Organiza tus recursos


Descripción general

Config Connector puede crear y administrar recursos de Google Cloud a nivel de proyecto, de carpeta o de organización. Config Connector debe determinar lo siguiente:

  • Indica si se debe crear el recurso a nivel del proyecto, de la carpeta o de la organización.
  • Qué proyecto, organización o carpeta usar

Como resultado, Config Connector primero comprueba si hay un campo que define el permiso en la especificación del recurso, si no lo encuentra, y luego comprueba si hay una anotación que defina el permiso. La mayoría de los recursos de Google Cloud pueden crearse solo a nivel de proyecto.

Una vez que se crea un recurso de forma correcta, sin importar cómo se configure el alcance, el campo o la anotación se vuelven inmutables. Para cambiar el alcance de un recurso, debes borrar el recurso actual y crear uno nuevo en un permiso de proyecto, organización o carpeta diferente.

Campo que define el alcance

Un campo de especificación del recurso que define el permiso es parte de la especificación del recurso y solo se puede establecer en la configuración del recurso. Sigue la convención de nombres de la referencia SCOPE. Según el tipo de recurso, el esquema de la especificación puede contener al menos uno de los siguientes campos:

  • projectRef
  • folderRef
  • organizationRef

Anotación que define el alcance

Puedes definir una anotación que defina el alcance en la configuración del recurso o en el espacio de nombres de Kubernetes que contiene el recurso. Existen tres tipos de anotaciones que definen el alcance según el tipo de recurso:

  • cnrm.cloud.google.com/project-id
  • cnrm.cloud.google.com/folder-id
  • cnrm.cloud.google.com/organization-id

La mayoría de los recursos de Config Connector admiten campos que definen el alcance. Recomendamos usar campos en lugar de anotaciones que definan el alcance, ya que hacen que la especificación del recurso sea más independiente y habilita la creación de un alcance y sus recursos contenidos en un solo paso. En el caso de los recursos que no admiten campos para definir el alcance, puedes proporcionar la anotación que define el alcance en su configuración o, de forma predeterminada, la anotación para todos los recursos de un espacio de nombres en particular se debe anotar el espacio de nombres. La anotación del espacio de nombres se ignora si el recurso tiene la anotación que define el alcance directamente en su configuración.

Excepciones

Si el concepto de permiso no se aplica a un recurso de Config Connector, no es necesario que especifiques un permiso de proyecto, organización o carpeta. En particular, si un recurso enumerado en la página de referencia de recursos no tiene un campo o una anotación que defina el alcance, no es necesario que agregues un alcance.

Algunos recursos, como BillingBudgetsBudget, están vinculados a una cuenta de Facturación de Google Cloud y requieren que especifiques los datos de la cuenta de facturación.

Los recursos de IAM, incluidos IAMPolicy, IAMPartialPolicy, IAMPolicyMember y IAMAuditConfig, no requieren que proporciones un permiso. En su lugar, estos recursos se adjuntan a otro recurso de Google Cloud a través del campo spec.resourceRef. Este otro recurso de Google Cloud puede ser un PubSubTopic, un SpannerInstance o incluso un “permiso” como un proyecto, una carpeta o una organización, que se modelan como un recurso de Google Cloud.

¿Qué sigue?

Consulta cómo aplicar los siguientes tipos de permisos: