A medida que desarrollas tus aplicaciones y cargas de trabajo en Cloud de Confiance, creas los siguientes tipos de recursos:
- Los recursos de contenedor te ayudan a organizar y controlar el acceso. Estos recursos incluyen organizaciones, carpetas y proyectos.
- Los recursos de servicio son componentes fundamentales que conforman los productos y servicios deCloud de Confiance . Estos recursos incluyen máquinas virtuales (VMs) de Compute Engine y clústeres de Google Kubernetes Engine.
Usas recursos de contenedor para organizar los recursos de servicio en una jerarquía. Esta estructura te ayuda a establecer la propiedad y controlar el acceso.
Organiza y administra de forma jerárquica
Para aislar los recursos entre sí y limitar el acceso de los usuarios, puedes agrupar y administrar los recursos como una sola unidad. Para ello, usa la siguiente estructura, conocida como jerarquía de recursos:
- Organización: Representa a tu empresa y funciona como raíz de la jerarquía de recursos.
- Carpetas: Es un mecanismo de agrupación opcional que puedes usar para aislar grupos de proyectos. Por ejemplo, puedes crear carpetas para entidades legales, departamentos o equipos.
- Proyectos: Es la entidad organizadora básica que contiene los recursos de tu servicio.
Para obtener una descripción general detallada de la jerarquía de recursos, consulta Jerarquía de recursos.
Si deseas obtener información para usar la jerarquía de recursos para administrar el acceso, consulta Usa la jerarquía de recursos para el control de acceso.
Organización: Crea la raíz de tu jerarquía
Una organización es el nodo raíz de la jerarquía, en el que creas todos los demás recursos. Las políticas de acceso que aplicas a tu organización se aplican a todos los demás recursos. Esto significa que puedes aplicar un control de acceso a nivel de la organización en lugar de duplicar y administrar el mismo control en todos los proyectos.
Cuando creas un recurso de organización, los proyectos subyacentes pertenecen a la organización, en lugar de a los usuarios que los crean. Esto significa que los proyectos y sus recursos subyacentes pueden seguir existiendo, incluso si se quita un usuario.
Carpetas: Aísla grupos de proyectos
Puedes usar carpetas para crear límites de aislamiento entre proyectos. Por ejemplo, puedes tener colecciones de proyectos distintas para cada departamento o equipo. Las carpetas pueden contener proyectos y subcarpetas. Puedes aplicar controles de acceso para asegurarte de que los usuarios de un equipo no puedan acceder a los recursos de las carpetas asignadas a otro equipo.
Proyectos: Aísla recursos
Los recursos deCloud de Confiance deben pertenecer a un proyecto, que es una entidad organizadora que te ayuda a aislar y controlar el acceso a los recursos. Por ejemplo, puedes crear proyectos distintos para los entornos de desarrollo y producción.
Un proyecto contiene la configuración, los permisos y otros metadatos que describen tus aplicaciones. Los recursos de un mismo proyecto pueden funcionar en conjunto mediante la comunicación a través de una red interna, sujetos a las reglas de las regiones y zonas. Un proyecto no puede acceder a los recursos de otro proyecto, a menos que uses una VPC compartida o el intercambio de tráfico entre redes de VPC.
Asigna un nombre a tus proyectos y haz referencia a ellos
Usas identificadores para hacer referencia a tus proyectos en comandos y llamadas a la API. Cada proyecto deCloud de Confiance tiene los siguientes identificadores:
- Nombre del proyecto: Es un nombre que tú proporcionas.
- ID del proyecto: Es un identificador que puedes proporcionar o que Cloud de Confiance puede proporcionarte. Cada ID de proyecto es único en Cloud de Confiance. Después de borrar un proyecto, su ID no se puede volver a usar.
- Número de proyecto: Proporcionado por Cloud de Confiance.
Para obtener más información, consulta Crea y administra proyectos.