Aplique a política da organização através do Resource Manager

Este guia descreve como definir uma política da organização que inclui a restrição de localizações de recursos e como testar essa restrição depois de ser aplicada na Google Cloud consola.

Antes de começar

  1. Verify that billing is enabled for your Google Cloud project.

  2. Enable the Compute Engine and Resource Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  3. Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    Check for the roles

    1. In the Google Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Google Cloud console, go to the IAM page.

      Aceder ao IAM
    2. Selecione a organização.
    3. Clique em Conceder acesso.

    4. No campo Novos responsáveis, introduza o identificador do utilizador. Normalmente, este é o endereço de email de uma Conta Google.

    5. Na lista Selecionar uma função, selecione uma função.
    6. Para conceder funções adicionais, clique em Adicionar outra função e adicione cada função adicional.
    7. Clique em Guardar.

Crie um novo projeto

Para criar um recurso Project, siga os passos abaixo:

Para criar um novo projeto, faça o seguinte:

  1. Aceda à página Gerir recursos na Google Cloud consola.

    Aceda a Gerir recursos

    Os passos restantes aparecem na Google Cloud consola.

  2. Na lista pendente Selecionar organização na parte superior da página, selecione o recurso de organização no qual quer criar um projeto. Se for um utilizador da avaliação gratuita, ignore este passo, uma vez que esta lista não é apresentada.
  3. Clique em Criar projeto.
  4. Na janela Novo projeto apresentada, introduza um nome do projeto e selecione uma conta de faturação, conforme aplicável. Um nome de projeto só pode conter letras, números, aspas simples, hífenes, espaços ou pontos de exclamação e tem de ter entre 4 e 30 carateres.
  5. Introduza a organização principal ou o recurso de pasta na caixa Localização. Esse recurso vai ser o principal hierárquico do novo projeto. Se Nenhuma organização for uma opção, pode selecioná-la para criar o seu novo projeto como o nível superior da sua própria hierarquia de recursos.
  6. Quando terminar de introduzir os detalhes do novo projeto, clique em Criar.

Depois de criar o projeto, a função de proprietário é-lhe atribuída. Esta função inclui todas as autorizações necessárias para o seguinte início rápido. Para mais informações sobre autorizações, consulte o artigo Conceder, alterar e revogar o acesso a recursos.

Crie um disco do Compute Engine

Para testar a funcionalidade da restrição de localizações de recursos, configure discos persistentes regionais do Compute Engine. Quando cria um disco persistente regional, tem de especificar a localização onde vai residir. Para mais informações sobre como criar discos persistentes regionais do Compute Engine, consulte o artigo Crie e faça a gestão de volumes de discos persistentes regionais.

  1. Na Google Cloud consola, aceda à página Discos.

    Aceda a Discos

  2. Selecione o projeto que criou anteriormente.

    1. Se lhe for pedido que associe uma conta de faturação ao seu projeto, faça-o agora. Para mais informações sobre como ativar a faturação, consulte o artigo Modifique as definições de faturação de um projeto.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Selecione Replicar este disco na região.

  6. Em Região, selecione europe-north1 (Finland).

  7. Em Zonas, selecione europe-north1-a e europe-north1-b.

  8. Clique em Criar.

Quando o disco é criado com êxito, aparece uma marca de verificação verde junto ao nome.

Defina a política da organização

Para definir uma política da organização no projeto que criou:

  1. Na Google Cloud consola, aceda à página Políticas de organização.

    Aceda às políticas da organização

  2. Clique em Selecionar.

  3. Selecione o projeto que criou.

  4. Clique em Google Cloud Platform – Defina localizações de recursos e, de seguida, clique em Editar.

  5. Em Aplica-se a, selecione Personalizar.

  6. Em Valores da política, selecione Personalizado.

  7. Em Tipo de política, selecione Permitir.

  8. Na caixa Valor da política, introduza in:asia-locations.

  9. Clique em Guardar. É apresentada uma notificação para confirmar a atualização da política.

asia-locations é um grupo de valores organizado pela Google para incluir todas as localizações numa determinada região geográfica. Neste caso, todas as regiões na Ásia são definidas como uma localização permitida para todos os recursos criados a partir deste ponto. Tenha em atenção que o disco persistente regional que criou acima não é afetado por esta nova política, uma vez que a política não é retroativa.

Testar a política da organização

Agora que a política da organização está em vigor, não pode criar recursos em regiões que não foram especificadas como parte da política da organização. Para testar isto, experimente criar um disco persistente regional numa localização inválida:

  1. Na Google Cloud consola, aceda à página Discos.

    Aceda a Discos

  2. Selecione o projeto que criou acima.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Selecione Replicar este disco na região.

  6. Em Região, selecione europe-north1 (Finland).

  7. Em Zonas, selecione europe-north1-a e europe-north1-b.

  8. Clique em Criar.

É apresentado um ponto de exclamação vermelho junto ao nome e é apresentada uma notificação de erro:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Onde RESOURCE_ID é o caminho completo do recurso do seu projeto e disco. O disco não é criado.

Crie um disco persistente regional numa localização válida

A restrição da política da organização bloqueia a criação de recursos, a menos que especifique uma localização válida:

  1. Na Google Cloud consola, aceda à página Discos.

    Aceda a Discos

  2. Selecione o projeto que criou anteriormente.

  3. Clique em Criar disco.

  4. Especifique um Nome para o disco.

  5. Selecione Replicar este disco na região.

  6. Em Região, selecione asia-east2 (Hong Kong).

  7. Em Zonas, selecione asia-east2-a e asia-east2-b.

  8. Clique em Criar.

O recurso é criado com êxito porque todas as zonas em asia-east2 estão no grupo de valores asia-locations.

Limpar

Para evitar incorrer em cobranças na sua Google Cloud conta pelos recursos usados nesta página, siga estes passos.

Elimine discos persistentes regionais

Elimine os discos persistentes regionais que criou para este início rápido:

  1. Na Google Cloud consola, aceda à página Discos.

    Aceda a Discos

  2. Na lista apresentada, selecione ambos os discos que criou.

  3. À direita do botão Criar disco, clique em Eliminar.

  4. Na caixa de diálogo de confirmação apresentada, clique em Eliminar.

É apresentada uma caixa de diálogo de notificação para confirmar que os discos foram eliminados.

Elimine o projeto

Elimine o projeto que criou para este início rápido:

  1. Na Google Cloud consola, aceda à página Gerir recursos.

    Aceda a Gerir recursos

  2. No menu pendente na parte superior da página, selecione a organização na qual criou o projeto de início rápido.

  3. Na lista de recursos do projeto apresentada, selecione o projeto que criou e, de seguida, clique em Eliminar.

  4. Na caixa de diálogo Encerrar projeto apresentada, introduza o ID do projeto e, de seguida, clique em Encerrar.

O que se segue?