Google Cloud 設定チェックリスト

始める前に

• Google Cloud アカウントを保護するには、特権管理者アカウントのベスト プラクティスを学習して活用してください。
• Google Cloud にリンクするドメイン（example.com など）の管理者認証情報を収集します。設定中に DNS 設定を調整するには、これらの認証情報が必要です。
• Google Cloud 組織の再設定用のメールアドレスとして使用するメインのメール アカウント（maria@example.com など）を特定します。登録プロセスを開始すると、Cloud Identity は最初にこのメールアドレスを要求します。
• 冗長性のため、バックアップとして予備のメールアドレスを指定します。このバックアップ アドレスを特権管理者アカウントにリンクします。このメールアドレスは、メインのメールアドレスとは異なるものにしてください。前述のようにアカウント復元用のアドレスを指定した場合、Cloud Identity はこのアドレスを要求します。

このタスクの内容

• アカウント復元に使用する最初のメールアドレスを指定します。
• 最初の Google Cloud 特権管理者ユーザーの管理対象ユーザー アカウントを作成します。
• 確認プロセスを使用して、会社のドメイン（example.com など）を Google Cloud にリンクします。

これらのアクションが完了すると、Google Cloud はリソース階層のルートノードを作成します。これを組織リソースと呼びます。

このタスクは、管理コンソールの Cloud Identity で行います。Cloud Identity は、Google サービス全体で統合された ID、アクセス、アプリケーション、エンドポイント管理を提供します。50 個の無料ユーザー ライセンスが提供されます。また、必要に応じて追加の無料ライセンスをリクエストできます。Cloud Identity のユーザーは、組織の Google ドライブ、Google Keep、Google グループのサービスにもアクセスできます。

Google Cloud では、Cloud Identity がスタンドアロン プロダクトまたはバンドルされた Google Workspace として提供されます。Google Workspace には、Cloud Identity とともに使い慣れた生産性向上ツールやコラボレーション ツール（Gmail、カレンダー、Meet、Chat など）が用意されており、無料トライアルもいくつか用意されています。企業によっては、一部のユーザー用にスタンドアロンの Cloud Identity ライセンスを組み合わせて使用し、Google Workspace のライセンスは追加のコラボレーション ツールを必要とするユーザーにのみ使用することで、コストを削減しています。

必要な権限

このタスクでは、Google Cloud 組織の最初の特権管理者を作成します。特権管理者には組織の取消不能なルート管理者の権限があり、他のユーザーに同じロールを付与できます。

セキュリティのベスト プラクティス

特権管理者アカウントの保護は、Google Cloud 組織のセキュリティにとって非常に重要です。特権管理者アカウントを作成する場合は、Google Cloud の特権管理者アカウントのベスト プラクティスを確認し、これに従ってください。

手順

このタスクを行うには、新規のお客様か、現在の Google Workspace のお客様を選択します。

トラブルシューティング

Google サービスで自分のドメインを登録できない

よくある問題と解決策の詳細については、Google サービスにドメインを登録できないをご覧ください。

Google アカウントがすでに存在する

この問題を回避するには、「Google アカウントがすでに存在します」エラーを参照してください。

アカウントに会社の Google Cloud 組織を管理または使用する権限がない

このエラーは、会社のドメインがすでに確認済みで、特権管理者が存在することを意味します。Google Cloud 組織を管理するためのアクセス権が必要な場合は、社内の管理者に連絡してアクセス権を取得してください。

ファイアウォールでエラーが発生し、ドメインを確認できない

会社で特定の URL を拒否するプロキシ サーバーを使用している場合、ドメインを登録しようとするとエラーが発生します。このシナリオは、金融機関などの高度なセキュリティ設定を行っているお客様でよく見られます。このエラーが表示された場合は、プロキシ サーバーで次の URL を明示的に許可してください。

参考情報

以下のリソースでは、コンテキスト ID とこのタスクに関連するその他のトピックについて詳しく説明されています。

• 組織の作成と管理の概要
• アカウントと組織の計画に関するベスト プラクティス
• ID 設定の評価と計画
• Cloud Identity（無償版）
• ドメインの確認:
  • ドキュメント
  • 解説動画
• Google Workspace 管理者ロール
• Cloud Identity 管理者のロール

このタスクでは、最初のユーザーを追加して、ユーザー アクセスを管理するグループを作成し、そのグループにユーザーを割り当てます。タスク 3 では、そのユーザー グループに権限を割り当てます。次の操作を行うには、管理コンソールと Google Cloud コンソールが必要です。

• 管理対象ユーザーを Google Cloud 組織に追加する。
• 管理ユーザーの種類（組織管理者、請求管理者など）ごとに Google グループを作成する。
• ユーザーのロールに対応するグループにユーザーを割り当てる。

始める前に

• タスク 1 で作成した特権管理者アカウントのいずれかで、Google 管理コンソールと Google Cloud コンソールにログインしていることを確認します。
• 会社ですでに Active Directory、Azure AD、Okta、Ping Identity などの ID プロバイダを使用している場合は、Google Cloud と連携させることが可能です。ID 連携の詳細については、ID プロバイダのリファレンス アーキテクチャをご覧ください。
• Cloud Identity を Active Directory と連携させて、ユーザーを自動的にプロビジョニングし、シングル サインオンを有効にします。
• Google Workspace Admin SDK を使用して、カスタム ソリューションを作成します。

セキュリティのベスト プラクティス

最小権限の原則: ユーザーに、各自の役割を実行するために必要な最小限の権限を付与し、必要がなくなるとすぐにアクセス権を取り消しします。

ロールベースのアクセス制御（RBAC）: 職種に応じてユーザーのグループに権限を割り当て、Google グループを使用してユーザーを整理します。個々のユーザー アカウントには、特定の権限を追加しないようにすることをおすすめします。

手順

Google 管理コンソールでユーザーを追加する

このオンボーディング チェックリストの目的を達成するため、クラウドの設定作業に関係がある管理者や意思決定者など、チェックリストのタスクに参加するユーザーを追加することをおすすめします。

1. 特権管理者アカウントを使用して、Google 管理コンソールにログインします。
2. 次のいずれかの方法でユーザーを追加します。
   • 複数のユーザーをまとめて追加する
   • ユーザーを個別に追加する

Google グループを作成してグループ メンバーを追加する

次に、Google Cloud コンソールのグループ機能を使用して、組織内のさまざまな種類のユーザーに対応する Google グループを作成します。Google グループは、Google アカウントとサービス アカウントの名前付きコレクションです。どの Google グループにも、固有のメールアドレス（grp-gcp-billing-admins@example.com など）が関連付けられています。

以下のグループは、クラウド インフラストラクチャを管理する複数の部門があるエンタープライズ組織でよく利用されています。設定で異なるグループ構造が必要な場合は、おすすめの内容をニーズに合わせて自由にカスタマイズしてください。

最後まで進めるには、チェックリストの後半の手順で、次のグループと、各グループに 1 人以上のメンバーが必要です。

• grp-gcp-organization-admins または個人アカウント
• grp-gcp-network-admins
• grp-gcp-billing-admins
• grp-gcp-devops

Google Cloud コンソールを使用してグループを作成し、ユーザーを追加するには、次のようにします。

1. タスク 1 で作成した特権管理者アカウントで、Google Cloud コンソールにログインします。

2. Google Cloud コンソールで [グループ] ページに移動します。

   [グループ] ページに移動

3. [作成] をクリックします。

4. グループの名前、メールアドレス、説明（省略可）など、グループの詳細情報を入力します。

5. グループにメンバーを追加します。

   1. [メンバーを追加] をクリックします。
   2. メンバーのメールアドレスを入力します。

   3. Google グループのロールを選択します。

6. [送信] をクリックして、指定したユーザーのグループを作成します。

参考情報

• 競合するアカウントの管理:
  • 管理対象に含まれないユーザー用の移行ツールの使用。
    • CSV アップロードの使用。
    • User Invitation API の使用。
• Identity and Access Management（IAM）と Google グループの概要。
• IAM のベスト プラクティス。
• グループの作成。
• ユーザーをグループに追加、招待する
• ID 連携:
  • 外部 ID プロバイダと連携するためのリファレンス アーキテクチャを確認する。
  • 次のセクションで説明するオプションを使用して、Active Directory またはその他の LDAP ベースの ID ストアを Google Cloud に同期する。
  • Google Workspace Admin SDK を使用して、ID の管理を自動化する。
• GCDS または Directory Sync を使用して、ID ストアを Google Cloud に同期する。
  • Active Directory または他の LDAP ベースの ID ストアを Google Cloud に同期するには、Google Cloud Directory Sync（GCDS）を使用します。
  • Active Directory のユーザーとグループを Google Cloud に同期するには、Directory Sync を使用します。これは、Cloud VPN または Interconnect の設定が必要なエージェントレス ソリューションです（タスク 8 で説明します）。
  • GCDS と Directory Sync の比較

このタスクでは、組織に対して管理者アクセスを設定します。これにより、管理者は組織に属するすべてのクラウド リソースを一元的に表示して管理できます。

このタスクを実行するユーザー

社内ですでに有料の Google Workspace サービスをご利用の場合は、Google Workspace 特権管理者のアクセス権を持つユーザーがこの手順を行う必要があります。そうでない場合は、タスク 1 で作成した Cloud Identity アカウントを使用します。

このタスクの内容

• 組織が作成されていることを確認します。

• タスク 2 で作成した grp-gcp-organization-admins@<your-domain>.com グループに管理者ロールを割り当てます。

• 自分自身と組織内の他の管理者に管理者権限を追加して、チェックリストの以降のタスクを実行できるようにします。

このタスクをおすすめする理由

セキュリティ上の理由から、組織のすべての管理者ロールを明示的に定義する必要があります。特権管理者と組織管理者のロールを分離することは、Google Cloud セキュリティのベスト プラクティスです。特権管理者のロールは、Cloud Identity と Google Workspace の他のすべての ID を管理し、ルート Google Cloud 組織を作成するために必要です。詳しくは、特権管理者のベスト プラクティスをご覧ください。

組織が作成されていることを確認する

1. Google Workspace のいずれか

   （特権管理者アカウントか、タスク 1 で設定した Cloud Identity 特権管理者アカウント）を使用して、Google Cloud コンソールにログインします。

2. [ID と組織] ページに移動し、

   組織の作成を完了します。このリンク先に移動後、処理が完了するまでに数分かかる場合があります。

3. 組織名が [組織を選択する] リストに表示されていることを確認します。タスク 1 の手順を完了してから組織が作成されるまで数分かかる場合があります。組織名が表示されていない場合は、数分待ってからページを更新してください。

管理者アクセスを設定する

次に、タスク 2 で作成した grp-gcp-organization-admins@<your-domain>.com グループに管理者ロールを割り当てます。

これらの操作は、Google Cloud コンソールでよりダイナミックでレスポンシブに行うことができます。このコンソールベースのチェックリストでは、いくつかのタスクを自動化し、簡素化できます。手順を完了するには、Google Cloud コンソールにログインする必要があります。

1. アクセス権を付与するの手順を次のように変更して実施します。

   • Google Cloud コンソールで [IAM] ページを開いたら、ページ上部の組織リストで組織名が選択されていることを確認します。

   • メールアドレスの入力を求められたら、「grp-gcp-organization-admins@<your-domain>.com」を入力します。

   • ロールを選択するように求められたら、[Resource Manager] > [組織管理者] を選択します。

2. 最初のロールを追加したら、[別のロールを追加] をクリックして、grp-gcp-organization-admins@<your-domain>.com メンバーに次のロールを追加します。

   • Resource Manager > フォルダ管理者
   • Resource Manager > プロジェクト作成者
   • お支払い > 請求先アカウント ユーザー
   • ロール > 組織のロールの管理者
   • 組織ポリシー > 組織ポリシー管理者
   • セキュリティ センター > セキュリティ センター管理者
   • サポート > サポート アカウント管理者

3. ロールの追加が完了したら、[保存] をクリックします。

このタスクでは、Google Cloud リソースの支払いを行う請求先アカウントを設定します。また、請求先アカウントに対する管理者アクセス権を設定します。

このタスクを準備するときは、設定に使用する請求先アカウントの種類を決定する必要があります。

• セルフサービス。クレジット カードまたはデビットカード、または ACH 口座振替を使用してオンラインで登録します。費用は自動的に請求されます。
• 請求書発行。すでにセルフサービスの課金を設定している場合、ビジネスが特定の要件を満たしていれば、アカウント タイプを毎月の請求書発行に切り替えることができる場合があります。請求書は郵送またはメールで送付され、小切手または電子送金でお支払いいただけます。

詳しくは、請求先アカウントのタイプをご覧ください。

このタスクを実行するユーザー

このタスクには複数のユーザーが必要です。

1. タスク 2 で作成した grp-gcp-organization-admins@<your-domain>.com グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザー。

2. タスク 2 で作成した grp-gcp-billing-admins@<your-domain>.com グループのユーザー。

このタスクの内容

• タスク 2 で作成した grp-gcp-billing-admins@<your-domain>.com グループに管理者権限を割り当てます。
• セルフサービスまたは請求書発行アカウントのどちらを使用するかを決定します。
• 請求先アカウントとお支払い方法を設定します。

このタスクをおすすめする理由

Google Cloud プロダクトを使用するには、Cloud 請求先アカウントが必要です。Cloud Billing アカウントは 1 つ以上の Google Cloud プロジェクトにリンクされ、仮想マシン、ネットワーク、ストレージなど、使用するリソースの課金に使用されます。IAM のロールは、Cloud 請求先アカウントへのアクセスを制御します。

管理者アクセスを設定する

請求先アカウント管理者の IAM ロールを割り当てられたチームメンバーは、支払いと請求書の管理、予算の設定、プロジェクトと請求先アカウントの関連付けなどのタスクを行うことができます。プロジェクトの内容を表示する権限は付与しません。

1. Google Cloud コンソールに、タスク 2 で作成した grp-gcp-organization-admins Google グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザーとしてログインしていることを確認します。

2. アクセス権を付与するの手順を次のように変更して実施します。

   • メールアドレスの入力を求められたら、「grp-gcp-billing-admins@<your-domain>.com」を入力します。

   • ロールを選択するように求められたら、[請求] > [請求先アカウント管理者] を選択します。

   • 最初のロールを追加したら、[別のロールを追加] をクリックして、grp-gcp-billing-admins@<your-domain>.com メンバーに次のロールを追加します。

     • Billing > 請求先アカウント作成者
     • Resource Manager > 組織閲覧者

請求先アカウントを設定する

次に、Cloud 請求先アカウントを設定します。請求先アカウントには次の 2 つのタイプがあります。

• セルフサービス。クレジット カードまたはデビットカード、または ACH 口座振替を使用してオンラインで登録します。費用は自動的に請求されます。

• 請求書発行。小切手または銀行振り込みでのお支払いになります。請求書は郵送またはメールで送付されます。

請求先アカウントをオンラインで登録する場合、アカウントはセルフサービス アカウントとして自動的に設定されます。請求書発行アカウントの場合はオンラインで登録できません。その代わりに、請求書発行を申請する必要があります。詳しくは、請求先アカウントのタイプをご覧ください。

請求先アカウントの設定後

Cloud 請求先アカウントの設定後、費用をモニタリングして請求額が想定外になることを防ぐため、請求先アカウントごとに次の請求のベスト プラクティスを実装することをおすすめします。

• BigQuery データセットへの Cloud Billing データのエクスポートを構成します。
• 予算を定義して、支出額が特定のしきい値に達したときにアラートが生成されるようにします。

費用のモニタリングと管理を行う際のベスト プラクティスについては、費用のモニタリングと管理をご覧ください。

このタスクでは、リソース階層内にフォルダとプロジェクトという基本構造を作成します。

• フォルダ。

  プロジェクトをグループ化してプロジェクトを分離できます。たとえば、財務部門や小売部門などの主要部門のフォルダを作成できます。本番環境と非本番環境などのフォルダを作成することもできます。

• プロジェクト。

  仮想マシン、データベース、ストレージ バケットなどのクラウド リソースが含まれます。プロジェクト内のリソースを整理するための設計上の考慮事項とベスト プラクティスについては、Google Cloud ランディング ゾーンのリソース階層を決定するをご覧ください。

IAM ポリシーを設定すると、リソース階層のさまざまなレベルでアクセスを制御できます。これらのポリシーは、このチェックリストの後半のタスクで設定します。

このタスクを実行するユーザー

タスク 2 で作成した grp-gcp-organization-admins@<your-domain>.com グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザー。

このタスクの内容

フォルダとプロジェクトを使用して、初期の階層構造を作成します。

このタスクをおすすめする理由

構造の作成は、後のタスクで必要となります。その際、IAM ポリシーを設定し、異なるレベルのリソース階層でアクセスを制御します。

リソース階層の計画

リソース階層の作成方法は 1 つではありません。次の図に、典型的な例を示します。

この例では、組織のリソース階層に 3 つのレベルのフォルダが存在します。

• 環境（非本番環境と本番環境）。環境を相互に分離することで、本番環境へのアクセスをより適切に制御でき、本番環境以外の変更内容が本番環境に誤って影響を与える事態を回避できます。

• ビジネス ユニット。この図では、Dept X と Dept Y があります。これらは、エンジニアリングやマーケティングなどのビジネス ユニットです。Shared フォルダには、ネットワーク、ロギング、モニタリングなど、階層全体で共有されるリソースを含むプロジェクトが存在します。

• チーム。この図では、Team A、Team B、Team C があります。これらは、開発、データ サイエンス、QA などのチームを表します。

リソース階層に初期フォルダを作成する

このステップでは、この図に示されるように、初期設定用の基本的なフォルダを作成します。フォルダによって、リソースをグループ化できます。

初期フォルダを作成するには:

1. タスク 2 で作成した grp-gcp-organization-admins Google グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザーとして、Google Cloud コンソールにログインします。

2. Google Cloud コンソールで、[リソースの管理] ページに移動します。

   [リソースの管理] に移動

3. 次の 2 つのフォルダを作成します。

   • Production > Shared
   • Non-Production > Shared

リソース階層に初期プロジェクトを作成する

初期の階層を作成したら、プロジェクトを作成します。このチェックリストでは、本番環境と非本番環境を分離する原則に従って、次のプロジェクトを作成する必要があります。

• example-vpc-host-nonprod。このプロジェクトは、複数のプロジェクトの非本番環境リソースを共通の VPC ネットワークに接続するために使用されます。

• example-vpc-host-prod-draft。このプロジェクトは、最終的に複数のプロジェクトの本番環境リソースを、共通の VPC ネットワークに接続するために使用されるプレースホルダです。

• example-monitoring-nonprod。このプロジェクトは、非本番環境のモニタリング リソースをホストするために使用されます。

• example-monitoring-prod-draft。このプロジェクトは、最終的に本番環境のモニタリング リソースをホストするために使用されるプレースホルダです。

• example-logging-nonprod。このプロジェクトは、非本番環境からエクスポートされたログデータをホストするために使用されます。

• example-logging-prod-draft。このプロジェクトは、最終的に本番環境からエクスポートされたログデータをホストするために使用されるプレースホルダです。

プロジェクト名は 30 文字に制限されています。example の部分に自社の名前を使用しても構いませんが、30 文字以内にしてください。今後リソース階層にプロジェクトを作成する場合、組織のリソース階層に応じて、<business unit name>-<team name>-<application name>-<environment> のような命名規則を使用することをおすすめします。

プロジェクトを作成するには:

1. Google Cloud コンソールで、[リソースの管理] ページに移動します。

   [リソースの管理] に移動

2. [プロジェクトを作成] をクリックします。

3. [新しいプロジェクト] ウィンドウで、前述のプロジェクト名のいずれかを入力します。

4. 請求先アカウントを選択するように求められたら、このチェックリストで使用する請求先アカウントを選択します。

5. [場所] で、[参照] をクリックし、次のように場所を設定します。

   • 作成するプロジェクトの名前の末尾が prod の場合は、[Production] > [Shared] を選択します。
   • 作成しているプロジェクトの名前の末尾が nonprod の場合は、[Non-Production] > [Shared] を選択します。

6. [作成] をクリックします。

7. 初期設定用として推奨されているプロジェクトごとに手順 2～6 を繰り返します。

プロジェクトが適切な請求先アカウントにリンクされていることの確認

このチェックリストのタスクをあとで行うには、プロジェクトを請求先アカウントにリンクする必要があります。自身のプロジェクトとリンクされた請求先アカウントの最新リストについては、Google Cloud コンソールのタスク 5 をご覧ください。

有効な請求先アカウントにアクセスできない場合は、次のタスクに進みます。請求先アカウントにリンクされていないプロジェクトを使用しようとすると、課金を有効にするよう求めるメッセージが Google Cloud コンソールに表示されます。請求先アカウントの準備ができている場合は、このステップに戻って、それらのプロジェクトの課金を有効にします。

プロジェクトに対して設定されている請求先アカウントを Cloud Billing で確認または変更するには:

1. [お支払い] ページで請求先アカウントを表示し、[マイ プロジェクト] タブを選択します。このページには、組織のプロジェクトにリンクされているすべての請求先アカウントが表示されます。
2. プロジェクトの請求先アカウントを変更するには、プロジェクトの課金の有効化、無効化、変更をご覧ください。

このタスクでは、IAM ポリシーをリソースに追加して、リソース階層のアクセス制御を設定します。IAM ポリシーは、誰がどのタイプのアクセス権を持つかを定義するステートメントの集合です。ポリシーはリソースに添付され、そのリソースへのアクセスの発生時は常にアクセス制御が適用されます。

権限を設定する場合、基本的な手順は同じですが、階層のさまざまなレベル（組織、フォルダ、プロジェクト）のリソースに設定します。最小権限の原則に従い、各レベルのリソースに必要な最小限のアクセス権限を付与することをおすすめします。次の手順で推奨するロールは、最小権限の原則を実施する際に役立ちます。

このタスクを実行するユーザー

タスク 2 で作成した grp-gcp-organization-admins@<your-domain>.com グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザー。

このタスクの内容

組織レベル、フォルダレベル、プロジェクト レベルで IAM ポリシーを設定します。

このタスクをおすすめする理由

リソース階層に IAM ポリシーを設定することで、クラウド リソースへのアクセスをスケーラブルに制御できるようになります。

IAM ポリシーについて

IAM ポリシーは、次の 3 つのリソース階層レベルで適用されます。

1. 組織。組織レベルで設定したポリシーは、組織内のすべてのフォルダとプロジェクトに適用されます。
2. フォルダ。フォルダに設定されたポリシーは、フォルダ内のプロジェクトに適用されます。
3. プロジェクト。プロジェクト レベルで設定したポリシーは、そのプロジェクトにのみ適用されます。

次の表では、組織レベルでプリンシパルに割り当てるロールを示します。

IAM ロールの管理

1. Google Cloud コンソールに、タスク 2 で作成した grp-gcp-organization-admins Google グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザーとしてログインしていることを確認します。

2. Google Cloud コンソールで、[リソースの管理] ページに移動します。

   [リソースの管理] に移動

3. 組織ツリーグリッドから組織を選択します。

4. 右側の情報パネルが表示されていない場合は、右上隅にある [情報パネルを表示] をクリックします。

5. 組織のチェックボックスをオンにします。

6. [情報パネル] ペインの [権限] タブで、[メンバーを追加] をクリックします。

7. [新しいメンバー] フィールドにメンバーの名前を入力します。たとえば、上記の表の場合は「grp-gcp-network-admins@<your-domain>.com」と入力します。

8. [ロールを選択] リストで、そのメンバーの最初の役割を選択します。たとえば、最初のメンバーの場合、最初に選択するロールは Compute Engine > Compute ネットワーク管理者になります。

9. [別のロールを追加] をクリックして、そのメンバーの次のロールを選択します。

10. そのメンバーの次のロールを追加します。

11. メンバーのすべてのロールを追加したら、[保存] をクリックします。

12. 表にある他のメンバーについて、手順 2～7 を繰り返します。

フォルダレベルで IAM ポリシーを設定する

フォルダレベルで設定されたポリシーは、フォルダ内のプロジェクトにも適用されます。この手順は、階層内で別のレベルを選択することを除けば、組織レベルで行った手順とほぼ変わりません。

1. 組織のチェックボックスと、選択されている他のリソースのチェックボックスをオフにします。

2. Production フォルダのチェックボックスをオンにします。

3. [情報パネル] ペインの [権限] タブで、[メンバーを追加] をクリックします。

4. [新しいメンバー] フィールドに「grp-gcp-devops@<your-domain>.com」と入力します。

5. 組織メンバーにロールを追加したときと同じ手順で、grp-gcp-devops@<your-domain>.com メンバーに次のロールを追加します。

   • Logging > Logging 管理者。Cloud Logging へのフルアクセスが許可されます。
   • Error Reporting > Error Reporting 管理者。Error Reporting データへのフルアクセスが許可されます。
   • サービス管理 > 割り当て管理者。サービス割り当ての管理に必要な権限が付与されます。
   • モニタリング > モニタリング管理者。Monitoring データへのフルアクセスが許可されます。
   • Compute Engine > Compute 管理者。Compute Engine リソースへのフルアクセスが許可されます。
   • Kubernetes Engine > Kubernetes Engine 管理者。Google Kubernetes Engine コンテナ クラスタへのフルアクセスが許可されます。

6. ロールの追加が完了したら、[保存] をクリックします。

7. Production フォルダのチェックボックスをオフにします。

8. Non-Production フォルダのチェックボックスをオンにします。

9. grp-gcp-developers@<your-domain>.com を新しいメンバーとして追加します。

10. 次の IAM のロールを grp-gcp-developers@<your-domain>.com メンバーに割り当てます。

    • Compute Engine > Compute 管理者。Compute Engine リソースへのフルアクセスが許可されます。
    • Kubernetes Engine > Kubernetes Engine 管理者。Google Kubernetes Engine コンテナ クラスタへのフルアクセスが許可されます。

プロジェクト レベルで IAM ポリシーを設定する

プロジェクト レベルで設定したポリシーは、それが適用されるプロジェクトにのみ適用されます。これにより、プロジェクトごとのきめ細かな権限の設定が可能になります。

1. フォルダのチェックボックスと、選択されている他のリソースのチェックボックスをオフにします。

2. 次のプロジェクトのチェックボックスをオンにします。

   • example-vpc-host-nonprod
   • example-vpc-host-prod

3. grp-gcp-network-admins@<your-domain>.com をメンバーとして追加します。

4. 次のロールを grp-gcp-network-admins@<your-domain>.com メンバーに割り当てます。

   • Project > オーナー。選択したプロジェクトのすべてのリソースへのフルアクセスが許可されます。

5. [保存] をクリックします。

6. 選択したプロジェクトのチェックボックスをオフにします。

7. 次のプロジェクトのチェックボックスをオンにします。

   • example-monitoring-nonprod
   • example-monitoring-prod
   • example-logging-nonprod
   • example-logging-prod

8. gcp-devops@<your-domain>.com を新しいメンバーとして追加します。

9. 次のロールを grp-gcp-devops@<your-domain>.com メンバーに割り当てます。

   • Project > オーナー。選択したプロジェクトのすべてのリソースへのフルアクセスが許可されます。

10. [保存] をクリックします。

このタスクでは、ネットワークの初期構成を設定します。通常、次のことを行う必要があります。

• Virtual Private Cloud アーキテクチャの設計、作成、構成を行います。
• オンプレミス ネットワークまたは別のクラウド プロバイダのネットワークがある場合は、そのプロバイダと Google Cloud 間の接続を構成します。
• 外部の下り（外向き）トラフィックのパスを設定します。
• ファイアウォール ルールなどのネットワーク セキュリティを実装します。
• クラウドでホストされているサービスについて、上り（内向き）トラフィックの優先オプションを選択します。

ここでは、独自の Virtual Private Cloud アーキテクチャの基盤として項目 1 の例について説明します。

残りの項目（外部接続、下りトラフィックの構成、ファイアウォール ルールの実装、上りオプションの選択）が必要かどうかはビジネスニーズによって異なるため、このチェックリストには含まれていません。代わりに、これらの項目の追加情報へのリンクを提示します。

このタスクを実行するユーザー

タスク 2 で作成した grp-gcp-network-admins@<your-domain>.com グループのユーザー。

このタスクの内容

ネットワークの初期構成を設定します。

• 共有 VPC ネットワークを作成する
• 外部プロバイダと Google Cloud 間の接続を構成する
• 外部の下り（外向き）トラフィックのパスを設定する
• ネットワーク セキュリティを実装する
• 上り（内向き）トラフィックのオプションを選択する

このタスクをおすすめする理由

• 共有 VPC を使用すると、異なるプロダクトを使用している個々のチームが、一元管理された共通の VPC ネットワークに接続できます。

• ハイブリッド接続を構成すると、依存関係のあるサービスに接続したまま、アプリケーションを Google Cloud にシームレスに移行できます。

• 最初から安全な上り（内向き）経路と下り（外向き）経路を設計することで、チームはセキュリティを犠牲にすることなく Google Cloud 内で効率よく作業できます。

Virtual Private Cloud アーキテクチャ

Google の Virtual Private Cloud（VPC）は、Compute Engine 仮想マシン インスタンス、GKE コンテナ、App Engine フレキシブル環境などの Google Cloud リソースにネットワーク機能を提供します。次の図は、基本的なマルチリージョン アーキテクチャを示しています。

このアーキテクチャには、2 つの共有 VPC ホスト プロジェクトがあります。1 つのホスト プロジェクトは非本番環境用、もう 1 つのプロジェクトは最終的な本番環境用です（現時点で「production-draft」というラベルが付いています）。共有 Virtual Private Cloud を使用して、組織は複数のプロジェクトから共通のネットワークにリソースを接続できるため、そのネットワークの内部 IP アドレスを使用して、安全で効率的な相互通信を行うことができます。

共有 VPC ホスト プロジェクトには、1 つ以上の共有 VPC ネットワークが含まれています。このアーキテクチャでは、各共有 VPC ネットワーク（本番環境ドラフトと非本番環境の両方）には、2 つのリージョン（この場合、us-east1 と us-west1）にまたがるパブリック サブネットとプライベート サブネットが含まれます。

• パブリック サブネットは、インターネットに接続しているインスタンスに使用され、外部接続を提供します。
• プライベート サブネットは、内部環境にのみ接続しているインスタンスに使用でき、パブリック IP アドレスを割り振ることはできません。

前の図のアーキテクチャでは、リソースにサンプル名を使用しています。自社用に設定する場合は、会社（上の例では example）や使用しているリージョン（上の例では us-east1、us-west1）などの名前を適宜変更してください。

ネットワークを構成する

ネットワークの設定はワークロードによって異なりますが、次の共通アクティビティがあります。

1. 共有 Virtual Private Cloud（VPC）ネットワークを作成する。組織は、共有 VPC を使用して複数のプロジェクトのリソースを共通の VPC ネットワークに接続できます。共有 VPC ネットワークを作成するには、Google Cloud コンソールを使用します。

2. 外部プロバイダと Google Cloud の間の接続を構成する。オンプレミス ネットワークまたは別のクラウド プロバイダのネットワークがある場合は、Cloud VPN を設定できます。Cloud VPN は、IPSec VPN 接続を介してピア ネットワークを Google Cloud VPC ネットワークに安全に接続できるサービスです。Cloud VPN は 3.0 Gbps までの速度に適しています。オンプレミス システムを Google Cloud に接続する際により多くの帯域幅が必要な場合は、Partner Interconnect と Dedicated Interconnect をご覧ください。VPN 接続を作成するには、ゲートウェイとトンネルの作成の手順に沿って、前の手順で作成した本番環境ドラフトと非本番環境の両方の共有 VPC ネットワークにゲートウェイとトンネルを作成してください。

3. 外部の下り（外向き）トラフィックのパスを設定します。Cloud NAT を使用して、外部 IP アドレスを使用せずに VM がインターネットに接続できるようにします。Cloud NAT はリージョン リソースです。リージョン内のサブネットのすべてのプライマリ IP 範囲とセカンダリ IP 範囲から送信されるトラフィックを許可するような構成も、範囲の一部のみに許可を適用するような構成も可能です。外部下り（外向き）トラフィックのパスを設定するには、NAT の作成の手順に沿って、前の手順で本番環境ドラフトと非本番環境の両方のネットワークに作成した共有 VPC ネットワークのすべてのリージョンに NAT を作成します。

4. ネットワーク セキュリティを実装する。ファイアウォール ルールを使用すると、指定した構成に基づいて、仮想マシン（VM）インスタンスとの間で発生するトラフィックを許可または拒否できます。ファイアウォール ルールの使用の手順に沿って、前の手順で本番環境ドラフトと非本番環境の両方に作成した共有 VPC ネットワークにセキュリティ制御を構成します。

5. 上り（内向き）トラフィックのオプションを選択する。Cloud Load Balancing を使用して、コンピューティング リソースをリージョン間でどのように分散させるかを制御できます。ロード バランシングにより、外部から受信したトラフィックと VPC ネットワーク内のトラフィックの両方で高可用性要件を満たすことができます。Google Cloud でアプリケーション アーキテクチャを計画する場合は、ロードバランサの選択を確認し、必要なロードバランサの種類を決定してください。

このタスクでは、Cloud Logging と Cloud Monitoring を使用して基本的なロギング機能とモニタリング機能を設定します。

このタスクを実行するユーザー

タスク 2 で作成した grp-gcp-devops@<your-domain>.com グループのユーザー。

このタスクの内容

Cloud Logging と Cloud Monitoring を使用して、基本的なロギングとモニタリングの機能を設定します。

このタスクをおすすめする理由

包括的なロギングとモニタリングは、クラウド環境内でオブザーバビリティを維持するために重要です。適切なロギングの保持期間を最初から構成することで、信頼できる監査証跡を構築して保持できます。また、一元化されたモニタリングを設定することで、環境を参照するための中央のダッシュボードをチームに提供できます。

モニタリングを設定する

Cloud Monitoring は、Google Cloud サービス、ホストされた稼働時間プローブ、アプリケーション計測、およびその他の一般的なアプリケーション コンポーネントから、指標、イベント、メタデータを収集します。

このタスクでは、他の Google Cloud プロジェクトの指標にアクセスできるように Google Cloud プロジェクトを構成します。

1. タスク 2 で作成した grp-gcp-devops Google グループのユーザーとして Google Cloud コンソールにログインします。
2. モニタリングするプロジェクトを追加します。たとえば、非本番環境の他のプロジェクトすべてを追加します。
3. 本番環境のプロジェクトに、この手順を繰り返します。スコープ用プロジェクトとして example-monitoring-prod を使用し、モニタリングする本番環境プロジェクトを追加します。

ロギングの設定

Cloud Logging では、Google Cloud とアマゾン ウェブ サービス（AWS）から取得したログデータとイベントについて、格納、検索、分析、モニタリング、通知を実行できます。任意のソースからカスタム ログデータを取り込み、外部データシンクにログをエクスポートすることもできます。

1. タスク 2 で作成した grp-gcp-devops グループのユーザーとして Google Cloud コンソールにログインしていることを確認します。

2. 次の値を使用して、BigQuery のログ エクスポートを有効にします。

   • example-logging-nonprod プロジェクトを選択します。
   • BigQuery データセットを作成します。データセット ID には example_logging_export_nonprod などの名前を使用します。
   • データセットに名前を付けたら、[データセットを作成] をクリックします。

3. 前の手順を example-logging-prod プロジェクトに繰り返します。ただし、データセット ID には example_logging_export_prod を使用します。

4. ログの保持期間を確認して、コンプライアンス要件を満たしているかどうか判断します。要件を満たしていない場合は、Cloud Storage にログをエクスポートするように設定します。これは、長期保存に役立ちます。

このタスクでは、Google Cloud プロダクトを構成して組織の保護に役立てます。Google Cloud では、多くのセキュリティ サービスを利用できます。

このタスクを実行するユーザー

タスク 2 で作成した grp-gcp-organization-admins@<your-domain>.com グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザー。

このタスクの内容

• Security Command Center のダッシュボードを有効にします
• 組織のポリシーを設定する

このタスクをおすすめする理由

次の 2 つのプロダクトを設定することをおすすめします。

• Security Command Center。この包括的なセキュリティ管理 / データリスク管理プラットフォームでは、クラウド資産のモニタリング、ストレージ システムに保存されているセンシティブ データのスキャン、一般的なウェブ脆弱性の検出、重要なリソースへのアクセス権の確認を行うことができます。

• 組織ポリシー サービス。このサービスにより、組織のクラウド リソースをプログラムで一元管理できます。

プロダクトの設定

1. タスク 2 で作成した grp-gcp-organization-admins グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザーとして、Google Cloud コンソールにログインします。

2. Security Command Center のダッシュボードを有効にします。

3. ブール型制約用のポリシーのカスタマイズの手順を行い、組織ポリシーを設定します。プロジェクト、フォルダまたは組織を選択するように求められたら、組織を選択します。

   次のポリシーを設定することをおすすめします。

   1. デフォルト ネットワークの作成をスキップします。

      1. [組織のポリシー] 画面で、[デフォルト ネットワークの作成をスキップ] をフィルタリングします。
      2. [デフォルト ネットワークの作成をスキップ] ポリシーを選択します。
      3. [編集] をクリックします。
      4. [カスタマイズ] を選択して [ルールを追加] をクリックします。
      5. 強制オプションを選択するように求められたら、[オン] を選択します。

   2. VM インスタンス用に許可される外部 IP を定義します。

      1. [組織のポリシー] 画面で、フィルタを使用して [VM インスタンスに対して許可されている外部 IP を定義する] をフィルタリングします。
      2. [VM インスタンスに対して許可されている外部 IP を定義する] ポリシーを選択し、[編集] をクリックします。
      3. [カスタマイズ] を選択して [ルールを追加] をクリックします。ポリシーの値の選択を求められたら、[すべて拒否] を選択します。

      カスタム ポリシーを設定して、特定の VM インスタンスの外部 IP を許可または拒否することもできます。

   3. [ドメインで制限された共有] 制約を設定します。

このタスクでは、サポート オプションを選択します。

このタスクを実行するユーザー

タスク 2 で作成した grp-gcp-organization-admins@<your-domain>.com グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザー。

このタスクの内容

会社のニーズに基づいてサポートプランを選択してください。

このタスクをおすすめする理由

プレミアム サポートプランでは、Google のエキスパートのサポートを受けて問題をすばやく解決できるビジネス クリティカルなサポートを提供します。

サポート オプションの選択

Google Cloud のお客様は、サポート プロダクトのドキュメント、コミュニティ サポート、請求に関するサポートなどのサポートを自動的に無償で受けることができます。企業のお客様の場合は、プレミアム サポートプランにご登録いただくことをおすすめします。有料サポートプランでは、担当の Google サポート エンジニアから直接テクニカル サポートを受けることができます。詳細については、サポートプランを比較してご確認ください。

サポートを有効にする

1. サポートプランを確認する

   最適なプランを判断します。サポートプランの設定は後の手順の中で行います。無償のサポート オプションを選択する場合は、このタスクをスキップして次に進んでください。

2. Google Cloud コンソールに、タスク 2 で作成した grp-gcp-organization-admins Google グループのユーザー、またはタスク 3 で定義した管理者アクセス権を持つユーザーとしてログインしていることを確認します。

3. サポートプランを設定します。

   • プレミアム サポートをご希望の場合は、Google の営業担当者にお問い合わせください。担当者がいない場合は、こちらからお問い合わせください。

   • ロールベース サポートを有効にするには、Google Cloud コンソールの [ロールベース サポートの有効化] ページに移動し、画面の指示に沿って必要な手順を完了します。

4. サポート ユーザーロールにある手順で Google Cloud のサポートとやり取りする必要があるユーザーにサポート ユーザーのロールと組織閲覧者のロールを割り当てます。