A medida que desarrollas tus aplicaciones y cargas de trabajo en Cloud de Confiance, creas los siguientes tipos de recursos:
- Los recursos de contenedor te ayudan a organizar y controlar el acceso. Estos recursos incluyen organizaciones, carpetas y proyectos.
- Los recursos de servicio son componentes fundamentales que forman losCloud de Confiance productos y servicios. Estos recursos incluyen máquinas virtuales de Compute Engine y clústeres de Google Kubernetes Engine.
Los recursos de contenedor se usan para organizar los recursos de servicio en una jerarquía. Esta estructura te ayuda a establecer la propiedad y el control de acceso.
Organizar y gestionar de forma jerárquica
Para aislar los recursos entre sí y limitar el acceso a los usuarios, puedes agrupar y gestionar los recursos como una sola unidad. Para ello, usa la siguiente estructura, conocida como jerarquía de recursos:
- Organización: representa a tu empresa y es la raíz de tu jerarquía de recursos.
- Carpetas: un mecanismo de agrupación opcional que puedes usar para aislar grupos de proyectos. Por ejemplo, puedes crear carpetas para entidades jurídicas, departamentos o equipos.
- Proyectos: la entidad organizativa de nivel básico que contiene los recursos de tu servicio.
Para obtener una descripción detallada de la jerarquía de recursos, consulta Jerarquía de recursos.
Para saber cómo usar la jerarquía de recursos para gestionar el acceso, consulta el artículo Utilizar la jerarquía de recursos para el control de acceso.
Organización: crea la raíz de tu jerarquía
Una organización es el nodo raíz de la jerarquía, en el que se crean todos los demás recursos. Las políticas de acceso que apliques a tu organización se aplicarán a todos los demás recursos. Esto significa que puede aplicar un control de acceso a nivel de organización en lugar de duplicar y gestionar el mismo control en todos los proyectos.
Cuando creas un recurso de organización, los proyectos subyacentes pertenecen a la organización, en lugar de a los usuarios que los crean. Esto significa que los proyectos y sus recursos subyacentes pueden seguir existiendo aunque se elimine un usuario.
Carpetas: aislar grupos de proyectos
Puedes usar carpetas para crear límites de aislamiento entre proyectos. Por ejemplo, puedes tener colecciones de proyectos distintas para cada departamento o equipo. Las carpetas pueden contener proyectos y subcarpetas. Puedes aplicar controles de acceso para asegurarte de que los usuarios de un equipo no puedan acceder a los recursos de las carpetas asignadas a otro equipo.
Proyectos: aislar recursos
Los recursos deCloud de Confiance deben pertenecer a un proyecto, que es una entidad organizadora que te ayuda a aislar y controlar el acceso a los recursos. Por ejemplo, puedes crear proyectos distintos para los entornos de desarrollo y de producción.
Un proyecto contiene ajustes, permisos y otros metadatos que describen tus aplicaciones. Los recursos de un mismo proyecto pueden colaborar entre sí comunicándose a través de una red interna, de acuerdo con las reglas de regiones y zonas. Un proyecto no puede acceder a los recursos de otro proyecto a menos que uses VPC compartida o emparejamiento entre redes de VPC.
Asignar nombres a los proyectos y hacer referencia a ellos
Los identificadores se usan para hacer referencia a los proyectos en comandos y llamadas a la API. Cada Cloud de Confiance proyecto tiene los siguientes identificadores:
- Nombre del proyecto: el nombre que le asignes.
- ID de proyecto: identificador que puede proporcionar usted o Cloud de Confiance se puede proporcionar automáticamente. Cada ID de proyecto es único en Cloud de Confiance. Después de eliminar un proyecto, su ID no se podrá volver a usar.
- Número de proyecto: proporcionado por Cloud de Confiance.
Para obtener más información, consulta el artículo Crea y gestiona proyectos.