Aplicar políticas de organización con Resource Manager

En esta guía se describe cómo definir una política de organización que incluya la restricción ubicaciones de recursos y cómo probar esa restricción después de aplicarla en la Google Cloud consola.

Antes de empezar

Roles obligatorios

Para obtener los permisos que necesitas para restringir dónde se pueden crear los discos de Compute Engine, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Habilitar las APIs

Enable the Compute Engine and Resource Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Crear proyecto

  1. Ensure that you have the Project Creator IAM role (roles/resourcemanager.projectCreator). Learn how to grant roles.

  2. In the Google Cloud console, go to the project selector page.

    Go to project selector

  3. Click Create project.

  4. Name your project. Make a note of your generated project ID.

  5. Edit the other fields as needed.

  6. Click Create.

Crear un disco de Compute Engine

Para probar la funcionalidad de la restricción de ubicaciones de recursos, configura un disco persistente regional de Compute Engine. Cuando creas un disco persistente regional, debes especificar la ubicación en la que se alojará. Para obtener más información sobre cómo crear discos persistentes regionales de Compute Engine, consulta Crear y gestionar discos regionales.

  1. En la Google Cloud consola, ve a la página Discos.

    Ir a Discos

  2. Selecciona el proyecto que has creado.

    1. Si se te pide que vincules una cuenta de facturación a tu proyecto, hazlo ahora. Para obtener más información sobre cómo habilitar la facturación, consulta el artículo Habilitar la facturación de un proyecto.

  3. Haz clic en Crear disco.

  4. Especifica un nombre para el disco.

  5. En Ubicación, elija Regional.

  6. En Región, seleccione europe-north1 (Finland).

  7. En Zona, selecciona europe-north1-a.

  8. Selecciona la zona de réplica de la misma región.

  9. Haz clic en Crear.

Cuando el disco se haya creado correctamente, aparecerá una marca de verificación verde junto al nombre.

Definir la política de organización

Para definir una política de organización en el proyecto que has creado, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. Haz clic en Seleccionar.

  3. Selecciona el proyecto que has creado.

  4. Haz clic en Google Cloud Platform - Resource Location Restriction (Google Cloud Platform - Restricción de ubicación de recursos) y, a continuación, en Manage policy (Gestionar política).

  5. En Fuente de la política, selecciona Anular política del recurso superior.

  6. En Cumplimiento de las políticas, selecciona Reemplazar.

  7. Haz clic en Añadir regla.

  8. En Valores de la política, selecciona Personalizado.

  9. En Tipo de política, selecciona Permitir.

  10. En el cuadro Valores personalizados, introduce in:asia-locations.

  11. Haz clic en Hecho y, a continuación, en Definir política. Aparecerá una notificación para confirmar la actualización de la política.

asia-locations es un grupo de valores que Google selecciona para incluir todas las ubicaciones de una región geográfica concreta. En este caso, todas las regiones de Asia se definen como ubicaciones permitidas para los recursos creados a partir de este momento. Ten en cuenta que esta nueva política no afecta al disco persistente regional que hayas creado, ya que no es retroactiva.

Probar la política de organización

Ahora que la política de organización está en vigor, no puedes crear recursos en regiones que no se hayan especificado en la política de organización. Para probarlo, intenta crear un disco persistente regional en una ubicación no válida:

  1. En la Google Cloud consola, ve a la página Discos.

    Ir a Discos

  2. Selecciona el proyecto que has creado.

  3. Haz clic en Crear disco.

  4. Especifica un nombre para el disco.

  5. En Ubicación, elija Regional.

  6. En Región, seleccione europe-north1 (Finland).

  7. En Zona, selecciona europe-north1-a.

  8. Selecciona la zona de réplica de la misma región.

  9. Haz clic en Crear.

Aparece un signo de exclamación rojo junto al nombre y se muestra una notificación de error:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Donde RESOURCE_ID es la ruta de recurso completa de tu proyecto y disco. El disco no se ha creado.

Crear un disco persistente regional en una ubicación válida

La restricción de la política de organización impide la creación de recursos a menos que especifiques una ubicación válida:

  1. En la Google Cloud consola, ve a la página Discos.

    Ir a Discos

  2. Selecciona el proyecto que has creado.

  3. Haz clic en Crear disco.

  4. Especifica un nombre para el disco.

  5. En Ubicación, elija Regional.

  6. En Región, seleccione asia-east2 (Hong Kong).

  7. En Zona, selecciona asia-east2-a.

  8. Selecciona la zona de réplica de la misma región.

  9. Haz clic en Crear.

El recurso se crea correctamente porque todas las zonas de asia-east2 están dentro del grupo de valores asia-locations.

Limpieza

Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en esta página, sigue estos pasos.

Eliminar discos persistentes regionales

Elimina los discos persistentes regionales que has creado para esta guía de inicio rápido:

  1. En la Google Cloud consola, ve a la página Discos.

    Ir a Discos

  2. En la lista que aparece, selecciona los dos discos que has creado.

  3. Haz clic en Eliminar.

  4. En el cuadro de diálogo de confirmación que aparece, haz clic en Eliminar.

Aparecerá un cuadro de diálogo de notificación para confirmar que se han eliminado los discos.

Eliminar el proyecto

Elimina el proyecto que has creado para esta guía de inicio rápido:

  1. En la Google Cloud consola, ve a la página Gestionar recursos.

    Ir a Gestionar recursos

  2. En la lista de recursos que aparece, selecciona el proyecto que has creado y, a continuación, haz clic en Eliminar.

  3. En el cuadro de diálogo Cerrar proyecto que aparece, introduce el ID del proyecto y, a continuación, haz clic en Cerrar de todos modos.

Siguientes pasos