Resource Manager を使用して組織のポリシーを適用する
このガイドでは、リソース ロケーションの制約を含む組織のポリシーの設定方法と、そのポリシーの適用後に Google Cloud Console で制約をテストする方法について説明します。
始める前に
-
Compute Engine and Resource Manager API を有効にします。
-
組織に次のロールがあることを確認します。 Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
ロールを確認する
-
Google Cloud コンソールの [IAM] ページに移動します。
[IAM] に移動 - 組織を選択します。
-
[プリンシパル] 列で、自分のメールアドレスを含む行を見つけます。
自分のメールアドレスがその列にない場合、ロールは割り当てられていません。
- 自分のメールアドレスを含む行の [ロール] 列で、ロールのリストに必要なロールが含まれているかどうかを確認します。
ロールを付与する
-
Google Cloud コンソールの [IAM] ページに移動します。
[IAM] に移動 - 組織を選択します。
- [ アクセスを許可] をクリックします。
- [新しいプリンシパル] フィールドに、自分のメールアドレスを入力します。
- [ロールを選択] リストでロールを選択します。
- 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
- [保存] をクリックします。
-
新規プロジェクトの作成
プロジェクト リソースを作成する方法は次のとおりです。
新しいプロジェクトを作成するには、次の手順を行います。
-
Google Cloud コンソールの [リソースの管理] ページに移動します。
残りの手順は、Google Cloud コンソールに自動的に表示されます。
- ページの上部にある [組織の選択] プルダウン リストで、プロジェクトを作成する組織リソースを選択します。無料トライアルをご使用の場合はこのリストが表示されないため、この手順はスキップしてください。
- [プロジェクトを作成] をクリックします。
- 表示される [新しいプロジェクト] ウィンドウで、プロジェクト名を入力し、該当する請求先アカウントを選択します。プロジェクト名には文字、数字、単一引用符、ハイフン、スペース、感嘆符のみを使用でき、4~30 文字にする必要があります。
- [場所] ボックスに親組織またはフォルダ リソースを入力します。このリソースが新しいプロジェクトの階層上の親になります。[組織なし] を選択した場合は、そのプロジェクトを選択して、独自のリソース階層の最上位として新しいプロジェクトを作成できます。
- 新しいプロジェクトの詳細を入力し終えたら、[作成] をクリックします。
プロジェクトを作成すると、オーナーの役割が割り当てられます。 この役割には、次のクイックスタートに必要なすべての権限が含まれています。権限の詳細については、リソースへのアクセスの付与、変更、取り消しをご覧ください。
Compute Engine ディスクの作成
リソース ロケーションの制約の機能をテストするには、Compute Engine のリージョン永続ディスクを設定します。リージョン永続ディスクを作成する場合は、永続ディスクを配置するロケーションを指定する必要があります。Compute Engine リージョン永続ディスクの作成の詳細については、リージョン永続ディスク ボリュームの作成と管理をご覧ください。
Google Cloud Console で、[ディスク] ページに移動します。
以前に作成したプロジェクトを選択します。
- 請求先アカウントをプロジェクトにリンクするよう求められたら、すぐにリンクします。課金の有効化の詳細については、プロジェクトの課金の設定変更をご覧ください。
[ディスクを作成] をクリックします。
[名前] でディスクの名前を指定します。
[リージョン内でこのディスクを複製] を選択します。
[リージョン] の下で
europe-north1 (Finland)を選択します。[ゾーン] の下で
europe-north1-aとeurope-north1-bを選択します。[作成] をクリックします。
ディスクが正常に作成されると、名前の横に緑色のチェックマークが表示されます。
組織のポリシーの設定
作成したプロジェクトに組織のポリシーを設定するには:
Google Cloud コンソールで、[組織のポリシー] ページに移動します。
[選択] をクリックします。
作成したプロジェクトを選択します。
[Google Cloud Platform] - [Define Resource Locations] をクリックし、[編集] をクリックします。
[対象] で、[カスタマイズ] を選択します。
[ポリシーの値] で [カスタム] を選択します。
[ポリシータイプ] で、[許可] を選択します。
[ポリシーの値] ボックスに
in:asia-locationsを入力します。[保存] をクリックします。ポリシーの更新を確認する通知が表示されます。
asia-locations は、特定の地理的リージョンのすべてのロケーションが含まれるように、Google によってキュレートされた値グループの 1 つです。この例では、アジアのすべてのリージョンが、その後に作成されるすべてのリソースに関して許可されたロケーションとして定義されます。上記のポリシーは遡って適用されないため、上記で作成したリージョン永続ディスクはこのポリシーによる影響を受けません。
組織のポリシーのテスト
組織のポリシーが有効であるため、組織のポリシーの一部として指定されていないリージョンにはリソースを作成できません。これをテストするために、無効なロケーションにリージョン永続ディスクを作成してみます。
Google Cloud Console で、[ディスク] ページに移動します。
上記で作成したプロジェクトを選択します。
[ディスクを作成] をクリックします。
[名前] でディスクの名前を指定します。
[リージョン内でこのディスクを複製] を選択します。
[リージョン] の下で
europe-north1 (Finland)を選択します。[ゾーン] の下で
europe-north1-aとeurope-north1-bを選択します。[作成] をクリックします。
名前の横に赤い感嘆符が表示され、エラーの通知が表示されます。
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
ここで、RESOURCE_ID はプロジェクトとディスクの完全なリソースパスです。ディスクは作成されません。
有効なロケーションでのリージョン永続ディスクの作成
有効なロケーションを指定しない限り、組織のポリシーの制約によりリソースの作成がブロックされます。
Google Cloud Console で、[ディスク] ページに移動します。
以前に作成したプロジェクトを選択します。
[ディスクを作成] をクリックします。
[名前] でディスクの名前を指定します。
[リージョン内でこのディスクを複製] を選択します。
[リージョン] の下で
asia-east2 (Hong Kong)を選択します。[ゾーン] の下で
asia-east2-aとasia-east2-bを選択します。[作成] をクリックします。
asia-east2 の下にあるすべてのゾーンが asia-locations 値グループ内にあるため、リソースは正常に作成されます。
クリーンアップ
このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順を行います。
リージョン永続ディスクの削除
このクイックスタート用に作成したリージョン永続ディスクを削除します。
Google Cloud Console で、[ディスク] ページに移動します。
表示されるリストで、作成したディスクを両方とも選択します。
[ディスクの作成] ボタンの右側にある [削除] をクリックします。
表示される確認ダイアログで、[削除] をクリックします。
ディスクが削除されたことを通知するダイアログが表示されます。
プロジェクトの削除
このクイックスタート用に作成したプロジェクトを削除します。
Google Cloud コンソールで、[リソースの管理] ページに移動します。
ページの上部にあるプルダウンで、クイックスタート プロジェクトを作成した組織を選択します。
表示されるプロジェクト リソースのリストで、作成したプロジェクトを選択し、[削除] をクリックします。
プロジェクトのシャットダウン] ダイアログが表示されたら、プロジェクト ID を入力して、[シャットダウン] をクリックします。
次のステップ
- 組織のポリシーの制約を実装して組織のポリシーを実装する方法を学習する。
- リソース ロケーションの制約をサポートするサービスを確認する。