Aplicar a política da organização usando o Resource Manager

Neste guia, descrevemos como definir uma política da organização que inclua a restrição de locais de recursos e como testar essa restrição depois que ela for aplicada no console do Google Cloud.

Antes de começar

Verifique se a cobrança está ativada para o seu projeto do Google Cloud.

Ative as APIs Compute Engine and Resource Manager.
Ative as APIs

Verifique se você tem os seguintes papéis na organização: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Verificar os papéis
1. No console do Google Cloud, abra a página IAM.
  Acessar IAM
2. Selecionar uma organização.
3. Na coluna Principal, encontre a linha que contém seu endereço de e-mail.
  
  Caso seu endereço de e-mail não esteja nessa coluna, isso significa que você não tem papéis.
4. Na coluna Papel da linha com seu endereço de e-mail, verifique se a lista de papéis inclui os papéis necessários.
Conceder os papéis
1. No console do Google Cloud, abra a página IAM.
  Acesse o IAM
2. Selecionar uma organização.
3. Clique em CONCEDER ACESSO.
4. No campo Novos participantes, digite seu endereço de e-mail.
5. Na lista Selecionar um papel, escolha um.
6. Para conceder outros papéis, clique em Adicionar outro papel e adicione cada papel adicional.
7. Clique em Save.

Como criar um projeto novo

Para criar um recurso de projeto, siga as etapas abaixo:

Para criar um projeto novo, execute as seguintes etapas:

Acesse a página Gerenciar recursos no console do Google Cloud.
Acessar "Gerenciar recursos"
As etapas restantes serão exibidas automaticamente no console do Google Cloud.
Na lista suspensa Selecionar organização, na parte de cima da página, escolha o recurso da organização em que o projeto vai ser criado. Se você é um usuário da avaliação gratuita, pule esta etapa porque a lista não será exibida.
Clique em Criar projeto.
Na janela Novo projeto que vai ser exibida, insira o nome do projeto e selecione uma conta de faturamento, conforme aplicável. O nome de um projeto só pode ser composto por letras, números, aspas simples, hifens, espaços ou pontos de exclamação e precisa ter entre 4 e 30 caracteres.
Insira o recurso da organização ou pasta mãe na caixa Local. Esse recurso vai ser o pai hierárquico do novo projeto. Se houver a opção Sem organização, selecione-a para criar o novo projeto como o nível superior da própria hierarquia de recursos.
Ao concluir a inserção dos detalhes do novo projeto, clique em Criar.

Depois de criar o Projeto, o papel Proprietário é atribuído a você. Esse papel inclui todas as permissões necessárias para o guia de início rápido a seguir. Para obter mais informações sobre permissões, consulte Como conceder, alterar e revogar o acesso a recursos.

Criar um disco do Compute Engine

Para testar a funcionalidade da restrição de locais de recursos, configure discos permanentes regionais do Compute Engine. Ao criar um disco permanente regional, você deve especificar o local onde ele ficará. Para mais informações sobre como criar discos permanentes regionais do Compute Engine, consulte Criar e gerenciar volumes regionais do Persistent Disk.

No console do Google Cloud, acesse a página Discos.

Acessar "Discos"
Selecione o projeto criado anteriormente.
1. Se for solicitado que você vincule uma conta de faturamento ao seu projeto, faça isso agora. Para obter mais informações sobre como ativar o faturamento, consulte a seção Como modificar as configurações de faturamento de um projeto.
Clique em Criar disco.
Especifique um Nome para o disco.
Selecione Replicar este disco na região.
Em Região, selecione europe-north1 (Finland).
Em Zonas, selecione europe-north1-a e europe-north1-b.
Clique em Criar.

Quando o disco for criado, uma marca de seleção verde aparecerá ao lado do nome.

Como definir a política da organização

Para definir uma política da organização no projeto que você criou:

No console do Google Cloud, acesse a página Políticas da organização.

Acessar as políticas da organização
Clique em Selecionar.
Selecione o projeto criado.
Clique em Google Cloud Platform - Definir locais do recurso e, em seguida, clique em Editar.
Em É aplicável a, selecione Personalizar.
Em Valores da política, selecione Personalizado.
Em Tipo de política, selecione Permitir.
Na caixa Valor da política, digite in:asia-locations.
Clique em Salvar. Uma notificação é exibida para confirmar a atualização da política.

asia-locations é um grupo de valores selecionado pelo Google para incluir todos os locais em uma determinada região geográfica. Nesse caso, cada região da Ásia é definida como um local permitido para todos os recursos criados depois desse ponto. Observe que o disco permanente regional que você criou acima não é afetado por essa nova política, porque a política não é retroativa.

Como testar a política da organização

Agora que a política da organização está em vigor, não é possível criar recursos em regiões que não foram especificadas como parte da política da organização. Para testar isso, tente criar um disco permanente regional em um local inválido:

No console do Google Cloud, acesse a página Discos.

Acessar "Discos"
Selecione o projeto criado acima.
Clique em Criar disco.
Especifique um Nome para o disco.
Selecione Replicar este disco na região.
Em Região, selecione europe-north1 (Finland).
Em Zonas, selecione europe-north1-a e europe-north1-b.
Clique em Criar.

Um ponto de exclamação vermelho é exibido ao lado do nome, e uma notificação de erro é exibida:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

Em que RESOURCE_ID é o caminho completo do recurso do projeto e do disco. O disco não foi criado.

Como criar um disco permanente regional em um local válido

A restrição da política da organização bloqueia a criação de recursos, a menos que você especifique um local válido:

No console do Google Cloud, acesse a página Discos.

Acessar "Discos"
Selecione o projeto criado anteriormente.
Clique em Criar disco.
Especifique um Nome para o disco.
Selecione Replicar este disco na região.
Em Região, selecione asia-east2 (Hong Kong).
Em Zonas, selecione asia-east2-a e asia-east2-b.
Clique em Criar.

O recurso foi criado porque todas as zonas em asia-east2 estão dentro do grupo de valores asia-locations.

Limpar

Para evitar cobranças na sua conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.

Como excluir discos permanentes regionais

Para excluir os discos permanentes regionais criados para este guia de início rápido:

No console do Google Cloud, acesse a página Discos.

Acessar "Discos"
Na lista exibida, selecione os dois discos que você criou.
À direita do botão Criar disco, clique em Excluir.
Na caixa de diálogo de confirmação que aparecerá, clique em Excluir.

Uma caixa de diálogo de notificação é exibida para confirmar que os discos foram excluídos.

Como excluir o projeto

Para excluir o projeto que você criou para este guia de início rápido:

No Console do Google Cloud, acesse a página Gerenciar recursos.

Acessar "Gerenciar recursos"
Na lista suspensa na parte superior da página, selecione a Organização na qual você criou o Projeto deste guia de início rápido.
Na lista de recursos do projeto exibida, selecione o projeto que você criou e clique em Excluir.
Na caixa de diálogo Encerrar projeto exibida, insira o ID do projeto e clique em Encerrar.

A seguir

Saiba mais sobre como implementar a política da organização implementando restrições da política da organização.
Revise os serviços que suportam a restrição de locais de recursos.