Aplicar uma política da organização

Este guia descreve como definir uma política da organização que inclua a restrição de locais de recursos e como testar essa restrição depois que ela for aplicada no Google Cloud console.

Antes de começar

Funções exigidas

Para receber as permissões necessárias para restringir onde os discos do Compute Engine podem ser criados, peça ao administrador para conceder a você os seguintes papéis do IAM:

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias usando personalizados papéis ou outros predefinidos papéis.

Ative as APIs

Ative as APIs Compute Engine e Resource Manager.

Funções necessárias para ativar APIs

Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

Ativar as APIs

Criar um projeto

  1. Verifique se você tem o papel do IAM de criador de projetos (roles/resourcemanager.projectCreator). Saiba como conceder papéis.

  2. No Google Cloud console do, acesse a página Seletor de Projetos.

    Acessar o seletor de projetos

  3. Clique em Criar projeto.

  4. Escolha o nome do projeto. Anote o código do projeto gerado.

  5. Edite os outros campos conforme necessário.

  6. Clique em Criar.

Criar um disco do Compute Engine

Para testar a funcionalidade da restrição de locais de recursos, configure um disco permanente regional do Compute Engine. Ao criar um disco permanente regional, você deve especificar o local onde ele ficará. Para mais informações sobre como criar discos permanentes regionais do Compute Engine, consulte Criar e gerenciar discos regionais.

  1. No Google Cloud console do, acesse a página Discos.

    Acessar "Discos"

  2. Selecione o projeto que você criou.

    1. Se for solicitado que você vincule uma conta de faturamento ao seu projeto, faça isso agora. Para mais informações sobre como ativar o faturamento, consulte Ativar o faturamento de um projeto.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Em Local, escolha Regional.

  6. Em Região, selecione europe-north1 (Finland).

  7. Em Zona, selecione europe-north1-a.

  8. Selecione a Zona de réplica na mesma região.

  9. Clique em Criar.

Quando o disco for criado, uma marca de seleção verde aparecerá ao lado do nome.

Como definir a política da organização

Para definir uma política da organização no projeto que você criou:

  1. No Google Cloud console do, acesse a página Políticas da organização.

    Acessar a página Políticas da organização

  2. Clique em Selecionar.

  3. Selecione o projeto que você criou.

  4. Clique em Google Cloud Platform - Restrição de local de recursos e, em seguida, clique em Gerenciar política.

  5. Em Origem da política, selecione Substituir política principal.

  6. Em Aplicação da política, selecione Substituir.

  7. Clique em Adicionar regra.

  8. Em Valores da política, selecione Personalizado.

  9. Em Tipo de política, selecione Permitir.

  10. Na caixa Valores personalizados, insira in:asia-locations.

  11. Clique em Concluído e em Definir política. Uma notificação é exibida para confirmar a atualização da política.

asia-locations é um grupo de valores que é selecionado pelo Google para incluir todos os locais em uma determinada região geográfica. Nesse caso, cada região da Ásia é definida como um local permitido para todos os recursos criados depois desse ponto. Observe que o disco permanente regional que você criou não é afetado por essa nova política, porque a política não é retroativa.

Como testar a política da organização

Agora que a política da organização está em vigor, não é possível criar recursos em regiões que não foram especificadas como parte da política da organização. Para testar isso, tente criar um disco permanente regional em um local inválido:

  1. No Google Cloud console do, acesse a página Discos.

    Acessar "Discos"

  2. Selecione o projeto que você criou.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Em Local, escolha Regional.

  6. Em Região, selecione europe-north1 (Finland).

  7. Em Zona, selecione europe-north1-a.

  8. Selecione a Zona de réplica na mesma região.

  9. Clique em Criar.

Um ponto de exclamação vermelho é exibido ao lado do nome, e uma notificação de erro é exibida:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Em que RESOURCE_ID é o caminho do recurso completo do projeto e do disco. O disco não foi criado.

Como criar um disco permanente regional em um local válido

A restrição da política da organização bloqueia a criação de recursos, a menos que você especifique um local válido:

  1. No Google Cloud console do, acesse a página Discos.

    Acessar "Discos"

  2. Selecione o projeto que você criou.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Em Local, escolha Regional.

  6. Em Região, selecione asia-east2 (Hong Kong).

  7. Em Zona, selecione asia-east2-a.

  8. Selecione a Zona de réplica na mesma região.

  9. Clique em Criar.

O recurso foi criado porque todas as zonas em asia-east2 estão dentro do grupo de valores asia-locations.

Liberar espaço

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.

Como excluir discos permanentes regionais

Para excluir os discos permanentes regionais criados para este guia de início rápido:

  1. No Google Cloud console do, acesse a página Discos.

    Acessar "Discos"

  2. Na lista exibida, selecione os dois discos que você criou.

  3. Clique em Excluir.

  4. Na caixa de diálogo de confirmação que aparecerá, clique em Excluir.

Uma caixa de diálogo de notificação é exibida para confirmar que os discos foram excluídos.

Excluir o projeto

Para excluir o projeto que você criou para este guia de início rápido:

  1. No Google Cloud console, acesse a página Gerenciar recursos.

    Acessar "Gerenciar recursos"

  2. Na lista de recursos exibida, selecione o projeto que você criou e clique em Excluir.

  3. Na caixa de diálogo Desligar projeto exibida, insira o ID do projeto e clique em Desligar mesmo assim.

A seguir