En este documento del framework de arquitectura de Google Cloud, se proporcionan prácticas recomendadas para organizar y administrar los recursos en Google Cloud.
Jerarquía de recursos
Los recursos de Google Cloud se organizan de forma jerárquica en organizaciones, carpetas y proyectos. Esta jerarquía te permite administrar aspectos comunes de tus recursos, como los controles de acceso, los ajustes de configuración y las políticas. Si deseas obtener prácticas recomendadas a fin de diseñar la jerarquía de tus recursos de nube, consulta Elige una jerarquía de recursos para tu zona de destino de Google Cloud.
Etiquetas de recursos
En esta sección, se proporcionan prácticas recomendadas para usar etiquetas de recursos y etiquetas de políticas a fin de organizar tus recursos de Google Cloud.
Usa una estructura de carpetas sencilla
Las carpetas permiten agrupar cualquier combinación de proyectos y subcarpetas. Crea una estructura de carpetas sencilla para organizar sus recursos de Google Cloud. Puedes agregar más niveles según sea necesario para definir su jerarquía de recursos y responder a las necesidades de su empresa. La estructura de carpetas es flexible y extensible. Para obtener más información, consulta Crea y administra carpetas.
Usa carpetas y proyectos para reflejar las políticas de administración de datos
Usa carpetas, subcarpetas y proyectos para separar los recursos de una forma que refleje las políticas de administración de datos de la organización. Por ejemplo, puedes usar una combinación de carpetas y proyectos para separar las áreas de ingeniería, finanzas y recursos humanos.
Usa proyectos para agrupar recursos que compartan el mismo límite de confianza. Por ejemplo, los recursos para el mismo producto o microservicio pueden pertenecer al mismo proyecto. Para obtener más información, consulta Elige una jerarquía de recursos para la zona de destino de Google Cloud.
Usa marcas y etiquetas al comienzo del proyecto
Usa etiquetas cuando comiences a usar los productos de Google Cloud, incluso si no los necesitas de inmediato. Agregar etiquetas más adelante puede requerir un esfuerzo manual que puede ser propenso a errores y difícil de completarse.
Una etiqueta de política proporciona una forma de permitir o rechazar políticas de manera condicional en función de si un recurso tiene una etiqueta de política específica. Una etiqueta de recurso es un par clave-valor que te ayuda a organizar tus instancias de Google Cloud. Para obtener más información sobre las etiquetas de recursos, consulta los requisitos para las etiquetas de recursos, una lista de servicios que admiten etiquetas de recursos y formatos de etiquetas de recursos.
Resource Manager cuenta con etiquetas de recursos y etiquetas de políticas que ayudan a administrar los recursos, atribuir e informar costos y asignar políticas a diferentes recursos para lograr un control de acceso más detallado. Por ejemplo, puedes usar etiquetas de recursos y etiquetas de políticas para aplicar los principios de administración y acceso detallado a diferentes recursos y servicios de la instancia. Para obtener información sobre las etiquetas de recursos de VM y las etiquetas de políticas de red, consulta Relación entre etiquetas de recursos de VM y etiquetas de políticas de red.
Puedes usar etiquetas de recursos con varios fines, incluidos los siguientes:
- Administrar la facturación de recursos: Las etiquetas están disponibles en el sistema de facturación, lo que te permite separar el costo por etiquetas. Por ejemplo, puedes etiquetar diferentes centros de costos o presupuestos.
- Agrupar recursos por características similares o por relación: Puedes usar etiquetas para separar diferentes entornos o etapas del ciclo de vida de las aplicaciones. Por ejemplo, puedes etiquetar entornos de producción, desarrollo y prueba.
Asigna etiquetas para respaldar los informes de costos y de facturación
Para admitir informes detallados de costos y facturación según los atributos fuera de las estructuras de informes integradas (como por proyecto o tipo de producto), asigna etiquetas de recursos a los recursos. Las etiquetas de recursos te pueden ayudar a asignar el consumo a los centros de costos, departamentos, proyectos específicos o mecanismos de carga interna. Para obtener más información, consulta la categoría Optimización de costos.
Evita crear una gran cantidad de etiquetas de recursos
Evita crear una gran cantidad de etiquetas de recursos. Te recomendamos crear etiquetas de recursos principalmente a nivel de proyecto y evitar crear etiquetas de recursos a nivel de subequipo. Crear etiquetas de recursos demasiado detalladas puede agregar ruido a tus estadísticas. Para obtener información sobre los casos de uso comunes de las etiquetas de recursos, consulta Usos comunes de las etiquetas de recursos.
Evita agregar información sensible a las etiquetas de recursos
Las etiquetas de recursos no están diseñadas para contener información sensible. No incluyas información sensible en las etiquetas de recursos, incluida información que pueda identificarse de forma personal, como el nombre o el título de una persona.
Anonimiza la información en los nombres de los proyectos
Sigue un patrón de nomenclatura de proyecto, como COMPANY_INITIAL_IDENTIFIER-ENVIRONMENT-APP_NAME, en el que los marcadores de posición son únicos y no revelan nombres de empresas o aplicaciones. No incluyas atributos que puedan cambiar en el futuro, por ejemplo, el nombre o la tecnología de un equipo.
Aplica marcas para modelar las dimensiones del negocio
Puedes aplicar etiquetas de políticas para modelar otras dimensiones del negocio, como la estructura organizativa, las regiones, los tipos de cargas de trabajo o los centros de costos. Para obtener más información sobre las etiquetas de políticas, consulta estos artículos: Descripción general de las etiquetas de políticas, Herencia de las etiquetas de políticas y Crea y administra etiquetas de políticas. Para aprender a usar etiquetas de políticas con políticas, consulta Políticas y etiquetas de políticas. Si deseas obtener información sobre cómo usar las etiquetas de políticas para administrar el control de acceso, consulta Etiquetas de políticas y control de acceso.
Políticas de organización
En esta sección, se proporcionan prácticas recomendadas para configurar reglas de administración en los recursos de Google Cloud en toda la jerarquía de recursos de nube.
Establece convenciones de nombres de proyectos
Establece una convención de nombres estandarizada de proyectos, por ejemplo, SYSTEM_NAME-ENVIRONMENT (dev, test, uat, stage, prod).
Los nombres de proyectos tienen un límite de 30 caracteres.
Aunque puedes aplicar un prefijo como COMPANY_TAG-SUB_GROUP/SUBSIDIARY_TAG, los nombres de los proyectos pueden quedar desactualizados cuando las empresas pasen por reorganizaciones.
Considera mover nombres identificables de los nombres de los proyectos a las etiquetas de proyectos.
Automatiza la creación de proyectos
Para crear proyectos destinados a producción y negocios de gran escala, usa un proceso automatizado como Deployment Manager o el módulo de Terraform de fábrica de proyectos de Google Cloud. Estas herramientas hacen lo siguiente:
- Crean de manera automática entornos o proyectos de desarrollo, prueba y producción que tengan los permisos adecuados
- Configuran el registro y la supervisión
El módulo de Terraform de fábrica de proyectos de Google Cloud te ayuda a automatizar la creación de proyectos de Google Cloud. En empresas grandes, te recomendamos que revises y apruebes los proyectos antes de crearlos en Google Cloud. Este proceso ayuda a garantizar lo siguiente:
- Que los costos se puedan atribuir. Para obtener más información, consulta la categoría Optimización de costos.
- Que se establezcan aprobaciones para las cargas de datos.
- Que se cumplan los requisitos normativos o de cumplimiento.
Cuando automatizas la creación y administración de proyectos y recursos de Google Cloud, obtienes el beneficio de la coherencia, la reproducibilidad y la capacidad de realizar pruebas. Si tratas a la configuración como código, podrás controlar las versiones y administrar el ciclo de vida de la configuración junto con los artefactos del software. Con la automatización, podrás aplicar las recomendaciones, como las convenciones de nombres coherentes y el etiquetado de los recursos. A medida que tus requisitos evolucionan, la automatización simplifica la refactorización de proyectos.
Audita tus sistemas con regularidad
Para garantizar que las solicitudes de proyectos nuevos se puedan auditar y aprobar, integra el sistema de tickets de tu empresa o un sistema independiente que proporcione auditorías.
Configura proyectos de manera coherente
Configura proyectos para satisfacer las necesidades de tu organización de forma coherente. Cuando configures proyectos, incluye lo siguiente:
- ID del proyecto y convenciones de nombres
- Vinculación de cuentas de facturación
- Configuración de redes
- API y servicios habilitados
- Configuración de acceso de Compute Engine
- Informes de uso y exportación de registros
- Retención de eliminación de proyectos
Separa y aísla las cargas de trabajo o entornos
Las cuotas y los límites se aplican a nivel de proyecto. Para administrar las cuotas y los límites, separa y aísla las cargas de trabajo o los entornos a nivel de proyecto. Para obtener más información, consulta Trabaja con cuotas.
Los entornos de separación son diferentes de los requisitos de clasificación de datos. Separar los datos de la infraestructura puede ser costoso y complejo de implementar, por lo que recomendamos que implementes la clasificación de datos en función de los requisitos de cumplimiento y de sensibilidad de los datos.
Aplica el aislamiento de facturación
Aplica el aislamiento de facturación para admitir diferentes cuentas de facturación y visibilidad de costos por carga de trabajo y entorno. Para obtener más información, consulta Crea, modifica o cierra la cuenta de Facturación de Cloud de servicio automático y Habilita, inhabilita o cambia la facturación de un proyecto.
A fin de minimizar la complejidad administrativa, usa controles de administración de acceso detallados para entornos críticos a nivel de proyecto o para cargas de trabajo que se distribuyen en varios proyectos. Cuando seleccionas el control de acceso para aplicaciones de producción críticas, te aseguras de que las cargas de trabajo estén protegidas y administradas de manera eficaz.
Usa el Servicio de políticas de la organización para controlar recursos
El servicio de políticas de la organización les brinda a los administradores de políticas un control centralizado y programático de los recursos en la nube de la organización, de modo que puedan configurar restricciones en toda la jerarquía de recursos. Para obtener más información, consulta Agrega un administrador de políticas de la organización.
Usa el Servicio de políticas de la organización para cumplir con las políticas reglamentarias
A fin de satisfacer los requisitos de cumplimiento, usa el Servicio de políticas de la organización para controlar el acceso a los recursos y su uso compartido. Por ejemplo, puedes limitar el uso compartido con partes externas o determinar dónde implementar los recursos de la nube de manera geográfica. Otras situaciones de cumplimiento incluyen las siguientes:
- Centralizar el control para configurar restricciones que definan cómo se pueden usar los recursos de tu organización.
- Definir y establecer políticas para ayudar a los equipos de desarrollo a permanecer dentro de los límites de cumplimiento.
- Ayudar a los propietarios de proyectos y sus equipos a realizar cambios en el sistema mientras se mantiene el cumplimiento normativo y se minimizan los problemas sobre la violación de las reglas de cumplimiento.
Limita el uso compartido de recursos según el dominio.
Una política de la organización de uso compartido restringido te ayuda a evitar que los recursos de Google Cloud se compartan con identidades fuera de tu organización. Para obtener más información, consulta Restringe identidades por dominio y Restricciones de la política de la organización.
Inhabilita la creación de claves y la cuenta de servicio
Para ayudar a mejorar la seguridad, limita el uso de las cuentas de servicio de Identity and Access Management (IAM) y las claves correspondientes. Para obtener más información, consulta Restringe el uso de las cuentas de servicio.
Restringe la ubicación física de recursos nuevos
Restringe la ubicación física de los recursos recién creados mediante la restricción de las ubicaciones de recursos. Para ver una lista de las restricciones que te permiten controlar los recursos de tu organización, consulta las restricciones del servicio de políticas de la organización.
¿Qué sigue?
Obtén más información sobre cómo elegir y administrar el procesamiento, lo que incluye lo siguiente:
Explora otras categorías en el framework de arquitectura, como la confiabilidad, la excelencia operativa y la seguridad, la privacidad y el cumplimiento.