Appliquer une règle d'administration à l'aide de Resource Manager
Ce guide explique comment définir une règle d'administration incluant la contrainte des emplacements des ressources, et comment tester cette contrainte après l'avoir appliquée dans la console Google Cloud.
Avant de commencer
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Resource Manager APIs.
-
Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Accéder à IAM - Sélectionnez l'organisation.
- Cliquez sur Accorder l'accès.
-
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.
- Dans la liste Sélectionner un rôle, sélectionnez un rôle.
- Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
- Cliquez sur Enregistrer.
-
Créer un projet
Pour créer une ressource de projet, procédez comme suit :
Pour créer un projet, procédez comme suit :
-
Accédez à la page Gérer les ressources de la console Google Cloud.
Accéder à la page Gérer les ressources
Les étapes restantes s'affichent dans la console Google Cloud.
- Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez la ressource d'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de la version d'essai sans frais, vous pouvez ignorer cette étape. Cette liste n'apparaîtra pas.
- Cliquez sur Créer un projet.
- Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom de projet, puis sélectionnez un compte de facturation si nécessaire. Le nom du projet ne peut contenir que des lettres, des chiffres, des guillemets simples, des traits d'union, des espaces ou des points d'exclamation. Il doit comporter entre 4 et 30 caractères.
- Indiquez l'organisation ou le dossier parent dans la zone Emplacement. Cette ressource sera le parent hiérarchique du nouveau projet. Si l'option Aucune organisation est proposée, vous pouvez la sélectionner pour créer votre projet en tant que niveau supérieur de sa propre hiérarchie de ressources.
- Une fois les détails du nouveau projet renseignés, cliquez sur Créer.
Une fois le projet créé, le rôle Propriétaire vous est attribué. Ce rôle inclut toutes les autorisations dont vous avez besoin pour le démarrage rapide suivant. Pour plus d'informations sur les autorisations, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Créer un disque Compute Engine
Pour tester la fonctionnalité de la contrainte des emplacements des ressources, configurez les disques persistants régionaux Compute Engine. Lorsque vous créez un disque persistant régional, vous devez spécifier son emplacement. Pour en savoir plus sur la création de disques persistants régionaux Compute Engine, consultez la page Créer et gérer des volumes de disques persistants régionaux.
Dans la console Google Cloud, accédez à la page Disques.
Sélectionnez le projet que vous avez créé précédemment.
- Si vous êtes invité à associer un compte de facturation à votre projet, faites-le maintenant. Pour plus d'informations sur l'activation de la facturation, consultez la page Modifier les paramètres de facturation d'un projet.
Cliquez sur Créer un disque.
Spécifiez le paramètre Nom pour le disque.
Sélectionnez Répliquer ce disque dans la région.
Sous Région, sélectionnez
europe-north1 (Finland)
.Sous Zones, sélectionnez
europe-north1-a
eteurope-north1-b
.Cliquez sur Créer.
Une fois le disque créé, une coche verte apparaît à côté du nom.
Définir la règle d'administration
Pour définir une règle d'administration pour le projet que vous avez créé, procédez comme suit :
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur Sélectionner.
Sélectionnez le projet que vous avez créé.
Cliquez sur Google Cloud Platform - Définir les emplacements des ressources, puis sur Modifier.
Sous Applicable à, sélectionnez Personnaliser.
Sous Valeurs de règles, sélectionnez Personnalisé.
Sous Type de règle, sélectionnez Autoriser.
Dans la zone Valeur de règle, saisissez
in:asia-locations
.Cliquez sur Enregistrer. Une notification s'affiche pour confirmer la mise à jour de la règle.
asia-locations
est un groupe de valeurs sélectionné par Google pour inclure tous les emplacements d'une région géographique spécifique.
Dans ce cas, chaque région d'Asie est définie comme un emplacement autorisé pour toutes les ressources créées par la suite. Notez que le disque persistant régional que vous avez créé ci-dessus n'est pas affecté par cette nouvelle règle, car la règle n'est pas rétroactive.
Tester la règle d'administration
Maintenant que la règle d'administration est active, vous ne pouvez pas créer de ressources dans des régions qui n'ont pas été spécifiées par la règle d'administration. Pour tester cela, essayez de créer un disque persistant régional dans un emplacement incorrect :
Dans la console Google Cloud, accédez à la page Disques.
Sélectionnez le projet que vous avez créé ci-dessus.
Cliquez sur Créer un disque.
Spécifiez le paramètre Nom pour le disque.
Sélectionnez Répliquer ce disque dans la région.
Sous Région, sélectionnez
europe-north1 (Finland)
.Sous Zones, sélectionnez
europe-north1-a
eteurope-north1-b
.Cliquez sur Créer.
Un point d'exclamation rouge apparaît à côté du nom et une notification d'erreur s'affiche :
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
Où RESOURCE_ID est le chemin d'accès complet à la ressource de votre projet et de votre disque. Le disque n'est pas créé.
Créer un disque persistant régional dans un emplacement correct
La contrainte de règle d'administration bloque la création de ressources, sauf si vous spécifiez un emplacement valide :
Dans la console Google Cloud, accédez à la page Disques.
Sélectionnez le projet que vous avez créé précédemment.
Cliquez sur Créer un disque.
Spécifiez le paramètre Nom pour le disque.
Sélectionnez Répliquer ce disque dans la région.
Sous Région, sélectionnez
asia-east2 (Hong Kong)
.Sous Zones, sélectionnez
asia-east2-a
etasia-east2-b
.Cliquez sur Créer.
La ressource est créée, car toutes les zones situées sous asia-east2
font partie du groupe de valeurs asia-locations
.
Effectuer un nettoyage
Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Google Cloud, procédez comme suit :
Supprimer les disques persistants régionaux
Supprimez les disques persistants régionaux que vous avez créés pour ce démarrage rapide :
Dans la console Google Cloud, accédez à la page Disques.
Dans la liste qui s'affiche, sélectionnez les deux disques que vous avez créés.
À droite du bouton Créer un disque, cliquez sur Supprimer.
Dans la boîte de dialogue de confirmation qui s'ouvre, cliquez sur Supprimer.
Une boîte de dialogue de notification s'affiche pour confirmer la suppression des disques.
Supprimer le projet
Supprimez le projet que vous avez créé pour ce démarrage rapide :
Dans la console Google Cloud, accédez à la page Gérer les ressources.
Dans la liste déroulante située en haut de la page, sélectionnez l'organisation dans laquelle vous avez créé le projet de démarrage rapide.
Dans la liste des ressources du projet qui s'affiche, sélectionnez le projet que vous avez créé, puis cliquez sur Supprimer.
Dans la boîte de dialogue Arrêter le projet qui s'affiche, saisissez l'ID du projet, puis cliquez sur Arrêter.
Étape suivante
- Découvrez comment créer et gérer des règles d'administration.
- Consultez les services compatibles avec la contrainte des emplacements des ressources.