Crea y administra organizaciones

El recurso de la organización es el nodo raíz en la jerarquía de recursos de Google Cloud Platform y es el supernodo jerárquico de los proyectos. En esta página, se explica cómo adquirir y administrar un recurso de la organización.

Antes de comenzar

Lee una descripción general del recurso de la organización.

Obtén un recurso de la organización

Un recurso de la organización está disponible para los clientes de G Suite y Cloud Identity:

Una vez que hayas creado tu cuenta de G Suite o Cloud Identity y la asocies con un dominio, el recurso de tu organización se creará automáticamente. El recurso se aprovisionará en diferentes momentos según el estado de tu cuenta:

  • Si eres un usuario nuevo que creó una nueva cuenta de G Suite o Cloud Identity, el recurso de la organización se creará cuando accedas a Google Cloud Console y aceptes sus Términos y Condiciones.
  • Si ya eres usuario de G Suite o Cloud Identity, el recurso de la organización se creará cuando crees tu primer proyecto o cuenta de facturación. Antes de crear este primer proyecto, verás que estás en "Sin organización", pero esto es normal. Aparecerá el recurso de la organización y el proyecto se vinculará automáticamente cuando crees el proyecto.

El recurso de organización que se cree se vinculará a tu cuenta de G Suite o Cloud Identity con el proyecto o la cuenta de facturación que creaste configurada como recurso secundario. Todos los proyectos y cuentas de facturación creados en tu dominio de G Suite o Cloud Identity serán recursos secundarios de esta organización.

Cada cuenta de G Suite o Cloud Identity se asocia con una sola organización. Una organización se asocia con un solo dominio, que se establece cuando se crea el recurso de la organización.

Cuando se crea el recurso de la organización, le comunicamos su disponibilidad a los administradores avanzados de G Suite o Cloud Identity. Estas cuentas de administrador avanzado deben usarse con cuidado, ya que tienen un amplio control sobre tu organización y todos sus recursos subyacentes. Por este motivo, no recomendamos el uso de las cuentas de administrador avanzado de G Suite o Cloud Identity para la administración cotidiana de tu organización. Para obtener más información sobre el uso de las cuentas de administrador avanzado de G Suite o Cloud Identity en Google Cloud, consulta las prácticas recomendadas de las cuentas de administrador avanzado.

Para adoptar de forma activa el recurso de la organización, los administradores avanzados de G Suite o Cloud Identity le deben asignar la función Administrador de la organización de Cloud IAM a un usuario o grupo. Si quieres obtener los pasos para configurar tu organización, consulta la sección sobre cómo configurar tu organización.

  • Cuando se crea la organización, a todos los usuarios de tu dominio se les otorgan las funciones de IAM de creador de proyectos y creador de cuentas de facturación de forma automática a nivel de la organización. Esto permite que los usuarios de tu dominio sigan creando proyectos sin interrupciones.
  • El administrador de la organización decidirá cuándo quiere comenzar a usar la organización de forma activa. Luego, puede cambiar los permisos predeterminados y aplicar de forma forzosa las políticas más restrictivas, según sea necesario.
  • Si la organización está disponible y no tienes los permisos de Cloud IAM para visualizarla, puedes crear proyectos y cuentas de facturación. Estos se crean de forma automática en el recurso de la organización, incluso si no puedes verlo.

Obtén el ID de tu organización

El ID de la organización es un identificador único de una organización y se crea de forma automática cuando se crea el recurso de la organización. Los ID de la organización tienen el formato de números decimales y no pueden tener ceros a la izquierda.

Puedes obtener el ID de tu organización mediante Cloud Console, la herramienta de gcloud o la API de Resource Manager.

console


Para obtener el ID de tu organización mediante Cloud Console, haz lo siguiente:

  1. Ve a Cloud Console:

    Ir a Cloud Console

  2. En la parte superior de la página, haz clic en la lista desplegable de selección de proyectos.
  3. En la ventana Seleccionar de que aparece, haz clic en la lista desplegable de organizaciones y, luego, selecciona la organización que deseas.
  4. En el lado derecho, haz clic en Más y, luego, haz clic en Configuración (Settings).

En la página Configuración, se muestra el ID de tu organización.

gcloud


Para encontrar el ID de tu organización, ejecuta el siguiente comando:

gcloud organizations list

Con este, se mostrará una lista de todas las organizaciones a las que perteneces y los ID correspondientes de las organizaciones.

API


Para encontrar el ID de tu organización con la API de Resource Manager, llama al método organizations.search() con el filtro domain:[company.com]. La respuesta contendrá los metadatos del recurso de la organización, que incluyen el ID de la organización.

Configura tu organización

Si eres cliente de G Suite o Cloud Identity, se te proporcionará de forma automática un recurso de la organización.

Los administradores avanzados de G Suite o Cloud Identity son los primeros usuarios que pueden acceder a la organización cuando esta se crea. Todos los demás usuarios o grupos podrán usar GCP como antes. Podrán ver el recurso de la organización, pero solo podrán modificarlo una vez que se hayan configurado los permisos adecuados.

Los administradores avanzados de G Suite o Cloud Identity y el administrador de la organización de GCP son funciones clave durante el proceso de configuración y para el control del ciclo de vida del recurso de la organización. En general, las dos funciones se le asignan a distintos usuarios o grupos, aunque esto depende de la estructura y las necesidades de la organización.

Las responsabilidades de los administradores avanzados de G Suite o Cloud Identity, en el contexto de la configuración de la organización de GCP, son las siguientes:

  • Asignar la función de administrador de la organización a algunos usuarios
  • Ser un punto de contacto en caso de problemas de recuperación.
  • Controlar el ciclo de vida de la cuenta de G Suite o Cloud Identity y del recurso de la organización como se explica en la sección sobre cómo borrar un recurso de la organización

El administrador de la organización, una vez asignado, puede asignarle funciones de IAM a otros usuarios. Las responsabilidades de la función de administrador de la organización son las siguientes:

  • Definir las políticas de IAM
  • Determinar la estructura de la jerarquía de recursos
  • Delegar las responsabilidades de los componentes críticos, como las herramientas de redes, la facturación y la jerarquía de recursos, en las funciones de IAM

De acuerdo con el principio del privilegio mínimo, esta función no incluye el permiso para realizar otras acciones, como crear carpetas. Para obtener estos permisos, un administrador de la organización debe asignarle funciones adicionales a su cuenta.

Tener dos funciones distintas garantiza la separación de tareas entre los administradores avanzados de G Suite o Cloud Identity y el administrador de la organización de GCP. Esto suele ser un requisito ya que, en general, a los dos productos de Google los administran distintos departamentos de la organización del cliente.

Si quieres comenzar a usar el recurso de la organización de forma activa, sigue estos pasos para agregar un administrador de la organización:

Agrega un administrador de la organización

Console

Para agregar un administrador de la organización, sigue estos pasos:

  1. Accede a Google Cloud Console como administrador avanzado de G Suite o Cloud Identity y ve a la página IAM y administración:

    Abrir la página IAM y administración

  2. Selecciona la organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de organizaciones y selecciona la organización a la que deseas agregar un administrador de la organización.

    3. En la lista que aparece, haz clic en la organización para abrir su página de Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que desees establecer como administradores de la organización.

  4. En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Puede tomar el control total de la organización. Se establece la separación de responsabilidades entre el administrador avanzado de G Suite o de Cloud Identity y el administrador de Google Cloud.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de Cloud IAM.

Como se explica en la sección sobre cómo obtener un recurso de la organización, a todos los usuarios del dominio se les otorgan las funciones de creador de proyectos y creador de cuentas de facturación a nivel de la organización de forma predeterminada. Esto garantiza que los usuarios de GCP no sufran interrupciones cuando se crea el recurso de la organización. A medida que el administrador de la organización toma el control, es posible que quieras quitar estos permisos a nivel de la organización para comenzar a bloquear el acceso con mayor nivel de detalle (por ejemplo, a nivel de la carpeta o del proyecto). Ten en cuenta que, dado que las políticas de IAM se heredan de la jerarquía, tener la función de creador de proyectos asignada en todo el dominio (domain:mycompany.com) a nivel de la organización implica que todos los usuarios en el dominio pueden crear proyectos en cualquier nivel de la jerarquía.

Crea proyectos en tu organización

Console


Puedes crear un proyecto en la organización con Cloud Console después de que el recurso de la organización esté habilitado en tu dominio.

Para crear un proyecto nuevo en la organización, haz lo siguiente:

  1. Ve a la página Administrar recursos en Cloud Console.
    Ir a la página Administrar recursos
  2. En la lista desplegable Seleccionar organización, en la parte superior de la página, selecciona la organización en la que deseas crear un proyecto. Si eres un usuario de prueba gratuita, omite este paso, ya que no aparece esta lista.
  3. Haz clic en Crear proyecto.
  4. En la ventana Proyecto nuevo que aparece, ingresa un nombre de proyecto y selecciona una cuenta de facturación según corresponda. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres.
  5. Si deseas agregar el proyecto a una carpeta, ingresa el nombre de la carpeta en la casilla Ubicación.
  6. Cuando hayas terminado de ingresar los detalles del proyecto nuevo, haz clic en Crear.

API


Puedes crear un proyecto nuevo en la organización si creas un project y configuras su campo parent como el organizationId de la organización.

En el siguiente fragmento de código, se muestra cómo crear un proyecto en una organización:

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

Visualiza proyectos en una organización

Los usuarios solo pueden visualizar y enumerar los proyectos a los que tienen acceso mediante las funciones de IAM. El administrador de la organización puede visualizar y enumerar todos los proyectos de la organización.

Console


Si deseas visualizar todos los proyectos en una organización con Cloud Console, haz lo siguiente:

  1. Ve a Google Cloud Console:

    Ir a Google Cloud Console

  2. Haz clic en el menú desplegable Organización en la parte superior de la página.

  3. Selecciona tu organización.

  4. Haz clic en el menú desplegable Proyecto en la parte superior de la página y, luego, haz clic en Ver más proyectos. Se enumerarán todos los proyectos de la organización en la página.

Con la opción Sin organización del menú desplegable Organización, se enumeran los siguientes proyectos:

  • Proyectos que aún no pertenecen a la organización
  • Proyectos a los que el usuario tiene acceso, pero que están en una organización a la que el usuario no tiene acceso

gcloud


Para visualizar todos los proyectos de una organización, ejecuta el comando siguiente:

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


Usa el método projects.list() para enumerar todos los proyectos en una organización, como se muestra en el siguiente fragmento de código:

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

Borra un recurso de la organización

El recurso de la organización está vinculado a tu cuenta de G Suite o Cloud Identity.

Si prefieres no usar el recurso de la organización, te recomendamos restablecer la política de IAM de la organización al estado original mediante los siguientes pasos:

  1. Agrega tu dominio a las funciones Project Creator y Billing Account Creator.
  2. Quita todas las demás entradas de la política de IAM de la organización.

Esto permitirá que tus usuarios sigan creando proyectos y cuentas de facturación y, a la vez, les permitirá a los administradores avanzados de G Suite o Cloud Identity recuperar la administración central más tarde.

Si borras tu cuenta de G Suite, se borrará tu organización y todos los recursos asociados a ella. Por lo tanto, si deseas borrar su organización, puedes hacerlo mediante la eliminación de tu cuenta de G Suite. Para los usuarios de Cloud Identity, cancela todos los demás servicios de Google y, luego, borra tu Cuenta de Google. Es posible que esta acción sea muy perjudicial y que sea imposible de revertir por completo, por lo que se recomienda realizar esta acción solo si estás seguro de que no hay recursos activos.