使用 Resource Manager 实施组织政策

本指南介绍如何设置包含资源位置限制条件的组织政策,以及如何在 Google Cloud 控制台中应用该限制条件后对其进行测试。

准备工作

所需的角色

如需获得限制 Compute Engine 磁盘创建位置所需的权限,请让您的管理员为您授予以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

启用 API

Enable the Compute Engine and Resource Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

创建项目

  1. Ensure that you have the Project Creator IAM role (roles/resourcemanager.projectCreator). Learn how to grant roles.

  2. In the Google Cloud console, go to the project selector page.

    Go to project selector

  3. Click Create project.

  4. Name your project. Make a note of your generated project ID.

  5. Edit the other fields as needed.

  6. Click Create.

创建 Compute Engine 磁盘

如需测试资源位置限制条件的功能,请设置 Compute Engine 区域永久性磁盘。创建区域永久性磁盘时,您必须指定该磁盘所在的位置。如需详细了解如何创建 Compute Engine 区域永久性磁盘,请参阅创建和管理区域级磁盘

  1. 在 Google Cloud 控制台中,前往磁盘页面。

    转到“磁盘”

  2. 选择您创建的项目。

    1. 如果系统提示您将项目与结算账号关联起来,请立即执行此操作。 如需详细了解如何启用结算功能,请参阅为项目启用结算功能

  3. 点击创建磁盘

  4. 指定磁盘的名称

  5. 位置部分,选择区域级

  6. 对于区域,请选择 europe-north1 (Finland)

  7. 对于地区,请选择 europe-north1-a

  8. 选择同一区域中的副本可用区

  9. 点击创建

成功创建磁盘后,相应名称旁会显示一个绿色的对勾标记。

设置组织政策

如需为您创建的项目设置组织政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 点击选择

  3. 选择您创建的项目。

  4. 点击 Google Cloud Platform - 资源位置限制,然后点击管理政策

  5. 政策来源下方,选择覆盖父资源的政策

  6. 强制执行政策下,选择替换

  7. 点击添加规则

  8. 政策值下方,选择自定义

  9. 政策类型下,选择允许

  10. 自定义值框中,输入 in:asia-locations

  11. 点击完成,然后点击设置政策。此时系统会显示一条通知,以确认更新政策。

asia-locations 是由 Google 精心挑选的一个值组,用于包含特定地区中的所有位置。在此示例中,亚洲的所有区域都被定义为在此之后创建的任何资源的允许位置。请注意,您创建的区域永久性磁盘不受此新政策的影响,因为该政策的效力不会追溯既往。

测试组织政策

组织政策现已生效,因此您无法在组织政策未指定的区域中创建资源。要对此进行测试,请尝试在一个无效位置创建区域永久性磁盘:

  1. 在 Google Cloud 控制台中,前往磁盘页面。

    转到“磁盘”

  2. 选择您创建的项目。

  3. 点击创建磁盘

  4. 指定磁盘的名称

  5. 位置部分,选择区域级

  6. 对于区域,请选择 europe-north1 (Finland)

  7. 对于地区,请选择 europe-north1-a

  8. 选择同一区域中的副本可用区

  9. 点击创建

此时,系统会在相应名称旁边显示一个红色的英文感叹号,并显示以下错误通知:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

其中,RESOURCE_ID 是项目和磁盘的完整资源路径。 系统未创建该磁盘。

在有效位置创建区域永久性磁盘

除非您指定的位置有效,否则组织政策限制条件会阻止资源的创建:

  1. 在 Google Cloud 控制台中,前往磁盘页面。

    转到“磁盘”

  2. 选择您创建的项目。

  3. 点击创建磁盘

  4. 指定磁盘的名称

  5. 位置部分,选择区域级

  6. 对于区域,请选择 asia-east2 (Hong Kong)

  7. 对于地区,请选择 asia-east2-a

  8. 选择同一区域中的副本可用区

  9. 点击创建

系统便会成功创建资源,因为 asia-east2 下的所有地区均在 asia-locations 值组范围内。

清理

为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用,请按照以下步骤操作。

删除地区永久性磁盘

删除您为本快速入门创建的区域永久性磁盘:

  1. 在 Google Cloud 控制台中,前往磁盘页面。

    转到“磁盘”

  2. 在显示的列表中,选择您创建的两个磁盘。

  3. 点击删除

  4. 在显示的确认对话框中,点击删除

此时系统会显示一个通知对话框,以确认磁盘已被删除。

删除项目

删除您为此快速入门创建的项目:

  1. 在 Google Cloud 控制台中,前往管理资源页面。

    转到“管理资源”

  2. 在显示的资源列表中,选择您创建的项目,然后点击删除

  3. 在出现的关停项目对话框中,输入项目 ID,然后点击仍要关停

后续步骤