Aplicar políticas de organización con Resource Manager
En esta guía se describe cómo definir una política de organización que incluya la restricción ubicaciones de recursos y cómo probar esa restricción después de aplicarla en la Google Cloud consola.
Antes de empezar
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine and Resource Manager APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Check for the roles
-
In the Google Cloud console, go to the IAM page.
Go to IAM - Select the organization.
-
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
- For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.
Grant the roles
-
In the Google Cloud console, go to the IAM page.
Ir a IAM - Selecciona la organización.
- Haz clic en Conceder acceso.
-
En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, se trata de la dirección de correo de una cuenta de Google.
- En la lista Selecciona un rol, elige un rol.
- Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
- Haz clic en Guardar.
-
Crear proyecto
Para crear un recurso Project, sigue estos pasos:
Para crear un proyecto, sigue estos pasos:
-
Ve a la página Gestionar recursos de la Google Cloud consola.
Los pasos restantes aparecen en la Google Cloud consola.
- En la lista desplegable Seleccionar organización, que aparece en la parte superior de la página, selecciona el recurso de organización en el que quieras crear un proyecto. Si estás usando la prueba gratuita, sáltate este paso, ya que esta lista no aparece.
- Haz clic en Crear proyecto.
- En la ventana Nuevo proyecto que aparece, introduce el nombre de un proyecto y selecciona una cuenta de facturación, si procede. El nombre de un proyecto solo puede contener letras, números, comillas simples, guiones, espacios o signos de exclamación, y debe tener entre 4 y 30 caracteres.
- Introduce el recurso de la organización o carpeta principal en el cuadro Ubicación. Ese recurso será el padre jerárquico del nuevo proyecto. Si la opción No hay ninguna organización está disponible, selecciónala para crear tu nuevo proyecto como nivel superior de su propia jerarquía de recursos.
- Cuando hayas terminado de introducir los detalles del nuevo proyecto, haz clic en Crear.
Después de crear el proyecto, se te asignará el rol Propietario. Este rol incluye todos los permisos que necesitas para la siguiente guía de inicio rápido. Para obtener más información sobre los permisos, consulta Conceder, cambiar y revocar el acceso a los recursos.
Crear un disco de Compute Engine
Para probar la funcionalidad de la restricción de ubicaciones de recursos, configura discos persistentes regionales de Compute Engine. Cuando creas un disco persistente regional, debes especificar la ubicación en la que se almacenará. Para obtener más información sobre cómo crear discos persistentes regionales de Compute Engine, consulta Crear y gestionar volúmenes de Persistent Disk regionales.
En la Google Cloud consola, ve a la página Discos.
Selecciona el proyecto que has creado anteriormente.
- Si se te pide que vincules una cuenta de facturación a tu proyecto, hazlo ahora. Para obtener más información sobre cómo habilitar la facturación, consulta el artículo Modificar la configuración de facturación de un proyecto.
Haz clic en Crear disco.
Especifique un nombre para el disco.
Seleccione Replicar este disco dentro de la región.
En Región, selecciona
europe-north1 (Finland).En Zonas, selecciona
europe-north1-ayeurope-north1-b.Haz clic en Crear.
Cuando el disco se haya creado correctamente, aparecerá una marca de verificación verde junto al nombre.
Definir la política de organización
Para definir una política de la organización en el proyecto que has creado, sigue estos pasos:
En la Google Cloud consola, ve a la página Políticas de la organización.
Haz clic en Seleccionar.
Selecciona el proyecto que has creado.
Haz clic en Google Cloud Platform - Define Resource Locations (Google Cloud Platform: define las ubicaciones de los recursos) y, a continuación, en Edit (Editar).
En Se aplica a, selecciona Personalizar.
En Valores de la política, selecciona Personalizado.
En Tipo de política, selecciona Permitir.
En el cuadro Valor de la política, introduce
in:asia-locations.Haz clic en Guardar. Aparecerá una notificación para confirmar la actualización de la política.
asia-locations es un grupo de valores que Google ha seleccionado para incluir todas las ubicaciones de una región geográfica concreta.
En este caso, todas las regiones de Asia se definen como ubicaciones permitidas para los recursos creados a partir de este momento. Ten en cuenta que el disco persistente regional que has creado anteriormente no se ve afectado por esta nueva política, ya que no es retroactiva.
Probar la política de organización
Ahora que la política de organización está en vigor, no puedes crear recursos en regiones que no se hayan especificado en la política de organización. Para probarlo, intenta crear un disco persistente regional en una ubicación no válida:
En la Google Cloud consola, ve a la página Discos.
Selecciona el proyecto que has creado anteriormente.
Haz clic en Crear disco.
Especifique un nombre para el disco.
Seleccione Replicar este disco dentro de la región.
En Región, selecciona
europe-north1 (Finland).En Zonas, selecciona
europe-north1-ayeurope-north1-b.Haz clic en Crear.
Aparece un signo de exclamación rojo junto al nombre y se muestra una notificación de error:
Location ZONE:europe-north1-a violates constraint constraints/gcp.resourceLocations on the resource RESOURCE_ID
Donde RESOURCE_ID es la ruta de recurso completa de tu proyecto y tu disco. El disco no se ha creado.
Crear un disco persistente regional en una ubicación válida
La restricción de la política de organización impide la creación de recursos a menos que especifiques una ubicación válida:
En la Google Cloud consola, ve a la página Discos.
Selecciona el proyecto que has creado anteriormente.
Haz clic en Crear disco.
Especifique un nombre para el disco.
Seleccione Replicar este disco dentro de la región.
En Región, selecciona
asia-east2 (Hong Kong).En Zonas, selecciona
asia-east2-ayasia-east2-b.Haz clic en Crear.
El recurso se crea correctamente porque todas las zonas de asia-east2 están dentro del grupo de valores asia-locations.
Limpieza
Para evitar que se apliquen cargos en tu cuenta de Google Cloud por los recursos utilizados en esta página, sigue estos pasos.
Eliminar discos persistentes regionales
Elimina los discos persistentes regionales que has creado para esta guía de inicio rápido:
En la Google Cloud consola, ve a la página Discos.
En la lista que aparece, selecciona los dos discos que has creado.
A la derecha del botón Crear disco, haz clic en Eliminar.
En el cuadro de diálogo de confirmación que aparece, haz clic en Eliminar.
Aparecerá un cuadro de diálogo de notificación para confirmar que se han eliminado los discos.
Eliminar el proyecto
Elimina el proyecto que has creado para esta guía de inicio rápido:
En la Google Cloud consola, ve a la página Gestionar recursos.
En el menú desplegable de la parte superior de la página, selecciona la organización en la que has creado el proyecto de inicio rápido.
En la lista de recursos del proyecto que aparece, selecciona el proyecto que has creado y, a continuación, haz clic en Eliminar.
En el cuadro de diálogo Cerrar proyecto que aparece, introduce el ID del proyecto y, a continuación, haz clic en Cerrar.