使用 Resource Manager 強制執行機構政策
本指南說明如何設定包含資源位置限制的機構政策,以及如何在Google Cloud 控制台中套用限制後進行測試。
事前準備
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Resource Manager APIs.
-
Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
前往「IAM」頁面 - 選取機構。
- 按一下「授予存取權」。
-
在「New principals」(新增主體) 欄位中,輸入您的使用者 ID。 這通常是 Google 帳戶的電子郵件地址。
- 在「Select a role」(選取角色) 清單中,選取角色。
- 如要授予其他角色,請按一下 「新增其他角色」,然後新增每個其他角色。
- 按一下 [Save]。
-
建立新專案
如要建立專案資源,請按照下列步驟操作:
如要建立新專案,請執行下列步驟:
-
前往控制台的「Manage resources」(管理資源) 頁面。 Google Cloud
其餘步驟會顯示在 Google Cloud 控制台。
- 在頁面頂端的「Select organization」(選取機構) 下拉式清單中,選取要建立專案的機構資源。如果您是免費試用的使用者,請略過這個步驟,因為系統不會顯示這個清單。
- 按一下「Create Project」(建立專案)。
- 在顯示的「New Project」(新增專案) 視窗中,輸入專案名稱並選取適當的帳單帳戶。專案名稱只能由英文字母、數字、單引號、連字號、空格或驚嘆號組成,而且長度必須介於 4 至 30 個字元之間。
- 在「Location」(位置) 方塊中輸入上層機構或資料夾,該資源將成為新專案的階層父項。如果系統顯示「No organization」(無機構) 這個選項,只要選取該選項即可建立新專案,做為其資源階層的頂層。
- 輸入新專案的詳細資料後,按一下「Create」(建立)。
建立專案後,系統會指派「擁有者」角色給您。 這個角色包含下列快速入門導覽所需的所有權限。 如要進一步瞭解權限,請參閱授予、變更及撤銷資源的存取權。
建立 Compute Engine 磁碟
如要測試資源位置限制的功能,請設定 Compute Engine 地區永久磁碟。建立地區永久磁碟時,您必須指定磁碟所在位置。如要進一步瞭解如何建立 Compute Engine 地區永久磁碟,請參閱「建立及管理地區永久磁碟磁碟區」。
前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。
選取您先前建立的專案。
- 如果系統提示您將帳單帳戶連結至專案,請立即完成這項操作。 如要進一步瞭解如何啟用帳單功能,請參閱「修改專案的帳單設定」。
按一下 [Create Disk] (建立磁碟)。
指定磁碟的「Name」(名稱)。
選取「在地區內複製此磁碟」。
在「Region」(地區) 下方,選取「
europe-north1 (Finland)」。在「可用區」下方,選取
europe-north1-a和europe-north1-b。點選「建立」。
磁碟建立完成後,名稱旁會顯示綠色勾號。
設定機構政策
如要為您建立的專案設定機構政策,請按照下列步驟操作:
前往 Google Cloud 控制台的「Organization policies」(組織政策) 頁面。
按一下 [選取]。
選取您建立的專案。
按一下「Google Cloud Platform - Define Resource Locations」(Google Cloud Platform - 定義資源位置),然後按一下「Edit」(編輯)。
在「Applies to」(套用對象) 下方,選取 [Customize] (自訂)。
在「Policy values」(政策值) 底下,選取 [Custom] (自訂)。
在「政策類型」下方,選取「允許」。
在「Policy value」(政策值) 方塊中輸入
in:asia-locations。按一下 [Save] (儲存)。系統隨即顯示通知,確認政策更新。
asia-locations 是由 Google 整理的值組,包含特定地理區域中的所有位置。在此情況下,亞洲的每個區域都會定義為允許的位置,供之後建立的任何資源使用。請注意,您在上述步驟中建立的區域性永久磁碟不會受到這項新政策影響,因為這項政策不具追溯效力。
測試機構政策
現在機構政策已生效,您無法在未指定為機構政策一部分的區域中建立資源。如要測試這項功能,請嘗試在無效位置建立地區永久磁碟:
前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。
選取您在上述步驟建立的專案。
按一下 [Create Disk] (建立磁碟)。
指定磁碟的「Name」(名稱)。
選取「在地區內複製此磁碟」。
在「Region」(地區) 下方,選取「
europe-north1 (Finland)」。在「可用區」下方,選取
europe-north1-a和europe-north1-b。點選「建立」。
名稱旁邊會顯示紅色驚嘆號,並顯示錯誤通知:
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
其中 RESOURCE_ID 是專案和磁碟的完整資源路徑。系統不會建立磁碟。
在有效位置建立地區永久磁碟
除非您指定有效位置,否則機構政策限制會禁止建立資源:
前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。
選取您先前建立的專案。
按一下 [Create Disk] (建立磁碟)。
指定磁碟的「Name」(名稱)。
選取「在地區內複製此磁碟」。
在「Region」(地區) 下方,選取「
asia-east2 (Hong Kong)」。在「可用區」下方,選取
asia-east2-a和asia-east2-b。點選「建立」。
由於 asia-east2 下的所有可用區都位於 asia-locations 值群組中,因此資源已成功建立。
清除所用資源
如要避免系統向您的 Google Cloud 帳戶收取本頁所用資源的費用,請按照下列步驟操作。
刪除區域永久磁碟
刪除您為本快速入門導覽課程建立的地區永久磁碟:
前往 Google Cloud 控制台的「Disks」(磁碟) 頁面。
在隨即顯示的清單中,選取您建立的兩個磁碟。
按一下「建立磁碟」按鈕右側的「刪除」。
在隨即顯示的確認對話方塊中,按一下「刪除」。
系統會顯示通知對話方塊,確認磁碟已刪除。
刪除專案
刪除您為本快速入門導覽課程建立的專案:
前往 Google Cloud 控制台的「管理資源」頁面。
在頁面頂端的下拉式選單中,選取您建立快速入門專案的機構。
在顯示的專案資源清單中選取您建立的專案,然後按一下「刪除」。
在顯示的「Shut down project」(關閉專案) 對話方塊中輸入專案 ID,然後按一下「Shut down」(關閉)。
後續步驟
- 進一步瞭解如何建立及管理機構政策。
- 查看支援資源位置限制的服務。