Crea una carpeta administrada por socios

En esta página, se explica cómo crear una carpeta nueva para los Controles de soberanía operados por socios. Debes crear esta carpeta antes de crear cualquier otro recurso que esté destinado a usarse con los Controles soberanos operados por socios.

Antes de comenzar

Antes de crear una carpeta nueva, asegúrate de haber hecho lo siguiente:

Completaste la integración en Google Cloud y recibiste un correo electrónico en el que se te indica que crees una carpeta administrada por socios.
Si tu organización aplica la restricción de política de la organización iam.allowedPolicyMemberDomains, debes permitir los siguientes IDs de dominio adicionales antes de crear tu carpeta de Controles soberanos por socios:
- ID de la organización Google Cloud o ID de cliente de Google Workspace del socio
- ID de cliente de Google, que es C02h8e9nw
Si permites estos IDs, tu socio y Google podrán otorgar roles de IAM en tu organización según sea necesario para administrar tus cargas de trabajo. Si tu socio no proporcionó su ID de organización o ID de cliente durante el proceso de incorporación, pídele que lo haga. Si intentas crear una carpeta antes de permitir estos IDs, la operación fallará y se mostrará el siguiente error: One or more users named in the policy do not belong to a permitted customer.

Consulta la página Restringe identidades por dominio para obtener más información sobre cómo actualizar la restricción iam.allowedPolicyMemberDomains.
Asegúrate de comprender las restricciones y limitaciones asociadas con el límite de datos que ofrece tu socio.

Crea una carpeta nueva

En la consola de Google Cloud , ve a la página Assured Workloads.
Ir a Assured Workloads
Si se te solicita, selecciona tu organización.
Haz clic en CREAR para ir a la página Crea una carpeta de Assured Workloads.
Nota: Los Controles soberanos de los socios son una oferta de Assured Workloads y comparten capacidades y funciones similares.
En el paso Agrega detalles de la carpeta, haz lo siguiente:
- En Nombre de la carpeta, ingresa un nombre único para la carpeta, como aw-my-folder-name. El nombre de la carpeta debe tener un mínimo de 4 caracteres y un máximo de 30, y solo puede contener letras, números, espacios y guiones.
  Nota: Cuando nombres las carpetas de Assured Workloads para Sovereign Controls by Partners, ten en cuenta lo siguiente:
  - Para identificar la carpeta como una carpeta de Assured Workloads, incluye un prefijo en su nombre (como aw-). Este identificador puede ayudarte a ubicar la carpeta desde una lista de otros recursos. Si tienes carpetas existentes de Assured Workloads, considera usar otra convención de nomenclatura para diferenciar tu carpeta de Sovereign Controls by Partners de ellas.
  - No incluyas datos sensibles ni información de identificación personal (PII) en el nombre de la carpeta.
- En Organización, selecciona la organización en la que deseas crear tu carpeta. Esta ubicación no se podrá cambiar más adelante.
- En Ubicación de la carpeta, selecciona la ubicación en la jerarquía de recursos donde se creará la carpeta. Se puede crear una carpeta de Controles soberanos operados por socios como secundaria de una organización o de otra carpeta.
- Haz clic en Siguiente.
En el paso Elige una opción de paquete de control, selecciona Controles soberanos.
Selecciona tu solución administrada por el socio en el menú desplegable.
Selecciona una cuenta de facturación secundaria si tu socio creó una para ti.
En Selecciona la ubicación del recurso, elige la ubicación en la que la política de la organización de la carpeta aplicará la creación y el uso de recursos.
Revisa los detalles de tus selecciones y haz clic en Siguiente.
En el paso Configura parámetros adicionales, debes crear un proyecto nuevo y un llavero de claves para tus claves de encriptación administradas por el cliente (CMEK). No se crean claves durante este paso, ya que los Controles soberanos de socios no crean automáticamente claves criptográficas para ti.
Nota: Una vez que se cree tu proyecto de administración de claves, completa los pasos para crear una clave externa coordinada. Cuando creas una clave externa coordinada para Cloud EKM, ten en cuenta que las versiones de clave creadas manualmente no se configuran automáticamente como la versión de clave primaria. Para establecerla como clave primaria, consulta Rota una clave.
Según el socio soberano que elijas, es posible que tengas un paso adicional para administrar los permisos del socio. En este paso, puedes otorgarle a tu socio acceso a los siguientes datos:
- Monitoring: Incluye permisos para ver la información de supervisión de Assured Workloads sobre tu carpeta. Esto incluye los incumplimientos de cumplimiento resueltos o no resueltos, y las excepciones que hayas otorgado para esos incumplimientos.
- Registros de Transparencia de acceso y acceso de emergencia: Incluye permisos para ver los registros de Transparencia de acceso y los registros de acceso de emergencia de tu carpeta.
- Detalles del caso de asistencia de la Transparencia de acceso: Incluye permisos para incluir detalles adicionales del caso de asistencia que se usan como motivo de acceso en los registros de Transparencia de acceso de tu carpeta. Se necesita permiso para los registros de Transparencia de acceso y acceso de emergencia para que este permiso surta efecto.
- Información de Aprobación de acceso: Incluye permisos para ver los registros de Aprobación de acceso de tu carpeta.
Para obtener más información sobre cómo se otorgan o revocan estos permisos, consulta la sección Permisos de socio.
Después de realizar las selecciones, haz clic en Siguiente.
En el paso para revisar y crear la carpeta, revisa los detalles sobre tu nueva carpeta de Sovereign Controls by Partners y asegúrate de que sean correctos. Luego, haz clic en Crear carpeta.

Después de completar estos pasos, Sovereign Controls by Partners crea los siguientes recursos:

Una carpeta de Controles soberanos de los socios, que aplica controles de seguridad en los productos admitidos Google Cloud para cumplir con la oferta de tu socio Estos controles incluyen establecer una política de la organización que restringe el uso de recursos solo a los productos admitidos y permite crear o usar recursos solo en ubicaciones permitidas.
Un proyecto de CMEK que contiene el llavero de claves CMEK configurado.
Nota: La creación de carpetas no genera claves automáticamente. Después de crear la carpeta, debes crear una clave de encriptación antes de agregar recursos.

Permisos de socios

Si decides otorgarle a tu socio acceso a la supervisión de Assured Workloads y a los datos del historial de acceso, puedes revocar este acceso en cualquier momento. Para otorgar o revocar el acceso a todos los tipos de datos, completa los siguientes pasos:

En la consola de Google Cloud , ve a la página Assured Workloads.

Ir a Assured Workloads
Haz clic en el nombre de tu carpeta de Controles soberanos por socios para ver sus detalles.
En la página Detalles de la carpeta de Assured Workloads, haz clic en el botón Configurar permisos de socio en la sección info Permisos de socio.
En el panel Configurar permisos del socio, selecciona las casillas de verificación para otorgar o revocar el permiso para cada tipo de datos y, luego, haz clic en Guardar.

El acceso de tu socio a estos datos se otorgará o revocará según tus selecciones.

Supervisión

Para habilitar el acceso de socios a los datos de supervisión de Assured Workloads de tu carpeta, se otorga un rol de Identity and Access Management (IAM) al agente de servicio de Cloud Controls Partner. Al igual que todos los agentes de servicio, el agente de servicio de Cloud Controls Partner actúa en nombre de Sovereign Controls by Partners. Es visible en la política de IAM de tu carpeta de Controles soberanos de socios y usa el siguiente formato de correo electrónico, en el que FOLDER_ID es el ID de esa carpeta:

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

Al agente de servicio se le otorga el rol de IAM de Agente de servicio de supervisión de Cloud Controls Partner (roles/cloudcontrolspartner.monitoringServiceAgent) en tu carpeta. Consulta la referencia de IAM para obtener más información sobre este rol y sus permisos.

Próximos pasos

Obtén más información para configurar KMS administrado por socios