Aplica la política de la organización mediante Resource Manager
En esta guía, se describe cómo establecer una política de la organización que incluye la restricción de ubicaciones de recursos y cómo probar esa restricción después de aplicarla en la consola de Google Cloud.
Antes de comenzar
-
Asegúrate de que la facturación esté habilitada para tu proyecto de Google Cloud.
-
Habilita las API de Compute Engine and Resource Manager.
-
Asegúrate de tener los siguientes roles en la organización: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Verifica los roles
-
En la consola de Google Cloud, ve a la página IAM.
Ir a IAM - Selecciona la organización.
-
En la columna Principal, busca la fila que tiene tu dirección de correo electrónico.
Si tu dirección de correo electrónico no está en esa columna, no tienes ningún rol.
- En la columna Función de la fila con la dirección de correo electrónico, verifica si la lista de roles incluye los roles necesarios.
Otorga los roles
-
En la consola de Google Cloud, ve a la página IAM.
Ir a IAM - Selecciona la organización.
- Haz clic en Grant access.
- En el campo Principales nuevas, ingresa tu dirección de correo electrónico.
- En la lista Seleccionar un rol, elige un rol.
- Para otorgar funciones adicionales, haz clic en Agregar otro rol y agrega cada rol adicional.
- Haz clic en Guardar.
-
Crea un proyecto nuevo
Para crear un recurso de proyecto, completa los pasos siguientes:
Para crear un proyecto nuevo, haz lo siguiente:
-
Ve a la página Administrar recursos en la consola de Google Cloud.
Los pasos restantes aparecerán automáticamente en la consola de Google Cloud.
- En la lista desplegable Seleccionar una organización, en la parte superior de la página, selecciona el recurso de la organización en la que deseas crear un proyecto. Si eres un usuario de prueba gratuita, omite este paso, ya que no aparece esta lista.
- Haz clic en Crear proyecto.
- En la ventana Proyecto nuevo que aparece, ingresa un nombre de proyecto y selecciona una cuenta de facturación según corresponda. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres.
- Ingresa el recurso de la organización o la carpeta superior en el cuadro Ubicación. Ese recurso será el superior de la jerarquía del proyecto nuevo. Si aparece Sin organización como opción, puedes seleccionarla para crear tu proyecto nuevo como el nivel superior de su propia jerarquía de recursos.
- Cuando hayas terminado de ingresar los detalles del proyecto nuevo, haz clic en Crear.
Después de crear el proyecto, se te asigna la función Propietario. En esta función, se incluyen todos los permisos necesarios para la guía de inicio rápido siguiente. Para obtener más información sobre los permisos, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos.
Crea un disco de Compute Engine
Para probar la funcionalidad de la restricción de ubicaciones de recursos, configura los discos persistentes regionales de Compute Engine. Cuando creas un disco persistente regional, debes especificar la ubicación en la que residirá. Para obtener más información sobre la creación de discos persistentes regionales de Compute Engine, consulta Crea y administra Persistent Disk regionales.
En la consola de Google Cloud, ve a la página Discos.
Selecciona el proyecto que creaste anteriormente.
- Si se te solicita que vincules una cuenta de facturación a tu proyecto, hazlo ahora. Para obtener más información sobre cómo habilitar la facturación, consulta Modifica la configuración de facturación de un proyecto.
Haz clic en Crear disco.
Especifica un Nombre para el disco.
Selecciona Replica este disco dentro de la región.
En Región, selecciona
europe-north1 (Finland).En Zonas, selecciona
europe-north1-ayeurope-north1-b.Haz clic en Crear.
Cuando el disco se crea correctamente, aparece una marca de verificación verde junto al nombre.
Establece la política de la organización
Para establecer una política de la organización en el proyecto que creaste, haz lo siguiente:
En la consola de Google Cloud, ve a la página Políticas de la organización.
Haz clic en Seleccionar.
Selecciona el proyecto que creaste.
Haz clic en Google Cloud Platform - Definir ubicaciones de recursos y, luego, haz clic en Editar.
En Se aplica a, selecciona Personalizar.
En Valores de la política, selecciona Personalizar.
En Tipo de política, selecciona Permitir.
En el cuadro Valor de la política, ingresa
in:asia-locations.Haz clic en Guardar. Aparece una notificación para confirmar la actualización de la política.
asia-locations es un grupo de valores creado con Google para incluir todas las ubicaciones en una región geográfica particular.
En este caso, cada región de Asia se define como una ubicación permitida para cualquier recurso creado después de este punto. Ten en cuenta que con esta política nueva no se modifica el disco persistente regional que creaste anteriormente, ya que la política no es retroactiva.
Prueba la política de la organización
Ahora que la política de la organización está vigente, no puedes crear recursos en regiones que no se hayan especificado como parte de la política de la organización. Para probar esto, intenta crear un disco persistente regional en una ubicación no válida de la manera siguiente:
En la consola de Google Cloud, ve a la página Discos.
Selecciona el proyecto que creaste anteriormente.
Haz clic en Crear disco.
Especifica un Nombre para el disco.
Selecciona Replica este disco dentro de la región.
En Región, selecciona
europe-north1 (Finland).En Zonas, selecciona
europe-north1-ayeurope-north1-b.Haz clic en Crear.
Aparece un signo de exclamación rojo junto al nombre y la notificación de error siguiente:
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
En la que RESOURCE_ID es la ruta de recursos completa de tu proyecto y disco. No se creó el disco.
Crea un disco persistente regional en una ubicación válida
La restricción de la política de la organización bloquea la creación de recursos, a menos que especifiques una ubicación válida de la manera siguiente:
En la consola de Google Cloud, ve a la página Discos.
Selecciona el proyecto que creaste anteriormente.
Haz clic en Crear disco.
Especifica un Nombre para el disco.
Selecciona Replica este disco dentro de la región.
En Región, selecciona
asia-east2 (Hong Kong).En Zonas, selecciona
asia-east2-ayasia-east2-b.Haz clic en Crear.
El recurso se crea correctamente porque todas las zonas que se incluyen en asia-east2 están dentro del grupo de valores asia-locations.
Limpia
Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que se usaron en esta página.
Borra discos persistentes regionales
Borra los discos persistentes regionales que creaste para esta guía de inicio rápido de la manera siguiente:
En la consola de Google Cloud, ve a la página Discos.
En la lista que aparece, selecciona los dos discos que creaste.
A la derecha del botón Crear disco, haz clic en Borrar.
En el diálogo de confirmación que aparece, haz clic en Borrar.
Aparece un diálogo de notificación para confirmar que se borraron los discos.
Borra el proyecto
Borra el proyecto que creaste para esta guía de inicio rápido de la manera siguiente:
En la consola de Google Cloud, ve a la página Administrar recursos.
En el menú desplegable de la parte superior de la página, selecciona la organización en la que creaste el proyecto de guía de inicio rápido.
En la lista de recursos del proyecto que aparece, selecciona el proyecto que creaste y haz clic en Borrar.
En el diálogo Cerrar el proyecto que aparece, ingresa el ID del proyecto y, luego, haz clic en Cerrar.
¿Qué sigue?
- Obtén más información sobre la implementación de la política de la organización mediante la implementación de las restricciones de la política de la organización.
- Revisa los servicios en los que se admite la restricción de ubicaciones de recursos.