Aplicar a política da organização usando o Resource Manager
Este guia descreve como definir uma política da organização que inclua a restrição locais de recursos e como testar essa restrição depois que ela for aplicada no console doGoogle Cloud .
Antes de começar
Funções exigidas
Para receber as permissões necessárias para restringir onde os discos do Compute Engine podem ser criados, peça ao administrador para conceder a você os seguintes papéis do IAM:
-
Para definir uma política da organização:
Administrador de políticas da organização (
roles/orgpolicy.policyAdmin) na sua organização -
Para criar um disco do Compute Engine:
Administrador de armazenamento do Compute (
roles/compute.storageAdmin) no seu projeto
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Ative as APIs
Enable the Compute Engine and Resource Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM
role (roles/serviceusage.serviceUsageAdmin), which
contains the serviceusage.services.enable permission. Learn how to grant
roles.
Criar um projeto
-
Ensure that you have the Project Creator IAM role
(
roles/resourcemanager.projectCreator). Learn how to grant roles. -
In the Google Cloud console, go to the project selector page.
-
Click Create project.
-
Name your project. Make a note of your generated project ID.
-
Edit the other fields as needed.
-
Click Create.
Criar um disco do Compute Engine
Para testar a funcionalidade da restrição de locais de recursos, configure um disco permanente regional do Compute Engine. Ao criar um disco permanente regional, você deve especificar o local onde ele ficará. Para mais informações sobre como criar discos permanentes regionais do Compute Engine, consulte Criar e gerenciar discos regionais.
No console do Google Cloud , acesse a página Discos.
Selecione o projeto que você criou.
- Se for solicitado que você vincule uma conta de faturamento ao seu projeto, faça isso agora. Para mais informações sobre como ativar o faturamento, consulte Ativar o faturamento para um projeto.
Clique em Criar disco.
Especifique um Nome para o disco.
Em Local, escolha Regional.
Em Região, selecione
europe-north1 (Finland).Em Zona, selecione
europe-north1-a.Selecione a Zona de réplica na mesma região.
Clique em Criar.
Quando o disco for criado, uma marca de seleção verde aparecerá ao lado do nome.
Como definir a política da organização
Para definir uma política da organização no projeto que você criou:
No console do Google Cloud , acesse a página Políticas da organização.
Clique em Selecionar.
Selecione o projeto que você criou.
Clique em Google Cloud Platform - Restrição de local de recursos e em Gerenciar política.
Em Origem da política, selecione Substituir política principal.
Em Aplicação da política, selecione Substituir.
Clique em Adicionar regra.
Em Valores da política, selecione Personalizado.
Em Tipo de política, selecione Permitir.
Na caixa Valores personalizados, insira
in:asia-locations.Clique em Concluído e em Definir política. Uma notificação é exibida para confirmar a atualização da política.
asia-locations é um grupo de valores selecionado pelo Google para incluir todos os locais em uma determinada região geográfica.
Nesse caso, cada região da Ásia é definida como um local permitido para todos os recursos criados depois desse ponto. Observe que o disco permanente regional que você criou não é afetado por essa nova política, porque ela não é retroativa.
Como testar a política da organização
Agora que a política da organização está em vigor, não é possível criar recursos em regiões que não foram especificadas como parte da política da organização. Para testar isso, tente criar um disco permanente regional em um local inválido:
No console do Google Cloud , acesse a página Discos.
Selecione o projeto que você criou.
Clique em Criar disco.
Especifique um Nome para o disco.
Em Local, escolha Regional.
Em Região, selecione
europe-north1 (Finland).Em Zona, selecione
europe-north1-a.Selecione a Zona de réplica na mesma região.
Clique em Criar.
Um ponto de exclamação vermelho é exibido ao lado do nome, e uma notificação de erro é exibida:
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
Em que RESOURCE_ID é o caminho completo do recurso do projeto e do disco. O disco não foi criado.
Como criar um disco permanente regional em um local válido
A restrição da política da organização bloqueia a criação de recursos, a menos que você especifique um local válido:
No console do Google Cloud , acesse a página Discos.
Selecione o projeto que você criou.
Clique em Criar disco.
Especifique um Nome para o disco.
Em Local, escolha Regional.
Em Região, selecione
asia-east2 (Hong Kong).Em Zona, selecione
asia-east2-a.Selecione a Zona de réplica na mesma região.
Clique em Criar.
O recurso foi criado porque todas as zonas em asia-east2 estão dentro do grupo de valores asia-locations.
Limpar
Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga as etapas abaixo.
Como excluir discos permanentes regionais
Para excluir os discos permanentes regionais criados para este guia de início rápido:
No console do Google Cloud , acesse a página Discos.
Na lista exibida, selecione os dois discos que você criou.
Clique em Excluir.
Na caixa de diálogo de confirmação que aparecerá, clique em Excluir.
Uma caixa de diálogo de notificação é exibida para confirmar que os discos foram excluídos.
Excluir o projeto
Exclua o projeto que você criou para este guia de início rápido:
No console Google Cloud , acesse a página Gerenciar recursos.
Na lista de recursos exibida, selecione o projeto que você criou e clique em Excluir.
Na caixa de diálogo Encerrar projeto que aparece, insira o ID do projeto e clique em Encerrar mesmo assim.
A seguir
- Saiba mais sobre como criar e gerenciar políticas da organização.
- Revise os serviços que suportam a restrição de locais de recursos.