組織のポリシーを適用する

このガイドでは、リソース ロケーションの制約を含む組織のポリシーの設定方法と、そのポリシーの適用後に Google Cloud コンソールで制約をテストする方法について説明します。

始める前に

必要なロール

Compute Engine ディスクの作成場所を制限するために必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

API を有効にする

Compute Engine API と Resource Manager API を有効にします。

API を有効にするために必要なロール

API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。ロールを付与する方法を確認する

API を有効にする

プロジェクトを作成する

  1. プロジェクト作成者 IAM ロール(roles/resourcemanager.projectCreator)があることを確認します。ロールを付与する方法をご確認ください

  2. Google Cloud コンソールで、プロジェクトの選択ページに移動します。

    プロジェクト セレクタに移動

  3. [プロジェクトの作成] をクリックします。

  4. プロジェクトに名前を付けます。生成されたプロジェクト ID をメモしておきます。

  5. 必要に応じて他のフィールドを編集します。

  6. [作成] をクリックします。

Compute Engine ディスクの作成

リソース ロケーションの制約の機能をテストするには、Compute Engine のリージョン永続ディスクを設定します。リージョン永続ディスクを作成する場合は、永続ディスクを配置するロケーションを指定する必要があります。Compute Engine リージョン永続ディスクの作成の詳細については、リージョン ディスクを作成して管理するをご覧ください。

  1. Google Cloud コンソールで、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 作成したプロジェクトを選択します。

    1. 請求先アカウントをプロジェクトにリンクするよう求められたら、すぐにリンクします。課金を有効にする方法については、プロジェクトの課金を有効にするをご覧ください。

  3. [ディスクを作成] をクリックします。

  4. [名前] でディスクの名前を指定します。

  5. [ロケーション] で [リージョン] を選択します。

  6. [リージョン] で europe-north1 (Finland) を選択します。

  7. [ゾーン] で europe-north1-a を選択します。

  8. 同じリージョン内の [レプリカゾーン] を選択します。

  9. [作成] をクリックします。

ディスクが正常に作成されると、名前の横に緑色のチェックマークが表示されます。

組織のポリシーの設定

作成したプロジェクトに組織のポリシーを設定するには:

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. [選択] をクリックします。

  3. 作成したプロジェクトを選択します。

  4. [Google Cloud Platform - リソース ロケーション制限] をクリックし、[ポリシーを管理] をクリックします。

  5. [ポリシーのソース] で、[親のポリシーをオーバーライドする] を選択します。

  6. [ポリシーの適用] で、[置換] を選択します。

  7. [ルールを追加] をクリックします。

  8. [ポリシーの値] で [カスタム] を選択します。

  9. [ポリシーの種類] で [許可] を選択します。

  10. [カスタム値] ボックスに「in:asia-locations」と入力します。

  11. [完了]、[ポリシーを設定] の順にクリックします。ポリシーの更新を確認する通知が表示されます。

asia-locations は、特定の地理的リージョンのすべてのロケーションが含まれるように、Google によってキュレートされた値グループの 1 つです。この例では、アジアのすべてのリージョンが、その後に作成されるすべてのリソースに関して許可されたロケーションとして定義されます。上記のポリシーは遡って適用されないため、作成したリージョン永続ディスクはこのポリシーによる影響を受けません。

組織のポリシーのテスト

組織のポリシーが有効であるため、組織のポリシーの一部として指定されていないリージョンにはリソースを作成できません。これをテストするために、無効なロケーションにリージョン永続ディスクを作成してみます。

  1. Google Cloud コンソールで、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 作成したプロジェクトを選択します。

  3. [ディスクを作成] をクリックします。

  4. [名前] でディスクの名前を指定します。

  5. [ロケーション] で [リージョン] を選択します。

  6. [リージョン] で europe-north1 (Finland) を選択します。

  7. [ゾーン] で europe-north1-a を選択します。

  8. 同じリージョン内の [レプリカゾーン] を選択します。

  9. [作成] をクリックします。

名前の横に赤い感嘆符が表示され、エラーの通知が表示されます。

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

ここで、RESOURCE_ID はプロジェクトとディスクの完全なリソースパスです。ディスクは作成されません。

有効なロケーションでのリージョン永続ディスクの作成

有効なロケーションを指定しない限り、組織のポリシーの制約によりリソースの作成がブロックされます。

  1. Google Cloud コンソールで、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 作成したプロジェクトを選択します。

  3. [ディスクを作成] をクリックします。

  4. [名前] でディスクの名前を指定します。

  5. [ロケーション] で [リージョン] を選択します。

  6. [リージョン] で asia-east2 (Hong Kong) を選択します。

  7. [ゾーン] で asia-east2-a を選択します。

  8. 同じリージョン内の [レプリカゾーン] を選択します。

  9. [作成] をクリックします。

asia-east2 の下にあるすべてのゾーンが asia-locations 値グループ内にあるため、リソースは正常に作成されます。

クリーンアップ

このページで使用したリソースについて、 Google Cloud アカウントに課金されないようにするには、次の手順を実施します。

リージョン永続ディスクの削除

このクイックスタート用に作成したリージョン永続ディスクを削除します。

  1. Google Cloud コンソールで、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 表示されるリストで、作成したディスクを両方とも選択します。

  3. [削除] をクリックします。

  4. 表示される確認ダイアログで、[削除] をクリックします。

ディスクが削除されたことを通知するダイアログが表示されます。

プロジェクトを削除する

このクイックスタート用に作成したプロジェクトを削除します。

  1. Google Cloud コンソールで [リソースの管理] ページに移動します。

    [リソースの管理] に移動

  2. 表示されるリソースのリストで、作成したプロジェクトを選択し、[削除] をクリックします。

  3. 表示される [プロジェクトのシャットダウン] ダイアログで、プロジェクト ID を入力し、[このままシャットダウン] をクリックします。

次のステップ