使用 Resource Manager 強制執行機構政策

本指南說明如何設定包含資源位置限制的機構政策,以及如何在Google Cloud 控制台中套用限制後進行測試。

事前準備

必要的角色

如要取得限制 Compute Engine 磁碟建立位置所需的權限,請要求管理員授予下列 IAM 角色:

  • 如要設定機構政策,您必須具備機構的機構政策管理員 (roles/orgpolicy.policyAdmin) 角色。
  • 如要建立 Compute Engine 磁碟,請按照下列步驟操作: 在專案中指派 Compute 儲存空間管理員 (roles/compute.storageAdmin) 角色

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

啟用 API

Enable the Compute Engine and Resource Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

建立專案

  1. Ensure that you have the Project Creator IAM role (roles/resourcemanager.projectCreator). Learn how to grant roles.

  2. In the Google Cloud console, go to the project selector page.

    Go to project selector

  3. Click Create project.

  4. Name your project. Make a note of your generated project ID.

  5. Edit the other fields as needed.

  6. Click Create.

建立 Compute Engine 磁碟

如要測試資源位置限制的功能,請設定 Compute Engine 地區永久磁碟。建立地區永久磁碟時,您必須指定磁碟所在位置。如要進一步瞭解如何建立 Compute Engine 地區永久磁碟,請參閱「建立及管理區域磁碟」。

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 選取您建立的專案。

    1. 如果系統提示您將帳單帳戶連結至專案,請立即完成這項操作。如要進一步瞭解如何啟用帳單功能,請參閱「啟用專案的帳單功能」。

  3. 按一下 [Create Disk] (建立磁碟)

  4. 指定磁碟的「Name」(名稱)

  5. 在「位置」中,選擇「地區」

  6. 在「區域」部分,選取「europe-north1 (Finland)」。

  7. 在「可用區」部分,選取「europe-north1-a」。

  8. 在同一區域中選取「副本區域」

  9. 點選「建立」

磁碟建立完成後,名稱旁會顯示綠色勾號。

設定機構政策

如要為您建立的專案設定機構政策,請按照下列步驟操作:

  1. 前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。

    前往「組織政策」

  2. 按一下「選取」

  3. 選取您建立的專案。

  4. 按一下「Google Cloud Platform - 資源位置限制」,然後點選「管理政策」

  5. 在「政策來源」下方,選取「覆寫上層政策」

  6. 在「政策強制執行」下方,選取「取代」

  7. 按一下「Add rule」(新增規則)

  8. 在「Policy values」(政策值) 底下,選取 [Custom] (自訂)。

  9. 在「政策類型」下方,選取「允許」

  10. 在「Custom values」(自訂值) 方塊中輸入 in:asia-locations

  11. 依序按一下「完成」和「設定政策」。系統隨即顯示通知,確認政策更新。

asia-locations 是由 Google 策劃的值組,包含特定地理區域中的所有位置。在此情況下,亞洲的所有區域都會定義為允許的位置,供之後建立的任何資源使用。請注意,您建立的區域性永久磁碟不會受到這項新政策影響,因為這項政策不具追溯效力。

測試機構政策

現在機構政策已生效,您無法在未指定為機構政策一部分的區域中建立資源。如要測試這項功能,請嘗試在無效位置建立地區永久磁碟:

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 選取您建立的專案。

  3. 按一下 [Create Disk] (建立磁碟)

  4. 指定磁碟的「Name」(名稱)

  5. 在「位置」中,選擇「地區」

  6. 在「區域」部分,選取「europe-north1 (Finland)」。

  7. 在「可用區」部分,選取「europe-north1-a」。

  8. 在同一區域中選取「副本區域」

  9. 點選「建立」

名稱旁邊會顯示紅色驚嘆號,並顯示錯誤通知:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

其中 RESOURCE_ID 是專案和磁碟的完整資源路徑。系統不會建立磁碟。

在有效位置建立地區永久磁碟

除非指定有效位置,否則機構政策限制會禁止建立資源:

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 選取您建立的專案。

  3. 按一下 [Create Disk] (建立磁碟)

  4. 指定磁碟的「Name」(名稱)

  5. 在「位置」中,選擇「地區」

  6. 在「區域」部分,選取「asia-east2 (Hong Kong)」。

  7. 在「可用區」部分,選取「asia-east2-a」。

  8. 在同一區域中選取「副本區域」

  9. 點選「建立」

由於 asia-east2 下的所有區域都位於 asia-locations 值群組中,因此資源已成功建立。

清除所用資源

為了避免系統向您的 Google Cloud 帳戶收取本頁面所用資源的費用,請按照下列步驟操作。

刪除區域永久磁碟

刪除您為本快速入門導覽課程建立的地區永久磁碟:

  1. 前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。

    前往「Disks」(磁碟) 頁面

  2. 在隨即顯示的清單中,選取您建立的兩個磁碟。

  3. 按一下「Delete」(刪除)

  4. 在隨即顯示的確認對話方塊中,按一下「刪除」

系統會顯示通知對話方塊,確認磁碟已刪除。

刪除專案

刪除您為本快速入門導覽課程建立的專案:

  1. 前往 Google Cloud 控制台的「Manage resources」(管理資源) 頁面。

    前往「Manage resources」(管理資源)

  2. 在顯示的資源清單中選取您建立的專案,然後按一下「Delete」(刪除)

  3. 在顯示的「Shut down project」(關閉專案) 對話方塊中輸入專案 ID,然後按一下「Shut down anyway」(仍要關閉)

後續步驟