Configura un recurso de organización de Google Cloud

El recurso de la organización es el nodo raíz en la Google Cloud jerarquía de recursos y es el supernodo jerárquico de los proyectos. En esta página, se explica cómo adquirir y administrar un recurso de la organización.

Antes de comenzar

Lee una descripción general del recurso de la organización.

Obtén un recurso de la organización

Un recurso de la organización está disponible para los clientes de Google Workspace y Cloud Identity :

Una vez que hayas creado tu cuenta de Google Workspace o Cloud Identity y la asocies con un dominio, el recurso de tu organización se creará automáticamente. El recurso se aprovisionará en diferentes momentos según el estado de tu cuenta:

  • Si eres nuevo en Google Cloud y aún no creaste un proyecto, se creará el recurso de la organización cuando accedas a la Google Cloud consola y aceptes los Términos y Condiciones.
  • Si ya eres usuario de Google Cloud , se creará el recurso de organización cuando crees un proyecto o una cuenta de facturación nuevos. Todos los proyectos que hayas creado anteriormente aparecerán en "Sin organización" y esto es normal. Aparecerá el recurso de la organización y se vinculará automáticamente el proyecto nuevo que creaste.

    Deberás trasladar cualquier proyecto que hayas creado en "Sin organización" a tu recurso nuevo de organización. Para obtener instrucciones sobre cómo trasladar tus proyectos, consulta Migra proyectos a un recurso de la organización.

El recurso de organización que se cree se vinculará a tu cuenta de Google Workspace o Cloud Identity con el proyecto o la cuenta de facturación que creaste configurada como recurso secundario. Todos los proyectos y cuentas de facturación creados en tu dominio de Google Workspace o Cloud Identity serán recursos secundarios de este recurso de organización.

Cada cuenta de Google Workspace o Cloud Identity se asocia con un solo recurso de la organización. Un recurso de la organización se asocia con un solo dominio, que se establece cuando se crea el recurso de la organización.

Para adoptar de forma activa el recurso de la organización, los administradores avanzados de Google Workspace o Cloud Identity le deben asignar la función Administrador de la organización (roles/resourcemanager.organizationAdmin) de Identity and Access Management (IAM) a un usuario o grupo. Si quieres obtener los pasos para configurar tu recurso de la organización, consulta Configura el recurso de tu organización.

  • Cuando se crea el recurso de la organización, a todos los usuarios de tu dominio se les otorgan las funciones de IAM de creador de proyectos (roles/resourcemanager.projectCreator) y creador de cuentas de facturación (roles/billing.creator) de forma automática a nivel del recurso de la organización. Esto permite que los usuarios de tu dominio sigan creando proyectos sin interrupciones.
  • El administrador de la organización decidirá cuándo quiere comenzar a usar el recurso de la organización de forma activa. Luego, puede cambiar los permisos predeterminados y aplicar de forma forzosa las políticas más restrictivas, según sea necesario.
  • Si el recurso de la organización está disponible y no tienes los permisos de IAM para visualizarlo, todavía puedes crear los proyectos y las cuentas de facturación. Estos se crean de forma automática en el recurso de la organización, incluso si no puedes verlo.

Google Cloud Modelo de referencia de seguridad

Google Cloud El modelo de referencia de seguridad aborda las posturas de seguridad no seguras con un paquete de políticas de la organización que se aplican cuando se crea un recurso de la organización. Estas restricciones se crean y se aplican automáticamente en tu organización cuando se crea. Para obtener información sobre cómo ver y administrar estas restricciones, consulta Google Cloud Restricciones del modelo de referencia de seguridad.

Obtén el ID de tu recurso de la organización

El ID del recurso de la organización es un identificador único de un recurso de la organización y se crea de forma automática cuando se crea el recurso de la organización. Los IDs de los recursos de la organización tienen el formato de números decimales y no pueden tener ceros a la izquierda.

Puedes obtener el ID de tu recurso de la organización mediante la Google Cloud consola, gcloud CLI o la API de Cloud Resource Manager.

Consola

Para obtener el ID de tu recurso de la organización mediante la Google Cloud consola, haz lo siguiente:

  1. Ve a la Google Cloud consola:

    Ir a la Google Cloud consola

  2. En el selector de proyectos en la parte superior de la página, selecciona tu recurso de la organización.
  3. En el lado derecho, haz clic en Más y, luego, haz clic en Configuración.

En la página Configuración , se muestra el ID de tu recurso de la organización.

gcloud

Para encontrar el ID de tu recurso de la organización, ejecuta el siguiente comando:

gcloud organizations list

Este comando muestra todos los recursos de la organización a los que perteneces y sus IDs de recursos de la organización correspondientes.

API

Para encontrar el ID de tu recurso de la organización con la API de Cloud Resource Manager, usa el organizations.search() método, incluida una consulta para tu dominio. Por ejemplo:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

La respuesta contiene los metadatos del recurso de la organización que pertenece a altostrat.com, que incluye el ID del recurso de la organización.

Configura el recurso de tu organización

Si eres un cliente de Google Workspace o Cloud Identity, se te proporcionará de forma automática un recurso de la organización.

Los administradores avanzados de Google Workspace o Cloud Identity son los primeros usuarios que pueden acceder al recurso de la organización cuando esta se crea. Todos los demás usuarios o grupos podrán usar Google Cloud cómo antes. Podrán ver el recurso de la organización, pero solo podrán modificarlo una vez que se hayan configurado los permisos adecuados.

Los administradores avanzados de Google Workspace o Cloud Identity y el Google Cloud Administrador de la organización son roles clave durante el proceso de configuración y para controlar el ciclo de vida del recurso de la organización.

De forma predeterminada, a la cuenta de administrador avanzado de Google Workspace o Cloud Identity que crea el recurso de la organización se le asigna automáticamente el rol Administrador de la organización. Sin embargo, para mantener la separación de funciones, recomendamos que el superadministrador delegue el rol Administrador de la organización a un usuario o grupo diferente.

Las responsabilidades de los administradores avanzados de Google Workspace o Cloud Identity, en el contexto de Google Cloud la configuración del recurso de la organización, son las siguientes:

  • Asignar la función de Administrador de la organización a algunos usuarios
  • Ser un punto de contacto en caso de problemas de recuperación.
  • Controlar el ciclo de vida de la cuenta de Google Workspace o Cloud Identity y del recurso de la organización como se explica en la sección sobre cómo borrar una organización

El Administrador de la organización, una vez asignado, puede asignarle roles de Identity and Access Management a otros usuarios. Las responsabilidades del rol de Administrador de la organización son las siguientes:

  • Definir políticas de permiso y denegación, y otorgar roles a otros usuarios
  • Ver la estructura de la jerarquía de recursos

De acuerdo con el principio de privilegio mínimo, esta función no incluye el permiso para realizar otras acciones, como crear carpetas o proyectos. Para obtener estos permisos, un Administrador de la organización debe asignarle roles adicionales a su cuenta.

Si bien el mismo usuario puede tener ambos roles, tener dos roles distintos garantiza la separación de funciones entre los administradores avanzados de Google Workspace o Cloud Identity y el Google Cloud Administrador de la organización. Esto suele ser un requisito ya que, en general, a los dos productos de Google los administran distintos departamentos de la organización del cliente.

Para usar de forma activa el recurso de la organización, sigue estos pasos para agregar un Administrador de la organización:

Agrega un Administrador de la organización

Para agregar un Administrador de la organización, puedes usar la Google Cloud consola, Google Cloud CLI o la API de Resource Manager.

Consola

  1. Accede a la Google Cloud consola como administrador avanzado de Google Workspace o Cloud Identity y navega a la página IAM y administración:

    Abrir la página IAM y administración

  2. Selecciona el recurso de la organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de , haz clic en la lista desplegable de la organización y selecciona el recurso de la organización al que deseas agregar un Administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir su página de Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que desees establecer como Administradores de la organización.

  4. En la lista desplegable Seleccionar una función , selecciona Resource Manager > Administrador de la organización y, luego, haz clic en Guardar.

    El Administrador de la organización puede hacer lo siguiente:

    • Puede tomar el control total del recurso de la organización. Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el Google Cloud administrador.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.

gcloud

Para agregar un Administrador de la organización, ejecuta el gcloud organizations add-iam-policy-binding comando:

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="user:EMAIL_ADDRESS" \
    --role="roles/resourcemanager.organizationAdmin"

Reemplaza lo siguiente:

  • ORGANIZATION_ID: El ID único de tu recurso de la organización.
  • EMAIL_ADDRESS: La dirección de correo electrónico del usuario que deseas agregar como Administrador de la organización.

API

Para agregar un Administrador de la organización, llama al setIamPolicy método en el recurso de la organización.

  1. Obtén la política de IAM actual para el recurso de la organización:

    POST https://cloudresourcemanager.googleapis.com/v3/organizations/ORGANIZATION_ID:getIamPolicy
    
  2. Actualiza la política que se muestra para agregar el miembro al rol roles/resourcemanager.organizationAdmin.

  3. Establece la política actualizada:

    POST https://cloudresourcemanager.googleapis.com/v3/organizations/ORGANIZATION_ID:setIamPolicy
    {
      "policy": {
        "bindings": [
          {
            "role": "roles/resourcemanager.organizationAdmin",
            "members": [
              "user:EMAIL_ADDRESS"
            ]
          }
        ],
        "etag": "ETAG_VALUE"
      }
    }
    

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: El ID único de tu recurso de la organización.
    • EMAIL_ADDRESS: La dirección de correo electrónico del usuario que deseas agregar como Administrador de la organización.
    • ETAG_VALUE: El valor de etag de la política que se muestra en el primer paso.

Como se explica en la sección sobre cómo obtener un recurso de la organización, tras la creación, a todos los usuarios del dominio se les otorgan las funciones de creador de proyectos y creador de cuentas de facturación a nivel del recurso de la organización de forma predeterminada. Esto garantiza que los usuarios de no sufran interrupciones cuando se crea el recurso de la organización. Google Cloud A medida que el Administrador de la organización toma el control, es posible que quieras quitar estos permisos a nivel de la organización para comenzar a bloquear el acceso con mayor nivel de detalle (por ejemplo, a nivel de la carpeta o del proyecto). Ten en cuenta que, dado que las políticas de permiso y denegación se heredan de la jerarquía, tener la función de creador de proyectos asignada en todo el dominio (domain:mycompany.com) a nivel del recurso de la organización implica que todos los usuarios en el dominio pueden crear proyectos en cualquier nivel de la jerarquía.

¿Qué sigue?