Appliquer une règle d'administration à l'aide de Resource Manager

Ce guide explique comment définir une règle d'administration qui inclut la contrainte d'emplacement des ressources ; comment tester cette contrainte après son application Console Google Cloud :

Avant de commencer

  1. Make sure that billing is enabled for your Google Cloud project.

  2. Enable the Compute Engine and Resource Manager APIs.

    Enable the APIs

  3. Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role colunn to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Accéder à IAM
    2. Sélectionnez l'organisation.
    3. Cliquez sur Accorder l'accès.

    4. Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur. Il s'agit généralement de l'adresse e-mail d'un compte Google.

    5. Dans la liste Sélectionner un rôle, sélectionnez un rôle.
    6. Pour attribuer des rôles supplémentaires, cliquez sur Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
    7. Cliquez sur Enregistrer.

Créer un projet

Pour créer une ressource de projet, procédez comme suit :

Pour créer un projet, procédez comme suit :

  1. Accédez à la page Gérer les ressources de la console Google Cloud.

    Accéder à la page Gérer les ressources

    Les étapes restantes s'affichent dans la console Google Cloud.

  2. Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez la ressource d'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de la version d'essai sans frais, vous pouvez ignorer cette étape. Cette liste n'apparaîtra pas.
  3. Cliquez sur Créer un projet.
  4. Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom de projet, puis sélectionnez un compte de facturation si nécessaire. Le nom du projet ne peut contenir que des lettres, des chiffres, des guillemets simples, des traits d'union, des espaces ou des points d'exclamation. Il doit comporter entre 4 et 30 caractères.
  5. Indiquez l'organisation ou le dossier parent dans la zone Emplacement. Cette ressource sera le parent hiérarchique du nouveau projet. Si l'option Aucune organisation est proposée, vous pouvez la sélectionner pour créer votre projet en tant que niveau supérieur de sa propre hiérarchie de ressources.
  6. Une fois les détails du nouveau projet renseignés, cliquez sur Créer.

Une fois le projet créé, le rôle Propriétaire vous est attribué. Ce rôle inclut toutes les autorisations dont vous avez besoin pour le démarrage rapide suivant. Pour plus d'informations sur les autorisations, consultez la page Accorder, modifier et révoquer les accès à des ressources.

Créer un disque Compute Engine

Pour tester la fonctionnalité de la contrainte des emplacements des ressources, configurez les disques persistants régionaux Compute Engine. Lorsque vous créez un disque persistant régional, vous devez spécifier son emplacement. Pour en savoir plus sur la création de disques persistants régionaux Compute Engine, consultez la page Créer et gérer des volumes de disques persistants régionaux.

  1. Dans la console Google Cloud, accédez à la page Disques.

    Accéder à la page Disques

  2. Sélectionnez le projet que vous avez créé précédemment.

    1. Si vous êtes invité à associer un compte de facturation à votre projet, faites-le maintenant. Pour plus d'informations sur l'activation de la facturation, consultez la page Modifier les paramètres de facturation d'un projet.

  3. Cliquez sur Créer un disque.

  4. Spécifiez le paramètre Nom pour le disque.

  5. Sélectionnez Répliquer ce disque dans la région.

  6. Sous Région, sélectionnez europe-north1 (Finland).

  7. Sous Zones, sélectionnez europe-north1-a et europe-north1-b.

  8. Cliquez sur Créer.

Une fois le disque créé, une coche verte apparaît à côté du nom.

Définir la règle d'administration

Pour définir une règle d'administration pour le projet que vous avez créé, procédez comme suit :

  1. Dans la console Google Cloud, accédez à la page Règles d'administration.

    Accéder à la page Règles d'administration

  2. Cliquez sur Sélectionner.

  3. Sélectionnez le projet que vous avez créé.

  4. Cliquez sur Google Cloud Platform - Définir les emplacements des ressources, puis sur Modifier.

  5. Sous Applicable à, sélectionnez Personnaliser.

  6. Sous Valeurs de règles, sélectionnez Personnalisé.

  7. Sous Type de règle, sélectionnez Autoriser.

  8. Dans la zone Valeur de règle, saisissez in:asia-locations.

  9. Cliquez sur Enregistrer. Une notification s'affiche pour confirmer la mise à jour de la règle.

asia-locations est un groupe de valeurs sélectionné par Google pour inclure tous les emplacements d'une région géographique spécifique. Dans ce cas, chaque région d'Asie est définie comme un emplacement autorisé pour toutes les ressources créées par la suite. Notez que le disque persistant régional que vous avez créé ci-dessus n'est pas affecté par cette nouvelle règle, car la règle n'est pas rétroactive.

Tester la règle d'administration

Maintenant que la règle d'administration est active, vous ne pouvez pas créer de ressources dans des régions qui n'ont pas été spécifiées par la règle d'administration. Pour tester cela, essayez de créer un disque persistant régional dans un emplacement incorrect :

  1. Dans la console Google Cloud, accédez à la page Disques.

    Accéder à la page Disques

  2. Sélectionnez le projet que vous avez créé ci-dessus.

  3. Cliquez sur Créer un disque.

  4. Spécifiez le paramètre Nom pour le disque.

  5. Sélectionnez Répliquer ce disque dans la région.

  6. Sous Région, sélectionnez europe-north1 (Finland).

  7. Sous Zones, sélectionnez europe-north1-a et europe-north1-b.

  8. Cliquez sur Créer.

Un point d'exclamation rouge apparaît à côté du nom et une notification d'erreur s'affiche :

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

RESOURCE_ID est le chemin d'accès complet à la ressource de votre projet et de votre disque. Le disque n'est pas créé.

Créer un disque persistant régional dans un emplacement correct

La contrainte de règle d'administration bloque la création de ressources, sauf si vous spécifiez un emplacement valide :

  1. Dans la console Google Cloud, accédez à la page Disques.

    Accéder à la page Disques

  2. Sélectionnez le projet que vous avez créé précédemment.

  3. Cliquez sur Créer un disque.

  4. Spécifiez le paramètre Nom pour le disque.

  5. Sélectionnez Répliquer ce disque dans la région.

  6. Sous Région, sélectionnez asia-east2 (Hong Kong).

  7. Sous Zones, sélectionnez asia-east2-a et asia-east2-b.

  8. Cliquez sur Créer.

La ressource est créée, car toutes les zones situées sous asia-east2 font partie du groupe de valeurs asia-locations.

Effectuer un nettoyage

Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Google Cloud, procédez comme suit :

Supprimer les disques persistants régionaux

Supprimez les disques persistants régionaux que vous avez créés pour ce démarrage rapide :

  1. Dans la console Google Cloud, accédez à la page Disques.

    Accéder à la page Disques

  2. Dans la liste qui s'affiche, sélectionnez les deux disques que vous avez créés.

  3. À droite du bouton Créer un disque, cliquez sur Supprimer.

  4. Dans la boîte de dialogue de confirmation qui s'ouvre, cliquez sur Supprimer.

Une boîte de dialogue de notification s'affiche pour confirmer la suppression des disques.

Supprimer le projet

Supprimez le projet que vous avez créé pour ce démarrage rapide :

  1. Dans la console Google Cloud, accédez à la page Gérer les ressources.

    Accéder à la page Gérer les ressources

  2. Dans la liste déroulante située en haut de la page, sélectionnez l'organisation dans laquelle vous avez créé le projet de démarrage rapide.

  3. Dans la liste des ressources du projet qui s'affiche, sélectionnez le projet que vous avez créé, puis cliquez sur Supprimer.

  4. Dans la boîte de dialogue Arrêter le projet qui s'affiche, saisissez l'ID du projet, puis cliquez sur Arrêter.

Étape suivante