En esta guía, se proporciona información para obtener y administrar una organización independiente en Google Cloud.
El recurso de organización actúa como el nodo raíz de tu Google Cloud jerarquía de recursos. En la mayoría de los casos, para crear una organización, debes ser un administrador avanzado de Cloud Identity y conectar la Google Cloud organización a un dominio DNS.
Con las organizaciones independientes, no necesitas Cloud Identity. Cuando te registras en y proporcionas una dirección de correo electrónico de Google, se crea automáticamente la organización independiente . Google Cloud Como propietario de la cuenta, también obtienes el rol de Propietario de la organización. Luego, puedes usar la página Detalles de la organización para administrar el acceso de propiedad de otros usuarios.
Las organizaciones independientes ofrecen los siguientes beneficios:
- Capacidad de agregar usuarios con identidades federadas como propietarios de la organización
- Capacidad de admitir varias organizaciones para probar diferentes funciones
- Capacidad de admitir varios propietarios de la organización para evitar puntos únicos de falla si un empleado se va
En la siguiente tabla, se describen las diferencias entre una organización de Cloud Identity y una organización independiente.
| Función | Organización de Cloud Identity | Organización independiente |
|---|---|---|
| Fundamental | ||
| Requiere Cloud Identity | Sí | No |
| Registro | ||
| Identidades necesarias para registrarse | 2 | 1 |
| Requiere verificación de dominio o DNS | Sí | No |
| Propiedad | ||
| Propiedad irrevocable del administrador avanzado | Sí | No |
| Cloud Identity como propietario de la organización | Sí | Sí |
| Identidades federadas como propietario de la organización | No es posible | Sí |
| Cuenta de Google como propietario de la organización | No es posible | Sí |
| Lifecycle | ||
| Cambiar el propietario de la organización | No es posible | Sí |
| Borrar organización | No de forma aislada | Sí |
| Restablecer una organización borrada | No es posible | Sí |
| Cambiar el nombre visible | No es posible | Sí |
| Gobernanza | ||
| Definir políticas de límite de acceso de las principales (PAB) para restringir a los usuarios | Sí | Sí |
Antes de comenzar
Antes de comenzar, revisa lo siguiente:
- Comprende el recurso de organización.
- Aprende a decidir una jerarquía de recursos para tu Google Cloud zona de destino.
Identifica tu organización
Tu organización independiente se identifica con un nombre y un ID de organización.
Nombre de la organización
El nombre predeterminado de la organización se crea combinando el nombre de usuario con -org.
Los caracteres especiales del nombre de usuario se reemplazan por un guion. Por ejemplo, si el nombre de usuario es lara_brown, el nombre de la organización será lara-brown-org.
Ninguna API de Google usa este nombre. Puedes editar el nombre de la organización en cualquier momento después de crearla.
Asegúrate de que los nombres cumplan con los siguientes criterios:
- Contener solo letras, números o guiones
- No usar un nombre de dominio Los nombres de dominio están reservados solo para las organizaciones de Cloud Identity y Google Workspace.
- No contener palabras comunes como 'Google Cloud'.
ID de organización
El ID de la organización es un identificador único a nivel global para tu organización. La Google Cloud consola genera este número para diferenciar tu organización de todas las demás en Google Cloud. Los IDs de la organización tienen el formato de números enteros y no pueden tener ceros a la izquierda.
No incluyas información sensible, como información de identificación personal (PII) ni datos de seguridad en el nombre de tu organización ni en otros nombres de recursos. El ID de la organización se usa en el nombre de muchos otros Google Cloud recursos. Cualquier referencia a la organización o a los recursos relacionados expone el ID de la organización y el nombre del recurso.
Obtén un recurso de organización independiente
Las organizaciones independientes están disponibles para todos los clientes nuevos de la prueba gratuita Google Cloud . Después de crear tu Google Cloud cuenta, se crea automáticamente el recurso de la organización. Esto ocurre cuando accedes a la Google Cloud consola y aceptas las condiciones. Las organizaciones independientes no están disponibles para las cuentas existentes Google Cloud
Solo se crea una organización por cuenta de usuario. Sin embargo, puedes invitar a un solo usuario para que sea propietario y administre varias organizaciones.
Cuando se crea el recurso de la organización, el sistema asigna los siguientes roles al propietario de la cuenta:
roles/cloudowner.admin(Propietario de la organización)roles/resourcemanager.organizationAdmin(Administrador de la organización)
El rol de Propietario de la organización se administra fuera de IAM y otorga permisos para administrar a los propietarios y administradores de la organización desde la página Detalles de la organización. Para obtener información sobre cómo agregar más propietarios y administradores a tu organización, consulta Configura tu organización independiente.
Obtén el ID de tu organización
Para obtener el ID de tu organización independiente, puedes usar la Google Cloud consola de, Google Cloud CLI o la API de Resource Manager.
Console
En la Google Cloud consola de, ve a la página Mis organizaciones.
En la tabla, se enumeran tus organizaciones y sus IDs.
gcloud
Para encontrar el ID del recurso de tu organización, ejecuta el siguiente comando:
gcloud organizations list
Este comando muestra una lista de todos los recursos de la organización a los que perteneces y los IDs correspondientes de los recursos de la organización.
API
Para encontrar el ID del recurso de tu organización con la API de Resource Manager, usa el
organizations.search() método, incluida una consulta para tu dominio. Por ejemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La respuesta contiene los metadatos del recurso de la organización que pertenece a altostrat.com, que incluye el ID del recurso de la organización.
Configura tu organización independiente
Cuando creas una Google Cloud cuenta de, automáticamente obtienes un recurso de organización independiente. En esta sección, aprenderás sobre la configuración inicial, los roles esenciales y cómo administrar estos permisos dentro de tu organización.
El creador de la cuenta es el primer usuario con acceso al recurso de la organización. Otros usuarios de la organización pueden ver el recurso, pero solo pueden modificarlo después de que se establezcan los permisos adecuados.
El Propietario de la organización y el Administrador de la organización son roles clave para configurar y controlar el ciclo de vida del recurso de la organización. Por lo general, estos dos roles se asignan a diferentes usuarios o grupos, según la estructura y las necesidades de tu organización.
Responsabilidades del Propietario de la organización
El rol de Propietario de la organización te permite realizar las siguientes acciones:
- Asignar el rol de Administrador de la organización a otros usuarios
- Servir como punto de contacto en caso de problemas de recuperación
- Controlar el ciclo de vida del recurso de la organización independiente, como se explica en Borra, restablece y cambia el nombre de organizaciones independientes.
Los propietarios de la organización pueden ser personas físicas o principales dentro de un grupo de trabajadores. Cada organización independiente siempre debe tener al menos una Cuenta de Google activa como propietario de la organización. No se pueden invitar cuentas de servicio para que se conviertan en propietarios de la organización.
Responsabilidades del Administrador de la organización
El rol de Administrador de la organización te permite realizar las siguientes acciones:
- Definir políticas de permiso y denegación
- Otorgar roles de Identity and Access Management a otros usuarios en Google Cloud
- Ver la jerarquía de recursos
De acuerdo con el principio de privilegio mínimo, este rol te impide realizar otras acciones, como crear carpetas o proyectos. Para obtener estos permisos, un Administrador de la organización debe asignarle roles adicionales a tu cuenta.
Otorga el rol de Propietario de la organización a personas físicas
- Accede a la Google Cloud consola de como propietario de la organización.
En la Google Cloud consola de, ve a la página Detalles de la organización.
En Propietario de la organización, haz clic en Agregar propietario de la organización.
Ingresa la dirección de correo electrónico de la principal que deseas agregar como propietario. El sistema envía un correo electrónico a la principal para invitarla a convertirse en propietario de la organización. La principal debe aceptar la invitación en un plazo de 30 días para convertirse en propietario de la organización.
Otorga el rol de Propietario de la organización a los usuarios de un grupo de identidades de personal
En este paso, se supone que ya configuraste la federación de identidades de personal para tu organización. Además, asegúrate de que los Contactos esenciales estén configurados en tu cuenta.
- Accede a la Google Cloud consola de como propietario de la organización.
En la Google Cloud consola de, ve a la página Detalles de la organización.
En Propietario de la organización, haz clic en Agregar propietario de la organización.
Ingresa el identificador principal del usuario en el formato
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Haz clic en Siguiente.
Ingresa la dirección de correo electrónico a la que se enviará el vínculo de invitación del propietario. Google Cloud envía un correo electrónico al usuario para invitarlo a convertirse en propietario de la organización. Para convertirse en propietario de la organización, el usuario debe aceptar la invitación en un plazo de 30 días. Cuando el usuario acepta la invitación, se le otorga automáticamente el rol de Administrador de la organización.
Otorga el rol de Administrador de la organización
El Propietario de la organización puede otorgar el rol de Administrador de la organización a otros usuarios desde la página Detalles de la organización. Esto es útil si quitaste por error los permisos de Administrador de la organización de todos los usuarios que pueden establecer políticas de IAM en la organización y necesitas restablecer el acceso.
Para otorgar a los usuarios el rol de Administrador de la organización, sigue estos pasos:
- Accede a la Google Cloud consola de como propietario de la organización.
En la Google Cloud consola de, ve a la página Detalles de la organización.
Consulta la lista de propietarios de la organización en la tabla Propietarios de la organización.
Selecciona la principal a la que deseas asignar el rol de Administrador de la organización.
En la última columna de la tabla, en Acciones, haz clic en Más acciones junto a la principal.
Haz clic en Otorgar rol de Administrador de la organización. A la principal se le otorga el rol de Administrador de la organización (
roles/resourcemanager.organizationAdmin) en el recurso de la organización.
Quita un propietario de la organización
Para quitar usuarios con el rol de Propietario de la organización, sigue estos pasos:
- Accede a la Google Cloud consola de como propietario de la organización.
En la Google Cloud consola de, ve a la página Detalles de la organización.
En Propietarios de la organización, selecciona la principal que deseas quitar.
En la última columna de la tabla, en Acciones, haz clic en Más acciones junto a la principal.
En el diálogo que aparece, haz clic en Quitar.
Quita un administrador de la organización
Para quitar usuarios con el rol de Administrador de la organización, sigue estos pasos:
En la Google Cloud consola de, ve a la página IAM.
En IAM Allow, ve a Ver por principales.
Ubica la fila que contiene la principal a la que le otorgaste roles y haz clic en Editar principal en esa fila.
En el panel Editar permisos, haz clic en el ícono de borrar junto al rol de Administrador de la organización.
Haz clic en Guardar.