Prácticas recomendadas para usar Cloud IAM y la facturación de Google Cloud en centros de enseñanza superior

Las universidades, facultades, centros de formación profesional y otras instituciones de educación superior suelen tener necesidades de TI distintas a las de otros tipos de organizaciones. En esta guía presentamos una serie de prácticas recomendadas y explicamos algunas cuestiones importantes que debes resolver cuando configures el entorno de Google Cloud Platform (GCP) de tu institución.

Empezamos ofreciendo algunas definiciones de términos básicos para facilitar la lectura de la guía.

nodo de organización
El nodo de organización representa una institución (por ejemplo, tu centro educativo). Es el nodo raíz de la jerarquía de los recursos de GCP.
carpeta
Las carpetas sirven para ordenar los recursos dentro de tu organización. Si configuras políticas de Gestión de identidades y accesos de Cloud (Cloud IAM) a nivel de carpeta, estas se aplican a los recursos incluidos en las carpetas.
proyecto
El nivel de proyecto es donde se habilitan y usan todos los servicios de GCP, se administran las API y la facturación, se añaden y quitan colaboradores, y se gestionan los permisos.
Cloud IAM
Cloud IAM controla las políticas de tu organización y tus proyectos. Con este producto decides qué nivel de acceso tienen los miembros del proyecto para administrar máquinas virtuales, registros y otros recursos.
función
Una función es un conjunto de permisos. No puedes conceder permisos directamente a los usuarios, sino que debes asignarles una función. De este modo, otorgas todos los permisos incluidos en dicha función.
recurso
Un recurso físico, como un ordenador o una unidad de disco duro, o un recurso virtual, como una máquina virtual. Los proyectos, las instancias de Compute Engine y los segmentos de Cloud Storage son algunos ejemplos de recursos.

Configurar G Suite para Centros Educativos

Si tu centro de enseñanza está investigando las prestaciones de GCP, configurar G Suite para Centros Educativos suele ser el primer paso. Aunque no tengas intención de usar Gmail, te recomendamos que configures G Suite para Centros Educativos e inhabilites los servicios que no vayas a usar (por ejemplo, Gmail) para poder utilizar los grupos y las cuentas de usuario con la identidad y la autenticación de GCP. Por otro lado, Cloud Identity es una buena opción para las instituciones comerciales que no reúnen los requisitos para usar las cuentas gratuitas de G Suite para Centros Educativos.

Gestionar recursos

GCP proporciona un sistema de contenedores jerárquico que consta de organizaciones, carpetas y proyectos. En estas estructuras puedes organizar otros recursos, como máquinas virtuales de Compute Engine y temas de Cloud Pub/Sub. Esta jerarquía permite gestionar aspectos como el control de acceso y los opciones de configuración, que muchos recursos tienen en común. Además, puedes administrarlos de forma programática mediante Resource Manager.

Las instituciones de gran tamaño suelen tener numerosos proyectos y usuarios que interactúan directamente con los recursos de GCP (este es el caso de muchas universidades). Para aprovechar al máximo las estrategias de control de acceso y gestión de TI disponibles, te recomendamos que implementes un sistema centralizado para organizar los recursos de GCP.

Organizaciones y carpetas

Los recursos se encuentra en el nodo de organización que, a su vez, está en el directorio raíz. Las carpetas se pueden anidar hasta cuatro niveles por debajo de dicho nodo. Estas carpetas pueden contener proyectos que a su vez contengan otros recursos (como nodos secundarios por debajo de los proyectos) y cada recurso tiene un único elemento superior. Cuando defines las políticas de control de acceso y los ajustes de configuración del recurso superior, estos también se aplican a los recursos secundarios.

Con los nodos de organización, los superadministradores podrán ver todos los proyectos que creen los usuarios en tu dominio de G Suite para Centros Educativos. Cada dominio principal de G Suite para Centros Educativos tiene un nodo de organización, mientras que los dominios secundarios no tienen su propio nodo de organización. De forma predeterminada, el superadministrador de G Suite tiene acceso irrevocable para definir las políticas de la organización. En el caso de las organizaciones que administran los servicios de TI y de la nube por separado, el superadministrador de G Suite debe elegir un administrador que se ocupe de la organización.

La estructura típica de una organización de GCP se parecería a la siguiente:

estructura habitual de una organización de GCP

Si los proyectos se han creado antes de establecer el nodo de organización, puedes migrar los proyectos huérfanos a este nodo.

Para mostrar una lista con todos los proyectos del nodo de organización, ejecuta el siguiente comando:

gcloud projects list --filter "parent.type=organization parent.id=$ORG_ID"

Si un centro de enseñanza con un dominio de G Suite para Centros Educativos adopta GCP, la configuración predeterminada tiene un solo nodo de organización. En la siguiente sección se comparan los métodos de uno y varios nodos.

Cuándo usar un nodo de organización centralizado

El nodo de organización centralizado se asigna al dominio de G Suite, que es la fuente de información de Cloud IAM. Puedes configurar cada carpeta con sus propios administradores centrales y definir políticas de Cloud IAM independientes, así como otras políticas.

nodo de organización centralizado

Para obtener más información, consulta estos recursos:

Puedes alojar recursos globales (como redes multiproyecto e imágenes compartidas) en una carpeta y establecer unos permisos con los que puedan acceder todos los usuarios de la organización.

Cuándo usar nodos de organización independientes

Si quieres tratar a los departamentos del centro de enseñanza como entidades aisladas sin una administración central, puedes crear organizaciones independientes, tal como se muestra en el siguiente diagrama.

estructura de organización independiente

Para implementar esta configuración, define school.edu y lab3.school.edu como dominios principales de G Suite para crear nodos de organización independientes. Usa esta opción solo si has decidido lo siguiente:

  • Mantener dominios de identidad independientes.
  • Mantener la gestión de identidades y accesos, las funciones personalizadas, la facturación, las cuotas y los ajustes de configuración de forma separada al nodo de organización school.edu central.

Para muchos centros educativos con gestión de TI centralizada, administrar dos entornos de GCP independientes conlleva un esfuerzo excesivo. Además, las políticas de varios nodos de organización pueden diferir con el tiempo.

Usar carpetas

Las carpetas te permiten organizar tus recursos de GCP, aplicar políticas, delegar privilegios administrativos y ofrecer una mayor autonomía a los equipos y departamentos. Además, te ayudan a administrar políticas y controlar el acceso por encima del nivel de proyecto. Las subcarpetas, los proyectos y los recursos anidados dentro de una carpeta adoptan las políticas de la carpeta superior.

Estas son algunas situaciones en las que puede resultar útil usar carpetas:

  • Tu institución tiene centros diferentes (por ejemplo, de ingeniería, negocios y humanidades), cada uno con su propio departamento de TI.
  • Quieres realizar asignaciones a una estructura establecida basada en un directorio LDAP, como Microsoft Active Directory.
  • Te interesa separar proyectos por tipo de uso, como infraestructura de TI, informática de investigación, o enseñanza y formación.

Proyectos y recursos

Todos los recursos de GCP que asignes y utilices deben pertenecer a un proyecto. Piensa en los proyectos como la unidad organizativa de lo que estás construyendo. Los proyectos constan de configuración, permisos y otros metadatos que describen sus aplicaciones. Los recursos disponibles en un proyecto colaboran entre sí sin complicaciones comunicándose a través de una red interna y respetando determinadas reglas que varían en función de la región o la zona. Los recursos que usa cada proyecto están separados por unos límites, y solamente puedes vincularlos mediante una conexión de red externa o una red de nube privada virtual (VPC) compartida.

Cada proyecto de GCP incluye los siguientes elementos:

  • Un nombre de proyecto, proporcionado por ti
  • Un ID de proyecto, proporcionado por ti o por GCP, a tu elección
  • Un número de proyecto, proporcionado por GCP

Al crear un proyecto, puedes tomar uno de los siguientes casos como punto de partida:

  • Establecer la propiedad de las aplicaciones o proyectos, como la configuración de un proyecto para una carga de trabajo o a un equipo reducido.
  • Dividir una aplicación en proyectos de producción y no producción. De esta forma, los cambios realizados en el entorno de prueba de no producción no afectarán al otro entorno; además, los cambios se pueden transferir o propagar mediante secuencias de comandos de despliegue.
  • Separar los recursos computacionales y de datos entre laboratorios o incluso proyectos dentro de un laboratorio. Esta separación ofrece la máxima autonomía y separación de datos entre proyectos, lo que resulta útil si un laboratorio está trabajando en varios proyectos con partes interesadas que compiten entre sí.

Los proyectos deben estar asociados a cuentas de facturación, que se tratan más adelante en este documento. Solo los usuarios con la función de administrador de cuenta de facturación o usuario de cuenta de facturación pueden asociar un proyecto nuevo a una de las cuentas de facturación disponibles.

Cuotas

Muchos recursos de GCP están limitados por cuotas. Por ejemplo, un proyecto nuevo vinculado a una cuenta de facturación recién asociada tiene una cuota de ocho CPU virtuales de Compute Engine. Puedes solicitar un aumento de tu cuota para añadir más recursos o nuevos tipos de recursos (por ejemplo, GPUs, que no se ofrecen de forma predeterminada).

Además de las cuotas de recursos, las organizaciones están sujetas a cuotas en lo que se refiere a la cantidad de proyectos que pueden crear. Aunque elimines un proyecto, este sigue formando parte de la cuota de proyectos durante unos días, hasta que se elimine completamente.

Límites de confianza

A la hora de elegir la estructura de un proyecto, ten en cuenta los límites de confianza de TI, que probablemente se ciñan a la gestión de TI o al modelo de seguridad vigentes. Por ejemplo, plantéate si las facultades (como la de Ingeniería, la de Economía o la de Derecho) mantienen límites de confianza entre ellas o si, por el contrario, no tienen problemas de este tipo.

Si sigues la práctica recomendada de seguridad de TI de ofrecer un acceso con el privilegio mínimo, puedes otorgar diferentes funciones a las cuentas de usuario y a las cuentas de servicio en un mismo proyecto o en varios. Si un usuario tiene acceso de nivel de administrador a un proyecto, pero únicamente debe tener acceso de lectura o escritura a otro proyecto, puedes definir dichos roles explícitamente en GCP mediante la política de Cloud IAM. Para obtener más información, consulta la guía de Cloud IAM sobre el privilegio mínimo.

Políticas de Cloud IAM

Las organizaciones de gran tamaño suelen separar los equipos de operaciones (como el de seguridad y el de administración de redes) de los equipos de productos. Para llevar a cabo esta separación, es necesario usar recursos que están administrados por otros equipos y que siguen el principio del privilegio mínimo. Puedes configurar los ajustes correspondientes con Cloud IAM y las cuentas de servicio.

Con Cloud IAM, puedes definir qué usuarios tienen acceso a un determinado nivel de ciertos recursos para controlar mejor el acceso. De este modo, puedes crear políticas de Cloud IAM para otorgar ciertas funciones a los usuarios. Estas políticas constan de un conjunto de declaraciones asociadas a un recurso que define y controla el tipo de acceso que tienen los usuarios a dicho recurso. Si quieres conceder un acceso pormenorizado a recursos de GCP específicos, utiliza los roles predefinidos o define roles personalizados de Cloud IAM.

Usar cuentas con privilegios

Tal como indica el principio de privilegio mínimo, asigna funciones de superadministrador a cuentas que se utilicen con poca frecuencia. Por ejemplo, puedes usar jo.watanabe@school.edu para las actividades cotidianas, pero jo.watanabe.admin@school.edu para realizar cambios en la consola de administración de G Suite o en la consola de GCP.

Usar cuentas de servicio

GCP utiliza las cuentas de servicio de Cloud IAM para invocar llamadas a la API de Google, de forma que no se usen directamente las credenciales del usuario. Una característica de estas cuentas es que se consideran tanto una identidad como un recurso.

  • Si una cuenta de servicio actúa como identidad, le otorgas roles para que pueda acceder a un recurso, como a un segmento de Cloud Storage.

  • Por el contrario, si una cuenta de servicio actúa como recurso, debes otorgar a los usuarios permiso para acceder a dicha cuenta de la misma forma en que concedes permiso para acceder a un conjunto de datos de BigQuery. Puedes otorgar a un usuario la función de propietario, editor, lector o usuario de cuenta de servicio. Los usuarios de una cuenta de servicio pueden acceder a todos los recursos a los que tenga acceso dicha cuenta de servicio.

Cuándo usar grupos

Si utilizas grupos en lugar de usuarios en las políticas, tus administradores pueden ajustar los privilegios de los miembros a medida que estos abandonen o se unan al grupo. De este modo, se aplicarán los cambios de políticas pertinentes de forma automática. Para implementar esta práctica, crea grupos que se basen en la misma función laboral en cada proyecto o carpeta y asigna a cada grupo las funciones que sean necesarias para desempeñar su cometido.

Grupos de Google para empresas, que forma parte de G Suite, es la herramienta que se encarga de la gestión de grupos. Los usuarios administradores o los administradores delegados de G Suite pueden utilizar la consola de administración para acceder a ella.

Opciones de redes

Puedes utilizar una nube privada virtual (VPC) para aislar tus servicios en la nube privada. Por ejemplo, puedes usar una VPC para configurar una red (un espacio de IP RFC 1918 privado y común) que abarque todos tus proyectos. Cuando lo hagas, también puedes añadir instancias de cualquier proyecto a esta red o a sus subredes.

Por otra parte, también puedes conectar una red privada virtual (VPN) a una única red que puedan usar todos los proyectos o un subconjunto de estos. Tienes la opción de utilizar la conexión VPN para conectarte a un espacio de IP RFC 1918 específico de GCP o ampliar el espacio de este tipo de tu red local.

Google ofrece las siguientes opciones para conectarte a tus instancias de VPC.

Interconexión Emparejamiento
Interconexión dedicada de Cloud Interconnect VPN IPsec Emparejamiento directo Emparejamiento mediante operador
Útil para ampliar las redes empresariales y el espacio de IP RFC 1918 a la nube.

No se requiere VPN para acceder a los recursos de GCP en tu VPC.
Útil para hacer túneles a través de la Red pública con el objetivo de conectarse a Google. También puede usarse con conexiones de bajo volumen de datos. Útil para conectarse directamente a Google y para ahorrar un 50 % en las tarifas de salida con respecto a la VPN o el acceso público a través de Internet. Útil si te interesan las ventajas del emparejamiento directo, pero no puedes cumplir los requisitos de emparejamiento sin un partner.
10 Gbps por cada enlace 1,5-3 Gbps por cada túnel 10 Gbps por cada enlace Varía según el partner

Para obtener más información sobre estas opciones, consulta la página de Cloud Interconnect.

Cuándo usar el emparejamiento directo

Cualquier cliente de GCP que tenga un número de sistema autónomo (ASN) registrado y prefijos IP enrutables públicamente puede establecer un emparejamiento directo con Google. Esta opción utiliza el mismo modelo de interconexión que la Red pública, con la excepción de que no hay un proveedor de servicios que actúe de intermediario. Obtén más información sobre los emparejamientos con Google.

Cuándo usar el emparejamiento de proveedor

En el caso de los clientes que no tienen ASN públicos o que prefieren conectarse a Google utilizando un proveedor de servicios, Google ofrece el servicio de emparejamiento de proveedor. Este servicio está diseñado para clientes que quieren una conectividad de nivel empresarial con la red perimetral de Google.

Facturación de Google Cloud

Puedes usar la consola de GCP para gestionar tu cuenta de facturación de Cloud. La consola de GCP te permite actualizar los ajustes de la cuenta, como los métodos de pago y los contactos administrativos. También te permite configurar la consola de GCP para definir presupuestos, activar alertas, consultar tu historial de pagos y exportar datos de facturación.

La mayor parte de los usuarios tan solo necesitan una cuenta de facturación de Cloud. Asimismo, los descuentos a nivel de toda la institución se aplican a todos los proyectos asociados a la cuenta. Los usuarios realizan un único pago a Google para abonar la factura mensual, y es posible cobrar los proyectos específicos de departamentos o de laboratorios mediante un proceso de contracargo de TI interno.

La cuenta de facturación sigue este esquema:

cuenta de facturación única

Las cuestiones de facturación también pueden dar forma a la organización de los proyectos y carpetas en GCP. Según la naturaleza de tus centros de costes internos, podrías adoptar una estructura como la siguiente:

cuenta de facturación separada en carpetas

  • En este diagrama, las carpetas sirven para identificar todos los proyectos y recursos que están asociados a un centro de costes, departamento o proyecto de TI.
  • Los proyectos organizan recursos. El coste se indica por proyecto, y los ID de proyecto se incluyen en la exportación de los datos de facturación.
  • Puedes asignar etiquetas a los proyectos que ofrezcan más información sobre los grupos, como environment=test. Las etiquetas se incluyen en la exportación de los datos de facturación.
  • El centro de costes está codificado en el nombre o ID del proyecto.

Este modelo es eficaz si cada carpeta coincide con un centro de costes interno. No obstante, todavía tendrás que efectuar contracargos internos, ya que Google envía una sola factura por cada cuenta de facturación.

También puedes usar varias cuentas de facturación si cada centro de costes debe pagar una factura independiente o si tienes que pagar algunas cargas de trabajo con una moneda distinta. Si optas por este modelo, es posible que debas firmar un contrato por cada cuenta de facturación.

Administrar cuentas de facturación de Cloud

Las funciones de las cuentas de facturación de Cloud te permiten administrar tus cuentas más fácilmente. Puedes asignar las siguientes funciones de facturación en el nivel de organización.

Función Descripción
Administrador de cuenta de facturación Gestiona todas las cuentas de facturación de la organización.
Creador de cuenta de facturación Crea cuentas de facturación en la organización.
Usuario de cuenta de facturación Vincula proyectos con cuentas de facturación.
Administrador de facturación de proyectos Otorga acceso para asignar la cuenta de facturación de un proyecto o inhabilitar la facturación de un proyecto.

Te recomendamos que asignes la función de administrador de la cuenta de facturación a nivel del nodo de organización para poder ver todas las cuentas de facturación de la organización. Si quieres restringir quién puede crear cuentas de facturación y de qué manera pueden hacerlo, utiliza la función de creador de cuentas de facturación y decide qué usuarios disponen de este permiso. En estos artículos del Centro de Ayuda de Google, encontrarás más información:

Cambiar las cuentas de facturación

Si quieres cambiar las cuentas de facturación de Cloud de un proyecto, o bien inhabilitar la facturación por completo, sigue estos pasos:

  1. En el menú de navegación izquierdo de la consola de GCP, haz clic en Facturación.
  2. A la derecha del nombre del proyecto, haz clic en el icono de tres puntos y luego en Cambiar la cuenta de facturación. También puedes usar este icono para desactivar la facturación, lo cual inhabilita el proyecto.

    cambiar una cuenta de facturación

Crear un presupuesto

Los presupuestos generan alertas, pero no desactivan la facturación de los proyectos. Esto implica que un proyecto seguirá en marcha aunque supere el presupuesto. Si esto sucede, tendrás que inhabilitar la facturación manualmente o detener los recursos que están generando cargos facturables para evitar más gastos. Dado que el presupuesto no se actualiza en tiempo real, puede que transcurran uno o dos días hasta que descubras que un proyecto ha excedido el presupuesto.

Para crear un presupuesto, sigue estos pasos:

  1. En el menú Facturación de la consola de GCP, haz clic en Presupuestos y alertas y, a continuación, en Crear presupuesto.

    crear un presupuesto

    En este ejemplo, la cuenta ya ha superado el presupuesto mensual. Recuerda que los presupuestos no desactivan ningún servicio, sino que envían un aviso al administrador de facturación cuando se supera el importe especificado.

  2. Introduce los datos del presupuesto y los niveles de uso de este a los que quieres recibir alertas.

    alertas de presupuesto

  3. En Proyecto o cuenta de facturación, elige si quieres supervisar tu presupuesto general o proyectos concretos. La función de presupuestos tiene efecto en un periodo de un mes natural. Por tanto, puedes establecer el presupuesto para un mes determinado.

Configurar la exportación de los datos de facturación

Si quieres un informe detallado de todos los servicios que emplea tu cuenta de facturación de Cloud, crea una Exportación de la facturación desde el menú Facturación de la consola de GCP. Puedes guardar la información en Cloud Storage o BigQuery. Si optas por usar Cloud Storage, puedes almacenar los datos en formato JSON o CSV.

exportación de los datos de facturación

Gracias a la exportación de datos de facturación a BigQuery, puedes identificar rápidamente los proyectos que están superando el límite de gasto establecido. Además, puedes ver los servicios por los que se te han aplicado cargos. Por ejemplo, la siguiente consulta muestra una lista de todos los proyectos que han gastado más de 0,10 USD en el mes actual. Sustituye [YOUR_BIGQUERY_TABLE] por el nombre de tu tabla.

SELECT
  project.name,
  cost
FROM
  [YOUR_BIGQUERY_TABLE]
WHERE
  cost > 0.1
ORDER BY
  cost DESC

Siguientes pasos

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...