Administra varios recursos de la organización

El recurso de organización establece la propiedad de los proyectos y las carpetas por debajo de él en la jerarquía de recursos de Google Cloud Platform. Tu cuenta de Google Workspace o Cloud Identity está asociada con exactamente un recurso de la organización. Cada cuenta de Google Workspace o Cloud Identity también se asocia a un dominio principal, como example.com. Para obtener detalles sobre el uso de varios dominios, consulta Cómo agregar un dominio de alias de usuario o un dominio secundario. Si quieres conocer los detalles para cambiar el dominio principal de una cuenta de Google Workspace, consulta Cómo cambiar el dominio principal de Google Workspace.

En la mayoría de los casos de uso, se recomienda usar carpetas dentro de un recurso de organización. Si deseas mantener las suborganizaciones o departamentos dentro de tu empresa como entidades aisladas sin administración central, puedes configurar varias cuentas de Google Workspace o Cloud Identity. Cada cuenta vendrá con un solo recurso de organización asociado a un dominio principal.

Los efectos del uso de varios recursos de la organización

Usa varios recursos de la organización cuando no quieras que los usuarios de una cuenta de Google Workspace o Cloud Identity accedan a los recursos creados por usuarios de otra cuenta de Google Workspace o Cloud Identity. Separar los recursos entre varios recursos de la organización conlleva varias consecuencias:

  • De forma predeterminada, ningún usuario tendrá visibilidad central ni control sobre todos los recursos.

  • Las políticas que son comunes entre las suborganizaciones deberán replicarse en cada recurso de la organización.

  • Mover carpetas de un recurso de la organización a otro no es una operación compatible. Puedes trasladar proyectos de un recurso de la organización a otro si sigues la guía que se indica aquí.

  • Cada recurso de organización requiere una cuenta de Google Workspace. Por lo tanto, operar varios recursos de la organización requiere varias cuentas de Google Workspace y la capacidad de administrar identidades entre ellas.

Usa un solo recurso de organización

La mayoría de las organizaciones que desean mantener suborganizaciones separadas pueden hacerlo mediante carpetas y un solo recurso de la organización. Si tienes una sola cuenta de Google Workspace, esta se asigna al recurso de la organización, y las suborganizaciones se asignan a las carpetas.

Elige un administrador de la organización

Elige uno o más usuarios para que actúen como administradores de la organización de IAM para el recurso de la organización.

Console

Para agregar un administrador de la organización, haz lo siguiente:

  1. Accede a la consola de Google Cloud como administrador avanzado de Google Workspace o Cloud Identity y navega a la página IAM y administración:

    Abrir la página IAM y administración

  2. Selecciona el recurso de organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de la organización y selecciona el recurso de la organización al que deseas agregar un administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir la página Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que desees establecer como Administradores de la organización.

  4. En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Toma el control total de los recursos de la organización. Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el administrador de Google Cloud.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.

Crea carpetas para las suborganizaciones

Crea una carpeta en el recurso de la organización para cada suborganización.

Para crear carpetas, debes tener la función Administrador de carpetas o Creador de carpetas a nivel del superior. Por ejemplo, para crear carpetas a nivel de la organización, debes tener una de estas funciones a nivel de la organización.

Como parte de la creación de una carpeta, debes asignarle un nombre. Los nombres de las carpetas deben cumplir los siguientes requisitos:

  • El nombre puede contener letras, dígitos, espacios, guiones y guiones bajos.
  • El nombre visible de la carpeta debe comenzar y terminar con una letra o un dígito.
  • El nombre debe tener entre 3 y 30 caracteres.
  • El nombre debe ser distinto al de todas las demás carpetas que comparten el superior.

Para crear una carpeta, haz lo siguiente:

Console

Las carpetas se pueden crear en la IU a través de la sección “Administra proyectos y carpetas”.

  1. Ve a la página Administrar recursos en la consola de Google Cloud:

    Abrir la página Administrar recursos

  2. Asegúrate de que el nombre del recurso de tu organización esté seleccionado en la lista desplegable de la organización, en la parte superior de la página.

  3. Haz clic en Crear carpeta y selecciona una de las siguientes opciones:

    • Carpeta estándar: Es un recurso de carpeta estándar.
    • Carpeta de Assured Workloads: Es una carpeta de Assured Workloads, que proporciona controles regulatorios, regionales o soberanos adicionales para los recursos de Google Cloud. Si seleccionas esta opción, accederás a Assured Workloads para crear una carpeta.

  4. En el cuadro Nombre de la carpeta, ingresa el nombre de la carpeta nueva.

  5. En Destino, haz clic en Explorar y, luego, selecciona el recurso o la carpeta de la organización en la que deseas crear la carpeta nueva.

    1. Haz clic en Crear.

gcloud

Las carpetas se pueden crear de manera programática con Google Cloud CLI.

Para crear una carpeta en el recurso de la organización con la herramienta de línea de comandos de gcloud, ejecuta el siguiente comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para crear una carpeta cuya carpeta superior sea otra, sigue estos pasos:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Aquí:

  • [DISPLAY_NAME] es el nombre visible de la carpeta. Dos carpetas con la misma carpeta superior no pueden compartir un nombre visible. El nombre visible debe comenzar y terminar con una letra o un dígito, puede contener letras, dígitos, espacios, guiones y guiones bajos, y no puede tener más de 30 caracteres.
  • [ORGANIZATION_ID] es el ID del recurso superior de la organización si este es un recurso de la organización.
  • [FOLDER_ID] es el ID de la carpeta superior, si el superior es una carpeta.

API

Se pueden crear carpetas con una solicitud a la API.

El JSON de la solicitud luce así:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La solicitud de curl para crear carpetas luce así:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Aquí:

  • [DISPLAY_NAME] es el nombre visible de la carpeta nueva, por ejemplo, “Mi carpeta genial”.
  • [ORGANIZATION_NAME] es el nombre del recurso de la organización en el que creas la carpeta, por ejemplo, organizations/123.

La respuesta para crear carpetas luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La solicitud de curl para obtener operaciones luce así:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La respuesta para obtener operaciones luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Otorga funciones de administrador a la carpeta

Para cada carpeta de la suborganización que creas, otorga a uno o más usuarios la función Administrador de carpetas. Estos usuarios tendrán control administrativo sobre la carpeta y la suborganización que representa.

Para configurar el acceso a las carpetas, debes tener la función Administrador de carpetas de IAM o Administrador de carpetas a nivel del superior.

Console

  1. En la consola de Google Cloud, abre la página Administrar recursos.

    Abrir la página de administración de recursos

  2. Haz clic en la lista desplegable Organización en la esquina superior izquierda y, luego, selecciona el recurso de tu organización.

  3. Selecciona la casilla de verificación junto al proyecto para el que deseas cambiar los permisos.

    1. En el panel de información del lado derecho, en Permisos, ingresa las direcciones de correo electrónico de los miembros que deseas agregar.

    2. En la lista desplegable Seleccionar una función, selecciona la función que deseas otorgar a esos miembros.

    3. Haz clic en Agregar. Aparecerá una notificación para confirmar la adición o actualización del nuevo rol de los miembros.

gcloud

Puedes configurar el acceso a las carpetas de manera programática con Google Cloud CLI o la API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

O, como alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Aquí:

  • [FOLDER_ID] es el ID de la carpeta nueva.
  • [POLICY_FILE] es la ruta a un archivo de la política de la carpeta.

API

El método setIamPolicy establece la política de control de acceso en una carpeta y reemplaza cualquier política existente. El campo resource debe ser el nombre del recurso de la carpeta, por ejemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La solicitud curl luce así:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Aquí:

  • [FOLDER_NAME] es el nombre de la carpeta cuya política de IAM configurarás, por ejemplo, carpetas/123.

Restringe las funciones de la suborganización

Cada Administrador de carpetas puede restringir la función Creador del proyecto de los miembros de su suborganización. También puede quitar el dominio de la función de Creador de proyectos en la política de IAM del recurso de la organización.

Los administradores avanzados de Google Workspace tienen privilegios de administrador de la organización irrevocables. Estos administradores avanzados suelen administrar las identidades y las políticas de identidad, en lugar de administrar los recursos de Google Cloud y las políticas de recursos.

Console

Para quitar los roles asignados a los usuarios de forma predeterminada con la consola de Google Cloud, sigue estos pasos:

  1. Ve a la página Administrar recursos en la consola de Google Cloud:

    Abrir la página Administrar recursos

  2. Haz clic en la lista desplegable Organización, en la parte superior de la página y, luego, selecciona el recurso de tu organización.

  3. Selecciona la casilla de verificación del recurso de la organización para el que deseas cambiar los permisos. Si no tienes un recurso de carpeta, el recurso de la organización no será visible. Si quieres continuar, consulta las instrucciones para revocar funciones que están en la página de IAM.

  4. En el Panel de información del lado derecho, en Permisos, haz clic para expandir la función de la que deseas quitar usuarios.

  5. En la lista expandida de las funciones, junto al principal que deseas quitar de la función, haz clic en quitar.Captura de pantalla de la IU

  6. En el diálogo ¿Quitar la principal? que aparecerá, haz clic en Quitar para confirmar que quieres quitar el rol de la principal especificada.

  7. Repite los dos pasos anteriores en cada función que desees quitar.

Ejemplo

En el diagrama siguiente, se describe una organización que usó carpetas para separar dos departamentos. Los jefes de los departamentos de ingeniería y finanzas tienen control administrativo, y los otros usuarios no pueden crear proyectos.

Diagrama de jerarquía

Administra varias organizaciones en un recurso de organización principal

Si tu organización tiene varias cuentas de Google Workspace, tendrás varios recursos de la organización de forma predeterminada. A fin de mantener la visibilidad y el control centrales, debes elegir un recurso de la organización para que sea el principal. Los administradores avanzados de la cuenta de Google Workspace asociada con el recurso principal de la organización tendrán control administrativo sobre todos los recursos, incluidos los que crearon los usuarios de las otras cuentas de Google Workspace. Los usuarios de esas cuentas de Google Workspace tendrán acceso a una carpeta en el recurso principal de la organización, en la que podrán crear proyectos.

Elige un administrador de la organización

Elige uno o más usuarios para que actúen como administradores de la organización de IAM para el recurso de la organización.

Console

Para agregar un administrador de la organización, haz lo siguiente:

  1. Accede a la consola de Google Cloud como administrador avanzado de Google Workspace o Cloud Identity y navega a la página IAM y administración:

    Abrir la página IAM y administración

  2. Selecciona el recurso de organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de la organización y selecciona el recurso de la organización al que deseas agregar un administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir la página Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que desees establecer como Administradores de la organización.

  4. En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Toma el control total de los recursos de la organización. Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el administrador de Google Cloud.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.

Quita la función Creador del proyecto

Quita la función Creador de proyectos del recurso de la organización para asegurarte de que los recursos no se creen en los otros recursos de la organización.

Console

Para quitar los roles asignados a los usuarios de forma predeterminada con la consola de Google Cloud, sigue estos pasos:

  1. Ve a la página Administrar recursos en la consola de Google Cloud:

    Abrir la página Administrar recursos

  2. Haz clic en la lista desplegable Organización, en la parte superior de la página y, luego, selecciona el recurso de tu organización.

  3. Selecciona la casilla de verificación del recurso de la organización para el que deseas cambiar los permisos. Si no tienes un recurso de carpeta, el recurso de la organización no será visible. Si quieres continuar, consulta las instrucciones para revocar funciones que están en la página de IAM.

  4. En el Panel de información del lado derecho, en Permisos, haz clic para expandir la función de la que deseas quitar usuarios.

  5. En la lista expandida de las funciones, junto al principal que deseas quitar de la función, haz clic en quitar.Captura de pantalla de la IU

  6. En el diálogo ¿Quitar la principal? que aparecerá, haz clic en Quitar para confirmar que quieres quitar el rol de la principal especificada.

  7. Repite los dos pasos anteriores en cada función que desees quitar.

Crea carpetas para las cuentas de Google Workspace

Crea una carpeta en el recurso de organización de cada cuenta de Google Workspace.

Para crear carpetas, debes tener la función Administrador de carpetas o Creador de carpetas a nivel del superior. Por ejemplo, para crear carpetas a nivel de la organización, debes tener una de estas funciones a nivel de la organización.

Como parte de la creación de una carpeta, debes asignarle un nombre. Los nombres de las carpetas deben cumplir los siguientes requisitos:

  • El nombre puede contener letras, dígitos, espacios, guiones y guiones bajos.
  • El nombre visible de la carpeta debe comenzar y terminar con una letra o un dígito.
  • El nombre debe tener entre 3 y 30 caracteres.
  • El nombre debe ser distinto al de todas las demás carpetas que comparten el superior.

Para crear una carpeta, haz lo siguiente:

Console

Las carpetas se pueden crear en la IU a través de la sección “Administra proyectos y carpetas”.

  1. Ve a la página Administrar recursos en la consola de Google Cloud:

    Abrir la página Administrar recursos

  2. Asegúrate de que el nombre del recurso de tu organización esté seleccionado en la lista desplegable de la organización, en la parte superior de la página.

  3. Haz clic en Crear carpeta y selecciona una de las siguientes opciones:

    • Carpeta estándar: Es un recurso de carpeta estándar.
    • Carpeta de Assured Workloads: Es una carpeta de Assured Workloads, que proporciona controles regulatorios, regionales o soberanos adicionales para los recursos de Google Cloud. Si seleccionas esta opción, accederás a Assured Workloads para crear una carpeta.

  4. En el cuadro Nombre de la carpeta, ingresa el nombre de la carpeta nueva.

  5. En Destino, haz clic en Explorar y, luego, selecciona el recurso o la carpeta de la organización en la que deseas crear la carpeta nueva.

    1. Haz clic en Crear.

gcloud

Las carpetas se pueden crear de manera programática con Google Cloud CLI.

Para crear una carpeta en el recurso de la organización con la herramienta de línea de comandos de gcloud, ejecuta el siguiente comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para crear una carpeta cuya carpeta superior sea otra, sigue estos pasos:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

Aquí:

  • [DISPLAY_NAME] es el nombre visible de la carpeta. Dos carpetas con la misma carpeta superior no pueden compartir un nombre visible. El nombre visible debe comenzar y terminar con una letra o un dígito, puede contener letras, dígitos, espacios, guiones y guiones bajos, y no puede tener más de 30 caracteres.
  • [ORGANIZATION_ID] es el ID del recurso superior de la organización si este es un recurso de la organización.
  • [FOLDER_ID] es el ID de la carpeta superior, si el superior es una carpeta.

API

Se pueden crear carpetas con una solicitud a la API.

El JSON de la solicitud luce así:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La solicitud de curl para crear carpetas luce así:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

Aquí:

  • [DISPLAY_NAME] es el nombre visible de la carpeta nueva, por ejemplo, “Mi carpeta genial”.
  • [ORGANIZATION_NAME] es el nombre del recurso de la organización en el que creas la carpeta, por ejemplo, organizations/123.

La respuesta para crear carpetas luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La solicitud de curl para obtener operaciones luce así:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La respuesta para obtener operaciones luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Otorga funciones de administrador a la carpeta

Otorga a uno o más usuarios la función Administrador de carpetas, para cada una de las carpetas creadas. A estos usuarios se les delegará el control administrativo sobre la carpeta y la suborganización que representa.

Para configurar el acceso a las carpetas, debes tener la función Administrador de carpetas de IAM o Administrador de carpetas a nivel del superior.

Console

  1. En la consola de Google Cloud, abre la página Administrar recursos.

    Abrir la página de administración de recursos

  2. Haz clic en la lista desplegable Organización en la esquina superior izquierda y, luego, selecciona el recurso de tu organización.

  3. Selecciona la casilla de verificación junto al proyecto para el que deseas cambiar los permisos.

    1. En el panel de información del lado derecho, en Permisos, ingresa las direcciones de correo electrónico de los miembros que deseas agregar.

    2. En la lista desplegable Seleccionar una función, selecciona la función que deseas otorgar a esos miembros.

    3. Haz clic en Agregar. Aparecerá una notificación para confirmar la adición o actualización del nuevo rol de los miembros.

gcloud

Puedes configurar el acceso a las carpetas de manera programática con Google Cloud CLI o la API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

O, como alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

Aquí:

  • [FOLDER_ID] es el ID de la carpeta nueva.
  • [POLICY_FILE] es la ruta a un archivo de la política de la carpeta.

API

El método setIamPolicy establece la política de control de acceso en una carpeta y reemplaza cualquier política existente. El campo resource debe ser el nombre del recurso de la carpeta, por ejemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La solicitud curl luce así:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

Aquí:

  • [FOLDER_NAME] es el nombre de la carpeta cuya política de IAM configurarás, por ejemplo, carpetas/123.

Cada Administrador de carpeta puede otorgar a los usuarios del dominio asociado la función Creador del proyecto.

Ejemplo

En el siguiente diagrama, se describe una organización con un dominio principal que se mantiene aislado de un dominio secundario adquirido. Cada uno de los dos dominios tiene sus propias cuentas de Google Workspace, y hypothetical.com es el recurso principal de la organización.

Diagrama de jerarquía