強制執行組織政策

本指南說明如何設定包含資源位置限制的組織政策,以及如何在Google Cloud 控制台中套用限制後進行測試。

事前準備

必要的角色

如要取得限制 Compute Engine 磁碟建立位置所需的權限,請要求系統管理員授予您下列 IAM 角色:

  • 如要設定機構政策,您必須具備機構的機構政策管理員 (roles/orgpolicy.policyAdmin) 角色。
  • 如要建立 Compute Engine 磁碟,請按照下列步驟操作: 在專案中指派 Compute 儲存空間管理員 (roles/compute.storageAdmin) 角色

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

啟用 API

啟用 Compute Engine 和 Resource Manager API。

啟用 API 時所需的角色

如要啟用 API,您需要服務使用情形管理員 IAM 角色 (roles/serviceusage.serviceUsageAdmin),其中包含 serviceusage.services.enable 權限。瞭解如何授予角色

啟用 API

建立專案

  1. 確認您具備專案建立者身分與存取權管理角色 (roles/resourcemanager.projectCreator)。瞭解如何授予角色

  2. 前往 Google Cloud 控制台的專案選擇器頁面。

    前往專案選取器

  3. 按一下 [Create Project]

  4. 為專案命名,並記下系統產生的專案 ID。

  5. 視需要編輯其他欄位。

  6. 點選「建立」

建立 Compute Engine 磁碟

如要測試資源位置限制的功能,請設定 Compute Engine 地區永久磁碟。建立地區永久磁碟時,您必須指定磁碟所在位置。如要進一步瞭解如何建立 Compute Engine 地區永久磁碟,請參閱「建立及管理區域磁碟」。

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 選取您建立的專案。

    1. 如果系統提示您將帳單帳戶連結至專案,請立即完成這項操作。如要進一步瞭解如何啟用帳單功能,請參閱「啟用專案的帳單功能」。

  3. 按一下 [Create Disk] (建立磁碟)

  4. 指定磁碟的「Name」(名稱)

  5. 在「位置」部分,選擇「地區」

  6. 在「區域」部分,選取「europe-north1 (Finland)」。

  7. 在「可用區」部分,選取「europe-north1-a」。

  8. 在相同區域中選取「副本可用區」

  9. 點選「建立」

磁碟建立完成後,名稱旁會顯示綠色勾號。

設定機構政策

如要為您建立的專案設定機構政策,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。

    前往「Organization policies」(組織政策)

  2. 按一下「選取」

  3. 選取您建立的專案。

  4. 按一下「Google Cloud Platform - 資源位置限制」,然後點選「管理政策」

  5. 在「政策來源」下方,選取「覆寫上層政策」

  6. 在「Policy enforcement」(政策強制執行) 下方,選取「Replace」(取代)

  7. 按一下「Add rule」(新增規則)

  8. 在「Policy values」(政策值) 底下,選取「Custom」(自訂)。

  9. 在「Perimeter type」(Perimeter 類型),選取「Allow」(允許)

  10. 在「Custom values」(自訂值) 方塊中輸入 in:asia-locations

  11. 依序點選「完成」和「設定政策」。系統隨即顯示通知,確認政策更新。

asia-locations 是由 Google 整理的值群組,包含特定地理區域中的所有位置。在此情況下,亞洲的所有區域都會定義為允許的位置,供之後建立的任何資源使用。請注意,您建立的區域性永久磁碟不會受到這項新政策影響,因為這項政策不具追溯效力。

測試機構政策

現在機構政策已生效,您無法在未指定為機構政策一部分的區域中建立資源。如要測試這項功能,請嘗試在無效位置建立地區永久磁碟:

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 選取您建立的專案。

  3. 按一下 [Create Disk] (建立磁碟)

  4. 指定磁碟的「Name」(名稱)

  5. 在「位置」部分,選擇「地區」

  6. 在「區域」部分,選取「europe-north1 (Finland)」。

  7. 在「可用區」部分,選取「europe-north1-a」。

  8. 在相同區域中選取「副本可用區」

  9. 點選「建立」

名稱旁邊會顯示紅色驚嘆號,並顯示錯誤通知:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

其中 RESOURCE_ID 是專案和磁碟的完整資源路徑。系統不會建立磁碟。

在有效位置建立地區永久磁碟

除非指定有效位置,否則機構政策限制會禁止建立資源:

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 選取您建立的專案。

  3. 按一下 [Create Disk] (建立磁碟)

  4. 指定磁碟的「Name」(名稱)

  5. 在「位置」部分,選擇「地區」

  6. 在「區域」部分,選取「asia-east2 (Hong Kong)」。

  7. 在「可用區」部分,選取「asia-east2-a」。

  8. 在相同區域中選取「副本可用區」

  9. 點選「建立」

由於 asia-east2 下的所有區域都位於 asia-locations 值群組中,因此資源已成功建立。

清除所用資源

為了避免系統向您的 Google Cloud 帳戶收取本頁面所用資源的費用,請按照下列步驟操作。

刪除區域永久磁碟

刪除您為本快速入門導覽課程建立的地區永久磁碟:

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 在隨即顯示的清單中,選取您建立的兩個磁碟。

  3. 點選「刪除」。

  4. 在隨即顯示的確認對話方塊中,按一下「刪除」

系統會顯示通知對話方塊,確認磁碟已刪除。

刪除專案

刪除您為本快速入門導覽課程建立的專案:

  1. 前往 Google Cloud 控制台的「Manage resources」(管理資源) 頁面。

    前往「Manage resources」(管理資源)

  2. 在顯示的資源清單中選取您建立的專案,然後按一下「Delete」(刪除)

  3. 在顯示的「Shut down project」(關閉專案) 對話方塊中輸入專案 ID,然後按一下「Shut down anyway」(仍要關閉)

後續步驟