Erstellung freigegebener Reservierungen verwalten

Standardmäßig können für Einzelprojekte keine freigegebenen Reservierungen erstellt und geändert werden. In diesem Dokument wird erläutert, wie Sie das Erstellen und Ändern freigegebener Reservierungen für Projekte in Ihrer Google Cloud -Organisation zulassen oder einschränken. Mit freigegebenen Reservierungen können Sie die Nutzung der reservierten Kapazität über mehrere Projekte hinweg maximieren und eine Reservierung anstelle von vielen verwalten.

Weitere Informationen zu den Best Practices für das Erstellen und Verwenden freigegebener Reservierungen finden Sie unter Best Practices für freigegebene Reservierungen.

Hinweise

  • Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben. Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft. Zum Ausführen von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich so bei der Compute Engine authentifizieren:

    Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    1. Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl: 

      gcloud init

      Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

    2. Set a default region and zone.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Organization Policy Administrator (roles/orgpolicy.policyAdmin) für die Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Zulassen oder Einschränken von Projekten zum Erstellen von freigegebenen Reservierungen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Diese vordefinierte Rolle enthält die Berechtigungen, die zum Zulassen oder Einschränken von Projekten zum Erstellen gemeinsamer Reservierungen erforderlich sind. Maximieren Sie den Abschnitt Erforderliche Berechtigungen, um die notwendigen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind erforderlich, um das Erstellen von freigegebenen Reservierungen für Projekte zuzulassen oder einzuschränken:

  • So bearbeiten Sie Organisationsrichtlinien: orgpolicy.policy.set für die Organisation
  • So rufen Sie Organisationsrichtlinien auf: orgpolicy.policy.get für die Organisation

Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

Erstellen von freigegebenen Reservierungen für Projekte zulassen oder beschränken

Wenn Sie einem Projekt das Erstellen freigegebener Reservierungen erlauben oder es daran hindern möchten, ändern Sie die Zulassungsliste in der Organisationsrichtlinieneinschränkung für Inhaberprojekte für freigegebene Reservierungen (compute.sharedReservationsOwnerProjects).

In den folgenden Abschnitten wird beschrieben, wie Sie die Richtlinieneinschränkung für freigegebene Reservierungen in Ihrem Projekt oder Ihrer Organisation aufrufen oder bearbeiten.

Organisationsrichtlinieneinschränkung für freigegebene Reservierungen aufrufen

So sehen Sie, ob die Einschränkung für Inhaberprojekte für freigegebene Reservierungen (compute.sharedReservationsOwnerProjects) für Ihr Projekt oder Ihre Organisation aktiviert ist:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl das Projekt oder die Organisation aus, für die Sie Organisationsrichtlinien aufrufen möchten.

  3. Geben Sie im Feld Filter constraints/compute.sharedReservationsOwnerProjects ein.

  4. Klicken Sie in der Spalte Name auf Eigentümerprojekte für freigegebene Reservierungen. Die Seite Richtliniendetails wird angezeigt.

  5. Prüfen Sie im Bereich Geltende Richtlinie, ob Ihr Projekt oder Ihre Organisation freigegebene Reservierungen erstellen und ändern darf.

gcloud

So ermitteln Sie, für welche Projekte die Einschränkung compute.sharedReservationsOwnerProjects das Erstellen und Ändern freigegebener Reservierungen zulässt:

  1. Laden Sie die Richtlinie für Ihre Organisation als Datei mit dem Namen policy.yaml mithilfe des Befehls gcloud resource-manager org-policies describe herunter:

    gcloud resource-manager org-policies describe compute.sharedReservationsOwnerProjects \
    --organization=ORGANIZATION_ID > policy.yaml

    Ersetzen Sie ORGANIZATION_ID durch die ID Ihrer Organisation.

  2. Öffnen Sie die Datei policy.yaml in einem Texteditor Ihrer Wahl.

  3. Sehen Sie sich die Einschränkung compute.sharedReservationsOwnerProjects an. Die Projekte, für die freigegebene Reservierungen erstellt und geändert werden können, werden im Feld allowedValues aufgeführt, wie im folgenden Beispiel gezeigt:

    ...
constraint: constraints/compute.sharedReservationsOwnerProjects
listPolicy:
  allowedValues:
  - projects/EXAMPLE_PROJECT_NUMBER1
  - projects/EXAMPLE_PROJECT_NUMBER2
  - projects/EXAMPLE_PROJECT_NUMBER3
  ...
...

  4. Optional: So löschen Sie die Datei policy.yaml:

    • Wenn Sie ein Linux- oder macOS-Terminal verwenden, führen Sie den folgenden Befehl aus:

      rm policy.yaml

    • Wenn Sie ein Windows-Terminal verwenden, führen Sie den folgenden Befehl aus:

      del policy.yaml

Organisationsrichtlinieneinschränkung für freigegebene Reservierungen bearbeiten

Wählen Sie eine der folgenden Optionen aus, um zu bearbeiten, für welche Projekte in Ihrer Organisation freigegebene Reservierungen erstellt und geändert werden können:

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Wählen Sie in der Projektauswahl die Organisation aus, für die Sie Organisationsrichtlinien bearbeiten möchten.

  3. Geben Sie im Feld Filter constraints/compute.sharedReservationsOwnerProjects ein.

  4. Klicken Sie in der Spalte Name auf Eigentümerprojekte für freigegebene Reservierungen. Die Seite Richtliniendetails wird angezeigt.

  5. Klicken Sie auf  Richtlinie verwalten. Die Seite Richtliniendetails wird angezeigt.

  6. Wählen Sie Richtlinie der übergeordneten Ressource überschreiben aus. Wählen Sie dann im Abschnitt Richtlinienerzwingung aus, wie die Richtlinie angewendet werden soll:

    • Mit übergeordneter Ressource zusammenführen: Mit dieser Option wird die Richtlinie auf Projektebene mit der Richtlinie auf Organisationsebene kombiniert. Projekte, die auf einer der beiden Ebenen zulässig sind, können freigegebene Reservierungen erstellen.

    • Ersetzen: Mit dieser Option werden alle von höheren Ebenen übernommenen Richtlinien überschrieben. Nur Projekte, die auf dieser Ebene explizit zugelassen sind, können freigegebene Reservierungen erstellen.

  7. Klicken Sie auf  Regel hinzufügen.

  8. Wählen Sie in der Liste Richtlinienwerte die Option Benutzerdefiniert aus.

  9. Wählen Sie in der Liste Richtlinientyp eine der folgenden Optionen aus:

    • Wenn Sie ein oder mehrere Projekte zum Erstellen oder Ändern freigegebener Reservierungen autorisieren möchten, wählen Sie Zulassen aus.

    • Wenn Sie verhindern möchten, dass ein oder mehrere Projekte freigegebene Reservierungen erstellen oder ändern, wählen Sie Verweigern aus.

  10. Geben Sie im Feld Benutzerdefinierter Wert die Nummer des Projekts ein, auf das Sie diese Regel anwenden möchten. Klicken Sie für jedes zusätzliche Projekt, auf das Sie die Regel anwenden möchten, auf Wert hinzufügen und wiederholen Sie diesen Schritt.

  11. Klicken Sie auf Richtlinie festlegen, um diese Änderungen anzuwenden. Die Seite Organisationsrichtlinien wird angezeigt.

gcloud

Mit einer der folgenden Methoden können Sie bearbeiten, für welche Projekte die Einschränkung compute.sharedReservationsOwnerProjects das Erstellen und Ändern freigegebener Reservierungen zulässt:

  • Verwenden Sie den Befehl gcloud resource-manager org-policies allow, um einem einzelnen Projekt die Berechtigung zum Erstellen und Ändern freigegebener Reservierungen zu erteilen. Sie können diesen Befehl für jedes Projekt wiederholen, dem Sie diese Berechtigung erteilen möchten.

    gcloud resource-manager org-policies allow compute.sharedReservationsOwnerProjects projects/PROJECT_NUMBER \
    --organization=ORGANIZATION_ID

    Ersetzen Sie Folgendes:

  • Wenn Sie die Berechtigungen zum Erstellen und Ändern freigegebener Reservierungen mehreren Projekten erteilen oder entziehen möchten, ersetzen Sie die Einschränkung der Organisationsrichtlinie. Führen Sie dazu folgende Schritte aus:

    1. Laden Sie die Richtlinie für Ihre Organisation als Datei mit dem Namen policy.yaml mithilfe des Befehls gcloud resource-manager org-policies describe herunter:

      gcloud resource-manager org-policies describe compute.sharedReservationsOwnerProjects \
    --organization=ORGANIZATION_ID > policy.yaml

    2. Öffnen Sie die Datei policy.yaml in einem Texteditor Ihrer Wahl.

    3. Ändern Sie das Feld allowedValues, um alle Projekte aufzulisten, die freigegebene Reservierungen erstellen und ändern können.

      • Fügen Sie für jedes Projekt, dem Sie die Berechtigung gewähren möchten, die Projektnummer in einer neuen Zeile im Feld allowedValues hinzu.

      • Entfernen Sie für jedes Projekt, für das Sie die Berechtigung zum Erstellen und Ändern freigegebener Reservierungen widerrufen möchten, die Projektnummer aus dem Feld allowedValues.

      Die policy.yaml-Datei sieht etwa so aus:

      ...
constraint: constraints/compute.sharedReservationsOwnerProjects
listPolicy:
  allowedValues:
  - projects/EXAMPLE_PROJECT_NUMBER1
  - projects/EXAMPLE_PROJECT_NUMBER2
  - projects/EXAMPLE_PROJECT_NUMBER3
  ...
...

    4. Speichern Sie die Datei policy.yaml und schließen Sie den Editor.

    5. Verwenden Sie den Befehl gcloud resource-manager org-policies set-policy, um die Richtlinie für Ihre Organisation zu aktualisieren:

      gcloud resource-manager org-policies set-policy \
    --organization=ORGANIZATION_ID policy.yaml

    6. Optional: So löschen Sie die Datei policy.yaml:

      • Wenn Sie ein Linux- oder macOS-Terminal verwenden, führen Sie den folgenden Befehl aus:

        rm policy.yaml

      • Wenn Sie ein Windows-Terminal verwenden, führen Sie den folgenden Befehl aus:

        del policy.yaml

Es kann bis zu 15 Minuten dauern, bis Änderungen wirksam werden.

Nächste Schritte