Organisationsrichtlinie mit Resource Manager erzwingen

In diesem Leitfaden wird beschrieben, wie Sie eine Organisationsrichtlinie mit Einschränkung der Ressourcenstandorte festlegen und wie Sie diese Einschränkung testen können, nachdem sie in der Google Cloud -Konsole angewendet wurde.

Hinweise

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Einschränken des Speicherorts benötigen, an dem Compute Engine-Festplatten erstellt werden können:

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

APIs aktivieren

Enable the Compute Engine and Resource Manager APIs.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the APIs

Projekt erstellen

  1. Ensure that you have the Project Creator IAM role (roles/resourcemanager.projectCreator). Learn how to grant roles.

  2. In the Google Cloud console, go to the project selector page.

    Go to project selector

  3. Click Create project.

  4. Name your project. Make a note of your generated project ID.

  5. Edit the other fields as needed.

  6. Click Create.

Compute Engine-Laufwerk erstellen

Sie können die Funktion der Einschränkung für Ressourcenstandorte testen. Richten Sie dafür einen regionalen, nichtflüchtigen Speicher in Compute Engine ein. Zum Erstellen von regionalem nichtflüchtigem Speicher müssen Sie den Speicherort angeben. Weitere Informationen zum Erstellen regionaler nichtflüchtiger Speicher in Compute Engine finden Sie unter Regionale Laufwerke erstellen und verwalten.

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie das von Ihnen erstellte Projekt aus.

    1. Wenn Sie aufgefordert werden, ein Rechnungskonto mit Ihrem Projekt zu verknüpfen, tun Sie dies jetzt. Weitere Informationen zum Aktivieren der Abrechnung finden Sie unter Abrechnung für ein Projekt aktivieren.

  3. Klicken Sie auf Laufwerk erstellen.

  4. Geben Sie einen Namen für Ihr Laufwerk an.

  5. Wählen Sie als Standort die Option Regional aus.

  6. Wählen Sie europe-north1 (Finland) als Region aus.

  7. Wählen Sie europe-north1-a als Zone aus.

  8. Wählen Sie die Replikatzone in derselben Region aus.

  9. Klicken Sie auf Erstellen.

Wenn das Laufwerk erfolgreich erstellt wurde, wird neben dem Namen ein grünes Häkchen angezeigt.

Organisationsrichtlinie festlegen

So legen Sie für das erstellte Projekt eine Organisationsrichtlinie fest:

  1. Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.

    Zu den Organisationsrichtlinien

  2. Klicken Sie auf Auswählen.

  3. Wählen Sie das von Ihnen erstellte Projekt aus.

  4. Klicken Sie auf Google Cloud Platform – Beschränkung von Ressourcenstandorten und dann auf Richtlinie verwalten.

  5. Wählen Sie unter Richtlinienquelle die Option Richtlinie der übergeordneten Ressource überschreiben aus.

  6. Wählen Sie unter Richtlinienerzwingung die Option Ersetzen aus.

  7. Klicken Sie auf Regel hinzufügen.

  8. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.

  9. Wählen Sie unter Richtlinientyp Zulassen aus.

  10. Geben Sie in das Feld Benutzerdefinierte Werte in:asia-locations ein.

  11. Klicken Sie auf Fertig und dann auf Richtlinie festlegen. Es wird eine Benachrichtigung angezeigt, die die Richtlinienaktualisierung bestätigt.

asia-locations ist eine Wertgruppe, die von Google ausgewählt wird, um alle Standorte in einer bestimmten geografischen Region einzubeziehen. In diesem Fall ist jede Region in Asien als zulässiger Standort für Ressourcen definiert, die anschließend an diesen Punkt erstellt werden. Der zuvor erstellte, regionale nichtflüchtige Speicher ist von dieser neuen Richtlinie nicht betroffen, da diese nicht rückwirkend gilt.

Organisationsrichtlinie testen

Die Organisationsrichtlinie ist nun in Kraft und Sie können nur Ressourcen in Regionen erstellen, die in die Organisationsrichtlinie aufgenommen wurden. Zu Testzwecken können Sie versuchen, einen regionalen nichtflüchtigen Speicher an einem ungültigen Speicherort zu erstellen:

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie das von Ihnen erstellte Projekt aus.

  3. Klicken Sie auf Laufwerk erstellen.

  4. Geben Sie einen Namen für Ihr Laufwerk an.

  5. Wählen Sie als Standort die Option Regional aus.

  6. Wählen Sie europe-north1 (Finland) als Region aus.

  7. Wählen Sie europe-north1-a als Zone aus.

  8. Wählen Sie die Replikatzone in derselben Region aus.

  9. Klicken Sie auf Erstellen.

Neben dem Namen wird ein rotes Ausrufezeichen angezeigt und eine Fehlermeldung wird eingeblendet:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Dabei ist RESOURCE_ID der vollständige Ressourcenpfad Ihres Projekts und des Laufwerks. Das Laufwerk wird nicht erstellt.

Regionalen nichtflüchtigen Speicher an einem gültigen Speicherort erstellen

Die Einschränkung der Organisationsrichtlinie verhindert das Erstellen von Ressourcen, sofern Sie keinen gültigen Speicherort angeben:

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie das von Ihnen erstellte Projekt aus.

  3. Klicken Sie auf Laufwerk erstellen.

  4. Geben Sie einen Namen für Ihr Laufwerk an.

  5. Wählen Sie als Standort die Option Regional aus.

  6. Wählen Sie asia-east2 (Hong Kong) als Region aus.

  7. Wählen Sie asia-east2-a als Zone aus.

  8. Wählen Sie die Replikatzone in derselben Region aus.

  9. Klicken Sie auf Erstellen.

Die Ressource wird erstellt, da alle Zonen unter asia-east2 innerhalb der Wertegruppe asia-locations liegen.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud -Konto die auf dieser Seite verwendeten Ressourcen in Rechnung gestellt werden:

Regionalen nichtflüchtigen Speicher löschen

Löschen Sie die regionalen nichtflüchtigen Speicher, die Sie für diese Kurzanleitung erstellt haben:

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie in der angezeigten Liste die beiden von Ihnen erstellten Laufwerke aus.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im nun eingeblendeten Bestätigungsdialog auf Löschen.

Es wird ein Dialogfeld mit der Bestätigung angezeigt, dass die Laufwerke gelöscht wurden.

Projekt löschen

Löschen Sie das Projekt, das Sie für diese Kurzanleitung erstellt haben:

  1. Wechseln Sie in der Google Cloud -Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Wählen Sie in der angezeigten Liste der Ressourcen das von Ihnen erstellte Projekt aus und klicken Sie auf Löschen.

  3. Geben Sie im Dialogfeld Projekt beenden die Projekt-ID ein und klicken Sie auf Trotzdem beenden.

Nächste Schritte