Realice la migración

En esta página, se proporcionan los pasos para migrar un Cloud de Confiance by S3NS proyecto de un recurso de organización a otro, o de ningún recurso de organización a un recurso de organización.

Para migrar un proyecto, debes asegurarte de tener los permisos correctos de Identity and Access Management (IAM) y de que se configuren políticas de la organización específicas en los recursos de origen y destino.

Antes de comenzar

Una migración de proyecto es una operación entre organizaciones. Para evitar el movimiento no autorizado de recursos, debes cumplir con los siguientes requisitos.

Roles obligatorios

Para obtener los permisos que necesitas para migrar proyectos entre recursos de organización, pídele a tu administrador que te otorgue los siguientes roles de IAM:

  • Administrador de IAM de proyectos (roles/resourcemanager.projectIamAdmin) en el proyecto que deseas migrar entre recursos de organización
  • Trasladador de proyectos (roles/resourcemanager.projectMover) en el recurso superior del proyecto (recurso de carpeta o de organización)
  • Si el recurso de destino es una carpeta: Trasladador de proyectos (roles/resourcemanager.projectMover) en el recurso de destino
  • Si el recurso de destino es una organización: Creador de proyectos (roles/resourcemanager.projectCreator) en el recurso de destino

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Estos roles se deben otorgar a la misma cuenta de usuario en las organizaciones de origen y destino. Estos roles predefinidos contienen los permisos necesarios para migrar proyectos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos.

Permisos necesarios

Se requieren los siguientes permisos para migrar proyectos:

  • resourcemanager.projects.getIamPolicy en el proyecto que deseas migrar entre recursos de organización
  • resourcemanager.projects.update en el proyecto que deseas migrar entre recursos de organización
  • resourcemanager.projects.move en el recurso superior del proyecto (recurso de carpeta o de organización)
  • Si el recurso de destino es una carpeta: resourcemanager.projects.move en el recurso de destino
  • Si el recurso de destino es un recurso de organización: resourcemanager.projects.create en el recurso de destino
  • Si deseas migrar un proyecto que no está asociado con una organización: resourcemanager.projects.setIamPolicy en el proyecto que deseas migrar

También puedes obtener estos permisos con un rol personalizado o con otros roles predefinidos.

Políticas de la organización obligatorias

De forma predeterminada, la migración de proyectos está restringida. Debes permitir de forma explícita la exportación y la importación configurando políticas de la organización en la raíz de ambas organizaciones. Para configurar las políticas de la organización necesarias para la migración, debes tener el rol roles/orgPolicy.policyAdmin en la organización superior y de destino.

  • En el recurso de organización de origen, establece la política constraints/resourcemanager.allowedExportDestinations. Agrega el ID de la organización de destino como un valor permitido.

  • En el recurso de organización de destino, establece la política constraints/resourcemanager.allowedImportSources. Agrega el ID de la organización de origen como un valor permitido.

Realice la migración

Una vez que se otorgan los permisos y se aplican las políticas, puedes migrar el proyecto con Google Cloud CLI o la API de Resource Manager.

gcloud

Para migrar un proyecto a otro recurso de organización, ejecuta el siguiente comando:

gcloud beta projects move PROJECT_ID \
    --organization ORGANIZATION_ID

También puedes especificar una carpeta como el recurso de destino con el siguiente comando:

gcloud beta projects move PROJECT_ID \
    --folder FOLDER_ID

Reemplaza los siguientes campos:

  • PROJECT_ID: Es el ID o el número del proyecto que deseas migrar.
  • ORGANIZATION_ID: Es el ID del recurso de organización al que mueves el proyecto.
  • FOLDER_ID: Es el ID de la carpeta a la que mueves el proyecto.

Solo puedes especificar un destino, ya sea una carpeta o un recurso de organización.

API

Con la API de Resource Manager v1, puedes migrar un proyecto entre recursos de organización si configuras su campo parent en el ID del recurso de destino.

Para migrar un proyecto, haz lo siguiente:

  • Obtén el objeto project con el método projects.get().
  • Actualiza el campo parent al ID del recurso de destino.
  • Ejecuta el método projects.update().

En el siguiente fragmento de código, se muestran estos pasos:

    project = crm.projects().get(projectId=flags.projectId).execute()
    project['parent'] = {
        'type': 'organization',
        'id': flags.organizationId
    }

    project = crm.projects().update(
    projectId=flags.projectId, body=project).execute()

Tareas posteriores a la migración

Después de migrar correctamente tu proyecto, debes realizar varias tareas posteriores a la migración para garantizar la continuidad de las operaciones, el cumplimiento de la seguridad y la facturación adecuada. La migración de un proyecto cambia su jerarquía de recursos, lo que afecta los permisos heredados y las políticas a nivel de la organización.

Estos son algunos pasos que puedes completar después de la migración:

  1. Verificación de políticas: Verifica que el proyecto herede las políticas de la organización esperadas de su nuevo superior.

  2. Control de acceso: Audita los roles de IAM para asegurarte de que los usuarios de la nueva organización tengan el acceso necesario.

  3. Facturación: Actualiza la cuenta de facturación si el proyecto debe facturarse a la organización de destino. Este paso es opcional. Para obtener más detalles, consulta Cambia la cuenta de facturación para un proyecto y Migra una cuenta de facturación entre recursos de organización.

  4. Limpieza: Revoca los roles temporales de Trasladador de proyectos y quita las restricciones allowedExportDestinations y allowedImportSources.

Cambia la cuenta de facturación para un proyecto

Las cuentas de Facturación de Cloud se pueden usar en todos los recursos de organización. Mover un proyecto de un recurso de organización a otro no afectará la facturación, y los cargos se seguirán generando en la cuenta de facturación anterior. Sin embargo, la migración de proyectos entre recursos de organización a menudo también incluye el requisito de migrar a una cuenta de facturación nueva.

Para cambiar la cuenta de facturación, haz lo siguiente:

  1. Ve a la página Facturación en la Cloud de Confiance consola.
    Ir a la página de facturación
  2. Haz clic en el nombre de la cuenta de facturación que deseas cambiar.
  3. En Proyectos vinculados a esta cuenta de facturación, busca el nombre del proyecto que deseas migrar y haz clic en el botón de menú que se encuentra a la derecha.
  4. Haz clic en Cambiar facturación y, luego, selecciona la cuenta de facturación nueva.
  5. Haz clic en Establecer la cuenta.

Los cargos que ya se realizaron, pero que todavía no se informaron en el historial de transacciones se facturarán a la cuenta de facturación anterior. Esto puede incluir cargos de hasta dos días antes de que se migrara el proyecto.

Migra una cuenta de facturación entre recursos de organización

Una cuenta de facturación se puede migrar de un recurso de organización a otro, aunque esto no suele ser un paso necesario. La mayoría de los recursos de organización existentes ya tienen una cuenta de facturación que se debe usar en su lugar.

Si una cuenta de facturación nueva no tiene un recurso de organización asociado, debes obtener el rol roles/billing.admin en la cuenta de facturación y los roles roles/billing.admin y roles/billing.creator en el recurso de organización que deseas asociar con tu cuenta de facturación.

Si necesitas migrar una cuenta de facturación existente, sigue estos pasos:

  1. En la Cloud de Confiance consola, ve a la página Facturación.
    Ir a la página de facturación
  2. Haz clic en el nombre de la cuenta de facturación que deseas migrar.
  3. En la parte superior de la página Administración de cuentas, haz clic en Cambiar organización.
  4. Selecciona el recurso de organización de destino y haz clic en Aceptar.

La cuenta de facturación ahora está asociada al recurso de organización especificado.

Revierte una migración

Si migraste un proyecto por error, puedes revertir la operación volviendo a realizar la migración, con la fuente anterior como el nuevo destino y el destino anterior como la nueva fuente. Debes tener los permisos de IAM y las políticas de la organización necesarios aplicadas para permitir esto como si fuera una migración completamente nueva.

Para revertir una migración, haz lo siguiente:

  1. Intercambia los IDs de origen y destino en tus políticas de la organización (allowedExportDestinations y allowedImportSources).
  2. Repite el comando de migración y vuelve a mover el proyecto al ID de origen original.

¿Qué sigue?