Applica i criteri dell'organizzazione utilizzando Resource Manager

Questa guida descrive come impostare un criterio dell'organizzazione che includa il vincolo di località delle risorse e come testarlo dopo che è stato applicato nella console Google Cloud.

Prima di iniziare

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Abilita le API Compute Engine and Resource Manager.
Abilita le API

Assicurati di disporre dei seguenti ruoli per l'organizzazione: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Verifica i ruoli
1. Nella console Google Cloud, vai alla pagina IAM.
  Vai a IAM
2. Seleziona l'organizzazione.
3. Nella colonna Entità, individua la riga contenente il tuo indirizzo email.
  
  Se il tuo indirizzo email non è presente in quella colonna, non hai alcun ruolo.
4. Nella colonna Ruolo della riga contenente il tuo indirizzo email, controlla se l'elenco dei ruoli include i ruoli richiesti.
Concedi i ruoli
1. Nella console Google Cloud, vai alla pagina IAM.
  Vai a IAM
2. Seleziona l'organizzazione.
3. Fai clic su Concedi accesso.
4. Nel campo Nuove entità, inserisci il tuo indirizzo email.
5. Nell'elenco Seleziona un ruolo, scegli un ruolo.
6. Per concedere altri ruoli, fai clic su Aggiungi un altro ruolo e aggiungi ogni ruolo aggiuntivo.
7. Fai clic su Salva.

Crea nuovo progetto

Per creare una risorsa di progetto, segui questi passaggi:

Per creare un nuovo progetto, segui questi passaggi:

Vai alla pagina Gestisci risorse nella console Google Cloud.
Vai a Gestisci risorse
I passaggi rimanenti verranno visualizzati automaticamente nella console Google Cloud.
Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
Fai clic su Crea progetto.
Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.

Dopo aver creato il progetto, ti verrà assegnato il ruolo Proprietario. Questo ruolo include tutte le autorizzazioni necessarie per la guida rapida seguente. Per ulteriori informazioni sulle autorizzazioni, consulta Concessione, modifica e revoca dell'accesso alle risorse.

Crea un disco Compute Engine

Per testare la funzionalità del vincolo delle località delle risorse, configura i dischi permanenti a livello di regione di Compute Engine. Quando crei un disco permanente a livello di regione, devi specificare la località in cui si troverà. Per ulteriori informazioni sulla creazione di dischi permanenti a livello di regione di Compute Engine, consulta Creare e gestire volumi di Persistent Disk a livello di regione.

Nella console Google Cloud, vai alla pagina Dischi.

Vai a Dischi
Seleziona il progetto creato in precedenza.
1. Se ti viene chiesto di collegare un account di fatturazione al tuo progetto, fallo ora. Per ulteriori informazioni sull'abilitazione della fatturazione, consulta Modificare le impostazioni di fatturazione di un progetto.
Fai clic su Crea disco.
Specifica un nome per il disco.
Seleziona Replica questo disco all'interno della regione.
In Regione, seleziona europe-north1 (Finland).
In Zone, seleziona europe-north1-a e europe-north1-b.
Fai clic su Crea.

Una volta creato il disco, accanto al nome viene visualizzato un segno di spunta verde.

Imposta il criterio dell'organizzazione

Per impostare un criterio dell'organizzazione sul progetto che hai creato:

Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione.

Vai a Criteri dell'organizzazione
Fai clic su Seleziona.
Seleziona il progetto che hai creato.
Fai clic su Google Cloud Platform - Definisci le località delle risorse, quindi fai clic su Modifica.
Nella sezione Applicabile a, seleziona Personalizza.
In Valori criterio, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
Nella casella Valore criterio, inserisci in:asia-locations.
Fai clic su Salva. Viene visualizzata una notifica per confermare l'aggiornamento delle norme.

asia-locations è un gruppo di valori selezionato da Google per includere ogni località in una determinata area geografica. In questo caso, ogni regione dell'Asia è definita come località consentita per qualsiasi risorsa creata dopo questo punto. Tieni presente che il disco permanente a livello di regione che hai creato in precedenza non è interessato da questo nuovo criterio, perché non è retroattivo.

Test del criterio dell'organizzazione

Ora che il criterio dell'organizzazione è attivo, non puoi creare risorse nelle regioni che non sono state specificate come parte del criterio dell'organizzazione. Per verificare, prova a creare un disco permanente a livello di regione in una località non valida:

Nella console Google Cloud, vai alla pagina Dischi.

Vai a Dischi
Seleziona il progetto creato in precedenza.
Fai clic su Crea disco.
Specifica un nome per il disco.
Seleziona Replica questo disco all'interno della regione.
In Regione, seleziona europe-north1 (Finland).
In Zone, seleziona europe-north1-a e europe-north1-b.
Fai clic su Crea.

Accanto al nome viene visualizzato un punto esclamativo rosso e viene visualizzata una notifica di errore:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Dove RESOURCE_ID rappresenta il percorso della risorsa completo del progetto e del disco. Il disco non viene creato.

Crea un disco permanente a livello di regione in una località valida

Il vincolo del criterio dell'organizzazione blocca la creazione di risorse, a meno che non specifichi una località valida:

Nella console Google Cloud, vai alla pagina Dischi.

Vai a Dischi
Seleziona il progetto creato in precedenza.
Fai clic su Crea disco.
Specifica un nome per il disco.
Seleziona Replica questo disco all'interno della regione.
In Regione, seleziona asia-east2 (Hong Kong).
In Zone, seleziona asia-east2-a e asia-east2-b.
Fai clic su Crea.

La risorsa è stata creata correttamente perché tutte le zone in asia-east2 si trovano all'interno del gruppo di valori asia-locations.

Esegui la pulizia

Per evitare che al tuo account Google Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi:

Elimina dischi permanenti a livello di regione

Elimina i dischi permanenti a livello di regione che hai creato per questa guida rapida:

Nella console Google Cloud, vai alla pagina Dischi.

Vai a Dischi
Nell'elenco visualizzato, seleziona entrambi i dischi che hai creato.
A destra del pulsante Crea disco, fai clic su Elimina.
Nella finestra di dialogo di conferma visualizzata, fai clic su Elimina.

Viene visualizzata una finestra di dialogo di notifica per confermare che i dischi sono stati eliminati.

Elimina il progetto

Elimina il progetto che hai creato per questa guida rapida:

Nella console Google Cloud, vai alla pagina Gestisci risorse.

Vai a Gestisci risorse
Nel menu a discesa nella parte superiore della pagina, seleziona l'organizzazione in cui hai creato il progetto di avvio rapido.
Nell'elenco di risorse del progetto visualizzato, seleziona il progetto che hai creato e fai clic su Elimina.
Nella finestra di dialogo Chiudi progetto visualizzata, inserisci l'ID progetto e fai clic su Chiudi.

Passaggi successivi

Scopri di più sull'implementazione dei criteri dell'organizzazione sull'implementazione dei vincoli dei criteri dell'organizzazione.
Esamina i servizi che supportano il vincolo delle località delle risorse.