Applica la policy dell'organizzazione utilizzando Resource Manager

Questa guida descrive come impostare una policy dell'organizzazione che includa il vincolo delle località delle risorse e come testare questo vincolo dopo che è stato applicato nella consoleGoogle Cloud .

Prima di iniziare

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per limitare la posizione in cui è possibile creare dischi Compute Engine, chiedi all'amministratore di concederti i seguenti ruoli IAM:

Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Abilita le API

Enable the Compute Engine and Resource Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Crea un progetto

  1. Ensure that you have the Project Creator IAM role (roles/resourcemanager.projectCreator). Learn how to grant roles.

  2. In the Google Cloud console, go to the project selector page.

    Go to project selector

  3. Click Create project.

  4. Name your project. Make a note of your generated project ID.

  5. Edit the other fields as needed.

  6. Click Create.

Crea un disco Compute Engine

Per testare la funzionalità del vincolo delle località delle risorse, configura un disco permanente regionale di Compute Engine. Quando crei un disco permanente a livello di regione, devi specificare la posizione in cui si troverà. Per saperne di più sulla creazione di dischi permanenti regionali di Compute Engine, consulta Crea e gestisci i dischi regionali.

  1. Nella console Google Cloud , vai alla pagina Dischi.

    Vai a Dischi

  2. Seleziona il progetto che hai creato.

    1. Se ti viene chiesto di collegare un account di fatturazione al progetto, fallo ora. Per saperne di più sull'attivazione della fatturazione, consulta la pagina Attivare la fatturazione per un progetto.

  3. Fai clic su Crea disco.

  4. Specifica un nome per il disco.

  5. Per Posizione, seleziona A livello di regione.

  6. Per Regione, seleziona europe-north1 (Finland).

  7. In Zona, seleziona europe-north1-a.

  8. Seleziona la zona di replica nella stessa regione.

  9. Fai clic su Crea.

Quando il disco viene creato correttamente, accanto al nome viene visualizzato un segno di spunta verde.

Impostare il criterio dell'organizzazione

Per impostare una policy dell'organizzazione sul progetto che hai creato:

  1. Nella console Google Cloud , vai alla pagina Policy dell'organizzazione.

    Vai a Policy dell'organizzazione

  2. Fai clic su Seleziona.

  3. Seleziona il progetto che hai creato.

  4. Fai clic su Google Cloud - Restrizione sulla località delle risorse e poi su Gestisci policy.

  5. In Origine policy, seleziona Esegui override della policy dell'unità organizzativa principale.

  6. In Applicazione policy, seleziona Sostituisci.

  7. Fai clic su Aggiungi regola.

  8. In Valori policy, seleziona Personalizzato.

  9. In Tipo di policy, seleziona Consenti.

  10. Nella casella Valori personalizzati, inserisci in:asia-locations.

  11. Fai clic su Fine, quindi su Imposta policy. Viene visualizzata una notifica che conferma l'aggiornamento della policy.

asia-locations è un gruppo di valori curato da Google per includere ogni località in una determinata regione geografica. In questo caso, ogni regione in Asia è definita come posizione consentita per qualsiasi risorsa creata dopo questo punto. Tieni presente che il disco permanente regionale che hai creato non è interessato da questa nuova norma, perché non è retroattiva.

Test della policy dell'organizzazione

Ora che la policy dell'organizzazione è in vigore, non puoi creare risorse nelle regioni che non sono state specificate come parte della policy dell'organizzazione. Per testare questa funzionalità, prova a creare un disco permanente regionale in una località non valida:

  1. Nella console Google Cloud , vai alla pagina Dischi.

    Vai a Dischi

  2. Seleziona il progetto che hai creato.

  3. Fai clic su Crea disco.

  4. Specifica un nome per il disco.

  5. Per Posizione, seleziona A livello di regione.

  6. Per Regione, seleziona europe-north1 (Finland).

  7. In Zona, seleziona europe-north1-a.

  8. Seleziona la zona di replica nella stessa regione.

  9. Fai clic su Crea.

Accanto al nome viene visualizzato un punto esclamativo rosso e viene visualizzata una notifica di errore:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

dove RESOURCE_ID è il percorso della risorsa completo del progetto e del disco. Il disco non viene creato.

Crea un disco permanente a livello di regione in una località valida

Il vincolo della policy dell'organizzazione blocca la creazione di risorse a meno che tu non specifichi una località valida:

  1. Nella console Google Cloud , vai alla pagina Dischi.

    Vai a Dischi

  2. Seleziona il progetto che hai creato.

  3. Fai clic su Crea disco.

  4. Specifica un nome per il disco.

  5. Per Posizione, seleziona A livello di regione.

  6. Per Regione, seleziona asia-east2 (Hong Kong).

  7. In Zona, seleziona asia-east2-a.

  8. Seleziona la zona di replica nella stessa regione.

  9. Fai clic su Crea.

La risorsa viene creata correttamente perché tutte le zone in asia-east2 si trovano all'interno del gruppo di valori asia-locations.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.

Elimina dischi permanenti regionali

Elimina i dischi permanenti a livello di regione che hai creato per questa guida rapida:

  1. Nella console Google Cloud , vai alla pagina Dischi.

    Vai a Dischi

  2. Nell'elenco visualizzato, seleziona entrambi i dischi che hai creato.

  3. Fai clic su Elimina.

  4. Nella finestra di dialogo di conferma visualizzata, fai clic su Elimina.

Viene visualizzata una finestra di dialogo di notifica per confermare l'eliminazione dei dischi.

Elimina il progetto

Elimina il progetto che hai creato per questa guida rapida:

  1. Nella console Google Cloud , vai alla pagina Gestisci risorse.

    Vai a Gestisci risorse

  2. Nell'elenco delle risorse visualizzato, seleziona il progetto che hai creato, quindi fai clic su Elimina.

  3. Nella finestra di dialogo Chiudi progetto visualizzata, inserisci l'ID progetto, quindi fai clic su Chiudi comunque.

Passaggi successivi