Menerapkan kebijakan organisasi menggunakan Resource Manager

Panduan ini menjelaskan cara menetapkan kebijakan organisasi yang mencakup batasan lokasi resource, dan cara menguji batasan tersebut setelah diterapkan di konsol Google Cloud.

Sebelum memulai

  1. Make sure that billing is enabled for your Google Cloud project.

  2. Enable the Compute Engine and Resource Manager APIs.

    Enable the APIs

  3. Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Buka IAM
    2. Pilih organisasi.
    3. Klik Berikan akses.

    4. Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.

    5. Di daftar Pilih peran, pilih peran.
    6. Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
    7. Klik Simpan.

Membuat Project baru

Untuk membuat resource Project, ikuti langkah-langkah di bawah:

Untuk membuat project baru, lakukan langkah berikut:

  1. Buka halaman Mengelola resource di konsol Google Cloud.

    Buka Kelola Resource

    Langkah-langkah lainnya akan muncul di konsol Google Cloud.

  2. Pada daftar drop-down Pilih organisasi di bagian atas halaman, pilih resource organisasi tempat Anda ingin membuat project. Jika Anda adalah pengguna uji coba gratis, lewati langkah ini, karena daftar ini tidak muncul.
  3. Klik Buat Project.
  4. Di jendela Project Baru yang muncul, masukkan nama project dan pilih akun penagihan yang berlaku. Nama project hanya boleh berisi huruf, angka, tanda kutip tunggal, tanda hubung, spasi, atau tanda seru, serta harus memiliki 4 sampai 30 karakter.
  5. Masukkan organisasi induk atau resource folder di kotak Location. Resource tersebut akan menjadi induk hierarkis project baru. Jika opsi Tidak ada organisasi tersedia, Anda dapat memilihnya untuk membuat project baru sebagai tingkat teratas dari hierarki resource-nya sendiri.
  6. Setelah selesai memasukkan detail project baru, klik Buat.

Setelah Anda membuat Project, peran Owner akan ditetapkan kepada Anda. Peran ini mencakup semua izin yang Anda perlukan untuk quickstart berikut. Untuk mengetahui informasi selengkapnya tentang izin, lihat Memberikan, mengubah, dan mencabut akses ke resource.

Membuat disk Compute Engine

Untuk menguji fungsi batasan lokasi resource, siapkan persistent disk regional Compute Engine. Saat membuat persistent disk regional, Anda harus menentukan lokasi tempat disk akan berada. Untuk mengetahui informasi selengkapnya tentang cara membuat persistent disk regional Compute Engine, lihat Membuat dan mengelola volume Persistent Disk regional.

  1. Di konsol Google Cloud, buka halaman Disks.

    Buka Disk

  2. Pilih Project yang Anda buat sebelumnya.

    1. Jika Anda diminta untuk menautkan akun penagihan ke Project, lakukan sekarang. Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan penagihan, lihat Mengubah Setelan Penagihan Project.

  3. Klik Buat Disk.

  4. Tentukan Nama untuk disk Anda.

  5. Pilih Replikasi disk ini dalam region.

  6. Di bagian Region, pilih europe-north1 (Finland).

  7. Di bagian Zona, pilih europe-north1-a dan europe-north1-b.

  8. Klik Create.

Jika disk berhasil dibuat, tanda centang hijau akan muncul di samping nama.

Menetapkan kebijakan organisasi

Untuk menetapkan kebijakan organisasi di Project yang Anda buat:

  1. Di konsol Google Cloud, buka halaman Organization policies.

    Buka Organization policies

  2. Klik Pilih.

  3. Pilih Project yang Anda buat.

  4. Klik Google Cloud Platform - Define Resource Locations, lalu klik Edit.

  5. Di bagian Applies to, pilih Customize.

  6. Di bagian Policy values, pilih Custom.

  7. Di bagian Policy values, pilih Allow.

  8. Di kotak Policy value, masukkan in:asia-locations.

  9. Klik Simpan. Notifikasi akan muncul untuk mengonfirmasi pembaruan kebijakan.

asia-locations adalah grup nilai yang dipilih oleh Google untuk menyertakan setiap lokasi di wilayah geografis tertentu. Dalam hal ini, setiap region di Asia ditentukan sebagai lokasi yang diizinkan untuk resource apa pun yang dibuat setelah titik ini. Perhatikan bahwa disk persisten regional yang Anda buat di atas tidak terpengaruh oleh kebijakan baru ini, karena kebijakan tersebut tidak berlaku surut.

Menguji kebijakan organisasi

Setelah kebijakan organisasi diterapkan, Anda tidak dapat membuat resource di region yang tidak ditentukan sebagai bagian dari kebijakan organisasi. Untuk mengujinya, coba buat persistent disk regional di lokasi yang tidak valid:

  1. Di konsol Google Cloud, buka halaman Disks.

    Buka Disk

  2. Pilih Project yang Anda buat di atas.

  3. Klik Buat Disk.

  4. Tentukan Nama untuk disk Anda.

  5. Pilih Replikasi disk ini dalam region.

  6. Di bagian Region, pilih europe-north1 (Finland).

  7. Di bagian Zona, pilih europe-north1-a dan europe-north1-b.

  8. Klik Create.

Tanda seru merah akan muncul di samping nama, dan notifikasi error akan ditampilkan:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Dengan RESOURCE_ID adalah jalur resource lengkap Project dan disk Anda. Disk tidak dibuat.

Membuat persistent disk regional di lokasi yang valid

Batasan kebijakan organisasi memblokir pembuatan resource kecuali jika Anda menentukan lokasi yang valid:

  1. Di konsol Google Cloud, buka halaman Disks.

    Buka Disk

  2. Pilih Project yang Anda buat sebelumnya.

  3. Klik Buat Disk.

  4. Tentukan Nama untuk disk Anda.

  5. Pilih Replikasi disk ini dalam region.

  6. Di bagian Region, pilih asia-east2 (Hong Kong).

  7. Di bagian Zona, pilih asia-east2-a dan asia-east2-b.

  8. Klik Create.

Resource berhasil dibuat karena semua zona dalam asia-east2 berada dalam grup nilai asia-locations.

Pembersihan

Agar tidak menimbulkan biaya pada akun Google Cloud Anda untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.

Menghapus persistent disk regional

Hapus persistent disk regional yang Anda buat untuk panduan memulai ini:

  1. Di konsol Google Cloud, buka halaman Disks.

    Buka Disk

  2. Dalam daftar yang muncul, pilih kedua disk yang Anda buat.

  3. Di sebelah kanan tombol Create Disk, klik Delete.

  4. Pada dialog konfirmasi yang muncul, klik Hapus.

Dialog notifikasi akan muncul untuk mengonfirmasi bahwa disk telah dihapus.

Menghapus Project

Hapus Project yang Anda buat untuk panduan memulai ini:

  1. Di Konsol Google Cloud, buka halaman Manage resources.

    Buka Kelola resource

  2. Di menu drop-down di bagian atas halaman, pilih Organisasi tempat Anda membuat Project memulai.

  3. Dalam daftar Resource project yang muncul, pilih Project yang Anda buat, lalu klik Hapus.

  4. Pada dialog Shut down project yang muncul, masukkan Project ID, lalu klik Shut down.

Langkah selanjutnya