Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez
Différences par rapport à Google Cloud.
Appliquer une règle d'administration à l'aide de Resource Manager
Avant de commencer
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Compute Engine and Resource Manager APIs.
Enable the APIs
-
Make sure that you have the following role or roles on the organization:
Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Check for the roles
-
In the Trusted Cloud console, go to the IAM page.
Go to IAM
-
Select the organization.
-
In the Principal column, find all rows that identify you or a group that
you're included in. To learn which groups you're included in, contact your
administrator.
-
For all rows that specify or include you, check the Role column to see whether
the list of roles includes the required roles.
Grant the roles
-
In the Trusted Cloud console, go to the IAM page.
Accéder à IAM
-
Sélectionnez l'organisation.
-
Cliquez sur person_add Accorder l'accès.
-
Dans le champ Nouveaux comptes principaux, saisissez votre identifiant utilisateur.
Il s'agit généralement de l'identifiant d'un utilisateur dans un pool d'identités de personnel. Pour en savoir plus, consultez la section Représenter les utilisateurs de pools de personnel dans les stratégies IAM ou contactez votre administrateur.
-
Dans la liste Sélectionner un rôle, sélectionnez un rôle.
-
Pour attribuer des rôles supplémentaires, cliquez sur add Ajouter un autre rôle et ajoutez chaque rôle supplémentaire.
-
Cliquez sur Enregistrer.
Créer un projet
Pour créer une ressource de projet, procédez comme suit :
Pour créer un projet, procédez comme suit :
-
Accédez à la page Gérer les ressources dans la console Trusted Cloud .
Accéder à la page Gérer les ressources
Les étapes restantes s'affichent dans la console Trusted Cloud .
-
Dans la liste déroulante Sélectionner une organisation en haut de la page, sélectionnez la ressource d'organisation dans laquelle vous souhaitez créer un projet. Si vous êtes un utilisateur de la version d'essai sans frais, vous pouvez ignorer cette étape. Cette liste n'apparaîtra pas.
- Cliquez sur Créer un projet.
-
Dans la fenêtre Nouveau projet qui s'affiche, saisissez un nom de projet, puis sélectionnez un compte de facturation si nécessaire. Le nom du projet ne peut contenir que des lettres, des chiffres, des guillemets simples, des traits d'union, des espaces ou des points d'exclamation. Il doit comporter entre 4 et 30 caractères.
-
Indiquez l'organisation ou le dossier parent dans la zone Emplacement. Cette ressource sera le parent hiérarchique du nouveau projet. Si l'option Aucune organisation est proposée, vous pouvez la sélectionner pour créer votre projet en tant que niveau supérieur de sa propre hiérarchie de ressources.
- Une fois les détails du nouveau projet renseignés, cliquez sur Créer.
Une fois le projet créé, le rôle Propriétaire vous est attribué.
Ce rôle inclut toutes les autorisations dont vous avez besoin pour le démarrage rapide suivant.
Pour plus d'informations sur les autorisations, consultez la page Accorder, modifier et révoquer les accès à des ressources.
Créer un disque Compute Engine
Pour tester la fonctionnalité de la contrainte des emplacements des ressources, configurez les disques persistants régionaux Compute Engine. Lorsque vous créez un disque persistant régional, vous devez spécifier son emplacement. Pour plus d'informations sur la création de disques persistants régionaux Compute Engine, consultez Créer et gérer des volumes de disques persistants régionaux.
Dans la console Trusted Cloud , accédez à la page Disques.
Accéder à la page Disques
Sélectionnez le projet que vous avez créé précédemment.
- Si vous êtes invité à associer un compte de facturation à votre projet, faites-le maintenant.
Pour plus d'informations sur l'activation de la facturation, consultez la page Modifier les paramètres de facturation d'un projet.
Cliquez sur Créer un disque.
Spécifiez le paramètre Nom pour le disque.
Sélectionnez Répliquer ce disque dans la région.
Sous Région, sélectionnez europe-north1 (Finland).
Sous Zones, sélectionnez europe-north1-a et europe-north1-b.
Cliquez sur Créer.
Une fois le disque créé, une coche verte apparaît à côté du nom.
Définir la règle d'administration
Pour définir une règle d'administration pour le projet que vous avez créé, procédez comme suit :
Dans la console Trusted Cloud , accédez à la page Règles d'administration.
Accéder à la page Règles d'administration
Cliquez sur Sélectionner.
Sélectionnez le projet que vous avez créé.
Cliquez sur Google Cloud Platform - Définir les emplacements des ressources, puis sur Modifier.
Sous Applicable à, sélectionnez Personnaliser.
Sous Valeurs de règles, sélectionnez Personnalisé.
Sous Type de règle, sélectionnez Autoriser.
Dans la zone Valeur de règle, saisissez in:asia-locations.
Cliquez sur Enregistrer. Une notification s'affiche pour confirmer la mise à jour de la règle.
asia-locations est un groupe de valeurs sélectionné par Google pour inclure tous les emplacements d'une région géographique spécifique.
Dans ce cas, chaque région d'Asie est définie comme un emplacement autorisé pour toutes les ressources créées par la suite. Notez que le disque persistant régional que vous avez créé ci-dessus n'est pas affecté par cette nouvelle règle, car la règle n'est pas rétroactive.
Tester la règle d'administration
Maintenant que la règle d'administration est active, vous ne pouvez pas créer de ressources dans des régions qui n'ont pas été spécifiées par la règle d'administration. Pour tester cela, essayez de créer un disque persistant régional dans un emplacement incorrect :
Dans la console Trusted Cloud , accédez à la page Disques.
Accéder à la page Disques
Sélectionnez le projet que vous avez créé ci-dessus.
Cliquez sur Créer un disque.
Spécifiez le paramètre Nom pour le disque.
Sélectionnez Répliquer ce disque dans la région.
Sous Région, sélectionnez europe-north1 (Finland).
Sous Zones, sélectionnez europe-north1-a et europe-north1-b.
Cliquez sur Créer.
Un point d'exclamation rouge apparaît à côté du nom et une notification d'erreur s'affiche :
Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID
Où RESOURCE_ID est le chemin d'accès complet à la ressource de votre projet et de votre disque.
Le disque n'est pas créé.
Créer un disque persistant régional dans un emplacement correct
La contrainte de règle d'administration bloque la création de ressources, sauf si vous spécifiez un emplacement valide :
Dans la console Trusted Cloud , accédez à la page Disques.
Accéder à la page Disques
Sélectionnez le projet que vous avez créé précédemment.
Cliquez sur Créer un disque.
Spécifiez le paramètre Nom pour le disque.
Sélectionnez Répliquer ce disque dans la région.
Sous Région, sélectionnez asia-east2 (Hong Kong).
Sous Zones, sélectionnez asia-east2-a et asia-east2-b.
Cliquez sur Créer.
La ressource est créée, car toutes les zones situées sous asia-east2 font partie du groupe de valeurs asia-locations.
Effectuer un nettoyage
Pour éviter que les ressources utilisées sur cette page soient facturées sur votre compte Trusted Cloud , procédez comme suit :
Supprimer les disques persistants régionaux
Supprimez les disques persistants régionaux que vous avez créés pour ce démarrage rapide :
Dans la console Trusted Cloud , accédez à la page Disques.
Accéder à la page Disques
Dans la liste qui s'affiche, sélectionnez les deux disques que vous avez créés.
À droite du bouton Créer un disque, cliquez sur Supprimer.
Dans la boîte de dialogue de confirmation qui s'ouvre, cliquez sur Supprimer.
Une boîte de dialogue de notification s'affiche pour confirmer la suppression des disques.
Supprimer le projet
Supprimez le projet que vous avez créé pour ce démarrage rapide :
Dans la console Trusted Cloud , accédez à la page Gérer les ressources.
Accéder à la page Gérer les ressources
Dans la liste déroulante située en haut de la page, sélectionnez l'organisation dans laquelle vous avez créé le projet de démarrage rapide.
Dans la liste des ressources du projet qui s'affiche, sélectionnez le projet que vous avez créé, puis cliquez sur Supprimer.
Dans la boîte de dialogue Arrêter le projet qui s'affiche, saisissez l'ID du projet, puis cliquez sur Arrêter.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/18 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Il n'y a pas l'information dont j'ai besoin","missingTheInformationINeed","thumb-down"],["Trop compliqué/Trop d'étapes","tooComplicatedTooManySteps","thumb-down"],["Obsolète","outOfDate","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Mauvais exemple/Erreur de code","samplesCodeIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/08/18 (UTC)."],[],[],null,["# Quickstart: Enforce organization policy by using Resource Manager\n\nEnforce organization policy by using Resource Manager\n=====================================================\n\nThis guide describes how to set an [organization policy](/resource-manager/docs/organization-policy/overview) that\nincludes the [resource locations](/resource-manager/docs/organization-policy/defining-locations) constraint, and\nhow to test that constraint after it is applied in the\n[Google Cloud console](https://console.cloud.google.com/).\n\nBefore you begin\n----------------\n\n1.\n [Verify that billing is enabled for your Google Cloud project](/billing/docs/how-to/verify-billing-enabled#confirm_billing_is_enabled_on_a_project).\n\n2.\n\n\n Enable the Compute Engine and Resource Manager APIs.\n\n\n [Enable the APIs](https://console.cloud.google.com/flows/enableapi?apiid=compute.googleapis.com,cloudresourcemanager.googleapis.com&redirect=https://console.cloud.google.com)\n3.\n\n Make sure that you have the following role or roles on the organization:\n\n Organization Policy \\\u003e Organization Policy Administrator, Compute Engine \\\u003e Compute Storage Admin\n\n #### Check for the roles\n\n 1.\n In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam?supportedpurview=organizationId)\n 2. Select the organization.\n 3.\n In the **Principal** column, find all rows that identify you or a group that\n you're included in. To learn which groups you're included in, contact your\n administrator.\n\n 4. For all rows that specify or include you, check the **Role** column to see whether the list of roles includes the required roles.\n\n #### Grant the roles\n\n 1.\n In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam?supportedpurview=organizationId)\n 2. Select the organization.\n 3. Click person_add **Grant access**.\n 4.\n In the **New principals** field, enter your user identifier.\n\n This is typically the email address for a Google Account.\n\n 5. In the **Select a role** list, select a role.\n 6. To grant additional roles, click add **Add\n another role** and add each additional role.\n 7. Click **Save**.\n\nCreate new Project\n------------------\n\nTo create a Project resource, follow the steps below:\n\nTo create a new project, do the following:\n\n1. Go to the **Manage resources** page in the Google Cloud console.\n\n [Go to Manage Resources](https://console.cloud.google.com/cloud-resource-manager?walkthrough_id=resource-manager--create-project&start_index=1#step_index=1)\n\n The remaining steps appear in the Google Cloud console.\n2. On the **Select organization** drop-down list at the top of the page, select the organization resource in which you want to create a project. If you are a free trial user, skip this step, as this list does not appear.\n3. Click **Create Project**.\n4. In the **New Project** window that appears, enter a project name and select a billing account as applicable. A project name can contain only letters, numbers, single quotes, hyphens, spaces, or exclamation points, and must be between 4 and 30 characters.\n5. Enter the parent organization or folder resource in the **Location** box. That resource will be the hierarchical parent of the new project. If **No organization** is an option, you can select it to create your new project as the top level of its own resource hierarchy.\n6. When you're finished entering new project details, click **Create**.\n\nAfter you create the Project, the **Owner** role is assigned to you.\nThis role includes all of the permissions you need for the following quickstart.\nFor more information about permissions, see\n[Granting, changing, and revoking access to resources](/iam/docs/granting-changing-revoking-access).\n\nCreate a Compute Engine disk\n----------------------------\n\nTo test the functionality of the resource locations constraint, set up\nCompute Engine regional persistent disks. When you create a regional\npersistent disk, you must specify the location where it will reside. For more\ninformation about creating Compute Engine regional persistent disks, see\n[Create and manage regional Persistent Disk volumes](/compute/docs/disks/regional-persistent-disk).\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. Select the Project you created previously.\n\n 1. If you are prompted to link a billing account to your Project, do so now. For more information about enabling billing, see [Modify a Project's Billing Settings](/billing/docs/how-to/modify-project#enable_billing_for_a_project).\n3. Click **Create Disk**.\n\n4. Specify a **Name** for your disk.\n\n5. Select **Replicate this disk within region**.\n\n6. Under **Region** , select `europe-north1 (Finland)`.\n\n7. Under **Zones** , select `europe-north1-a` and `europe-north1-b`.\n\n8. Click **Create**.\n\nWhen the disk is successfully created, a green check mark appears next to the\nname.\n\nSet the organization policy\n---------------------------\n\nTo set an organization policy on the Project you created:\n\n1. In the Google Cloud console, go to the **Organization policies** page.\n\n [Go to Organization policies](https://console.cloud.google.com/iam-admin/orgpolicies)\n2. Click **Select**.\n\n3. Select the Project you created.\n\n4. Click **Google Cloud Platform - Define Resource Locations** , and then\n click **Edit**.\n\n5. Under **Applies to** , select **Customize**.\n\n6. Under **Policy values** , select **Custom**.\n\n7. Under **Policy type** , select **Allow**.\n\n8. In the **Policy value** box, enter `in:asia-locations`.\n\n9. Click **Save**. A notification appears to confirm the policy update.\n\n`asia-locations` is a [value group](/resource-manager/docs/organization-policy/defining-locations#value_groups) that is\ncurated by Google to include every location in a particular geographic region.\nIn this case, every region in Asia is defined as an allowed location for any\nresources created after this point. Note that the regional persistent disk you\ncreated above is not affected by this new policy, because the policy is not\nretroactive.\n\nTesting the organization policy\n-------------------------------\n\nNow that the organization policy is in effect, you cannot create resources in\nregions that were not specified as part of the organization policy. To test\nthis, try to create a regional persistent disk in an invalid location:\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. Select the Project you created above.\n\n3. Click **Create Disk**.\n\n4. Specify a **Name** for your disk.\n\n5. Select **Replicate this disk within region**.\n\n6. Under **Region** , select `europe-north1 (Finland)`.\n\n7. Under **Zones** , select `europe-north1-a` and `europe-north1-b`.\n\n8. Click **Create**.\n\nA red exclamation point appears next to the name, and an error notification\ndisplays: \n\n```\nLocation ZONE:europe-north1-a violates constraint\nconstraints/gcp.resourceLocations on the resource RESOURCE_ID\n```\n\nWhere \u003cvar translate=\"no\"\u003eRESOURCE_ID\u003c/var\u003e is the full resource path of your Project and disk.\nThe disk is not created.\n\nCreate regional persistent disk in valid location\n-------------------------------------------------\n\nThe organization policy constraint blocks the creation of resources unless you\nspecify a valid location:\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. Select the Project you created previously.\n\n3. Click **Create Disk**.\n\n4. Specify a **Name** for your disk.\n\n5. Select **Replicate this disk within region**.\n\n6. Under **Region** , select `asia-east2 (Hong Kong)`.\n\n7. Under **Zones** , select `asia-east2-a` and `asia-east2-b`.\n\n8. Click **Create**.\n\nThe resource is created successfully because all zones under `asia-east2` are\nwithin the `asia-locations` value group.\n\nClean up\n--------\n\n\nTo avoid incurring charges to your Google Cloud account for\nthe resources used on this page, follow these steps.\n\n### Delete regional persistent disks\n\nDelete the regional persistent disks you created for this quickstart:\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. In the list that appears, select both of the disks that you created.\n\n3. To the right of the **Create Disk** button, click **Delete**.\n\n4. In the confirmation dialog that appears, click **Delete**.\n\nA notification dialog appears to confirm the disks were deleted.\n\n### Delete the Project\n\nDelete the Project you created for this quickstart:\n\n1. In the Google Cloud console, go to the **Manage resources** page.\n\n [Go to Manage resources](https://console.cloud.google.com/cloud-resource-manager)\n2. In the drop-down at the top of the page, select the Organization in which\n you created the quickstart Project.\n\n3. In the list of Project resources that appears, select the Project that you\n created, then click **Delete**.\n\n4. On the **Shut down project** dialog that appears, enter the Project ID,\n and then click **Shut down**.\n\nWhat's next\n-----------\n\n- Learn more about [creating and managing organization policies](/resource-manager/docs/organization-policy/creating-managing-policies).\n- Review the [services that support the resource locations constraint](/resource-manager/docs/organization-policy/defining-locations-supported-services)."]]
