Organisationsrichtlinie mit Resource Manager erzwingen

In diesem Leitfaden wird beschrieben, wie Sie eine Organisationsrichtlinie mit Einschränkung für Ressourcenstandorte festlegen und diese Einschränkung nach ihrer Anwendung in der Google Cloud Console testen.

Hinweise

  1. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  2. Compute Engine and Resource Manager APIs aktivieren.

    Aktivieren Sie die APIs

  3. Prüfen Sie, ob Sie die folgenden Rollen für die Organisation haben: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    Auf Rollen prüfen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie die Organisation aus.
    3. Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

      Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.

    4. Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

    Rollen zuweisen

    1. Öffnen Sie in der Google Cloud Console die Seite IAM.

      IAM aufrufen
    2. Wählen Sie die Organisation aus.
    3. Klicken Sie auf Zugriff erlauben.
    4. Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
    5. Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
    6. Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
    7. Klicken Sie auf Speichern.

Neues Projekt erstellen

So erstellen Sie eine Projektressource:

So erstellen Sie ein neues Projekt:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

    Die verbleibenden Schritte werden automatisch in der Google Cloud Console angezeigt.

  2. Wählen Sie oben auf der Seite in der Drop-down-Liste Organisation auswählen die Organisationsressource aus, in der Sie ein Projekt erstellen möchten. Wenn Sie eine kostenlose Testversion verwenden, überspringen Sie diesen Schritt, da diese Liste dann nicht angezeigt wird.
  3. Klicken Sie auf Projekt erstellen.
  4. Geben Sie im angezeigten Fenster Neues Projekt einen Projektnamen ein und wählen Sie ggf. ein Rechnungskonto aus. Ein Projektname darf nur Buchstaben, Zahlen, einfache Anführungszeichen, Bindestriche, Leerzeichen oder Ausrufezeichen enthalten und muss zwischen 4 und 30 Zeichen lang sein.
  5. Geben Sie die übergeordnete Organisations- oder Ordnerressource in das Feld Speicherort ein. Diese Ressource ist das hierarchisch übergeordnete Element des neuen Projekts. Wenn die Option Keine Organisation angezeigt wird, können Sie sie auswählen, um das neue Projekt als oberste Ebene seiner eigenen Ressourcenhierarchie zu erstellen.
  6. Nachdem Sie die Details zum neuen Projekt eingegeben haben, klicken Sie auf Erstellen.

Nach Erstellung des Projekts haben Sie die Rolle Inhaber. Diese Rolle enthält alle Berechtigungen, die Sie in dieser Kurzanleitung benötigen. Weitere Informationen zu Berechtigungen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Compute Engine-Laufwerk erstellen

Sie können die Funktion der Einschränkung für Ressourcenstandorte testen. Richten Sie dafür regionale, nichtflüchtige Speicher in Compute Engine ein. Zum Erstellen von regionalem nichtflüchtigem Speicher müssen Sie den Speicherort angeben. Weitere Informationen zum Erstellen von regionalen nichtflüchtigen Speichern in Compute Engine finden Sie unter Regionale nichtflüchtige Speicher-Volumes erstellen und verwalten.

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie das Projekt aus, das Sie zuvor erstellt haben.

    1. Wenn Sie aufgefordert werden, ein Rechnungskonto mit Ihrem Projekt zu verknüpfen, tun Sie dies jetzt. Weitere Informationen zum Aktivieren der Abrechnung finden Sie unter Abrechnungseinstellungen eines Projekts ändern.
  3. Klicken Sie auf Laufwerk erstellen.

  4. Geben Sie einen Namen für Ihr Laufwerk an.

  5. Wählen Sie Dieses Laufwerk innerhalb der Region replizieren aus.

  6. Wählen Sie unter Region europe-north1 (Finland) aus.

  7. Wählen Sie unter Zonen europe-north1-a und europe-north1-b aus.

  8. Klicken Sie auf Erstellen.

Wenn das Laufwerk erfolgreich erstellt wurde, wird neben dem Namen ein grünes Häkchen angezeigt.

Organisationsrichtlinie festlegen

So legen Sie für das erstellte Projekt eine Organisationsrichtlinie fest:

  1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

    Zu den Organisationsrichtlinien

  2. Klicken Sie auf Auswählen.

  3. Wählen Sie das von Ihnen erstellte Projekt aus.

  4. Klicken Sie auf Google Cloud Platform – Ressourcenstandorte definieren und anschließend auf Bearbeiten.

  5. Wählen Sie unter Gilt für die Option Anpassen aus.

  6. Wählen Sie unter Richtlinienwerte die Option Benutzerdefiniert aus.

  7. Wählen Sie unter Richtlinientyp Zulassen aus.

  8. Geben Sie in das Feld Richtlinienwert in:asia-locations ein.

  9. Klicken Sie auf Speichern. Es wird eine Benachrichtigung angezeigt, die die Richtlinienaktualisierung bestätigt.

asia-locations ist eine Wertgruppe, die von Google ausgewählt wird, um alle Standorte in einer bestimmten geografischen Region einzubeziehen. In diesem Fall ist jede Region in Asien als zulässiger Standort für Ressourcen definiert, die anschließend an diesen Punkt erstellt werden. Der zuvor erstellte, regionale nichtflüchtige Speicher ist von dieser neuen Richtlinie nicht betroffen, da diese nicht rückwirkend gilt.

Organisationsrichtlinie testen

Die Organisationsrichtlinie ist nun in Kraft und Sie können nur Ressourcen in Regionen erstellen, die in die Organisationsrichtlinie aufgenommen wurden. Zu Testzwecken können Sie versuchen, einen regionalen nichtflüchtigen Speicher an einem ungültigen Speicherort zu erstellen:

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie das Projekt aus, das Sie oben erstellt haben.

  3. Klicken Sie auf Laufwerk erstellen.

  4. Geben Sie einen Namen für Ihr Laufwerk an.

  5. Wählen Sie Dieses Laufwerk innerhalb der Region replizieren aus.

  6. Wählen Sie unter Region europe-north1 (Finland) aus.

  7. Wählen Sie unter Zonen europe-north1-a und europe-north1-b aus.

  8. Klicken Sie auf Erstellen.

Neben dem Namen wird ein rotes Ausrufezeichen angezeigt und eine Fehlermeldung wird eingeblendet:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Dabei ist RESOURCE_ID der vollständige Ressourcenpfad Ihres Projekts und des Laufwerks. Das Laufwerk wird nicht erstellt.

Regionalen nichtflüchtigen Speicher an einem gültigen Speicherort erstellen

Die Einschränkung der Organisationsrichtlinie verhindert das Erstellen von Ressourcen, sofern Sie keinen gültigen Speicherort angeben:

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie das Projekt aus, das Sie zuvor erstellt haben.

  3. Klicken Sie auf Laufwerk erstellen.

  4. Geben Sie einen Namen für Ihr Laufwerk an.

  5. Wählen Sie Dieses Laufwerk innerhalb der Region replizieren aus.

  6. Wählen Sie unter Region asia-east2 (Hong Kong) aus.

  7. Wählen Sie unter Zonen asia-east2-a und asia-east2-b aus.

  8. Klicken Sie auf Erstellen.

Die Ressource wird erstellt, da alle Zonen unter asia-east2 innerhalb der Wertegruppe asia-locations liegen.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die auf dieser Seite verwendeten Ressourcen in Rechnung gestellt werden:

Regionalen nichtflüchtigen Speicher löschen

Löschen Sie die regionalen nichtflüchtigen Speicher, die Sie für diese Kurzanleitung erstellt haben:

  1. Rufen Sie in der Google Cloud Console die Seite Laufwerke auf.

    Zur Seite „Laufwerke“

  2. Wählen Sie in der angezeigten Liste die beiden von Ihnen erstellten Laufwerke aus.

  3. Klicken Sie rechts neben der Schaltfläche Laufwerk erstellen auf Löschen.

  4. Klicken Sie im nun eingeblendeten Bestätigungsdialog auf Löschen.

Es wird ein Dialogfeld mit der Bestätigung angezeigt, dass die Laufwerke gelöscht wurden.

Projekt löschen

Löschen Sie das Projekt, das Sie für diese Kurzanleitung erstellt haben:

  1. Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.

    Zur Seite „Ressourcen verwalten“

  2. Wählen Sie im Drop-down-Menü oben auf der Seite die Organisation aus, in der Sie das Projekt erstellt haben.

  3. Wählen Sie in der angezeigten Liste der Projektressourcen das von Ihnen erstellte Projekt aus und klicken Sie auf Löschen.

  4. Geben Sie im Dialogfeld Projekt beenden die Projekt-ID ein und klicken Sie auf Beenden.

Nächste Schritte