Google Cloud では、ニーズに合わせて請求をさまざまな方法で構成できます。このセクションでは、組織と課金の基本的なコンセプトと効果的な使用方法について説明します。
リソースの概要
リソースとは
Google Cloud のコンテキストでは、リソースはワークロードの処理に使用されるサービスレベルのリソース(VM、DB など)を意味することもあれば、サービスの上位にあるアカウント レベルのリソース(プロジェクト、フォルダ、組織など)を意味することもあります。
リソース管理とは
リソース管理では、会社 / チームで使用する各種の Cloud リソースの構成と、こうしたリソースへのアクセス許可を付与します。特に、サービスレベルのリソースの上位にあるアカウント レベルのリソースの設定と編成が重要です。アカウント レベルのリソースは、Google Cloud アカウントの設定と管理に関連します。
リソース階層
Google Cloud のリソースは階層的に編成されます。この階層により、組織の運用体制を Google Cloud にマッピングし、関連リソースのグループのアクセス制御と権限を管理できます。リソース階層は、アクセス管理ポリシー(Cloud Identity and Access Management)と組織のポリシーの論理的な接点として機能します。
Cloud IAM と組織ポリシーはともに階層から継承されます。階層の各ノードで有効なポリシーは、ノードに直接適用されるポリシーで、祖先から継承されます。
次の図に示すリソース階層の例は、Google Cloud アカウントの管理に関連する主要なアカウント レベルのリソースを示しています。
ドメイン
- 会社のドメインは組織の主要な ID です。Google Cloud などの Google サービスでは、ドメインによって会社の ID を確立します。
- ドメインを使用して、組織内のユーザーを管理します。
- Google Cloud の使用時に組織に関連付けるユーザーは、ドメインレベルで定義します。
- ドメインは、ユーザーとデバイスに関する全体的なポリシーを管理できる場所でもあります(たとえば、2 要素認証を有効化したり、組織内の任意のユーザーのパスワードをリセットしたりできます)。
- ドメインは G Suite アカウントまたは Cloud Identity アカウントのいずれかにリンクされます。
- G Suite アカウントや Cloud Identity アカウントには、それぞれ 1 つの組織が関連付けられます。
- ドメインレベルの機能を管理するには、Google 管理コンソール(admin.google.com)を使用します。
リソースの階層の詳細については、Resource Manager ドキュメントをご覧ください。
組織
- 組織は、Google Cloud リソース階層のルートノードです。
- 組織に属するすべての Google Cloud リソースは組織ノードの下にグループ化されます。組織ノードの下位にあるすべてのプロジェクト、フォルダ、リソース、Cloud 請求先アカウントに対する設定、権限、ポリシーの定義はこれらのグループに基づいて行います。
- 組織は 1 つのドメイン(G Suite アカウントまたは Cloud Identity アカウントのいずれかで設定されたドメイン)に関連付けられます。Google Cloud でドメインを設定すると、自動的に組織が作成されます。
- 組織を使用して、Google Cloud リソースと、それに対するユーザーのアクセス権限を一元的に管理できます。これには、次が含まれます。
- プロアクティブ管理: 必要に応じてリソースを再編成します(たとえば、部門を再編成したり新しく立ち上げたりする場合、新しいプロジェクトとフォルダが必要になることがあります)。
- リアクティブ管理: リソースに対するアクセスを失った場合(たとえば、チームメンバーの 1 人がリソースにアクセスできなくなった場合や、退職した場合など)、そのリソースへのアクセスを再度取得するには、組織リソースがセーフティ ネットとして機能します。
- Google Cloud に関連するさまざまなロールとリソース(組織、プロジェクト、フォルダ、リソース、Cloud 請求先アカウントを含む)は、Google Cloud Console 内で管理します。
組織の詳細については、組織の作成と管理をご覧ください。
フォルダ
- フォルダはグループ化メカニズムです。フォルダにはプロジェクト、他のフォルダ、またはその両方を格納できます。
- フォルダを使用するには、組織ノードが必要です。
- フォルダとプロジェクトはすべて組織ノード下でマッピングされます。
- フォルダを使用すると、共通の Cloud IAM ポリシーを共有するリソースをグループ化できます。
- 1 つのフォルダに複数のフォルダやリソースを格納できますが、個々のフォルダまたはリソースの親は 1 つだけです。
フォルダの使い方については、フォルダの作成と管理をご覧ください。
プロジェクト
- サービスレベルのリソース(Compute Engine 仮想マシン(VM)、Pub/Sub トピック、Cloud Storage バケットなど)を使用するには、プロジェクトが必須です。
- サービスレベルのリソースは例外なく、Google Cloud での基本レベルの構成エンティティであるプロジェクトを親として持ちます。
- プロジェクトを使用すると、論理プロジェクト、チーム、環境、またはビジネス ファンクションや構造にマップされるその他のコレクションを表すことができます。
- プロジェクトは、サービス、API、Cloud IAM 権限を有効化するための基礎となります。
- どのリソースも、1 つのプロジェクト内にしか存在することができません。
プロジェクトの詳細については、プロジェクトの作成と管理をご覧ください。
リソース
- すべての Google Cloud サービスは、Google Cloud のサービスレベルのリソース(Compute Engine 仮想マシン(VM)、Pub/Sub トピック、Cloud Storage バケットなど)を基本コンポーネントとして構成されます。
- 請求およびアクセスを制御する目的で、リソースは、階層(プロジェクトや組織も含む)の最下位に存在します。
ラベル
- ラベルを利用して、Google Cloud リソース(Compute Engine インスタンスなど)を分類できます。
- ラベルは Key-Value ペアです。
- 各リソースにラベルを設定し、そのラベルに基づいてリソースをフィルタリングできます。
- ラベルは、よりきめ細かなレベルで費用を追跡するのに役立ちます。ラベルに関する情報は課金システムに転送されるため、ラベル別に料金を分析できます。
ラベルの使用方法については、ラベルの作成と管理をご覧ください。
Cloud 請求先アカウントとお支払いプロファイル
概要
Cloud 請求先アカウントは Google Cloud で設定され、特定の Google Cloud リソースと Google Maps Platform API のセットに対する支払いを誰が行うかを定義するために使用されます。Cloud 請求先アカウントのアクセスは、Cloud Identity and Access Management(Cloud IAM)のロールによって確立されます。Cloud 請求先アカウントは、Google お支払いプロファイルに関連付けられています。Google お支払いプロファイルには、費用に対するお支払い方法が記録されています。
| Cloud 請求先アカウント | お支払いプロファイル |
|---|---|
Cloud 請求先アカウント
|
Google お支払いプロファイル
|
Cloud 請求先アカウントの種類
Cloud 請求先アカウントには次の 2 種類があります。
セルフサービス(オンライン)アカウント
- 支払い方法は、各国またはリージョンの状況に応じて、クレジット カード、デビットカードまたは ACH 口座振替になります。
- 費用は Cloud 請求先アカウントに関連付けられたお支払い方法に自動的に請求されます。
- セルフサービス アカウントはオンラインで登録できます。
- セルフサービス アカウント用に生成されるドキュメントには、明細、お支払い領収書、請求書などがあります。これらのドキュメントには Cloud Console からアクセスできます。
請求書発行(オンライン)アカウント
- お支払い方法は、小切手または銀行振込みです。
- 請求書は郵送またはメールで送られます。
- 請求書は Cloud Console でもアクセスできます(お支払い領収書も同様です)。
- 請求先として適格である必要があります。要件の詳細については、こちらをご覧ください。
お支払いプロファイルのタイプ
お支払いプロファイルを作成するときに、プロファイルのタイプを指定するよう求められます。課税条件と本人確認のために、ここでは正確な情報を提供してください。この設定を後から変更することはできません。お支払いプロファイルを設定する際は、そのプロファイルの用途に最適なタイプを選択してください。
お支払いプロファイルには次の 2 つのタイプがあります。
個人
- 個人のお支払いアカウントとして、自分のアカウントを使用します。
- お支払いプロファイルを個人として登録すると、そのプロファイルを自分で管理できます。この場合、ユーザーの追加や削除、プロファイルに対する権限の変更を行うことはできません。
ビジネス
- ビジネス、組織、パートナーシップ、教育機関の代理として料金を支払います。
- Play アプリ、Play ゲーム、Google サービス(Google 広告、Google Cloud、Fi 電話サービスなど)のお支払いには、Google お支払いセンターをご利用いただけます。
- ビジネス プロファイルを使用する場合、複数のユーザーがお支払いプロファイルにアクセスして管理できるよう、管理対象の Google お支払いプロファイルに他のユーザーを追加できます。
- ビジネス プロファイルに追加されたすべてのユーザーが、そのプロファイルでお支払い情報を確認できます。
請求期間
Cloud 請求先アカウントの請求サイクルにより、Google Cloud サービスと Google Maps Platform API の使用料金の支払い方法が決まります。
セルフサービスの Cloud 請求先アカウントの場合、Google Cloud の費用は次のいずれかの方法で自動的に請求されます。
- 毎月の請求: 月単位で定期的に費用が請求されます。
- 限度額請求: 特定の金額に達すると、費用が請求されます。
セルフサービスの Cloud 請求先アカウントの場合、アカウントの作成時に請求サイクルが自動的に割り当てられます。請求サイクルを選択することはできず、請求サイクルを変更することもできません。
請求書が発行される Cloud 請求先アカウントの場合、通常は 1 か月に 1 つの請求書を受け取り、請求書の支払い期間(支払い条件)は Google との契約によって決まります。
請求に関する連絡先
Cloud 請求先アカウントには 1 つ以上の連絡先があります。この連絡先は お支払いプロファイルに定義され、Cloud 請求先アカウントに関連付けられています。これらの連絡先は、登録されたお支払い方法に固有のお支払い情報を受け取るように指定されたユーザーです(たとえばクレジット カードの更新が必要なときに、その情報を受け取れます)。この連絡先のリストにアクセスして管理するには、お支払いコンソールまたは Cloud Console を使用します。
サブアカウント
サブアカウントは販売パートナー用です。販売パートナーは、サブアカウントを使用して顧客が利用したプロダクトやサービスの料金を表し、チャージバック処理に使用できます。
Cloud Billing のサブアカウントを使用すると、プロジェクトの料金を請求書の別のセクションにまとめることができます。請求先サブカウントは、請求金額が表示される販売パートナーのマスター Cloud 請求先アカウントへの請求先リンクが付いた Cloud 請求先アカウントです。マスター Cloud 請求先アカウントは請求書発行アカウントに記載されている必要があります。
サブアカウントは、多くの点で Cloud 請求先アカウントと同様に動作します。つまりリンクされたプロジェクトを持つことができ、Cloud Billing データのエクスポートを構成でき、Cloud IAM ロールを定義できます。サブアカウントにリンクしているプロジェクトで発生した料金は請求書にまとめられ、小計されます。リソース管理に対する影響として、アクセス制御ポリシーがサブアカウントで完全に分離され、お客様を分離して管理できるようになります。
Cloud Billing Account API を使用すると、サブアカウントの作成と管理を行うことができます。API を使用して既存のシステムに接続し、新規顧客やチャージバック グループをプログラムでプロビジョニングします。
組織、プロジェクト、Cloud 請求先アカウント、お支払いプロファイルの関係
組織、Cloud 請求先アカウント、プロジェクト間の相互作用は、所有権と支払いリンクという 2 つのタイプの関係によって管理されます。
- 所有権とは、Cloud IAM 権限の継承を指します。
- 支払いリンクは、特定のプロジェクトの支払いを行う Cloud 請求先アカウントを定義します。
次の図は、ある組織の所有権と支払いリンクの関係を示しています。
この図では、組織はプロジェクト 1、2、3 の所有権を持ちます。つまり、この組織は 3 つのプロジェクトの Cloud IAM 権限の親となっています。
Cloud 請求先アカウントは、プロジェクト 1、2、3 にリンクされています。これは、この請求先アカウントが 3 つのプロジェクトで発生した料金を支払うことを意味します。
Cloud 請求先アカウントには Google お支払いプロファイルもリンクされています。このプロファイルには、氏名、住所、お支払い方法などの情報が記録されています。
この例では、組織の Cloud IAM 請求ロールが付与されているユーザーには、Cloud 請求先アカウントまたはプロジェクトの請求ロールも割り当てられます。
Cloud IAM 請求ロールの付与方法については、請求アクセス制御の概要をご覧ください。
ロールの概要
ロールとは
ロールは、一般的なビジネス ファンクションを実行するための権限をユーザーに付与するものです。
Google Cloud でのロールの仕組み
Google Cloud には Cloud Identity and Access Management(Cloud IAM)機能があり、Google Cloud リソースに対するアクセス権を管理できます。Cloud IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(ロール)を付与するかを制御できます。ユーザーに権限を割り当てるには、Cloud IAM ポリシーを使用して特定のロールをユーザーに付与します。ロールには 1 つ以上の権限が割り当てられています。これにより、リソースに対するユーザー アクセスを制御します。
Cloud IAM ポリシー(ロール)は、組織レベル、フォルダレベル、プロジェクト レベルで設定できます。場合によっては、サービスレベルのリソースに対して設定することもできます。
ポリシーは階層から継承されます。階層の各ノードで有効なポリシーは、ノードに直接適用されるポリシーで、祖先から継承されます。組織レベルでポリシーを設定すると、そのすべての子フォルダとプロジェクトにポリシーが継承されます。プロジェクト レベルでポリシーを設定すると、そのすべての子リソースにポリシーが継承されます。リソース階層内のさまざまなレベルで権限を細かく適用し、Google Cloud 内で適切な人物が機能を利用できるように設定できます。
ロールに関するベスト プラクティス
- 重要なロールは複数のユーザーに割り当てます(ある程度の冗長性を確保するため)。
- 管理者が誰であるかを記録して、管理者の名前を組織内のユーザーに伝えます。
- ロールの割り当てを最新の状態に保ちます。
重要なロール
次の図は Google Cloud リソース階層を表しています。各レベルで重要なロールについて説明します。
| ドメイン | ||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
||||||||||||||||||||||||||||||||||||||||||
| お支払いプロファイル | ||||||
|---|---|---|---|---|---|---|
|
||||||
関連トピック
動画ライブラリ: Google Cloud の費用管理。コストのモニタリングと管理を行う際のベスト プラクティスをご覧ください。