Resource Manager を使用して組織のポリシーを適用する

このガイドでは、リソース ロケーションの制約を含む組織のポリシーの設定方法と、そのポリシーの適用後に Google Cloud Console で制約をテストする方法について説明します。

始める前に

  1. Verify that billing is enabled for your Trusted Cloud project.

  2. Enable the Compute Engine and Resource Manager APIs.

    Enable the APIs

  3. Make sure that you have the following role or roles on the organization: Organization Policy > Organization Policy Administrator, Compute Engine > Compute Storage Admin

    Check for the roles

    1. In the Trusted Cloud console, go to the IAM page.

      Go to IAM
    2. Select the organization.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Trusted Cloud console, go to the IAM page.

      [IAM] に移動
    2. 組織を選択します。
    3. [ アクセスを許可] をクリックします。

    4. [新しいプリンシパル] フィールドに、ユーザー ID を入力します。 これは通常、Workforce Identity プール内のユーザーの ID です。詳細については、IAM ポリシーで Workforce プールユーザーを表すをご覧いただくか、管理者にお問い合わせください。

    5. [ロールを選択] リストでロールを選択します。
    6. 追加のロールを付与するには、 [別のロールを追加] をクリックして各ロールを追加します。
    7. [保存] をクリックします。

新規プロジェクトの作成

プロジェクト リソースを作成する方法は次のとおりです。

新しいプロジェクトを作成するには、次の手順を行います。

  1. Google Cloud コンソールの [リソースの管理] ページに移動します。

    [リソースの管理] に移動

    残りの手順は、Google Cloud コンソールに表示されます。

  2. ページの上部にある [組織の選択] プルダウン リストで、プロジェクトを作成する組織リソースを選択します。無料トライアルをご使用の場合はこのリストが表示されないため、この手順はスキップしてください。
  3. [プロジェクトを作成] をクリックします。
  4. 表示される [新しいプロジェクト] ウィンドウで、プロジェクト名を入力し、該当する請求先アカウントを選択します。プロジェクト名には文字、数字、単一引用符、ハイフン、スペース、感嘆符のみを使用でき、4~30 文字にする必要があります。
  5. [場所] ボックスに親組織またはフォルダ リソースを入力します。このリソースが新しいプロジェクトの階層上の親になります。[組織なし] を選択した場合は、そのプロジェクトを選択して、独自のリソース階層の最上位として新しいプロジェクトを作成できます。
  6. 新しいプロジェクトの詳細を入力し終えたら、[作成] をクリックします。

プロジェクトを作成すると、オーナーの役割が割り当てられます。 この役割には、次のクイックスタートに必要なすべての権限が含まれています。権限の詳細については、リソースへのアクセスの付与、変更、取り消しをご覧ください。

Compute Engine ディスクの作成

リソース ロケーションの制約の機能をテストするには、Compute Engine のリージョン永続ディスクを設定します。リージョン永続ディスクを作成する場合は、永続ディスクを配置するロケーションを指定する必要があります。Compute Engine リージョン Persistent Disk の作成の詳細については、リージョン Persistent Disk ボリュームを作成して管理するをご覧ください。

  1. Google Cloud Console で、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 以前に作成したプロジェクトを選択します。

    1. 請求先アカウントをプロジェクトにリンクするよう求められたら、すぐにリンクします。課金の有効化の詳細については、プロジェクトの課金の設定変更をご覧ください。

  3. [ディスクを作成] をクリックします。

  4. [名前] でディスクの名前を指定します。

  5. [リージョン内でこのディスクを複製] を選択します。

  6. [リージョン] の下で europe-north1 (Finland) を選択します。

  7. [ゾーン] の下で europe-north1-aeurope-north1-b を選択します。

  8. [作成] をクリックします。

ディスクが正常に作成されると、名前の横に緑色のチェックマークが表示されます。

組織のポリシーの設定

作成したプロジェクトに組織のポリシーを設定するには:

  1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

    [組織のポリシー] に移動

  2. [選択] をクリックします。

  3. 作成したプロジェクトを選択します。

  4. [Google Cloud Platform] - [Define Resource Locations] をクリックし、[編集] をクリックします。

  5. [対象] で、[カスタマイズ] を選択します。

  6. [ポリシーの値] で [カスタム] を選択します。

  7. [ポリシーの種類] で [許可] を選択します。

  8. [ポリシーの値] ボックスに in:asia-locations を入力します。

  9. [保存] をクリックします。ポリシーの更新を確認する通知が表示されます。

asia-locations は、特定の地理的リージョンのすべてのロケーションが含まれるように、Google によってキュレートされた値グループの 1 つです。この例では、アジアのすべてのリージョンが、その後に作成されるすべてのリソースに関して許可されたロケーションとして定義されます。上記のポリシーは遡って適用されないため、上記で作成したリージョン永続ディスクはこのポリシーによる影響を受けません。

組織のポリシーのテスト

組織のポリシーが有効であるため、組織のポリシーの一部として指定されていないリージョンにはリソースを作成できません。これをテストするために、無効なロケーションにリージョン永続ディスクを作成してみます。

  1. Google Cloud Console で、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 上記で作成したプロジェクトを選択します。

  3. [ディスクを作成] をクリックします。

  4. [名前] でディスクの名前を指定します。

  5. [リージョン内でこのディスクを複製] を選択します。

  6. [リージョン] の下で europe-north1 (Finland) を選択します。

  7. [ゾーン] の下で europe-north1-aeurope-north1-b を選択します。

  8. [作成] をクリックします。

名前の横に赤い感嘆符が表示され、エラーの通知が表示されます。

Location ZONE:europe-north1-a violates constraint
constraints/gcp.resourceLocations on the resource RESOURCE_ID

ここで、RESOURCE_ID はプロジェクトとディスクの完全なリソースパスです。ディスクは作成されません。

有効なロケーションでのリージョン永続ディスクの作成

有効なロケーションを指定しない限り、組織のポリシーの制約によりリソースの作成がブロックされます。

  1. Google Cloud Console で、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 以前に作成したプロジェクトを選択します。

  3. [ディスクを作成] をクリックします。

  4. [名前] でディスクの名前を指定します。

  5. [リージョン内でこのディスクを複製] を選択します。

  6. [リージョン] の下で asia-east2 (Hong Kong) を選択します。

  7. [ゾーン] の下で asia-east2-aasia-east2-b を選択します。

  8. [作成] をクリックします。

asia-east2 の下にあるすべてのゾーンが asia-locations 値グループ内にあるため、リソースは正常に作成されます。

クリーンアップ

このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順を行います。

リージョン永続ディスクの削除

このクイックスタート用に作成したリージョン永続ディスクを削除します。

  1. Google Cloud Console で、[ディスク] ページに移動します。

    [ディスク] に移動

  2. 表示されるリストで、作成したディスクを両方とも選択します。

  3. [ディスクの作成] ボタンの右側にある [削除] をクリックします。

  4. 表示される確認ダイアログで、[削除] をクリックします。

ディスクが削除されたことを通知するダイアログが表示されます。

プロジェクトの削除

このクイックスタート用に作成したプロジェクトを削除します。

  1. Google Cloud コンソールで、[リソースの管理] ページに移動します。

    [リソースの管理] に移動

  2. ページの上部にあるプルダウンで、クイックスタート プロジェクトを作成した組織を選択します。

  3. 表示されるプロジェクト リソースのリストで、作成したプロジェクトを選択し、[削除] をクリックします。

  4. プロジェクトのシャットダウン] ダイアログが表示されたら、プロジェクト ID を入力して、[シャットダウン] をクリックします。

次のステップ