Administra varios recursos de la organización

El recurso de organización establece la propiedad de los proyectos y las carpetas que se encuentran debajo de él en la jerarquía de recursos de Google Cloud Platform. Tu cuenta de Google Workspace o Cloud Identity se asocia con exactamente un recurso de organización. Cada cuenta de Google Workspace o Cloud Identity también se asocia a un dominio principal, como example.com. Para obtener más información sobre el uso de varios dominios, consulta Cómo agregar un dominio alias de usuario o un dominio secundario. Para obtener detalles sobre cómo cambiar el dominio principal de una cuenta de Google Workspace, consulta Cómo cambiar el dominio principal de Google Workspace.

En la mayoría de los casos de uso, es mejor usar carpetas en un recurso de organización. Si deseas mantener las suborganizaciones o departamentos dentro de tu empresa como entidades aisladas sin administración central, puedes configurar varias cuentas de Google Workspace o Cloud Identity. Cada cuenta incluirá un recurso de organización único asociado a un dominio principal.

Efectos de usar varios recursos de la organización

Usa varios recursos de la organización cuando no quieras que los usuarios de una cuenta de Google Workspace o Cloud Identity accedan a los recursos creados por otros usuarios desde otra cuenta de Google Workspace o Cloud Identity. Separar los recursos en varios recursos de organización conlleva varias consecuencias:

  • De forma predeterminada, ningún usuario tendrá visibilidad central ni control sobre todos los recursos.

  • Las políticas comunes en todas las suborganizaciones deberán replicarse en cada recurso de la organización.

  • No se admite la operación de mover carpetas de un recurso de organización a otro. Para obtener más información, consulta Cómo migrar proyectos entre recursos de organización.

  • Cada recurso de organización requiere una cuenta de Google Workspace. Por lo tanto, operar varios recursos de la organización requiere varias cuentas de Google Workspace y la capacidad de administrar identidades entre ellas.

Usa un solo recurso de organización

La mayoría de las organizaciones que desean mantener suborganizaciones diferentes pueden hacerlo con un solo recurso de organización y carpetas. Si tienes una sola cuenta de Google Workspace, esta se asigna al recurso de organización, y las suborganizaciones se asignan a las carpetas.

Elige un administrador de la organización

Elige uno o más usuarios para que actúen como administradores de la organización de IAM para el recurso de la organización.

Console

Para agregar un administrador de la organización, sigue estos pasos:

  1. Accede a la consola Google Cloud como administrador avanzado de Google Workspace o Cloud Identity y ve a la página IAM y administración:

    Abrir la página IAM y administración

  2. Selecciona el recurso de organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de organizaciones y selecciona el recurso de la organización al que deseas agregar un administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir su página de Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que quieras establecer como administradores de la organización.

  4. En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Tomar el control total del recurso de la organización Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el Google Cloud administrador.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.

Crea carpetas para las suborganizaciones

Crea una carpeta en el recurso de la organización para cada suborganización.

Para crear carpetas, debes tener la función Administrador de carpetas o Creador de carpetas a nivel del superior. Por ejemplo, para crear carpetas a nivel de la organización, debes tener una de estas funciones a nivel de la organización.

Como parte de la creación de una carpeta, debes asignarle un nombre. Los nombres de las carpetas deben cumplir los siguientes requisitos:

  • El nombre puede contener letras, dígitos, espacios, guiones y guiones bajos.
  • El nombre visible de la carpeta debe comenzar y terminar con una letra o un dígito.
  • El nombre debe tener entre 3 y 30 caracteres.
  • El nombre debe ser distinto al de todas las demás carpetas que comparten el superior.

Para crear una carpeta, haz lo siguiente:

Console

Las carpetas se pueden crear en la IU a través de la sección “Administra proyectos y carpetas”.

  1. Ve a la página Administrar recursos en la consola de Google Cloud :

    Abrir la página Administrar recursos

  2. Asegúrate de que el nombre de tu recurso de organización esté seleccionado en la lista desplegable de organizaciones que se encuentra en la parte superior de la página.

  3. Haz clic en Crear carpeta y selecciona una de las siguientes opciones:

  4. En el cuadro Nombre de la carpeta, ingresa el nombre de la carpeta nueva.

  5. En Destino, haz clic en Explorar y, luego, selecciona el recurso o la carpeta de la organización en la que deseas crear tu nueva carpeta.

    1. Haz clic en Crear.

gcloud

Las carpetas se pueden crear de forma programática con Google Cloud CLI.

Para crear una carpeta en el recurso de la organización con la herramienta de línea de comandos de gcloud, ejecuta el siguiente comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para crear una carpeta cuya carpeta superior sea otra, sigue estos pasos:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

En el ejemplo anterior, se ilustra lo siguiente:

  • [DISPLAY_NAME] es el nombre visible de la carpeta. Dos carpetas con la misma carpeta superior no pueden compartir un nombre visible. El nombre visible debe comenzar y terminar con una letra o un dígito, puede contener letras, dígitos, espacios, guiones y guiones bajos, y no puede tener más de 30 caracteres.
  • [ORGANIZATION_ID]es el ID del recurso de organización principal si el elemento superior es un recurso de organización.
  • [FOLDER_ID] es el ID de la carpeta superior, si el superior es una carpeta.

API

Se pueden crear carpetas con una solicitud a la API.

El JSON de la solicitud luce así:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La solicitud de curl para crear carpetas luce así:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

En el ejemplo anterior, se ilustra lo siguiente:

  • [DISPLAY_NAME] es el nombre visible de la carpeta nueva, por ejemplo, “Mi carpeta genial”.
  • [ORGANIZATION_NAME] es el nombre del recurso de la organización en el que creas la carpeta, por ejemplo, organizations/123.

La respuesta para crear carpetas luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La solicitud de curl para obtener operaciones luce así:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La respuesta para obtener operaciones luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Otorga funciones de administrador a la carpeta

Para cada carpeta de la suborganización que creas, otorga a uno o más usuarios la función Administrador de carpetas. Estos usuarios tendrán control administrativo sobre la carpeta y la suborganización que representa.

Para configurar el acceso a las carpetas, debes tener la función Administrador de carpetas de IAM o Administrador de carpetas a nivel del superior.

Console

  1. En la Google Cloud consola, abre la página Administrar recursos.

    Abrir la página de administración de recursos

  2. Haz clic en la lista desplegable Organización en la esquina superior izquierda y, luego, selecciona tu recurso de organización.

  3. Selecciona la casilla de verificación junto al proyecto en el que deseas cambiar los permisos.

    1. En el Panel de información (Info panel) del lado derecho, en Permisos (Permissions), ingresa las direcciones de correo electrónico de los miembros que deseas agregar.

    2. En la lista desplegable Seleccionar un rol, selecciona el rol que deseas otorgar a esos miembros.

    3. Haz clic en Agregar. Aparecerá una notificación para que confirmes la adición o actualización de la función nueva de los miembros.

gcloud

Puedes configurar el acceso a las carpetas de manera programática con Google Cloud CLI o la API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

O, como alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

En el ejemplo anterior, se ilustra lo siguiente:

  • [FOLDER_ID] es el ID de la carpeta nueva.
  • [POLICY_FILE] es la ruta a un archivo de la política de la carpeta.

API

El método setIamPolicy establece la política de control de acceso en una carpeta y reemplaza cualquier política existente. El campo resource debe ser el nombre del recurso de la carpeta, por ejemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La solicitud curl luce así:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

En el ejemplo anterior, se ilustra lo siguiente:

  • [FOLDER_NAME] es el nombre de la carpeta cuya política de IAM configurarás, por ejemplo, carpetas/123.

Restringe las funciones de la suborganización

Cada Administrador de carpetas puede restringir la función Creador del proyecto de los miembros de su suborganización. También puede quitar el dominio del rol Creador del proyecto en la política de permiso del recurso de la organización.

Los administradores avanzados de Google Workspace tienen privilegios de administrador de la organización irrevocables. Estos administradores avanzados suelen administrar las identidades y las políticas de identidad, en lugar de administrar los Google Cloud recursos y las políticas de recursos.

Console

Para quitar los roles que se asignaron a los usuarios de forma predeterminada con la consola de Google Cloud , sigue estos pasos:

  1. Ve a la página Administrar recursos en la consola de Google Cloud :

    Abrir la página Administrar recursos

  2. Haz clic en la lista desplegable Organización en la parte superior de la página y, luego, selecciona tu recurso de organización.

  3. Selecciona la casilla de verificación del recurso de la organización en el que deseas cambiar los permisos. Si no tienes un recurso de carpeta, el recurso de la organización no será visible. Si quieres continuar, consulta las instrucciones para revocar funciones que están en la página de IAM.

  4. En Permisos, dentro del Panel de información ubicado a la derecha, haz clic para expandir el rol al que deseas quitarle usuarios.

  5. En la lista expandida de las funciones, junto al principal que deseas quitar de la función, haz clic en quitar.Captura de pantalla de la IU

  6. En el cuadro de diálogo ¿Quitar principal? que aparecerá, haz clic en Quitar para confirmar que deseas quitarle el rol al principal especificado.

  7. Repite los dos pasos anteriores en cada función que desees quitar.

Ejemplo

En el siguiente diagrama, se ilustra una organización que usó carpetas para separar dos departamentos. Los jefes de los departamentos de ingeniería y finanzas tienen control administrativo, y los otros usuarios no pueden crear proyectos.

Diagrama de jerarquía

Administra varias organizaciones en un recurso de organización principal

Si tu organización tiene varias cuentas de Google Workspace, tendrás varios recursos de organización de forma predeterminada. Con el fin de mantener la visibilidad y el control central, debes elegir un recurso de organización para que sea el recurso de organización principal. Los administradores avanzados de la cuenta de Google Workspace asociada a tu recurso de organización principal tendrán control administrativo sobre todos los recursos, incluidos los que crearon los usuarios de las otras cuentas de Google Workspace. Los usuarios de esas cuentas de Google Workspace tendrán acceso a una carpeta en el recurso de organización principal, en el que podrán crear proyectos.

Elige un administrador de la organización

Elige uno o más usuarios para que actúen como administradores de la organización de IAM para el recurso de la organización.

Console

Para agregar un administrador de la organización, sigue estos pasos:

  1. Accede a la consola Google Cloud como administrador avanzado de Google Workspace o Cloud Identity y ve a la página IAM y administración:

    Abrir la página IAM y administración

  2. Selecciona el recurso de organización que deseas editar:

    1. Haz clic en la lista desplegable de proyectos en la parte superior de la página.

    2. En el cuadro de diálogo Seleccionar de, haz clic en la lista desplegable de organizaciones y selecciona el recurso de la organización al que deseas agregar un administrador de la organización.

    3. En la lista que aparece, haz clic en el recurso de la organización para abrir su página de Permisos de IAM.

  3. Haz clic en Agregar y, luego, ingresa la dirección de correo electrónico de uno o más usuarios que quieras establecer como administradores de la organización.

  4. En la lista desplegable Seleccionar una función, selecciona Administrador de recursos > Administrador de la organización y, luego, haz clic en Guardar.

    El administrador de la organización puede hacer lo siguiente:

    • Tomar el control total del recurso de la organización Se establece la separación de responsabilidades entre el administrador avanzado de Google Workspace o Cloud Identity y el Google Cloud administrador.

    • Puedes delegar la responsabilidad sobre las funciones esenciales mediante la asignación de las funciones relevantes de IAM.

Quita la función Creador del proyecto

Quita el rol de Creador del proyecto del recurso de organización para asegurarte de que no se creen recursos en los otros recursos de organización.

Console

Para quitar los roles que se asignaron a los usuarios de forma predeterminada con la consola de Google Cloud , sigue estos pasos:

  1. Ve a la página Administrar recursos en la consola de Google Cloud :

    Abrir la página Administrar recursos

  2. Haz clic en la lista desplegable Organización en la parte superior de la página y, luego, selecciona tu recurso de organización.

  3. Selecciona la casilla de verificación del recurso de la organización en el que deseas cambiar los permisos. Si no tienes un recurso de carpeta, el recurso de la organización no será visible. Si quieres continuar, consulta las instrucciones para revocar funciones que están en la página de IAM.

  4. En Permisos, dentro del Panel de información ubicado a la derecha, haz clic para expandir el rol al que deseas quitarle usuarios.

  5. En la lista expandida de las funciones, junto al principal que deseas quitar de la función, haz clic en quitar.Captura de pantalla de la IU

  6. En el cuadro de diálogo ¿Quitar principal? que aparecerá, haz clic en Quitar para confirmar que deseas quitarle el rol al principal especificado.

  7. Repite los dos pasos anteriores en cada función que desees quitar.

Crea carpetas para las cuentas de Google Workspace

Crea una carpeta en el recurso de la organización para cada cuenta de Google Workspace.

Para crear carpetas, debes tener la función Administrador de carpetas o Creador de carpetas a nivel del superior. Por ejemplo, para crear carpetas a nivel de la organización, debes tener una de estas funciones a nivel de la organización.

Como parte de la creación de una carpeta, debes asignarle un nombre. Los nombres de las carpetas deben cumplir los siguientes requisitos:

  • El nombre puede contener letras, dígitos, espacios, guiones y guiones bajos.
  • El nombre visible de la carpeta debe comenzar y terminar con una letra o un dígito.
  • El nombre debe tener entre 3 y 30 caracteres.
  • El nombre debe ser distinto al de todas las demás carpetas que comparten el superior.

Para crear una carpeta, haz lo siguiente:

Console

Las carpetas se pueden crear en la IU a través de la sección “Administra proyectos y carpetas”.

  1. Ve a la página Administrar recursos en la consola de Google Cloud :

    Abrir la página Administrar recursos

  2. Asegúrate de que el nombre de tu recurso de organización esté seleccionado en la lista desplegable de organizaciones que se encuentra en la parte superior de la página.

  3. Haz clic en Crear carpeta y selecciona una de las siguientes opciones:

  4. En el cuadro Nombre de la carpeta, ingresa el nombre de la carpeta nueva.

  5. En Destino, haz clic en Explorar y, luego, selecciona el recurso o la carpeta de la organización en la que deseas crear tu nueva carpeta.

    1. Haz clic en Crear.

gcloud

Las carpetas se pueden crear de forma programática con Google Cloud CLI.

Para crear una carpeta en el recurso de la organización con la herramienta de línea de comandos de gcloud, ejecuta el siguiente comando.

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --organization=[ORGANIZATION_ID]

Para crear una carpeta cuya carpeta superior sea otra, sigue estos pasos:

gcloud resource-manager folders create \
   --display-name=[DISPLAY_NAME] \
   --folder=[FOLDER_ID]

En el ejemplo anterior, se ilustra lo siguiente:

  • [DISPLAY_NAME] es el nombre visible de la carpeta. Dos carpetas con la misma carpeta superior no pueden compartir un nombre visible. El nombre visible debe comenzar y terminar con una letra o un dígito, puede contener letras, dígitos, espacios, guiones y guiones bajos, y no puede tener más de 30 caracteres.
  • [ORGANIZATION_ID]es el ID del recurso de organización principal si el elemento superior es un recurso de organización.
  • [FOLDER_ID] es el ID de la carpeta superior, si el superior es una carpeta.

API

Se pueden crear carpetas con una solicitud a la API.

El JSON de la solicitud luce así:

request_json= '{
  display_name: DISPLAY_NAME,
  parent: ORGANIZATION_NAME
}'

La solicitud de curl para crear carpetas luce así:

curl -X POST -H "Content-Type: application/json" \
-H "Authorization: Bearer ${bearer_token}" \
-d "$request_json" \
https://cloudresourcemanager.googleapis.com/v3/folders

En el ejemplo anterior, se ilustra lo siguiente:

  • [DISPLAY_NAME] es el nombre visible de la carpeta nueva, por ejemplo, “Mi carpeta genial”.
  • [ORGANIZATION_NAME] es el nombre del recurso de la organización en el que creas la carpeta, por ejemplo, organizations/123.

La respuesta para crear carpetas luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  }
}

La solicitud de curl para obtener operaciones luce así:

curl -H "Authorization: Bearer ${bearer_token}" \
https://cloudresourcemanager.googleapis.com/v3/operations/fc.123456789

La respuesta para obtener operaciones luce así:

{
  "name": "operations/fc.123456789",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.FolderOperation",
    "displayName": "[DISPLAY_NAME]",
    "operationType": "CREATE"
  },
  "done": true,
  "response": {
    "@type": "type.googleapis.com/google.cloud.resourcemanager.v3.Folder",
    "name": "folders/12345",
    "parent": "organizations/123",
    "displayName": "[DISPLAY_NAME]",
    "lifecycleState": "ACTIVE",
    "createTime": "2017-07-19T23:29:26.018Z",
    "updateTime": "2017-07-19T23:29:26.046Z"
  }
}

Otorga funciones de administrador a la carpeta

Otorga a uno o más usuarios la función Administrador de carpetas, para cada una de las carpetas creadas. A estos usuarios se les delegará el control administrativo sobre la carpeta y la suborganización que representa.

Para configurar el acceso a las carpetas, debes tener la función Administrador de carpetas de IAM o Administrador de carpetas a nivel del superior.

Console

  1. En la Google Cloud consola, abre la página Administrar recursos.

    Abrir la página de administración de recursos

  2. Haz clic en la lista desplegable Organización en la esquina superior izquierda y, luego, selecciona tu recurso de organización.

  3. Selecciona la casilla de verificación junto al proyecto en el que deseas cambiar los permisos.

    1. En el Panel de información (Info panel) del lado derecho, en Permisos (Permissions), ingresa las direcciones de correo electrónico de los miembros que deseas agregar.

    2. En la lista desplegable Seleccionar un rol, selecciona el rol que deseas otorgar a esos miembros.

    3. Haz clic en Agregar. Aparecerá una notificación para que confirmes la adición o actualización de la función nueva de los miembros.

gcloud

Puedes configurar el acceso a las carpetas de manera programática con Google Cloud CLI o la API.

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderEditor

gcloud resource-manager folders \
  add-iam-policy-binding [FOLDER_ID] \
  --member=user:email1@example.com \
  --role=roles/resourcemanager.folderViewer

O, como alternativa:

gcloud resource-manager folders \
  set-iam-policy [FOLDER_ID] [POLICY_FILE]

En el ejemplo anterior, se ilustra lo siguiente:

  • [FOLDER_ID] es el ID de la carpeta nueva.
  • [POLICY_FILE] es la ruta a un archivo de la política de la carpeta.

API

El método setIamPolicy establece la política de control de acceso en una carpeta y reemplaza cualquier política existente. El campo resource debe ser el nombre del recurso de la carpeta, por ejemplo, folders/1234.

 request_json= '{
   policy: {
     version: "1",
     bindings: [
       {
         role: "roles/resourcemanager.folderEditor",
         members: [
           "user:email1@example.com",
           "user:email2@example.com",
         ]
       }
     ]
   }
 }'

La solicitud curl luce así:

   curl -X POST -H "Content-Type: application/json" \
   -H "Authorization: Bearer ${bearer_token}" \
   -d "$request_json" \
   https://cloudresourcemanager.googleapis.com/v3/[FOLDER_NAME]:setIamPolicy

En el ejemplo anterior, se ilustra lo siguiente:

  • [FOLDER_NAME] es el nombre de la carpeta cuya política de IAM configurarás, por ejemplo, carpetas/123.

Cada Administrador de carpeta puede otorgar a los usuarios del dominio asociado la función Creador del proyecto.

Ejemplo

En el siguiente diagrama, se ilustra una organización con un dominio principal que se mantiene aislado de un dominio secundario adquirido. Cada uno de los dos dominios tiene sus propias cuentas de Google Workspace y hypothetical.com es el recurso principal de la organización.

Diagrama de jerarquía