强制执行组织政策

创建项目

1. 确保您拥有 Project Creator IAM 角色 (roles/resourcemanager.projectCreator)。了解如何授予 角色。

2. 在 Google Cloud 控制台中，前往项目选择器页面。

   转到“项目选择器”

3. 点击 Create project 。

4. 为您的项目命名。记下生成的项目 ID。

5. 根据需要修改其他字段。

6. 点击创建 。

创建 Compute Engine 磁盘

如需测试资源位置限制条件的功能，请设置 Compute Engine 区域永久性磁盘。创建区域永久性磁盘时，您必须指定该磁盘所在的位置。如需详细了解如何创建 Compute Engine 区域永久性磁盘，请参阅 创建和管理区域级磁盘。

1. 在 Google Cloud 控制台中，前往磁盘页面。

   转到“磁盘”

2. 选择您创建的项目。

   1. 如果系统提示您将项目与结算账号关联起来，请立即执行此操作。 如需详细了解如何启用结算功能，请参阅 为项目启用结算功能。

3. 点击创建磁盘 。

4. 指定磁盘的名称。

5. 在位置 部分，选择区域级 。

6. 对于区域，请选择europe-north1 (Finland)。

7. 对于地区 ，请选择 europe-north1-a。

8. 选择同一区域中的副本可用区 。

9. 点击创建 。

成功创建磁盘后，相应名称旁会显示一个绿色的对勾标记。

设置组织政策

如需为您创建的项目设置组织政策，请执行以下操作：

1. 在 Google Cloud 控制台中，前往 组织政策 页面。

   转到组织政策

2. 点击选择 。

3. 选择您创建的项目。

4. 点击 Google Cloud Platform - 资源位置限制 ，然后 点击 管理政策 。

5. 在政策来源 下方，选择覆盖父资源的政策 。

6. 在强制执行政策 下方，选择替换 。

7. 点击添加规则。

8. 在政策值下方，选择自定义。

9. 在政策类型 下方，选择允许 。

10. 在自定义值 框中，输入 in:asia-locations。

11. 点击完成 ，然后点击设置政策 。系统会显示一条通知，确认政策已更新。

asia-locations 是由 Google 精心挑选的一个 值组，用于包含特定地区中的所有位置。在此示例中，亚洲的所有区域都被定义为在此之后创建的任何资源的允许位置。请注意，您创建的区域永久性磁盘不受此新政策的影响，因为该政策的效力不会追溯既往。

测试组织政策

组织政策现已生效，因此您无法在组织政策未指定的区域中创建资源。要对此进行测试，请尝试在一个无效位置创建区域永久性磁盘：

1. 在 Google Cloud 控制台中，前往磁盘页面。

   转到“磁盘”

2. 选择您创建的项目。

3. 点击创建磁盘 。

4. 指定磁盘的名称 。

5. 在位置 部分，选择区域级 。

6. 对于区域，请选择europe-north1 (Finland)。

7. 对于地区 ，请选择 europe-north1-a。

8. 选择同一区域中的副本可用区 。

9. 点击创建 。

此时，系统会在相应名称旁边显示一个红色的英文感叹号，并显示以下错误通知：

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

其中，RESOURCE_ID 是项目和磁盘的完整资源路径。 系统未创建该磁盘。

在有效位置创建区域永久性磁盘

除非您指定的位置有效，否则组织政策限制条件会阻止资源的创建：

1. 在 Google Cloud 控制台中，前往磁盘页面。

   转到“磁盘”

2. 选择您创建的项目。

3. 点击创建磁盘 。

4. 指定磁盘的名称 。

5. 在位置 部分，选择区域级 。

6. 对于区域，请选择asia-east2 (Hong Kong)。

7. 对于地区，请选择asia-east2-a。

8. 选择同一区域中的副本可用区 。

9. 点击创建 。

系统便会成功创建资源，因为 asia-east2 下的所有地区均在 asia-locations 值组范围内。