Aplicar a política da organização usando o Gerenciador de recursos

Este guia descreve como definir uma política da organização que inclua a restrição de locais dos recursos; como testar essa restrição depois de ser aplicada na Console do Google Cloud.

Antes de começar

  1. Make sure that billing is enabled for your Google Cloud project.

  2. Enable the Compute Engine and Resource Manager APIs.

    Enable the APIs

  3. Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.
    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Acessar o IAM
    2. Selecionar uma organização.
    3. Clique em CONCEDER ACESSO.
    4. No campo Novos principais, insira seu identificador de usuário. Normalmente, é o endereço de e-mail de uma Conta do Google.

    5. Na lista Selecionar um papel, escolha um.
    6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
    7. Clique em Salvar.

Como criar um projeto novo

Para criar um recurso de projeto, siga as etapas abaixo:

Para criar um novo projeto, faça o seguinte:

  1. Acesse a página Gerenciar recursos no console do Google Cloud.

    Acessar "Gerenciar recursos"

    As etapas restantes aparecem no console do Google Cloud.

  2. Na lista suspensa Selecionar organização, na parte de cima da página, escolha o recurso da organização em que o projeto vai ser criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto que será exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável. O nome de um projeto só pode ser composto por letras, números, aspas simples, hifens, espaços ou pontos de exclamação e precisa ter entre 4 e 30 caracteres.
  5. Insira o recurso da organização ou pasta mãe na caixa Local. Esse recurso vai ser o pai hierárquico do novo projeto. Se houver a opção Sem organização, selecione-a para criar o novo projeto como o nível superior da própria hierarquia de recursos.
  6. Quando terminar de inserir os detalhes do novo projeto, clique em Criar.

Depois de criar o Projeto, o papel Proprietário é atribuído a você. Esse papel inclui todas as permissões necessárias para o guia de início rápido a seguir. Para obter mais informações sobre permissões, consulte Como conceder, alterar e revogar o acesso a recursos.

Criar um disco do Compute Engine

Para testar a funcionalidade da restrição de locais de recursos, configure discos permanentes regionais do Compute Engine. Ao criar um disco permanente regional, você deve especificar o local onde ele ficará. Para mais informações sobre como criar discos permanentes regionais do Compute Engine, consulte Crie e gerencie volumes regionais do Persistent Disk.

  1. No console do Google Cloud, acesse a página Discos.

    Acessar "Discos"

  2. Selecione o projeto criado anteriormente.

    1. Se for solicitado que você vincule uma conta de faturamento ao seu projeto, faça isso agora. Para obter mais informações sobre como ativar o faturamento, consulte a seção Como modificar as configurações de faturamento de um projeto.
  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Selecione Replicar este disco na região.

  6. Em Região, selecione europe-north1 (Finland).

  7. Em Zonas, selecione europe-north1-a e europe-north1-b.

  8. Clique em Criar.

Quando o disco for criado, uma marca de seleção verde aparecerá ao lado do nome.

Como definir a política da organização

Para definir uma política da organização no projeto que você criou:

  1. No console do Google Cloud, acesse a página Políticas da organização.

    Acessar as políticas da organização

  2. Clique em Selecionar.

  3. Selecione o projeto criado.

  4. Clique em Google Cloud Platform - Definir locais do recurso e, em seguida, clique em Editar.

  5. Em É aplicável a, selecione Personalizar.

  6. Em Valores da política, selecione Personalizado.

  7. Em Tipo de política, selecione Permitir.

  8. Na caixa Valor da política, digite in:asia-locations.

  9. Clique em Salvar. Uma notificação é exibida para confirmar a atualização da política.

asia-locations é um grupo de valores selecionado pelo Google para incluir todos os locais em uma determinada região geográfica. Nesse caso, cada região da Ásia é definida como um local permitido para todos os recursos criados depois desse ponto. Observe que o disco permanente regional que você criou acima não é afetado por essa nova política, porque a política não é retroativa.

Como testar a política da organização

Agora que a política da organização está em vigor, não é possível criar recursos em regiões que não foram especificadas como parte da política da organização. Para testar isso, tente criar um disco permanente regional em um local inválido:

  1. No console do Google Cloud, acesse a página Discos.

    Acessar "Discos"

  2. Selecione o projeto criado acima.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Selecione Replicar este disco na região.

  6. Em Região, selecione europe-north1 (Finland).

  7. Em Zonas, selecione europe-north1-a e europe-north1-b.

  8. Clique em Criar.

Um ponto de exclamação vermelho é exibido ao lado do nome, e uma notificação de erro é exibida:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Em que RESOURCE_ID é o caminho completo do recurso do projeto e do disco. O disco não foi criado.

Como criar um disco permanente regional em um local válido

A restrição da política da organização bloqueia a criação de recursos, a menos que você especifique um local válido:

  1. No console do Google Cloud, acesse a página Discos.

    Acessar "Discos"

  2. Selecione o projeto criado anteriormente.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Selecione Replicar este disco na região.

  6. Em Região, selecione asia-east2 (Hong Kong).

  7. Em Zonas, selecione asia-east2-a e asia-east2-b.

  8. Clique em Criar.

O recurso foi criado porque todas as zonas em asia-east2 estão dentro do grupo de valores asia-locations.

Limpar

Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Como excluir discos permanentes regionais

Para excluir os discos permanentes regionais criados para este guia de início rápido:

  1. No console do Google Cloud, acesse a página Discos.

    Acessar "Discos"

  2. Na lista exibida, selecione os dois discos que você criou.

  3. À direita do botão Criar disco, clique em Excluir.

  4. Na caixa de diálogo de confirmação que aparecerá, clique em Excluir.

Uma caixa de diálogo de notificação é exibida para confirmar que os discos foram excluídos.

Como excluir o projeto

Para excluir o projeto que você criou para este guia de início rápido:

  1. No console do Google Cloud, acesse a página Gerenciar recursos.

    Acessar "Gerenciar recursos"

  2. Na lista suspensa na parte superior da página, selecione a Organização na qual você criou o Projeto deste guia de início rápido.

  3. Na lista de recursos do projeto exibida, selecione o projeto que você criou e clique em Excluir.

  4. Na caixa de diálogo Encerrar projeto exibida, insira o ID do projeto e clique em Encerrar.

A seguir