Acerca de la jerarquía de recursos

La jerarquía de recursos Cloud de Confiance by S3NS proporciona una forma estructurada de organizar tus recursos de nube. Todos los recursos, excepto el recurso más alto en una jerarquía, tienen exactamente un recurso superior. La jerarquía consta de la organización (raíz) en la parte superior, seguida de las carpetas (opcionales) para la agrupación y, luego, los proyectos, que contienen los recursos de servicio reales, como las máquinas virtuales de Compute Engine y los buckets de almacenamiento.

El uso de una jerarquía estructurada ofrece las siguientes ventajas:

  • Propiedad: Vincula el ciclo de vida de un recurso a su superior inmediato. Los proyectos pertenecen a la organización, no al empleado individual que los creó. Si un empleado se va, el proyecto permanece activo y seguro.
  • Herencia: Proporciona puntos de conexión para el control de acceso y las políticas de la organización, que fluyen hacia abajo en la jerarquía. Puedes otorgar roles en un nivel superior (como la organización o una carpeta). Todos los recursos secundarios heredan estos roles, lo que reduce la necesidad de configurar manualmente los permisos para cada proyecto individual.

En el siguiente diagrama, se ilustra la jerarquía de recursos de Cloud de Confiance by S3NS .

Jerarquía de recursos de Google Cloud, con una organización en la parte superior, que contiene carpetas, proyectos y recursos de servicio

El recurso de organización

El recurso de organización representa una entidad (como una empresa) y funciona como el nodo raíz de la jerarquía de recursos deCloud de Confiance by S3NS . Proporciona las siguientes funciones clave:

  • La organización actúa como la principal de todos los recursos de carpetas y proyectos.
  • Todas las políticas de control de acceso (como los roles de Identity and Access Management [IAM]) y las políticas de la organización que se aplican en este nivel son heredadas por todos los recursos de la organización.
  • Si bien no es estrictamente necesario para todos los usuarios de Cloud de Confiance by S3NS , un recurso de organización es necesario para usar funciones específicas de Resource Manager.

Se requiere una cuenta de Google Workspace o Cloud Identity para acceder al recurso de organización.

  • Una cuenta de Google Workspace o Cloud Identity se puede asociar con exactamente un recurso de organización.
  • Cuando un usuario con una cuenta de Google Workspace o Cloud Identity crea un recurso de proyecto Cloud de Confiance by S3NS , se le aprovisiona automáticamente un recurso de organización.

En la siguiente imagen, se muestra el vínculo entre la cuenta de Google Workspace, Cloud Identity y la Cloud de Confiance jerarquía de recursos.

Relación entre una cuenta de Google Workspace o Cloud Identity y la jerarquía de recursos Cloud de Confiance by S3NS

El administrador avanzado de Google Workspace es la persona responsable de la verificación de la propiedad del dominio y el contacto en casos de recuperación. Por esta razón, el administrador avanzado de Google Workspace tiene la capacidad de asignar funciones de IAM de forma predeterminada. El deber principal del administrador avanzado de Google Workspace con respecto a Cloud de Confiance es asignar el rol de IAM de administrador de la organización a los usuarios apropiados en su dominio. Esto creará la separación entre las responsabilidades de administración de Google Workspace y Cloud de Confianceque los usuarios suelen buscar.

Reglas de creación de proyectos para usuarios administrados

Una vez que existe un recurso de organización para un dominio, se aplican reglas estrictas a la creación de proyectos:

  • Los usuarios administrados (miembros del dominio de la cuenta) deben crear proyectos dentro de una organización. Las cuentas asociadas a un recurso de organización no pueden crear recursos de proyecto que no estén asociados a un recurso de organización.
  • De forma predeterminada, los proyectos nuevos pertenecen a la organización asociada con el usuario.
  • Si un usuario tiene los permisos adecuados, puede especificar un recurso de organización diferente durante la creación del proyecto; de lo contrario, se usará su organización principal de forma predeterminada.

Beneficios del recurso de organización

Con un recurso de organización, los recursos de tu proyecto pertenecen a tu organización, no al empleado que los creó. Esto significa que tu organización conserva los recursos del proyecto cuando un empleado abandona la empresa. Los recursos del proyecto siguen el ciclo de vida del recurso de organización en Cloud de Confiance by S3NS.

Además, los administradores de la organización controlan todos los recursos de forma centralizada. Pueden ver y administrar todos los recursos del proyecto en tu empresa. Esto evita proyectos paralelos o administradores deshonestos.

También puedes otorgar roles a nivel de la organización, que heredan todos los recursos de proyectos y carpetas del recurso de organización. Por ejemplo, puedes otorgar la función de administrador de red a tu equipo de redes a nivel de la organización, lo que les permite administrar todas las redes en todos los recursos del proyecto de tu empresa, en lugar de otorgar la función para cada recurso del proyecto individual.

Un recurso de organización se define según los siguientes atributos:

  • Es el ID de un recurso de organización, que es un identificador único para una organización.
  • Un nombre para mostrar, que se genera a partir del nombre de dominio principal en Google Workspace o Cloud Identity.
  • Es la fecha y hora de creación del recurso de la organización.
  • Es la hora de la última modificación del recurso de la organización.
  • Es el propietario del recurso de organización, que es el ID de cliente de Google Workspace de la API de Directory. Especificas el propietario cuando creas el recurso de organización y no puedes cambiarlo.

El siguiente fragmento de código muestra la estructura de un recurso de organización:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

La política de permisos inicial para un recurso de organización nuevo otorga los roles de Creador de proyectos y Creador de cuentas de facturación a todo el dominio de Google Workspace. Esto significa que los usuarios pueden seguir creando recursos del proyecto y cuentas de facturación como lo hacían antes de que existiera el recurso de organización. No se crean otros recursos cuando se crea un recurso de organización. Las políticas de organización, de permiso y de denegación se heredan a través de la jerarquía, y la política vigente para cada recurso de la jerarquía es el resultado de las políticas aplicadas directamente al recurso y las políticas heredadas de sus principales.

El recurso de carpeta

Los recursos de carpetas son un mecanismo de agrupación opcional entre los recursos de organización y los recursos de proyectos. Se requiere un recurso de organización para usar carpetas. Los recursos de carpeta y sus recursos de proyecto secundarios residen en el recurso de organización.

Los recursos de carpetas pueden proporcionar límites de aislamiento entre proyectos. Funcionan como suborganizaciones dentro del recurso de organización. Los recursos de carpeta pueden modelar diferentes entidades legales, departamentos y equipos dentro de una empresa. Por ejemplo, un primer nivel de carpetas puede representar los principales departamentos de tu organización. Como las carpetas pueden contener proyectos y otras carpetas, cada carpeta puede incluir subcarpetas para representar diferentes equipos. Cada carpeta del equipo puede contener subcarpetas adicionales para representar diferentes aplicaciones. Para obtener más información sobre cómo usar los recursos de carpetas, consulta Crea carpetas.

Si tu recurso de organización tiene recursos de carpeta y tienes los permisos de visualización adecuados, puedes verlos en la consola de Cloud de Confiance . Para obtener instrucciones más detalladas, consulta Cómo ver, actualizar y borrar carpetas.

Los recursos de carpeta te permiten delegar derechos de administración. Por ejemplo, puedes otorgar a cada jefe de departamento la propiedad total de todos los recursos Cloud de Confiance de sus departamentos. Del mismo modo, los recursos de carpeta pueden limitar el acceso a los recursos, lo que significa que los usuarios de un departamento solo pueden acceder y crear recursos Cloud de Confiancedentro de ese recurso de carpeta.

El siguiente fragmento de código muestra la estructura de un recurso de carpeta:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Al igual que los recursos de organización y proyecto, los recursos de carpeta actúan como un punto de herencia de políticas de permiso, denegación y organización. Todos los recursos de proyecto y carpeta de esa carpeta heredan los roles de IAM otorgados en un recurso de carpeta.

El recurso del proyecto

El recurso de proyecto es la entidad organizadora fundamental. Los recursos de organización y carpeta pueden contener varios proyectos. Necesitas un recurso de proyecto para usar Cloud de Confiance by S3NS. Es fundamental para crear, habilitar y usar todos los servicios deCloud de Confiance , administrar las APIs, habilitar la facturación, agregar y quitar colaboradores, y administrar los permisos.

Todos los recursos del proyecto constan de lo siguiente:

  • Dos identificadores:
    1. Es el ID del recurso del proyecto, que es un identificador único del recurso del proyecto. Todos los IDs de proyectos Cloud de Confiance tienen automáticamente el prefijos3ns:.
    2. Número del recurso del proyecto, que se asigna automáticamente cuando creas el proyecto es de solo lectura
  • Un nombre visible y mutable
  • Es el estado del ciclo de vida del recurso del proyecto; por ejemplo, ACTIVE o DELETE_REQUESTED.
  • Un conjunto de etiquetas que se pueden usar para filtrar proyectos
  • Es la fecha y hora en que se creó el recurso del proyecto.

El siguiente fragmento de código muestra la estructura de un recurso de proyecto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Para interactuar con la mayoría de los recursos de Cloud de Confiance , debes proporcionar los identificadores de recursos del proyecto para cada solicitud. Puedes identificar un recurso del proyecto de dos maneras: con su ID o su número. En el fragmento de código, estos son projectId y projectNumber.

El ID de recurso del proyecto es el nombre personalizado que eliges cuando creas un proyecto. Si activas una API para la que se requiere un proyecto, puedes crear uno nuevo o seleccionar uno existente con su ID de recurso del proyecto. La cadena name, que aparece en la IU, no es la misma que el ID del recurso del proyecto.

Cloud de Confiance genera automáticamente un número de recurso del proyecto. Puedes encontrar el ID y el número del recurso del proyecto en el panel del proyecto en la consola deCloud de Confiance . Si necesitas información para obtener identificadores de proyectos y realizar otras tareas de administración de recursos del proyecto, consulta Crea proyectos.

Mediante la política inicial de IAM para el recurso del proyecto recién creado, se otorga la función de propietario al creador del proyecto.

¿Qué sigue?