Gestionar varios recursos de organización

El recurso de organización establece la propiedad de los proyectos y las carpetas que se encuentran en la jerarquía de recursos de Google Cloud Platform. Tu cuenta de Google Workspace o Cloud Identity está asociada a exactamente un recurso de organización. Cada cuenta de Google Workspace o Cloud Identity también está asociada a un dominio principal, como example.com. Para obtener más información sobre cómo usar varios dominios, consulta el artículo Añadir un dominio de alias de usuario o un dominio secundario. Para obtener información sobre cómo cambiar el dominio principal de una cuenta de Google Workspace, consulta el artículo Cambiar el dominio principal de Google Workspace.

En la mayoría de los casos, es mejor usar carpetas en un recurso de organización. Si quieres mantener suborganizaciones o departamentos dentro de tu empresa como entidades aisladas sin administración central, puedes configurar varias cuentas de Google Workspace o Cloud Identity. Cada cuenta tendrá un único recurso de organización asociado a un dominio principal.

Efectos de usar varios recursos de organización

Utiliza varios recursos de organización cuando no quieras que los usuarios de una cuenta de Google Workspace o Cloud Identity accedan a los recursos creados por usuarios de otra cuenta de Google Workspace o Cloud Identity. Si separas los recursos en varios recursos de organización, se producirán varias consecuencias:

  • De forma predeterminada, ningún usuario tendrá visibilidad ni control centralizados sobre todos los recursos.

  • Las políticas que sean comunes en todas las suborganizaciones deberán replicarse en cada recurso de organización.

  • No se pueden mover carpetas de un recurso de una organización a otro. Para obtener más información, consulta el artículo Migrar proyectos entre recursos de organización.

  • Cada recurso de organización requiere una cuenta de Google Workspace. Por lo tanto, para operar varios recursos de organización, se necesitan varias cuentas de Google Workspace y la capacidad de gestionar identidades en ellas.

Usar un solo recurso de organización

La mayoría de las organizaciones que quieren mantener suborganizaciones independientes pueden hacerlo con un solo recurso de organización y carpetas. Si tienes una sola cuenta de Google Workspace, esta cuenta se asigna al recurso de organización y las suborganizaciones se asignan a carpetas.

Elegir un administrador de la organización

Elige uno o varios usuarios que actúen como administradores de la organización de gestión de identidades y accesos del recurso de la organización.

Consola

Para añadir un administrador de la organización, sigue estos pasos:

  1. Inicia sesión en la Google Cloud consola con una cuenta de superadministrador de Google Workspace o Cloud Identity y ve a la página IAM y administración:

    Abre la página IAM y administración

  2. Selecciona el recurso de organización que quieras editar:

    1. Haz clic en la lista desplegable de proyectos situada en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de organizaciones y selecciona el recurso de organización al que quieras añadir un administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir su página Permisos de gestión de identidades y accesos.

  3. Haz clic en Añadir y, a continuación, introduce la dirección de correo de uno o varios usuarios a los que quieras asignar el rol de administrador de la organización.

  4. En la lista desplegable Seleccionar un rol, selecciona Administrador de recursos > Administrador de la organización y, a continuación, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Tener control total sobre el recurso de organización. Se establece la separación de responsabilidades entre el superadministrador y el administrador de Google Workspace o Cloud Identity. Google Cloud

    • Delega responsabilidades con respecto a funciones fundamentales asignando los roles de gestión de identidades y accesos pertinentes.

Crear carpetas para suborganizaciones

Crea una carpeta en el recurso de organización para cada suborganización.

Para crear carpetas, debe tener el rol Administrador de carpetas o Creador de carpetas a nivel de elemento superior. Por ejemplo, para crear carpetas a nivel de organización, debes tener uno de estos roles a nivel de organización.

Para crear una carpeta, debes asignarle un nombre. Los nombres de las carpetas deben cumplir los siguientes requisitos:

  • El nombre puede contener letras, números, espacios, guiones y guiones bajos.
  • El nombre visible de la carpeta debe empezar y terminar con una letra o un dígito.
  • El nombre debe tener entre 3 y 30 caracteres.
  • El nombre debe ser distinto de todos los demás nombres de carpetas que compartan la misma carpeta principal.

Para crear una carpeta, sigue estos pasos:

Consola

Las carpetas se pueden crear en la interfaz de usuario mediante la sección "Gestionar proyectos y carpetas".

  1. Ve a la página Gestionar recursos de la Google Cloud consola:

    Abrir la página Gestionar recursos

  2. Comprueba que el nombre del recurso de tu organización esté seleccionado en la lista desplegable de organizaciones, situada en la parte superior de la página.

  3. Haz clic en Crear carpeta y selecciona una de las siguientes opciones:

  4. En el cuadro Nombre de la carpeta, escribe el nombre de la carpeta nueva.

  5. En Destino, haz clic en Explorar y, a continuación, selecciona la organización, el recurso o la carpeta en la que quieras crear la carpeta.

    1. Haz clic en Crear.

gcloud

Las carpetas se pueden crear mediante programación con la CLI de Google Cloud.

Para crear una carpeta en el recurso de organización con la herramienta de línea de comandos gcloud, ejecuta el siguiente comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para crear una carpeta cuya carpeta principal sea otra carpeta, sigue estos pasos:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Donde:

  • [DISPLAY_NAME] es el nombre visible de la carpeta. No puede haber dos carpetas con el mismo elemento superior que compartan un nombre visible. El nombre visible debe empezar y terminar por una letra o un dígito, puede contener letras, dígitos, espacios, guiones y guiones bajos, y no puede tener más de 30 caracteres.
  • [ORGANIZATION_ID] es el ID del recurso de organización principal si el elemento superior es un recurso de organización.
  • [FOLDER_ID] es el ID de la carpeta principal, si el elemento superior es una carpeta.

API

Las carpetas se pueden crear con una solicitud a la API.

JSON de la solicitud:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Solicitud curl para crear una carpeta:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Donde:

  • [DISPLAY_NAME] es el nombre visible de la carpeta nueva. Por ejemplo, "Mi carpeta genial".
  • [ORGANIZATION_NAME] es el nombre del recurso de organización en el que vas a crear la carpeta, por ejemplo, organizations/123.

Respuesta de Create Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Solicitud curl de Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respuesta de la operación Get:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Asignar roles de administrador de carpetas

Por cada carpeta de suborganización que crees, concede a uno o varios usuarios el rol Administrador de carpetas. Estos usuarios tendrán control administrativo sobre la carpeta y la suborganización que representa.

Para configurar el acceso a las carpetas, debes tener el rol Administrador de gestión de identidades y accesos de carpetas o Administrador de carpetas a nivel de elemento superior.

Consola

  1. En la Google Cloud consola, abre la página Gestionar recursos.

    Abrir la página Gestionar recursos

  2. En la lista desplegable Organización de la parte superior izquierda, selecciona el recurso de tu organización.

  3. Seleccione la casilla situada junto al proyecto cuyos permisos quiera cambiar.

    1. En el panel de información de la derecha, en Permisos, introduce las direcciones de correo de los miembros que quieras añadir.

    2. En la lista desplegable Selecciona un rol, elige el rol que quieras asignar a esos miembros.

    3. Haz clic en Añadir. Aparecerá una notificación para confirmar que se ha añadido o actualizado el nuevo rol de los miembros.

gcloud

Puedes configurar el acceso a las carpetas de forma programática mediante la CLI de Google Cloud o la API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Donde:

  • [FOLDER_ID] es el ID de la nueva carpeta.
  • [POLICY_FILE] es la ruta a un archivo de política de la carpeta.

API

El método setIamPolicy define la política de control de acceso de una carpeta y sustituye cualquier política que ya exista. El campo resource debe ser el nombre del recurso de la carpeta, por ejemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Solicitud curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Donde:

  • [FOLDER_NAME] es el nombre de la carpeta cuya política de IAM se está definiendo, por ejemplo, folders/123.

Restringir los roles de suborganización

Cada administrador de carpetas puede restringir el rol Creador de proyectos a los miembros de su suborganización. También pueden quitar el dominio del rol Creador de proyectos en la política de permitidos del recurso de organización.

Los superadministradores de Google Workspace tienen privilegios de administrador de organización irrevocables. Estos superadministradores suelen gestionar las identidades y las políticas de identidad, en lugar de gestionar los recursos y las políticas de recursos. Google Cloud

Consola

Para quitar los roles asignados a los usuarios de forma predeterminada mediante la Google Cloud consola, sigue estos pasos:

  1. Ve a la página Gestionar recursos de la Google Cloud consola:

    Abrir la página Gestionar recursos

  2. Haz clic en la lista desplegable Organización, situada en la parte superior de la página, y selecciona el recurso de tu organización.

  3. Marca la casilla del recurso de organización para el que quieras cambiar los permisos. Si no tienes un recurso de carpeta, no se mostrará el recurso de organización. Para continuar, consulta las instrucciones para revocar roles en la página Gestión de identidades y accesos.

  4. En el panel de información de la derecha, en Permisos, haz clic para desplegar el rol del que quieras quitar usuarios.

  5. En la lista de roles ampliada, junto al principal que quieras quitar del rol, haz clic en quitar. Captura de pantalla de la interfaz de usuario

  6. En el cuadro de diálogo ¿Quitar principal? que aparece, haz clic en Quitar para confirmar que quieres quitar el rol del principal especificado.

  7. Repite los dos pasos anteriores con cada rol que quieras quitar.

Ejemplo

En el siguiente diagrama se muestra una organización que ha usado carpetas para separar dos departamentos. Los responsables de los departamentos de ingeniería y finanzas tienen control administrativo, y el resto de los usuarios no pueden crear proyectos.

Diagrama de jerarquía

Gestionar varias organizaciones en un recurso de organización principal

Si tu organización tiene varias cuentas de Google Workspace, tendrás varios recursos de organización de forma predeterminada. Para mantener la visibilidad y el control centralizados, debes elegir un recurso de organización que sea el recurso de organización principal. Los superadministradores de la cuenta de Google Workspace asociada a tu recurso de organización principal tendrán control administrativo sobre todos los recursos, incluidos los creados por usuarios de las otras cuentas de Google Workspace. Los usuarios de esas cuentas de Google Workspace tendrán acceso a una carpeta del recurso de organización principal, en la que podrán crear proyectos.

Elegir un administrador de la organización

Elige uno o varios usuarios que actúen como administradores de la organización de gestión de identidades y accesos del recurso de la organización.

Consola

Para añadir un administrador de la organización, sigue estos pasos:

  1. Inicia sesión en la Google Cloud consola con una cuenta de superadministrador de Google Workspace o Cloud Identity y ve a la página IAM y administración:

    Abre la página IAM y administración

  2. Selecciona el recurso de organización que quieras editar:

    1. Haz clic en la lista desplegable de proyectos situada en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de organizaciones y selecciona el recurso de organización al que quieras añadir un administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir su página Permisos de gestión de identidades y accesos.

  3. Haz clic en Añadir y, a continuación, introduce la dirección de correo de uno o varios usuarios a los que quieras asignar el rol de administrador de la organización.

  4. En la lista desplegable Seleccionar un rol, selecciona Administrador de recursos > Administrador de la organización y, a continuación, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Tener control total sobre el recurso de organización. Se establece la separación de responsabilidades entre el superadministrador y el administrador de Google Workspace o Cloud Identity. Google Cloud

    • Delega responsabilidades con respecto a funciones fundamentales asignando los roles de gestión de identidades y accesos pertinentes.

Quitar el rol Creador de proyectos

Quita el rol Creador de proyectos del recurso de organización para asegurarte de que no se creen recursos en los otros recursos de organización.

Consola

Para quitar los roles asignados a los usuarios de forma predeterminada mediante la Google Cloud consola, sigue estos pasos:

  1. Ve a la página Gestionar recursos de la Google Cloud consola:

    Abrir la página Gestionar recursos

  2. Haz clic en la lista desplegable Organización, situada en la parte superior de la página, y selecciona el recurso de tu organización.

  3. Marca la casilla del recurso de organización para el que quieras cambiar los permisos. Si no tienes un recurso de carpeta, no se mostrará el recurso de organización. Para continuar, consulta las instrucciones para revocar roles en la página Gestión de identidades y accesos.

  4. En el panel de información de la derecha, en Permisos, haz clic para desplegar el rol del que quieras quitar usuarios.

  5. En la lista de roles ampliada, junto al principal que quieras quitar del rol, haz clic en quitar. Captura de pantalla de la interfaz de usuario

  6. En el cuadro de diálogo ¿Quitar principal? que aparece, haz clic en Quitar para confirmar que quieres quitar el rol del principal especificado.

  7. Repite los dos pasos anteriores con cada rol que quieras quitar.

Crear carpetas para cuentas de Google Workspace

Crea una carpeta en el recurso de organización para cada cuenta de Google Workspace.

Para crear carpetas, debe tener el rol Administrador de carpetas o Creador de carpetas a nivel de elemento superior. Por ejemplo, para crear carpetas a nivel de organización, debes tener uno de estos roles a nivel de organización.

Para crear una carpeta, debes asignarle un nombre. Los nombres de las carpetas deben cumplir los siguientes requisitos:

  • El nombre puede contener letras, números, espacios, guiones y guiones bajos.
  • El nombre visible de la carpeta debe empezar y terminar con una letra o un dígito.
  • El nombre debe tener entre 3 y 30 caracteres.
  • El nombre debe ser distinto de todos los demás nombres de carpetas que compartan la misma carpeta principal.

Para crear una carpeta, sigue estos pasos:

Consola

Las carpetas se pueden crear en la interfaz de usuario mediante la sección "Gestionar proyectos y carpetas".

  1. Ve a la página Gestionar recursos de la Google Cloud consola:

    Abrir la página Gestionar recursos

  2. Comprueba que el nombre del recurso de tu organización esté seleccionado en la lista desplegable de organizaciones, situada en la parte superior de la página.

  3. Haz clic en Crear carpeta y selecciona una de las siguientes opciones:

  4. En el cuadro Nombre de la carpeta, escribe el nombre de la carpeta nueva.

  5. En Destino, haz clic en Explorar y, a continuación, selecciona la organización, el recurso o la carpeta en la que quieras crear la carpeta.

    1. Haz clic en Crear.

gcloud

Las carpetas se pueden crear mediante programación con la CLI de Google Cloud.

Para crear una carpeta en el recurso de organización con la herramienta de línea de comandos gcloud, ejecuta el siguiente comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para crear una carpeta cuya carpeta principal sea otra carpeta, sigue estos pasos:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Donde:

  • [DISPLAY_NAME] es el nombre visible de la carpeta. No puede haber dos carpetas con el mismo elemento superior que compartan un nombre visible. El nombre visible debe empezar y terminar por una letra o un dígito, puede contener letras, dígitos, espacios, guiones y guiones bajos, y no puede tener más de 30 caracteres.
  • [ORGANIZATION_ID] es el ID del recurso de organización principal si el elemento superior es un recurso de organización.
  • [FOLDER_ID] es el ID de la carpeta principal, si el elemento superior es una carpeta.

API

Las carpetas se pueden crear con una solicitud a la API.

JSON de la solicitud:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

Solicitud curl para crear una carpeta:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Donde:

  • [DISPLAY_NAME] es el nombre visible de la carpeta nueva. Por ejemplo, "Mi carpeta genial".
  • [ORGANIZATION_NAME] es el nombre del recurso de organización en el que vas a crear la carpeta, por ejemplo, organizations/123.

Respuesta de Create Folder:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

Solicitud curl de Get Operation:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

Respuesta de la operación Get:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Asignar roles de administrador de carpetas

En cada una de las carpetas creadas, concede a uno o varios usuarios el rol Administrador de carpetas. Estos usuarios tendrán control administrativo delegado sobre la carpeta y la suborganización que representa.

Para configurar el acceso a las carpetas, debes tener el rol Administrador de gestión de identidades y accesos de carpetas o Administrador de carpetas a nivel de elemento superior.

Consola

  1. En la Google Cloud consola, abre la página Gestionar recursos.

    Abrir la página Gestionar recursos

  2. En la lista desplegable Organización de la parte superior izquierda, selecciona el recurso de tu organización.

  3. Seleccione la casilla situada junto al proyecto cuyos permisos quiera cambiar.

    1. En el panel de información de la derecha, en Permisos, introduce las direcciones de correo de los miembros que quieras añadir.

    2. En la lista desplegable Selecciona un rol, elige el rol que quieras asignar a esos miembros.

    3. Haz clic en Añadir. Aparecerá una notificación para confirmar que se ha añadido o actualizado el nuevo rol de los miembros.

gcloud

Puedes configurar el acceso a las carpetas de forma programática mediante la CLI de Google Cloud o la API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

Alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Donde:

  • [FOLDER_ID] es el ID de la nueva carpeta.
  • [POLICY_FILE] es la ruta a un archivo de política de la carpeta.

API

El método setIamPolicy define la política de control de acceso de una carpeta y sustituye cualquier política que ya exista. El campo resource debe ser el nombre del recurso de la carpeta, por ejemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

Solicitud curl:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Donde:

  • [FOLDER_NAME] es el nombre de la carpeta cuya política de IAM se está definiendo, por ejemplo, folders/123.

Cada administrador de carpetas puede asignar a los usuarios del dominio asociado el rol Creador de proyectos.

Ejemplo

En el siguiente diagrama se muestra una organización con un dominio principal que se mantiene aislado de un dominio secundario adquirido. Cada uno de los dos dominios tiene su propia cuenta de Google Workspace, y hypothetical.com es el recurso principal de la organización.

Diagrama de jerarquía