Google Cloud Platform

Resource Manager : フォルダによるクラウド リソース管理

Google はこのほど、Cloud Resource Manager のフォルダ(Folders)を正式リリース(GA)しました。フォルダはクラウド リソースの整理と管理に使用できる強力なツールです。この機能を導入すれば、組織の構造に合わせてリソースをマッピングしたり、それらのリソースにアクセス制御をきめ細かく設定したりすることが可能になります。

フォルダは、組織内のさまざまな部門、チーム、アプリケーション、もしくは環境を表すために使用できます。フォルダを使用すると、チームや部門に管理権限を委ねたり、独立した運用を認めたりする機動性が得られます。

フォルダは、リソースを階層的に整理、管理できるようにして拡張しやすくします。Identity & Access Management(IAM)ポリシーをフォルダに適用すれば、管理者はリソース階層の一部の管理を適切なチームに委ねることができます。組織レベルの IAM ロールとフォルダを組み合わせることで、運用のすべてに直接関与しなくても、組織全体の可視性と制御を維持できます。

弊社のエンジニアリング チームは Google Cloud Platform(GCP)内で数百のプロジェクトを管理していますが、そうしたリソースを階層構造にまとめられれば、環境が複雑化していっても容易に対処できます。弊社では、部門、地域、製品、データ機密性などの基準に基づいてプロジェクトを分類し、適切な担当者が適切な情報にアクセスできるようにしています。フォルダの導入により、リソースを整理し、分類に基づいてアクセス制御ポリシーを管理するのに必要な柔軟性が得られました。Alex Olivier 氏、Qubit のテクニカル プロダクト マネージャー

フォルダはリソースの間に境界線を引き、線のこちら側と向こう側でアクセス制御を変えられるようにします。Cloud IAM ロールをフォルダに設定すると、開発チームに対してリソースの自由な作成、操作を許可するとともに、本番環境の重要なワークロードをそこから切り離し、保護できます。たとえば、Test フォルダに Project Creator ロールを適用し、Production フォルダには Log Viewer ロールだけを与えれば、重要なコンポーネントを危険にさらすリスクを避けながら、必要とされるデバッグを進められます。

組織ポリシーとフォルダの組み合わせは、組織レベルの構成を定義しつつ、リソース階層の一部に対して例外を設けることを可能にします。たとえば、コンプライアンス上の理由から、組織全体にアクセスを認める API セットを絞り込む一方で、Test フォルダには例外を設ければ、テスト用として広範囲の API を使えるようになります。

フォルダの扱いは簡単です。GCP の他のリソースと同様に、API や gcloud、Cloud Console UI で管理できます。次のデモ動画では、GCP リソース階層にフォルダを組み込む方法をご覧になれます。

フォルダの詳細については、ベータ リリース時の投稿記事こちらのドキュメントも参考にしてください。

* この投稿は米国時間 11 月 28 日、Product Manager である Marco Cavalli によって投稿されたもの(投稿はこちら)の抄訳です。

- By Marco Cavalli, Product Manager