リソース ロケーションのサポート対象サービス

各サービスで使用されるリソースは、さまざまな形でロケーションによる影響を受けます。リソース ロケーションの制約を組織のポリシーに追加する前に、以下の該当するセクションを参照して、ポリシーを適用するリソースの動作を確認してください。

AI Platform

リソース ロケーションの制約は、次の AI Platform リソースに適用されます。

AI Platform トレーニングと AI Platform Prediction リソースは、リージョン ロケーションのみをサポートしています。マルチリージョン ロケーションとゾーン ロケーションの制約は、AI Platform には影響しません。ただし、リージョンを含む値グループに対する制約には影響します。たとえば、組織ポリシーの値 asia は AI Platform に影響しませんが、値 in:asia-locations は影響します。

AI Platform Training に使用できるリージョンAI Platform Prediction に使用できるリージョンの詳細をご覧ください。

App Engine

App Engine は application リソースのプロパティです。application を作成すると、すべての環境に対してロケーション プロパティが適用されます。プロジェクトごとに 1 つの App Engine application のみを作成できます。Cloud Storage バケットは、application と同じロケーションに自動的に作成されます。組織のポリシーに準拠していない広範囲なロケーションで application を作成する場合は、新しいプロジェクトと App Engine application を作成する必要があります。

application を無効にすると、それ以降機能しなくなりますが、複製されたコードとデータが application の保存場所であるロケーションに残ります。このデータを完全に消去するには、親プロジェクトを削除してください。

Compute Engine の上に App Engine フレキシブル環境が構築されます。スケーリングの発生するいずれかのロケーションが、組織のポリシーで定義された許可ロケーション リストに含まれない場合は、インスタンスの自動スケーリングに失敗することがあります。

使用可能なロケーションのリストについては、App Engine のロケーションをご覧ください。

Compute Engine

Compute Engine はグローバル、リージョン、ゾーンに対応したさまざまなリソースを提供しています。リージョンおよびゾーンのリソースは、リソース ロケーションの制約対象となります。グローバル リソースはリソース ロケーションの制約を受けませんが、一部のグローバル リソースはリージョンリ ソースとゾーン リソースを使用します。これらのリージョン リソースとゾーン リソースは、リソース ロケーションの制約を受けます。

たとえば、インスタンス テンプレートはグローバル リソースですが、インスタンス テンプレートでリージョンまたはゾーンディスクを指定できます。これらのディスクはリソース ロケーションの制約を受けるため、インスタンス テンプレートでは、組織のポリシーで許可されているリージョンとゾーンにディスクを指定する必要があります。

制限事項

すべての Compute Engine リソースは、指定したリソースの場所の制約をサポートしていますが、次の例外があります。

  • スナップショットとイメージ

    • スナップショットまたはイメージを作成するときは、許可された場所にストレージの場所を指定する必要があります。指定しない場合、スナップショットまたはイメージの作成が失敗する可能性があります。
  • マネージド インスタンス グループ

    • 一部のマネージド インスタンス グループ(MIG)操作は、許可されたゾーンでの VM の作成または再作成に依存しています。これらの操作には、スケールアウト(手動または自動スケーリングによる)、自動修復、自動更新、プロアクティブなインスタンスの再配布が含まれます。これらの操作を正常に完了するには、MIG が組織のリソースロケーション制約で許可されているロケーション内にある必要があります。

    • 許可された場所に MIG を作成します。リージョン MIG の場合は、場所が制限されていないゾーンを選択します。

    • 既存のゾーンまたはリージョン MIG があり、後でリソース ロケーション制約を設定した場合に制約に違反すると、MIG 操作は失敗します。許可された場所に MIG を再作成する必要があります。

  • 単一テナントノード

    • 既存のノードグループがあり、後でリソースの場所の制約を設定した場合、グループの場所が制約に違反していると、グループをスケールアウトして(手動または自動スケーリングによって)新しいホストを追加できません。新しいホストを追加するのにグループをスケールアウトできなくなります。
  • HA VPN ゲートウェイ

    • HA VPN ゲートウェイは任意の場所に作成できます。HA VPN ゲートウェイは、リソース ロケーションの制約によって制限されません。

使用可能なロケーションのリストについては、Compute Engine のリージョンとゾーンページをご覧ください。

Google Kubernetes Engine

Google Kubernetes Engine は、Compute Engine のリージョンとゾーンを使用します。リソース ロケーションの適用は、クラスタの VM を作成するときの Compute Engine リソースのレベルで処理されます。インスタンスや別のゾーンを追加して、クラスタをスケーリングする場合には、それらの追加分を可能なロケーションに含める必要もあります。

十分な冗長性を備えたクラスタを作成するには、値グループを使用して、制限対象のロケーションを制御します。手動でロケーションを設定する場合は、そのリージョン内のすべてのゾーンを許可リストに含めることで冗長性のレベルを同じにする必要があります。スケーリングの発生するいずれかのロケーションが、組織ポリシー内で定義された許可ロケーション リストに含まれない場合は、クラスタの自動スケーリングが中断される可能性があります。

Cloud Bigtable

Cloud Bigtable インスタンス リソースは、複数のクラスタからなる論理コンテナです。これらのクラスタのそれぞれは、1 つのゾーン内に配置されます。インスタンス内のすべてのデータが、そのインスタンスに含まれるすべてのクラスタに均一に複製されます。クラスタの作成時には組織ポリシーが適用されます。組織のポリシーによって拒否されたロケーションに新しいストレージ コンテナを作成することはできません。既存のインスタンスとクラスタは、組織のポリシーへのその後の変更によって拒否された場所にある場合でも、引き続き動作します。

新しい組織ポリシーに違反しているリソースを手動で修正するには、リソースを削除し、組織ポリシーが導入されたら再作成します。たとえば、1 つのクラスタが新しい組織ポリシーに違反しているマルチクラスタ インスタンスがある場合、それを削除してから、許可されたゾーンに新しいクラスタを追加できます。

使用可能なロケーションのリストについては、Cloud Bigtable のロケーション ページをご覧ください。

Datastore

Datastore database リソースは、親プロジェクトにある App Engine アプリケーションとその定義された場所に直接依存します。App Engine アプリケーションを無効にすると、関連するデータベースへの API アクセスがブロックされます。複製されたデータを物理的なロケーションから削除するには、App Engine セクションの説明に従ってプロジェクトを削除します。

使用可能なロケーションのリストについては、Datastore ロケーションページをご覧ください。

Cloud Spanner

インスタンスの作成時に組織ポリシーが適用されます。インスタンスは、リージョン リソースまたはマルチリージョン リソースのどちらかです。インスタンスがリソース ロケーションの組織のポリシーによってブロックされる場合、リソースを準拠させる唯一の方法は、インスタンスを削除することです。リソース ロケーションの組織のポリシーによってブロックされるインスタンスでは、データベース リソースの読み取り、書き込み、作成を引き続き行えます。

使用可能なロケーションのリストについては、Cloud Spanner インスタンス ページをご覧ください。

Cloud SQL

インスタンスの作成時に組織ポリシーが適用されます。インスタンスは、リソース ロケーションが適用されないゾーン データベースを作成するリージョン リソースです。リードレプリカまたはデータベース クローンを作成すると、元のリソースと同じリージョンに新しいリソースが配置されるため、リソース ロケーションの組織のポリシーは適用されません。

使用可能なロケーションのリストについては、Cloud SQL インスタンスのロケーション ページをご覧ください。

Cloud Storage

組織のポリシーは、bucket リソースの作成時に適用されます。Bucket リソースは、リージョン リソースまたはマルチリージョン リソースのどちらかです。リソース ロケーションの組織のポリシーによって拒否されたロケーションに object がある場合でも、Object リソースを既存の bucket に追加できます。リソースがリソース ロケーションの組織のポリシーに準拠するようにするには、組織のポリシーの適用後に新しい bucket リソースを作成し、その後、古い bucket リソースから新しいリソースにデータを移行します。

使用可能なロケーションのリストについては、Cloud Storage バケットのロケーション ページをご覧ください。

Persistent Disk

組織のポリシーは、disk リソースの作成時に適用されます。これは、仮想マシンに追加できます。

  • ゾーン disk リソースを作成した後、同じゾーンの仮想マシン インスタンスにそれを追加できます。
  • リージョン disk リソースを作成した後、disk が配置されている 2 つのゾーンのいずれかにある仮想マシン インスタンスにそれを追加できます。

組織のポリシーの準拠は過去に遡って適用されません。既存の disk リソースに新しいリソース ロケーションの組織のポリシーを適用するには、disk リソースを削除してから、親リソースに適用されている組織のポリシーを使用してそれらをもう一度作成します。

使用可能なロケーションのリストについては、Compute Engine のリージョンとゾーンページをご覧ください。

BigQuery

BigQuery dataset リソースは、リージョンとマルチリージョンのどちらにもなります。組織のポリシーの準拠は過去に遡って適用されません。新しいリソース ロケーションの制約を既存の dataset に適用するには、dataset リソースを削除し、親リソースに適用されている組織のポリシーを使用してそれをもう一度作成します。

Database リソースは、リソース ロケーションの組織のポリシーによって拒否されるロケーションを持つ dataset リソース内に作成できます。dataset リソースのロケーションによって、database リソースのロケーションは指定されません。新しいリソース ロケーションの制約を既存の disk に適用するには、disk リソースを削除し、親リソースに適用されている組織のポリシーを使用してそれをもう一度作成します。

使用可能なロケーションのリストについては、BigQuery データセットのロケーション ページをご覧ください。

Dataflow

組織のポリシーは、job の作成時に適用されます。job は、Cloud Storage と Compute Engine の両方を使用するリージョン リソースです。ゾーン パラメータを指定することにより、ジョブのリージョン外のゾーンで実行されるように Compute Engine ワーカーを構成できます。この場合、Dataflow コントロール プレーンは指定されたリージョンで動作しますが、データ処理ワーカーは指定されたゾーンで動作します。ワーカーのゾーンを指定しない場合、ワーカーは、job が実行されるように構成されているリージョン内に作成されます。

job のゾーンを指定しなければ、ワーカーのロケーションは、job を実行するように構成されているリーション内のいずれかのゾーンになります。Dataflow は、ゾーン内で使用可能な容量に基づいてゾーンを選択します。job のリージョン内のすべてのゾーンは、リソース ロケーションの組織のポリシーで許可された値に設定する必要があります。

スケーリングの発生するいずれかのロケーションが、組織のポリシー内で定義された許可ロケーション リストに含まれない場合は、クラスタの自動スケーリングが中断されることがあります。

使用可能なロケーションのリストについては、Dataflow リージョン エンドポイントのページを参照してください。

Dataproc

cluster を作成すると、作成リクエストで指定したリージョンに基づいて組織のポリシーが適用されます。job のロケーションは、submit メソッドの呼び出し時にその親である cluster のロケーションによってバインドされます。

使用可能なロケーションのリストについては、Dataproc リージョン エンドポイントのページを参照してください。

Pub/Sub

リソース ロケーションの組織のポリシーは、topic に発行されるメッセージを永久保存できるロケーションに影響を及ぼします。組織のポリシーは、topic にメッセージを発行すると適用されます。topic は、引き続き、許可されたクライアントが世界中のどこからでもアクセスできるグローバル リソースであることに注意してください。

組織のポリシーの変更は、既存の topics には自動的に適用されません。新しいリソース ロケーションの組織ポリシーが、topic に公開されたメッセージがすでに保存されているロケーションを拒否される場合、それらのメッセージは自動的に移動されません。

詳細については、Pub/Sub の Pub/Sub リソースのロケーションの制限ページをご覧ください。

Cloud Healthcare API

dataset リソースを作成すると、組織ポリシーが適用されます。dataset リソースは、リージョンまたはマルチリージョンのリソースです。FHIR ストアなどのデータストア リソース、または HL7v2 メッセージなどの他の下位レベルのリソースは、dataset リソースが組織のポリシーによって拒否されたロケーションにある場合でも、既存の dataset に追加できます。リソースがリソース ロケーションの制約に準拠していることを確認するには、組織ポリシーの適用後に新しい dataset リソースを作成してから、古い dataset リソースから新しいリソースにデータを移行します。

利用可能なロケーションの一覧については、Cloud Healthcare API リージョンをご覧ください。

Cloud Key Management Service

Cloud KMS リソースは、リージョン、デュアル リージョン、マルチ リージョン、またはグローバルの各ロケーションに作成できます。組織のポリシーは、そのリソースの作成時に適用されます。

詳細については、Cloud KMS のロケーションページをご覧ください。

Microsoft Active Directory のマネージド サービス

管理された Microsoft AD ドメインを作成するか、既存の AD リソースを更新すると、組織ポリシーが適用されます。管理された Microsoft AD では、global の場所を許可する必要があります。global ロケーションが許可されていない場合、ドメインの作成とリソースの更新は失敗します。

詳しくは、global に対するリソース ロケーションの制約の表示と更新方法をご覧ください。