Google Cloud でアプリケーションとワークロードを開発するときに、次のリソースタイプを作成します。
- コンテナ リソースは、アクセスの整理と制御に役立ちます。これらのリソースには、組織、フォルダ、プロジェクトが含まれます。
- サービス リソースは、Google Cloud のプロダクトとサービスを構成する基本要素です。これらのリソースには、Compute Engine 仮想マシン(VM)と Google Kubernetes Engine クラスタが含まれます。
コンテナ リソースを使用して、サービス リソースを階層的に整理します。この構造は、オーナー権限を確立してアクセスを制御する際に役立ちます。
階層的に整理して管理する
リソースを相互に分離し、ユーザーへのアクセスを制限するには、リソースをグループ化して、単一のユニットとして管理します。これを行うには、リソース階層と呼ばれる次の構造を使用します。
- 組織: 会社を表し、リソース階層のルートとして機能します。
- フォルダ: プロジェクトのグループを分離するために使用できるオプションのグループ化メカニズム。たとえば、法人、部門、チームのフォルダを作成できます。
- プロジェクト: サービス リソースを含む基本レベルの構成エンティティ。
リソース階層の詳細については、リソース階層をご覧ください。
リソース階層を使用してアクセスを管理する方法については、リソース階層を使用したアクセス制御をご覧ください。
組織: 階層のルートを作成する
組織は階層のルートノードであり、このノードを使用して他のすべてのリソースを作成します。組織に適用するアクセス ポリシーは、他のすべてのリソースに適用されます。つまり、すべてのプロジェクトで同じ制御を複製して管理するのではなく、組織レベルでアクセス制御を適用できます。
組織リソースを作成すると、基盤となるプロジェクトは、プロジェクトを作成するユーザーではなく、組織に属します。ユーザーが削除されても、プロジェクトとその基盤となるリソースは引き続き存在します。
フォルダ: プロジェクトのグループを分離する
フォルダを使用すると、プロジェクト間の分離境界を作成できます。たとえば、部門やチームごとに異なるプロジェクト コレクションを設定できます。フォルダには、プロジェクトとサブフォルダを含めることができます。アクセス制御を適用すると、あるチームのユーザーが別のチームに割り当てられたフォルダ内のリソースにアクセスできないように設定できます。
プロジェクト: リソースを分離する
Google Cloud リソースはプロジェクトに属している必要があります。プロジェクトは、リソースへのアクセスを分離して制御するうえで役立つエンティティです。たとえば、開発環境と本番環境用に個別のプロジェクトを作成できます。
プロジェクトには、設定、権限、アプリケーションを記述するその他のメタデータが含まれています。同じプロジェクト内のリソースは、リージョンとゾーンのルールに従って内部ネットワークを介して通信することで連携できます。共有 VPC または VPC ネットワーク ピアリングを使用しない場合、あるプロジェクトが別のプロジェクトのリソースにアクセスすることはできません。
プロジェクトに名前を付けて参照する
コマンドと API 呼び出しでプロジェクトを参照するには、ID を使用します。Google Cloud プロジェクトの ID には次のものがあります。
- プロジェクト名: ユーザーが指定する名前。
- プロジェクト ID: ユーザーが指定するか、Google Cloud が自動的に設定する ID。各プロジェクトには Google Cloud 全体で一意の ID が割り当てられます。プロジェクトを削除すると、その ID を再び使用することはできません。
- プロジェクト番号: Google Cloud から提供されます。
詳細については、プロジェクトの作成と管理をご覧ください。