El recurso de organización es el nodo raíz de la Google Cloud jerarquía de recursos y es el supernodo jerárquico de los proyectos. En esta página se explica cómo adquirir y gestionar un recurso de organización.
Antes de empezar
Consulta una descripción general del recurso de organización.
Obtener un recurso de organización
Los clientes de Google Workspace y Cloud Identity pueden usar un recurso de organización:
- Google Workspace: regístrate en Google Workspace.
- Cloud Identity: regístrate en Cloud Identity.
Una vez que hayas creado tu cuenta de Google Workspace o Cloud Identity y la hayas asociado a un dominio, se creará automáticamente tu recurso de organización. El recurso se aprovisionará en momentos distintos en función del estado de tu cuenta:
- Si es tu primera vez en Google Cloud y aún no has creado ningún proyecto, el recurso de organización se creará automáticamente cuando inicies sesión en la consola de Google Cloud y aceptes los términos y condiciones.
-
Si ya eres usuario de Google Cloud , el recurso de organización se creará automáticamente cuando crees un proyecto o una cuenta de facturación. Los proyectos que hayas creado anteriormente aparecerán en la sección "Sin organización". Esto es normal. Aparecerá el recurso de la organización y el nuevo proyecto que has creado se vinculará a él automáticamente.
Deberás mover los proyectos que hayas creado en "Sin organización" a tu nuevo recurso de organización. Para obtener instrucciones sobre cómo mover tus proyectos, consulta el artículo Migrar proyectos a un recurso de organización.
El recurso de organización que se cree se vinculará a tu cuenta de Google Workspace o Cloud Identity, y el proyecto o la cuenta de facturación que hayas creado se establecerá como recurso secundario. Todos los proyectos y cuentas de facturación que crees en tu dominio de Google Workspace o Cloud Identity serán recursos secundarios de este recurso de organización.
- Para obtener información sobre cómo migrar proyectos, consulta el artículo Migrar proyectos.
Cada cuenta de Google Workspace o Cloud Identity está asociada exactamente a un recurso de organización. Un recurso de organización está asociado exactamente a un dominio, que se define cuando se crea el recurso de organización.
Cuando se crea el recurso de organización, comunicamos su disponibilidad a los superadministradores de Google Workspace o Cloud Identity. Estas cuentas de superadministrador deben usarse con cuidado, ya que tienen mucho control sobre los recursos de tu organización y todos los recursos que dependen de ella. Por este motivo, no recomendamos usar cuentas de superadministrador de Google Workspace o Cloud Identity para gestionar el recurso de organización a diario. Para obtener más información sobre cómo usar cuentas de superadministrador de Google Workspace o Cloud Identity en Google Cloud, consulta las prácticas recomendadas para superadministradores.
Para adoptar activamente el recurso de organización, los superadministradores de Google Workspace o Cloud Identity deben asignar el rol de gestión de identidades y accesos (IAM) Administrador de organización (roles/resourcemanager.organizationAdmin) a un usuario o grupo. Para ver los pasos que debes seguir para configurar tu recurso de organización, consulta el artículo Configurar tu recurso de organización.
- Cuando se crea el recurso de organización, se asignan automáticamente a todos los usuarios de tu dominio los roles de gestión de identidades y accesos Creador de proyectos (
roles/resourcemanager.projectCreator) y Creador de cuentas de facturación (roles/billing.creator) a nivel del recurso de organización. De esta forma, los usuarios de tu dominio podrán seguir creando proyectos sin interrupciones. - El administrador de la organización decidirá cuándo quiere empezar a usar activamente el recurso de la organización. Después, pueden cambiar los permisos predeterminados y aplicar políticas más restrictivas según sea necesario.
- Si el recurso de organización está disponible y no tienes los permisos de gestión de identidades y accesos para verlo, puedes crear proyectos y cuentas de facturación. Se crean automáticamente en el recurso de organización, aunque no puedas verlo.
Obtener el ID de recurso de tu organización
El ID de recurso de organización es un identificador único de un recurso de organización y se crea automáticamente cuando se crea el recurso de organización. Los IDs de los recursos de la organización tienen el formato de números decimales y no pueden tener ceros iniciales.
Puedes obtener el ID de tu recurso de organización mediante la Google Cloud consola, la CLI de gcloud o la API Cloud Resource Manager.
consola
Para obtener el ID de tu recurso de organización mediante la consola Google Cloud , sigue estos pasos:
- Ve a la Google Cloud consola:
- En el selector de proyectos de la parte superior de la página, selecciona el recurso de tu organización.
- En la parte derecha, haz clic en Más y, a continuación, en Configuración.
En la página Configuración se muestra el ID del recurso de tu organización.
gcloud
Para encontrar el ID de recurso de tu organización, ejecuta el siguiente comando:
gcloud organizations list
Este comando muestra todos los recursos de organización a los que perteneces y sus correspondientes IDs de recursos de organización.
API
Para encontrar el ID de tu recurso de organización con la API Cloud Resource Manager, usa el método organizations.search()
e incluye una consulta para tu dominio. Por ejemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La respuesta contiene los metadatos del recurso de organización que pertenece a altostrat.com, incluido el ID del recurso de organización.
Configurar tu recurso de organización
Si eres cliente de Google Workspace o Cloud Identity, se te proporciona automáticamente un recurso de organización.
Los superadministradores de Google Workspace o Cloud Identity son los primeros usuarios que pueden acceder al recurso de organización una vez creado. El resto de los usuarios o grupos podrán usar Google Cloud como antes. Podrán ver el recurso de organización, pero solo podrán modificarlo si se han definido los permisos correctos.
Los superadministradores de Google Workspace o Cloud Identity y elGoogle Cloud administrador de la organización son roles clave durante el proceso de configuración y para el control del ciclo de vida del recurso de organización. Los dos roles se suelen asignar a usuarios o grupos diferentes, aunque esto depende de la estructura y las necesidades del recurso de la organización.
Las responsabilidades de los superadministradores de Google Workspace o Cloud Identity en el contexto de la configuración de recursos de organización son las siguientes: Google Cloud
- Asignar el rol Administrador de la organización a algunos usuarios
- Ser un punto de contacto en caso de problemas de recuperación
- Controlar el ciclo de vida de la cuenta de Google Workspace o Cloud Identity y del recurso de organización, tal como se explica en el artículo sobre cómo eliminar un recurso de organización
El administrador de la organización, una vez asignado, puede asignar roles de gestión de identidades y accesos a otros usuarios. Estas son las responsabilidades del rol Administrador de la organización:
- Definir políticas de permitir y denegar, y asignar roles a otros usuarios.
- Ver la estructura de la jerarquía de recursos
Siguiendo el principio de mínimos accesos, este rol no incluye el permiso para realizar otras acciones, como crear carpetas o proyectos. Para obtener estos permisos, un administrador de la organización debe asignar roles adicionales a su cuenta.
Al haber dos roles distintos, se garantiza la separación de funciones entre los superadministradores de Google Workspace o Cloud Identity y elGoogle Cloud administrador de la organización. A menudo, esto es un requisito, ya que los dos productos de Google suelen gestionarse en departamentos diferentes de la organización del cliente.
Para empezar a usar activamente el recurso de organización, sigue los pasos que se indican a continuación para añadir un administrador de la organización:
Añadir un administrador de la organización
Consola
Para añadir un administrador de la organización, sigue estos pasos:
Inicia sesión en la Google Cloud consola con una cuenta de superadministrador de Google Workspace o Cloud Identity y ve a la página IAM y administración:
Selecciona el recurso de organización que quieras editar:
Haz clic en la lista desplegable de proyectos situada en la parte superior de la página.
En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de organizaciones y selecciona el recurso de organización al que quieras añadir un administrador de la organización.
En la lista que aparece, haz clic en el recurso de la organización para abrir su página Permisos de gestión de identidades y accesos.
Haz clic en Añadir y, a continuación, introduce la dirección de correo de uno o varios usuarios a los que quieras asignar el rol de administrador de la organización.
En la lista desplegable Seleccionar un rol, selecciona Administrador de recursos > Administrador de la organización y, a continuación, haz clic en Guardar.
El administrador de la organización puede hacer lo siguiente:
Tener control total sobre el recurso de organización. Se establece la separación de responsabilidades entre el superadministrador y el administrador de Google Workspace o Cloud Identity. Google Cloud
Delega responsabilidades con respecto a funciones fundamentales asignando los roles de gestión de identidades y accesos pertinentes.
Como se explica en el artículo Obtener un recurso de organización, al crear un recurso de organización, se asignan de forma predeterminada los roles Creador de proyectos y Creador de cuentas de facturación a todos los usuarios del dominio a nivel del recurso de organización. De esta forma, no se interrumpirá el servicio a los usuarios cuando se cree el recurso de organización. Google Cloud Cuando el administrador de la organización tome el control, puede que quiera quitar estos permisos a nivel de organización para empezar a restringir el acceso con una granularidad más fina (por ejemplo, a nivel de carpeta o proyecto). Ten en cuenta que, como las políticas de permitir y denegar se heredan en la jerarquía, si se asigna el rol Creador de proyectos a todo el dominio (domain:mycompany.com) en el nivel del recurso de organización, todos los usuarios del dominio podrán crear proyectos en cualquier parte de la jerarquía.
Crear proyectos en el recurso de organización
Consola
Puedes crear un proyecto en el recurso de la organización mediante laGoogle Cloud consola una vez que el recurso de la organización se haya habilitado en tu dominio.
Para crear un proyecto en el recurso de organización, sigue estos pasos:
Para crear un proyecto, sigue estos pasos:
-
Ve a la página Gestionar recursos de la Google Cloud consola.
Los pasos restantes aparecen en la Google Cloud consola.
- En la lista desplegable Seleccionar organización, que aparece en la parte superior de la página, selecciona el recurso de organización en el que quieras crear un proyecto. Si estás usando la prueba gratuita, sáltate este paso, ya que esta lista no aparece.
- Haz clic en Crear proyecto.
- En la ventana Nuevo proyecto que aparece, introduce el nombre de un proyecto y selecciona una cuenta de facturación, si procede. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres.
- Introduce el recurso de la organización o carpeta principal en el cuadro Ubicación. Ese recurso será el padre jerárquico del nuevo proyecto. Si la opción No hay ninguna organización está disponible, selecciónala para crear tu nuevo proyecto como nivel superior de su propia jerarquía de recursos.
- Cuando hayas terminado de introducir los detalles del nuevo proyecto, haz clic en Crear.
API
Puedes crear un proyecto en el recurso de organización creando un project y asignando al campo parent el valor organizationId del recurso de organización.
En el siguiente fragmento de código se muestra cómo crear un proyecto en un recurso de organización:
...
project = crm.projects().create(
body={
'project_id': flags.projectId,
'name': 'My New Project',
'parent': {
'type': 'organization',
'id': flags.organizationId
}
}).execute()
...
Ver proyectos en un recurso de organización
Los usuarios solo pueden ver y enumerar los proyectos a los que tienen acceso a través de los roles de gestión de identidades y accesos. El administrador de la organización puede ver y enumerar todos los proyectos del recurso de la organización.
Consola
Para ver todos los proyectos de un recurso de organización mediante la Google Cloud consola, sigue estos pasos:
Ve a la Google Cloud consola:
En la parte superior de la página, haga clic en el desplegable Organización.
Selecciona tu recurso de organización.
Haz clic en el desplegable Proyecto situado en la parte superior de la página y, a continuación, en Ver más proyectos. En la página se muestran todos los proyectos del recurso de la organización.
La opción Ninguna organización de la lista desplegable Organización muestra los siguientes proyectos:
- Proyectos que aún no pertenecen al recurso de organización.
- Proyectos a los que el usuario tiene acceso, pero que están en un recurso de organización al que el usuario no tiene acceso.
gcloud
Para ver todos los proyectos de un recurso de organización, ejecuta el siguiente comando:
gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
parent.type=organization'
API
Usa el método projects.list() para enumerar todos los proyectos de un recurso superior, tal como se muestra en el siguiente fragmento de código:
...
filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()
...
Eliminar un recurso de organización
El recurso de organización está vinculado a tu cuenta de Google Workspace o Cloud Identity.
Si prefieres no usar el recurso de organización, te recomendamos que restaures la política de permiso del recurso de organización al estado original siguiendo estos pasos:
- Añade tu dominio a los roles
Project CreatoryBilling Account Creator. - Elimina todas las demás entradas de la política de permitidos del recurso de la organización.
De esta forma, los usuarios podrán seguir creando proyectos y cuentas de facturación, mientras que los superadministradores de Google Workspace o Cloud Identity podrán recuperar la administración central más adelante.
Si eliminas tu cuenta de Google Workspace, se eliminará el recurso de tu organización y todos los recursos asociados a él. Por lo tanto, si quieres eliminar el recurso de tu organización, puedes hacerlo eliminando tu cuenta de Google Workspace. Si eres usuario de Cloud Identity, cancela todos los demás servicios de Google y, a continuación, elimina tu cuenta de usuario. Esta acción puede ser muy perjudicial y es posible que no se pueda deshacer por completo, por lo que te recomendamos que solo la lleves a cabo si tienes la certeza de que no hay recursos en uso.
Pruébalo
Si es la primera vez que utilizas Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los nuevos clientes también reciben 300 USD en crédito gratuito para ejecutar, probar y desplegar cargas de trabajo.
Empezar gratis