組織のポリシーを適用する
このガイドでは、リソース ロケーションの制約を含む組織のポリシーの設定方法と、そのポリシーの適用後にコンソールで制約をテストする方法について説明します。Google Cloud
始める前に
必要なロール
Compute Engine ディスクを作成できる場所を制限するために必要な権限を取得するには、管理者に次の IAM ロールを付与するよう依頼してください。
-
組織のポリシーを設定する:
組織のポリシー管理者 (
roles/orgpolicy.policyAdmin) 組織に対する -
Compute Engine ディスクを作成する:
Compute Storage 管理者 (
roles/compute.storageAdmin) プロジェクトに対する
ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。
API を有効にする
Compute Engine API と Resource Manager API を有効にします。
API を有効にするために必要なロール
API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。
プロジェクトを作成
-
プロジェクト作成者 IAM ロール
(
roles/resourcemanager.projectCreator)が付与されていることを確認します。ロールを付与する方法をご覧ください。 -
コンソールで、プロジェクトの選択ページに移動します。 Google Cloud
-
[プロジェクトの作成] をクリックします。
-
プロジェクトに名前を付けます。生成されたプロジェクト ID をメモしておきます。
-
必要に応じて他のフィールドを編集します。
-
[作成] をクリックします。
Compute Engine ディスクの作成
リソース ロケーションの制約の機能をテストするには、Compute Engine のリージョン永続ディスクを設定します。リージョン永続ディスクを作成する場合は、永続ディスクを配置するロケーションを指定する必要があります。Compute Engine リージョン永続ディスクの作成の詳細については、 リージョン ディスクを作成して管理するをご覧ください。
コンソールで、[**ディスク**] ページに移動します。 Google Cloud
作成したプロジェクトを選択します。
- 請求先アカウントをプロジェクトにリンクするよう求められたら、すぐにリンクします。 課金を有効にする方法については、 プロジェクトの課金を有効にするをご覧ください。
[ディスクを作成] をクリックします。
[名前] でディスクの名前を指定します。
[**ロケーション**] で [**リージョン**] を選択します。
[**リージョン**] で
europe-north1 (Finland)を選択します。[ゾーン] で
europe-north1-aを選択します。同じリージョンでレプリカ ゾーン を選択します。
[作成] をクリックします。
ディスクが正常に作成されると、名前の横に緑色のチェックマークが表示されます。
組織のポリシーの設定
作成したプロジェクトに組織のポリシーを設定するには:
コンソールで、[**組織のポリシー**] ページに移動します。 Google Cloud
[選択] をクリックします。
作成したプロジェクトを選択します。
[Google Cloud Platform - リソース ロケーションの制限] をクリックし、 [ポリシーを管理] をクリックします。
[ポリシーのソース] で、[親のポリシーをオーバーライドする] を選択します。
[ポリシーの適用] で、[置換] を選択します。
[ルールを追加] をクリックします。
[ポリシーの値] で [カスタム] を選択します。
[ポリシーの種類] で [許可] を選択します。
[カスタム値] ボックスに「
in:asia-locations」と入力します。[完了]、[ポリシーを設定] の順にクリックします。ポリシーの更新を確認する通知が表示されます。
asia-locations は、特定の地理的リージョンのすべてのロケーションが含まれるように、Google によってキュレートされた
値グループの 1 つです。
この例では、アジアのすべてのリージョンが、その後に作成されるすべてのリソースに関して許可されたロケーションとして定義されます。上記のポリシーは遡って適用されないため、作成したリージョン永続ディスクはこのポリシーによる影響を受けません。
組織のポリシーのテスト
組織のポリシーが有効であるため、組織のポリシーの一部として指定されていないリージョンにはリソースを作成できません。これをテストするために、無効なロケーションにリージョン永続ディスクを作成してみます。
コンソールで、[**ディスク**] ページに移動します。 Google Cloud
作成したプロジェクトを選択します。
[ディスクを作成] をクリックします。
[名前] でディスクの名前を指定します。
[**ロケーション**] で [**リージョン**] を選択します。
[**リージョン**] で
europe-north1 (Finland)を選択します。[ゾーン] で
europe-north1-aを選択します。同じリージョンでレプリカ ゾーン を選択します。
[作成] をクリックします。
名前の横に赤い感嘆符が表示され、エラーの通知が表示されます。
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
ここで、RESOURCE_ID はプロジェクトとディスクのリソースの完全パスです。 ディスクは作成されません。
有効なロケーションでのリージョン永続ディスクの作成
有効なロケーションを指定しない限り、組織のポリシーの制約によりリソースの作成がブロックされます。
コンソールで、[**ディスク**] ページに移動します。 Google Cloud
作成したプロジェクトを選択します。
[ディスクを作成] をクリックします。
[名前] でディスクの名前を指定します。
[**ロケーション**] で [**リージョン**] を選択します。
[リージョン] で
asia-east2 (Hong Kong)を選択します。[ゾーン] で
asia-east2-aを選択します。同じリージョンでレプリカ ゾーン を選択します。
[作成] をクリックします。
asia-east2 の下にあるすべてのゾーンが asia-locations 値グループ内にあるため、リソースは正常に作成されます。
クリーンアップ
このページで使用したリソースについて、 Google Cloud アカウントに課金されないようにするには、 次の手順を実施します。
リージョン永続ディスクの削除
このクイックスタート用に作成したリージョン永続ディスクを削除します。
コンソールで、[**ディスク**] ページに移動します。 Google Cloud
表示されるリストで、作成したディスクを両方とも選択します。
[削除] をクリックします。
表示される確認ダイアログで、[削除] をクリックします。
ディスクが削除されたことを通知するダイアログが表示されます。
プロジェクトの削除
このクイックスタート用に作成したプロジェクトを削除します。
コンソールで [リソースの管理] ページに移動します。 Google Cloud
表示されるリソースのリストで、作成したプロジェクトを選択し、[削除] をクリックします。
[プロジェクトのシャットダウン] ダイアログが表示されたら、プロジェクト ID を入力して、[強制的にシャットダウン] をクリックします。
次のステップ
- 組織のポリシーを適用する方法を確認する。
- リソース ロケーションの制約をサポートするサービスを確認する。