Google Cloud Platform

すべての Google Cloud リソースを Cloud Resource Manager で一元管理

Google Cloud Platform(GCP)のお客様は、利用している GCP のリソースやプロジェクト、課金アカウントを一元管理できる簡単な方法を必要としています。企業の成長に従い、プロジェクトは何人ものユーザーに異なるアクセス制御ポリシーのもとで立ち上げられ、そこに多様な課金方法が設定されながら増え続け、次第に把握することさえ難しくなっていきます。
Google Cloud Resource Manager は、組織リソースの下にリソース コンテナをグループ化できるようにすることで、全体の把握、所有権の一元化、GCP にある会社資産の一元管理を実現しています。

組織リソースは、G Suite アカウントを持つすべての GCP ユーザーに自動的に割り当てられていて、各ユーザーにしてもらう作業は特にありません。必要なのは自社のドメイン内でプロジェクトを作成するだけです。

2016 年 10 月に Cloud Resource Manager を導入して以降、組織リソースを配置したお客様は数百社に上り、好評をいただいています。

Qubit では、組織リソースやプロジェクト リソースといった GCP のリソース コンテナの柔軟性にとても満足しています。組織リソースが、プロジェクトと IAM ポリシーを一元的に把握できるようにしてくれたことで、会社全体での一貫したアクセス制御を実現できました。これはクラウドへの移行期間の中で、セキュリティを第一に考えなければならない開発者が必要としていた機能でした。Laurie Clark-Michalek, Infrastructure Engineer at Qubit

組織リソースとは

Cloud Resource Manager の組織リソースはリソース階層のルートに位置づけられ、ソーシャル メディア、金融サービス、ゲーム、e コマースと業種を問わず、企業において重要な意味を持ちます。一部ですが、組織リソースには次のようなメリットがあります。

  • プロジェクトのオーナーを会社にすることで、ユーザーが組織から抜けたとしてもプロジェクトは存続します。
  • 管理者は、組織全体を横断して適用できる IAM ポリシーを定義できます。
  • 全体の課金状況を把握し、制御することで、効果的なコスト配分やレポーティングを実現できます。
  • セキュリティを向上させる新しいポリシーや機能を使えるようになります。
次の図は、GCP のリソース階層と G Suite アカウントとの関係を図示しています。

YzbUxwvJvAYcYFVzQy-4Zdt9cZ6gMmWvhrCx_rJoKc90teubTFJEmDMFKi3ryNJBFkQ_dt8DwhiN50f6HmEcCrUdM5pytcUU2rCMK00GzWPAuR83J8O64De2wBxsAHUZ0ku2joNdft1h.PNG

現在のところ、Cloud Resource Manager の組織リソースにアクセスするには G Suite が必要です。G Suite は、所有権、ライフサイクルの制御、アイデンティティ、リカバリの各メカニズムから組織を表します。

G Suite を利用していないなら、こちらからサインアップできます(G Suite を利用せずに組織リソースを作成するには、担当セールスにお問い合わせください)。

組織リソースの使い方

組織リソースを活用することは難しいことではありません。組織リソースはドメイン内のユーザーが、プロジェクトか課金アカウントを最初に作成したときに、自動的に作成されます。組織リソースの表示名は G Suite の組織名と同期し、下図のように Cloud Console の UI に表示されます。組織リソースには、gcloud や Cloud Resource Manager API からもアクセスできます。

p054eoy8bfROgXfXOhpXAKHQ_lx0xMN3_iorlhZPfDWKzVwYiclUGsLgL36UrivHD_mTrpY9FLI3u6BqEYGtlZQxf3WGyclKir8LfS7lzTOl6sT1cYNuUm1jtrgpb5nEeHPU--U6egnc.PNG

上述した所有権とライフサイクルの影響から、G Suite の特権管理者は、デフォルトで  GCP を全て制御することが認められています。通常、組織の他の部門が G Suite や GCP を管理することになることから、GCP アカウントを管理する G Suite 特権管理者が最初にすべき、最も重要なことは、ドメイン内の適切なユーザーに IAM の組織管理者(Organization Admin)の役割を割り当てることです。組織管理者が割り当てられると、Cloud Console、gcloud、Cloud Resource Manager API から、IAM ポリシー、プロジェクトのオーナー、課金を一元的に管理できます。

新しい GCP プロジェクトと課金アカウントはデフォルトで Cloud Resource Manager の組織リソースに属し、既存の GCP プロジェクトを組織リソースに移行することも容易です。組織リソースに移行していない既存のプロジェクトは、“No Organization” 階層にまとめられています。

gcloud を使った組織リソースの管理

次のスクリプトは、Cloud Resource Manager の組織リソースを使用する手順をまとめています。

  # Query your Organization ID
> gcloud organizations list
DISPLAY_NAME            ID          DIRECTORY_CUSTOMER_ID  
MyOrganization         123456789     C03ryezon
# Access Organization details
> gcloud organizations describe [ORGANIZATION_ID]
creationTime: '2016-11-15T04:42:33.042Z'
displayName: MyOrganization
lifecycleState: ACTIVEname: organizations/123456789
owner:  directoryCustomerId: C03ryezon
# How to assign the Organization Admin role
# Must have Organization Admin or Super Admin permissions
> gcloud organizations add-iam-policy-binding [ORGANIZATION_ID] 
--member=[MEMBER_ID] --roleroles/resourcemanager.organizationAdmin
# How to migrate an existing project into the Organization
> gcloud alpha projects move [PROJECT_ID] --organization [ORGANIZATION_ID]
# How to list all projects in the Organization
> gcloud projects list --filter ‘parent.id=[ORGANIZATION_ID] AND 
parent.type=organization’

今後の予定

Cloud Resource Manager の組織リソースは GCP の階層化されたリソースのルートであり、一元的な管理や制御、セキュリティの向上にも重要な役割を果たします。私たちは、すべての G Suite ユーザーに CRM 組織リソースを割り当てることで、さらなるイノベーションに向けて準備しています。

今年中には、Cloud Resource Manager の組織リソースを使用した新しい機能を発表する予定です。ご期待ください。また、3 月にサンフランシスコで開催される Google Cloud Next '17 のセキュリティ ブートキャンプでは、Cloud Resource Manager と GCP セキュリティの最新状況について詳しく説明しますので、ぜひご参加ください。

* この投稿は米国時間 1 月 24 日、Product Manager である Marco Cavalli によって投稿されたもの(投稿はこちら)の抄訳です。

- By Marco Cavalli, Product Manager