El recurso de organización es el nodo raíz en la jerarquía de recursos deTrusted Cloud by S3NS y es el supernodo jerárquico de los proyectos. En esta página, se explica cómo adquirir y administrar un recurso de organización.
Antes de comenzar
Lee una descripción general del recurso de la organización.
Cómo obtener un recurso de organización
Un recurso de la organización está disponible para los clientes de Google Workspace y Cloud Identity:
- Google Workspace: Regístrate en Google Workspace.
- Cloud Identity: Regístrate en Cloud Identity.
Una vez que hayas creado tu cuenta de Google Workspace o Cloud Identity y la asocies con un dominio, el recurso de tu organización se creará automáticamente. El recurso se aprovisionará en diferentes momentos según el estado de tu cuenta:
- Si eres nuevo en Trusted Cloud y aún no has creado un proyecto, se creará el recurso de organización cuando accedas a la consola de Trusted Cloud y aceptes los términos y condiciones.
-
Si ya eres usuario de Trusted Cloud , el recurso de organización se creará cuando crees un proyecto o una cuenta de facturación nuevos. Todos los proyectos que hayas creado anteriormente aparecerán en "Sin organización", lo que es normal. Aparecerá el recurso de la organización y se vinculará automáticamente el proyecto nuevo que creaste.
Deberás trasladar cualquier proyecto que hayas creado en "Sin organización" a tu recurso nuevo de organización. Para obtener instrucciones sobre cómo trasladar tus proyectos, consulta Migra proyectos a un recurso de organización.
El recurso de organización que se cree se vinculará a tu cuenta de Google Workspace o Cloud Identity con el proyecto o la cuenta de facturación que creaste configurada como recurso secundario. Todos los proyectos y cuentas de facturación creados en tu dominio de Google Workspace o Cloud Identity serán recursos secundarios de este recurso de organización.
- Para obtener información sobre cómo migrar los proyectos preexistentes, consulta Migra proyectos existentes a la organización.
Cada cuenta de Google Workspace o Cloud Identity se asocia con exactamente un recurso de organización. Un recurso de organización se asocia con exactamente un dominio, que se establece cuando se crea el recurso de organización.
Cuando se crea el recurso de la organización, le comunicamos su disponibilidad a los administradores avanzados de Google Workspace o Cloud Identity. Estas cuentas de administrador avanzado deben usarse con cuidado, ya que tienen un amplio control sobre el recurso de tu organización y todos sus recursos subyacentes. Por este motivo, no recomendamos usar las cuentas de administrador avanzado de Google Workspace o Cloud Identity para la administración diaria del recurso de tu organización. Para obtener más información sobre cómo usar las cuentas de administrador avanzado de Google Workspace o Cloud Identity en Trusted Cloud, consulta las prácticas recomendadas de las cuentas de administrador avanzado.
Para adoptar de forma activa el recurso de la organización, los administradores avanzados de Google Workspace o Cloud Identity deben asignar el rol de administrador de la organización (roles/resourcemanager.organizationAdmin) de Identity and Access Management (IAM) a un usuario o grupo. Si quieres obtener los pasos para configurar tu recurso de organización, consulta Cómo configurar tu recurso de organización.
- Cuando se crea el recurso de organización, a todos los usuarios de tu dominio se les otorgan automáticamente los roles de IAM de Creador de proyectos (
roles/resourcemanager.projectCreator) y Creador de cuentas de facturación (roles/billing.creator) a nivel del recurso de organización. Esto permite que los usuarios de tu dominio sigan creando proyectos sin interrupciones. - El administrador de la organización decidirá cuándo quiere comenzar a usar el recurso de la organización de forma activa. Luego, puede cambiar los permisos predeterminados y aplicar de forma forzosa las políticas más restrictivas, según sea necesario.
- Si el recurso de organización está disponible y no tienes los permisos de IAM para visualizarlo, todavía puedes crear proyectos y cuentas de facturación. Estos se crean de forma automática en el recurso de la organización, incluso si no puedes verlo.
Cómo obtener el ID del recurso de tu organización
El ID del recurso de la organización es un identificador único para un recurso de la organización y se crea automáticamente cuando se crea el recurso de la organización. Los IDs de los recursos de la organización tienen el formato de números decimales y no pueden tener ceros a la izquierda.
Puedes obtener el ID del recurso de tu organización con la consola de Trusted Cloud , gcloud CLI o la API de Cloud Resource Manager.
Console
Para obtener el ID de tu recurso de organización con la consola de Trusted Cloud , haz lo siguiente:
- Ve a la consola de Trusted Cloud :
- En el selector de proyectos que se encuentra en la parte superior de la página, selecciona tu recurso de organización.
- En el lado derecho, haz clic en Más y, luego, en Configuración.
En la página Configuración, se muestra el ID del recurso de tu organización.
gcloud
Para encontrar el ID del recurso de tu organización, ejecuta el siguiente comando:
gcloud organizations list
Este comando enumera todos los recursos de organización a los que perteneces y sus IDs correspondientes.
API
Para encontrar el ID del recurso de tu organización con la API de Cloud Resource Manager, usa el método organizations.search(), que incluye una consulta para tu dominio. Por ejemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La respuesta contiene los metadatos del recurso de la organización que pertenece a altostrat.com, lo que incluye el ID del recurso de la organización.
Configura el recurso de tu organización
Si eres cliente de Google Workspace o Cloud Identity, se te proporcionará automáticamente un recurso de organización.
Los administradores avanzados de Google Workspace o Cloud Identity son los primeros usuarios que pueden acceder al recurso de la organización cuando esta se crea. Todos los demás usuarios o grupos podrán usar Trusted Cloud by S3NS como antes. Podrán ver el recurso de la organización, pero solo podrán modificarlo una vez que se hayan configurado los permisos adecuados.
Los administradores avanzados de Google Workspace o Cloud Identity y elTrusted Cloud by S3NS administrador de la organización son roles clave durante el proceso de configuración y para controlar el ciclo de vida del recurso de la organización. En general, los dos roles se asignan a distintos usuarios o grupos, aunque esto depende de la estructura y las necesidades del recurso de la organización.
Las responsabilidades de los administradores avanzados de Google Workspace o Cloud Identity, en el contexto de la configuración del recurso de organización Trusted Cloud by S3NS , son las siguientes:
- Asignar el rol de administrador de la organización a algunos usuarios
- Ser un punto de contacto en caso de problemas de recuperación.
- Controlar el ciclo de vida de la cuenta de Google Workspace o Cloud Identity y del recurso de organización, como se explica en la sección sobre cómo borrar un recurso de organización
El administrador de la organización, una vez asignado, puede asignar roles de Identity and Access Management a otros usuarios. Las responsabilidades del rol de administrador de la organización son las siguientes:
- Definir políticas de permiso y denegación, y otorgar roles a otros usuarios
- Cómo ver la estructura de la jerarquía de recursos
De acuerdo con el principio de privilegio mínimo, este rol no incluye el permiso para realizar otras acciones, como crear carpetas o proyectos. Para obtener estos permisos, un administrador de la organización debe asignarle roles adicionales a su cuenta.
Tener dos roles distintos garantiza la separación de tareas entre los administradores avanzados de Google Workspace o Cloud Identity y elTrusted Cloud by S3NS administrador de la organización. Esto suele ser un requisito ya que, en general, a los dos productos de Google los administran distintos departamentos de la organización del cliente.
Si quieres comenzar a usar el recurso de la organización de forma activa, sigue estos pasos para agregar un administrador de la organización:
Cómo agregar un administrador de la organización
Console
Para agregar un administrador de la organización, sigue estos pasos:
Accede a la consola Trusted Cloud como administrador avanzado de Google Workspace o Cloud Identity y ve a la página IAM y administración:
Selecciona el recurso de organización que deseas editar:
Haz clic en la lista desplegable de proyectos en la parte superior de la página.
En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de organizaciones y selecciona el recurso de la organización al que deseas agregar un administrador de la organización.
En la lista que aparece, haz clic en el recurso de la organización para abrir su página de Permisos de IAM.
Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que quieras establecer como administradores de la organización.
En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.
El administrador de la organización puede hacer lo siguiente:
Tomar el control total del recurso de la organización Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el Trusted Cloud administrador.
Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.
Como se explica en la sección sobre cómo obtener un recurso de la organización, a todos los usuarios del dominio se les otorgan las funciones de creador de proyectos y creador de cuentas de facturación a nivel del recurso de la organización de forma predeterminada. Esto garantiza que los usuarios de Trusted Cloud no sufran interrupciones cuando se cree el recurso de la organización. A medida que el administrador de la organización toma el control, es posible que quiera quitar estos permisos a nivel de la organización para comenzar a bloquear el acceso con mayor nivel de detalle (por ejemplo, a nivel de la carpeta o del proyecto). Ten en cuenta que, dado que las políticas de permiso y denegación se heredan de la jerarquía, tener el rol de creador de proyectos asignado a todo el dominio (domain:mycompany.com) a nivel del recurso de organización implica que todos los usuarios del dominio pueden crear proyectos en cualquier nivel de la jerarquía.
Crea proyectos en el recurso de tu organización
Console
Puedes crear un proyecto en el recurso de organización con la consola deTrusted Cloud después de que el recurso de organización esté habilitado para tu dominio.
Para crear un proyecto nuevo en el recurso de la organización, haz lo siguiente:
Para crear un proyecto nuevo, haz lo siguiente:
-
Ve a la página Administrar recursos en la Trusted Cloud consola.
Los pasos restantes aparecen en la consola de Trusted Cloud .
- En la lista desplegable Seleccionar una organización, en la parte superior de la página, selecciona el recurso de la organización en la que deseas crear un proyecto. Si eres un usuario de prueba gratuita, omite este paso, ya que no aparece esta lista.
- Haz clic en Crear proyecto.
- En la ventana Proyecto nuevo que aparece, ingresa un nombre de proyecto y selecciona una cuenta de facturación según corresponda. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres.
- Ingresa el recurso de la organización o la carpeta superior en el cuadro Ubicación. Ese recurso será el superior de la jerarquía del proyecto nuevo. Si aparece Sin organización como opción, puedes seleccionarla para crear tu proyecto nuevo como el nivel superior de su propia jerarquía de recursos.
- Cuando hayas terminado de ingresar los detalles del proyecto nuevo, haz clic en Crear.
API
Puedes crear un proyecto nuevo en el recurso de la organización si creas un project y configuras su campo parent como el organizationId del recurso de la organización.
En el siguiente fragmento de código, se muestra cómo crear un proyecto en un recurso de organización:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Visualiza proyectos en un recurso de organización
Los usuarios solo pueden visualizar y enumerar los proyectos a los que tienen acceso a través de los roles de IAM. El administrador de la organización puede visualizar y enumerar todos los proyectos en el recurso de la organización.
Console
Para ver todos los proyectos en un recurso de organización con la consola de Trusted Cloud , haz lo siguiente:
Ve a la consola de Trusted Cloud :
Haz clic en el menú desplegable Organización en la parte superior de la página.
Selecciona el recurso de tu organización.
Haz clic en el menú desplegable Proyecto en la parte superior de la página y, luego, haz clic en Ver más proyectos. Todos los proyectos del recurso de organización se enumeran en la página.
Con la opción Sin organización del menú desplegable Organización, se enumeran los siguientes proyectos:
- Proyectos que aún no pertenecen al recurso de la organización.
- Proyectos a los que el usuario tiene acceso, pero que están en un recurso de organización al que el usuario no tiene acceso
gcloud
Para ver todos los proyectos en un recurso de organización, ejecuta el siguiente comando:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Usa el método projects.list() para enumerar todos los proyectos en un recurso principal, como se muestra en el siguiente fragmento de código:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Borra un recurso de la organización
El recurso de organización está vinculado a tu cuenta de Google Workspace o Cloud Identity.
Si prefieres no usar el recurso de la organización, te recomendamos restablecer la política de permiso del recurso de la organización al estado original siguiendo estos pasos:
- Agrega tu dominio a las funciones
Project CreatoryBilling Account Creator. - Quita todas las demás entradas de la política de permisos del recurso de organización.
Esto permitirá que tus usuarios sigan creando proyectos y cuentas de facturación y, a la vez, les permitirá a los administradores avanzados de Google Workspace o Cloud Identity recuperar la administración central más tarde.
Si borras tu cuenta de Google Workspace, se borrará el recurso de tu organización y todos los recursos asociados a él. Por lo tanto, si deseas borrar el recurso de tu organización, puedes hacerlo borrando tu cuenta de Google Workspace. Para los usuarios de Cloud Identity, cancela todos los demás servicios de Google y, luego, borra tu cuenta de usuario. Es posible que esta acción sea muy perjudicial y que sea imposible de revertir por completo, por lo que se recomienda realizar esta acción solo si estás seguro de que no hay recursos activos.