Lista de tareas para la configuración de Google Cloud

Antes de comenzar

• A fin de proteger tu cuenta de Google Cloud, aprende y usa las Prácticas recomendadas para la cuenta de administrador avanzado.
• Recopila las credenciales de administrador para el dominio (como example.com) que deseas vincular a Google Cloud. Necesitas estas credenciales para ajustar la configuración de DNS durante la configuración.
• Identifica una cuenta de correo electrónico principal (como maria@example.com) para usarla como dirección de recuperación de tu organización de Google Cloud. Cuando comiences el proceso de registro, Cloud Identity te solicitará esta dirección primero.
• Identifica un identificador secundario diferente para vincular a tu primera cuenta de administrador avanzado de Google Cloud (p. ej., admin@example.com). Este identificador debe ser diferente del identificador principal que se usa para la recuperación de la cuenta. Cloud Identity solicita esta dirección después de haber proporcionado la dirección de recuperación de la cuenta descrita antes.
• Protege tus cuentas de Google Cloud según las prácticas recomendadas. En particular, evita vincular tus cuentas de administrador avanzado y de recuperación a una identidad de usuario particular y accede a ellas solo cuando sea necesario para administrar o recuperar tu cuenta de Google Cloud.

Qué debes hacer en esta tarea

• Proporcionarás una dirección de correo electrónico inicial para usar en la recuperación de la cuenta.
• Crea una cuenta de usuario administrada para tu primer usuario de administrador avanzado de Google Cloud.
• Verifica el dominio de su empresa (como example.com) con Google Cloud.

Después de completar estas acciones, Google Cloud crea el nodo raíz de la jerarquía de recursos, que denominamos recurso de organización.

Usa Cloud Identity en la Consola del administrador para completar esta tarea. Cloud Identity proporciona administración unificada de identidades, accesos, aplicaciones y extremos en todos los servicios de Google. Ofrece cincuenta licencias de usuario gratuitas, y puedes solicitar más licencias gratuitas si es necesario. Los usuarios de Cloud Identity también pueden acceder a los servicios de Google Drive, Google Keep y Grupos de Google de tu organización.

Google Cloud ofrece Cloud Identity como un producto independiente o un Google Workspace en paquetes. Google Workspace ofrece Cloud Identity con herramientas de colaboración y productividad conocidas, como Gmail, Calendario, Meet, Chat, etcétera. Tiene varias opciones de pruebas gratuitas. Algunas empresas ahorran costos mediante una combinación de licencias independientes de Cloud Identity para algunos usuarios, y las licencias de Google Workspace solo van a los usuarios que necesitan las herramientas de colaboración adicionales.

Permisos necesarios

En esta tarea, crearás el primer administrador avanzado para tu organización de Google Cloud. El administrador avanzado tiene privilegios de administrador raíz irrevocables para la organización y puede otorgar la misma función a otros usuarios.

Mejores prácticas de seguridad

Proteger las cuentas de administrador avanzado es fundamental para la seguridad de la organización de Google Cloud. Revisa y sigue las prácticas recomendadas para cuentas de administrador avanzado de Google Cloud cuando crees tus cuentas de administrador avanzado.

Procedimiento

Para completar esta tarea, selecciona si eres un cliente nuevo o un cliente de Google Workspace actual.

Soluciona problemas

No puedo registrarme en un servicio de Google con mi dominio

Para obtener más información sobre problemas y soluciones comunes, consulta No puedo registrarme en un servicio de Google con mi dominio.

La Cuenta de Google ya existe

Consulta la solución alternativa para el error “La Cuenta de Google ya existe”.

Mi cuenta no tiene permiso para administrar o usar la organización de Google Cloud de mi empresa

Este error implica que el dominio de tu empresa ya está verificado y tiene administradores avanzados. Si aún necesitas acceso para administrar tu organización de Google Cloud, busca un administrador dentro de la empresa que te otorgue acceso.

Mi firewall muestra errores y no puedo verificar el dominio

Si tu empresa usa un servidor proxy que rechaza URL particulares, se producirán errores cuando intentes registrar tu dominio Esta situación es común entre los clientes que tienen opciones de configuración de seguridad avanzadas, como las instituciones financieras. Si ves este error, asegúrate de que el servidor proxy permita de forma explícita las siguientes URL:

URL obligatoria	Por qué es importante
accounts.google.com	Es obligatorio para la federación de SSO de SAML a Google Cloud y para el acceso de SSO a Cloud Console. Nota: Esto solo funcionará después de que se complete la lista blanca del dominio del cliente en el backend de Google.
www.googleapis.com	Obligatorio durante el acceso para la sincronización de AD si se usa la federación de SSO
https://console.cloud.google.com/	Obligatorio para acceder a Cloud Console. Dominio principal de Cloud Console y las fuentes usadas para mostrarlos en Cloud Console.
fonts.googleapis.com	Fuentes de Cloud Console Nota: Cloud Console seguirá funcionando sin esto, pero puede parecer extraño.
*.clients6.google.com	Es obligatorio para Cloud Console. Extremos de gRPC de la API de servicio que usa Cloud Console para mostrar información en la consola.
ssl.gstatic.com www.gstatic.com lh3.googleusercontent.com lh4.googleusercontent.com lh5.googleusercontent.com lh6.googleusercontent.com	Es obligatorio para Cloud Console. El contenido estático de Cloud Console y algunas API (p. ej., almacenan claves públicas para certificados personalizados)
cloud.google.com	Es obligatorio para acceder a la documentación y a las páginas de ayuda de Google Cloud.
ssh.cloud.google.com	Obligatorio para Cloud Shell (si lo deseas)
apis.google.com *.googleapis.com	Obligatorio para el acceso remoto a la API de Google Cloud. (Opcional para Cloud Console, se prefiere el acceso a la API privado o restringido cuando se usa el SDK/CLI)
admin.google.com	Opcional cuando se usa la Consola del administrador (Cloud Identity)
payments.google.com	Opcional cuando se envía información de pago, suscripciones de administrador de Google y cuentas de facturación

Recursos adicionales

Aquí hay algunos temas adicionales en los que puedes obtener más información sobre la identidad y otros temas relevantes para esta tarea.

• Descripción general de la creación y administración de organizaciones
• Prácticas recomendadas para planificar cuentas y organizaciones
• Evalúa y planifica tu configuración de identidad
• Edición gratuita de Cloud Identity
• Verificación del dominio
  • Documentación
  • Video explicativo
• Funciones de administrador de Google Workspace
• Funciones de administrador de Cloud Identity

En esta tarea, agregarás tus primeros usuarios, crearás grupos para administrar el acceso de los usuarios y asignarás usuarios a esos grupos. Asignarás los permisos a esos grupos de usuarios en la tarea 3. Necesitas la Consola del administrador y Google Cloud Console para hacer lo siguiente:

• Agregar usuarios administrados a tu organización de Google Cloud
• Crear un Grupo de Google para cada tipo de usuario administrativo (como administradores de la organización y administradores de facturación)
• Asignar usuarios a los grupos correspondientes a sus funciones

Antes de comenzar

• Asegúrate de haber accedido a la Consola del administrador de Google Workspace y a Cloud Console con una de las cuentas de administrador avanzado creadas en la tarea 1.
• Si la empresa ya usa un proveedor de identidad, como Active Directory, Azure AD, Okta o Ping Identity, puedes federarlo en Google Cloud. Para obtener más detalles, consulta las arquitecturas de referencia del proveedor de identidad para la federación de identidades.
• Federa Cloud Identity con Active Directory para aprovisionar a los usuarios automáticamente y habilitar el inicio de sesión único.
• Crea una solución personalizada mediante el SDK de Admin de Google Workspace.

Mejores prácticas de seguridad

Principio de privilegio mínimo: Otorga a los usuarios los permisos mínimos necesarios para realizar su función y quita el acceso cuando ya no sea necesario.

Control de acceso basado en la función (RBAC): Asigna permisos a grupos de usuarios según su puesto laboral mediante Grupos de Google para organizar a tus usuarios. No es recomendable agregar permisos específicos a cuentas de usuario individuales.

Procedimiento

Administra usuarios en la Consola del administrador de Google Workspace

En esta lista de tareas para la integración, recomendamos que agregues primero a las personas que participarán en las tareas de la lista, como los administradores y los encargados de tomar decisiones sobre las prácticas de configuración de la nube.

1. Accede a la Consola del administrador de Google Workspace con una cuenta de administrador avanzado.
2. Agrega usuarios con una de las siguientes opciones:
   • Agrega varios usuarios a la vez.
   • Agrega usuarios de forma individual.

Crea Grupos de Google y agrega miembros a un grupo

A continuación, usarás la función Grupos de Cloud Console para crear Grupos de Google que correspondan a los diferentes tipos de usuarios de tu organización. Un Grupo de Google es una colección de Cuentas de Google y cuentas de servicio que posee un nombre. Cada Grupo de Google tiene una dirección de correo electrónico única asociada con el grupo (como gcp-organization-admins@example.com).

Los siguientes grupos son comunes en las organizaciones empresariales que tienen múltiples departamentos que administran su infraestructura de nube. Si tu configuración requiere una estructura de grupo diferente, puedes personalizar nuestras recomendaciones según tus necesidades.

Grupo	Función
gcp-organization-admins (obligatorio para la lista de tareas)	Administrar cualquier recurso que pertenezca a la organización. Asigna esta función con moderación. Los administradores de la organización tienen acceso a todos tus recursos de Google Cloud.
gcp-network-admins (obligatorio para la lista de tareas)	Crear redes, subredes, reglas de firewall y dispositivos de red como Cloud Router, Cloud VPN y balanceadores de cargas en la nube.
gcp-billing-admins (obligatorio para la lista de tareas)	Configurar cuentas de facturación y supervisar su uso.
gcp-developers (obligatorio para la lista de tareas)	Diseñar, codificar y probar aplicaciones.
gcp-security-admins (opcional)	Establecer y administrar políticas de seguridad para toda la organización, incluida la administración de accesos y las políticas de restricciones de la organización. Consulta la guía de bases de seguridad de Google Cloud para obtener más información sobre la planificación de la infraestructura de seguridad de Google Cloud.
gcp-devops (opcional)	Crea o administra canalizaciones de extremo a extremo que admitan integración y entrega continuas, supervisión y aprovisionamiento de sistemas.

Para completar los pasos posteriores de la lista, necesitas los siguientes grupos con al menos un miembro en cada uno.

• gcp-organization-admins
• gcp-network-admins
• gcp-billing-admins
• gcp-devops

Para crear grupos y agregar usuarios mediante Cloud Console, haz lo siguiente:

1. Accede a Cloud Console con una cuenta de administrador avanzado creada en la tarea 1.

2. Ve a la página Grupos en Cloud Console.

   Ir a la página Grupos

3. Haga clic en Crear.

4. Completa los detalles de un grupo, incluidos el nombre y la dirección de correo electrónico, además de una descripción opcional.

5. Agrega miembros al grupo:

   1. Haz clic en Agregar miembro.
   2. Ingresa la dirección de correo electrónico del miembro.

   3. Elige su función en Grupos de Google.

6. Haz clic en Enviar para crear el grupo con los usuarios especificados.

Recursos adicionales

• Administración de cuentas en conflicto:
  • Usar la Herramienta para transferir usuarios no administrados.
    • Usar una carga de CSV.
    • Usar la API de invitación de usuarios.
• Descripción general de la administración de identidades y accesos y Grupos de Google
  • Prácticas recomendadas para Identity and Access Management.
• Crear un grupo.
• Agrega usuarios a un grupo o invítalos a él.
• Federación de identidades:
  • Revisa la Arquitectura de referencia para la federación con proveedores de identidad externos.
  • Sincroniza Active Directory o cualquier otro almacén de identidades basado en LDAP en Google Cloud mediante las opciones que se describen en la siguiente sección.
  • Automatiza la administración de identidad con el SDK de Admin de Google Workspace.
• Sincroniza los almacenes de identidad con Google Cloud mediante GCDS o Directory Sync:
  • Para sincronizar Active Directory o cualquier otro almacén de identidades basado en LDAP en Google Cloud, usa Google Cloud Directory Sync (GCDS):
  • Para sincronizar los usuarios y grupos de Active Directory con Google Cloud, usa Directory Sync, una solución sin agentes que requiere configurar Cloud VPN o Interconnect (que se explica en la tarea 8).
  • Compara GCDS y Directory Sync.

En esta tarea configurarás el acceso de administrador a tu organización, lo que otorgará visibilidad central a los administradores y te permitirá controlar todos los recursos de la nube que pertenezcan a tu organización.

Quiénes deben realizar esta tarea

Si tu empresa ya usa un servicio pago de Google Workspace, una persona con acceso de administrador avanzado de Google Workspace debe realizar este paso. De lo contrario, usa la cuenta de Cloud Identity creada en la tarea 1.

Qué debes hacer en esta tarea

• Verifica que se haya creado la organización.
• Asigna funciones administrativas al grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.
• Agrega permisos administrativos para ti y otros administradores de tu organización a fin de que puedas realizar tareas posteriores en la lista de tareas.

Por qué recomendamos esta tarea

Por motivos de seguridad, debes definir de forma explícita todas las funciones administrativas de tu organización. Separar las funciones de administrador avanzado y de administrador de la organización es una práctica recomendada de seguridad de Google Cloud. La función de administrador avanzado administra todas las demás identidades en Cloud Identity y Google Workspace, y es necesaria para crear la organización raíz de Google Cloud. Para obtener más información, consulta las prácticas recomendadas de las cuentas de administrador avanzado.

Verifica que se haya creado la organización

1. Accede a Cloud Console mediante la cuenta de administrador avanzado de Google Workspace o con la cuenta de administrador avanzado de Cloud Identity que configuraste en la tarea 1.

2. Ve a la página Identidad y organización para terminar de crear la organización. Después de acceder al vínculo, es posible que debas esperar unos minutos hasta que se complete el proceso.

3. Asegúrate de que el nombre de tu organización aparezca en la lista Selecciona una organización. Es posible que tu organización tarde unos minutos en crearse con los pasos de la tarea 1. Si no ves el nombre, espera unos minutos y, luego, actualiza la página.

Configura el acceso de administrador

Luego, asignarás funciones administrativas al grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

1. Completa los pasos indicados en Otorga acceso y ten en cuenta los siguientes cambios:

   • Después de abrir la página de IAM en Cloud Console, asegúrate de que el nombre de tu organización esté seleccionado en la lista de organizaciones en la parte superior de la página.

   • Cuando se te solicite ingresar una dirección de correo electrónico, usa gcp-organization-admins@<your-domain>.com.

   • Cuando se te solicite que elijas una función, selecciona Administrador de recursos > Administrador de la organización.

2. Después de agregar la primera función, haz clic en Agregar otra función y, luego, agrega las siguientes funciones adicionales para el miembro gcp-organization-admins@<your-domain>.com:

   • Administrador de recursos > Administrador de carpetas
   • Administrador de recursos > Creador del proyecto
   • Facturación > Usuario de la cuenta de facturación
   • Funciones > Administrador de funciones de la organización
   • Política de la organización > Administrador de políticas de la organización
   • Centro de seguridad > Administrador del centro de seguridad
   • Asistencia > Administrador de la cuenta de asistencia

3. Cuando termines de agregar funciones, haz clic en Guardar.

En esta tarea configurarás una cuenta de facturación a fin de pagar los recursos de Google Cloud y establecerás el acceso de administrador para tus cuentas de facturación.

Mientras te preparas para esta tarea, tendrás que decidir qué tipo de cuenta de facturación usar en la configuración:

• Con pago automático: Puedes registrarte en línea con una tarjeta de débito o crédito, o débito directo de ACH. Los costos se cobran automáticamente.
• Con facturación: Si ya configuraste la facturación de autoservicio, es posible que seas apto para cambiar el tipo de cuenta a una con facturación mensual si tu empresa cumple con ciertos requisitos. Las facturas se envían a la dirección postal o al correo electrónico, y se pueden pagar mediante cheque o transferencia bancaria.

Para obtener más información, consulta los tipos de cuentas de facturación.

Quiénes deben realizar esta tarea

Para esta tarea se necesitan los siguientes integrantes:

1. Una persona en el grupo gcp-organization-admins@<your-domain>.com creada en la tarea 2.

2. Una persona en el grupo gcp-billing-admins@<your-domain>.com creada en la tarea 2.

Qué debes hacer en esta tarea

• Asigna funciones administrativas al grupo que creaste gcp-billing-admins@<your-domain>.com en la tarea 2.
• Decide si usarás una cuenta de facturación o una cuenta de facturación de servicio automático.
• Configurar una cuenta de facturación y una forma de pago

Por qué recomendamos esta tarea

Se requiere una cuenta de Facturación de Cloud para usar los productos de Google Cloud. Las cuentas de Facturación de Cloud se pueden vincular a uno o más proyectos de Google Cloud y se usan para pagar los recursos que uses, como máquinas virtuales, redes y almacenamiento. Las funciones de IAM controlan el acceso a las cuentas de Facturación de Cloud.

Configura el acceso de administrador

Los miembros del equipo a los que se les asigna la función de IAM de administrador de la cuenta de facturación pueden completar tareas, como administrar pagos y facturas, establecer presupuestos y asociar proyectos con cuentas de facturación. La función no les otorga permiso para ver el contenido de los proyectos.

1. Asegúrate de haber accedido a Cloud Console como un usuario en el Grupo de Google gcp-organization-admins que se creó en la tarea 2.

2. Completa los pasos indicados en Otorga acceso y ten en cuenta los siguientes cambios:

   • Cuando se te solicite ingresar una dirección de correo electrónico, usa gcp-billing-admins@<your-domain>.com.

   • Cuando se te solicite que elijas una función, selecciona Facturación > Administrador de la cuenta de facturación.

   • Después de agregar la primera función, haz clic en Agregar otra función y, luego, agrega las siguientes funciones adicionales para el miembro gcp-billing-admins@<your-domain>.com:

     • Facturación > Creador de cuentas de facturación
     • Administrador de recursos > Visualizador de organizaciones.

Configura la cuenta de facturación

A continuación, configura una cuenta de Facturación de Cloud. Hay dos tipos de cuentas de facturación:

• Con pago automático: Puedes registrarte en línea con una tarjeta de débito o crédito, o débito directo de ACH. Los costos se cobran automáticamente.

• Con facturación: Se puede pagar mediante cheque o transferencia bancaria. Las facturas se envían a la dirección postal o al correo electrónico.

Cuando te registras en línea para una cuenta de facturación, tu cuenta se configura automáticamente como un tipo de cuenta de autoservicio. No puedes registrarte en línea para un tipo de cuenta facturado, sino que debes solicitar la facturación. Para obtener más información, consulta los tipos de cuentas de facturación.

Después de configurar la cuenta de facturación

Para supervisar los costos y evitar sorpresas en tu factura, después de configurar tu cuenta de Facturación de Cloud, te recomendamos que implementes las siguientes prácticas recomendadas de facturación para cada cuenta de facturación:

• Configura las exportaciones de datos de la Facturación de Cloud a un conjunto de datos de BigQuery.
• Define presupuestos para generar alertas cuando se superen ciertos límites.

Si quieres obtener un análisis detallado de las prácticas recomendadas de facturación, consulta la sección Facturación y administración en Prácticas recomendadas para organizaciones empresariales.

En esta tarea, crearás una estructura básica para las carpetas y proyectos en tu jerarquía de recursos:

• Las carpetas proporcionan un mecanismo de agrupación y límites de aislamiento entre proyectos. Por ejemplo, pueden representar los departamentos principales en tu organización, como finanzas o venta minorista, o entornos, como producción frente a no producción.

• Los proyectos contienen los recursos de la nube como, por ejemplo, máquinas virtuales, bases de datos y depósitos de almacenamiento. Para obtener prácticas recomendadas relacionadas con los proyectos, consulta Especifica la estructura de tu proyecto.

Puedes establecer políticas de IAM para controlar el acceso en diferentes niveles de la jerarquía de recursos. Establecerás estas políticas como una tarea posterior en esta lista de tareas.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer en esta tarea

Crea la estructura de jerarquía inicial con carpetas y proyectos.

Por qué recomendamos esta tarea

Crear la estructura es un requisito para una tarea posterior en la que estableces políticas de IAM a fin de controlar el acceso en diferentes niveles de la jerarquía de recursos.

Planifica la jerarquía de recursos

Hay muchas formas de crear la jerarquía de recursos. En el siguiente diagrama, se muestra un ejemplo típico:

En el ejemplo, la jerarquía de recursos de organización contiene tres niveles de carpetas:

• Entorno (producción y no producción) Cuando se aíslan los entornos entre sí, se puede controlar mejor el acceso a los entornos de producción y evitar que los cambios que no sean de producción puedan afectarla de forma accidental.

• Unidades de negocios. En el diagrama, se representan como Dept Xy Dept Y, que podrían ser unidades de negocios como, por ejemplo, Ingeniería y Marketing, y una carpeta Shared con proyectos que contienen recursos compartidos en la jerarquía, como herramientas de redes, registro y supervisión.

• Equipos. En el diagrama, se representan como Team A, Team B y Team C, que pueden ser equipos como Desarrollo, Ciencia de datos, Control de calidad, etcétera.

Crea carpetas iniciales en la jerarquía de recursos

En este paso, crearás carpetas básicas para la configuración inicial, como se muestra en este diagrama. Las carpetas te permiten agrupar recursos.

Para crear las carpetas iniciales, haz lo siguiente:

1. Accede a Google Cloud Console como un usuario del Grupo de Google gcp-organization-admins (creado en la tarea 2).

2. En Cloud Console, ve a la página Administrar recursos:

   Ir a Administrar recursos

3. Crea las siguientes dos carpetas:

   • Producción > Compartidos
   • No producción > Compartido

Crea proyectos iniciales en la jerarquía de recursos

Después de crear la jerarquía inicial, crea proyectos. De acuerdo con el principio de separación de los entornos de producción y de no producción, para esta lista de tareas debes crear los siguientes proyectos:

• example-vpc-host-nonprod. Este proyecto se usa para conectar recursos de varios proyectos del entorno de no producción a la red de VPC común.

• example-vpc-host-prod-draft. Este proyecto es un marcador de posición para conectar finalmente recursos de producción de varios proyectos a una red de VPC común.

• example-monitoring-nonprod. Este proyecto se usa para alojar recursos de supervisión de tu entorno de no producción.

• example-monitoring-prod-draft. Este proyecto es un marcador de posición para alojar recursos de supervisión de producción.

• example-logging-nonprod. Este proyecto se usa para alojar los datos de registro exportados de tu entorno de no producción.

• example-logging-prod-draft. Este proyecto es un marcador de posición que se usa para alojar los datos de registro exportados del entorno de producción.

Los nombres de proyecto tienen un límite de 30 caracteres. Por lo general, puedes usar el nombre de tu empresa en lugar de example, siempre y cuando no sobrepases el límite de 30 caracteres. Cuando crees proyectos en la jerarquía de recursos en el futuro, recomendamos utilizar una convención de nombres, como <business unit name>-<team name>-<application name>-<environment>, según la jerarquía de recursos de tu organización.

Sigue estos pasos para crear los proyectos:

1. En Cloud Console, ve a la página Administrar recursos:

   Ir a Administrar recursos

2. Haz clic en Crear proyecto.

3. En la ventana Nuevo proyecto, ingresa el nombre de uno de los proyectos de la lista anterior.

4. Si se te solicita que selecciones una cuenta de facturación, selecciona la que desees usar para esta lista de tareas.

5. En Ubicación, haz clic en Navegar y, luego, configura la ubicación como se indica a continuación:

   • Si el nombre del proyecto que estás creando termina en prod, selecciona Producción > Compartido.
   • Si el nombre del proyecto que estás creando termina en nonprod, selecciona No producción > Compartido.

6. Haz clic en Crear.

7. Repite los pasos 2 a 6 con cada uno de los proyectos recomendados.

Verifica que todos los proyectos estén vinculados a la cuenta de facturación adecuada

Para poder realizar tareas más adelante en esta lista de tareas, los proyectos deben estar vinculados a una cuenta de facturación. Para obtener una lista actual de tus proyectos y cuentas de facturación vinculadas, visita la Tarea 5 en Cloud Console.

Si no tienes acceso a una cuenta de facturación activa, pasa a la siguiente tarea. Si intentas usar proyectos que no están vinculados a una cuenta de facturación, Cloud Console te pedirá que habilites la facturación. Cuando la cuenta de facturación esté lista, vuelve a revisar este paso y habilita la facturación en esos proyectos.

Sigue estos pasos para revisar o cambiar la configuración de la cuenta de facturación de los proyectos en Facturación de Cloud:

1. Ve las cuentas de facturación en la página Facturación y selecciona la pestaña Mis proyectos. En la página, se enumeran todas las cuentas de facturación vinculadas a los proyectos de tu organización.
2. Para cambiar la cuenta de facturación de cualquier proyecto, consulta Habilita, inhabilita o cambia la facturación de un proyecto.

En esta tarea, agregarás políticas de IAM a los recursos a fin de configurar el control de acceso para la jerarquía de recursos. Una política de IAM es un conjunto de declaraciones que definen quién tiene qué tipo de acceso. Una política se vincula a un recurso y se usa para aplicar el control de acceso cada vez que se accede a ese recurso.

A fin de configurar los permisos, realizas el mismo procedimiento básico, pero lo haces para los recursos en distintos niveles de la jerarquía (organizaciones, carpetas y proyectos). Recomendamos que utilices el principio de menor privilegio y otorgues el menor acceso posible necesario para los recursos en cada nivel. Las funciones que recomendamos en los siguientes procedimientos te ayudan a aplicar el principio de privilegio mínimo.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer en esta tarea

Establece políticas de IAM a nivel de organización, carpeta y proyecto.

Por qué recomendamos esta tarea

Establecer políticas de IAM en toda la jerarquía de recursos te permite controlar de manera escalable el acceso a tus recursos en la nube.

Acerca de las políticas de IAM

Las políticas de IAM se aplican en tres niveles de tu jerarquía de recursos:

1. La organización. Las políticas que establezcas a nivel de organización se aplicarán a todas las carpetas y los proyectos de la organización.
2. Una carpeta. Las políticas establecidas en una carpeta se aplican a los proyectos dentro de esta.
3. Con un proyecto Las políticas establecidas a nivel de proyecto solo se aplican a ese proyecto.

En la siguiente tabla, se enumeran las principales y las funciones que les asignas a nivel de organización.

Principal	Funciones para otorgar
gcp-network-admins@<your-domain>.com	Compute Engine > Administrador de red de Compute. Esto otorga permisos con el objetivo de crear, modificar y borrar recursos de red, excepto para reglas de firewall y certificados SSL. Compute Engine > Administrador de la VPC compartida de Compute. Esto otorga permiso para administrar los proyectos host de la VPC compartida. Compute Engine > Administrador de seguridad de Compute. Esto otorga permisos para crear, modificar y borrar las reglas de firewall y los certificados SSL. Administrador de recursos > Visualizador de carpetas. Esto otorga permisos para ver las carpetas.
gcp-security-admins@<your-domain>.com	Políticas de la organización > Administrador de políticas de la organización. Esto otorga permisos para establecer las políticas de IAM a nivel de organización. Política de la organización > Visualizador de la política de organización. Esto otorga permisos para ver las políticas de IAM que se aplican a la organización. IAM > Revisor de seguridad. Esto otorga permisos para ver todos los recursos de la organización y las políticas de IAM que se aplican a ellos. Funciones > Visualizador de funciones de la organización. Esto otorga permisos para ver todas las funciones personalizadas de IAM en la organización y los proyectos a los que se aplican. Centro de seguridad > Administrador del centro de seguridad. Esto le otorga al administrador acceso a Security Command Center. Administrador de recursos > Administrador de IAM de carpetas. Esto otorga permisos para establecer las políticas de IAM a nivel de carpetas. Logging > Visualizador de registros privados. Esto otorga acceso de solo lectura a las funciones de Cloud Logging, incluida la capacidad de leer registros privados. Logging > Escritor de configuración de registros. Esto otorga permisos para crear métricas basadas en registros y receptores de exportación. Kubernetes Engine > Visualizador de Kubernetes Engine. Esto otorga acceso de solo lectura a los recursos de Google Kubernetes Engine. Compute Engine > Visualizador de Compute. Esto otorga acceso de solo lectura a los recursos de Compute Engine. BigQuery > Visualizador de datos de BigQuery. Esto otorga permisos para los conjuntos de datos de BigQuery.
gcp-devops@<your-domain>.com	Administrador de recursos > Visualizador de carpetas. Esto otorga permisos para ver las carpetas.

Administra funciones de IAM

1. Asegúrate de haber accedido a Cloud Console como un usuario en el Grupo de Google gcp-organization-admins que se creó en la tarea 2.

2. En Cloud Console, ve a la página Administrar recursos:

   Ir a Administrar recursos

3. Selecciona tu organización desde la cuadrícula del organigrama.

4. Si el Panel de información a la derecha está oculto, haz clic en Mostrar panel de información en la esquina superior derecha.

5. Selecciona la casilla de verificación de la organización.

6. En el Panel de información, en la pestaña Permisos, haz clic en Agregar miembro.

7. En el campo Miembros nuevos, ingresa el nombre de un miembro de la tabla. Por ejemplo, primero ingresa gcp-network-admins@<your-domain>.com, según se muestra en la tabla anterior.

8. En la lista Seleccionar una función, elige la primera función para ese miembro como se indica en la tabla. Por ejemplo, para el primer miembro, la primera función que eliges es Compute Engine > Administrador de red de Compute.

9. Haz clic en Agregar otra función y, luego, agrega la siguiente función para ese miembro.

10. Agrega la próxima función a ese miembro.

11. Después de agregar todas las funciones al miembro, haz clic en Guardar.

12. Repite los pasos 2 a 7 para los otros miembros de la tabla.

Establece políticas de IAM al nivel de carpeta

Las políticas establecidas a nivel de carpetas también se aplican a los proyectos en ellas. El procedimiento es similar al que usaste para tu organización, aunque seleccionas un nivel diferente en la jerarquía.

1. Desmarca la casilla de verificación de la organización y cualquier otro recurso seleccionado.

2. Selecciona la casilla de verificación de la carpeta de Production.

3. En el Panel de información, en la pestaña Permisos, haz clic en Agregar miembro.

4. En el campo Miembros nuevos, ingresa gcp-devops@<your-domain>.com.

5. Con los mismos pasos que usaste para agregar funciones a miembros de la organización, agrega las siguientes funciones al miembro gcp-devops@<your-domain>.com:

   • Logging > Administrador de Logging. Esto otorga permisos completos a Cloud Logging.
   • Error Reporting > Administrador de Error Reporting. Esto otorga permisos completos a los datos de Error Reporting.
   • Administración de servicios > Administrador de cuotas. Esto proporciona acceso para administrar cuotas de servicio.
   • Monitoring > Administrador de Monitoring Esto otorga permisos completos sobre la supervisión de datos.
   • Compute Engine > Administrador de Compute. Esto otorga permisos completos sobre los recursos de Compute Engine.
   • Kubernetes Engine > Administrador de Kubernetes Engine. Esto otorga permisos completos a los clústeres de contenedor de Google Kubernetes Engine.

6. Cuando agregues todas las funciones, haz clic en Guardar.

7. Desmarca la casilla de verificación de la carpeta Production.

8. Selecciona la casilla de verificación de la carpeta de Non-Production.

9. Agrega a gcp-developers@<your-domain>.com como miembro nuevo.

10. Asigna las siguientes funciones de IAM al miembro gcp-developers@<your-domain>.com:

    • Compute Engine > Administrador de Compute. Esto otorga permisos completos sobre los recursos de Compute Engine.
    • Kubernetes Engine > Administrador de Kubernetes Engine. Esto otorga permisos completos a los clústeres de contenedor de Google Kubernetes Engine.

Establece políticas de IAM a nivel de proyecto

Las políticas que establezcas a nivel de proyecto solo se aplicarán a los proyectos que se especifiquen. Esto te permite establecer permisos detallados para proyectos individuales.

1. Desmarca las casillas de verificación de las carpetas y los recursos que se hayan seleccionado.

2. Selecciona las casillas de verificación de los siguientes proyectos:

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. Agrega a gcp-network-admins@<your-domain>.com como miembro.

4. Asigna la siguiente función al miembro gcp-network-admins@<your-domain>.com:

   • Proyecto > Propietario. Esto otorga permisos completos sobre todos los recursos de los proyectos seleccionados.

5. Haz clic en Guardar.

6. Desmarca las casillas de verificación para los proyectos seleccionados.

7. Selecciona las casillas de verificación de los siguientes proyectos:

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. Agrega a gcp-devops@<your-domain>.com como miembro nuevo.

9. Asigna la siguiente función al miembro gcp-devops@<your-domain>.com:

   • Proyecto > Propietario. Esto otorga permisos completos sobre todos los recursos de los proyectos seleccionados.

10. Haz clic en Guardar.

En esta tarea configurarás la red inicial. Por lo general, debes seguir estos pasos:

• Diseña, crea y configura una arquitectura de nube privada virtual.
• Si tienes herramientas de redes locales o en otro proveedor de servicios en la nube, debes configurar la conectividad entre ese proveedor y Google Cloud.
• Configura una ruta para el tráfico externo de salida.
• Implementa controles de seguridad de red, como reglas de firewall.
• Selecciona una opción de tráfico de entrada preferida para los servicios alojados en la nube.

En esta tarea se muestra un ejemplo del elemento 1 como base para tu propia arquitectura de nube privada virtual.

Los elementos restantes (conectividad externa, configuración del tráfico de salida, implementación de las reglas de firewall y selección de la opción de entrada) dependen de las necesidades de tu negocio. Por lo tanto, no los incluimos en esta lista de tareas. Sin embargo, proporcionamos vínculos a la información adicional sobre estos parámetros.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-network-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer en esta tarea

Establece una configuración inicial de redes.

• Crea las redes de VPC compartida
• Configura la conectividad entre el proveedor externo y Google Cloud
• Configura una ruta para el tráfico externo de salida
• Implementa controles de seguridad de red
• Elige una opción de tráfico de entrada

Por qué recomendamos esta tarea

• La VPC compartida permite que distintos equipos se conecten a una red de VPC común administrada de forma central desde varios productos diferentes.

• La configuración de la conectividad híbrida permite la migración sin interrupciones de las aplicaciones a Google Cloud y, al mismo tiempo, se mantiene la conexión con las dependencias del servicio.

• El diseño de rutas de entrada y salida seguras desde el comienzo permite a tus equipos trabajar de forma productiva en Google Cloud sin comprometer la seguridad.

Arquitectura de nube privada virtual

Google ofrece la nube privada virtual (VPC) para proporcionar funcionalidad de red a tus recursos de Google Cloud, como las instancias de máquina virtual de Compute Engine, los contenedores de GKE y el entorno flexible de App Engine. En el siguiente diagrama, se muestra la arquitectura multirregional básica:

Esta arquitectura tiene dos proyectos host de VPC compartida. Un proyecto host es para tu entorno de no producción, y el otro es para tu entorno de producción eventual (actualmente etiquetado como “production-draft”). La nube privada virtual compartida permite que las organizaciones conecten recursos de varios proyectos a una red común, de modo que los recursos se comuniquen entre sí de manera más segura y eficiente mediante las direcciones IP internas de esa red.

Un proyecto host de VPC compartida incluye una o más redes de VPC compartida. En esta arquitectura cada red de VPC compartida (tanto el borrador de producción como el entorno de no producción) incluye subredes públicas y privadas en dos regiones (en este caso, us-east1 y us-west1):

• La subred pública se puede usar con instancias que están conectadas a Internet a fin de proporcionar conectividad externa.
• La subred privada se puede usar en instancias que son solo para uso interno y no se le deben asignar direcciones IP públicas.

La arquitectura que se muestra en el diagrama anterior usa nombres de ejemplo para varios recursos. En tu configuración, puedes cambiar elementos del nombre, como tu empresa (example en los nombres de ejemplo) y la región que usas (us-east1 y us-west1 en los ejemplos).

Configura Herramientas de redes

Aunque la configuración de red varía según tu carga de trabajo, las siguientes actividades son comunes:

1. Crea redes de nube privada virtual (VPC) compartidas. La VPC compartida permite que una organización conecte recursos desde varios proyectos a una red de VPC común. Para crear una red de VPC compartida, usa Cloud Console.

2. Configura la conectividad entre el proveedor externo y Google Cloud. Si tienes herramientas de redes locales o en otro proveedor de servicios en la nube, puedes configurar Cloud VPN, un servicio que te ayuda a conectar de manera segura tu red de intercambio de tráfico con tu red de VPC de Google Cloud mediante una conexión de VPN IPSec. El servicio de Cloud VPN es adecuado para velocidades de hasta 3.0 Gbps. Si necesitas más ancho de banda para conectar tu sistema local a Google Cloud, consulta Interconexión de socio e Interconexión dedicada. A fin de crear una conexión de VPN, sigue las instrucciones en Crea una puerta de enlace y un túnel para las redes de VPC compartida de borrador de producción y de no producción que se crearon en el procedimiento anterior.

3. Configura una ruta para el tráfico externo de salida. Cloud NAT se usa para permitir que tus VM se conecten a Internet sin usar una dirección IP externa. Cloud NAT es un recurso regional. Puedes configurarlo para permitir tráfico de todos los rangos de IP principales y secundarios de las subredes de una región. También puedes configurarlo para que se aplique solo a algunos de esos rangos. A fin de configurar una ruta para el tráfico de salida externo, sigue las instrucciones en Crea NAT para todas las regiones en las redes de VPC compartida creadas en el procedimiento anterior para las redes de borrador de producción y de no producción.

4. Implementa controles de seguridad de red. Las reglas de firewall permiten o rechazan el tráfico desde y hacia las instancias de máquina virtual (VM) según la configuración que especifiques. Sigue las instrucciones en Usa reglas de firewall a fin de configurar estos controles para las redes de VPC compartida de borrador de producción y de no producción que se crearon en el procedimiento anterior.

5. Elige una opción de tráfico de entrada. Cloud Load Balancing te permite controlar cómo se distribuyen los recursos de procesamiento en las regiones. El balanceo de cargas te ayudará a cumplir con los requisitos de disponibilidad del tráfico externo entrante y del tráfico dentro de tu red de VPC. Cuando planifiques el diseño de la arquitectura de tu aplicación en Google Cloud, consulta Elige un balanceador de cargas para decidir qué tipo de balanceadores necesitas.

En esta tarea, configurarás las funciones básicas de registro y supervisión mediante Cloud Logging y Cloud Monitoring.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-devops@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer en esta tarea

Configura funciones básicas de registro y supervisión con Cloud Logging y Cloud Monitoring.

Por qué recomendamos esta tarea

El registro y la supervisión integrales son clave para mantener la observabilidad en tu entorno de nube. Configurar la retención de registros adecuada desde el principio te permite compilar y tener la confianza de que un registro de auditoría se conservará, mientras que configurar la supervisión centralizada le dará a tu equipo un panel central para ver tus entornos.

Configura la supervisión

Cloud Monitoring recopila métricas, eventos y metadatos de los servicios de Google Cloud, sondeos de tiempo de actividad alojados, instrumentación de la aplicación y otros componentes comunes de la aplicación.

En esta tarea, configurarás un proyecto de Google Cloud para acceder a las métricas de otros proyectos de Google Cloud:

1. Accede a Cloud Console como un usuario del Grupo de Google gcp-devops que se creó en la tarea 2.
2. Agrega los proyectos que quieres supervisar. Por ejemplo, agrega todos los demás proyectos del entorno de no producción.
3. Repite este procedimiento con tus proyectos en producción. Usa example-monitoring-prod como el proyecto de alcance y agrega los proyectos de producción que quieres supervisar.

Configura el registro

Cloud Logging te permite almacenar, buscar, analizar, supervisar y recibir alertas sobre datos de registro y eventos de Google Cloud y Amazon Web Services (AWS). Cloud Logging también te permite transferir datos de registro personalizados desde cualquier fuente y exportar registros a receptores de datos externos.

1. Asegúrate de haber accedido a Cloud Console como un usuario en el grupo gcp-devops que se creó en la tarea 2.

2. Usa los siguientes valores para habilitar la exportación de registros a BigQuery:

   • Selecciona el proyecto example-logging-nonprod.
   • Crea un conjunto de datos de BigQuery. En ID de conjunto de datos, usa un nombre como example_logging_export_nonprod.
   • Después de asignar un nombre al conjunto de datos, haz clic en Crear conjunto de datos.

3. Repite el paso anterior para el proyecto example-logging-prod, pero usa example_logging_export_prod como ID del conjunto de datos.

4. Revisa los períodos de retención de registros para determinar si satisfacen los requisitos de cumplimiento. Si no es así, configura la exportación a Cloud Storage, que puede ser útil para la retención a largo plazo.

En esta tarea debes configurar los productos de Google Cloud que ayudarán a proteger tu organización. Google Cloud proporciona muchas ofertas de seguridad.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com que se creó en la tarea 2.

Qué debes hacer en esta tarea

• Habilita el panel de Security Command Center
• Configura la política de la organización.

Por qué recomendamos esta tarea

Recomendamos configurar los siguientes dos productos:

• Security Command Center. Esta plataforma completa de administración de seguridad y riesgos de datos te permite supervisar tus recursos de nube, analizar los sistemas de almacenamiento en busca de datos sensibles, detectar vulnerabilidades web comunes y revisar los derechos de acceso a tus recursos esenciales.

• Servicio de políticas de la organización. Este servicio te brinda control programático centralizado sobre los recursos en la nube de tu organización.

Configura los productos

1. Accede a Cloud Console como un usuario del grupo gcp-organization-admins que se creó en la tarea 2.

2. Habilita el panel de Security Command Center.

3. Para configurar la política de la organización, sigue los pasos en Personaliza las políticas en función de limitaciones booleanas. Cuando se te solicite que elijas un proyecto, una carpeta o una organización, elige tu organización.

   Recomendamos configurar las siguientes políticas:

   1. Omite la creación de la red predeterminada.

      1. En la pantalla Políticas de la organización, filtra por Omitir creación de red predeterminada.
      2. Selecciona Omitir política de creación de red predeterminada.
      3. Haz clic en Edit.
      4. Selecciona Personalizar y haz clic en Agregar regla.
      5. Cuando se te solicite que selecciones una función de aplicación, selecciona Activado.

   2. Definir IP externas permitidas para instancias de VM

      1. En la pantalla Políticas de la organización, filtra por Definir IP externas permitidas para instancias de VM.
      2. Selecciona Definir las IP externas permitidas para la política de instancias de VM y haz clic en Editar.
      3. Selecciona Personalizar y haz clic en Agregar regla. Cuando se te solicite que selecciones valores de política, selecciona Rechazar todo.

      También puedes configurar una política personalizada para permitir o rechazar IP externas en instancias de VM específicas.

   3. Configura la limitación de uso compartido restringido al dominio.

En esta tarea puedes elegir una opción de asistencia.

Quiénes deben realizar esta tarea

Una persona en el grupo gcp-organization-admins@<your-domain>.com creada en la tarea 2.

Qué debes hacer en esta tarea

Elige un plan de asistencia según las necesidades de tu empresa.

Por qué recomendamos esta tarea

Un plan de asistencia premium te brinda asistencia para las operaciones fundamentales de tu empresa a fin de solucionar problemas con rapidez con la ayuda de expertos de Google.

Elige una opción de asistencia

Cada cliente de Google Cloud recibe asistencia gratuita de forma automática que incluye documentación de asistencia para productos, asistencia de la comunidad y asistencia para problemas de facturación. Sin embargo, recomendamos que los clientes empresariales se registren en un plan de asistencia premium, ya que este ofrece asistencia técnica personalizada con ingenieros de Atención al cliente de Google. Si deseas obtener más información, puedes comparar los planes de asistencia.

Habilita la asistencia

1. Consulta los planes de asistencia y decide cuál deseas. Podrás configurarlo en un paso posterior. Si te decides por las opciones de asistencia gratuita, puedes dirigirte a la siguiente tarea.

2. Asegúrate de haber accedido a Cloud Console como un usuario en el Grupo de Google gcp-organization-admins que se creó en la tarea 2.

3. Configura el plan de asistencia.

   • Para solicitar la asistencia Premium, comunícate con tu representante de ventas de Google. Si no tienes un representante, comunícate con Ventas.

   • A fin de habilitar la Asistencia por rol, ve a la página Habilitar la Asistencia por rol en Google Cloud Console y sigue las instrucciones en pantalla para completar los pasos necesarios.

4. Sigue las instrucciones en Funciones de los usuarios de asistencia para asignar las funciones de Usuario de asistencia y Visualizador de la organización a cada usuario que necesite interactuar con el servicio de asistencia de Google Cloud.