Cloud Billing リソースの組織化とアクセス管理

この記事では、Google Cloud のさまざまなリソースを設定し、アクセス制御とコスト管理のベスト プラクティスを実現する方法について説明します。クラウド リソースの管理を成功させるための設計上の決定事項や構成オプションについて説明します。

このガイドの目的

  • 請求に関連するさまざまなリソースの概要について説明します。
  • Cloud Billing のリソースを効果的に設定して、簡単に管理できるようにする方法を説明します。また、戦略的な優先度に応じてクラウドを利用し、有効に機能するアカウントを維持する方法についても説明します。
  • Google Cloud で発生する請求関連の一般的な問題を回避する際に役立つ情報を提供します。
  • 冗長性とセキュリティを維持するために、リソースのアクセス権限を構成する際のベスト プラクティスについて説明します。
  • 財務ガバナンス ツールを効果的に利用するための設定手順を説明します。

概要

このガイドは 2 つのセクションから構成されています。最初のセクションでは、Google Cloud の請求管理に関連するさまざまなリソースとロールの概要について説明します。2 番目のセクションでは、課金要件に合わせて最適な Google Cloud リソースを構成するために必要な手順を説明します。

セクション 1: コンセプト

セクション 2: 設定ガイド

  • 課金設定に関連する Google Cloud オンボーディング トピックの内容に合わせて構成手順を説明します。また、組織の要件に合わせてカスタマイズする方法についても説明します。

Cloud Billing のコンセプト

設定ガイドのセクションに進む前に、Cloud Billing のコンセプトを理解しておきましょう。主要なコンセプトを理解することで、クラウド環境の構成を決める際に的確な判断を行うことができます。追加情報が必要な場合は、Cloud Billing のコンセプトの概要をご覧ください。

リソースの概要

リソースとは

Google Cloud のコンテキストでは、リソースはワークロードの処理に使用されるサービスレベルのリソース(VM、DB など)を意味することもあれば、サービスの上位にあるアカウント レベルのリソース(プロジェクト、フォルダ、組織など)を意味することもあります。

リソース管理とは

リソース管理では、会社 / チームで使用する各種の Google Cloud リソースの構成と、こうしたリソースへのアクセス許可を付与します。特に、サービスレベルの上位にあるアカウント レベルのリソースの設定と編成が重要です。アカウント レベルのリソースは、Google Cloud アカウントの設定と管理に関連します。この記事では、アカウント レベルのリソースを構成する際の手引きとなるアドバイスと、有効に機能するアカウントを維持するためのリソース管理に必要なロールについて説明します。

リソース階層

Google Cloud のリソースは階層的に編成されます。この階層により、組織の運用体制を Google Cloud にマッピングし、関連リソースのグループのアクセス制御と権限を管理できます。次の図に示すリソース階層の例は、Google Cloud アカウントの管理に関連する主要なアカウント レベルのリソースを示しています。

リソース階層

  • ドメインは、組織内のユーザーを管理するためのメカニズムです。これは、組織のリソースに直接関係します。

  • 組織リソースは組織全体(会社など)を表し、リソース階層のルートノードとなります。階層の下にあるすべての Google Cloud リソースをここから集中管理できます。

  • 階層の次のノードは フォルダです。フォルダを使用すると、親組織のさまざまな部門やチームの要件を分離できます。また、本番環境と開発環境のリソースを分けることもできます。

  • 階層の一番下にあるのが プロジェクトです。プロジェクトには、ワークロードを処理するサービスレベルのリソース(コンピューティング リソース、ストレージ リソース、ネットワーク リソースなど)が含まれます。これらのリソースからアプリが構成されます。

  • リソースは、 ラベルを使用してさらに分類できます。サービスレベルのリソース(VM、DB など)にも、アカウント レベルのリソース(プロジェクトなど)にも、ラベルを付けることができます。

  • Cloud 請求先アカウントはプロジェクトにリンクされており、プロジェクトの料金の請求先です。

  • Cloud 請求先アカウントは、 Google お支払いプロファイルに関連付けられています。お支払いプロファイルは Google レベルのリソースです。Google サービス(Google 広告、Google Cloud など)に対する料金のお支払いには、お支払いプロファイルに関連付けられている支払い方法を使用します。

リソース階層内のさまざまなレベルできめ細かい権限を適用し、組織内で適切な人物に権限を与えることができます。

構造は柔軟に定義できます。変化する要件にも対応できます。まだ Google Cloud に慣れていない場合は、初期の要件を満たす最も単純な構造を採用できます。詳細については、Resource Manager の概要をご覧ください。

ロールの概要

ロールとは

ロールは、一般的なビジネス ファンクションを実行するための権限をユーザーに付与するものです。

Google Cloud でのロールの仕組み

Google Cloud には Identity and Access Management(IAM)機能があり、Google Cloud リソースに対するアクセス制御を管理できます。IAM では、IAM ポリシーを設定して、誰(どのユーザー)に、どのリソースに対するどのアクセス権(ロール)を付与するかを制御することができます。ユーザーに権限を割り当てるには、Cloud IAM ポリシーを使用して特定のロールをユーザーに付与します。ロールには 1 つ以上の権限が割り当てられています。これにより、リソースに対するユーザー アクセスを制御します。

IAM ポリシー(ロール)は、組織レベルフォルダレベルプロジェクト レベルで設定できます。場合によっては、サービスレベルのリソースに対して設定することもできます。リソースでは親ノードのポリシーが継承されます。組織レベルでポリシーを設定すると、そのすべての子フォルダとプロジェクトにポリシーが継承されます。プロジェクト レベルでポリシーを設定すると、そのすべての子リソースにポリシーが継承されます。

下の図は Google Cloud リソース階層を表しています。各レベルで重要なロールについて説明します。

ドメイン
ドメインレベルの G Suite または Google Workspace の特権管理者は、作成時に組織にアクセスする最初のユーザーとなります。
ドメインの特権管理者
特権管理者は、組織管理者のロール(またはその他のロール)を付与できます。また、ドメインレベルでアカウントを復元できます。
推奨される割り当て先
特権管理者は通常、上位レベルでのアクセスを管理できる人物です(ドメイン管理者など)。
詳細については、Google Workspace 管理者ロールCloud Identity 管理者ロールをご覧ください。
組織
組織(会社など)は Google Cloud リソース階層のルートノードです。組織リソースは、階層上、プロジェクト リソースとフォルダの祖先になります。組織リソースに適用される IAM アクセス制御ポリシーは、組織のすべてのリソースの階層全体に適用されます。
ロール: 組織管理者
組織管理者は、組織内の任意のリソースを管理し、ロールを付与できます。
推奨される割り当て先
組織管理者は通常、アクセス制御を管理できる人物です(IT 管理者など)。
詳しくは、組織のロールをご覧ください。
フォルダ
フォルダ リソースを使用すると、プロジェクトをさらに細かくグループ化してプロジェクトを分離できます。組織内ではサブ組織としてみることができます。フォルダは、異なる法人、部門、社内チームのモデル化に使用できます。フォルダには、サブフォルダとプロジェクトを含めることができます。
ロール: フォルダ管理者
フォルダ管理者は、フォルダの IAM ポリシーを作成し、編集できます。フォルダ内のプロジェクトによって継承されるロールを決めます。
推奨される割り当て先
フォルダ管理者は、細かいアクセス制御を管理します。通常は部門長やチーム マネージャーです。
詳しくは、フォルダのロールをご覧ください。
プロジェクト
プロジェクト リソースは、基本レベルの構成エンティティです。組織とフォルダには複数のプロジェクトを含めることができます。Google Cloud を使用するにはプロジェクトが必要で、すべての Google Cloud サービスの作成、有効化、使用、API の管理、課金の有効化、共同編集者の追加と削除、権限の管理などの基礎となります。
ロール: プロジェクト作成者
プロジェクト作成者ロールは、プロジェクトの作成ができるほか、Google Cloud でのリソースの起動や使用料金の請求を許可します。
推奨される割り当て先
組織のプロジェクト作成者は、チームリードやサービス アカウント(自動化用)に割り当てることができます。
ロール: プロジェクト オーナーとユーザー
プロジェクト オーナーとユーザーのロールでは、プロジェクトの費用と使用状況を確認できます。また、リソースにラベルを付けることもできます。
推奨される割り当て先
組織のプロジェクト オーナーとユーザーは、チームリードやデベロッパーに割り当てることができます。
詳しくは、プロジェクトのロールをご覧ください。
Cloud 請求先アカウント
Cloud 請求先アカウントはプロジェクトにリンクされており、プロジェクトの料金の請求先です。Cloud 請求先アカウントは、Google お支払いプロファイルに関連付けられています。
ロール: 請求先アカウント管理者
請求先アカウント管理者は、課金データのエクスポートを有効にして、費用 / 支出の確認、予算とアラートの設定、プロジェクトのリンク / リンク解除を行うことができます。
推奨される割り当て先
組織の請求管理者は、財務関連の担当者がなるケースが多いようです。
ロール: 課金ユーザー
請求先アカウント ユーザーは、プロジェクトを Cloud 請求先アカウントにリンクできますが、リンクの解除はできません。これは通常、プロジェクト作成者のロールと連携して広く使用されています。
推奨される割り当て先
通常、組織で信頼できるプロジェクト作成者はこのロールを必要とします。
詳しくは、請求のロールをご覧ください。
お支払いプロファイル
お支払いプロファイルは、Cloud 組織の外部にある Google お支払いセンターで管理されています。ここでは、Google 広告、Google Cloud、Fi 電話サービスなど、すべての Google プロダクトとサービスに対する料金のお支払い方法を一元管理できます。お支払いプロファイルは Cloud 請求先アカウントに関連付けられています。
お支払いプロファイル管理者
お支払いプロファイル管理者は、お支払い方法を表示して管理できます。また、お支払いの実行や、請求書とお支払いアカウントの確認を行うことができます。
推奨される割り当て先
組織のお支払いプロファイル管理者は通常、財務や会計部門の担当者に割り当てます。
詳しくは、お支払いプロファイルのユーザー権限をご覧ください。

設定ガイド

設定ガイドの各セクションでは、決定ポイントに関する情報とベスト プラクティスの推奨事項を提供します。重要なロールについて説明し、構成チェックリストを示します。潜在的な問題に関する情報も提供します。このガイドの最終的な目標は、課金要件に合わせて Google Cloud リソースを構成することです。このガイドラインでは、アクセスと課金に関連して Google Cloud でよく見られる問題の回避に役立つ情報を提供します。

始める前に

設定ガイドを読み進める前に、Cloud Billing のコンセプトを十分に理解してください。主要なコンセプトを理解することで、クラウド環境の構成を決める際に的確な判断を行うことができます。

詳しくは、こちらの動画をご覧ください。

ベスト プラクティス: Google Cloud リソースの編成とアクセス管理(Cloud Next '19)

Google Cloud でリソースを編成してアクセス制御を設定するには、さまざまな方法があります。チームがリソースに継続してアクセスし、効率よく管理できるようにするには、次のベスト プラクティスを実践する必要があります。このセッションでは、利用可能な Google Cloud のリソースについて説明します。また、アカウントの構成でよく発生する問題を回避できるように、ベスト プラクティスのチェックリストを提供します。

この設定ガイドは次のセクションから構成されています。


ドメインと組織

ドメインと組織は、リソース階層の最上位に位置します。Google Cloud ドメインと組織を組み合わせて使用することで、すべてのユーザーと Google Cloud リソースを一元管理できます。

  • ドメインを使用して、組織内のユーザーを管理できます。

  • 組織を使用して、Google Cloud リソースと、それに対するユーザーのアクセス権限を管理できます。

リソース階層におけるドメインと組織

ドメインと ID

会社のドメインは組織の主要な ID です。Google Cloud を含む Google サービスでは、ドメインによって会社の ID を確立します。ドメインは、Google Workspace アカウントまたは Cloud Identity アカウントのいずれかにリンクされます。

ID は、Google Cloud リソースに対するユーザーの認証とアクセス管理で使用されます。ユーザー認証と ID の管理方法は、Google Cloud の使用を開始するときに決めます。これは重要な決定事項です。アクセス管理は Google Workspace と Cloud Identity を使用して柔軟に行うことができます。

重要な決定: Cloud Identity と Google Workspace

ユーザー認証と ID に Cloud Identity と Google Workspaceのどちらを使用するか

組織リソースは、Google Workspace または Cloud Identity アカウントと密接に関連しています。組織リソースを取得するのは、Google Workspace または Cloud Identity ユーザーだけです。1 つの Google Workspace または Cloud Identity アカウントに 1 つの組織がプロビジョニングされます。ドメインに組織リソースを作成すると、アカウント ドメインのメンバーが作成するすべての Google Cloud プロジェクトはデフォルトで組織リソースに属するようになります。

Cloud Identity
Cloud Identity には無料の管理対象 Google アカウントが含まれています。このアカウントを使用して、Google Cloud などの Google サービスを利用できます。各ユーザーに Cloud Identity アカウントを使用することで、Google 管理コンソールからドメイン全体にわたって、すべてのユーザーを管理できます。

利用方法: ドライブや Gmail などの Google Workspace 機能は必要ありません。ドメインの統合で提供されるアカウント管理機能が必要です。

推奨事項: Cloud Identity を使用して無料の組織を取得します。

Google Workspace
Google Workspace の管理者は、Google Workspace 管理コンソールからすべてのユーザーと設定を管理できます。デフォルトでは、新規ユーザーには Google Workspace ライセンスが割り当てられます。Google Workspace ライセンスが不要な開発者のサブセットがある場合、代わりに、Cloud Identity アカウントを追加できます。

ユースケース: Google Workspace のアカウント管理機能に加えて、ドライブや Gmail などの Google Workspace 機能を利用できます。

推奨事項: Google Workspace に登録して組織を取得します。

詳細については、組織リソースを取得するCloud Identity の利用を開始するをご覧ください。

重要なロール

ドメインの特権管理者
特権管理者は、組織管理者のロール(またはその他のロール)を付与できます。また、ドメインレベルでアカウントを復元できます。
推奨される割り当て先
特権管理者は通常、上位レベルでのアクセスを管理できる人物です(ドメイン管理者など)。
詳細については、Google Workspace 管理者ロールCloud Identity 管理者ロールをご覧ください。

チェックリスト

1. リソースの作成
Cloud Identity または Google Workspace を選択します。
  • Cloud Identity の場合:
    1. Cloud Identity の概要を確認して、Cloud Identity の登録ページに移動します。
    2. 登録プロセスに従って Cloud Identity アカウントを管理します。
    3. admin@yourdomain.com アカウントのメールアドレスでメールを受信できることを確認します。Cloud Identity は、このアドレスを使用して管理者にメールを送信します。
    4. ドメインの所有権確認プロセスを行います。このプロセスのチュートリアル動画もご用意しています。
  • Google ワークスペースのお客様については、Cloud Identity が含まれています。ドメイン内で Google Workspace 以外のユーザーが Google Cloud にアクセスする場合は、次の操作を行います。
    1. Cloud Identity を有効にする
    2. Google Workspace の自動ライセンス機能を無効にします。
2. アクセスの構成
ユーザーとグループの追加 / 同期に関するベスト プラクティスを確認する。
管理コンソールGoogle Cloud Directory Sync または Admin SDK API を使用して、ユーザーとグループを追加します。
複数の特権管理者を設定します。アカウントへのアクセスで問題が発生した場合や、他の組織管理者に権限を委任する必要が生じた場合に連絡先がわかるよう、これらの特権関係者を他のプロジェクト オーナー、管理者、従業員に伝えます。
3. リソースの構成
提供されているライセンス数を確認する。Google では、デフォルトで固定数の無料ライセンスを提供しています。追加ライセンスが必要な場合は、お問い合わせください
Cloud Identity は、さまざまなセキュリティ機能とユーザー管理機能を提供します。詳細については、機能とエディションの比較表をご覧ください。

組織

組織は、Google Cloud リソース階層のルートノードです。組織には 1 つのドメインが関連付けられます。組織に属するすべてのリソースは組織ノード下でグループ化されます。このグループ化に基づいて、組織内のすべてのリソースに対する分析情報やアクセス制御が提供されます。

ベスト プラクティス: 組織を構成する

Google Cloud ユーザーは組織リソースを持っている必要はありません。ただし、複数のユーザー アカウントを管理する必要がある場合は、組織を構成することを強くおすすめしますIAM ポリシーの継承リソース アクセスの復旧など、組織リソースには多くのメリットがあります

詳しくは、組織の作成と管理をご覧ください。

重要なロール

ロール: 組織管理者
組織管理者は、組織内の任意のリソースを管理し、ロールを付与できます。
推奨される割り当て先
組織管理者は通常、アクセス制御を管理できる人物です(IT 管理者など)。
詳しくは、組織のロールをご覧ください。

チェックリスト

1. リソースの作成
組織リソースを取得するドメインと ID の手順を行っている場合は、すでに組織が作成されています。
2. アクセスの構成
IAM ポリシーを定義し、組織全体のリソース(Cloud Billing やプロジェクト管理など)に対する責任を委譲する複数の組織管理者を設定する。
最小限の権限というセキュリティ原則を考慮しながら、組織レベルで IAM ロールを付与する
3. リソースの構成
プロジェクトと請求先アカウントを組織に移行する

移行後に、プロジェクトまたは請求先アカウントのオーナーがアカウントにアクセスできなくなった場合や退職した場合、組織管理者がプロジェクトまたは請求先アカウントの所有権を復旧できます。


Cloud 請求先アカウント

プロジェクトの料金は、請求先アカウントが支払います。各プロジェクトとそのサービスレベルのリソースに対する料金の請求先アカウントは、常に 1 つだけです。請求先アカウントは単一の通貨で運用され、Google お支払いプロファイルに関連付けられます。

リソース階層における Cloud 請求先アカウント

請求先アカウントは、1 つ以上のプロジェクトにリンクできます。プロジェクトの利用料金は、リンクされた請求先アカウントに請求されます。請求先アカウントにリンクされていないプロジェクトでは、有料の Google Cloud サービスを使用できません。

重要な決定: 1 つの請求先アカウントか複数の請求先アカウントか

組織内にメインの Cloud 請求先アカウントを 1 つ作成することをおすすめします。多くの場合、請求先アカウントを追加すると余分なオーバーヘッドが発生し、追跡や管理が難しくなります。また、複数の請求先アカウントが存在すると、確約利用割引が適切に機能しない可能性があります。また、プロモーション クレジットで問題が発生する可能性もあります

次のいずれかの要件を満たしている場合、複数の Cloud 請求先アカウントが必要になることがあります。

  • 法的または会計上の理由から、料金を分割する必要がある。
  • 複数の通貨で支払う必要がある。

重要な決定: クレジット カード / デビッドカードで支払うか、請求書による請求を利用するか

Google Cloud Console で Cloud 請求先アカウントを最初に設定するときに、デフォルトでは、セルフサービスの請求先アカウントを作成し、支払い方法としてクレジット カードまたはデビッドカードを関連付けます。

財務 / 経理部門がある場合や、Google Cloud を最初に開始する際に多額の費用がかかると予想される場合は、請求書による請求を使用する方がよいことがあります。貴社が請求書発行の対象かどうかについては、Cloud 課金サポートまでお問い合わせください。お申し込みは組織の現在の請求先アカウントの課金管理者が行う必要があります。

重要なロール

ロール: 請求先アカウント管理者
請求先アカウント管理者は次のことができます。
  • 支払い方法を管理する
  • 課金データのエクスポートを有効にする
  • 費用 / 利用額を表示し、予算アラートを設定する
  • プロジェクトをリンクまたはリンク解除する
  • 請求先アカウントに関連付けられている他のユーザーのロールを管理する
推奨される割り当て先
通常、このロールを担うのは、会社の財務担当者(損益計算(P&L)を担当するビジネスリード、予算管理を担当する技術チームのメンバーなど)です。

重要: 課金サポートに連絡するユーザーにはこのロールが割り当てられていることが必須です。

ロール: 課金ユーザー
課金ユーザーは次のことができます。
  • プロジェクトを請求先アカウントにリンクする(ただし、リンクを解除することはできません)
  • 費用を表示する
推奨される割り当て先
このロールは一般にプロジェクト作成者のロールと一緒に付与されます。通常、組織内の信頼できるプロジェクト作成者にはこのロールを付与して、作成したプロジェクトを請求先アカウントにリンクできるようにする必要があります。
詳しくは、請求ロールをご覧ください。

チェックリスト

1. リソースの作成
使用するメインの請求先アカウント作成または特定する。請求先アカウントがすでに存在する場合、この手順は完了しています。
2. アクセスの構成
財務部門などの担当者や、経費の確認 / 超過費用の確認を行うユーザーのロールに請求レポートへのアクセスを許可します。
複数の請求先アカウント管理者を各請求先アカウントに割り当てます。組織レベルの権限を使用することも検討してください。
3. リソースの構成
複数の請求先アカウントをメインの請求先アカウントに統合する
  1. 最初に、メインの請求先アカウントと、これらの請求先アカウントにリンクするプロジェクトを特定します。詳しくは、リンクされているプロジェクトの確認をご覧ください。
  2. 既存のプロジェクトをメインの請求先アカウントにリンクまたは移動します
潜在的な問題の発生を防ぐため、不要になった請求先アカウントを精算して閉鎖する
  1. 古い請求先アカウントを表示して、リンクされたプロジェクトがないことを確認します。
  2. すべてのプロジェクトをメインの請求先アカウントに移動した後、古い請求先アカウントへの課金が停止するまで 2 日間お待ちください
  3. 2 日後、古い請求先アカウントの残高を精算し、古い請求先アカウントを閉鎖します
課金と原価配分のベスト プラクティスをよく理解する。
  • 複数のアラート基準額を使用して予算アラートを設定し、過度な支出や予期しない予算超過を防ぐ。
費用のモニタリングと分析のために課金データの自動エクスポートを設定します。データのエクスポートには 2 つのオプションがあります。

課金データのエクスポート、請求レポート、請求書に関する重要なコンセプト

使用状況はプロジェクトから請求先アカウントに報告されます。使用状況のデータはさまざまな方法で利用できます。これにより、費用の全体像を把握できます。

  • 請求書には請求額が記載されています。
  • 請求レポートには、請求額の根拠と費用が発生した場所が記載されています。

推奨事項: 費用の確認を行う際は、請求レポートを先にご覧ください。

課金データのエクスポートを行うと、毎日の使用量の概算がデータセットまたは特定のファイルに出力されます。これにより、使用データの分析ができます。課金データを BigQuery にエクスポートすると、invoice.month フィールドが追加されます。これにより、エクスポートされたデータと請求書を比較できます。

  • 請求書に反映されていない、後から報告された使用量が含まれている場合があります。たとえば、一部の月末のプロダクト使用料は、翌月の請求書で請求される場合があります。
  • エクスポートされた課金データには、課金された税金や請求先アカウントに発行されたクレジットは含まれません。
  • ヒント: データポータルを使用すると、一定期間の費用を視覚的に表示できます

請求レポートは、課金データのエクスポートで出力されたものと同じデータを使用し、請求先アカウントに関連するすべてのプロジェクトの使用料金を表すグラフを表示します。請求レポートを使用して、使用料金の概要を把握し、傾向を分析できます。

  • Google Cloud Console で請求レポートにアクセスします。
  • 請求先アカウントが複数ある場合、請求レポートには、一度に 1 つの請求先アカウントの使用料金が表示されます。すべての請求先アカウントが集計されることはありません。
  • アクセスレベルによっては、請求先アカウントに関連するすべてのプロジェクトではなく、特定のプロジェクトの料金が表示されます。

請求書には、毎月の正式な請求額が示されます。また、請求対象の使用状況の内訳も示されます。毎月、請求書の PDF または CSV ファイルで明細を確認します。クレジットメモと請求書の支払い履歴はお支払いセンターで確認できます。


お支払いプロファイルとアカウント

ビジネスは Google お支払いプロファイルによって表されます。Google サービスに対する料金のお支払いには、お支払いプロファイルに関連付けられている支払い方法を使用します。お支払いプロファイルは payments.google.com で管理される Google レベルのリソースであり、Cloud 請求先アカウントにリンクされます。

リソース階層における Google お支払いプロファイル

重要: お支払いプロファイルは Google Cloud リソースではありません。お支払いプロファイルは、別個のロール / 権限で管理されます。これは Cloud 組織の管理対象ではないため、IAM ロールは適用されません。お支払いプロファイルのユーザーの追加や削除、権限の変更は、Google お支払いセンターで行います。

重要な決定: 1 つのお支払いプロファイルか、複数のプロファイルか

請求先アカウントと同様に、管理上の理由からお支払いプロファイルの数は少なくすることをおすすめします。多くの場合、お支払いプロファイルを追加すると余分なオーバーヘッドが発生し、問題が発生する可能性があります。

次のような場合は、複数のお支払いプロファイルを作成することをおすすめします。

  • Google アカウントに関連付けるプロファイルを個人用とビジネス用で別々にしたい
  • 複数の企業や組織のプロファイルを管理したい
  • 複数の国でプロファイルを設定したい(国を変更するときは、新しいプロファイルの作成が必要になる場合があります)

Cloud 請求先アカウントは、適切な Google お支払いプロファイルに関連付けられている必要があります。

重要なロール

お支払いプロファイル管理者
お支払いプロファイル管理者は、次の操作を行うことができます。
  • プロファイル全体のお支払い方法を表示および管理する
  • 料金を支払う
  • お支払いアカウントと請求書を表示する
  • アカウントの設定を変更する
  • お支払いプロファイルに関連付けられている他の Google サービスを確認する
推奨される割り当て先
組織のお支払いプロファイル管理者は通常、財務や会計部門の担当者に割り当てます。
お支払いプロファイルに対する読み取り専用の権限
この権限を持つユーザーは、次の操作を行うことができます。
  • お支払いプロファイルを表示する
  • サブスクリプションとサービスを表示する
  • 請求書を表示する
推奨される割り当て先
請求書に関するメール通知の受信のみが必要なユーザー。
詳しくは、お支払いプロファイルのユーザー権限をご覧ください。

チェックリスト

1. リソースの作成
Google Cloud で使用するビジネス用のお支払いプロファイルを作成する。請求書発行アカウントを作成している場合、この手順はすでに完了しています。請求先アカウントをオンラインで設定している場合は、お支払いプロファイルはこのプロセスで作成されます。
2. アクセスの構成
住所、お支い払方法、税務情報などのアカウント情報を編集する複数のお支払いプロファイル管理者を割り当てる。
請求書発行の場合は、複数の請求書送付先を割り当てます。請求書はメールで送信することも郵送で送付することもできます。新しい請求書が送信されたことを常に確認できるようにする必要があります。
電子通知と毎月の課金明細書の場合は、ユーザーを追加し、文書と通知を受信するメールアドレスの設定を行います。
3. リソースの構成
お支払いプロファイルの情報が最新の状態かどうか定期的に確認する。特に、住所、メールアドレス、お支払いサービスのユーザー、お支払い方法を確認します。
請求書発行でない場合:
請求書発行の場合:
  • 毎月、請求書を確認し、異常や予期しない変化があるかどうか調べる。
  • 未適用のクレジットと支払いを定期的に確認し、毎月の支払いとクレジットが請求書に正しく反映されていることを確認する。ヘルプが必要な場合は、Google の Collections チームに連絡して、一致しないクレジットを申請してください。

プロジェクト、フォルダ、ラベル

プロジェクト、フォルダ、ラベルを使用すると、管理要件や原価配分要件に基づいてリソースを論理的にまとめることができます。

リソース階層におけるプロジェクト、フォルダ、ラベル

概要

プロジェクト:

  • Compute Engine 仮想マシン(VM)、Pub/Sub トピック、Cloud Storage バケットなどのリソースを使用する場合に必要です。
  • Google Cloud での基本レベルの構成エンティティです。すべてのサービスレベルのリソースの親になります。
  • サービス、API、IAM 権限を有効にする場合の基準となります。

フォルダ:

  • プロジェクトのグループ化メカニズムです。プロジェクトと他のフォルダの両方を含めることができます。
  • 一般的な IAM ポリシーを共有するリソースをグループ化する場合に使用されます。
  • 組織ノードにマッピングされます。フォルダを使用するには組織ノードが必要です。

ラベル:

  • Google Cloud リソース(Compute Engine インスタンスなど)の分類に使用されます。
  • リソースに関連付ける Key-Value ペアです。ラベルに基づいてリソースをフィルタリングできます。
  • よりきめ細かなレベルで費用を追跡するのに最適です。ラベルに関する課金システムに転送されるため、ラベル別に料金を分析できます。

重要な決定: フォルダとプロジェクトに関する戦略

プロジェクトは必須です。フォルダは省略可能ですが、使用することを推奨します。

プロジェクトを使うメリット:プロジェクトは、Google Cloud での基本的な構成エンティティです。Compute Engine、Cloud Storage などのサービスレベルのリソースを使用するには、プロジェクトが必須となります。サービスレベルのリソースは、プロジェクトの設定と権限を継承します。Google Cloud で実行しているプロダクトやサービスの数に応じて、複数のプロジェクトを作成する必要があります。プロジェクトを簡単に識別できるように、意味のある命名規則を定義する必要があります。プロジェクトの詳細については、プロジェクトの作成と管理をご覧ください。

フォルダを使うメリット:フォルダでプロジェクトをグループ化すると、フォルダを単位として複数のプロジェクトに一貫してポリシーと権限を適用できます。Google Cloud を使用するユーザーやチームの数、Google Cloud で実行するプロダクトやサービスの数に応じて、フォルダを使用して論理的にリソースをグループ化できます。たとえば、サービスの開発用、ステージング用、本番環境用プロジェクトごとに異なるフォルダを設定できます。また、異なる環境を反映して複数のフォルダにプロジェクトやサービスを分散することも可能です。社内の部門ごとにフォルダを使用してプロジェクトを整理することもできます。フォルダを使用するメリットの 1 つは、フォルダごとに異なる IAM ポリシーを適用できるという点です。フォルダの使い方については、フォルダの作成と管理をご覧ください。

ラベルを使うメリット:ラベルは、プロジェクト内のリソースや複数のプロジェクトにまたがるリソースにアノテーションを付けます。費用の追跡の要件に応じて、その内容、機能、関連するチームを識別するラベルをリソースに適用できます。たとえば、HTTP サーバーのすべての Compute Engine インスタンスにラベルを付けたり、データベース サービスに関連するすべてのコンポーネントにラベルを付けたりできます。ラベルの使用方法について詳しくは、ラベルの作成と管理をご覧ください。

重要なロール

ロール: プロジェクト作成者
プロジェクト作成者ロールは、プロジェクトの作成ができるほか、Google Cloud でリソースを起動して使用料金を発生させることができます。
推奨される割り当て先
組織のプロジェクト作成者は、チームリードやサービス アカウント(自動化用)に割り当てることができます。
ロール: プロジェクト オーナーとユーザー
プロジェクト オーナーとユーザーのロールでは、プロジェクトの費用と使用状況を確認できます。また、リソースにラベルを付けることもできます。
推奨される割り当て先
組織のプロジェクト オーナーとユーザーは、チームリードやデベロッパーに割り当てることができます。
詳しくは、プロジェクトの役割をご覧ください。
ロール: フォルダ管理者
フォルダ管理者は、フォルダの IAM ポリシーを作成し、編集できます。フォルダ内のプロジェクトによって継承されるロールを決めます。
推奨される割り当て先
フォルダ管理者は、細かいアクセス制御を管理します。通常は部門長やチーム マネージャーです。
詳しくは、フォルダのロールをご覧ください。

チェックリスト

1. リソースの作成
プロジェクトを作成して、共通の目標、テーマ、目的を共有するリソースをグループにまとめる。プロダクトやサービスで、コンピューティングやストレージなどの複数の Google Cloud リソースを必要とする場合は、プロジェクトでこれらのリソースをグループ化します。
プロジェクトに意味のある名前を付ける。プロジェクトの名前規則を決めます。たとえば、サービスやそのリソースのコレクションを反映する名前(productname-prod など)をプロジェクトに付けることができます。プロジェクト名を使用することで、人が判読可能な方法でプロジェクトを識別できます。プロジェクト ID は、プロジェクトの作成時に Google Cloud Console で入力したプロジェクト名から生成されます。
組織やインフラストラクチャでの使用方法に合わせてフォルダを設定する
2. アクセスの構成
チーム、プロダクト、サービス、環境ごとにフォルダを使用して IAM 権限をサイロ化する
必要に応じて、プロジェクト レベルで IAM 権限を設定する(フォルダを使用しない場合や、さらに細かいレベルでの設定が必要な場合)。
3. リソースの構成
極めて重要なプロジェクトにリーエンを適用する。誤ってプロジェクトが削除されないよう、リーエンを適用してプロジェクトの削除を防止します。プロジェクトにリーエンを適用すると、リーエンを削除するまでプロジェクトを削除できなくなります。これは、重要なプロジェクトを保護する場合に役立ちます。
ラベルを使用して、リソースをさらに分類する。ラベルを使用して、プロジェクトやフォルダにまたがるリソースにタグを設定できます。1 つのリソースに複数のラベルを付けることができます。ラベルに関する情報は課金システムに転送され、課金データのエクスポートで取得されます。この情報は、費用のレポートや分析で役に立ちます。
プロジェクトで確約利用割引(CUD)を使用するかどうかを決定し、Compute Engine リソースと請求に継続利用割引(SUD)が適用される仕組みを確認する。
必要に応じて、割り当ての仕組みを確認し、割り当ての増加をリクエストする。
必要に応じて、プロジェクトで API を有効にするAPI を有効にすると、その API が現在のプロジェクトに関連付けられ、モニタリング ページが追加されます。さらに、プロジェクトで課金が有効になっている場合はその API の課金が有効になります。

詳細

動画ライブラリ: Google Cloud のコスト管理。 コストのモニタリングと管理を行う際のベスト プラクティスをご覧ください。

Cloud OnAir: Google Cloud コスト管理のスタートガイド

クラウドへの移行を最大限にするには、組織がクラウドコストを明確に理解する必要があります。このウェブセミナーでは、Google Cloud の費用と使用量の管理を始めるためのベスト プラクティスを紹介します。請求先アカウント、組織、プロジェクト、基本的な権限、および予算を設定する方法をご覧ください。また、予算の超過を防ぐために現在の費用傾向を把握し、月末に支出を予測するために利用できる請求レポートについても紹介します。

Google Cloud でコスト管理を行うためのリソース編成(Cloud Next '19)

フロントエンド サーバーの費用や、ステージング環境で使用されるリソースの数はどのくらいでしょうか。各部門の支出を把握し、最適化するにはどうすればよいでしょうか。組織、フォルダ、プロジェクト、ラベルなどの Google Cloud ツールを使用すると、管理要件や原価配分要件に基づいてリソースを論理的にまとめることができます。このセッションでは、これらのツールを使用してコスト管理を行う方法を説明します。デベロッパーの方にも多国籍企業の方にも役立つ情報を提供します。

Google Cloud での財務ガバナンス統制の確立(Cloud Next '19)

クラウドで発生する費用をコントロールできているかどうかを把握するには、クラウドの費用計画を大なう必要があります。このセッションでは、予算、割り当て、権限など、事前あるいは事後に財務ガバナンスをコントロールする方法について説明します。また、プログラムで予算通知を行い、クラウドの使用量と費用を自動的に制限する方法についても紹介します。

費用および KPI を把握するために BigQuery でインタラクティブ ダッシュボードを作成する方法(Cloud Next '19)

クラウドの費用、使用量、全体的な費用を KPI 別に評価することで、より詳細な分析を行うことができます。このセッションでは、BigQuery を使用した課金データのエクスポート、請求または KPI 関連の高度なクエリの作成、内部関係者でのカスタムビューの共有について説明します。また、コストドライバを簡単に把握できるように、Google データポータルと Elastic でダッシュボードを作成する方法について紹介します。この機能をユーザーとして利用している PerimeterX が、Google Cloud のコストと主要なビジネス指標とどのように結び付けているのかを説明します。

Google Cloud の費用のモニタリングと管理(Cloud Next '19)

Google Cloud の使用量とコストの傾向を管理するのは、それほど難しいことではありません。このセッションでは、Google Cloud のコストを表示して月末の請求額を予測する方法について説明します。また、予算超過を防ぐための管理機能をいくつか紹介します。さらに、課金データを詳しく分析できるようにカスタム ダッシュボードを設定する方法についても紹介します。

Compute Engine の費用を削減する(Cloud Next '19)

Next '18 の「Compute Engine の費用を削減する」以降、多くの変更が行われましたが、適切なコスト管理の方法や経費節減の方法を探している方も少なくありません。この講演では、使用量を最適化し、コスト効率の優れた方法で最新のプロダクトと技術を利用する方法を説明します。