Google Cloud Resource Manager – Jerarquía de recursos

por | 09/08/2018

Cuando trabajamos con la plataforma de Google Cloud, necesitamos organizar todos los recursos, usuarios, proyectos, … y para ello debemos basarnos en la jerarquía de objetos que nos ofrece GCP, que es la que nos permitirá gestionar los permisos y accesos de la forma más adecuada. La jerarquía completa de recursos de Google Cloud es semejante a la de un sistema de ficheros tradicional, en forma de árbol, en la que cada recurso tiene un solo padre, y todos los elementos que la componen tienen una única raíz, la Organización.

La organización solo está disponible para usuarios de G Suite o de Cloud Identity, que realmente significa que solo está disponible para empresas, y no para usuarios individuales. Bajo la Organización pueden existir Carpetas, no es obligatorio e igualmente solo está disponible para usuarios de G Suite y de Cloud Identity, para el resto no existe este nivel en la jerarquía.

El siguiente nivel (el primero para los usuarios estándar, no empresas), según bajamos en la jerarquía, está compuesto por los Proyectos, que son los que a su vez contienen todos los Recursos (Compute Engine VM, App Engine instance, Storage Bucket, …). En el siguiente diagrama se muestra un ejemplo de esta estructura jerárquica de objetos:


Google Cloud Resource Hierarchy

Esta jerarquía de objetos está íntimamente relacionada con los permisos que se establecen en cada uno de los objetos, porque las políticas se heredan de los elementos padre. Mediante IAM definiremos quién (usuarios) tiene qué accesos (roles) a qué recursos, esto se hace mediante las políticas IAM que se pueden definir bajo la Organización, Carpeta, Proyecto y en algunos casos en los Recursos.

Mediante la herencia de políticas, un determinado objeto, como un recurso, tendrá los permisos que se hayan establecido al nivel de ese recurso y heredará las políticas que se hayan establecido en todos sus padres (proyecto y carpeta/organización si existen). En el diagrama de ejemplo anterior, el recursos App Engine Services heredará las políticas que se hayan definido en el proyecto Test GCP Project, las carpetas Product 1, Team B, Dept Y y la organización Company.

 

Entradas relacionadas

Google Cloud IAM – Introducción Este servicio está basado en dos características básicas que permiten controlar usuarios y accesos a cada uno de los recursos de Google Cloud: ...
Google Cloud IAM – Roles y Permisos Cuando alguien (usuario, grupo o cuenta de servicio) quiere acceder a una API o recurso de Google Cloud, IAM debe comprobar si tiene los permisos nece...

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.