Appliquer une règle d'administration

Ce guide explique comment définir une règle d'administration incluant la contrainte des emplacements des ressources, et comment tester cette contrainte après l'avoir appliquée dans la Google Cloud console.

Avant de commencer

Rôles requis

Pour obtenir les autorisations nécessaires pour limiter les emplacements où les disques Compute Engine peuvent être créés, demandez à votre administrateur de vous accorder les rôles IAM suivants :

Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.

Activer les API

Activez les API Compute Engine et Resource Manager.

Rôles requis pour activer les API

Pour activer les API, vous avez besoin du rôle IAM Administrateur d'utilisation du service (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.

Activer les API

Créer un projet

  1. Assurez-vous de disposer du rôle IAM Créateur de projet (roles/resourcemanager.projectCreator). Découvrez comment attribuer des rôles.

  2. Dans la Google Cloud console, accédez à la page de sélection du projet.

    Accéder au sélecteur de projet

  3. Cliquez sur Create Project (Créer un projet).

  4. Attribuez un nom à votre projet. Notez l'ID de projet que vous avez généré.

  5. Modifiez les autres champs si nécessaire.

  6. Cliquez sur Créer.

Créer un disque Compute Engine

Pour tester la fonctionnalité de la contrainte des emplacements des ressources, configurez un disque persistant régional Compute Engine. Lorsque vous créez un disque persistant régional, vous devez spécifier son emplacement. Pour plus d'informations sur la création de disques persistants régionaux Compute Engine, consultez Créer et gérer des disques régionaux.

  1. Dans la Google Cloud console, accédez à la page Disques.

    Accéder à la page Disques

  2. Sélectionnez le projet que vous avez créé.

    1. Si vous êtes invité à associer un compte de facturation à votre projet, faites-le maintenant. Pour en savoir plus sur l'activation de la facturation, consultez Activer la facturation pour un projet.

  3. Cliquez sur Créer un disque.

  4. Spécifiez le paramètre Nom pour le disque.

  5. Dans le champ Emplacement, sélectionnez Régional.

  6. Pour la Région, sélectionnez europe-north1 (Finland).

  7. Pour la Zone, sélectionnez europe-north1-a.

  8. Sélectionnez la zone de l'instance dupliquée dans la même région.

  9. Cliquez sur Créer.

Une fois le disque créé, une coche verte apparaît à côté du nom.

Définir la règle d'administration

Pour définir une règle d'administration pour le projet que vous avez créé, procédez comme suit :

  1. Dans la Google Cloud console, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur Sélectionner.

  3. Sélectionnez le projet que vous avez créé.

  4. Cliquez sur Google Cloud Platform - Resource Location Restriction (Google Cloud Platform – Restriction d'emplacement des ressources), puis cliquez sur Manage policy (Gérer la règle).

  5. Sous Source de la règle, sélectionnez Remplacer la règle parente.

  6. Sous Application des règles, sélectionnez Remplacer.

  7. Cliquez sur Ajouter une règle.

  8. Sous Valeurs de règles, sélectionnez Personnalisé.

  9. Sous Type de règle, sélectionnez Autoriser.

  10. Dans la zone Valeurs personnalisées, saisissez in:asia-locations.

  11. Cliquez sur Done (Terminé), puis sur Set policy (Définir la règle). Une notification s'affiche pour confirmer la mise à jour de la règle.

asia-locations est un groupe de valeurs sélectionné par Google pour inclure tous les emplacements d'une région géographique spécifique. Dans ce cas, chaque région d'Asie est définie comme un emplacement autorisé pour toutes les ressources créées par la suite. Notez que le disque persistant régional que vous avez créé n'est pas affecté par cette nouvelle règle, car la règle n'est pas rétroactive.

Tester la règle d'administration

Maintenant que la règle d'administration est active, vous ne pouvez pas créer de ressources dans des régions qui n'ont pas été spécifiées par la règle d'administration. Pour tester cela, essayez de créer un disque persistant régional dans un emplacement incorrect :

  1. Dans la Google Cloud console, accédez à la page Disques.

    Accéder à la page Disques

  2. Sélectionnez le projet que vous avez créé.

  3. Cliquez sur Créer un disque.

  4. Spécifiez le paramètre Nom pour le disque.

  5. Dans le champ Emplacement, sélectionnez Régional.

  6. Pour la Région, sélectionnez europe-north1 (Finland).

  7. Pour la Zone, sélectionnez europe-north1-a.

  8. Sélectionnez la zone de l'instance dupliquée dans la même région.

  9. Cliquez sur Créer.

Un point d'exclamation rouge apparaît à côté du nom et une notification d'erreur s'affiche :

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

RESOURCE_ID correspond au chemin d'accès complet de la ressource de votre projet et de votre disque. Le disque n'est pas créé.

Créer un disque persistant régional dans un emplacement correct

La contrainte de règle d'administration bloque la création de ressources, sauf si vous spécifiez un emplacement valide :

  1. Dans la Google Cloud console, accédez à la page Disques.

    Accéder à la page Disques

  2. Sélectionnez le projet que vous avez créé.

  3. Cliquez sur Créer un disque.

  4. Spécifiez le paramètre Nom pour le disque.

  5. Dans le champ Emplacement, sélectionnez Régional.

  6. Pour la Région, sélectionnez asia-east2 (Hong Kong).

  7. Pour la Zone, sélectionnez asia-east2-a.

  8. Sélectionnez la zone de l'instance dupliquée dans la même région.

  9. Cliquez sur Créer.

La ressource est créée, car toutes les zones situées sous asia-east2 font partie du groupe de valeurs asia-locations.

Libérer de l'espace

Pour éviter que les ressources utilisées dans cette démonstration soient facturées sur votre Google Cloud compte pour les ressources utilisées sur cette page, procédez comme suit :

Supprimer les disques persistants régionaux

Supprimez les disques persistants régionaux que vous avez créés pour ce démarrage rapide :

  1. Dans la Google Cloud console, accédez à la page Disques.

    Accéder à la page Disques

  2. Dans la liste qui s'affiche, sélectionnez les deux disques que vous avez créés.

  3. Cliquez sur Supprimer.

  4. Dans la boîte de dialogue de confirmation qui s'ouvre, cliquez sur Supprimer.

Une boîte de dialogue de notification s'affiche pour confirmer la suppression des disques.

Supprimer le projet

Supprimez le projet que vous avez créé pour ce démarrage rapide :

  1. Dans la Google Cloud console, accédez à la page Gérer les ressources.

    Accéder à la page "Gérer les ressources"

  2. Dans la liste des ressources qui s'affiche, sélectionnez le projet que vous avez créé, puis cliquez sur Supprimer.

  3. Dans la boîte de dialogue Arrêter le projet qui s'affiche, saisissez l'ID du projet, puis cliquez sur Arrêter quand même.

Étape suivante