使用 Resource Manager 实施组织政策

本指南介绍了如何设置包含资源位置限制条件的组织政策,以及如何在 Google Cloud 控制台中应用该限制条件后对其进行测试。

准备工作

  1. Make sure that billing is enabled for your Google Cloud project.

  2. Enable the Compute Engine and Resource Manager APIs.

    Enable the APIs

  3. Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      前往 IAM
    2. 选择组织。
    3. 点击 授予访问权限

    4. 新的主账号字段中,输入您的用户标识符。 这通常是 Google 账号的电子邮件地址。

    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击保存

新建项目

要创建项目资源,请按照以下步骤操作:

如需创建新项目,请执行以下操作:

  1. 前往 Google Cloud 控制台中的管理资源页面。

    转到“管理资源”

    其余步骤会显示在 Google Cloud 控制台中。

  2. 在页面顶部的选择组织下拉列表中,选择要在其中创建项目的组织资源。如果您使用的是免费试用版,请跳过此步骤,因为系统不会显示此列表。
  3. 点击创建项目
  4. 在显示的新建项目窗口中,输入项目名称并选择适用的结算账号。项目名称只能包含字母、数字、英文单引号、连字符、空格或英文感叹号,且长度必须介于 4 到 30 个字符之间。
  5. 位置框中输入父级组织或文件夹资源。该资源将是新项目的分层父级。如果可以选择无组织,那么您也可以选择该选项,将新项目作为其自身资源层次结构的顶层进行创建。
  6. 输入完新项目的详细信息后,点击创建

创建项目后,系统会为您分配 Owner 角色。 此角色拥有您在以下快速入门部分所需的所有权限。 如需详细了解权限,请参阅授予、更改和撤消对资源的访问权限

创建 Compute Engine 磁盘

要测试资源位置限制条件的功能,请设置 Compute Engine 区域永久性磁盘。创建区域永久性磁盘时,您必须指定该磁盘所在的位置。如需详细了解如何创建 Compute Engine 区域永久性磁盘,请参阅创建和管理区域级永久性磁盘卷

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 选择您之前创建的项目。

    1. 如果系统提示您将项目与结算账号关联起来,请立即执行此操作。 如需详细了解如何启用结算功能,请参阅修改项目的结算设置

  3. 点击创建磁盘

  4. 为您的磁盘指定一个名称

  5. 选择在区域内复制此磁盘

  6. 区域下选择 europe-north1 (Finland)

  7. 地区下选择 europe-north1-aeurope-north1-b

  8. 点击创建

成功创建磁盘后,相应名称旁会显示一个绿色的对勾标记。

设置组织政策

要为您创建的项目设置组织政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 点击选择

  3. 选择您创建的项目。

  4. 点击 Google Cloud Platform -定义资源位置,然后点击修改

  5. 应用对象下,选择自定义

  6. 政策值下,选择自定义

  7. 政策类型下,选择允许

  8. 政策值框中,输入 in:asia-locations

  9. 点击保存。此时系统会显示一条通知,以确认更新政策。

asia-locations 是由 Google 精心挑选的一个值组,用于包含特定地区中的所有位置。在此示例中,亚洲的所有区域都被定义为在此之后创建的任何资源的允许位置。请注意,上面创建的区域永久性磁盘不受此新政策的影响,因为该政策的效力不会追溯既往。

测试组织政策

组织政策现已生效,因此您无法在组织政策未指定的区域中创建资源。要对此进行测试,请尝试在一个无效位置创建区域永久性磁盘:

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 选择上面创建的项目。

  3. 点击创建磁盘

  4. 为您的磁盘指定一个名称

  5. 选择在区域内复制此磁盘

  6. 区域下选择 europe-north1 (Finland)

  7. 地区下选择 europe-north1-aeurope-north1-b

  8. 点击创建

此时,系统会在相应名称旁边显示一个红色的英文感叹号,并显示以下错误通知:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

其中,RESOURCE_ID 是项目和磁盘的完整资源路径。系统未创建该磁盘。

在有效位置创建区域永久性磁盘

除非您指定的位置有效,否则组织政策限制条件会阻止资源的创建:

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 选择您之前创建的项目。

  3. 点击创建磁盘

  4. 为您的磁盘指定一个名称

  5. 选择在区域内复制此磁盘

  6. 区域下选择 asia-east2 (Hong Kong)

  7. 地区下选择 asia-east2-aasia-east2-b

  8. 点击创建

系统便会成功创建资源,因为 asia-east2 下的所有地区均在 asia-locations 值组范围内。

清理

为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用,请按照以下步骤操作。

删除地区永久性磁盘

删除您为本快速入门创建的区域永久性磁盘:

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 在显示的列表中,选择您创建的两个磁盘。

  3. 点击创建磁盘按钮右侧的删除

  4. 在显示的确认对话框中,点击删除

此时系统会显示一个通知对话框,以确认磁盘已被删除。

删除项目

您可以按照以下方式删除您为本快速入门创建的项目:

  1. 在 Google Cloud 控制台中,前往管理资源页面。

    转到“管理资源”

  2. 在页面顶部的下拉列表中,选择您在其中为本快速入门创建了项目的组织。

  3. 在显示的项目资源列表中,选择您创建的项目,然后点击删除

  4. 在出现的关停项目对话框中,输入项目 ID,然后点击关停

后续步骤