Cloud Billing のコンセプトの概要

Google Cloud では、ニーズに合わせて請求をさまざまな方法で構成できます。このセクションでは、組織と課金の基本的なコンセプトと効果的な使用方法について説明します。

リソースの概要

リソースとは

Google Cloud のコンテキストでは、リソースはワークロードの処理に使用されるサービスレベルのリソース(VM、DB など)を意味することもあれば、サービスの上位にあるアカウント レベルのリソース(プロジェクト、フォルダ、組織など)を意味することもあります。

リソース管理とは

リソース管理では、会社 / チームで使用する各種の Cloud リソースの構成と、こうしたリソースへのアクセス許可を付与します。特に、サービスレベルのリソースの上位にあるアカウント レベルのリソースの設定と編成が重要です。アカウント レベルのリソースは、Google Cloud アカウントの設定と管理に関連します。

リソース階層

Google Cloud のリソースは階層的に編成されます。この階層により、組織の運用体制を Google Cloud にマッピングし、関連リソースのグループのアクセス制御と権限を管理できます。リソース階層は、アクセス管理ポリシー(Cloud Identity and Access Management)と組織のポリシーの論理的な接点として機能します。

Cloud IAM と組織ポリシーはともに階層から継承されます。階層の各ノードで有効なポリシーは、ノードに直接適用されるポリシーで、祖先から継承されます。

次の図に示すリソース階層の例は、Google Cloud アカウントの管理に関連する主要なアカウント レベルのリソースを示しています。

リソース階層の例。Google Cloud アカウントの管理に関連するコアアカウント レベルのリソースと、それらリソースの Cloud 請求先アカウントおよびお支払いプロファイルとの関連性を表しています。

ドメイン

  • 会社のドメインは組織の主要な ID です。Google Cloud などの Google サービスでは、ドメインによって会社の ID を確立します。
  • ドメインを使用して、組織内のユーザーを管理します。
    • Google Cloud の使用時に組織に関連付けるユーザーは、ドメインレベルで定義します。
    • ドメインは、ユーザーとデバイスに関する全体的なポリシーを管理できる場所でもあります(たとえば、2 要素認証を有効化したり、組織内の任意のユーザーのパスワードをリセットしたりできます)。
  • ドメインは G Suite アカウントまたは Cloud Identity アカウントのいずれかにリンクされます。
  • G Suite アカウントや Cloud Identity アカウントには、それぞれ 1 つの組織が関連付けられます。
  • ドメインレベルの機能を管理するには、Google 管理コンソール(admin.google.com)を使用します。

リソースの階層の詳細については、Resource Manager ドキュメントをご覧ください。

組織

  • 組織は、Google Cloud リソース階層のルートノードです。
  • 組織に属するすべての Google Cloud リソースは組織ノードの下にグループ化されます。組織ノードの下位にあるすべてのプロジェクト、フォルダ、リソース、Cloud 請求先アカウントに対する設定、権限、ポリシーの定義はこれらのグループに基づいて行います。
  • 組織は 1 つのドメイン(G Suite アカウントまたは Cloud Identity アカウントのいずれかで設定されたドメイン)に関連付けられます。Google Cloud でドメインを設定すると、自動的に組織が作成されます。
  • 組織を使用して、Google Cloud リソースと、それに対するユーザーのアクセス権限を一元的に管理できます。これには、次が含まれます。
    • プロアクティブ管理: 必要に応じてリソースを再編成します(たとえば、部門を再編成したり新しく立ち上げたりする場合、新しいプロジェクトとフォルダが必要になることがあります)。
    • リアクティブ管理: リソースに対するアクセスを失った場合(たとえば、チームメンバーの 1 人がリソースにアクセスできなくなった場合や、退職した場合など)、そのリソースへのアクセスを再度取得するには、組織リソースがセーフティ ネットとして機能します。
  • Google Cloud に関連するさまざまなロールとリソース(組織、プロジェクト、フォルダ、リソース、Cloud 請求先アカウントを含む)は、Google Cloud Console 内で管理します。

組織の詳細については、組織の作成と管理をご覧ください。

フォルダ

  • フォルダはグループ化メカニズムです。フォルダにはプロジェクト、他のフォルダ、またはその両方を格納できます。
  • フォルダを使用するには、組織ノードが必要です。
  • フォルダとプロジェクトはすべて組織ノード下でマッピングされます。
  • フォルダを使用すると、共通の Cloud IAM ポリシーを共有するリソースをグループ化できます。
  • 1 つのフォルダに複数のフォルダやリソースを格納できますが、個々のフォルダまたはリソースの親は 1 つだけです。

フォルダの使い方については、フォルダの作成と管理をご覧ください。

プロジェクト

  • サービスレベルのリソース(Compute Engine 仮想マシン(VM)、Pub/Sub トピック、Cloud Storage バケットなど)を使用するには、プロジェクトが必須です。
  • サービスレベルのリソースは例外なく、Google Cloud での基本レベルの構成エンティティであるプロジェクトを親として持ちます。
  • プロジェクトを使用すると、論理プロジェクト、チーム、環境、またはビジネス ファンクションや構造にマップされるその他のコレクションを表すことができます。
  • プロジェクトは、サービス、API、Cloud IAM 権限を有効化するための基礎となります。
  • どのリソースも、1 つのプロジェクト内にしか存在することができません。

プロジェクトの詳細については、プロジェクトの作成と管理をご覧ください。

リソース

  • すべての Google Cloud サービスは、Google Cloud のサービスレベルのリソース(Compute Engine 仮想マシン(VM)、Pub/Sub トピック、Cloud Storage バケットなど)を基本コンポーネントとして構成されます。
  • 請求およびアクセスを制御する目的で、リソースは、階層(プロジェクトや組織も含む)の最下位に存在します。

ラベル

  • ラベルを利用して、Google Cloud リソース(Compute Engine インスタンスなど)を分類できます。
  • ラベルは Key-Value ペアです。
  • 各リソースにラベルを設定し、そのラベルに基づいてリソースをフィルタリングできます。
  • ラベルは、よりきめ細かなレベルで費用を追跡するのに役立ちます。ラベルに関する情報は課金システムに転送されるため、ラベル別に料金を分析できます。

ラベルの使用方法については、ラベルの作成と管理をご覧ください。

Cloud 請求先アカウントとお支払いプロファイル

概要

Cloud 請求先アカウントは Google Cloud で設定され、特定の Google Cloud リソースと Google Maps Platform API のセットに対する支払いを誰が行うかを定義するために使用されます。Cloud 請求先アカウントのアクセスは、Cloud Identity and Access Management(Cloud IAM)のロールによって確立されます。Cloud 請求先アカウントは、Google お支払いプロファイルに関連付けられています。Google お支払いプロファイルには、費用に対するお支払い方法が記録されています。

Cloud 請求先アカウント お支払いプロファイル
Cloud 請求先アカウント
  • Cloud Console で管理されるクラウドレベルのリソース
  • Google Cloud を使用することで発生したすべての費用(料金と使用量に適用されるクレジット)を追跡します。
    • Cloud 請求先アカウントは、1 つ以上のプロジェクトにリンクできます。
    • プロジェクトの使用料は、リンクされた Cloud 請求先アカウントに請求されます。
  • Cloud 請求先アカウントごとに 1 つの請求書が作成されます。
  • 単一の通貨で運用されます。
  • 所定のリソースセットに対する支払い者を定義します。
  • Google お支払いプロファイルに関連付けられます。支払い方法が記録されたこのプロファイルが、料金のお支払い方法を定義します。
  • 課金関連の機能に対するアクセスと変更を制御する、お支払いに固有のロールと権限が割り当てられます(Cloud Identity and Access Management のロールによって設定されます)。
Google お支払いプロファイル
  • payments.google.com で管理される Google レベルのリソース
  • すべての Google サービス(Google 広告、Google Cloud、Fi 電話サービスなど)に関連付けられます
  • (Google Cloud だけでなく)すべての Google サービス支払いを処理します。
  • そのプロファイルの管理責任を持つユーザーの名前住所納税者番号(法的に義務付けられている場合)などの情報が保管されます。
  • 各種のお支払い方法(Google での購入に以前使用したクレジット カード、デビットカード、銀行口座など)が保管されます。
  • 請求書、お支払い履歴などを確認できるドキュメント センターとして機能します。
  • 各種の Cloud 請求先アカウントとプロダクトの請求書の表示と受け取りを誰に許可するかを管理します。

プロジェクトが Cloud 請求先アカウントとお支払いプロファイルにどのように関連しているかを表しています。片方にはクラウドレベルのリソース(Cloud 請求先アカウントと関連付けられたプロジェクト)が表示され、縦の破線で区切られたもう片方には Google レベルのリソース(お支払いプロファイル)が表示されます。プロジェクトの料金は、お支払いプロファイルにリンクされている Cloud 請求先アカウントによって支払われます。

Cloud 請求先アカウントの種類

Cloud 請求先アカウントには次の 2 種類があります。

  • セルフサービス(オンライン)アカウント

    • 支払い方法は、各国またはリージョンの状況に応じて、クレジット カード、デビットカードまたは ACH 口座振替になります。
    • 費用は Cloud 請求先アカウントに関連付けられたお支払い方法に自動的に請求されます。
    • セルフサービス アカウントはオンラインで登録できます。
    • セルフサービス アカウント用に生成されるドキュメントには、明細、お支払い領収書、請求書などがあります。これらのドキュメントには Cloud Console からアクセスできます。
  • 請求書発行(オンライン)アカウント

    • お支払い方法は、小切手または銀行振込みです。
    • 請求書は郵送またはメールで送られます。
    • 請求書は Cloud Console でもアクセスできます(お支払い領収書も同様です)。
    • 請求先として適格である必要があります。要件の詳細については、こちらをご覧ください。

お支払いプロファイルのタイプ

お支払いプロファイルを作成するときに、プロファイルのタイプを指定するよう求められます。課税条件と本人確認のために、ここでは正確な情報を提供してください。この設定を後から変更することはできません。お支払いプロファイルを設定する際は、そのプロファイルの用途に最適なタイプを選択してください。

お支払いプロファイルには次の 2 つのタイプがあります。

  • 個人

    • 個人のお支払いアカウントとして、自分のアカウントを使用します。
    • お支払いプロファイルを個人として登録すると、そのプロファイルを自分で管理できます。この場合、ユーザーの追加や削除、プロファイルに対する権限の変更を行うことはできません。
  • ビジネス

    • ビジネス、組織、パートナーシップ、教育機関の代理として料金を支払います。
    • Play アプリ、Play ゲーム、Google サービス(Google 広告、Google Cloud、Fi 電話サービスなど)のお支払いには、Google お支払いセンターをご利用いただけます。
    • ビジネス プロファイルを使用する場合、複数のユーザーがお支払いプロファイルにアクセスして管理できるよう、管理対象の Google お支払いプロファイルに他のユーザーを追加できます。
    • ビジネス プロファイルに追加されたすべてのユーザーが、そのプロファイルでお支払い情報を確認できます。

請求期間

Cloud 請求先アカウントの請求サイクルにより、Google Cloud サービスと Google Maps Platform API の使用料金の支払い方法が決まります。

セルフサービスの Cloud 請求先アカウントの場合、Google Cloud の費用は次のいずれかの方法で自動的に請求されます。

  • 毎月の請求: 月単位で定期的に費用が請求されます。
  • 限度額請求: 特定の金額に達すると、費用が請求されます。

セルフサービスの Cloud 請求先アカウントの場合、アカウントの作成時に請求サイクルが自動的に割り当てられます。請求サイクルを選択することはできず、請求サイクルを変更することもできません。

請求書が発行される Cloud 請求先アカウントの場合、通常は 1 か月に 1 つの請求書を受け取り、請求書の支払い期間(支払い条件)は Google との契約によって決まります。

請求に関する連絡先

Cloud 請求先アカウントには 1 つ以上の連絡先があります。この連絡先は お支払いプロファイルに定義され、Cloud 請求先アカウントに関連付けられています。これらの連絡先は、登録されたお支払い方法に固有のお支払い情報を受け取るように指定されたユーザーです(たとえばクレジット カードの更新が必要なときに、その情報を受け取れます)。この連絡先のリストにアクセスして管理するには、お支払いコンソールまたは Cloud Console を使用します。

サブアカウント

サブアカウントは販売パートナー用です。販売パートナーは、サブアカウントを使用して顧客が利用したプロダクトやサービスの料金を表し、チャージバック処理に使用できます。

Cloud Billing のサブアカウントを使用すると、プロジェクトの料金を請求書の別のセクションにまとめることができます。請求先サブカウントは、請求金額が表示される販売パートナーのマスター Cloud 請求先アカウントへの請求先リンクが付いた Cloud 請求先アカウントです。マスター Cloud 請求先アカウントは請求書発行アカウントに記載されている必要があります。

サブアカウントは、多くの点で Cloud 請求先アカウントと同様に動作します。つまりリンクされたプロジェクトを持つことができ、Cloud Billing データのエクスポートを構成でき、Cloud IAM ロールを定義できます。サブアカウントにリンクしているプロジェクトで発生した料金は請求書にまとめられ、小計されます。リソース管理に対する影響として、アクセス制御ポリシーがサブアカウントで完全に分離され、お客様を分離して管理できるようになります。

プロジェクトが Cloud 請求先アカウント、Cloud 請求先サブアカウント、お支払いプロファイルとどのように関連しているかを示します。片方にはクラウドレベルのリソース(Cloud 請求先アカウント、サブアカウント、関連付けられたプロジェクト)が表示され、縦の破線で区切られたもう片方には Google レベルのリソース(お支払いプロファイル)が表示されます。プロジェクトの費用は Cloud 請求先サブアカウントによって支払われます。サブアカウントの費用は、お支払いプロファイルにリンクされているマスター Cloud 請求先アカウントによって支払われます。

Cloud Billing Account API を使用すると、サブアカウントの作成と管理を行うことができます。API を使用して既存のシステムに接続し、新規顧客やチャージバック グループをプログラムでプロビジョニングします。

組織、プロジェクト、Cloud 請求先アカウント、お支払いプロファイルの関係

組織、Cloud 請求先アカウント、プロジェクト間の相互作用は、所有権と支払いリンクという 2 つのタイプの関係によって管理されます。

  • 所有権とは、Cloud IAM 権限の継承を指します。
  • 支払いリンクは、特定のプロジェクトの支払いを行う Cloud 請求先アカウントを定義します。

次の図は、ある組織の所有権と支払いリンクの関係を示しています。

プロジェクトが Cloud 請求先アカウント、組織、お支払いプロファイルにどのように関連しているかを示します。片方にはクラウドレベルのリソース(組織、Cloud 請求先アカウント、関連付けられたプロジェクト)が表示され、縦の破線で区切られたもう片方には Google レベルのリソース(お支払いプロファイル)が表示されます。プロジェクトでは、お支払いプロファイルにリンクされている Cloud 請求先アカウントに対して支払われます。組織の所有権は Cloud IAM で制御します。

この図では、組織はプロジェクト 1、2、3 の所有権を持ちます。つまり、この組織は 3 つのプロジェクトの Cloud IAM 権限の親となっています。

Cloud 請求先アカウントは、プロジェクト 1、2、3 にリンクされています。これは、この請求先アカウントが 3 つのプロジェクトで発生した料金を支払うことを意味します。

Cloud 請求先アカウントには Google お支払いプロファイルもリンクされています。このプロファイルには、氏名、住所、お支払い方法などの情報が記録されています。

この例では、組織の Cloud IAM 請求ロールが付与されているユーザーには、Cloud 請求先アカウントまたはプロジェクトの請求ロールも割り当てられます。

Cloud IAM 請求ロールの付与方法については、請求アクセス制御の概要をご覧ください。

ロールの概要

ロールとは

ロールは、一般的なビジネス ファンクションを実行するための権限をユーザーに付与するものです。

Google Cloud でのロールの仕組み

Google Cloud には Cloud Identity and Access Management(Cloud IAM)機能があり、Google Cloud リソースに対するアクセス権を管理できます。Cloud IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(ロール)を付与するかを制御できます。ユーザーに権限を割り当てるには、Cloud IAM ポリシーを使用して特定のロールをユーザーに付与します。ロールには 1 つ以上の権限が割り当てられています。これにより、リソースに対するユーザー アクセスを制御します。

Cloud IAM ポリシー(ロール)は、組織レベルフォルダレベルプロジェクト レベルで設定できます。場合によっては、サービスレベルのリソースに対して設定することもできます。

ポリシーは階層から継承されます。階層の各ノードで有効なポリシーは、ノードに直接適用されるポリシーで、祖先から継承されます。組織レベルでポリシーを設定すると、そのすべての子フォルダとプロジェクトにポリシーが継承されます。プロジェクト レベルでポリシーを設定すると、そのすべての子リソースにポリシーが継承されます。リソース階層内のさまざまなレベルで権限を細かく適用し、Google Cloud 内で適切な人物が機能を利用できるように設定できます。

ロールに関するベスト プラクティス

  • 重要なロールは複数のユーザーに割り当てます(ある程度の冗長性を確保するため)。
  • 管理者が誰であるかを記録して、管理者の名前を組織内のユーザーに伝えます。
  • ロールの割り当てを最新の状態に保ちます。

重要なロール

次の図は Google Cloud リソース階層を表しています。各レベルで重要なロールについて説明します。

ドメイン
ドメインレベルの G Suite または Cloud Identity の特権管理者は、作成時に組織にアクセスする最初のユーザーとなります。
ドメインの特権管理者
特権管理者は、組織管理者のロール(またはその他のロール)を付与できます。また、ドメインレベルでアカウントを復元できます。
推奨される割り当て先
特権管理者は通常、上位レベルでのアクセスを管理できる人物です(ドメイン管理者など)。
詳しくは、G Suite 管理者ロールCloud Identity 管理者ロールをご覧ください。
組織
組織(会社など)は Google Cloud リソース階層のルートノードです。組織リソースは、階層上、プロジェクト リソースとフォルダの祖先になります。組織リソースに適用される Cloud IAM アクセス制御ポリシーは、組織のすべてのリソースの階層全体に適用されます。
ロール: 組織管理者
組織管理者は、組織内の任意のリソースを管理し、ロールを付与できます。
推奨される割り当て先
組織管理者は通常、アクセス制御を管理できる人物です(IT 管理者など)。
詳しくは、組織のロールをご覧ください。
フォルダ
フォルダ リソースを使用すると、プロジェクトをさらに細かくグループ化してプロジェクトを分離できます。組織内ではサブ組織としてみることができます。フォルダは、異なる法人、部門、社内チームのモデル化に使用できます。フォルダには、サブフォルダとプロジェクトを含めることができます。
ロール: フォルダ管理者
フォルダ管理者は、フォルダの Cloud IAM ポリシーを作成し、編集できます。フォルダ内のプロジェクトによって継承されるロールを決めます。
推奨される割り当て先
フォルダ管理者は、細かいアクセス制御を管理します。通常は部門長やチーム マネージャーです。
詳しくは、フォルダのロールをご覧ください。
プロジェクト
プロジェクト リソースは、基本レベルの構成エンティティです。組織とフォルダには複数のプロジェクトを含めることができます。Google Cloud を使用するにはプロジェクトが必要で、すべての Google Cloud サービスの作成、有効化、使用、API の管理、課金の有効化、共同編集者の追加と削除、権限の管理などの基礎となります。
ロール: プロジェクト作成者
プロジェクト作成者ロールは、プロジェクトの作成ができるほか、Google Cloud でのリソースの起動や使用料金の請求を許可します。
推奨される割り当て先
組織のプロジェクト作成者は、チームリードやサービス アカウント(自動化用)に割り当てることができます。
ロール: プロジェクト オーナーとユーザー
プロジェクト オーナーとユーザーのロールでは、プロジェクトの費用と使用状況を確認できます。また、リソースにラベルを付けることもできます。
推奨される割り当て先
組織のプロジェクト オーナーとユーザーは、チームリードやデベロッパーに割り当てることができます。
詳しくは、プロジェクトのロールをご覧ください。
Cloud 請求先アカウント
Cloud 請求先アカウントはプロジェクトにリンクされており、プロジェクトの料金の請求先です。Cloud 請求先アカウントは、Google お支払いプロファイルに関連付けられています。
ロール: 請求先アカウント管理者
請求先アカウント管理者は、課金データのエクスポートを有効にして、費用 / 支出の確認、予算とアラートの設定、プロジェクトのリンク / リンク解除を行うことができます。
推奨される割り当て先
組織の請求管理者は、財務関連の担当者がなるケースが多いようです。
ロール: 課金ユーザー
請求先アカウント ユーザーは、プロジェクトを Cloud 請求先アカウントにリンクできますが、リンクの解除はできません。これは通常、プロジェクト作成者のロールと連携して広く使用されています。
推奨される割り当て先
通常、組織で信頼できるプロジェクト作成者はこのロールを必要とします。
詳しくは、請求のロールをご覧ください。
お支払いプロファイル
お支払いプロファイルは、Cloud 組織の外部にある Google お支払いセンターで管理されています。ここでは、Google 広告、Google Cloud、Fi 電話サービスなど、すべての Google プロダクトとサービスに対する料金のお支払い方法を管理できます。お支払いプロファイルは Cloud 請求先アカウントに関連付けられています。
お支払いプロファイル管理者
お支払いプロファイル管理者は、お支払い方法を表示して管理できます。また、お支払いの実行や、請求書とお支払いアカウントの確認を行うことができます。
推奨される割り当て先
組織のお支払いプロファイル管理者は通常、財務や会計部門の担当者に割り当てます。
詳しくは、お支払いプロファイルのユーザー権限をご覧ください。

クラウドの財務ガバナンスに関するガイド

動画ライブラリ: Google Cloud の費用管理。コストのモニタリングと管理を行う際のベスト プラクティスをご覧ください。