Menerapkan kebijakan organisasi menggunakan Resource Manager
Panduan ini menjelaskan cara menetapkan kebijakan organisasi yang menyertakan batasan lokasi resource, dan cara menguji batasan tersebut setelah diterapkan di Konsol Google Cloud.
Sebelum memulai
-
Make sure that billing is enabled for your Google Cloud project.
-
Aktifkan API Compute Engine and Resource Manager.
-
Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Buka IAM - Pilih organisasi.
- Klik Berikan akses.
-
Di kolom New principals, masukkan ID pengguna Anda. Ini biasanya adalah alamat email untuk Akun Google.
- Di daftar Pilih peran, pilih peran.
- Untuk memberikan peran tambahan, klik Tambahkan peran lain, lalu tambahkan setiap peran tambahan.
- Klik Simpan.
-
Buat Project baru
Untuk membuat sumber daya Proyek, ikuti langkah-langkah di bawah ini:
Untuk membuat project baru, lakukan hal berikut:
-
Buka halaman Manage resources di Konsol Google Cloud.
Langkah-langkah selanjutnya akan muncul secara otomatis di Konsol Google Cloud.
- Pada menu drop-down Select organization di bagian atas halaman, pilih resource organisasi tempat Anda ingin membuat project. Jika Anda adalah pengguna uji coba gratis, lewati langkah ini karena daftar ini tidak akan muncul.
- Klik Buat Project.
- Di jendela New Project yang muncul, masukkan nama project dan pilih akun penagihan yang berlaku. Nama project hanya boleh berisi huruf, angka, tanda kutip tunggal, tanda hubung, spasi, atau tanda seru, dan harus terdiri dari 4 hingga 30 karakter.
- Masukkan organisasi induk atau resource folder di kotak Lokasi. Resource tersebut akan menjadi induk hierarkis dari project baru. Jika opsi No organization dipilih, Anda dapat memilihnya untuk membuat project baru sebagai level teratas dalam hierarki resource-nya sendiri.
- Setelah selesai memasukkan detail project baru, klik Buat.
Setelah membuat Project, peran Pemilik ditetapkan untuk Anda. Peran ini mencakup semua izin yang Anda perlukan untuk panduan memulai berikut. Untuk mengetahui informasi selengkapnya tentang izin, lihat Memberikan, mengubah, dan mencabut akses ke resource.
Buat disk Compute Engine
Untuk menguji fungsionalitas batasan lokasi resource, siapkan persistent disk regional Compute Engine. Saat membuat persistent disk regional, Anda harus menentukan lokasi tempat persistent disk tersebut akan berada. Untuk mengetahui informasi selengkapnya tentang cara membuat persistent disk regional Compute Engine, lihat Membuat dan mengelola volume Persistent Disk regional.
Di Konsol Google Cloud, buka halaman Disks.
Pilih Project yang Anda buat sebelumnya.
- Jika Anda diminta untuk menautkan akun penagihan ke Project, lakukan sekarang. Untuk informasi selengkapnya tentang cara mengaktifkan penagihan, lihat Mengubah Setelan Penagihan Project.
Klik Buat Disk.
Tentukan Nama untuk disk Anda.
Pilih Replicate this disk between region.
Pada Wilayah, pilih
europe-north1 (Finland)
.Pada Zones, pilih
europe-north1-a
daneurope-north1-b
.Klik Create.
Setelah disk berhasil dibuat, tanda centang hijau akan muncul di samping namanya.
Tetapkan kebijakan organisasi
Untuk menetapkan kebijakan organisasi pada Project yang Anda buat:
Di konsol Google Cloud, buka halaman Organization policies.
Klik Pilih.
Pilih Project yang Anda buat.
Klik Google Cloud Platform - Define Resource Locations, lalu klik Edit.
Di bagian Berlaku untuk, pilih Sesuaikan.
Di bagian Policy values, pilih Custom.
Di bagian Policy values, pilih Allow.
Di kotak Nilai kebijakan, masukkan
in:asia-locations
.Klik Simpan. Akan muncul notifikasi untuk mengonfirmasi pembaruan kebijakan.
asia-locations
adalah grup nilai yang diseleksi oleh Google untuk menyertakan setiap lokasi di wilayah geografis tertentu.
Dalam hal ini, setiap region di Asia didefinisikan sebagai lokasi yang diizinkan untuk setiap
resource yang dibuat setelah titik ini. Perlu diperhatikan bahwa persistent disk regional yang Anda buat di atas tidak terpengaruh oleh kebijakan baru ini, karena kebijakan tersebut tidak berlaku surut.
Menguji kebijakan organisasi
Setelah kebijakan organisasi berlaku, Anda tidak dapat membuat resource di region yang tidak ditentukan sebagai bagian dari kebijakan organisasi. Untuk mengujinya, coba buat persistent disk regional di lokasi yang tidak valid:
Di Konsol Google Cloud, buka halaman Disks.
Pilih Project yang Anda buat di atas.
Klik Buat Disk.
Tentukan Nama untuk disk Anda.
Pilih Replicate this disk between region.
Pada Wilayah, pilih
europe-north1 (Finland)
.Pada Zones, pilih
europe-north1-a
daneurope-north1-b
.Klik Create.
Tanda seru berwarna merah akan muncul di samping nama, dan notifikasi error akan ditampilkan:
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
Dengan RESOURCE_ID adalah jalur resource lengkap Project dan disk Anda. Disk tidak dibuat.
Buat persistent disk regional di lokasi yang valid
Batasan kebijakan organisasi memblokir pembuatan resource, kecuali jika Anda menentukan lokasi yang valid:
Di Konsol Google Cloud, buka halaman Disks.
Pilih Project yang Anda buat sebelumnya.
Klik Buat Disk.
Tentukan Nama untuk disk Anda.
Pilih Replicate this disk between region.
Pada Wilayah, pilih
asia-east2 (Hong Kong)
.Pada Zones, pilih
asia-east2-a
danasia-east2-b
.Klik Create.
Resource berhasil dibuat karena semua zona di bagian asia-east2
berada
dalam grup nilai asia-locations
.
Pembersihan
Agar akun Google Cloud Anda tidak dikenakan biaya untuk resource yang digunakan pada halaman ini, ikuti langkah-langkah berikut.
Hapus persistent disk regional
Hapus persistent disk regional yang Anda buat untuk panduan memulai ini:
Di Konsol Google Cloud, buka halaman Disks.
Dalam daftar yang muncul, pilih kedua disk yang Anda buat.
Di sebelah kanan tombol Create Disk, klik Delete.
Pada dialog konfirmasi yang muncul, klik Hapus.
Dialog notifikasi akan muncul untuk mengonfirmasi bahwa disk telah dihapus.
Menghapus Project
Hapus Project yang Anda buat untuk panduan memulai ini:
Pada Konsol Google Cloud, buka halaman Kelola resource
Pada drop-down di bagian atas halaman, pilih Organisasi tempat Anda membuat Project panduan memulai.
Dalam daftar resource Project yang muncul, pilih Project yang Anda buat, lalu klik Delete.
Pada dialog Shut down project yang muncul, masukkan Project ID, lalu klik Shut down.
Langkah selanjutnya
- Pelajari lebih lanjut cara mengimplementasikan kebijakan organisasi menerapkan batasan kebijakan organisasi.
- Tinjau layanan yang mendukung batasan lokasi resource.