# GCP Data Engineer Certification

## **01 - RESOURCE HIERANCHY**

### _Jerarquía de recursos_

En el propósito de la jerarquía de recursos de Google Cloud, se incluyen los dos aspectos siguientes:

* Proporciona una jerarquía de propiedad, con la que se vincula el ciclo de vida de un recurso a su superior inmediato en la jerarquía.
* Proporciona puntos de conexión y herencia para el control de acceso y las políticas de la organización.

En términos metafóricos, la jerarquía de recursos de Google Cloud se asemeja al sistema de archivos que se encuentra en los sistemas operativos tradicionales como una forma de organizar y administrar las entidades jerárquicamente. Por lo general, cada recurso tiene exactamente un superior. Esta organización jerárquica de recursos te permite establecer el acceso controla las políticas y los ajustes de configuración de un recurso superior, y y la configuración de Identity and Access Management (IAM) de Google Cloud.

#### _Jerarquía de recursos de Google Cloud en detalle_

[![Jerarquía de Recursos en CGP](https://cloud.google.com/static/resource-manager/img/cloud-hierarchy.svg?hl=es-419)](![/img/tutorial/imagen-markdown.webp](https://cloud.google.com/static/resource-manager/img/cloud-hierarchy.svg?hl=es-419))

En Google Cloud, la jerarquía de recursos es fundamental para organizar tus recursos (como máquinas virtuales, bases de datos, buckets de almacenamiento, etc.). Esta jerarquía sigue un esquema en forma de árbol con varios niveles:

*   **Organización (Organization)**
*   **Carpetas (Folders)**
*   **Proyectos (Projects)**
*   **Recursos (Resources)**

***

Todos los usuarios, incluidos los usuarios de pruebas gratuitas, los usuarios del nivel gratuito y Google Workspace y los clientes de Cloud Identity pueden crear recursos de proyectos.

*   **Usuarios del nivel gratuito:** Si estás usando una cuenta gratuita de Google Cloud (nivel gratuito), tu cuenta no tendrá un recurso de Organización. Los recursos que crees estarán directamente asociados a tu cuenta de Google, bajo un proyecto individual.
*   **Google Workspace (antes G Suite):** Las empresas que utilizan Google Workspace (como un servicio de correo electrónico y colaboración) tendrán una **Organización** automática en Google Cloud, donde todos los proyectos y recursos estarán bajo ese marco de organización. (Está asociada con un recurso de la organización)
*   **Cloud Identity:** Similar a Google Workspace, las organizaciones que usan **Cloud Identity** (sin pagar por Google Workspace) también tendrán una **Organización** en Google Cloud. Esta organización les permite gestionar recursos en la nube y aplicar políticas de seguridad, pero sin los servicios de correo y colaboración. (Está asociada con un recurso de la organización)

***

#### _Componentes de la Jerarquía de Recursos de Google Cloud_

1) **Organización (Organization Resource)** 
    * **¿Qué es?** Es el nivel más alto en la jerarquía. Representa una empresa o una entidad con múltiples proyectos y carpetas.
    * **¿Quién lo usa?** Si tienes una cuenta de **Google Workspace** o **Cloud Identity**, tendrás una **Organización**. Los usuarios del nivel gratuito no tienen este recurso.
    * **Propósito:** Permite aplicar políticas globales de IAM (Identity and Access Management) y controles de seguridad a nivel empresarial, afectando a todos los proyectos y carpetas que existan debajo.

**BENEFICIOS**

* **Los recursos del proyecto pertenecen a tu organización**. en lugar del empleado que creó el proyecto. Esto significa que el proyecto los recursos ya no se borran cuando un empleado abandona la empresa; en su lugar seguirán el ciclo de vida del recurso de la organización en Google Cloud.
* **Los administradores de la organización tienen un control central de todos los recursos**. Pueden ver y administrar todos los recursos del proyecto de tu empresa. Esta y aplicación de políticas significa que ya no pueden existir proyectos paralelos ni administradores fraudulentos.
* **Puedes otorgar roles a nivel de la organización, que se heredan proyecto y carpeta en el recurso de la organización**. Por ejemplo, puedes otorgarle el rol Administrador de redes a tu equipo de redes en la lo que les permite administrar todas las redes en todos los recursos del proyecto en tu en lugar de otorgarles el rol para todos los recursos individuales del proyecto.

Un recurso de la organización expuesto por la **API de Cloud Resource Manager** consta de lo siguiente:

* Un **ID de recurso de la organización**, que es un identificador único para una organización.
* Un **nombre para mostrar**, que se genera a partir del nombre de dominio principal en el lugar de trabajo de Google Workspace o Cloud Identity.
* La **hora de creación del recurso** de la organización.
* La **hora de la última modificación del recurso** de la organización.
* El **propietario del recurso de la organización**. El propietario se especifica durante la creación el recurso de la organización. No se puede cambiar una vez configurado. Es el ID de cliente de Google Workspace que se especifica en la **API de Directory**.

En el siguiente fragmento de código, se muestra la estructura de un recurso de organización:

```
{
  "creationTime": "2020-01-07T21:59:43.314Z",
  "displayName": "my-organization",
  "lifecycleState": "ACTIVE",
  "name": "organizations/34739118321",
  "owner": {
    "directoryCustomerId": "C012ba234"
  }
} 
```

***

Por simplicidad, con Google Workspace haremos referencia a los usuarios de Google Workspace y Cloud Identity.
La cuenta de Google Workspace o Cloud Identity **representa un y es un requisito previo para tener acceso al recurso de la organización**. En en el contexto de Google Cloud, **proporciona administración de identidades**, **de administración del ciclo de vida**, **la propiedad y la administración del ciclo de vida**. En la siguiente imagen, se muestra el vínculo entre la cuenta de Google Workspace, Cloud Identity y en la jerarquía de recursos de Google Cloud:

[![Cloud Identity o Google Workspace](https://cloud.google.com/static/resource-manager/img/cloud-hierarchy-workspace.svg?hl=es-419)](![/img/tutorial/imagen-markdown.webp](https://cloud.google.com/static/resource-manager/img/cloud-hierarchy-workspace.svg?hl=es-419))

El **administrador avanzado de Google Workspace** es la persona responsable de la verificación de la propiedad del dominio y el contacto en casos de recuperación. Por esta razón, el administrador avanzado de Google Workspace **tiene la capacidad de asignar funciones de IAM de forma predeterminada**. El administrador avanzado de Google Workspace principal con respecto a Google Cloud es asignar a la organización administrador de IAM a los usuarios adecuados en su dominio. Esto creará la separación entre las responsabilidades de administración de Google Workspace y Google Cloud que los usuarios suelen buscar.

***

2) **Carpetas (Folders Resource)** 
    * **¿Qué es?** Las carpetas son opcionales, pero útiles para organizar proyectos dentro de una organización. Puedes pensar en ellas como subgrupos dentro de la organización.
    * **¿Quién lo usa?** Organizaciones que necesitan agrupar proyectos de manera lógica. Por ejemplo, diferentes departamentos (TI, Finanzas, Marketing) pueden tener sus propias carpetas para separar y gestionar recursos.
    * **Propósito:** Ofrecen un nivel intermedio para aplicar políticas de IAM y organizar mejor los proyectos. Cada carpeta puede tener múltiples proyectos y otras carpetas dentro de ella.

**BENEFICIOS**

Los recursos de carpetas **permiten delegar derechos de administración**; por ejemplo, cada jefe de un departamento puede obtener la propiedad total de todos Google Cloud recursos que pertenecen a sus departamentos. Del mismo modo, el acceso a los recursos puede estar limitada por el recurso de carpeta, por lo que los usuarios de un departamento solo pueden acceder y crear recursos de Google Cloud dentro de ese recurso de carpeta.

En el siguiente fragmento de código, se muestra la estructura de un recurso de carpeta:

```
{
  "createTime": "2030-01-07T21:59:43.314Z",
  "displayName": "Engineering",
  "lifecycleState": "ACTIVE",
  "name": "folders/634792535758",
  "parent": "organizations/34739118321"
} 
```

***

3) **Proyectos (Project Resource)** 
    * **¿Qué es?** Los proyectos son los contenedores donde se crean y gestionan los recursos de Google Cloud, como VMs, bases de datos, y redes. El recurso del proyecto es obligatorio usar Google Cloud, y es la base para crear, habilitar y utilizar todas servicios de Google Cloud, administrar APIs, habilitar la facturación, agregar y quitar colaboradores y administrar permisos.
    * **¿Quién lo usa?** Todos los usuarios de Google Cloud necesitan un proyecto para crear recursos, ya sea que estén usando una cuenta gratuita o que formen parte de una organización de Google Workspace o Cloud Identity.
    * **Propósito:** Cada proyecto tiene su propio conjunto de permisos, políticas de IAM y facturación. Es el nivel más común donde los desarrolladores trabajan, ya que cada recurso (máquinas virtuales, bases de datos, etc.) se encuentra dentro de un proyecto.

Todos los recursos del proyecto constan de lo siguiente:

* **Dos identificadores**:
  1) El **ID de recurso del proyecto**, que es un identificador único del proyecto recurso.
  2) El **número de recurso del proyecto**, que se asigna automáticamente al crearlo el proyecto. es de solo lectura
* Un **nombre visible y mutable**.
* El **estado del ciclo de vida del recurso del proyecto**; por ejemplo, **ACTIVE** o **DELETE_REQUESTED**.
* Un **conjunto de etiquetas** que se pueden usar para filtrar proyectos.
* La **hora en la que se creó el recurso del proyecto**.

En el siguiente fragmento de código, se muestra la estructura de un recurso de proyecto:

```
{
  "createTime": "2020-01-07T21:59:43.314Z",
  "lifecycleState": "ACTIVE",
  "name": "my-project",
  "parent": {
    "id": "634792535758",
    "type": "folder"
  },
  "projectId": "my-project",
  "labels": {
     "my-label": "prod"
  },
  "projectNumber": "464036093014"
}
```

***

4) **Recursos (Resources)** 
    * **¿Qué es?** Los recursos son las instancias específicas de servicios que creas en Google Cloud, como máquinas virtuales (Compute Engine), buckets de almacenamiento (Cloud Storage), bases de datos (Cloud SQL), etc.
    * **¿Quién lo usa?** Los usuarios de cualquier tipo de cuenta los gestionan dentro de proyectos.
    * **Propósito:** Estos son los "objetos reales" que utilizas en Google Cloud. Los recursos son gestionados a nivel de proyecto, y las políticas de acceso y facturación son aplicadas a través de los proyectos que los contienen.

***

**Ejemplo de una Jerarquía**

Imaginemos que trabajamos en una gran empresa de desarrollo de software:

1. **Organización:** "Software Corp"
2. **Carpetas:**
  * "Desarrollo"
  * "Marketing"
  * "Finanzas"
3. **Proyectos (dentro de la carpeta "Desarrollo"):**
  * Proyecto A (donde los desarrolladores crean máquinas virtuales para un nuevo producto).
  * Proyecto B (para alojar la base de datos de ese producto).
4. **Recursos:**
  * Máquinas virtuales, bases de datos y otros servicios se encuentran dentro de los **Proyectos**.

***

#### _Herencia de políticas de IAM_

Google Cloud ofrece **IAM**, que te permite otorgar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. 

Con IAM, puedes controlar **quién ( usuarios)** posee qué **acceso (funciones)** **a cuáles recursos**, a partir del establecimiento de políticas de IAM en los recursos.

En Google Cloud, cada recurso (organización, carpetas, proyectos, recursos) puede tener su propia política de IAM, y esas políticas se **heredan** desde los niveles superiores hacia los inferiores. Esta herencia tiene un impacto directo en cómo los usuarios obtienen acceso a los recursos, ya que:

* Las **políticas de IAM** establecidas en un recurso superior (como la organización) son heredadas por los recursos dentro de ese recurso superior (carpetas, proyectos, etc.).
* **La herencia es transitiva**, lo que significa que si defines una política en la organización, esa política afectará a todos los recursos bajo esa organización, incluyendo carpetas, proyectos y recursos específicos.

Por ejemplo:

[![Política de recursos](https://cloud.google.com/static/resource-manager/img/cloud-hierarchy.svg?hl=es-419)](![/img/tutorial/imagen-markdown.webp](https://cloud.google.com/static/resource-manager/img/cloud-hierarchy.svg?hl=es-419))

En el diagrama de jerarquía de recursos anterior, si estableces una política en carpeta "Departamento Y" que otorgue el rol de Editor de proyecto a bob@example.com, Roberto tendrá el rol de editor en los proyectos "Proyecto de desarrollo", "proyecto de prueba", y «Proyecto de producción». Por el contrario, si asignas a alice@example.com la Administrador de instancias en el proyecto “Proyecto de prueba”, solo podrá administrar instancias de Compute Engine en ese proyecto.

**Las funciones siempre se heredan y no se puede quitar de forma explícita el permiso para un recurso de nivel inferior que se otorga en un nivel superior de la jerarquía de recursos**. Dado el ejemplo anterior, incluso si quitaras el Editor del proyecto de Bob en el "Proyecto de prueba", él todavía heredaría ese rol del “Departamento Y” de proyectos, por lo que seguiría teniendo los permisos para ese rol en “Proyecto de prueba”.

***

**Otras Anotaciones y Ejemplos**

1) **Unión de políticas** 

Un punto importante es que la política efectiva en un recurso es **la unión** de la política que se establece directamente en ese recurso y las políticas que hereda de sus recursos superiores. Esto significa que si un recurso tiene políticas tanto locales como heredadas, **ambas políticas se combinan**.

* Si un proyecto tiene una política de IAM que otorga a un usuario el rol de **Editor** en el proyecto, y además ese usuario tiene el rol de **Viewer** heredado desde el nivel de organización, entonces ese usuario tendrá ambos permisos: los de visualización y edición en el proyecto.
* La herencia también permite aplicar restricciones. Por ejemplo, si en la organización se asignan roles amplios como **Owner**, se puede restringir el acceso a ciertos proyectos o recursos estableciendo políticas más restrictivas a niveles inferiores.

2) **Cambios en la jerarquía de recursos y sus efectos en IAM**

La **herencia de permisos se actualiza automáticamente** cuando los recursos cambian de lugar en la jerarquía. Esto es clave para mantener el acceso controlado al reorganizar los proyectos o carpetas.

Ejemplo:

* **Mover un proyecto entre carpetas**: Si mueves un proyecto de la **Carpeta A** a la **Carpeta B**, ese proyecto **perderá** las políticas heredadas de la **Carpeta A** y **heredará** las políticas de la **Carpeta B**.
* **Cambiar la política a nivel de organización**: Si cambias los permisos a nivel de **Organización**, eso afectará automáticamente a todos los proyectos, carpetas y recursos en su interior.

3) **Políticas a nivel de recurso específico**

En algunos casos, puedes establecer políticas de IAM a nivel de un recurso individual (como una máquina virtual o un bucket de almacenamiento). Estos permisos también pueden heredar políticas de los niveles superiores, pero la política establecida en el recurso específico **sobrescribirá** los permisos en ese nivel.

Ejemplo:

* Si un usuario tiene permisos de **Viewer** heredados en un proyecto, pero en un recurso específico de ese proyecto (como una máquina virtual) se le otorgan permisos de **Editor**, ese usuario tendrá permisos de **Editor** solo para ese recurso específico, mientras que sus permisos globales en el proyecto seguirán siendo de **Viewer**.

***