En esta guía se explica cómo obtener y gestionar una organización independiente en Google Cloud.
El recurso de organización es el nodo raíz de tu Google Cloud jerarquía de recursos. En la mayoría de los casos, para crear una organización, debes ser superadministrador de Cloud Identity y conectar la organización a un dominio DNS. Google Cloud
En las organizaciones independientes, no necesitas Cloud Identity. Cuando te registras en Google Cloud y proporcionas una dirección de correo de Google, se crea automáticamente una organización independiente. Al ser el propietario de la cuenta, también obtienes el rol de propietario de la organización. A continuación, puedes usar la página Detalles de la organización para gestionar el acceso de otros usuarios a la propiedad.
Las organizaciones independientes ofrecen las siguientes ventajas:
- Posibilidad de añadir usuarios con identidades federadas como propietarios de la organización.
- Posibilidad de admitir varias organizaciones para probar diferentes funciones.
- Posibilidad de añadir varios propietarios de la organización para evitar que se produzcan errores si un empleado se va.
En la siguiente tabla se muestran las diferencias entre una organización de Cloud Identity y una organización independiente.
| Competencia | Organización de Cloud Identity | Organización independiente |
|---|---|---|
| Fundamental | ||
| Requiere Cloud Identity | Sí | No |
| Registrarse | ||
| Identidades necesarias para registrarse | 2 | 1 |
| Requiere la verificación del dominio o del DNS | Sí | No |
| Propiedad | ||
| Propiedad de superadministrador irrevocable | Sí | No |
| Cloud Identity como propietario de la organización | Sí | Sí |
| Identidades federadas como propietario de la organización | No es posible. | Sí |
| Cuenta de Google como propietario de la organización | No es posible | Sí |
| Ciclo de vida | ||
| Cambiar el propietario de una organización | No es posible. | Sí |
| Eliminar organización | No de forma aislada | Sí |
| Restaurar una organización eliminada | No es posible. | Sí |
| Cambiar nombre visible | No es posible. | Sí |
| Gobernanza | ||
| Define políticas de límites de acceso de principales (PAB) para restringir a los usuarios | Sí | Sí |
Antes de empezar
Antes de empezar, revisa lo siguiente:
- Familiarízate con el recurso de organización.
- Consulta cómo decidir una jerarquía de recursos para tu Google Cloud zona de aterrizaje.
Identificar tu organización
Tu organización independiente se identifica por un nombre y un ID de organización.
Nombre de la organización
El nombre de organización predeterminado se crea combinando el nombre de usuario con -org.
Los caracteres especiales del nombre de usuario se sustituyen por un guion. Por ejemplo, si el nombre de usuario es lara_brown, el nombre de la organización será lara-brown-org.
Ninguna API de Google usa este nombre. Puede editar el nombre de la organización en cualquier momento después de crearla.
Asegúrate de que los nombres cumplan los siguientes criterios:
- Contener solo letras, números o guiones.
- No uses un nombre de dominio. Los nombres de dominio solo se pueden reservar para organizaciones de Cloud Identity y Google Workspace.
- No deben contener palabras comunes, como "Google Cloud".
ID de organización
El ID de organización es un identificador único global de tu organización. La consola deGoogle Cloud genera este número para diferenciar tu organización de todas las demás de Google Cloud. Los IDs de organización tienen el formato de números enteros y no pueden tener ceros iniciales.
No incluyas información sensible, como información personal identificable (IPI) o datos de seguridad, en el nombre de tu organización ni en otros nombres de recursos. El ID de organización se usa en el nombre de muchos otros recursos de Google Cloud . Cualquier referencia a la organización o a los recursos relacionados expone el ID de la organización y el nombre del recurso.
Obtener un recurso de organización independiente
Las organizaciones independientes están disponibles para todos los nuevos clientes de Google Cloud . Después de crear tu cuenta de Google Cloud , se creará automáticamente tu recurso de organización. Esto ocurre cuando inicias sesión en la consola Google Cloud y aceptas los términos. Las organizaciones independientes no están disponibles para las cuentas deGoogle Cloud .
Solo se crea una organización por cuenta de usuario. Sin embargo, puedes invitar a un solo usuario para que sea propietario y administrador de varias organizaciones.
Cuando se crea el recurso de organización, el sistema asigna los siguientes roles al propietario de la cuenta:
roles/cloudowner.admin(propietario de la organización)roles/resourcemanager.organizationAdmin(administrador de la organización)
Para obtener información sobre cómo añadir más propietarios y administradores a tu organización, consulta el artículo Configurar una organización independiente.
Obtener el ID de tu organización
Para obtener el ID de tu organización independiente, puedes usar la Google Cloud consola, la CLI de Google Cloud o la API Resource Manager.
Consola
En la consola Google Cloud , ve a la página Mis organizaciones.
En la tabla se muestran tus organizaciones y sus IDs.
gcloud
Para encontrar el ID de recurso de tu organización, ejecuta el siguiente comando:
gcloud organizations list
Este comando muestra todos los recursos de organización a los que perteneces y sus correspondientes IDs de recursos de organización.
API
Para encontrar el ID de tu recurso de organización mediante la API de Cloud Resource Manager, usa el método organizations.search(), que incluye una consulta de tu dominio. Por ejemplo:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
La respuesta contiene los metadatos del recurso de organización que pertenece a altostrat.com, incluido el ID del recurso de organización.
Configurar una organización independiente
Cuando creas una Google Cloud cuenta, obtienes automáticamente un recurso de organización independiente. En esta sección, aprenderás sobre la configuración inicial, los roles esenciales y cómo gestionar estos permisos en tu organización.
El creador de la cuenta es el primer usuario que tiene acceso al recurso de organización. Otros usuarios de la organización pueden ver el recurso, pero solo pueden modificarlo una vez que se hayan definido los permisos adecuados.
Los roles de propietario y administrador de la organización son fundamentales para configurar y controlar el ciclo de vida del recurso de organización. Estos dos roles se suelen asignar a usuarios o grupos diferentes, en función de la estructura y las necesidades de tu organización.
Responsabilidades del propietario de la organización
El rol de propietario de la organización te permite hacer lo siguiente:
- Asigna el rol de administrador de la organización a otros usuarios.
- Ser el punto de contacto en caso de problemas de recuperación.
- Controlar el ciclo de vida del recurso de organización independiente, tal como se explica en el artículo Eliminar, restaurar y cambiar el nombre de organizaciones independientes.
Los propietarios de la organización pueden ser personas físicas o responsables de un grupo de profesionales. Cada organización independiente debe tener siempre al menos una cuenta de Google activa como propietario de la organización. No se puede invitar a cuentas de servicio para que se conviertan en propietarias de la organización.
Responsabilidades de los administradores de la organización
El rol Administrador de la organización te permite realizar las siguientes acciones:
- Defina políticas de permiso y de denegación.
- Asigna roles de Gestión de Identidades y Accesos a otros usuarios en Google Cloud.
- Consulta la jerarquía de recursos.
Siguiendo el principio de mínimos accesos, este rol te impide realizar otras acciones, como crear carpetas o proyectos. Para obtener estos permisos, un administrador de la organización debe asignar roles adicionales a tu cuenta.
Asignar el rol de propietario de la organización a personas concretas
- Inicia sesión en la Google Cloud consola como propietario de la organización.
En la Google Cloud consola, ve a la página Detalles de la organización.
En Propietario de la organización, haz clic en Añadir propietario de la organización.
Introduce la dirección de correo del principal que quieras añadir como propietario. El sistema envía un correo al director para invitarle a convertirse en propietario de la organización. El director debe aceptar la invitación en un plazo de 30 días para convertirse en propietario de la organización.
Asignar el rol Propietario de la organización a los usuarios de un grupo de identidades de empleados
En este paso se da por hecho que ya has configurado Federación de Identidades de los Empleados en tu organización. Además, asegúrate de que los contactos esenciales estén configurados en tu cuenta.
- Inicia sesión en la Google Cloud consola como propietario de la organización.
En la Google Cloud consola, ve a la página Detalles de la organización.
En Propietario de la organización, haz clic en Añadir propietario de la organización.
Introduce el identificador de la entidad principal del usuario con el formato
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE.Haz clic en Siguiente.
Introduce la dirección de correo a la que quieres enviar el enlace de invitación de propietario. Google Cloud envía un correo al usuario para invitarlo a convertirse en propietario de la organización. Para convertirse en propietario de una organización, el usuario debe aceptar la invitación en un plazo de 30 días. Cuando el usuario acepta la invitación, se le asigna automáticamente el rol de administrador de la organización.
Quitar un propietario de una organización
Para quitar usuarios con el rol de propietario de la organización, sigue estos pasos:
- Inicia sesión en la Google Cloud consola como propietario de la organización.
En la Google Cloud consola, ve a la página Detalles de la organización.
En Propietarios de la organización, selecciona la cuenta principal que quieras quitar.
En la última columna de la tabla, en Acciones, haga clic en Más acciones junto al principal.
En el cuadro de diálogo que aparece, haz clic en Quitar.
Quitar un administrador de una organización
Para eliminar usuarios con el rol Administrador de la organización, sigue estos pasos:
En la consola, ve a la página Gestión de identidades y accesos. Google Cloud
En Permisos de gestión de identidades y accesos, ve a Ver por principales.
Busca la fila que contiene la cuenta principal a la que has concedido roles y haz clic en Editar cuenta principal en esa fila.
En el panel Editar permisos, haga clic en el icono de eliminar situado junto al rol Administrador de la organización.
Haz clic en Guardar.