Crea y administra organizaciones

Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

El recurso de organización es el nodo raíz en la jerarquía de recursos de Google Cloud y es el supernodo jerárquico de los proyectos. En esta página, se explica cómo adquirir y administrar un recurso de organización.

Antes de comenzar

Lee una descripción general del recurso de la organización.

Obtén un recurso de organización

Un recurso de organización está disponible para los clientes de Google Workspace y Cloud Identity:

Una vez que hayas creado tu cuenta de Google Workspace o Cloud Identity y la asocies con un dominio, el recurso de tu organización se creará automáticamente. El recurso se aprovisionará en diferentes momentos según el estado de tu cuenta:

  • Si eres nuevo en Google Cloud y aún no creaste un proyecto, el recurso de organización se creará cuando accedas a Google Cloud Console y aceptes los Términos y Condiciones.
  • Si ya eres usuario de Google Cloud, el recurso de organización se creará cuando crees un proyecto o una cuenta de facturación nuevos. Todos los proyectos que creaste anteriormente aparecerán en la lista “Sin organización” y esto es normal. Aparecerá el recurso de la organización y el nuevo proyecto que creaste se vinculará a él de forma automática.

    Deberás mover los proyectos que creaste en la sección “Sin organización” a tu nuevo recurso de organización. Para obtener instrucciones sobre cómo mover tus proyectos, consulta Migra proyectos a un recurso de organización.

El recurso de organización que se cree se vinculará a tu cuenta de Google Workspace o Cloud Identity con el proyecto o la cuenta de facturación que creaste configurada como recurso secundario. Todos los proyectos y las cuentas de facturación creados en tu dominio de Google Workspace o Cloud Identity serán recursos secundarios de este recurso de organización.

Cada cuenta de Google Workspace o Cloud Identity se asocia con un recurso de la organización. Un recurso de organización se asocia con un solo dominio, que se establece cuando se crea el recurso de organización.

Cuando se crea el recurso de la organización, le comunicamos su disponibilidad a los administradores avanzados de Google Workspace o Cloud Identity. Estas cuentas de administrador avanzado deben usarse con cuidado porque tienen mucho control sobre el recurso de la organización y todos los recursos subyacentes. Por este motivo, no recomendamos usar las cuentas de administrador avanzado de Google Workspace o Cloud Identity para la administración diaria del recurso de la organización. Para obtener más información sobre cómo usar las cuentas de administrador avanzado de Google Workspace o Cloud Identity en Google Cloud, consulta las prácticas recomendadas de las cuentas de administrador avanzado.

Para adoptar de forma activa el recurso de la organización, los administradores avanzados de Google Workspace o Cloud Identity deben asignar la función de administrador de la organización (roles/resourcemanager.organizationAdmin) de la administración de identidades y accesos (IAM) a un usuario o grupo. Si deseas obtener los pasos para configurar el recurso de tu organización, consulta Configura el recurso de organización.

  • Cuando se crea el recurso de organización, a todos los usuarios de tu dominio se les otorgan automáticamente las funciones de IAM de creador de proyectos (roles/resourcemanager.projectCreator) y creador de cuentas de facturación (roles/billing.creator) a nivel de la organización. Esto permite que los usuarios de tu dominio sigan creando proyectos sin interrupciones.
  • El administrador de la organización decidirá cuándo quiere comenzar a usar el recurso de la organización de forma activa. Luego, pueden cambiar los permisos predeterminados y aplicar políticas más restrictivas según sea necesario.
  • Si el recurso de organización está disponible y no tienes los permisos de IAM para verlo, aun así puedes crear proyectos y cuentas de facturación. Estos se crean automáticamente en el recurso de la organización, incluso si no puedes verlo.

Obtén el ID de recurso de tu organización

El ID de recurso de organización es un identificador único para un recurso de organización y se crea automáticamente cuando se crea el recurso de organización. Los ID de recursos de la organización tienen el formato de números decimales y no pueden tener ceros a la izquierda.

Puedes obtener el ID de recursos de tu organización con Google Cloud Console, la CLI de gcloud o la API de Resource Manager.

Console


Para obtener el ID de recursos de tu organización mediante Google Cloud Console, haz lo siguiente:

  1. Ve a Google Cloud Console:

    Ve a la consola de Google Cloud.

  2. En la parte superior de la página, haz clic en la lista desplegable de selección de proyectos.
  3. En la ventana Seleccionar una opción que aparece, haz clic en la lista desplegable de recursos de la organización y, luego, selecciona el recurso de organización que deseas.
  4. En el lado derecho, haz clic en Más y, luego, haz clic en Configuración.

En la página Configuración, se muestra el ID de recurso de tu organización.

gcloud


Para encontrar el ID de recurso de tu organización, ejecuta el siguiente comando:

gcloud organizations list

De esta forma, se enumerarán todos los recursos de la organización a los que perteneces y los ID de los recursos de la organización correspondientes.

API


Para encontrar el ID de recurso de tu organización con la API de Resource Manager, llama al método organizations.search() con el filtro domain:[company.com]. La respuesta contendrá los metadatos del recurso de organización, que incluyen el ID de recurso de organización.

Configura el recurso de tu organización

Si eres cliente de Google Workspace o Cloud Identity, se te proporciona automáticamente un recurso de organización.

Los administradores avanzados de Google Workspace o Cloud Identity son los primeros usuarios que pueden acceder al recurso de la organización en el momento de su creación. Todos los demás usuarios o grupos podrán usar Google Cloud como antes. Podrán ver el recurso de la organización, pero solo podrán modificarlo una vez que se establezcan los permisos correctos.

Los administradores avanzados de Google Workspace o Cloud Identity y el administrador de la organización de Google Cloud son funciones clave durante el proceso de configuración y para el control del ciclo de vida del recurso de la organización. Por lo general, las dos funciones se asignan a diferentes usuarios o grupos, aunque esto depende de la estructura y las necesidades de la organización.

Las responsabilidades de los administradores avanzados de Google Workspace o Cloud Identity, en el contexto de la configuración de recursos de la organización de Google Cloud, son las siguientes:

  • Asignar la función de Administrador de la organización a algunos usuarios
  • Ser un punto de contacto en caso de problemas de recuperación.
  • Controlar el ciclo de vida de la cuenta de Google Workspace o el recurso de organización de Cloud Identity como se explica en Borra un recurso de organización

El administrador de la organización, una vez asignado, puede asignar funciones de administración de identidades y accesos a otros usuarios. Las responsabilidades de la función de Administrador de la organización son las siguientes:

  • Definir políticas de IAM y otorgar funciones de IAM a otros usuarios
  • Visualizar la estructura de la jerarquía de recursos

De acuerdo con el principio de privilegio mínimo, esta función no incluye el permiso para realizar otras acciones, como crear carpetas o proyectos. Para obtener estos permisos, un administrador de la organización debe asignar funciones adicionales a su cuenta.

Tener dos funciones distintas garantiza la separación de obligaciones entre los administradores avanzados de Google Workspace o Cloud Identity y el administrador de la organización de Google Cloud. Esto suele ser un requisito ya que, en general, a los dos productos de Google los administran distintos departamentos de la organización del cliente.

Para comenzar a usar de forma activa el recurso de la organización, sigue estos pasos a fin de agregar un administrador de la organización:

Agregar un administrador de la organización

Console

Para agregar un administrador de la organización, sigue estos pasos:

  1. Accede a Google Cloud Console como administrador avanzado de Google Workspace o Cloud Identity y navega a la página Administrador de IAM:

    Abrir la página IAM y administración

  2. Selecciona el recurso de la organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de la organización y selecciona el recurso de la organización al que deseas agregar un administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir la página Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que desees establecer como administradores de la organización.

  4. En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Toma el control total del recurso de la organización. Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el administrador de Google Cloud.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.

Como se explica en Adquirir un recurso de organización, cuando se crea, a todos los usuarios del dominio se les otorgan las funciones de Creador de proyectos y Creador de cuentas de facturación de forma predeterminada. Esto garantiza que los usuarios de Google Cloud no tengan interrupciones cuando se cree el recurso de la organización. A medida que el administrador de la organización toma el control, es posible que desee quitar estos permisos a nivel de la organización para comenzar a bloquear el acceso con un nivel de detalle más detallado (por ejemplo, a nivel de la carpeta o del proyecto). Ten en cuenta que, debido a que las políticas de IAM se heredan en la jerarquía, tener la función de creador de proyectos asignada a todo el dominio (domain:mycompany.com) a nivel de la organización implica que todos los usuarios del dominio pueden crear proyectos en cualquier parte de la jerarquía.

Crea proyectos en el recurso de tu organización

Console


Puedes crear un proyecto en el recurso de la organización con Google Cloud Console después de que el recurso de la organización esté habilitado para tu dominio.

Para crear un proyecto nuevo en el recurso de la organización, haz lo siguiente:

Para crear un proyecto nuevo, haz lo siguiente:

  1. Ve a la página Administrar recursos en la consola de Google Cloud.
  2. En la lista desplegable Seleccionar organización, en la parte superior de la página, selecciona el recurso de la organización en la que deseas crear un proyecto. Si eres un usuario de prueba gratuita, omite este paso, ya que no aparece esta lista.
  3. Haz clic en Crear proyecto.
  4. En la ventana Proyecto nuevo que aparece, ingresa un nombre de proyecto y selecciona una cuenta de facturación según corresponda. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres.
  5. Ingresa el recurso de la organización o la carpeta superior en el cuadro Ubicación. Ese recurso será el superior de la jerarquía del proyecto nuevo. Si aparece Sin organización como opción, puedes seleccionarla para crear tu proyecto nuevo como el nivel superior de su propia jerarquía de recursos.
  6. Cuando hayas terminado de ingresar los detalles del proyecto nuevo, haz clic en Crear.

API


Puedes crear un proyecto nuevo en el recurso de organización si creas un project y estableces su campo parent en el organizationId del recurso de la organización.

En el siguiente fragmento de código, se muestra cómo crear un proyecto en un recurso de la organización:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Visualiza proyectos en un recurso de la organización

Los usuarios solo pueden ver y enumerar proyectos a los que tienen acceso a través de funciones de IAM. El administrador de la organización puede ver y enumerar todos los proyectos en el recurso de la organización.

Console


Para ver todos los proyectos en un recurso de organización con Google Cloud Console, sigue estos pasos:

  1. Ve a Google Cloud Console:

    Ir a la consola de Google Cloud

  2. Haz clic en el menú desplegable Organización en la parte superior de la página.

  3. Selecciona el recurso de tu organización.

  4. Haz clic en el menú desplegable Proyecto en la parte superior de la página y, luego, en Ver más proyectos. Todos los proyectos en el recurso de organización se enumeran en la página.

Con la opción Sin organización del menú desplegable Organización, se enumeran los siguientes proyectos:

  • Proyectos que aún no pertenecen al recurso de la organización
  • Proyectos a los que el usuario tiene acceso, pero que están en un recurso de la organización al que el usuario no tiene acceso

gcloud


Para ver todos los proyectos en un recurso de la organización, ejecuta el siguiente comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Usa el método projects.list() para enumerar todos los proyectos en un recurso superior, como se muestra en el siguiente fragmento de código:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Borra un recurso de organización

El recurso de organización está vinculado a tu cuenta de Google Workspace o Cloud Identity.

Si prefieres no usar el recurso de la organización, te recomendamos restablecer la política de IAM del recurso de la organización al estado original mediante los siguientes pasos:

  1. Agrega tu dominio a las funciones Project Creator y Billing Account Creator.
  2. Quita todas las demás entradas de la política de IAM del recurso de la organización.

Esto permitirá que tus usuarios sigan creando proyectos y cuentas de facturación y, a la vez, les permitirá a los administradores avanzados de Google Workspace o Cloud Identity recuperar la administración central más tarde.

Si borras tu cuenta de Google Workspace, se borrarán los recursos de tu organización y todos los recursos asociados a ella. Por lo tanto, si deseas borrar el recurso de tu organización, puedes borrar tu cuenta de Google Workspace. Para los usuarios de Cloud Identity, cancela todos los demás servicios de Google y, luego, borra tu Cuenta de Google. Es posible que esta acción sea muy perjudicial y que sea imposible de revertir por completo, por lo que se recomienda realizar esta acción solo si estás seguro de que no hay recursos activos.

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis