Google Cloudの組織機能 〜効率的なリソース管理とアクセス制御〜

2023年4月10日掲載

キービジュアル

皆さんはじめまして!ソフトバンクでソリューションアーキテクトをしている長岡です。

今回は前編・後編に分けてGoogle Cloudの組織機能について解説していきます。前編では組織の基本概念とメリットについて説明し、後編では組織なしのプロジェクトを組織ありのプロジェクトに移行する手順を解説します。

目次

1.はじめに

Google Cloudは組織機能を提供しており、これにより企業はリソースの管理とアクセス制御を効率化することができます。この前編記事では、Google Cloudの組織機能の概要やその利用方法について順を追って説明します。

2.Google Cloud 組織の基本概念

 Google Cloud組織は以下の基本概念で構成されます。少し分かりづらいので図で抑えて行きましょう。

<組織ノード>:GCリソース階層の最上位にある概念です。組織は、企業がリソースを管理し、アクセス制御を一元化するための土台になります。

<プロジェクトとフォルダ>:プロジェクトはGCPリソースの基本単位で、フォルダはプロジェクトを整理するためのコンテナです。フォルダは、組織内でリソースを効率的に管理するために階層構造を作成できます。以下は概念図になります。

組織概念図

3.組織の作成と構成

Google Cloudで組織を構成するには、Google WorkspaceまたはCloud identityアカウントが必要になります。(Cloud identityはフリー版であれば50ユーザまで作成することができます。)Google Workspaceアカウントを持っている場合、組織ノードが自動的に作成され、ドメインに関連付けされます。組織が有効化されると、組織の設定やカスタマイズを行うことができます。

4.組織がないとフル活用できないサービス

Google Cloudの組織機能は、必須というわけではありません。しかし中には組織がないと機能をフル活用できないサービスが多いのも事実です。具体的にはIAM周辺のポリシー管理や、監査ログなど、やはり組織的に管理が必要なものが中心です。

①Google Cloud Identity

組織に紐づくユーザー管理と認証機能を提供するサービスで、組織がない場合この機能を利用することはできません。Cloud identityを利用することで、組織のユーザー、グループ、サービスアカウントを一元化管理することができ、組織全体のアクセス制御ポリシーを効果的に運用ができます。また、Cloud identityによって管理されるユーザIDがないと利用できないサービスもあり、間接的に組織がないと使えない機能もあります。
例)
■Identity-Aware Proxyによるデバイス制限やアクセス制限
■BeyondCorp Enterpriseによるゼロトラストアクセス

②Resource Manager

組織のリソース管理と階層化を可能にするサービスで、組織がない場合、プロジェクトは個別に管理され、組織全体のリソース管理は難しくなります。Resouce Managerを利用することで、組織全体のポリシーやアクセス制御を効果的に適用することができるようになります。

③Organization Policy Service

組織全体のポリシー制御を提供するサービスです。組織を持たない場合アタッチさせる対象がないと同義なので利用することはできません。組織がある場合は、組織全体に適用されるポリシーを一元的に管理することができます。

例えば、複数プロジェクト(①本番プロジェクト ②開発プロジェクト)を運用している場合、Organization Polocy Serviceを利用することで1つのポリシーを2つのプロジェクトに継承させることができます。よってポリシー管理がより効率的に実現ができます。

④Google Cloud Audit Logs

Google Cloudリソースに関する監査ログを提供するサービスで、組織機能がない場合は管理が非効率になります。例えば組織を有効化していない場合は、ログはプロジェクトごとに分散されてしまい、組織全体の監査が難しくなります。逆に組織がある場合は、組織単位で監査ログを管理することができるため、セキュリティやコンプライアンス要件に対し、より柔軟に迅速に対応が可能になります。

5.組織を作成する

実際に組織を作成してみます。今回は、tnoce.tech(独自ドメイン)を利用して組織を作成していきます。

<Step>
①Google WorkspaceまたはCloud identityに登録する
②tnoce.techのドメイン所有権を確認する
 例)ドメインを管理しているレジストラにtxtレコードの登録
 このプロセスが完了すると、ドメインに関連付けられたGoogle Cloud組織が作成される
cloud-setupに移動し、組織を利用するための設定を実施
cloud-resouce-manager にアクセスし、プロジェクトを作成からプロジェクトを作成
google-adminにアクセスし、組織の名前、説明、およびその他設定を編集

pic1

⑥Google Cloudの管理コンソールに移動し、プルダウンから組織を作成されていることを確認

以上の手順に従って、tnoce.techドメインを利用してGoogle Cloudの組織を設定することができるようになります。

pic2

6.まとめ

いかがだったでしょうか。組織の利用はそこまで複雑ではなく、ドメインがあればすぐに組織を設定し始めることができます。Google Cloudのサービスフル活用およびクラウド利用のガバナンス管理には必要不可欠な概念になるため、ぜひ組織を設定した状態でGoogle Cloudをご活用いただければと思います。

後編では組織なしのプロジェクトを組織ありのプロジェクトに移行する手順を解説します。

関連サービス

Google Cloud

Google サービスを支える、信頼性に富んだクラウドサービスです。お客さまのニーズにあわせて利用可能なコンピューティングサービスに始まり、データから価値を導き出す情報分析や、最先端の機械学習技術が搭載されています。

MSPサービス

MSP(Managed Service Provider)サービスは、お客さまのパブリッククラウドの導入から運用までをトータルでご提供するマネージドサービスです。

おすすめの記事

条件に該当するページがございません