Jerarquía de recursos

En esta página se describe la jerarquía de recursos de Google Cloud y los recursos que se pueden administrar con Resource Manager.

En el propósito de la jerarquía de recursos de Google Cloud, se incluyen los dos aspectos siguientes:

• Proporciona una jerarquía de propiedad, con la que se vincula el ciclo de vida de un recurso a su superior inmediato en la jerarquía.
• Proporciona puntos de conexión y herencia para el control de acceso y las políticas de la organización.

En términos metafóricos, la jerarquía de recursos de Google Cloud se asemeja al sistema de archivos que se encuentra en los sistemas operativos tradicionales como una forma de organizar y administrar las entidades jerárquicamente. Por lo general, cada recurso tiene exactamente un superior. Esta organización jerárquica de recursos te permite establecer el acceso controla las políticas y los ajustes de configuración de un recurso superior, y y la configuración de Identity and Access Management (IAM) de Google Cloud.

Jerarquía de recursos de Google Cloud en detalle

Los recursos de Google Cloud están organizados de forma jerárquica. Todos los recursos excepto del recurso más alto en una jerarquía tienen exactamente un elemento superior. En el nivel más bajo, los recursos de servicio son los componentes fundamentales componen todos los servicios de Google Cloud. Algunos ejemplos de recursos de servicio incluyen Máquinas virtuales (VMs) de Compute Engine, temas de Pub/Sub, Cloud Storage buckets e instancias de App Engine. Todos estos recursos de bajo nivel tienen recursos como sus elementos superiores, que representan el primer grupo de la jerarquía de recursos de Google Cloud.

Todos los usuarios, incluidos los usuarios de pruebas gratuitas, los usuarios del nivel gratuito y Google Workspace y los clientes de Cloud Identity pueden crear recursos de proyectos. Los usuarios del Programa gratuito de Google Cloud solo pueden crear recursos de proyectos y recursos de servicio dentro de proyectos. Los recursos del proyecto pueden en la cima de su jerarquía, pero solo si lo crea un usuario de usuario de nivel superior. Clientes de Google Workspace y Cloud Identity tienen acceso a funciones adicionales de la jerarquía de recursos de Google Cloud, como los recursos de organizaciones y carpetas. Más información en la descripción general de Cloud Identity. Los recursos del proyecto en la parte superior de su jerarquía no tienen un recursos, pero pueden migrarse a un recurso de organización una vez que tenga que se creó para el dominio. Para obtener más detalles sobre la migración de recursos del proyecto, consulta Migra los recursos del proyecto.

Los clientes de Google Workspace y Cloud Identity pueden crear de Google Cloud. Cada cuenta de Google Workspace o Cloud Identity está asociada con un recurso de la organización. Cuando existe un recurso de organización, es la cima de la jerarquía de recursos de Google Cloud, que pertenecen a una organización se agrupan en el recurso de la organización. Esto proporciona visibilidad central y control sobre cada recurso que pertenece a un recurso de la organización.

Los recursos de carpetas son un mecanismo de agrupación adicional y opcional entre recursos de la organización y de los proyectos. Un recurso de organización es obligatorio como requisito previo para usar las carpetas. Recursos de la carpeta y sus elementos secundarios los recursos del proyecto se asignan en el recurso de organización.

La jerarquía de recursos de Google Cloud, especialmente en su forma más completa que incluye un recurso de organización y recursos de carpetas, permite a las empresas para asignar su recurso de organización a Google Cloud y proporciona conexiones lógicas puntos para las políticas de administración de accesos (IAM) y Políticas de la organización. Tanto IAM y las políticas de la organización se heredan a través de la jerarquía, y para cada recurso en la jerarquía es el resultado de las políticas que se aplican al recurso y las políticas heredadas de sus principales.

El siguiente diagrama representa un ejemplo de jerarquía de recursos de Google Cloud en su forma completa:

El recurso de organización

El recurso de la organización representa una organización (por ejemplo, una empresa) y es el nodo raíz en la la jerarquía de recursos de Google Cloud cuando está presente. El recurso de organización es el principal jerárquico de los recursos de carpetas y proyectos. El Políticas de control de acceso de IAM aplicadas al recurso de la organización se aplican en toda la jerarquía en todos los recursos de la organización.

Los usuarios de Google Cloud no necesitan tener un recurso de organización, pero Algunas funciones de Resource Manager no se podrán usar sin una. La organización recurso está estrechamente asociado con un Google Workspace o Cloud Identity de servicio predeterminada. Cuando un usuario con una Google Workspace crea un recurso de proyecto de Google Cloud, un recurso se les aprovisiona automáticamente.

Una cuenta de Google Workspace o Cloud Identity puede tener exactamente una recurso de la organización aprovisionado con él. Una vez que se agrega un recurso de creado para un dominio, todos los recursos nuevos del proyecto de Google Cloud creados por miembros del dominio de la cuenta pertenecerán a la organización de forma predeterminada. recurso. Cuando un usuario administrado crea un recurso de proyecto, el requisito es que debe estar en algún recurso de la organización. Si un usuario especifica un recurso de la organización y tienen los permisos adecuados, el proyecto está asignados a esa organización. De lo contrario, se usará de forma predeterminada el nombre de la organización. recurso con el que está asociado el usuario. Es imposible que las cuentas asociadas con un recurso de organización para crear recursos de proyecto que no están asociados con un recurso de organización.

Vincula con cuentas de Cloud Identity o Google Workspace

Por simplicidad, con Google Workspace haremos referencia a los usuarios de Google Workspace y Cloud Identity.

La cuenta de Google Workspace o Cloud Identity representa un y es un requisito previo para tener acceso al recurso de la organización. En en el contexto de Google Cloud, proporciona administración de identidades, de administración del ciclo de vida, la propiedad y la administración del ciclo de vida. En la siguiente imagen, se muestra el vínculo entre la cuenta de Google Workspace, Cloud Identity y en la jerarquía de recursos de Google Cloud.

El administrador avanzado de Google Workspace es la persona responsable de la verificación de la propiedad del dominio y el contacto en casos de recuperación. Por esta razón, el administrador avanzado de Google Workspace tiene la capacidad de asignar funciones de IAM de forma predeterminada. El administrador avanzado de Google Workspace principal con respecto a Google Cloud es asignar a la organización administrador de IAM a los usuarios adecuados en su dominio. Esto creará la separación entre las responsabilidades de administración de Google Workspace y Google Cloud que los usuarios suelen buscar.

Beneficios del recurso de la organización

Con un recurso de organización, los recursos del proyecto pertenecen a tu organización. en lugar del empleado que creó el proyecto. Esto significa que el proyecto los recursos ya no se borran cuando un empleado abandona la empresa; en su lugar seguirán el ciclo de vida del recurso de la organización en Google Cloud.

Además, los administradores de la organización tienen un control central de todos los recursos. Pueden ver y administrar todos los recursos del proyecto de tu empresa. Esta y aplicación de políticas significa que ya no pueden existir proyectos paralelos ni administradores fraudulentos.

Además, puedes otorgar roles a nivel de la organización, que se heredan proyecto y carpeta en el recurso de la organización. Por ejemplo, puedes otorgarle el rol Administrador de redes a tu equipo de redes en la lo que les permite administrar todas las redes en todos los recursos del proyecto en tu en lugar de otorgarles el rol para todos los recursos individuales del proyecto.

Un recurso de la organización expuesto por la API de Cloud Resource Manager consta de lo siguiente: lo siguiente:

• Un ID de recurso de la organización, que es un identificador único para una organización.
• Un nombre para mostrar, que se genera a partir del nombre de dominio principal en el lugar de trabajo de Google Workspace o Cloud Identity.
• La hora de creación del recurso de la organización.
• La hora de la última modificación del recurso de la organización.
• El propietario del recurso de la organización. El propietario se especifica durante la creación el recurso de la organización. No se puede cambiar una vez configurado. Es el ID de cliente de Google Workspace que se especifica en la API de Directory

En el siguiente fragmento de código, se muestra la estructura de un recurso de organización:

{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
}

La política inicial de IAM para un recurso de la organización recién creado otorga los roles de Creador de proyectos y Creador de cuentas de facturación a la totalidad dominio de Google Workspace. Esto significa que los usuarios podrán continuar creando los recursos del proyecto y las cuentas de facturación como lo hicieron antes de la que existía un recurso de organización. No se crean otros recursos cuando un de la organización.

El recurso de la carpeta

De manera opcional, los recursos de carpetas proporcionan un mecanismo de agrupación adicional y límites de aislamiento entre proyectos. Estos se consideran suborganizaciones dentro del recurso de la organización. Los recursos de carpetas se pueden usar para modelar diferentes entidades legales, departamentos y equipos dentro de una empresa. Por ejemplo: se podría usar un primer nivel de recursos de carpetas para representar el principal departamentos en el recurso de tu organización. Dado que los recursos de carpetas pueden contener recursos y otras carpetas, cada recurso de carpeta podría incluir y otras subcarpetas para representar a diferentes equipos. Cada carpeta del equipo puede contener subcarpetas adicionales para representar diferentes aplicaciones. Más información sobre el uso de los recursos de carpetas, consulta Crea y administra recursos de carpetas.

Si los recursos de carpeta existen en tu recurso de organización y tienes recursos para ver los permisos, puedes verlos en la consola de Google Cloud. Para ver más instrucciones detalladas, consulta Visualiza o enumera los recursos de carpetas y proyectos

Los recursos de carpetas permiten delegar derechos de administración; por ejemplo, cada jefe de un departamento puede obtener la propiedad total de todos Google Cloud recursos que pertenecen a sus departamentos. Del mismo modo, el acceso a los recursos puede estar limitada por el recurso de carpeta, por lo que los usuarios de un departamento solo pueden acceder y crear recursos de Google Cloud dentro de ese recurso de carpeta.

En el siguiente fragmento de código, se muestra la estructura de un recurso de carpeta:

{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
}

Al igual que los recursos de la organización y del proyecto, los recursos de las carpetas actúan como una política punto de herencia para IAM y políticas de la organización. Los roles de IAM otorgados en un recurso de carpeta se que heredan todos los recursos de proyecto y carpeta incluidos en esa carpeta.

El recurso del proyecto

El recurso de proyecto es la entidad organizadora básica. Organización y los recursos de carpetas pueden contener varios proyectos. El recurso del proyecto es obligatorio usar Google Cloud, y es la base para crear, habilitar y utilizar todas servicios de Google Cloud, administrar APIs, habilitar la facturación, agregar y quitar colaboradores y administrar permisos.

Todos los recursos del proyecto constan de lo siguiente:

• Dos identificadores:
  1. El ID de recurso del proyecto, que es un identificador único del proyecto recurso.
  2. El número de recurso del proyecto, que se asigna automáticamente al crearlo el proyecto. es de solo lectura
• Un nombre visible y mutable
• el estado del ciclo de vida del recurso del proyecto; por ejemplo, ACTIVE o DELETE_REQUESTED
• Un conjunto de etiquetas que se pueden usar para filtrar proyectos
• La hora en la que se creó el recurso del proyecto.

En el siguiente fragmento de código, se muestra la estructura de un recurso de proyecto:

{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}

Para interactuar con la mayoría de los recursos de Google Cloud, debes proporcionar la información de recursos del proyecto para cada solicitud. Puedes identificar un recurso de proyecto de dos maneras: con un ID de recurso del proyecto o con un ID de número de recurso (projectId y projectNumber en el fragmento de código).

Un ID de recurso del proyecto es el nombre personalizado que elegiste cuando creaste el recurso del proyecto. Si activas una API que requiere un recurso de proyecto, se le indicará que cree un recurso de proyecto o seleccione uno mediante su ID de recurso del proyecto. (Ten en cuenta que la cadena name, que se muestra en el no es lo mismo que el ID de recurso del proyecto).

Un recurso del proyecto Google Cloud genera automáticamente el número. Tanto el proyecto el ID de recurso y el número de recurso del proyecto se encuentran en el panel de la recurso del proyecto en la consola de Google Cloud. Para obtener información sobre la obtención identificadores y otras tareas de gestión para los recursos del proyecto consulta Crea y administra los recursos del proyecto.

Mediante la política inicial de IAM para el recurso del proyecto recién creado, se otorga la función de propietario al creador del proyecto.

Herencia de políticas de IAM

Google Cloud ofrece IAM, que te permite otorgar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. Con IAM, puedes controlar quién ( usuarios) posee qué acceso (funciones ) a cuáles recursos a partir del establecimiento de políticas de IAM en los recursos.

Puedes establecer una política de IAM en el nivel de organización, el nivel de carpeta, el nivel de proyecto. (en algunos casos) el nivel de recurso. Los recursos heredan las políticas del recurso superior. Si estableces una política a nivel de la organización, lo heredan todas sus carpetas y proyectos secundarios recursos y, si estableces una política a nivel de proyecto, todos los recursos a sus recursos secundarios.

La política vigente para un recurso es la unión de la política establecida en el recurso y la política heredada de sus recursos principales. Esta herencia es transitiva. En otras palabras, los recursos heredan políticas del proyecto, que heredarán las políticas del recurso de la organización. Por lo tanto, el las políticas a nivel de los recursos de la organización también se aplican a nivel de los recursos.

Por ejemplo, en el diagrama de jerarquía de recursos anterior, si estableces una política en carpeta "Departamento Y" que otorgue el rol de Editor de proyecto a [email protected], Roberto tendrá el rol de editor en los proyectos "Proyecto de desarrollo", "proyecto de prueba", y «Proyecto de producción». Por el contrario, si asignas a [email protected] la Administrador de instancias en el proyecto “Proyecto de prueba”, solo podrá administrar instancias de Compute Engine en ese proyecto.

Las funciones siempre se heredan y no se puede quitar de forma explícita el permiso para un recurso de nivel inferior que se otorga en un nivel superior de la jerarquía de recursos. Dado el ejemplo anterior, incluso si quitaras el Editor del proyecto de Bob en el "Proyecto de prueba", él todavía heredaría ese rol del “Departamento Y” de proyectos, por lo que seguiría teniendo los permisos para ese rol en “Proyecto de prueba”.

En la jerarquía de políticas de IAM, se sigue la misma ruta que la jerarquía de recursos de Google Cloud. Si cambias la jerarquía de recursos, también cambia la jerarquía de políticas. Por ejemplo, mover un proyecto a un recurso de la organización actualizará la política de IAM del proyecto a heredarán de la política de IAM del recurso de la organización. De forma similar, mover un recurso de proyecto de un recurso de carpeta a otro cambiará permisos heredados. Permisos que heredó el recurso del proyecto del recurso superior original se perderán cuando el recurso mover a un recurso de carpeta nuevo. Permisos configurados en la carpeta de destino El recurso del proyecto heredará el recurso a medida que se mueva.