使用 Resource Manager 实施组织政策

本指南介绍如何设置包含资源位置限制条件的组织政策,以及如何在 Google Cloud 控制台中应用该限制条件后对其进行测试。

准备工作

  1. 确保您的 Google Cloud 项目已启用结算功能

  2. 启用 Compute Engine and Resource Manager API。

    启用 API

  3. 确保您拥有组织的以下一个或多个角色: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    检查角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择组织。

    3. 主账号列中,找到您的电子邮件地址所在的行。

      如果您的电子邮件地址不在此列,则表示您没有任何角色。

    4. 在您的电子邮件地址所在的行对应的角色列中,检查角色列表是否包含所需的角色。

    授予角色

    1. 在 Google Cloud 控制台中,前往 IAM 页面。

      转到 IAM
    2. 选择组织。
    3. 点击 授予访问权限
    4. 新的主账号字段中,输入您的电子邮件地址。
    5. 选择角色列表中,选择一个角色。
    6. 如需授予其他角色,请点击 添加其他角色,然后添加其他各个角色。
    7. 点击 Save(保存)。

新建项目

要创建项目资源,请按照以下步骤操作:

如需创建新项目,请执行以下操作:

  1. 前往 Google Cloud 控制台中的管理资源页面。

    前往“管理资源”

    其余步骤将自动显示在 Google Cloud 控制台中。

  2. 在页面顶部的选择组织下拉列表中,选择要在其中创建项目的组织资源。如果您使用的是免费试用版,请跳过此步骤,因为系统不会显示此列表。
  3. 点击创建项目
  4. 在显示的新建项目窗口中,输入项目名称并选择适用的结算账号。项目名称只能包含字母、数字、英文单引号、连字符、空格或英文感叹号,且长度必须介于 4 到 30 个字符之间。
  5. 位置框中输入父级组织或文件夹资源。该资源将是新项目的分层父级。如果可以选择无组织,那么您也可以选择该选项,将新项目作为其自身资源层次结构的顶层进行创建。
  6. 输入完新项目的详细信息后,点击创建

创建项目后,系统会为您分配 Owner 角色。 此角色拥有您在以下快速入门部分所需的所有权限。 如需详细了解权限,请参阅授予、更改和撤消对资源的访问权限

创建 Compute Engine 磁盘

要测试资源位置限制条件的功能,请设置 Compute Engine 区域永久性磁盘。创建区域永久性磁盘时,您必须指定该磁盘所在的位置。如需详细了解如何创建 Compute Engine 区域永久性磁盘,请参阅创建和管理区域 Persistent Disk

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 选择您之前创建的项目。

    1. 如果系统提示您将项目与结算账号关联起来,请立即执行此操作。 如需详细了解如何启用结算功能,请参阅修改项目的结算设置

  3. 点击创建磁盘

  4. 为您的磁盘指定一个名称

  5. 选择在区域内复制此磁盘

  6. 区域下选择 europe-north1 (Finland)

  7. 地区下选择 europe-north1-aeurope-north1-b

  8. 点击创建

成功创建磁盘后,相应名称旁会显示一个绿色的对勾标记。

设置组织政策

要为您创建的项目设置组织政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,转到组织政策页面。

    转到组织政策

  2. 点击选择

  3. 选择您创建的项目。

  4. 点击 Google Cloud Platform -定义资源位置,然后点击修改

  5. 应用对象下,选择自定义

  6. 政策值下,选择自定义

  7. 政策类型下,选择允许

  8. 政策值框中,输入 in:asia-locations

  9. 点击保存。此时系统会显示一条通知,以确认更新政策。

asia-locations 是由 Google 精心挑选的一个值组,用于包含特定地区中的所有位置。在此示例中,亚洲的所有区域都被定义为在此之后创建的任何资源的允许位置。请注意,上面创建的区域永久性磁盘不受此新政策的影响,因为该政策的效力不会追溯既往。

测试组织政策

组织政策现已生效,因此您无法在组织政策未指定的区域中创建资源。要对此进行测试,请尝试在一个无效位置创建区域永久性磁盘:

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 选择上面创建的项目。

  3. 点击创建磁盘

  4. 为您的磁盘指定一个名称

  5. 选择在区域内复制此磁盘

  6. 区域下选择 europe-north1 (Finland)

  7. 地区下选择 europe-north1-aeurope-north1-b

  8. 点击创建

此时,系统会在相应名称旁边显示一个红色的英文感叹号,并显示以下错误通知:

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

其中,RESOURCE_ID 是项目和磁盘的完整资源路径。系统未创建该磁盘。

在有效位置创建区域永久性磁盘

除非您指定的位置有效,否则组织政策限制条件会阻止资源的创建:

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 选择您之前创建的项目。

  3. 点击创建磁盘

  4. 为您的磁盘指定一个名称

  5. 选择在区域内复制此磁盘

  6. 区域下选择 asia-east2 (Hong Kong)

  7. 地区下选择 asia-east2-aasia-east2-b

  8. 点击创建

系统便会成功创建资源,因为 asia-east2 下的所有地区均在 asia-locations 值组范围内。

清理

为避免因本页中使用的资源导致您的 Google Cloud 账号产生费用,请按照以下步骤操作。

删除地区永久性磁盘

删除您为本快速入门创建的区域永久性磁盘:

  1. 在 Google Cloud 控制台中,转到磁盘页面。

    转到“磁盘”

  2. 在显示的列表中,选择您创建的两个磁盘。

  3. 点击创建磁盘按钮右侧的删除

  4. 在显示的确认对话框中,点击删除

此时系统会显示一个通知对话框,以确认磁盘已被删除。

删除项目

您可以按照以下方式删除您为本快速入门创建的项目:

  1. 在 Google Cloud 控制台中,进入管理资源页面:

    打开“管理资源”

  2. 在页面顶部的下拉列表中,选择您在其中为本快速入门创建了项目的组织。

  3. 在显示的项目资源列表中,选择您创建的项目,然后点击删除

  4. 在出现的关停项目对话框中,输入项目 ID,然后点击关停

后续步骤