組織のポリシー適用のクイックスタート

このガイドでは、リソース ロケーションの制約を含む組織のポリシーの設定方法と、そのポリシーの適用後に Google Cloud Console で制約をテストする方法について説明します。

始める前に

次の Identity and Access Management(IAM)ロールが組織リソースレベルで割り当てられている必要があります。

Compute Engine リソースを作成するには、有効な請求先アカウントが必要です。

新規プロジェクトの作成

プロジェクト リソースを作成する方法は次のとおりです。

  1. Cloud Console の [リソースの管理] ページに移動します。
    [リソースの管理] ページに移動
  2. ページの上部にある「組織の選択」プルダウン リストで、プロジェクトを作成する組織を選択します。無料トライアルをご使用の場合はこのリストが表示されないため、この手順はスキップしてください。
  3. [プロジェクトを作成] をクリックします。
  4. 表示される [新しいプロジェクト] ウィンドウで、プロジェクト名を入力し、該当する請求先アカウントを選択します。 プロジェクト名には文字、数字、単一引用符、ハイフン、スペース、感嘆符のみを使用でき、4~30 文字にする必要があります。
  5. [場所] ボックスに親組織またはフォルダを入力します。このリソースが新しいプロジェクトの階層上の親になります。
  6. 新しいプロジェクトの詳細を入力し終えたら、[作成] をクリックします。

プロジェクトを作成すると、オーナーの役割が割り当てられます。 この役割には、次のクイックスタートに必要なすべての権限が含まれています。権限の詳細については、リソースへのアクセスの付与、変更、取り消しをご覧ください。

Compute Engine ディスクの作成

リソース ロケーションの制約の機能をテストするには、Compute Engine のリージョン永続ディスクを設定します。リージョン永続ディスクを作成する場合は、永続ディスクを配置するロケーションを指定する必要があります。Compute Engine リージョン永続ディスクの作成の詳細については、リージョン永続ディスクの追加やサイズ変更をご覧ください。

  1. Google Cloud Console で [ディスク] に移動します。

    [ディスク] ページに移動

  2. 以前に作成したプロジェクトを選択します。
    1. 請求先アカウントをプロジェクトにリンクするよう求められたら、すぐにリンクします。課金の有効化の詳細については、プロジェクトの課金の設定変更をご覧ください。
  3. [ディスクを作成] をクリックします。
  4. [名前] でディスクの名前を指定します。
  5. [リージョン内でこのディスクを複製] を選択します。
  6. [リージョン] の下で europe-north1 (Finland) を選択します。
  7. [ゾーン] の下で europe-north1-aeurope-north1-b を選択します。
  8. [作成] をクリックします。

ディスクが正常に作成されると、名前の横に緑色のチェックマークが表示されます。

組織のポリシーの設定

作成したプロジェクトに組織のポリシーを設定するには:

  1. Cloud Console の [組織のポリシー] ページに移動します。
    [組織のポリシー] ページに移動
  2. [選択] をクリックします。
  3. 作成したプロジェクトを選択します。
  4. [Google Cloud Platform] - [Define Resource Locations] をクリックし、[編集] をクリックします。
  5. [対象] で、[カスタマイズ] を選択します。
  6. [ポリシーの値] で [カスタム] を選択します。
  7. [ポリシータイプ] で、[許可] を選択します。
  8. [ポリシーの値] ボックスに in:asia-locations を入力します。
  9. [保存] をクリックします。ポリシーの更新を確認する通知が表示されます。

asia-locations は、特定の地理的リージョンのすべてのロケーションが含まれるように、Google によってキュレートされた値グループの 1 つです。この例では、アジアのすべてのリージョンが、その後に作成されるすべてのリソースに関して許可されたロケーションとして定義されます。上記のポリシーは遡って適用されないため、上記で作成したリージョン永続ディスクはこのポリシーによる影響を受けません。

組織のポリシーのテスト

組織のポリシーが有効であるため、組織のポリシーの一部として指定されていないリージョンにはリソースを作成できません。これをテストするために、無効なロケーションにリージョン永続ディスクを作成してみます。

  1. Cloud Console の [ディスク] ページに移動します。

    [ディスク] ページに移動

  2. 上記で作成したプロジェクトを選択します。
  3. [ディスクを作成] をクリックします。
  4. [名前] でディスクの名前を指定します。
  5. [リージョン内でこのディスクを複製] を選択します。
  6. [リージョン] の下で europe-north1 (Finland) を選択します。
  7. [ゾーン] の下で europe-north1-aeurope-north1-b を選択します。
  8. [作成] をクリックします。

名前の横に赤い感嘆符が表示され、エラーの通知が表示されます。

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

ここで、RESOURCE_ID はプロジェクトとディスクの完全なリソースパスです。ディスクは作成されません。

有効なロケーションでのリージョン永続ディスクの作成

有効なロケーションを指定しない限り、組織のポリシーの制約によりリソースの作成がブロックされます。

  1. Cloud Console の [ディスク] ページに移動します。

    [ディスク] ページに移動

  2. 以前に作成したプロジェクトを選択します。
  3. [ディスクを作成] をクリックします。
  4. [名前] でディスクの名前を指定します。
  5. [リージョン内でこのディスクを複製] を選択します。
  6. [リージョン] の下で asia-east2 (Hong Kong) を選択します。
  7. [ゾーン] の下で asia-east2-aasia-east2-b を選択します。
  8. [作成] をクリックします。

asia-east2 の下にあるすべてのゾーンが asia-locations 値グループ内にあるため、リソースは正常に作成されます。

クリーンアップ

このクイックスタートで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順に従います。

リージョン永続ディスクの削除

このクイックスタート用に作成したリージョン永続ディスクを削除します。

  1. Cloud Console の [ディスク] ページに移動します。

    [ディスク] ページに移動

  2. 表示されるリストで、作成したディスクを両方とも選択します。
  3. [ディスクの作成] ボタンの右側にある [削除] をクリックします。
  4. 表示される確認ダイアログで、[削除] をクリックします。

ディスクが削除されたことを通知するダイアログが表示されます。

プロジェクトの削除

このクイックスタート用に作成したプロジェクトを削除します。

  1. Cloud Console の [リソースの管理] ページに移動します。
    [リソースの管理] ページに移動
  2. ページの上部にあるプルダウンで、クイックスタート プロジェクトを作成した組織を選択します。
  3. 表示されるプロジェクト リソースのリストで、作成したプロジェクトを選択し、[削除] をクリックします。
  4. プロジェクトのシャットダウン] ダイアログが表示されたら、プロジェクト ID を入力して、[シャットダウン] をクリックします。

次のステップ