cloud Identity esté habilitado en la Consola del administrador de Google: Suscripciones. Accede como un usuario administrador avanzado.

¿Qué sigue?

Crea grupos y agrega miembros

Usuarios y grupos

En esta tarea, configurarás identidades, usuarios y grupos para administrar el acceso a los recursos deTrusted Cloud by S3NS .

Para obtener más información sobre la administración de accesos en Trusted Cloud, consulta los siguientes vínculos:

Descripción general de Identity and Access Management (IAM)
Para conocer las prácticas recomendadas, consulta Usa IAM de forma segura.

Quiénes deben realizar esta tarea

Puedes realizar esta tarea si tienes uno de los siguientes elementos:

El administrador avanzado de Google Workspace o Cloud Identity que creaste en la tarea Organización
Uno de los siguientes roles de IAM:
- Administrador de la organización (roles/resourcemanager.organizationAdmin).
- Administrador de grupos de identidades para la fuerza laboral (roles/iam.workforcePoolAdmin)

Qué debes hacer en esta tarea

Conéctate a Cloud Identity o a tu proveedor de identidad externo (IdP).
Crea grupos y usuarios administradores que realizarán el resto de losTrusted Cloud by S3NS pasos de configuración. Otorgas acceso a estos grupos en una tarea posterior

Por qué recomendamos esta tarea

Esta tarea te ayuda a implementar las siguientes prácticas recomendadas de seguridad:

Principio de privilegio mínimo: Otorga a los usuarios los permisos mínimos necesarios para ejercer su rol y quita el acceso cuando ya no sea necesario.
Control de acceso basado en roles (RBAC): Asigna permisos a grupos de usuarios según su puesto laboral. No agregues permisos a cuentas de usuario individuales.

Puedes usar grupos para aplicar roles de IAM de forma eficiente a una colección de usuarios. Esta práctica te ayuda a simplificar la administración de accesos.

Selecciona un proveedor de identidad

Puedes usar una de las siguientes opciones para administrar usuarios y grupos, y conectarlos a Trusted Cloud by S3NS:

Google Workspace o Cloud Identity: Creas y administras usuarios y grupos en Google Workspace o Cloud Identity. Puedes optar por sincronizar con tu proveedor de identidad externo más adelante.
Tu proveedor de identidad externo, como Microsoft Entra ID o Okta: Creas y administras usuarios y grupos en tu proveedor de identidad externo. Luego, conecta tu proveedor a Trusted Cloud by S3NS para habilitar el inicio de sesión único.

Para seleccionar tu proveedor de identidad, haz lo siguiente:

Accede a la consola de Trusted Cloud como uno de los usuarios que identificaste en Quién realiza esta tarea.
Ve a Trusted Cloud by S3NS Configuración: Usuarios y grupos.

Ir a Usuarios y grupos
Revisa los detalles de la tarea y haz clic en Continuar con la configuración de identidad.
En la página Selecciona tu proveedor de identidad, selecciona una de las siguientes opciones para comenzar una configuración guiada:
- Usa Google para administrar de forma centralizada Trusted Cloud by S3NS usuarios: Usa Google Workspace o Cloud Identity para aprovisionar y administrar usuarios y grupos como administrador avanzado de tu dominio verificado. Más adelante, podrás sincronizar con tu proveedor de identidad externo.
- Microsoft Entra ID (Azure AD): Usa OpenID Connect para configurar una conexión a Microsoft Entra ID.
- Okta: Usa OpenID Connect para configurar una conexión a Okta.
- OpenID Connect: Usa el protocolo OpenID para conectarte a un proveedor de identidad compatible.
- SAML: Usa el protocolo SAML para conectarte a un proveedor de identidad compatible.
- Omite la configuración de un IdP externo por ahora: Si tienes un proveedor de identidad externo y no tienes todo listo para conectarlo a Trusted Cloud by S3NS, puedes crear usuarios y grupos en Google Workspace o Cloud Identity.
Haz clic en Continuar.
Consulta una de las siguientes secciones para conocer los próximos pasos:
- Crea usuarios y grupos en Cloud Identity
- Conecta tu proveedor de identidad externo a Trusted Cloud

Crea usuarios y grupos en Cloud Identity

Si no tienes un proveedor de identidad existente o si aún no tienes todo listo para conectarlo a Trusted Cloud by S3NS, puedes crear y administrar usuarios y grupos en Cloud Identity o Google Workspace. Para crear usuarios y grupos, haz lo siguiente:

Crear un grupo para cada función administrativa recomendada, que incluya la organización, la facturación y la administración de la red
Crea cuentas de usuario administrado para los administradores.
Asignar usuarios a grupos administrativos que correspondan a sus responsabilidades

Antes de comenzar

Busca y migra usuarios que ya tengan Cuentas de Google. Para obtener información detallada, consulta Agrega usuarios con cuentas no administradas.
Debes ser administrador avanzado.

Crea grupos administrativos

Un grupo es una colección de Cuentas de Google y cuentas de servicio que posee un nombre. Cada grupo tiene una dirección de correo electrónico única, como gcp-facturación-administradores@example.com. Puedes crear grupos para administrar usuarios y aplicar roles de IAM a gran escala.

Se recomiendan los siguientes grupos para ayudarte a administrar las funciones principales de tu organización y completar el Trusted Cloud by S3NS proceso de configuración.

Grupo	Descripción
`gcp-organization-admins`	Administra todos los recursos de la organización. Asigna este rol solo a tus usuarios más confiables.
`gcp-billing-admins`	Configura cuentas de facturación y supervisa el uso.
`gcp-network-admins`	Crear redes de nube privada virtual, subredes y reglas de firewall.
`gcp-hybrid-connectivity-admins`	Crea dispositivos de red, como instancias de Cloud VPN y Cloud Router.
`gcp-logging-monitoring-admins`	Usar todas las funciones de Cloud Logging y Cloud Monitoring
`gcp-logging-monitoring-viewers`	Acceso de solo lectura a un subconjunto de registros y datos de supervisión.
`gcp-security-admins`	Establecer y administrar políticas de seguridad para toda la organización, incluida la administración de accesos y las políticas de restricciones de la organización. Consulta el plano de bases empresariales deTrusted Cloud para obtener más información sobre la planificación de tu infraestructura de seguridad de Trusted Cloud .
`gcp-developers`	Diseña, codifica y prueba aplicaciones.
`gcp-devops`	Crea o administra canalizaciones de extremo a extremo que admitan integración y entrega continuas, supervisión y aprovisionamiento de sistemas.

Para crear grupos administrativos, haz lo siguiente:

Selecciona Google como tu proveedor.
En la página Crear grupos, revisa la lista de grupos administrativos recomendados y, luego, realiza una de las siguientes acciones:
- Para crear todos los grupos recomendados, haz clic en Crear todos los grupos.
- Si deseas crear un subconjunto de los grupos recomendados, haz clic en Crear en las filas seleccionadas.
Haga clic en Continuar.

Crea usuarios administradores

Te recomendamos que primero agregues usuarios que completen los procedimientos organizacionales, de redes, de facturación y de configuración. Puedes agregar otros usuarios después de completar el Trusted Cloud by S3NS proceso de configuración.

Para agregar usuarios administrativos que realizan Trusted Cloud by S3NS tareas de configuración, haz lo siguiente:

Migra cuentas personales a cuentas de usuario administradas controladas por Cloud Identity. Para obtener pasos detallados, consulta lo siguiente:
- Migra cuentas personales.
- Agrega usuarios con cuentas no administradas.
Accede a la Consola del administrador de Google con una cuenta de administrador avanzado.
Usa una de las siguientes opciones para agregar usuarios:
- Para agregar usuarios de forma masiva, consulta Agrega o actualiza varios usuarios desde un archivo CSV.
- Para agregar usuarios de forma individual, consulta Agrega una cuenta para un usuario nuevo.
Cuando termines de agregar usuarios, regresa a Trusted Cloud by S3NS Configuración: Usuarios y grupos (Crear usuarios).
Haz clic en Continuar.

Agrega usuarios administradores a grupos

Agrega los usuarios que creaste a los grupos administrativos que corresponden a sus obligaciones.

Asegúrate de crear usuarios administradores.
En Trusted Cloud by S3NS Configuración: Usuarios y grupos (Agregar usuarios a grupos), revisa los detalles del paso.
En cada fila de Grupo, haz lo siguiente:
1. Haz clic en Agregar miembros.
2. Ingresa la dirección de correo electrónico del usuario.
3. En la lista desplegable Rol del grupo, selecciona la configuración de permisos del grupo del usuario. Para obtener más información, consulta Configura quién puede ver, publicar y moderar elementos.
  
  Cada miembro hereda todos los roles de IAM que le otorgas a un grupo, sin importar el rol del grupo que selecciones.
4. Para agregar otro usuario a este grupo, haz clic en Agregar otro miembro y repite estos pasos. Te recomendamos que agregues más de un miembro a cada grupo.
5. Cuando termines de agregar usuarios a este grupo, haz clic en Guardar.
Cuando termines con todos los grupos, haz clic en Confirmar usuarios y grupos.
Si deseas federar tu proveedor de identidad en Trusted Cloud by S3NS, consulta lo siguiente:
- Arquitecturas de referencia: Usa un IdP externo
- Para aprovisionar usuarios automáticamente y habilitar el inicio de sesión único, consulta los siguientes recursos:
  - Federa Cloud Identity con Active Directory.
  - Federa Cloud Identity con Microsoft Entra ID.
- Para sincronizar los usuarios y grupos de Active Directory con Trusted Cloud, usa Directory Sync o Google Cloud Directory Sync.
  - Para obtener una comparación, consulta Compara Directory Sync con GCDS.

Conecta tu proveedor de identidad externo a Trusted Cloud

Puedes usar tu proveedor de identidad existente para crear y administrar grupos y usuarios. Para configurar el inicio de sesión único en Trusted Cloud , debes configurar la federación de identidades de personal con tu proveedor de identidad externo. Para conocer los conceptos clave de este proceso, consulta Workforce Identity Federation.

Para conectar tu proveedor de identidad externo, completa una configuración guiada que incluye los siguientes pasos:

Crea un grupo de personal: Un grupo de Workforce Identity te ayuda a administrar identidades y su acceso a los recursos. Ingresa los siguientes detalles en un formato legible para las personas.
- ID del grupo de personal: Es un identificador único a nivel global que se usa en IAM.
- ID del proveedor: Es un nombre para tu proveedor que los usuarios especificarán cuando accedan a Trusted Cloud.
Configurar Trusted Cloud en tu proveedor: La configuración guiada incluye pasos específicos para tu proveedor.
Ingresa los detalles del grupo de trabajadores de tu proveedor: Para agregar tu proveedor como una autoridad de confianza para confirmar identidades, recupera los detalles de tu proveedor y agrégalos a Trusted Cloud:
Configura un conjunto inicial de grupos administrativos: La configuración guiada incluye pasos específicos para tu proveedor. Asignas grupos en tu proveedor y estableces una conexión a Trusted Cloud. Para obtener una descripción detallada de cada grupo, consulta Crea grupos administrativos.
Asigna usuarios a cada grupo: Te recomendamos que asignes más de un usuario a cada grupo.

Para obtener información general sobre el proceso de conexión de cada proveedor, consulta lo siguiente:

Configura Workforce Identity Federation con Azure AD y permite el acceso de usuarios
Configura la federación de identidades de personal con Okta y permite el acceso de usuarios
Para otros proveedores que admiten OIDC o SAML, consulta Configura Workforce Identity Federation

¿Qué sigue?

Asigna permisos a tus grupos de administradores.

Acceso de administrador

En esta tarea, usarás Identity and Access Management (IAM) para asignar colecciones de permisos a grupos de administradores a nivel de la organización. Este proceso les brinda a los administradores visibilidad y control central sobre cada recurso de la nube que pertenece a tu organización.

Para obtener una descripción general de Identity and Access Management en Trusted Cloud by S3NS, consulta la descripción general de IAM.

Quiénes deben realizar esta tarea

Para llevar a cabo esta tarea, debes ser uno de los siguientes usuarios:

Un usuario administrador avanzado
Un usuario con el rol de Administrador de la organización (roles/resourcemanager.organizationAdmin).

Qué debes hacer en esta tarea

Revisa una lista de roles predeterminados asignados a cada grupo de administradores que creaste en la tarea Usuarios y grupos.
Si deseas personalizar un grupo, puedes hacer lo siguiente:
- Agregar o quitar roles
- Si no planeas usar un grupo, puedes borrarlo

Por qué recomendamos esta tarea

Debes otorgar de manera explícita todos los roles administrativos de tu organización. Esta tarea te ayuda a implementar las siguientes prácticas recomendadas de seguridad:

Principio de privilegio mínimo: Otorga a los usuarios los permisos mínimos necesarios para realizar sus trabajos y quita el acceso cuando ya no sea necesario.
Control de acceso basado en roles (RBAC): Asigna permisos a grupos de usuarios según sus trabajos. No se otorgan roles a cuentas de usuario individuales.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.

Otorga acceso a los grupos de administradores

Para otorgar el acceso adecuado a cada grupo de administradores que creaste en la tarea Usuarios y grupos, revisa los roles predeterminadas que se asignan a cada grupo. Puedes agregar o quitar roles para personalizar el acceso de cada grupo.

Asegúrate de haber accedido a la Trusted Cloud consola como usuario administrador avanzado.

Como alternativa, puedes acceder como un usuario con el rol de administrador de la organización (roles/resourcemanager.organizationAdmin).
Ve a Trusted Cloud by S3NS Configuración: Acceso de administrador.

Ir a Acceso de administrador
Selecciona el nombre de tu organización de la lista desplegable Seleccionar de en la parte superior de la página.
Revisa la descripción general de la tarea y haz clic en Continuar con el acceso de administrador.
Revisa los grupos en la columna Grupo (principal) que creaste en la tarea Usuarios y grupos.

Nota: Si no planeas usar un grupo, puedes borrarlo.
Para cada grupo, revisa los roles de IAM predeterminados. Puedes agregar o quitar roles asignados a cada grupo para que se adapten a las necesidades únicas de tu organización.

Cada rol contiene varios permisos que permiten a los usuarios realizar tareas relevantes. Para obtener más información sobre los permisos de cada rol, consulta Referencia de las roles básicos y predefinidos de IAM.
Cuando estés listo para asignar roles a cada grupo, haz clic en Guardar y otorgar acceso.

¿Qué sigue?

Configura la facturación

Facturación

En esta tarea, configurarás una cuenta de facturación para pagar los recursos de Trusted Cloud. Para hacerlo, debes asociar una de las siguientes opciones a tu organización.

Una cuenta de Facturación de Cloud existente. Si no tienes acceso a la cuenta, puedes solicitar acceso al administrador de tu cuenta de facturación
Una cuenta de Facturación de Cloud nueva

Para obtener más información sobre la facturación, consulta la Documentación de Facturación de Cloud.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-billing-admins@YOUR_DOMAIN que creaste en la tarea Usuarios y grupos.

Qué debes hacer en esta tarea

Crear o usar una cuenta de Facturación de Cloud existente con servicio automático
Decidir si pasas de una cuenta de servicio automático a una cuenta facturada
Configurar una cuenta de Facturación de Cloud y una forma de pago

Por qué recomendamos esta tarea

Las cuentas de Facturación de Cloud se vinculan a uno o más Trusted Cloud proyectos y se usan para pagar los recursos que usas, como máquinas virtuales, redes y almacenamiento.

Determina el tipo de cuenta de facturación

La cuenta de facturación que asocias a tu organización es uno de los siguientes tipos.

Con servicio automático (o en línea): Regístrate en línea con una tarjeta de crédito o débito. Recomendamos esta opción si tienes una empresa pequeña o una persona física. Cuando te registras en línea para una cuenta de facturación, tu cuenta se configura automáticamente como un tipo de cuenta con servicio automático.
Con facturación (o sin conexión): Si ya tienes una cuenta de facturación con servicio automático, es posible que cumplas con los requisitos para solicitar la facturación si tu empresa reúne los requisitos de elegibilidad.

No puedes crear una cuenta de facturación en línea, pero puedes aplicarla para convertir una cuenta con servicio automático en una cuenta con facturación.

Para obtener más información, consulta Tipos de cuentas de Facturación de Cloud.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.

Configura la cuenta de facturación

Ahora que elegiste un tipo de cuenta de facturación, asocia la cuenta de facturación a tu organización. Cuando completes este proceso, podrás usar tu cuenta de facturación para pagar los recursos de Trusted Cloud .

Accede a la consola Trusted Cloud como un usuario del grupogcp-billing-admins@YOUR_DOMAIN.
Ve a Trusted Cloud by S3NS Configuración: Facturación.

Ir a Facturación
Revisa la descripción general de la tarea y, luego, haz clic en Continuar con la facturación.
Selecciona una de las siguientes opciones de cuenta de facturación:
Crear una cuenta nueva
Si tu organización no tiene una cuenta existente, crea una nueva.
1. Selecciona Quiero crear una cuenta de facturación nueva.
2. Haga clic en Continuar.
3. Selecciona el tipo de cuenta de facturación que deseas crear. Para obtener pasos detallados, consulta lo siguiente:
  - Para crear una nueva cuenta con servicio automático, consulta Crea una cuenta de Facturación de Cloud con servicio automático.
  - Para realizar la transición de una cuenta con servicio automático a una con facturación, consulta Solicita la facturación mensual.
4. Verifica que se haya creado la cuenta de facturación:
  1. Si creaste una cuenta de facturación, espera hasta 5 días hábiles para recibir la confirmación por correo electrónico.
  2. Ir a la página de Facturación.
  3. Selecciona tu organización en la lista Seleccionar una opción en la parte superior de la página. Si la cuenta se creó de forma correcta, aparecerá en la lista de cuentas de facturación.
Usa tu cuenta existente
Si tienes una cuenta de facturación existente, puedes asociarla con tu organización.
1. Selecciona Encontré una cuenta de facturación en esta lista que me gustaría usar para completar los pasos de configuración.
2. En la lista desplegable Facturación, selecciona la cuenta que deseas asociar con tu organización.
3. Haga clic en Continuar.
4. Revisa los detalles y haz clic en Confirmar cuenta de facturación.
Usa la cuenta de otro usuario
Si otro usuario tiene acceso a una cuenta de facturación existente, puedes pedirle que asocie la cuenta de facturación con tu organización o que te otorgue acceso para completar la asociación.
1. Selecciona Quiero usar una cuenta de facturación administrada por otra cuenta de usuario de Google.
2. Haga clic en Continuar.
3. Ingresa la dirección de correo electrónico del administrador de la cuenta de facturación.
4. Haz clic en Comunicarse con el administrador.
5. Espera a que el administrador de la cuenta de facturación se comunique contigo para darte más instrucciones.

¿Qué sigue?

Crea una jerarquía de recursos y asigna acceso.

Crea una arquitectura inicial

Jerarquía y acceso

En esta tarea, configurarás la jerarquía de recursos a través de la creación y la asignación del acceso a los siguientes recursos:

Carpetas

Proporcionan un mecanismo de agrupación y límites de aislamiento entre proyectos. Por ejemplo, las carpetas pueden representar departamentos de tu organización, como finanzas o venta minorista.

Las carpetas de entorno, como Production, en tu jerarquía de recursos son carpetas habilitadas para apps. Puedes definir y administrar aplicaciones en estas carpetas.

Proyectos

Contienen tus Trusted Cloud recursos, como máquinas virtuales, bases de datos y buckets de almacenamiento. Cada carpeta habilitada para apps también contiene un proyecto de administración, que te ayuda a administrar el acceso, la facturación, la observabilidad y otras funciones administrativas de tus aplicaciones.

Si deseas obtener consideraciones de diseño y prácticas recomendadas para organizar tus recursos en proyectos, consulta Elige una jerarquía de recursos para tu zona de destino de Trusted Cloud .

Quiénes deben realizar esta tarea

Una persona del grupo gcp-organization-admins@YOUR_DOMAIN que creaste en la tarea Usuarios y grupos puede realizar esta tarea.

Qué debes hacer en esta tarea

Crea una estructura de jerarquía inicial que incluya carpetas y proyectos.
Configura políticas de IAM para controlar el acceso a tus carpetas y proyectos.

Por qué recomendamos esta tarea

Crear una estructura para carpetas y proyectos te ayuda a administrar losTrusted Cloud recursos y las aplicaciones. Puedes usar la estructura para asignar acceso según la forma en que opera tu organización. Por ejemplo, puedes organizar y proporcionar acceso según la colección única de regiones geográficas, estructuras de subsidiarias o marcos de trabajo de responsabilidad de tu organización.

Planifica la jerarquía de recursos

La jerarquía de recursos te ayuda a crear límites y compartir recursos en tu organización para tareas comunes. Creas tu jerarquía usando una de las siguientes configuraciones iniciales, según la estructura de tu organización:

Simple y orientada al entorno:
- Aísla entornos como Non-production y Production.
- Implementa políticas, requisitos regulatorios y controles de acceso distintos en cada carpeta de entorno
- Es excelente para empresas pequeñas con entornos centralizados.
Simple y orientada al equipo:
- Aísla equipos como Development y QA.
- Aísla el acceso a los recursos usando carpetas del entorno secundario en cada carpeta del equipo.
- Es excelente para empresas pequeñas con equipos autónomos.
Orientada al entorno:
- Prioriza el aislamiento de entornos como Non-production y Production.
- En cada carpeta de entorno, aísla las unidades de negocios.
- En cada unidad de negocios, aísla a los equipos.
- Es excelente para grandes empresas con entornos centralizados.
Orientada a las unidades de negocios:
- Prioriza el aislamiento de las unidades de negocios, como Human Resources y Engineering, para garantizar que los usuarios solo puedan acceder a los recursos y datos que necesitan.
- En cada unidad de negocios, aísla a los equipos.
- En cada equipo, aísla los entornos.
- Es excelente para grandes empresas con equipos autónomos.

Cada configuración tiene una carpeta Common para los proyectos que contienen recursos compartidos. Esto puede incluir proyectos de registro y supervisión.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Crea o vincula una cuenta de facturación en la tarea Facturación.

Configura carpetas y proyectos iniciales

Selecciona la jerarquía de recursos que representa la estructura de la organización.

Para configurar carpetas y proyectos iniciales, haz lo siguiente:

Accede a la consola de Trusted Cloud como un usuario del grupogcp-organization-admins@YOUR_DOMAINque creaste en la tarea Usuarios y grupos.
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Trusted Cloud by S3NS Configuración: Jerarquía y acceso.

Ir a Jerarquía y acceso
Revisa la descripción general de la tarea y, luego, haz clic en Iniciar junto a Jerarquía de recursos.
Selecciona una configuración inicial.
Haz clic en Continuar y configurar.
Personaliza la jerarquía de recursos para que refleje la estructura organizativa. Por ejemplo, puedes personalizar lo siguiente:
- Nombres de carpetas
- Proyectos de servicio para cada equipo. Para otorgar acceso a los proyectos de servicio, puedes crear lo siguiente:
  - Un grupo para cada proyecto de servicio
  - Usuarios de cada grupo
  Para obtener una descripción general de los proyectos de servicio, consulta VPC compartida.
- Proyectos necesarios para la supervisión, el registro y las redes.
- Proyectos personalizados
Haga clic en Continuar.
Otorga acceso a tus carpetas y proyectos.

Otorga acceso a tus carpetas y proyectos

En la tarea Acceso de administrador, otorgaste acceso de administrador a grupos a nivel de la organización. En esta tarea, configurarás el acceso a los grupos que interactúan con tus carpetas y proyectos recién configurados.

Los proyectos, las carpetas y las organizaciones tienen sus propias políticas de IAM, que se heredan a través de la jerarquía de recursos:

Organización: Las políticas se aplican a todas las carpetas y proyectos de la organización.
Carpeta: Las políticas se aplican a los proyectos y a otras carpetas dentro de la carpeta.
Proyecto: Las políticas se aplican solo a ese proyecto y sus recursos.

Actualiza las políticas de IAM para tus carpetas y proyectos:

En la sección Configura el control de acceso de Jerarquía y acceso, otorga a tus grupos acceso a tus carpetas y proyectos:
1. En la tabla, revisa la lista de roles de IAM recomendados que se otorgan a cada grupo para cada recurso.
2. Si deseas modificar los roles asignados a cada grupo, haz clic en Editar en la fila deseada.
  
  Para obtener más información sobre cada rol, consulta Funciones básicas y predefinidas de IAM.
Haga clic en Continuar.
Revisa los cambios y haz clic en Confirmar configuración de borrador.

Configura la facturación de los proyectos de administración

Después de implementar la configuración, debes configurar la facturación para cada proyecto de administración. La cuenta de facturación es necesaria para pagar las APIs que tienen costos asociados. Para obtener más información, consulta Cómo vincular una cuenta de facturación al proyecto de administración.

¿Qué sigue?

Configura los parámetros de seguridad.

Seguridad

En esta tarea, configurarás las opciones de seguridad y los productos para proteger tu organización.

Quiénes deben realizar esta tarea

Debes tener uno de los siguientes elementos para completar esta tarea:

El rol de Administrador de la organización (roles/resourcemanager.organizationAdmin)
La membresía en uno de los siguientes grupos que creaste en la tarea Usuarios y grupos:
- gcp-organization-admins@<your-domain>.com
- gcp-security-admins@<your-domain>.com

Qué debes hacer en esta tarea

Aplica las políticas de la organización recomendadas según las siguientes categorías:

Administración de accesos.
Comportamiento de la cuenta de servicio.
Configuración de la red de VPC.
Cloud KMS con Autokey: Solo está disponible para la opción de base de seguridad mejorada.

También debes habilitar Security Command Center para centralizar los informes de vulnerabilidades y amenazas.

Por qué recomendamos esta tarea

Aplicar las políticas de la organización recomendadas te ayuda a limitar las acciones del usuario que no se alinean con tu postura de seguridad.

Habilitar Security Command Center te ayuda a crear una ubicación central para analizar vulnerabilidades y amenazas.

Aplicar y automatizar Cloud KMS con Autokey te ayuda a usar claves de encriptación administradas por el cliente (CMEK) de forma coherente para proteger tus recursos.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.

Inicia la tarea de seguridad

Accede a la consola Trusted Cloud con un usuario que identificaste enQuién realiza esta tarea.
Elige tu organización en el menú desplegable Elegir desde en la parte superior de la página.
Ve a Trusted Cloud by S3NS Configuración: Seguridad.

Ir a Seguridad
Revisa la descripción general de la tarea y, luego, haz clic en Iniciar seguridad.

Centraliza los informes de vulnerabilidades y amenazas

Para centralizar los servicios de informes de vulnerabilidades y amenazas, habilita Security Command Center. Esto te ayuda a fortalecer tu postura de seguridad y mitigar los riesgos. Para obtener más información, consulta Descripción general de Security Command Center.

En la página Trusted Cloud by S3NS Configuración: Seguridad, asegúrate de que la casilla de verificación Habilitar Security Command Center: Estándar esté habilitada.

Esta tarea habilita el nivel Estándar gratuito. Puedes actualizar a la versión Premium más adelante. Para obtener más información, consulta Niveles de servicio de Security Command Center.
Haz clic en Aplicar configuración de SCC.

Aplica las políticas de la organización recomendadas

Las políticas de la organización se aplican a nivel de la organización y se heredan a través de carpetas y proyectos. En esta tarea, revisa y aplica la lista de políticas recomendadas. Puedes cambiar las políticas de la organización en cualquier momento. Para obtener más información, consulta Introducción al Servicio de políticas de la organización.

Revisa la lista de políticas de la organización recomendadas. Si no quieres aplicar una política recomendada, haz clic en su casilla de verificación para quitarla.

Para obtener una explicación detallada de cada política de la organización, consulta Restricciones de las políticas de la organización.
Haz clic en Confirmar parámetros de configuración de las políticas de la organización.

Las políticas de la organización que selecciones se aplicarán cuando implementes la configuración en una tarea posterior.

Aplica y automatiza claves de encriptación del cliente

Cloud KMS con Autokey permite que los desarrolladores de tu organización creen claves de encriptación simétricas cuando sea necesario para proteger tus recursos de Trusted Cloud. Puedes configurar Cloud KMS con Autokey si seleccionaste la opción de base Seguridad mejorada.

Revisa la descripción de Cloud KMS con Autokey y, luego, en Usa Cloud KMS con Autokey y aplica políticas de la organización, haz clic en Sí (recomendado).
Haz clic en Confirmar la configuración de la administración de claves.

Las siguientes configuraciones se aplican cuando implementas tu configuración en una tarea posterior:

Configura un proyecto de Autokey en cada carpeta de entorno de tu jerarquía.
Habilita Cloud KMS con Autokey en las carpetas del entorno.
Requiere el uso de claves de encriptación administradas por el cliente (CMEK) para los recursos creados en cada carpeta de entorno.
Restringe cada carpeta para que solo use claves de Cloud KMS en el proyecto de Autokey para esa carpeta.

¿Qué sigue?

Registro y supervisión central

Registro y supervisión centralizados

En esta tarea, configurarás lo siguiente:

Registro centralizado para ayudarte a analizar y obtener información de los registros de todos los proyectos de tu organización
Supervisión centralizada para ayudarte a visualizar métricas en todos los proyectos creados en esta configuración

Quiénes deben realizar esta tarea

Para configurar el registro y la supervisión, debes tener uno de los siguientes elementos:

Los roles de administrador de Logging (roles/logging.admin) y administrador de Monitoring (roles/monitoring.admin)
La membresía en uno de los siguientes grupos que creaste en la tarea Usuarios y grupos:
- gcp-organization-admins@YOUR_DOMAIN
- gcp-security-admins@YOUR_DOMAIN
- gcp-logging-monitoring-admins@YOUR_DOMAIN

Qué debes hacer en esta tarea

En esta tarea, harás lo siguiente:

Organiza de forma central los registros que se crean en los proyectos de toda la organización para ayudar con la seguridad, la auditoría y el cumplimiento.
Configurarás un proyecto de supervisión central para tener acceso a las métricas de supervisión en los proyectos que creaste en esta configuración.

Por qué recomendamos esta tarea

El almacenamiento y la retención de registros simplifican el análisis y conservan tu registro de auditoría. La supervisión centralizada te permite ver las métricas en un solo lugar.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Crea o vincula una cuenta de facturación en la tarea Facturación.
Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.

Organiza el registro de manera centralizada

Cloud Logging te ayuda a almacenar, buscar, analizar, supervisar los datos de registro y eventos de Trusted Cloud, así como a enviar alertas sobre ellos. También puedes recopilar y procesar registros de tus aplicaciones, recursos locales y otras nubes. Te recomendamos usar Cloud Logging para consolidar los registros en un solo bucket de registros.

Para obtener más información, consulta lo siguiente:

Para obtener una descripción general, consulta Descripción general del enrutamiento y el almacenamiento.
Para obtener información sobre el registro de recursos locales, consulta Registra recursos locales con BindPlane.
Si deseas conocer los pasos para cambiar el filtro de registro después de implementar tu configuración, consulta Filtros de inclusión.

Para almacenar tus datos de registro en un bucket de registro central, haz lo siguiente:

Accede a la consola Trusted Cloud como un usuario que identificaste enQuién realiza esta tarea.
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Trusted Cloud by S3NS Configuración: Registro y supervisión centralizados.

Ir a Centralizar los registros y la supervisión
Revisa la descripción general de la tarea y haz clic en Iniciar el registro y la supervisión centralizados.
Revisa los detalles de la tarea.
Para enrutar registros a un bucket de registros central, asegúrate de que la opción Almacenar registros de auditoría a nivel de la organización en un bucket de registros esté seleccionada.
Expande Enruta registros a un bucket de registros de Logging y haz lo siguiente:
1. En el campo Nombre del bucket de registros, ingresa un nombre para el bucket de registro central.
2. En la lista Región del bucket de registros, selecciona la región en la que se almacenan los datos de registros.
  
  Para obtener más información, consulta Ubicaciones de los buckets de registros.
3. De forma predeterminada, los registros se almacenan durante 30 días. Recomendamos que las grandes empresas almacenen registros durante 365 días. Para personalizar el período de retención, ingresa la cantidad de días en el campo Período de retención.
  
  Los registros almacenados por más de 30 días generan un costo de retención. Para obtener más información, consulta Resumen de precios de Cloud Logging.

Exporta registros fuera de Trusted Cloud by S3NS

Si deseas exportar registros a un destino fuera de Trusted Cloud by S3NS, puedes exportar mediante Pub/Sub. Por ejemplo, si usas varios proveedores de servicios en la nube, puedes decidir exportar datos de registro de cada proveedor de servicios en la nube a una herramienta de terceros.

Puedes filtrar los registros que exportas para satisfacer tus necesidades y requisitos únicos. Por ejemplo, puedes optar por limitar los tipos de registros que exportas para controlar los costos o reducir el ruido en los datos.

Para obtener más información sobre la exportación de registros, consulta lo siguiente:

Para obtener una descripción general, consulta ¿Qué es Pub/Sub?
Para obtener información sobre los precios, consulta lo siguiente:
- Precios de Pub/Sub.
- Prácticas recomendadas para los precios de Registros de auditoría de Cloud
Para obtener información sobre la transmisión a Splunk, consulta Transmite registros de Trusted Cloud by S3NS a Splunk.

Para exportar registros, haz lo siguiente:

Haz clic en Transmitir tus registros a otras aplicaciones, otros repositorios o a terceros.
En el campo ID del tema de Pub/Sub, ingresa un identificador para el tema que contiene tus registros exportados. Para obtener información sobre cómo suscribirte a un tema, consulta Suscripciones de extracción.
Para seleccionar los registros que deseas exportar, haz lo siguiente:
1. Para obtener información sobre cada tipo de registro, consulta Información sobre los Registros de auditoría de Cloud.
2. Para evitar que se exporte uno de los siguientes registros recomendados, haz clic en la lista Filtro de inclusión y desmarca la casilla de verificación del registro:
  - Registros de auditoría de Cloud: actividad del administrador: Llamadas a la API o acciones que modifican la configuración o los metadatos de los recursos.
  - Registros de auditoría de Cloud: Evento del sistema: Trusted Cloud by S3NS acciones que modifican la configuración de los recursos.
  - Transparencia de acceso: Acciones que realizan los empleados de Google cuando acceden al contenido del cliente.
3. Selecciona los siguientes registros adicionales para exportarlos:
  - Registros de auditoría de Cloud: acceso a los datos: Llamadas a la API que leen la configuración o los metadatos de los recursos, y llamadas a la API controladas por el usuario que crean, modifican o leen datos de los recursos que proporciona el usuario.
  - Registros de auditoría de Cloud: Política denegada: Trusted Cloud by S3NS Rechazos de acceso al servicio a cuentas de usuario o de servicio, según los incumplimientos de la política de seguridad.
4. Los registros que selecciones en este paso solo se exportarán si están habilitados en tus proyectos o recursos. Si deseas conocer los pasos para cambiar el filtro de registro de tus proyectos y recursos después de implementar la configuración, consulta Filtros de inclusión.
5. Haz clic en Aceptar.
Haz clic en Continuar con Monitoring.

Configura la supervisión centralizada

La supervisión centralizada te ayuda a analizar el estado, el rendimiento y la seguridad del sistema en varios proyectos. En esta tarea, agregarás los proyectos que creaste durante la tarea Hierarchy and access a un proyecto de alcance. Luego, puedes supervisar esos proyectos desde el proyecto de permiso. Después de completar la configuración de Cloud, puedes configurar otros proyectos para que los supervise el proyecto de alcance.

Para obtener más información, consulta Descripción general de los permisos de métricas.

Para configurar la supervisión centralizada, haz lo siguiente:

Para configurar los proyectos creados durante la Trusted Cloud by S3NS configuración para la supervisión central, asegúrate de que esté seleccionada la opción Usar supervisión central.

Los proyectos que creaste durante la Trusted Cloud by S3NS configuración se agregan al permiso de métricas del proyecto de permisos que se indica en la lista.
Cloud Monitoring incluye una asignación mensual gratuita. Para obtener más información, consulta el resumen de precios de Cloud Monitoring.
Para conocer los pasos para configurar proyectos que creas fuera de Trusted Cloud by S3NS Setup, consulta lo siguiente:
- Configura un permiso de métricas.
- Límites de proyectos supervisados

Completa la configuración

Para completar la tarea de registro y supervisión, haz lo siguiente:

Haz clic en Confirmar configuración.
Revisa los detalles de la configuración de registro y supervisión. La configuración no se implementará hasta que la implementes en una tarea posterior.

¿Qué sigue?

Configura tu red inicial.

Redes de VPC

En esta tarea, configurarás tu red inicial, que puedes escalar a medida que cambian tus necesidades.

Arquitectura de nube privada virtual

Una red de nube privada virtual (VPC) es una versión virtual de una red física que se implementa dentro de la red de producción de Google. Una red de VPC es un recurso global que consta de subredes regionales.

Las redes de VPC proporcionan capacidades de redes a tus Trusted Cloud recursos, como las instancias de máquina virtual de Compute Engine, las instancias de entorno flexible de App Engine y los contenedores de GKE.

La VPC compartida conecta recursos de varios proyectos a una red de VPC común para que puedan comunicarse entre sí a través de las direcciones IP internas de la red. En el siguiente diagrama, se muestra la arquitectura básica de una red de VPC compartida con proyectos de servicio adjuntos.

Arquitectura de VPC compartida

Cuando usas una VPC compartida, debes designar un proyecto host y adjuntarle uno o más proyectos de servicio. Las redes de nube privada virtual en el proyecto host se conocen como redes de VPC compartida.

En el diagrama de ejemplo, se incluyen proyectos host de producción y no producción, que contienen una red de VPC compartida. Puedes usar un proyecto host para administrar de forma centralizada lo siguiente:

Rutas
Firewalls
Conexiones a VPN
Subredes

Un proyecto de servicio es cualquier proyecto que se haya adjuntado a un proyecto host. Puedes compartir subredes, incluidos los rangos secundarios, entre los proyectos host y de servicio.

En esta arquitectura, cada red de VPC compartida contiene subredes públicas y privadas:

Las instancias orientadas a Internet pueden usar la subred pública para la conectividad externa.
Las instancias internas que no son direcciones IP públicas asignadas pueden usar la subred privada.

En esta tarea, crearás una configuración de red inicial basada en el diagrama de ejemplo.

Quiénes deben realizar esta tarea

Necesitas una de las siguientes opciones para realizar esta tarea:

El rol roles/compute.networkAdmin
La inclusión en el grupo gcp-network-admins@YOUR_DOMAIN que creaste en la tarea Usuarios y grupos

Qué debes hacer en esta tarea

Crea una configuración de red inicial, que incluye lo siguiente:

Crear varios proyectos host para reflejar tus entornos de desarrollo
Crear una red de VPC compartida en cada proyecto host para permitir que recursos distintos compartan la misma red
Crear subredes distintas en cada red de VPC compartida para proporcionar acceso a la red a los proyectos de servicio

Por qué recomendamos esta tarea

Los equipos distintos pueden usar la VPC compartida para conectarse a una red de VPC común administrada de forma central.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Crea o vincula una cuenta de facturación en la tarea Facturación.
Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.

Configura la arquitectura de tu red

Crea la configuración inicial de la red con dos proyectos host para segmentar las cargas de trabajo de producción y no producción. Cada proyecto host contiene una red de VPC compartida, que pueden usar varios proyectos de servicio. Debes configurar los detalles de la red y, luego, implementar un archivo de configuración en una tarea posterior.

Para configurar tu red inicial, haz lo siguiente:

Accede a la consola de Trusted Cloud como un usuario del grupogcp-organization-admins@YOUR_DOMAINque creaste en la tarea Usuarios y grupos.
Selecciona tu organización en la lista desplegable Seleccionar una organización en la parte superior de la página.
Ve a Trusted Cloud by S3NS Configuración: Redes.

Ir a Redes
Revisa la arquitectura de red predeterminada.
Para editar el nombre de la red, haz lo siguiente:
1. Haz clic en Acciones.
2. Selecciona Editar nombre de red.
3. En el campo Nombre de la red, ingresa letras minúsculas, números o guiones. El nombre de la red no puede superar los 25 caracteres.
4. Haz clic en Guardar.

Modifica los detalles del firewall

Las reglas predeterminadas de firewall del proyecto host se basan en las prácticas recomendadas. Puedes inhabilitar una o más de las reglas de firewall predeterminadas. Para obtener información general sobre las reglas de firewall, consulta Reglas de firewall de VPC.

Para modificar la configuración del firewall, haz lo siguiente:

Haz clic en Acciones.
Selecciona Editar reglas de firewall.
Para obtener información detallada sobre cada regla de firewall predeterminada, consulta Reglas prepropagadas en la red predeterminada.
Para inhabilitar una regla de firewall, desmarca la casilla de verificación correspondiente.
Para inhabilitar el registro de reglas de firewall, haz clic en Desactivar.

De forma predeterminada, el tráfico desde y hacia las instancias de Compute Engine se registra para auditoría. Este proceso genera costos. Para obtener más información, consulta Registro de reglas de firewall.
Haz clic en Guardar.

Modifica los detalles de la subred

Cada red de VPC contiene al menos una subred, que es un recurso regional con un rango de direcciones IP asociado. En esta configuración multirregional, debes tener al menos dos subredes con rangos de IP que no se superpongan.

Para obtener más información, consulta Subredes.

Cada subred se configura con las prácticas recomendadas. Si deseas personalizar cada subred, haz lo siguiente:

Haz clic en Acciones.
Selecciona Editar subredes.
En el campo Nombre, ingresa letras minúsculas, números o guiones. El nombre de la subred no puede superar los 25 caracteres.
En el menú desplegable Región, selecciona una región que esté cerca de tu punto de servicio.

Recomendamos una región diferente para cada subred. No puedes cambiar la región después de implementar tu configuración. Si deseas obtener información para elegir una región, consulta Recursos regionales.
En el campo Rango de direcciones IP, ingresa un rango en notación CIDR, por ejemplo, 10.0.0.0/24.

El rango que ingresas no debe superponerse con otras subredes de esta red. Para obtener información sobre los rangos válidos, consulta Rangos de subredes IPv4.

Nota: Para expandir el rango IPv4 principal de una subred existente, reduce la longitud del prefijo. Por ejemplo, para expandir 10.0.0.0/24, usa 10.0.0.0/20.
Repite estos pasos para la subred 2.
Para configurar subredes adicionales en esta red, haz clic en Agregar subred y repite estos pasos.
Haz clic en Guardar.

Tus subredes se configuran automáticamente según las prácticas recomendadas. Si deseas modificar la configuración, en la página Trusted Cloud by S3NS Configuración: Redes de VPC, haz lo siguiente:

Para desactivar los registros de flujo de VPC, en la columna Registros de flujo, selecciona Desactivados.

Cuando los registros de flujo están activados, cada subred registra los flujos de red que puedes analizar para seguridad, optimización de gastos y otros fines. Para obtener más información, consulta Usa los registros de flujo de VPC.

Los registros de flujo de VPC generan costos. Para obtener más información, consulta Precios de la nube privada virtual.
Para desactivar el Acceso privado a Google, selecciona Desactivado en la columna Acceso privado.

Cuando el Acceso privado a Google está activado, las instancias de VM que no tienen direcciones IP externas pueden acceder a los servicios y las APIs de Google. Para obtener más información, consulta Acceso privado a Google.
Para activar Cloud NAT, en la columna Cloud NAT, selecciona Activado.

Cuando Cloud NAT está activado, ciertos recursos pueden crear conexiones salientes a Internet. Para obtener más información, consulta Descripción general de Cloud NAT.

Cloud NAT genera costos. Para obtener más información, consulta Precios de la nube privada virtual.
Haz clic en Continuar con la vinculación de proyectos de servicio.

Vincula proyectos de servicio a tus proyectos host

Un proyecto de servicio es cualquier proyecto que se haya adjuntado a un proyecto host. Este adjunto permite que el proyecto de servicio participe en la VPC compartida. Diferentes departamentos o equipos pueden operar y administrar cada proyecto de servicio para crear una separación de responsabilidades.

Para obtener más información sobre cómo conectar varios proyectos a una red de VPC común, consulta Descripción general de la VPC compartida.

Para vincular proyectos de servicio a tus proyectos host y completar la configuración, haz lo siguiente:

En cada subred de la tabla Redes de VPC compartidas, selecciona un proyecto de servicio para conectarte. Para hacerlo, selecciona una opción en el menú desplegable Seleccionar un proyecto en la columna Proyecto de servicio.

Puedes conectar un proyecto de servicio a varias subredes.
Haz clic en Continuar con la revisión.
Revisa tu configuración y realiza los cambios.

Puedes realizar modificaciones hasta que implementes el archivo de configuración.
Haz clic en Confirmar configuración de borrador. La configuración de red se agrega a tu archivo de configuración.

No se implementará la red hasta que implementes el archivo de configuración en una tarea posterior.

¿Qué sigue?

Configura la conectividad híbrida, que te ayuda a conectar servidores locales o cualquier otro proveedor de servicios en la nube a Trusted Cloud by S3NS.

Conectividad híbrida

En esta tarea, establecerás conexiones entre tus redes de intercambio de tráfico (locales o en otra nube) y tus redes de Trusted Cloud by S3NS , como se muestra en el siguiente diagrama.

Redes de VPC compartidas con regiones individuales que están conectadas a una red de intercambio de tráfico a través de túneles VPN con alta disponibilidad

Este proceso crea una VPN con alta disponibilidad, que es una solución de alta disponibilidad (HA) que puedes crear con rapidez para transmitir datos a través de la Internet pública.

Después de implementar tu configuración de Trusted Cloud , te recomendamos crear una conexión más sólida con Cloud Interconnect.

Para obtener más información sobre las conexiones entre redes de intercambio de tráfico y Trusted Cloud by S3NS, consulta los siguientes recursos:

Quiénes deben realizar esta tarea

Debes tener el rol Administrador de la organización (roles/resourcemanager.organizationAdmin).

Qué debes hacer en esta tarea

Crea conexiones de baja latencia y alta disponibilidad entre tus redes de VPC y tus redes locales o de otras nubes. Debes configurar los siguientes componentes:

Trusted Cloud by S3NS Puerta de enlace de VPN con alta disponibilidad: Es un recurso regional que tiene dos interfaces, cada una con su propia dirección IP. Debes especificar el tipo de pila de IP, que determina si el tráfico IPv6 es compatible con tu conexión. Para obtener información general, consulta VPN con alta disponibilidad.
Puerta de enlace de VPN de intercambio de tráfico: Es la puerta de enlace en tu red de intercambio de tráfico a la que se conecta la puerta de enlace de VPN con alta disponibilidad de Trusted Cloud by S3NS. Ingresa las direcciones IP externas que usa tu puerta de enlace de intercambio de tráfico para conectarse a Trusted Cloud by S3NS. Para obtener información general, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.
Cloud Router: Usa el protocolo de puerta de enlace de frontera (BGP) para intercambiar rutas de forma dinámica entre tus redes de VPC y de intercambio de tráfico. Debes asignar un número de sistema autónomo (ASN) como identificador para tu Cloud Router y especificar el ASN que usa tu router de intercambio de tráfico. Si quieres obtener información general, consulta Crea un Cloud Router para conectar una red de VPC a una red de intercambio de tráfico.
Túneles VPN: Conectan la puerta de enlace de Trusted Cloud by S3NS a la puerta de enlace de intercambio de tráfico. Debes especificar el protocolo de intercambio de claves de Internet (IKE) que se usará para establecer el túnel. Puedes ingresar tu propia clave IKE generada previamente o generar y copiar una nueva. Para obtener información general, consulta Configura IKE.

Por qué recomendamos esta tarea

Una VPN con alta disponibilidad proporciona una conexión segura y con alta disponibilidad entre tu infraestructura existente y Trusted Cloud by S3NS.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Crea o vincula una cuenta de facturación en la tarea Facturación.
Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.
Configura tu red en la tarea Redes de VPC.

Recopila la siguiente información de tu administrador de red de intercambio de tráfico:

Nombre de la puerta de enlace de la VPN de intercambio de tráfico: Es la puerta de enlace a la que se conecta tu Cloud VPN.
Dirección IP de la interfaz de intercambio de tráfico 0: Es una dirección IP externa en la puerta de enlace de la red de intercambio de tráfico.
Dirección IP de la interfaz de intercambio de tráfico 1: Es una segunda dirección externa. También, puedes volver a usar la dirección IP 0 si tu red de intercambio de tráfico solo tiene una dirección IP externa.
Número de sistema autónomo (ASN) de intercambio de tráfico: Es un identificador único asignado a tu router de red de intercambio de tráfico.
ASN de Cloud Router: Es un identificador único que asignarás a tu Cloud Router.
Claves de intercambio de claves de Internet (IKE): Son las claves que usas para establecer dos túneles VPN con tu puerta de enlace de VPN de intercambio de tráfico. Si no tienes claves existentes, puedes generarlas durante esta configuración y, luego, aplicarlas a tu puerta de enlace de intercambio de tráfico.

Configura tus conexiones

Haz lo siguiente para conectar las redes de VPC a las redes de intercambio de tráfico:

Accede como un usuario con el rol de Administrador de la organización.
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Trusted Cloud by S3NS Configuración: Conectividad híbrida.

Ir a Conectividad híbrida
Para revisar los detalles de la tarea, haz lo siguiente:
1. Revisa la descripción general de la tarea y haz clic en Iniciar conectividad híbrida.
2. Haz clic en cada pestaña para obtener información sobre la conectividad híbrida y haz clic en Continuar.
3. Consulta qué sucede en cada paso de la tarea y haz clic en Continuar.
4. Revisa la información de configuración de la puerta de enlace de intercambio de tráfico que debes recopilar y haz clic en Continuar.
En el área Conexiones híbridas, identifica las redes de VPC que quieres conectar, según las necesidades de tu empresa.
En la fila de la primera red que elegiste, haz clic en Configurar.
En el área Descripción general de la configuración, lee la descripción y haz clic en Siguiente.
En el área Trusted Cloud by S3NS Puerta de enlace de VPN con alta disponibilidad, haz lo siguiente:
1. En el campo Nombre de la puerta de enlace de Cloud VPN, ingresa hasta 60 caracteres con letras minúsculas, números y guiones.
2. En el área Tipo de pila de IP interna del túnel VPN, selecciona uno de los siguientes tipos de pila:
  - IPv4 e IPv6 (recomendado): Puede admitir tráfico IPv4 e IPv6. Recomendamos este parámetro de configuración si planeas permitir el tráfico IPv6 en tu túnel.
  - IPv4: Solo puede admitir tráfico IPv4.
  El tipo de pila determina el tipo de tráfico permitido en el túnel entre tu red de VPC y tu red de intercambio de tráfico. No puedes modificar el tipo de pila después de crear la puerta de enlace. Para obtener información general, consulta los siguientes recursos:
  - Compatibilidad con IPv6
  - Tipos de pila y sesiones de BGP
3. Haz clic en Siguiente.
En el área Puerta de enlace de VPN de intercambio de tráfico, haz lo siguiente:
1. En el campo Nombre de la puerta de enlace de VPN de intercambio de tráfico, ingresa el nombre que proporcionó tu administrador de red de intercambio de tráfico. Puedes ingresar hasta 60 caracteres con letras minúsculas, números y guiones.
2. En el campo Dirección IP de la interfaz de intercambio de tráfico 0, ingresa la dirección IP externa de la interfaz de puerta de enlace de intercambio de tráfico que proporcionó tu administrador de red de intercambio de tráfico.
3. En el campo Dirección IP de la interfaz de intercambio de tráfico 1, realiza una de las siguientes acciones:
  - Si la puerta de enlace de intercambio de tráfico tiene una segunda interfaz, ingresa su dirección IP.
  - Si la puerta de enlace de intercambio de tráfico solo tiene una interfaz, ingresa la misma dirección que ingresaste en la Dirección IP de la interfaz de intercambio de tráfico 0.
  Para obtener información general, consulta Configura la puerta de enlace de VPN de intercambio de tráfico.
4. Haz clic en Siguiente.
En el área Cloud Router, haz lo siguiente:
1. En el campo ASN de Cloud Router, ingresa el número de sistema autónomo que quieres asignarle a tu Cloud Router, como lo proporciona tu administrador de red de intercambio de tráfico. Para obtener información general, consulta Crea un Cloud Router.
2. En el campo ASN del router de intercambio de tráfico, ingresa el Número de sistema autónomo del router de la red de intercambio de tráfico, que proporcionó el administrador de la red de intercambio de tráfico.
En el área Túnel VPN 0, haz lo siguiente:
1. En el campo Nombre del túnel 0, ingresa hasta 60 caracteres con letras minúsculas, números y guiones.
2. En el área Versión de IKE, selecciona una de las siguientes opciones:
  - IKEv2 (recomendado): Admite el tráfico IPv6.
  - IKEv1: Usa este parámetro de configuración si no planeas permitir el tráfico IPv6 en el túnel.
  Para obtener información general, consulta Configura túneles VPN.
3. En el campo clave precompartida IKE, ingresa la clave que usas en la configuración de la puerta de enlace de intercambio de tráfico, como lo proporciona el administrador de la red de intercambio de tráfico. Si no tienes una clave existente, puedes hacer clic en Generar y copiar y, luego, darle la clave al administrador de tu red de intercambio de tráfico.
  
  Nota: Si olvidas la clave que generaste en este paso, podrás encontrarla después de la implementación. La clave se almacena en la carpeta gcp-internal-cloud-setup en el proyecto Proyecto de conectividad híbrida. Si deseas obtener los pasos para acceder a una clave a través de Secret Manager, consulta Enumera secretos y visualiza detalles de secretos.
En el área Túnel VPN 1, repite el paso anterior para aplicar la configuración del segundo túnel. Configura este túnel para obtener redundancia y capacidad de procesamiento adicional.
Haz clic en Guardar.
Repite estos pasos para cualquier otra red de VPC que desees conectar a tu red de intercambio de tráfico.

Después de la implementación

Después de implementar tu Trusted Cloud by S3NS configuración de Setup, completa los siguientes pasos para asegurarte de que la conexión de red esté completa:

Trabaja con el administrador de red de intercambio de tráfico para alinear la red de intercambio de tráfico con la configuración de conectividad híbrida. Después de la implementación, se proporcionan instrucciones específicas para tu red de intercambio de tráfico, incluidas las siguientes:
- Configuración de túnel
- Configuración de firewall
- Configuración del IKE
Valida las conexiones de red que creaste. Por ejemplo, puedes usar Network Intelligence Center para verificar la conectividad entre redes. Para obtener más información, consulta la descripción general de las pruebas de conectividad.
Si las necesidades de tu empresa requieren una conexión más sólida, usa Cloud Interconnect. Para obtener más información, consulta Elige un producto de Conectividad de red.

¿Qué sigue?

Implementa la configuración, lo que incluye la configuración de la jerarquía y el acceso, el registro, la red y la conectividad híbrida.

Implementa la configuración

Implementar o descargar

Cuando completes el Trusted Cloud by S3NS proceso de configuración, los parámetros de configuración de las siguientes tareas se compilarán en archivos de configuración de Terraform:

Jerarquía y acceso
Seguridad
Registro y supervisión central
Redes de VPC
Conectividad híbrida

Para aplicar tu configuración, revisa tus selecciones y elige un método de implementación.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@YOUR_DOMAIN que creaste en la tarea Usuarios y grupos.

Qué debes hacer en esta tarea

Implementar archivos de configuración para aplicarlos.

Por qué recomendamos esta tarea

Debes implementar archivos de configuración para aplicar la configuración que seleccionaste.

Antes de comenzar

Debes completar las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.
Crea o vincula una cuenta de facturación en la tarea Facturación.
Configura tu jerarquía y asigna el acceso en la tarea Jerarquía y acceso.

Se recomiendan las siguientes tareas:

Fortalecer tu postura de seguridad a través de la configuración de servicios sin costo en la tarea Seguridad
Consolidar los datos de registro en una sola ubicación y supervisar todos los proyectos desde un solo proyecto en la tarea Registro y supervisión centralizados
Configurar tu red inicial en la tarea Redes de VPC
Conectar redes de intercambio de tráfico a Trusted Cloud by S3NS en la tarea Conectividad híbrida

Revisa los detalles de tu configuración

Haz lo siguiente para asegurarte de que se haya completado la configuración:

Accede a la consola de Trusted Cloud como un usuario del grupogcp-organization-admins@YOUR_DOMAINque creaste en la tarea Usuarios y grupos.
Elige tu organización de la lista desplegable Elegir desde en la parte superior de la página.
Ve a Trusted Cloud by S3NS Configuración: Implementar o descargar.

Ir a Implementar o descargar
Revisa los parámetros de configuración que seleccionaste. Haz clic en cada una de las siguientes pestañas y revisa tu configuración:
- Jerarquía y acceso a recursos
- Seguridad
- Registro y supervisión
- Redes de VPC
- Conectividad híbrida

Implementa la configuración

Ahora que ya revisaste los detalles de la configuración, usa una de las siguientes opciones:

Implementa directamente desde la consola: Usa esta opción si no tienes un flujo de trabajo de implementación de Terraform existente y deseas un método de implementación simple. Puedes realizar la implementación con este método solo una vez.
Descarga y, luego, implementa el archivo de Terraform: Usa esta opción si deseas automatizar la administración de recursos usando un flujo de trabajo de implementación de Terraform. Puedes descargar el archivo y, luego, implementarlo usando este método varias veces.

Implementa con una de las siguientes opciones:

Implementar directamente

Si no tienes un flujo de trabajo de Terraform existente y deseas una implementación única y sencilla, puedes realizar la implementación directamente desde la consola.

Haz clic en Implementar directamente.
Espera varios minutos hasta que se complete la implementación.
Si la implementación falla, haz lo siguiente:
1. Para volver a intentar la implementación, haz clic en Volver a intentar el proceso.
2. Si la implementación falla después de varios intentos, puedes comunicarte con un administrador para obtener ayuda. Para ello, haz clic en Comunicarse con el administrador de la organización.

Descarga e implementa

Si deseas iterar en la implementación con el flujo de trabajo de implementación de Terraform, descarga y, luego, implementa archivos de configuración.

Para descargar el archivo de configuración, haz clic en Descargar como Terraform.
El paquete que descargas contiene archivos de configuración de Terraform según la configuración que seleccionaste en las siguientes tareas:
- Jerarquía y acceso
- Seguridad
- Registro y supervisión central
- Redes de VPC
- Conectividad híbrida
Si solo deseas implementar archivos de configuración relevantes para tus responsabilidades, puedes evitar la descarga de archivos irrelevantes. Para ello, desmarca las casillas de verificación de los archivos de configuración que no necesitas.
Haz clic en Descargar. Se descarga un paquete terraform.tar.gz que incluye los archivos seleccionados en tu sistema de archivos local.
Para ver los pasos de implementación detallados, consulta Implementa la base con Terraform descargado de la consola.

¿Qué sigue?

Elige un plan de asistencia.

Asistencia

En esta tarea, elegirás un plan de asistencia que se adapte a las necesidades de tu empresa.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@YOUR_DOMAIN creado en la tarea Usuarios y grupos.

Qué debes hacer en esta tarea

Elige un plan de asistencia según las necesidades de tu empresa.

Por qué recomendamos esta tarea

Un plan de asistencia premium proporciona asistencia para las operaciones fundamentales de tu empresa para solucionar problemas con rapidez con la ayuda de expertos de Trusted Cloud.

Elige una opción de asistencia

Obtén asistencia básica automáticamente, que incluye acceso a los siguientes recursos:

Recomendamos que los clientes empresariales se registren en la Asistencia premium, ya que ofrece asistencia técnica personalizada de ingenieros de Atención al cliente de Google. Para comparar los planes de asistencia, consulta Trusted Cloud by S3NS atención al cliente.

Antes de comenzar

Realice las siguientes tareas:

Crea un usuario administrador avanzado y tu organización en la tarea Organización.
Agrega usuarios y crea grupos en la tarea Usuarios y grupos.
Asigna roles de IAM a los grupos en la tarea Acceso de administrador.

Habilita la asistencia

Identifica y selecciona una opción de asistencia.

Revisa y selecciona un plan de asistencia. Para obtener más información, consulta Trusted Cloud by S3NS Atención al cliente.
Accede a la consola de Trusted Cloud con un usuario del grupo gcp-organization-admins@<your-domain>.com que creaste en la tarea Usuarios y grupos.
Ve a Trusted Cloud by S3NS Configuración: Asistencia.

Ir a Asistencia
Revisa los detalles de la tarea y haz clic en Ver ofertas de asistencia para seleccionar una opción de asistencia.
Después de configurar la opción de asistencia, regresa a la página Trusted Cloud by S3NS Configuración: Asistencia y haz clic en Marcar tarea como completada.

¿Qué sigue?

Ahora que completaste la Trusted Cloud by S3NS configuración, puedes extender la configuración inicial, implementar soluciones compiladas previamente y migrar tus flujos de trabajo existentes. Para obtener más información, consulta Extiende tu configuración inicial y comienza a compilar.

Flujo guiado de configuración de Trusted Cloud by S3NS

Selecciona una opción de Trusted Cloud by S3NS configuración básica

Crea una base para la prueba de concepto

Establece tu organización, tus administradores y tu facturación

Organización

Quiénes deben realizar esta tarea

Qué debes hacer en esta tarea

Por qué recomendamos esta tarea

Opciones de Google Identity Services

Antes de comenzar

Configura un proveedor de identidad y verifica tu dominio

Cliente nuevo

Cliente nuevo: Configura Cloud Identity y crea tu organización

Verifica tu dominio y crea el recurso de tu organización

Solicita licencias de usuario adicionales de Cloud Identity

Cliente de Workspace

Cliente existente de Google Workspace: Verifica tu dominio y habilita Cloud Identity

Cliente de Cloud Identity

Cliente de Cloud Identity existente: Verifica tu dominio

¿Qué sigue?

Usuarios y grupos

Quiénes deben realizar esta tarea

Qué debes hacer en esta tarea

Por qué recomendamos esta tarea

Selecciona un proveedor de identidad

Crea usuarios y grupos en Cloud Identity

Antes de comenzar

Crea grupos administrativos

Crea usuarios administradores

Agrega usuarios administradores a grupos

Conecta tu proveedor de identidad externo a Trusted Cloud

¿Qué sigue?

Acceso de administrador

Quiénes deben realizar esta tarea

Qué debes hacer en esta tarea

Por qué recomendamos esta tarea

Antes de comenzar

Otorga acceso a los grupos de administradores

¿Qué sigue?

Facturación

Quiénes deben realizar esta tarea

Qué debes hacer en esta tarea

Por qué recomendamos esta tarea

Determina el tipo de cuenta de facturación

Antes de comenzar

Configura la cuenta de facturación

Crear una cuenta nueva

Usa tu cuenta existente

Usa la cuenta de otro usuario

¿Qué sigue?

Crea una arquitectura inicial

Jerarquía y acceso

Quiénes deben realizar esta tarea

Qué debes hacer en esta tarea

Por qué recomendamos esta tarea

Planifica la jerarquía de recursos

Antes de comenzar

Configura carpetas y proyectos iniciales

Otorga acceso a tus carpetas y proyectos

Configura la facturación de los proyectos de administración

¿Qué sigue?

Seguridad

Quiénes deben realizar esta tarea

Qué debes hacer en esta tarea

Por qué recomendamos esta tarea

Antes de comenzar

Inicia la tarea de seguridad

Centraliza los informes de vulnerabilidades y amenazas

Aplica las políticas de la organización recomendadas

Aplica y automatiza claves de encriptación del cliente

¿Qué sigue?

Registro y supervisión centralizados

Quiénes deben realizar esta tarea

Qué debes hacer en esta tarea

Por qué recomendamos esta tarea

Antes de comenzar

Organiza el registro de manera centralizada

Exporta registros fuera de Trusted Cloud by S3NS

Configura la supervisión centralizada

Completa la configuración