Übersicht
In diesem Leitfaden wird beschrieben, wie Sie eine Organisationsrichtlinie mit Einschränkung der Ressourcenstandorte festlegen.
Sie können den physischen Standort einer neuen Ressource mithilfe der Einschränkung der Ressourcenstandorte durch den Organisationsrichtliniendienst beschränken. Mit dem Standortattribut einer Ressource lässt sich angeben, wo die Ressource bereitgestellt und vom Dienst verwaltet wird. Bei Daten enthaltenden Ressourcen verschiedener Google Cloud-Dienste ist an diesem Attribut auch der Standort der Daten zu erkennen. Mit der Einschränkung der Ressourcenstandorte legen Sie gleichzeitig die zulässigen Google Cloud-Standorte fest, an denen die Ressourcen für die unterstützten Dienste in Ihrer Hierarchie erstellt werden können.
Die Einschränkung gilt nach dem Festlegen der Ressourcenstandorte nur für neu erstellte Ressourcen. Ressourcen, die Sie vor dem Festlegen der Einschränkung für Ressourcenstandorte erstellt haben, bleiben bestehen und führen weiter ihre Funktion aus.
Beim Erstellen von Unterressourcen werden Richtlinien mit dieser Einschränkung in Bezug auf bestimmte Dienste wie Cloud Storage und Dataproc nicht erzwungen.
Beschränkungen
Mit der Einschränkung der Ressourcenstandorte durch den Organisationsrichtliniendienst steuern Sie die Erstellung von Ressourcen, für die ein Standort ausgewählt werden kann. Diese Einschränkung hat keine Auswirkungen darauf, wo globale Ressourcen wie globale Compute Engine-Adressen oder Ressourcen erstellt werden, die die Auswahl eines Standorts nicht unterstützen.
Damit die vorhandene Bereitstellungsinfrastruktur intakt bleibt, empfiehlt es sich, sämtliche neuen Richtlinien an Projekten und Ordnern außerhalb der Produktion zu testen und erst danach allmählich innerhalb der Organisation anzuwenden.
Informationen zur Zusicherung eines bestimmten Datenspeichers finden Sie in den Nutzungsbedingungen der Google Cloud Platform sowie den dienstspezifischen Nutzungsbedingungen. Organisationsrichtlinien, die die Einschränkung der Ressourcenstandorte enthalten, sind nicht gleichbedeutend mit der Zusicherung eines bestimmten Datenspeichers.
Die Einschränkung gilt für bestimmte Produkte und Ressourcentypen. Eine Liste der unterstützten Dienste und weitere Informationen zum Verhalten der einzelnen Dienste finden Sie auf der Seite Von Ressourcenstandorten unterstützte Dienste.
Standorttypen
Sie können Google Cloud-Ressourcen für Standorttypen unterschiedlicher Größenkategorien bereitstellen.
Der größte Standorttyp ist multi-region
, mit mehr als einer region
. Jede region
ist weiter unterteilt in zones
. Weitere Informationen zu Regionen und Zonen finden Sie unter Regionen und Zonen.
Standorte vom Typ
Multi-region
werden zusammen mit physischen Ressourcen in mehr als einerregion
und normalerweise nur von speicherbasierten Ressourcen verwendet. Beispiele hierfür sindus
,asia
,europe
undglobal
.Standorte vom Typ
Region
sind geografisch voneinander getrennt. Beispiele hierfür sindus-west1
(Oregon),asia-northeast1
(Tokio) undeurope-west1
(Belgien).Standorte vom Typ
Zone
sind der für die Ressourcenbereitstellung detaillierteste und isolierteste Standorttyp. Einezone
ist eine unabhängige Ausfalldomain in einerregion
. Hier einige Beispiele:us-east1-b
,us-west1-b
undasia-northeast1-a
Beim Einrichten von Standorten sollten Sie das Präfix in:
und eine Wertgruppe verwenden. Mit einer von Google Cloud erstellten Wertgruppe können Sie einen bzw. mehrere geografische Standorte auswählen, ohne aktuelle oder zukünftige Cloud-Standorte angeben zu müssen.
Das Präfix in:
einer Wertgruppe gibt an, dass alle Werte in der Wertgruppe als Teil der Richtlinie angesehen werden. Wenn Sie einen Gruppenwert oder eine Google Cloud-Region ohne Präfix eingeben, wird das Präfix in:
nach den folgenden Regeln automatisch hinzugefügt:
- Wenn Sie einen Standort eingeben, der das Präfix
in:
verwendet und eine ungültige Gruppe enthält, schlägt die Richtlinienänderung fehl. - Wenn Sie einen Standort eingeben, der eine Region ist, z. B.
us-east1
, wird dem Präfixin:
in diesem Beispielin:us-east1-locations
vorangestellt. - Wenn Sie eine Wertgruppe für eine Region oder Mehrfachregion eingeben, z. B.
us-locations
, wird dem Präfixin:
vorangestellt, in diesem Beispielin:us-locations
. - Wenn Sie eine Zone oder Mehrfachregionen wie
us-east1-b
oderus
eingeben, werden die Werte nicht geändert.
Organisationsrichtlinie festlegen
Die Einschränkung der Ressourcenstandorte hat den Typ Listeneinschränkung.
Sie haben die Möglichkeit, Standorte zu den Listen allowed_values
und denied_values
einer Einschränkung der Ressourcenstandorte hinzuzufügen und daraus zu entfernen. Sie können verhindern, dass Organisationsrichtlinien das Verhalten von Diensten unerwartet einschränken, wenn neue verfügbare Standorte hinzukommen. Verwenden Sie hierfür eine Wertgruppe oder eine Liste mit allowed_values
, die die gesamte zu definierende geografische Grenze darstellen.
So legen Sie eine Organisationsrichtlinie mit einer Einschränkung der Ressourcenstandorte fest:
Console
Wechseln Sie in der Google Cloud Console zur Seite Organisationsrichtlinien.
Wählen Sie in der Projektauswahl die Organisation, den Ordner oder das Projekt aus, für das Sie die Organisationsrichtlinie festlegen möchten.
Wählen Sie die Einschränkung Google Cloud Platform – Beschränkung von Ressourcenstandorten aus, um die Seite Richtliniendetails zu öffnen.
Klicken Sie auf Richtlinie verwalten.
Wählen Sie auf der Seite Richtlinie bearbeiten die Option Richtlinie der übergeordneten Ressource überschreiben aus.
Wählen Sie unter Richtlinienerzwingung die Option Ersetzen aus.
Klicken Sie auf Regel hinzufügen.
Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert.
Wählen Sie unter Richtlinientyp die Option Zulassen aus, um eine Liste der zulässigen Standorte zu erstellen, oder Ablehnen, um eine Liste der abgelehnten Standorte zu erstellen.
Geben Sie im Feld Richtlinienwert das Präfix
in
und einen Standortstring für die Wertgruppe ein und drücken Sie die Eingabetaste.Beispiel:
in:us-locations
oderin:us-west1-locations
. Sie können mehrere Standortstrings eingeben, indem Sie auf Neuer Richtlinienwert klicken.Sie können als Standortstrings auch bestimmte Zonen oder eine oder mehrere Regionen eingeben. Eine Liste der verfügbaren Standorte finden Sie auf der Seite Von Ressourcenstandorten unterstützte Dienste.
Klicken Sie auf Richtlinie festlegen, um die Richtlinie zu erzwingen.
gcloud
Wenn Sie eine Organisationsrichtlinie erstellen möchten, die die Einschränkung der Ressourcenstandorte erzwingt, erstellen Sie eine YAML-Richtliniendatei, die auf die Einschränkung verweist:
name: organizations/ORGANIZATION_ID/policies/gcp.resourceLocations
spec:
rules:
- values:
deniedValues:
- in:us-east1-locations
- in:northamerica-northeast1-locations
Führen Sie den folgenden Befehl aus, um die Organisationsrichtlinie mit der Einschränkung zu erzwingen:
gcloud org-policies set-policy POLICY_PATH
Ersetzen Sie Folgendes:
ORGANIZATION_ID
: Ihre Organisations-ID, z. B. 01234567890.POLICY_PATH
: der vollständige Pfad zur YAML-Datei mit der Organisationsrichtlinie.
In einer Antwort werden die Ergebnisse der neuen Organisationsrichtlinie zurückgegeben:
name: organizations/01234567890/policies/gcp.resourceLocations
spec:
rules:
- values:
allowedValues:
- in:us-east1-locations
- in:northamerica-northeast1-locations
Sie können als Standortstrings auch bestimmte Zonen oder eine oder mehrere Regionen eingeben. Eine Liste der verfügbaren Standorte finden Sie auf der Seite Von Ressourcenstandorten unterstützte Dienste.
API
Sie können über die Resource Manager API eine Organisationsrichtlinie für eine Ressource festlegen. Für die Authentifizierung und Autorisierung ist ein OAuth 2.0-Inhabertoken erforderlich.
So legen Sie eine Organisationsrichtlinie mit der Einschränkung der Ressourcenstandorte fest:
curl -X POST -H "Content-Type: application/json" -H "Authorization: \
Bearer ${bearer_token}" -d '{policy: {etag: "BwVtXec438Y=", constraint: \
"constraints/gcp.resourceLocations", list_policy: {denied_values: \
["in:europe-locations", "in:southamerica-locations"] }}}' \
https://cloudresourcemanager.googleapis.com/v1/organizations/123456789:setOrgPolicy
In einer Antwort werden die Ergebnisse der neuen Organisationsrichtlinie zurückgegeben:
name: organizations/01234567890/policies/gcp.resourceLocations
spec:
rules:
- values:
deniedValues:
- in:europe-locations
- in:southamerica-locations
Sie können als Standortstrings auch bestimmte Zonen oder eine oder mehrere Regionen eingeben. Eine Liste der verfügbaren Standorte finden Sie auf der Seite Von Ressourcenstandorten unterstützte Dienste.
Weitere Informationen zur Verwendung von Einschränkungen in Organisationsrichtlinien finden Sie unter Einschränkungen verwenden.
Organisationsrichtlinie übernehmen
Sie können Ihre Organisationsrichtlinie optimieren, sodass diese die Organisationsrichtlinie der übergeordneten Knoten der Ressource übernimmt. Dieses Prinzip der Übernahme ermöglicht Ihnen, die in Ihrer Ressourcenhierarchie verwendeten Organisationsrichtlinien im Detail zu steuern.
Geben Sie in der YAML-Datei der Organisationsrichtlinie inheritFromParent = true
an, um für einen Ressourcenknoten die Übernahme zu aktivieren. Beispiel:
name: organizations/01234567890/policies/gcp.resourceLocations
spec:
inheritFromParent: true
rules:
- values:
deniedValues:
- in:us-west1
Beispiel für Fehlermeldung
Dienste, die die Einschränkung der Ressourcenstandorte unterstützen, können keine neuen Ressourcen an Standorten erstellen, die gegen die Einschränkung verstoßen. Wenn ein Dienst versucht, eine Ressource an einem Standort zu erstellen, der gegen die Einschränkung verstößt, schlägt der Versuch fehl und eine Fehlermeldung wird generiert.
Diese Fehlermeldung hat folgendes Format: LOCATION_IN_REQUEST violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_TESTED.
Im folgenden Beispiel kann eine Compute Engine-Ressource aufgrund der Richtlinienerzwingung keine neue Instanz erstellen:
Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations
on the resource
projects/policy-violation-test/zones/us-east1-b/instances/instance-3.
Logeintrag für Google Cloud Observability und Cloud-Audit-Logs:
{
insertId: "5u759gdngec"
logName: "projects/policy-violation-test/logs/cloudaudit.googleapis.com%2Factivity"
protoPayload: {
@type: "type.googleapis.com/google.cloud.audit.AuditLog"
authenticationInfo: {…}
authorizationInfo: [6]
methodName: "beta.compute.instances.insert"
request: {…}
requestMetadata: {…}
resourceLocation: {…}
resourceName: "projects/policy-violation-test/zones/us-east1-b/instances/instance-3"
response: {
@type: "type.googleapis.com/error"
error: {
code: 412
errors: [
0: {
domain: "global"
location: "If-Match"
locationType: "header"
message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
reason: "conditionNotMet"
}
]
message: "Location ZONE:us-east1-b violates constraint constraints/gcp.resourceLocations on the resource projects/policy-violation-test/zones/us-east1-b/instances/instance-3."
}
}
serviceName: "compute.googleapis.com"
status: {
code: 3
message: "INVALID_ARGUMENT"
}
}
receiveTimestamp: "2019-06-14T03:04:23.660988360Z"
resource: {
labels: {…}
type: "gce_instance"
}
severity: "ERROR"
timestamp: "2019-06-14T03:04:22.783Z"
}
Ergebnisse und Behebung von Sicherheitslücken
Die Einschränkung der Ressourcenstandorte beschränkt die Erstellung von Ressourcen zur Laufzeit. Mit diesem Feature können Sie Verstöße gegen den Standort verhindern, aber vorhandene Verstöße nicht erkennen oder beheben. Sie können Security Health Analytics, einen integrierten Dienst von Security Command Center, verwenden, um Standortverstöße in Ihrer Ressourcenhierarchie zu erkennen. Weitere Informationen finden Sie unter Ergebnisse zu Sicherheitslücken in Organisationsrichtlinien.
Wenn in Security Health Analytics Hinweise auf Standortverstöße vorliegen, finden Sie unter Ergebnisse von Security Health Analytics beheben Informationen zu den Schritten zum Beheben dieser Befunde.
Wertgruppen
Wertgruppen sind von Google ausgewählte Gruppen- oder Standortsammlungen, die das Definieren von Ressourcenstandorten vereinfachen. Wertgruppen umfassen zahlreiche zugehörige Standorte und werden von Google im Lauf der Zeit erweitert, ohne dass eine Anpassung Ihrer Organisationsrichtlinie erforderlich ist.
Wenn Sie in Ihrer Organisationsrichtlinie Wertgruppen verwenden möchten, stellen Sie den Einträgen den String in:
voran. Weitere Informationen zum Verwenden von Wertpräfixen finden Sie in diesem Artikel.
Gruppennamen werden beim Festlegen der Organisationsrichtlinie überprüft. Wenn Sie einen ungültigen Gruppennamen verwenden, schlägt die Richtlinieneinstellung fehl.
In der folgenden Tabelle sind die aktuellen verfügbaren Gruppen aufgeführt:
Gruppe | Details | Direkte Mitglieder |
---|---|---|
Johannesburg | Alle Standorte in Johannesburg:in:africa-south1-locations |
Werte:
|
Asien | Alle Standorte in Asien:in:asia-locations |
Gruppen:
Werte:
|
Hongkong | Alle Standorte in Hongkong:in:asia-east2-locations |
Werte:
|
Indonesien | Alle Standorte in Indonesien:in:id-locations |
Gruppen:
Werte:
|
Jakarta | Alle Standorte in Jakarta:in:asia-southeast2-locations |
Werte:
|
Israel | Alle Standorte in Israel:in:il-locations |
Gruppen:
Werte:
|
Israel | Alle Standorte in Israel:in:me-west1-locations |
Werte:
|
Indien | Alle Standorte in Indien:in:in-locations |
Gruppen:
Werte:
|
Mumbai | Alle Standorte in Mumbai:in:asia-south1-locations |
Werte:
|
Delhi | Alle Standorte in Delhi:in:asia-south2-locations |
Werte:
|
Japan | Alle Standorte in Japan:in:jp-locations |
Gruppen:
Werte:
|
Tokio | Alle Standorte in Tokio:in:asia-northeast1-locations |
Werte:
|
Osaka | Alle Standorte in Osaka:in:asia-northeast2-locations |
Werte:
|
Südkorea | Alle Standorte in Südkorea:in:kr-locations |
Gruppen:
Werte:
|
Seoul | Alle Standorte in Seoul:in:asia-northeast3-locations |
Werte:
|
Doha | Alle Standorte in Doha:in:me-central1-locations |
Werte:
|
Saudi-Arabien | Alle Standorte in Saudi-Arabien:in:sa-locations |
Gruppen:
Werte:
|
Dammam | Alle Standorte in Dammam:in:me-central2-locations |
Werte:
|
Singapur | Alle Standorte in Singapur:in:sg-locations |
Gruppen:
Werte:
|
Singapur | Alle Standorte in Singapur:in:asia-southeast1-locations |
Werte:
|
Taiwan | Alle Standorte in Taiwan:in:tw-locations |
Gruppen:
Werte:
|
Taiwan | Alle Standorte in Taiwan:in:asia-east1-locations |
Werte:
|
Australien | Alle Standorte in Australien:in:australia-locations |
Gruppen:
Werte:
|
Sydney | Alle Standorte in Sydney:in:australia-southeast1-locations |
Werte:
|
Melbourne | Alle Standorte in Melbourne:in:australia-southeast2-locations |
Werte:
|
AWS | Alle AWS-Standorte:in:aws-locations |
Werte:
|
Azure | Alle Azure-Standorte:in:azure-locations |
Werte:
|
Europäische Union | Alle Standorte in der Europäischen Union:in:eu-locations |
Gruppen:
Werte:
|
Deutschland | Alle Standorte in Deutschland:in:de-locations |
Gruppen:
Werte:
|
Berlin | Alle Standorte in Berlin:in:europe-west10-locations |
Werte:
|
Frankfurt | Alle Standorte in Frankfurt:in:europe-west3-locations |
Werte:
|
Warschau | Alle Standorte in Warschau:in:europe-central2-locations |
Werte:
|
Finnland | Alle Standorte in Finnland:in:europe-north1-locations |
Werte:
|
Madrid | Alle Standorte in Madrid:in:europe-southwest1-locations |
Werte:
|
Belgien | Alle Standorte in Belgien:in:europe-west1-locations |
Werte:
|
Niederlande | Alle Standorte in den Niederlanden:in:europe-west4-locations |
Werte:
|
Paris | Alle Standorte in Paris:in:europe-west9-locations |
Werte:
|
Italien | Alle Standorte in Italien:in:it-locations |
Gruppen:
Werte:
|
Turin | Alle Standorte in Turin:in:europe-west12-locations |
Werte:
|
Mailand | Alle Standorte in Mailand:in:europe-west8-locations |
Werte:
|
Europa | Alle Standorte in Europa:in:europe-locations |
Gruppen:
Werte:
|
Schweiz | Alle Standorte in der Schweiz:in:ch-locations |
Gruppen:
Werte:
|
Zürich | Alle Standorte in Zürich:in:europe-west6-locations |
Werte:
|
Vereinigtes Königreich | Alle Standorte im Vereinigten Königreich:in:gb-locations |
Gruppen:
Werte:
|
London | Alle Standorte in London:in:europe-west2-locations |
Werte:
|
Standorte mit niedrigen CO₂-Emissionen | Alle Standorte mit geringem CO₂-Ausstoß:in:low-carbon-locations |
Gruppen:
|
Low Carbon Canada | Alle Standorte in Kanada mit geringem CO₂-Ausstoß:in:canada-low-carbon-locations |
Gruppen:
|
Montreal | Alle Standorte in Montreal:in:northamerica-northeast1-locations |
Werte:
|
Toronto | Alle Standorte in Toronto:in:northamerica-northeast2-locations |
Werte:
|
Eine CO₂-arme Europäische Union | Alle Standorte in der Europäischen Union mit geringem CO2-Ausstoß:in:eu-low-carbon-locations |
Gruppen:
|
CO₂-armes Europa | Alle Standorte in Europa mit geringem CO2-Ausstoß:in:europe-low-carbon-locations |
Gruppen:
|
CO₂-armes Nordamerika | Alle Standorte in Nordamerika mit geringem CO₂-Ausstoß:in:northamerica-low-carbon-locations |
Gruppen:
|
Iowa | Alle Standorte in Iowa:in:us-central1-locations |
Werte:
|
Oregon | Alle Standorte in Oregon:in:us-west1-locations |
Werte:
|
CO₂-arme Mobilität in Südamerika | Alle Standorte in Südamerika mit geringem CO₂-Ausstoß:in:southamerica-low-carbon-locations |
Gruppen:
|
São Paulo | Alle Standorte in São Paulo:in:southamerica-east1-locations |
Werte:
|
CO₂-arme USA | Alle Standorte in den USA mit geringem CO2-Ausstoß:in:us-low-carbon-locations |
Gruppen:
|
Nordamerika | Alle Standorte in Nordamerika:in:northamerica-locations |
Gruppen:
Werte:
|
Kanada | Alle Standorte in Kanada.in:canada-locations |
Gruppen:
Werte:
|
Mexiko | Alle Standorte in Mexiko:in:northamerica-south1-locations |
Werte:
|
USA | Alle Standorte in den USA:in:us-locations |
Gruppen:
Werte:
|
Oklahoma | Alle Standorte in Oklahoma:in:us-central2-locations |
Werte:
|
South Carolina | Alle Zonen in South Carolina:in:us-east1-locations |
Werte:
|
Northern Virginia | Alle Standorte in Northern Virginia:in:us-east4-locations |
Werte:
|
Columbus | Alle Standorte in Columbus:in:us-east5-locations |
Werte:
|
Dallas | Alle Standorte in Dallas:in:us-south1-locations |
Werte:
|
Los Angeles | Alle Standorte in Los Angeles:in:us-west2-locations |
Werte:
|
Salt Lake City | Alle Standorte in Salt Lake City:in:us-west3-locations |
Werte:
|
Las Vegas | Alle Standorte in Las Vegas:in:us-west4-locations |
Werte:
|
Südamerika | Alle Standorte in Südamerika:in:southamerica-locations |
Gruppen:
|
Brasilien | Alle Standorte in Brasilien:in:br-locations |
Gruppen:
Werte:
|
Chile | Alle Standorte in Chile:in:cl-locations |
Gruppen:
Werte:
|
Santiago | Alle Standorte in Santiago:in:southamerica-west1-locations |
Werte:
|
Authentifizierung
Der Organisationsrichtliniendienst verwendet für die API-Authentifizierung und -Autorisierung OAuth 2.0. So rufen Sie ein OAuth 2.0-Inhabertoken ab:
Rufen Sie die Seite OAuth 2.0 Playground auf.
Wählen Sie in Step 1 (Schritt 1) in der Liste mit Bereichen die Cloud Resource Manager API v2 > https://www.googleapis.com/auth/cloud-platform aus. Klicken Sie dann auf Authorize APIs (APIs autorisieren).
Wählen Sie auf der daraufhin angezeigten Seite Sign in with Google (Über Google anmelden) Ihr Konto aus und melden Sie sich an.
Klicken Sie in der Eingabeaufforderung auf Allow (Zulassen), um Zugriff auf Google OAuth 2.0 Playground zu gewähren.
Klicken Sie in Step 2 (Schritt 2) auf Exchange authorization code for tokens (Autorisierungscode gegen Tokens austauschen).
Unten rechts im Bereich Anfrage/Antwort wird Ihr Zugriffstokenstring angezeigt:
{ "access_token": "ACCESS_TOKEN", "token_type": "Bearer", "expires_in": 3600 }
Dabei ist ACCESS_TOKEN der OAuth 2.0-Inhabertokenstring, den Sie für die API-Autorisierung verwenden können.