Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione
Differenze rispetto a Google Cloud.
Applica la policy dell'organizzazione utilizzando Resource Manager
Prima di iniziare
-
Verify that billing is enabled for your Trusted Cloud project.
-
Enable the Compute Engine and Resource Manager APIs.
Enable the APIs
-
Make sure that you have the following role or roles on the organization:
Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin
Check for the roles
-
In the Trusted Cloud console, go to the IAM page.
Go to IAM
-
Select the organization.
-
In the Principal column, find all rows that identify you or a group that
you're included in. To learn which groups you're included in, contact your
administrator.
-
For all rows that specify or include you, check the Role column to see whether
the list of roles includes the required roles.
Grant the roles
-
In the Trusted Cloud console, go to the IAM page.
Vai a IAM
-
Seleziona l'organizzazione.
-
Fai clic su person_add Concedi l'accesso.
-
Nel campo Nuove entità, inserisci il tuo identificatore utente.
In genere, si tratta dell'identificatore di un utente in un pool di identità della forza lavoro. Per maggiori dettagli,
vedi
Rappresentare gli utenti del pool di forza lavoro nelle norme IAM o contatta l'amministratore.
-
Nell'elenco Seleziona un ruolo, seleziona un ruolo.
-
Per concedere altri ruoli, fai clic su add Aggiungi
un altro ruolo e aggiungi ogni ruolo aggiuntivo.
-
Fai clic su Salva.
Crea un nuovo progetto
Per creare una risorsa del progetto:
Per creare un nuovo progetto, segui questi passaggi:
-
Vai alla pagina Gestisci risorse nella console Trusted Cloud .
Vai a Gestisci risorse
I passaggi rimanenti vengono visualizzati nella console Trusted Cloud .
-
Nell'elenco a discesa Seleziona organizzazione nella parte superiore della pagina, scegli la risorsa Organizzazione in cui creare un progetto. Se stai usufruendo di una prova gratuita, salta questo passaggio perché l'elenco non viene visualizzato.
- Fai clic su Crea progetto.
-
Nella finestra Nuovo progetto visualizzata, inserisci un nome per il progetto e seleziona un account di fatturazione appropriato. Il nome del progetto può contenere solo lettere, numeri, virgolette singole, trattini, spazi o punti esclamativi e deve avere una lunghezza compresa tra 4 e 30 caratteri.
-
Inserisci la cartella o l'organizzazione padre nella casella Posizione. Questa risorsa sarà l'entità padre gerarchica di un nuovo progetto. Se Nessuna organizzazione è un'opzione, puoi selezionarla per creare il nuovo progetto come livello superiore della sua gerarchia di risorse.
- Una volta specificati i dettagli del nuovo progetto, fai clic su Crea.
Dopo aver creato il progetto, ti viene assegnato il ruolo di Proprietario.
Questo ruolo include tutte le autorizzazioni necessarie per la seguente guida rapida.
Per ulteriori informazioni sulle autorizzazioni, consulta
Concessione, modifica e revoca dell'accesso alle risorse.
Crea un disco Compute Engine
Per testare la funzionalità del vincolo delle località delle risorse, configura
i dischi permanenti regionali di Compute Engine. Quando crei un disco permanente regionale, devi specificare la posizione in cui si troverà. Per saperne di più sulla creazione di dischi permanenti regionali di Compute Engine, consulta Creare e gestire volumi di Persistent Disk regionali.
Nella console Trusted Cloud , vai alla pagina Dischi.
Vai a Dischi
Seleziona il progetto che hai creato in precedenza.
- Se ti viene chiesto di collegare un account di fatturazione al tuo progetto, fallo ora.
Per ulteriori informazioni sull'attivazione della fatturazione, vedi
Modificare le impostazioni di fatturazione di un progetto.
Fai clic su Crea disco.
Specifica un nome per il disco.
Seleziona Replica questo disco all'interno della regione.
In Regione, seleziona europe-north1 (Finland).
In Zone, seleziona europe-north1-a e europe-north1-b.
Fai clic su Crea.
Quando il disco viene creato correttamente, accanto al nome viene visualizzato un segno di spunta verde.
Impostare il criterio dell'organizzazione
Per impostare un criterio dell'organizzazione sul progetto che hai creato:
Nella console Trusted Cloud , vai alla pagina Policy dell'organizzazione.
Vai a Policy dell'organizzazione
Fai clic su Seleziona.
Seleziona il progetto che hai creato.
Fai clic su Google Cloud Platform - Define Resource Locations (Google Cloud Platform - Definisci le località delle risorse) e poi su Modifica.
Nella sezione Applicabile a, seleziona Personalizza.
In Valori policy, seleziona Personalizzato.
In Tipo di criterio, seleziona Consenti.
Nella casella Valore criterio, inserisci in:asia-locations.
Fai clic su Salva. Viene visualizzata una notifica per confermare l'aggiornamento della policy.
asia-locations è un gruppo di valori curato da Google per includere ogni località in una determinata regione geografica.
In questo caso, ogni regione in Asia è definita come posizione consentita per qualsiasi risorsa creata dopo questo punto. Tieni presente che il disco permanente regionale che hai
creato sopra non è interessato da queste nuove norme, perché non sono
retroattive.
Test del criterio dell'organizzazione
Ora che la policy dell'organizzazione è in vigore, non puoi creare risorse nelle regioni che non sono state specificate come parte della policy dell'organizzazione. Per testare
questa funzionalità, prova a creare un disco permanente a livello di regione in una località non valida:
Nella console Trusted Cloud , vai alla pagina Dischi.
Vai a Dischi
Seleziona il progetto che hai creato in precedenza.
Fai clic su Crea disco.
Specifica un nome per il disco.
Seleziona Replica questo disco all'interno della regione.
In Regione, seleziona europe-north1 (Finland).
In Zone, seleziona europe-north1-a e europe-north1-b.
Fai clic su Crea.
Accanto al nome viene visualizzato un punto esclamativo rosso e viene visualizzata una notifica di errore:
Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID
dove RESOURCE_ID è il percorso della risorsa completo del progetto e del disco.
Il disco non viene creato.
Crea un disco permanente a livello di regione in una località valida
Il vincolo della policy dell'organizzazione blocca la creazione di risorse a meno che tu non
specifichi una località valida:
Nella console Trusted Cloud , vai alla pagina Dischi.
Vai a Dischi
Seleziona il progetto che hai creato in precedenza.
Fai clic su Crea disco.
Specifica un nome per il disco.
Seleziona Replica questo disco all'interno della regione.
In Regione, seleziona asia-east2 (Hong Kong).
In Zone, seleziona asia-east2-a e asia-east2-b.
Fai clic su Crea.
La risorsa viene creata correttamente perché tutte le zone in asia-east2 si trovano
all'interno del gruppo di valori asia-locations.
Esegui la pulizia
Per evitare che al tuo account Trusted Cloud vengano addebitati costi relativi alle risorse utilizzate in questa pagina, segui questi passaggi.
Elimina i dischi permanenti regionali
Elimina i dischi permanenti a livello di regione che hai creato per questa guida rapida:
Nella console Trusted Cloud , vai alla pagina Dischi.
Vai a Dischi
Nell'elenco visualizzato, seleziona entrambi i dischi che hai creato.
A destra del pulsante Crea disco, fai clic su Elimina.
Nella finestra di dialogo di conferma visualizzata, fai clic su Elimina.
Viene visualizzata una finestra di dialogo di notifica per confermare l'eliminazione dei dischi.
Elimina il progetto
Elimina il progetto che hai creato per questa guida rapida:
Nella console Trusted Cloud , vai alla pagina Gestisci risorse.
Vai a Gestisci risorse
Nel menu a discesa nella parte superiore della pagina, seleziona l'organizzazione in cui hai creato il progetto di avvio rapido.
Nell'elenco delle risorse del progetto visualizzato, seleziona il progetto che hai creato, quindi fai clic su Elimina.
Nella finestra di dialogo Chiudi progetto visualizzata, inserisci l'ID progetto,
quindi fai clic su Chiudi.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-08-18 UTC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Mancano le informazioni di cui ho bisogno","missingTheInformationINeed","thumb-down"],["Troppo complicato/troppi passaggi","tooComplicatedTooManySteps","thumb-down"],["Obsoleti","outOfDate","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Problema relativo a esempi/codice","samplesCodeIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-08-18 UTC."],[],[],null,["# Quickstart: Enforce organization policy by using Resource Manager\n\nEnforce organization policy by using Resource Manager\n=====================================================\n\nThis guide describes how to set an [organization policy](/resource-manager/docs/organization-policy/overview) that\nincludes the [resource locations](/resource-manager/docs/organization-policy/defining-locations) constraint, and\nhow to test that constraint after it is applied in the\n[Google Cloud console](https://console.cloud.google.com/).\n\nBefore you begin\n----------------\n\n1.\n [Verify that billing is enabled for your Google Cloud project](/billing/docs/how-to/verify-billing-enabled#confirm_billing_is_enabled_on_a_project).\n\n2.\n\n\n Enable the Compute Engine and Resource Manager APIs.\n\n\n [Enable the APIs](https://console.cloud.google.com/flows/enableapi?apiid=compute.googleapis.com,cloudresourcemanager.googleapis.com&redirect=https://console.cloud.google.com)\n3.\n\n Make sure that you have the following role or roles on the organization:\n\n Organization Policy \\\u003e Organization Policy Administrator, Compute Engine \\\u003e Compute Storage Admin\n\n #### Check for the roles\n\n 1.\n In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam?supportedpurview=organizationId)\n 2. Select the organization.\n 3.\n In the **Principal** column, find all rows that identify you or a group that\n you're included in. To learn which groups you're included in, contact your\n administrator.\n\n 4. For all rows that specify or include you, check the **Role** column to see whether the list of roles includes the required roles.\n\n #### Grant the roles\n\n 1.\n In the Google Cloud console, go to the **IAM** page.\n\n [Go to IAM](https://console.cloud.google.com/projectselector/iam-admin/iam?supportedpurview=organizationId)\n 2. Select the organization.\n 3. Click person_add **Grant access**.\n 4.\n In the **New principals** field, enter your user identifier.\n\n This is typically the email address for a Google Account.\n\n 5. In the **Select a role** list, select a role.\n 6. To grant additional roles, click add **Add\n another role** and add each additional role.\n 7. Click **Save**.\n\nCreate new Project\n------------------\n\nTo create a Project resource, follow the steps below:\n\nTo create a new project, do the following:\n\n1. Go to the **Manage resources** page in the Google Cloud console.\n\n [Go to Manage Resources](https://console.cloud.google.com/cloud-resource-manager?walkthrough_id=resource-manager--create-project&start_index=1#step_index=1)\n\n The remaining steps appear in the Google Cloud console.\n2. On the **Select organization** drop-down list at the top of the page, select the organization resource in which you want to create a project. If you are a free trial user, skip this step, as this list does not appear.\n3. Click **Create Project**.\n4. In the **New Project** window that appears, enter a project name and select a billing account as applicable. A project name can contain only letters, numbers, single quotes, hyphens, spaces, or exclamation points, and must be between 4 and 30 characters.\n5. Enter the parent organization or folder resource in the **Location** box. That resource will be the hierarchical parent of the new project. If **No organization** is an option, you can select it to create your new project as the top level of its own resource hierarchy.\n6. When you're finished entering new project details, click **Create**.\n\nAfter you create the Project, the **Owner** role is assigned to you.\nThis role includes all of the permissions you need for the following quickstart.\nFor more information about permissions, see\n[Granting, changing, and revoking access to resources](/iam/docs/granting-changing-revoking-access).\n\nCreate a Compute Engine disk\n----------------------------\n\nTo test the functionality of the resource locations constraint, set up\nCompute Engine regional persistent disks. When you create a regional\npersistent disk, you must specify the location where it will reside. For more\ninformation about creating Compute Engine regional persistent disks, see\n[Create and manage regional Persistent Disk volumes](/compute/docs/disks/regional-persistent-disk).\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. Select the Project you created previously.\n\n 1. If you are prompted to link a billing account to your Project, do so now. For more information about enabling billing, see [Modify a Project's Billing Settings](/billing/docs/how-to/modify-project#enable_billing_for_a_project).\n3. Click **Create Disk**.\n\n4. Specify a **Name** for your disk.\n\n5. Select **Replicate this disk within region**.\n\n6. Under **Region** , select `europe-north1 (Finland)`.\n\n7. Under **Zones** , select `europe-north1-a` and `europe-north1-b`.\n\n8. Click **Create**.\n\nWhen the disk is successfully created, a green check mark appears next to the\nname.\n\nSet the organization policy\n---------------------------\n\nTo set an organization policy on the Project you created:\n\n1. In the Google Cloud console, go to the **Organization policies** page.\n\n [Go to Organization policies](https://console.cloud.google.com/iam-admin/orgpolicies)\n2. Click **Select**.\n\n3. Select the Project you created.\n\n4. Click **Google Cloud Platform - Define Resource Locations** , and then\n click **Edit**.\n\n5. Under **Applies to** , select **Customize**.\n\n6. Under **Policy values** , select **Custom**.\n\n7. Under **Policy type** , select **Allow**.\n\n8. In the **Policy value** box, enter `in:asia-locations`.\n\n9. Click **Save**. A notification appears to confirm the policy update.\n\n`asia-locations` is a [value group](/resource-manager/docs/organization-policy/defining-locations#value_groups) that is\ncurated by Google to include every location in a particular geographic region.\nIn this case, every region in Asia is defined as an allowed location for any\nresources created after this point. Note that the regional persistent disk you\ncreated above is not affected by this new policy, because the policy is not\nretroactive.\n\nTesting the organization policy\n-------------------------------\n\nNow that the organization policy is in effect, you cannot create resources in\nregions that were not specified as part of the organization policy. To test\nthis, try to create a regional persistent disk in an invalid location:\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. Select the Project you created above.\n\n3. Click **Create Disk**.\n\n4. Specify a **Name** for your disk.\n\n5. Select **Replicate this disk within region**.\n\n6. Under **Region** , select `europe-north1 (Finland)`.\n\n7. Under **Zones** , select `europe-north1-a` and `europe-north1-b`.\n\n8. Click **Create**.\n\nA red exclamation point appears next to the name, and an error notification\ndisplays: \n\n```\nLocation ZONE:europe-north1-a violates constraint\nconstraints/gcp.resourceLocations on the resource RESOURCE_ID\n```\n\nWhere \u003cvar translate=\"no\"\u003eRESOURCE_ID\u003c/var\u003e is the full resource path of your Project and disk.\nThe disk is not created.\n\nCreate regional persistent disk in valid location\n-------------------------------------------------\n\nThe organization policy constraint blocks the creation of resources unless you\nspecify a valid location:\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. Select the Project you created previously.\n\n3. Click **Create Disk**.\n\n4. Specify a **Name** for your disk.\n\n5. Select **Replicate this disk within region**.\n\n6. Under **Region** , select `asia-east2 (Hong Kong)`.\n\n7. Under **Zones** , select `asia-east2-a` and `asia-east2-b`.\n\n8. Click **Create**.\n\nThe resource is created successfully because all zones under `asia-east2` are\nwithin the `asia-locations` value group.\n\nClean up\n--------\n\n\nTo avoid incurring charges to your Google Cloud account for\nthe resources used on this page, follow these steps.\n\n### Delete regional persistent disks\n\nDelete the regional persistent disks you created for this quickstart:\n\n1. In the Google Cloud console, go to the **Disks** page.\n\n [Go to Disks](https://console.cloud.google.com/compute/disks)\n2. In the list that appears, select both of the disks that you created.\n\n3. To the right of the **Create Disk** button, click **Delete**.\n\n4. In the confirmation dialog that appears, click **Delete**.\n\nA notification dialog appears to confirm the disks were deleted.\n\n### Delete the Project\n\nDelete the Project you created for this quickstart:\n\n1. In the Google Cloud console, go to the **Manage resources** page.\n\n [Go to Manage resources](https://console.cloud.google.com/cloud-resource-manager)\n2. In the drop-down at the top of the page, select the Organization in which\n you created the quickstart Project.\n\n3. In the list of Project resources that appears, select the Project that you\n created, then click **Delete**.\n\n4. On the **Shut down project** dialog that appears, enter the Project ID,\n and then click **Shut down**.\n\nWhat's next\n-----------\n\n- Learn more about [creating and managing organization policies](/resource-manager/docs/organization-policy/creating-managing-policies).\n- Review the [services that support the resource locations constraint](/resource-manager/docs/organization-policy/defining-locations-supported-services)."]]
