Crea y administra recursos de la organización

El recurso de organización es el nodo raíz del Jerarquía de recursos de Google Cloud y es el supernodo jerárquico de los proyectos. En esta página, se explica cómo para adquirir y administrar un recurso de la organización.

Antes de comenzar

Leer una descripción general del recurso de la organización.

Obtén un recurso de la organización

Hay un recurso de organización disponible para los clientes de Google Workspace y Cloud Identity:

Una vez que hayas creado tu cuenta de Google Workspace o Cloud Identity y la asocies con un dominio, el recurso de tu organización se creará automáticamente. El recurso se aprovisionará en diferentes momentos según el estado de tu cuenta:

  • Si eres nuevo en Google Cloud y aún no has creado un proyecto, el de la organización se creará cuando accedas al la consola de Google Cloud y aceptar los Términos y Condiciones.

  • Si ya eres usuario de Google Cloud, el recurso de la organización cuando crees un nuevo proyecto o cuenta de facturación. Los proyectos que creaste anteriormente aparecerán en "Sin organización", y esto es normal. La organización aparecerá este recurso, y el proyecto nuevo que creaste se vinculará automáticamente a él.

    Deberás mover los proyectos que creaste en "Sin organización" a tu nuevo recurso de la organización. Para obtener instrucciones sobre cómo mover tus proyectos, consulta Migra proyectos a un recurso de la organización.

El recurso de organización que se cree se vinculará a tu cuenta de Google Workspace o Cloud Identity con el proyecto o la cuenta de facturación que creaste configurada como recurso secundario. Todos los proyectos y cuentas de facturación creados en tu dominio de Google Workspace o Cloud Identity serán elementos secundarios de este recurso de la organización.

Cada cuenta de Google Workspace o Cloud Identity se asocia exactamente en un recurso de la organización. Un recurso de organización se asocia exactamente un dominio, que se establece cuando se crea el recurso de la organización.

Cuando se crea el recurso de la organización, comunicamos su disponibilidad a los administradores avanzados de Google Workspace o Cloud Identity. Estos Las cuentas de administrador avanzado deben usarse con cuidado, ya que tienen mucho control sobre los recursos de tu organización y todos sus recursos subyacentes. Por este motivo, recomendar el uso de cuentas de administrador avanzado de Google Workspace o Cloud Identity para la administración diaria de los recursos de tu organización. Para obtener más información sobre cómo usar las cuentas de administrador avanzado de Google Workspace o Cloud Identity en Google Cloud, consulta las prácticas recomendadas de las cuentas de administrador avanzado.

Para adoptar activamente el recurso de la organización, el entorno de Google Workspace o Los administradores avanzados de Cloud Identity deben asignar el Administrador de la organización (roles/resourcemanager.organizationAdmin) de Identity and Access Management (IAM) a un usuario o grupo. Si deseas conocer los pasos para configurar tu recurso de organización, consulta Configura tu recurso de organización.

  • Cuando se crea el recurso de la organización, todos los usuarios de tu dominio reciben automáticamente otorgaste al Creador de proyectos (roles/resourcemanager.projectCreator) y Roles de IAM de Creador de cuentas de facturación (roles/billing.creator) a nivel de los recursos de la organización. Esto permite que los usuarios de tu dominio sigan creando proyectos sin interrupciones.
  • El administrador de la organización decidirá cuándo desea comenzar usan activamente los recursos de la organización. Luego, pueden cambiar la configuración de acceso y aplicar políticas más restrictivas según sea necesario.
  • Si el recurso de la organización está disponible y no tienes el IAM de para verlo, aún puedes crear proyectos y cuentas de facturación. Se crean automáticamente bajo el recurso de la organización, incluso si no la pueden ver.

Obtén el ID de recurso de tu organización

El ID de recurso de la organización es un identificador único para un recurso de la organización y es que se crean automáticamente cuando se crea el recurso de la organización. Recurso de la organización Los ID tienen el formato de números decimales y no pueden tener ceros a la izquierda.

Puedes obtener el ID del recurso de la organización con la consola de Google Cloud. gcloud CLI o la API de Cloud Resource Manager.

Console

Para obtener el ID del recurso de la organización con la consola de Google Cloud, sigue estos pasos: lo siguiente:

  1. Ve a la consola de Google Cloud:

    Ve a la consola de Google Cloud.

  2. En el selector de proyectos de la parte superior de la página, selecciona tu organización. recurso.
  3. En el lado derecho, haz clic en Más y, luego, en Configuración.

En la página Configuración, se muestra el ID de recurso de la organización.

gcloud

Para encontrar el ID de recurso de tu organización, ejecuta el siguiente comando:

gcloud organizations list

Este comando enumera todos los recursos de la organización a los que perteneces, y sus IDs de recursos de la organización correspondientes.

API

Para encontrar el ID de recurso de tu organización con la API de Cloud Resource Manager, usa el organizations.search() método, incluida una consulta para tu dominio. Por ejemplo:

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

La respuesta contiene los metadatos del recurso de la organización pertenece a altostrat.com, que incluye el ID de recurso de la organización.

Configura el recurso de tu organización

Si eres cliente de Google Workspace o Cloud Identity, una organización recurso se te proporciona automáticamente.

Los administradores avanzados de Google Workspace o Cloud Identity son los primeros usuarios que pueden acceder al recurso de la organización en el momento de la creación. Todos los demás usuarios o grupos podrán usar Google Cloud como antes. Podrán ver la recurso de la organización, pero solo podrán modificarlo después de permisos establecidos.

Los administradores avanzados de Google Workspace o Cloud Identity y el Los administradores de la organización de Google Cloud son roles clave durante la configuración y el control del ciclo de vida del recurso de la organización. Los dos roles generalmente se asignan a diferentes usuarios o grupos, aunque esto depende en la estructura y las necesidades de los recursos de la organización.

responsabilidades de los administradores avanzados de Google Workspace o Cloud Identity, en el contexto de la configuración de recursos de la organización de Google Cloud son los siguientes:

  • Asignar la función de Administrador de la organización a algunos usuarios
  • Ser un punto de contacto en caso de problemas de recuperación.
  • Controlar el ciclo de vida de Google Workspace o Cloud Identity cuenta y recurso de organización, como se explica en Borra un recurso de la organización

El administrador de la organización, una vez asignado, puede asignar roles de Identity and Access Management a otros usuarios. Las responsabilidades del rol de Administrador de la organización son:

  • Define políticas de IAM y otorga roles de IAM a otros usuarios.
  • Ver la estructura del Jerarquía de recursos

De acuerdo con el principio de privilegio mínimo, este rol no incluye a permiso para realizar otras acciones, como crear carpetas o proyectos. Para un administrador de la organización debe asignar roles a su cuenta.

Tener dos roles distintos garantiza la separación de tareas entre los los administradores avanzados de Google Workspace o Cloud Identity y el Administrador de la organización de Google Cloud. Esto suele ser un requisito ya que, en general, a los dos productos de Google los administran distintos departamentos de la organización del cliente.

Si quieres comenzar a usar activamente el recurso de la organización, sigue estos pasos para agregarlo un administrador de la organización:

Agrega un administrador de la organización

Console

Para agregar un administrador de la organización, haz lo siguiente:

  1. Accede a la consola de Google Cloud como Google Workspace o administrador avanzado de Cloud Identity y navega a la IAM y Administrador:

    Abrir la página IAM y administración

  2. Selecciona el recurso de la organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el diálogo Seleccionar una opción, haz clic en la lista desplegable de organizaciones. y selecciona el recurso de organización al que quieres agregar Administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de organización para abrir su página Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios establecer como administradores de la organización.

  4. En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Toma el control total del recurso de la organización. Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el administrador de Google Cloud.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.

Como se explica en Adquiere un recurso de organización, cuando se crea, a todos los usuarios del dominio se les otorga Creador de proyectos y Creador de cuentas de facturación a nivel de los recursos de la organización de forma predeterminada. Esto garantiza que no se produzcan interrupciones causada a los usuarios de Google Cloud cuando se crea el recurso de la organización. Como El administrador de la organización toma el control, por lo que es posible que desee quitarlas a nivel de organización para comenzar a bloquear el acceso nivel de detalle (por ejemplo, a nivel de carpeta o proyecto). Ten en cuenta que, ya que Las políticas de IAM se heredan en los niveles inferiores, ya que el rol de Creador de proyectos asignado a todo el dominio (domain:mycompany.com) a nivel de recurso de la organización implica que todos los usuarios del dominio pueden crear proyectos en cualquier nivel de la jerarquía.

Crea proyectos en el recurso de tu organización

Console


Puedes crear un proyecto en el recurso de la organización con el la consola de Google Cloud después de habilitar el recurso de organización para tu dominio.

Para crear un proyecto nuevo en el recurso de la organización, haz lo siguiente:

Para crear un proyecto nuevo, haz lo siguiente:

  1. Ve a la página Administrar recursos en la consola de Google Cloud.

    Ir a Administrar recursos

    Los pasos restantes aparecen en la consola de Google Cloud.

  2. En la lista desplegable Seleccionar una organización, en la parte superior de la página, selecciona el recurso de la organización en la que deseas crear un proyecto. Si eres un usuario de prueba gratuita, omite este paso, ya que no aparece esta lista.
  3. Haz clic en Crear proyecto.
  4. En la ventana Proyecto nuevo que aparece, ingresa un nombre de proyecto y selecciona una cuenta de facturación según corresponda. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres.
  5. Ingresa el recurso de la organización o la carpeta superior en el cuadro Ubicación. Ese recurso será el superior de la jerarquía del proyecto nuevo. Si aparece Sin organización como opción, puedes seleccionarla para crear tu proyecto nuevo como el nivel superior de su propia jerarquía de recursos.
  6. Cuando hayas terminado de ingresar los detalles del proyecto nuevo, haz clic en Crear.

API


Puedes crear un proyecto nuevo en el recurso de la organización con crear un project y establece su campo parent en la organizationId de recurso de la organización.

En el siguiente fragmento de código, se demuestra cómo crear un proyecto en una recurso de la organización:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Visualiza proyectos en un recurso de la organización

Los usuarios solo pueden ver y enumerar los proyectos a los que tienen acceso a través de IAM. roles de seguridad. El administrador de la organización puede ver y enumerar todos los proyectos de la recurso de la organización.

Console


Para ver todos los proyectos de un recurso de la organización con la consola de Google Cloud, sigue estos pasos:

  1. Ve a la consola de Google Cloud:

    Ir a la consola de Google Cloud

  2. Haz clic en el menú desplegable Organización en la parte superior de la página.

  3. Selecciona el recurso de tu organización.

  4. Haz clic en el menú desplegable Proyecto en la parte superior de la página y, luego, en Ver más proyectos Se enumeran todos los proyectos del recurso de organización en la página.

Con la opción Sin organización del menú desplegable Organización, se enumeran los siguientes proyectos:

  • Proyectos que aún no pertenecen al recurso de la organización.
  • Proyectos a los que el usuario tiene acceso, pero que son parte de una organización al que el usuario no tiene acceso.

gcloud


Para ver todos los proyectos de un recurso de la organización, ejecuta el siguiente comando:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Usa el projects.list() para enumerar todos los proyectos de un recurso superior, como se muestra en el siguiente fragmento de código:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Borra un recurso de la organización

El recurso de la organización está vinculado a tu cuenta de Google Workspace o Cloud Identity de servicio predeterminada.

Si prefieres no usar el recurso de organización, te recomendamos restablecer la política de IAM del recurso de la organización al estado original con el los siguientes pasos:

  1. Agrega tu dominio a las funciones Project Creator y Billing Account Creator.
  2. Quita todas las demás entradas de la política de IAM del recurso de la organización.

Esto permitirá que tus usuarios sigan creando proyectos y cuentas de facturación y, a la vez, les permitirá a los administradores avanzados de Google Workspace o Cloud Identity recuperar la administración central más tarde.

Si borras tu cuenta de Google Workspace esta acción borrará el recurso de tu organización y todos los recursos asociados a . Por lo tanto, si quieres borrar tu recurso de organización, puedes hacerlo borrando tu cuenta de Google Workspace. Para los usuarios de Cloud Identity, cancela todos los demás servicios de Google y, luego, borra tu Cuenta de Google. Es posible que esta acción sea muy perjudicial y que sea imposible de revertir por completo, por lo que se recomienda realizar esta acción solo si estás seguro de que no hay recursos activos.

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis