Forza l'applicazione di una policy dell'organizzazione

Questa guida descrive come impostare una policy dell'organizzazione che include il vincolo delle località delle risorse e come testare questo vincolo dopo che è stato applicato nella Google Cloud console.

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per limitare la creazione dei dischi Compute Engine, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita le API

Abilita le API Compute Engine e Resource Manager.

Ruoli richiesti per abilitare le API

Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

Abilita le API

Crea un progetto

  1. Assicurati di disporre del ruolo IAM Project Creator (roles/resourcemanager.projectCreator). Scopri come concedere i ruoli.

  2. Nella Google Cloud console, vai alla pagina di selezione del progetto.

    Vai al selettore di progetti

  3. Fai clic su Crea progetto.

  4. Assegna un nome al progetto. Annota l'ID progetto generato.

  5. Modifica gli altri campi in base alle esigenze.

  6. Fai clic su Crea.

Crea un disco Compute Engine

Per testare la funzionalità del vincolo delle località delle risorse, configura un disco permanente a livello di regione di Compute Engine. Quando crei un disco permanente a livello di regione, devi specificare la località in cui risiederà. Per saperne di più sulla creazione di dischi permanenti a livello di regione di Compute Engine, consulta Creare e gestire dischi a livello di regione.

  1. Nella Google Cloud console, vai alla pagina Dischi.

    Vai a Dischi

  2. Seleziona il progetto che hai creato.

    1. Se ti viene chiesto di collegare un account di fatturazione al progetto, fallo ora. Per saperne di più sull'abilitazione della fatturazione, consulta Abilitare la fatturazione per un progetto.

  3. Fai clic su Crea disco.

  4. Specifica un nome per il disco.

  5. Per Località, seleziona A livello di regione.

  6. Per Regione, seleziona europe-north1 (Finland).

  7. Per Zona, seleziona europe-north1-a.

  8. Seleziona la zona di replica nella stessa regione.

  9. Fai clic su Crea.

Quando il disco viene creato correttamente, accanto al nome viene visualizzato un segno di spunta verde.

Imposta la policy dell'organizzazione

Per impostare una policy dell'organizzazione sul progetto che hai creato:

  1. Nella Google Cloud console, vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Fai clic su Seleziona.

  3. Seleziona il progetto che hai creato.

  4. Fai clic su Google Cloud Platform - Restrizione sulla località delle risorse, quindi fai clic su Gestisci policy.

  5. In Origine policy, seleziona Esegui override della policy della risorsa padre.

  6. In Applicazione policy, seleziona Sostituisci.

  7. Fai clic su Aggiungi regola.

  8. In Valori policy, seleziona Personalizzato.

  9. In Tipo di policy, seleziona Consenti.

  10. Nella casella Valori personalizzati, inserisci in:asia-locations.

  11. Fai clic su Fine, quindi su Imposta policy. Viene visualizzata una notifica per confermare l'aggiornamento della policy.

asia-locations è un gruppo di valori che è curato da Google che include ogni località in una determinata regione geografica. In questo caso, ogni regione in Asia è definita come località consentita per tutte le risorse create da questo momento in poi. Tieni presente che il disco permanente a livello di regione che hai creato non è interessato da questa nuova policy, perché la policy non è retroattiva.

Testa la policy dell'organizzazione

Ora che la policy dell'organizzazione è attiva, non puoi creare risorse nelle regioni non specificate come parte della policy dell'organizzazione. Per verificare questa condizione, prova a creare un disco permanente a livello di regione in una località non valida:

  1. Nella Google Cloud console, vai alla pagina Dischi.

    Vai a Dischi

  2. Seleziona il progetto che hai creato.

  3. Fai clic su Crea disco.

  4. Specifica un Nome per il disco.

  5. Per Località, seleziona A livello di regione.

  6. Per Regione, seleziona europe-north1 (Finland).

  7. Per Zona, seleziona europe-north1-a.

  8. Seleziona la zona di replica nella stessa regione.

  9. Fai clic su Crea.

Accanto al nome viene visualizzato un punto esclamativo rosso e viene visualizzata una notifica di errore:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Dove RESOURCE_ID è il percorso completo della risorsa del progetto e del disco. Il disco non viene creato.

Crea un disco permanente a livello di regione in una località valida

Il vincolo della policy dell'organizzazione blocca la creazione di risorse a meno che non specifichi una località valida:

  1. Nella Google Cloud console, vai alla pagina Dischi.

    Vai a Dischi

  2. Seleziona il progetto che hai creato.

  3. Fai clic su Crea disco.

  4. Specifica un Nome per il disco.

  5. Per Località, seleziona A livello di regione.

  6. Per Regione, seleziona asia-east2 (Hong Kong).

  7. Per la Zona, seleziona asia-east2-a.

  8. Seleziona la zona di replica nella stessa regione.

  9. Fai clic su Crea.

La risorsa viene creata correttamente perché tutte le zone in asia-east2 si trovano all'interno del gruppo di valori asia-locations.

Libera spazio

Per evitare che al tuo Google Cloud account vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

Elimina i dischi permanenti a livello di regione

Elimina i dischi permanenti a livello di regione che hai creato per questa guida rapida:

  1. Nella Google Cloud console, vai alla pagina Dischi.

    Vai a Dischi

  2. Nell'elenco visualizzato, seleziona entrambi i dischi che hai creato.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo di conferma visualizzata, fai clic su Elimina.

Viene visualizzata una finestra di dialogo di notifica per confermare l'eliminazione dei dischi.

Elimina il progetto

Elimina il progetto che hai creato per questa guida rapida:

  1. Nella Google Cloud console, vai alla pagina Gestisci risorse.

    Vai a Gestisci risorse

  2. Nell'elenco delle risorse visualizzato, seleziona il progetto che hai creato, quindi fai clic su Elimina.

  3. Nella finestra di dialogo Chiudi progetto visualizzata, inserisci l'ID progetto, quindi fai clic su Chiudi comunque.

Passaggi successivi