Google Cloud で本番環境のワークロードを実行する前に、作業をサポートする初期基盤を構成することをおすすめします。Google Cloud の設定は、管理者がスケーラブルなワークロード用に Google Cloud を構成する際に役立ちます。設定プロセスでは、ベスト プラクティスを念頭に置いた基本的なアーキテクチャの作成に役立つインタラクティブな手順を提示します。
ビジネスニーズに合わせて、デフォルトの構成をすばやくデプロイしたり、設定プロセス全体で調整したりできます。目的のデプロイ ワークフローに応じて、コンソールから構成を直接デプロイすることも、Terraform をダウンロードしてデプロイし、独自の Infrastructure as Code(IaC)プロセスと統合することもできます。
このドキュメントでは、設定プロセスを完了するための手順と背景情報について説明します。これは、Google Cloud コンソールのインタラクティブ ガイドとしても提供されています。
この設定プロセスには、以下のフェーズが含まれます。
組織、管理者、課金を設定する: 階層の最上位ノードを設定し、初期管理者ユーザーを作成して、お支払い方法を関連付けます。
最初のアーキテクチャを作成する: 最初のフォルダとプロジェクト構造を選択し、アクセス権を割り当て、ネットワークを設定してロギングを構成します。
設定をデプロイする。最初に選択したアーキテクチャが Terraform 構成ファイルにコンパイルされます。この設定は、Google Cloud コンソールですぐにデプロイできます。また、ファイルをダウンロードして、独自のワークフローを使用してカスタマイズしたり、反復処理を行うこともできます。
セキュリティとサポートの設定を適用する: 推奨されるモニタリング、セキュリティ、サポートの設定を適用して、アーキテクチャを強化します。
組織、管理者、お支払い情報を設定する
組織
Google Cloud の組織リソースは組織(企業)を表し、階層の最上位ノードとして機能します。組織を作成するには、Google ID サービスを設定してドメインに関連付けます。このプロセスを完了すると、組織リソースが自動的に作成されます。
組織リソースの概要については、以下をご覧ください。
このタスクを行うユーザー
このタスクは、次の 2 人の管理者が行います。
ロールベースのアクセス権の割り当てを担当する ID 管理者。この管理者には Cloud Identity 特権管理者を割り当てます。特権管理者ユーザーについて詳しくは、既定の管理者ロールをご覧ください。
会社のドメインホストにアクセスできるドメイン管理者。この管理者は、ドメイン所有権の証明プロセスの一環として、DNS 構成などのドメインの設定を編集します。
このタスクの内容
- まだ設定していない場合は、Cloud Identity を設定します。ここで、特権管理者ユーザーの管理対象ユーザー アカウントを作成します。
- Cloud Identity をドメイン(example.com など)にリンクします。
- ドメインの所有権を確認します。このプロセスにより、リソース階層のルートノード(組織リソース)が作成されます。
このタスクをおすすめする理由
Google Cloud の基盤として、以下のものを構成する必要があります。
- Google ID サービス。ID を一元管理します。
- 組織リソース。階層のルートとアクセス制御を設定します。
Google ID サービスのオプション
次の Google ID サービスのいずれかまたは両方を使用して、Google Cloud ユーザーの認証情報を管理します。
- Cloud Identity: ユーザーとグループを一元管理します。Google と他の ID プロバイダの間で ID を連携できます。詳細については、Cloud Identity の概要をご覧ください。
- Google Workspace: ユーザーとグループを管理し、生産性とコラボレーションを強化する Gmail や Google ドライブなどのプロダクトへのアクセスを提供します。詳しくは、Google Workspace をご覧ください。
ID の計画に関する詳細については、企業 ID のオンボーディング プロセスを計画するをご覧ください。
始める前に
特権管理者アカウントの管理方法については、特権管理者アカウントのベスト プラクティスをご覧ください。
ID プロバイダを構成してドメインの所有権を確認する
このタスクの手順は、新規のお客様か既存のお客様かによって異なります。ニーズに合ったオプションを確認してください。
新規のお客様: Cloud Identity を設定し、ドメインの所有権を確認して、組織を作成します。
Google Workspace の既存のお客様: Google Workspace と Google Cloud にアクセスするユーザーに対しては、ID プロバイダとして Google Workspace を使用します。Google Cloud にのみアクセスするユーザーに対しては Cloud Identity を有効にします。
Cloud Identity の既存のお客様: ドメインの所有権を確認します。組織が作成され、Cloud Identity が有効になっていることを確認します。
新規のお客様
新規のお客様: Cloud Identity を設定して組織を作成する
組織リソースを作成するには、まず Cloud Identity を設定します。これにより、Google Cloud リソースにアクセスするユーザーとグループを管理できます。
このタスクでは、Cloud Identity Free Edition を設定します。Cloud Identity Premium Edition は、初期設定の完了後に有効にできます。詳細については、Cloud Identity の機能とエディションの比較をご覧ください。
組織で Cloud Identity 管理者(特権管理者)となるユーザーを特定します。
管理者のユーザー名を admin-name@example.com の形式で記録します(例: admin-maria@example.com)。最初の管理者ユーザーを作成するときに、このユーザー名を指定します。
設定プロセスを完了して特権管理者アカウントを作成するには、Cloud Identity の登録ページに移動します。
管理者アカウントの設定時にエラーが発生した場合は、「Google アカウントがすでに存在します」エラーをご覧ください。
ドメインの所有権を確認して組織リソースを作成する
Cloud Identity で、ドメインの所有者であることを確認する必要があります。確認が完了すると、Google Cloud の組織リソースが自動的に作成されます。
ID プロバイダを構成したときに特権管理者アカウントを作成していることを確認します。
Cloud Identity でドメインを確認します。確認プロセスを完了する際に、次の点に注意してください。
- プロンプトが表示されたときに、[Create new users] はクリックしないでください。新しいユーザーの作成は後のタスクで行います。
- ドメインを登録できない場合は、ドメインを使って Google のサービスに申し込みできないをご覧ください。
- 確認が完了するまでに数時間かかることがあります。
ドメインを確認する手順については、ドメインの所有権を確認するをご覧ください。
ドメインの所有権の確認が完了したら、[Set up Google Cloud console now] をクリックします。
指定したメールアドレスを使用して、特権管理者ユーザーとして Google Cloud コンソールにログインします(例: admin-maria@example.com)。
[Google Cloud の設定] の [組織] に移動します。組織が自動的に作成されます。
ページ上部の選択元プルダウン リストから組織を選択します。
追加の Cloud Identity ユーザー ライセンスをリクエストする
Cloud Identity Free Edition では、ユーザー ライセンスが 1 つ割り当てられています。ライセンスの確認とリクエストを行う手順については、Cloud Identity Free Edition のユーザー数の上限をご覧ください。
Workspace のお客様
Google Workspace の既存のお客様: ドメインの所有権を確認して Cloud Identity を有効にする
Google Workspace をすでに利用している場合は、ドメインの所有権を確認します。さらに、組織リソースが自動的に作成されていることを確認し、必要に応じて Cloud Identity を有効にします。
Google Workspace でドメインの所有権を確認するには、ドメインの所有権を確認するをご覧ください。確認プロセスを完了する際に、次の点に注意してください。
- プロンプトが表示されたときに、[Create new users] はクリックしないでください。新しいユーザーの作成は後のタスクで行います。
- ドメインを登録できない場合は、ドメインを使って Google のサービスに申し込みできないをご覧ください。
- 確認が完了するまでに数時間かかることがあります。
特権管理者ユーザーとして Google Cloud コンソールにログインします。
[Google Cloud の設定] の [組織] に移動します。
[I'm a current Google Workspace customer] を選択します。
組織名が [組織] リストに表示されていることを確認します。
Google Cloud にアクセスするユーザーを作成するときに、Google Workspace ライセンスがない場合は、次の操作を行います。
Google Workspace で、Cloud Identity を有効にします。
Cloud Identity の設定時に、Google Workspace ライセンスの自動割り当てを無効にします。
Cloud Identity のお客様
Cloud Identity の既存のお客様: ドメインの所有権を確認する
Cloud Identity をすでに利用している場合は、ドメインの所有権を確認し、組織リソースが自動的に作成されていることを確認します。
ドメインの所有権を確認するには、ドメインの所有権を確認するをご覧ください。確認プロセスを完了する際に、次の点に注意してください。
- プロンプトが表示されたときに、[Create new users] はクリックしないでください。新しいユーザーの作成は後のタスクで行います。
- ドメインを登録できない場合は、ドメインを使って Google のサービスに申し込みできないをご覧ください。
- 確認が完了するまでに数時間かかることがあります。
特権管理者ユーザーとして Google Cloud コンソールにログインします。
[Google Cloud の設定] の [組織] に移動します。
[現在 Cloud Identity を利用している] を選択します。
組織名が [組織] リストに表示されていることを確認します。
Google 管理コンソールの [サブスクリプション] で Cloud Identity が有効になっていることを確認します。特権管理者ユーザーとしてログインします。
次のステップ
ユーザーとグループ
このタスクでは、Google Cloud 組織の管理者にユーザー グループと管理対象ユーザー アカウントを作成します。
Google Cloud でのアクセス管理の詳細については、以下をご覧ください。
- Identity and Access Management(IAM)の概要
- ベスト プラクティスについては、ID とアクセスを管理するをご覧ください。
始める前に
すでに Google アカウントを持っているユーザーを探して移行します。詳細については、管理対象外のアカウントを持つユーザーを追加するをご覧ください。
このタスクを行うユーザー
組織内の個人またはグループへのアクセスを管理する ID 管理者。組織タスクで、このユーザーを特権管理者として割り当てています。
このタスクの内容
このタスクでは、次のユーザー管理作業を行います。
- 組織、課金、ネットワーク管理など、推奨される管理機能ごとにグループを作成します。
- 管理者のユーザー アカウントを作成します。
- ユーザーの責任に応じて、ユーザーを管理グループに割り当てます。
各グループの権限は、後のタスクでカスタマイズできます。
このタスクをおすすめする理由
このタスクは、セキュリティに関する次のベスト プラクティスを実装する際に役立ちます。
最小権限の原則: ロールに必要な最小限の権限をユーザーに付与します。また、権限が不要になったら、その権限をすぐに取り消します。
ロールベース アクセス制御(RBAC): ユーザーの職務に応じてユーザーのグループに権限を割り当てます。個々のユーザー アカウントには権限を追加しません。
グループを使用することで、IAM のロールをユーザーの集合に効率的に適用できます。これにより、アクセス管理を簡素化できます。
管理グループを作成する
グループは、複数の Google アカウントやサービス アカウントを 1 つにまとめて、名前を付けたものです。各グループには、gcp-billing-admins@example.com などの一意のメールアドレスがあります。グループを作成することで、ユーザーを管理し、IAM ロールをまとめて適用できます。
次のグループは、組織のコア機能の管理と、Google Cloud の設定プロセスの完了に役立ちます。
グループ | 説明 |
gcp-organization-admins
|
組織のすべてのリソースを管理します。このロールは、最も信頼できるユーザーにのみ割り当ててください。 |
gcp-billing-admins
|
請求先アカウントを設定し、使用状況をモニタリングします。 |
gcp-network-admins
|
ネットワーク、サブネット、ファイアウォール ルール、ネットワーク デバイス(Cloud Router、Cloud VPN、ロードバランサなど)を作成します。 |
gcp-logging-admins
|
Cloud Logging のすべての機能を使用します。 |
gcp-logging-viewers
|
ログのサブセットに対する読み取り専用アクセス権を付与します。 |
gcp-monitoring-admins
|
組織全体のセキュリティ ポリシー(アクセス管理や組織の制約ポリシーなど)の確立と管理。Google Cloud セキュリティ インフラストラクチャの計画について詳しくは、Google Cloud エンタープライズ基盤のブループリントをご覧ください。 |
gcp-security-admins |
アクセス管理や組織の制約ポリシーなど、組織全体のセキュリティ ポリシーを設定して管理します。 |
gcp-developers
|
アプリケーションの設計、コーディング、テストを行います。 |
gcp-devops
|
継続的インテグレーションと継続的デリバリー、モニタリング、システム プロビジョニングをサポートするエンドツーエンドのパイプラインを作成または管理します。 |
管理グループを作成する方法は次のとおりです。
組織タスクで作成した特権管理者アカウントとして Google Cloud コンソールにログインします。
[Google Cloud の設定] の [ユーザーとグループ] に移動します。
タスクの詳細を確認し、[ユーザーとグループの設定を続行] をクリックします。
推奨される管理グループのリストを確認して、次のいずれかを行います。
- 推奨されるグループをすべて作成するには、[すべてのグループを作成] をクリックします。
- 推奨されるグループのサブセットを作成する場合は、選択した行の [作成] をクリックします。
[続行] をクリックします。
管理ユーザーを作成する
組織、ネットワーク、課金、その他の設定手順を完了しているユーザーを最初に追加することをおすすめします。他のユーザーは、Google Cloud の設定プロセスの完了後に追加できます。
Google Cloud の設定タスクを行う管理ユーザーを追加するには、次の操作を行います。
一般ユーザー向けアカウントを、Cloud Identity で管理される管理対象ユーザー アカウントに移行します。詳しい手順については、以下をご覧ください。
特権管理者アカウントを使用して、Google 管理コンソールにログインします。
次のいずれかの方法でユーザーを追加します。
- 複数のユーザーをまとめて追加するには、CSV ファイルから複数のユーザーを追加または更新するをご覧ください。
- ユーザーを個別に追加するには、新規ユーザーのアカウントを追加するをご覧ください。
ユーザーの追加が完了したら、[Google Cloud の設定] の [ユーザーとグループ](ユーザーの作成)に戻ります。
[続行] をクリックします。
管理ユーザーをグループに追加する
作成したメンバーを、それぞれの職務に対応する管理グループに追加します。
[Google Cloud の設定] の [ユーザーとグループ](グループへのユーザーの追加)で、ステップの詳細を確認します。
各 [グループ] 行で、次の操作を行います。
- [メンバーを追加] をクリックします。
- ユーザーのメールアドレスを入力します。
[グループのロール] プルダウン リストから、ユーザーのグループ権限の設定を選択します。詳しくは、閲覧、投稿、管理できるユーザーを設定するをご覧ください。
選択したグループのロールに関係なく、各メンバーはグループに付与したすべての IAM ロールを継承します。
このグループに別のユーザーを追加するには、[別のメンバーを追加] をクリックして、上記の手順を繰り返します。
このグループにユーザーを追加したら、[保存] をクリックします。
グループへのメンバーの追加が完了したら、[ユーザーとグループを確認] をクリックします。
次のステップ
管理者権限
このタスクでは、Identity and Access Management(IAM)を使用して、権限のコレクションを組織レベルで管理者のグループに割り当てます。このプロセスにより、管理者は組織に属するすべてのクラウド リソースを一元的に表示して管理できます。
Google Cloud での Identity and Access Management の概要については、IAM の概要をご覧ください。
このタスクを行うユーザー
このタスクを行うには、次のいずれかのユーザーである必要があります。
- 特権管理者ユーザー。
- 組織管理者のロール(
roles/resourcemanager.organizationAdmin
)を持つユーザー。
このタスクの内容
「ユーザーとグループ」タスクで作成した管理者グループにデフォルトで割り当てられているロールのリストを確認します。
グループをカスタマイズするには、次の操作を行います。
- ロールを追加または削除します。
- 使用する予定のないグループは削除できます。
このタスクをおすすめする理由
組織のすべての管理者ロールを明示的に付与する必要があります。このタスクは、セキュリティに関する次のベスト プラクティスを実装する際に役立ちます。
最小権限の原則: ジョブの実行に必要な最小限の権限をユーザーに付与します。また、権限が不要になったら、その権限をすぐに取り消します。
ロールベース アクセス制御(RBAC): ジョブに応じてユーザーのグループに権限を割り当てます。個々のユーザー アカウントにはロールを付与しません。
始める前に
次の作業を行います。
管理者グループにアクセス権を付与する
「ユーザーとグループ」タスクで作成した管理者グループに適切なアクセス権を付与するには、各グループに割り当てられているデフォルトのロールを確認します。ロールを追加または削除して、各グループのアクセス権をカスタマイズできます。
特権管理者ユーザーとして Google Cloud コンソールにログインしていることを確認します。
また、組織管理者ロール(
roles/resourcemanager.organizationAdmin
)を持つユーザーとしてログインすることもできます。[Google Cloud の設定] の [管理者権限] に移動します。
ページの上部にある [選択元] プルダウン リストから組織名を選択します。
タスクの概要を確認し、[管理者権限を継続] をクリックします。
「ユーザーとグループ」タスクで作成した [グループ(プリンシパル)] 列のグループを確認します。
グループごとにデフォルトの IAM ロールを確認します。組織固有のニーズに合わせて、各グループに割り当てるロールを追加または削除できます。
各ロールには、関連するタスクの実行を許可する複数の権限が含まれています。各ロールの権限の詳細については、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。
各グループにロールを割り当てる準備ができたら、[保存してアクセスを許可] をクリックします。
次のステップ
お支払い情報を設定する。
課金
このタスクでは、Google Cloud リソースの支払いを行う請求先アカウントを設定します。この設定を行うには、組織に次のいずれかを関連付けます。
既存の Cloud 請求先アカウント。アカウントにアクセスできない場合は、請求先アカウントの管理者にアクセス権をリクエストできます。
新しい Cloud 請求先アカウント。
課金の詳細については、Cloud Billing のドキュメントをご覧ください。
このタスクを行うユーザー
「ユーザーとグループ」タスクで作成した gcp-billing-admins@YOUR_DOMAIN
グループのユーザー。
このタスクの内容
- セルフサービスの Cloud 請求先アカウントを作成するか、既存の Cloud 請求先アカウントを使用します。
- セルフサービス アカウントから請求書発行アカウントに移行するかどうかを決定します。
- Cloud 請求先アカウントとお支払い方法を設定します。
このタスクをおすすめする理由
Cloud Billing アカウントは 1 つ以上の Google Cloud プロジェクトにリンクされ、仮想マシン、ネットワーク、ストレージなど、使用するリソースの課金に使用されます。
請求先アカウントの種類を決定する
組織には、次のいずれかの種類の請求先アカウントを関連付けます。
セルフサービス(またはオンライン): クレジット カードまたはデビットカードを使用してオンラインで登録します。小規模ビジネスや個人の場合は、このオプションをおすすめします。請求先アカウントをオンラインで登録する場合、アカウントはセルフサービス アカウントとして自動的に設定されます。
請求書発行(またはオフライン)。セルフサービスの請求先アカウントをすでにお持ちの場合、お客様のビジネスが資格要件を満たしていれば、請求書発行を申請できる場合があります。
請求書発行アカウントをオンラインで作成することはできませんが、セルフサービス アカウントから請求書発行アカウントへの変更を申請することは可能です。
詳細については、Cloud 請求先アカウントの種類をご覧ください。
始める前に
次の作業を行います。
請求先アカウントを設定する
請求先アカウントの種類を選択したら、組織に請求先アカウントを関連付けます。このプロセスを完了すると、請求先アカウントを使用して Google Cloud リソースの支払いを行うことができます。
gcp-billing-admins@YOUR_DOMAIN
グループのユーザーとして Google Cloud コンソールにログインします。[Google Cloud の設定] の [課金] に移動します。
タスクの概要を確認し、[お支払いを続行] をクリックします。
次のいずれかのオプションを選択します。
新しいアカウントを作成する
組織に既存のアカウントがない場合は、新しいアカウントを作成します。
- [新しい請求先アカウントを作成します] を選択します。
- [続行] をクリックします。
作成する請求先アカウントの種類を選択します。詳しい手順については、以下をご覧ください。
- 新しいセルフサービス アカウントを作成するには、セルフサービスの Cloud 請求先アカウントを新規に作成するをご覧ください。
- 既存のセルフサービス アカウントを請求書発行に移行するには、毎月の請求書発行に申し込むをご覧ください。
請求先アカウントが作成されたことを確認します。
請求書発行アカウントを作成した場合は、確認メールが届くまでに最大 5 営業日かかります。
[課金] ページに移動します。
ページの上部にある [選択元] リストから組織を選択します。アカウントが正常に作成されると、請求先アカウントのリストに表示されます。
既存のアカウントを使用する
既存の請求先アカウントがある場合は、それを組織に関連付けることができます。
- [このリストから、設定手順を完了するために使用する請求先アカウントを特定しました。] を選択します。
- [課金] プルダウン リストから、組織に関連付けるアカウントを選択します。
- [続行] をクリックします。
- 詳細を確認し、[請求先アカウントを確定] をクリックします。
別のユーザーのアカウントを使用する
別のユーザーが既存の請求先アカウントにアクセスできる場合は、そのユーザーに請求先アカウントを組織に関連付けるよう依頼できます。また、そのユーザーから、関連付けの完了に必要なアクセス権を付与してもらうこともできます。
- [別の Google ユーザー アカウントで管理されている請求先アカウントを使用する] を選択します。
- [続行] をクリックします。
- 請求先アカウント管理者のメールアドレスを入力します。
- [管理者に問い合わせる] をクリックします。
- 請求先アカウント管理者から詳細な手順について連絡があるまで待ちます。
次のステップ
最初のアーキテクチャを作成する
階層とアクセス
このタスクでは、次のリソースを作成してアクセス権を割り当て、リソース階層を設定します。
- フォルダ
- プロジェクトをグループ化してプロジェクトを分離できます。たとえば、財務部門や小売部門などの主要部門のフォルダを作成できます。本番環境と非本番環境などのフォルダを作成することもできます。
- プロジェクト
- 仮想マシン、データベース、ストレージ バケットなどの Google Cloud リソースが含まれます。
プロジェクト内のリソースを整理するための設計上の考慮事項とベスト プラクティスについては、Google Cloud ランディング ゾーンのリソース階層を決定するをご覧ください。
このタスクを行うユーザー
このタスクは、「ユーザーとグループ」タスクで作成した gcp-organization-admins@YOUR_DOMAIN
グループのユーザーが行います。
このタスクの内容
- フォルダとプロジェクトを含む最初の階層構造を作成します。
- IAM ポリシーを設定して、フォルダとプロジェクトへのアクセスを制御します。
このタスクをおすすめする理由
フォルダとプロジェクトの構造を作成すると、Google Cloud リソースを管理し、組織の運用方法に基づいてアクセス権を割り当てることができます。たとえば、地理的リージョン、子会社の構成、アカウンタビリティ フレームワークなど、組織固有の状況に基づいてリソースを整理し、アクセス権を付与できます。
リソース階層を計画する
リソース階層を使用するとリソースの境界を作成できます。また、組織全体でリソースを共有し、共通のタスクで使用することもできます。階層を作成するには、組織構造に応じて次のいずれかの初期構成を使用します。
シンプルな環境指向:
Non-production
やProduction
などの環境を分離します。- 各環境フォルダに個別のポリシー、規制要件、アクセス制御を実装します。
- 一元化された環境を使用する小規模企業に適しています。
シンプルなチーム指向:
Development
やQA
などのチームを分離します。- 各チームフォルダの下に子環境フォルダを用意し、リソースへのアクセスを分離します。
- 自律型のチームが複数存在する小規模企業に適しています。
環境指向:
Non-production
やProduction
などの環境の分離を優先します。- 各環境フォルダの下でビジネス ユニットを分離します。
- 各ビジネス ユニットの下でチームを分離します。
- 一元化された環境を使用する大規模企業に適しています。
ビジネス ユニット指向:
Human Resources
やEngineering
などのビジネス ユニットの分離を優先し、ユーザーが必要なリソースとデータにのみアクセスできるようにします。- 各ビジネス ユニットの下でチームを分離します。
- 各チームの下で環境を分離します。
- 自律型チームが複数存在する大規模企業に適しています。
各構成には、共有リソースを含むプロジェクト用の Common
フォルダがあります。これには、プロジェクトのロギングとモニタリングが含まれる場合があります。
始める前に
次の作業を行います。
- 「組織」タスクで、特権管理者ユーザーと組織を作成します。
- 「ユーザーとグループ」タスクで、ユーザーの追加とグループの作成を行います。
- 「管理者権限」タスクでグループに IAM ロールを割り当てます。
- [課金] タスクで請求先アカウントを作成またはリンクします。
最初のフォルダとプロジェクトを構成する
組織構造を表すリソース階層を選択します。
最初のフォルダとプロジェクトを構成する手順は次のとおりです。
「ユーザーとグループ」タスクで作成した
gcp-organization-admins@YOUR_DOMAIN
グループのユーザーで Google Cloud コンソールにログインします。ページ上部の選択元プルダウン リストから組織を選択します。
[Google Cloud の設定] の [階層とアクセス] に移動します。
タスクの概要を確認し、[リソース階層] の横にある [開始] をクリックします。
最初の構成を選択します。
[続行して構成] をクリックします。
組織構造を反映するようにリソース階層をカスタマイズします。たとえば、以下をカスタマイズできます。
- フォルダ名。
各チームのサービス プロジェクト。サービス プロジェクトへのアクセス権を付与するには、以下を作成します。
- 各サービス プロジェクトのグループ。
- 各グループのユーザー。
サービス プロジェクトの概要については、共有 VPC をご覧ください。
モニタリング、ロギング、ネットワーキングに必要なプロジェクト。
カスタム プロジェクト。
[続行] をクリックします。
フォルダとプロジェクトへのアクセスを許可する
「管理者権限」タスクでは、グループに対する管理者権限を組織レベルで付与しました。このタスクでは、新しく構成したフォルダとプロジェクトを操作するグループへのアクセス権を構成します。
プロジェクト、フォルダ、組織にはそれぞれ、リソース階層から継承される独自の IAM ポリシーがあります。
- 組織: ポリシーは組織内のすべてのフォルダとプロジェクトに適用されます。
- フォルダ: ポリシーはフォルダ内のプロジェクトと他のフォルダに適用されます。
- プロジェクト: ポリシーはプロジェクトとそのリソースにのみ適用されます。
フォルダとプロジェクトの IAM ポリシーを更新します。
[階層とアクセス] の [アクセス制御の構成] で、グループにフォルダとプロジェクトへのアクセス権を付与します。
表で、各リソースのグループに付与されている推奨の IAM ロールのリストを確認します。
各グループに割り当てられたロールを変更する場合は、目的の行の [編集] をクリックします。
各ロールの詳細については、IAM の基本ロールと事前定義ロールをご覧ください。
[続行] をクリックします。
変更を確認し、[ドラフトの構成の確定] をクリックします。
次のステップ
ネットワーキング
このタスクではネットワークの初期構成を設定します。この構成は、ニーズの変化に応じてスケーリングできます。
Virtual Private Cloud アーキテクチャ
Virtual Private Cloud(VPC)ネットワークは、Google の本番環境ネットワーク内に実装された物理ネットワークを仮想化したネットワークです。VPC ネットワークは、リージョンのサブネットワーク(サブネット)で構成されるグローバル リソースです。
VPC ネットワークは、Compute Engine 仮想マシン インスタンス、GKE コンテナ、App Engine フレキシブル環境インスタンスなどの Google Cloud リソースにネットワーク機能を提供します。
共有 VPC は、複数のプロジェクトのリソースを共通の VPC ネットワークに接続し、ネットワークの内部 IP アドレスを使用して相互に通信できるようにします。次の図は、サービス プロジェクトが接続された共有 VPC ネットワークの基本アーキテクチャを示しています。
共有 VPC を使用する場合は、ホスト プロジェクトを指定し、1 つ以上のサービス プロジェクトをホスト プロジェクトに接続します。ホスト プロジェクトの Virtual Private Cloud ネットワークは、共有 VPC ネットワークといいます。
この例の図には、本番環境と非本番環境のホスト プロジェクトがあり、それぞれに共有 VPC ネットワークが含まれています。ホスト プロジェクトを使用すると、以下のものを一元管理できます。
- ルート
- ファイアウォール
- VPN 接続
- サブネット
サービス プロジェクトとは、ホスト プロジェクトに接続されている任意のプロジェクトです。ホスト プロジェクトとサービス プロジェクトの間で、セカンダリ範囲を含むサブネットを共有できます。
このアーキテクチャでは、各共有 VPC ネットワークにパブリック サブネットとプライベート サブネットが含まれています。
- パブリック サブネットは、インターネットに接続するインスタンスで外部接続のために使用されます。
- プライベート サブネットは、パブリック IP アドレスが割り振られていない内部インスタンスで使用されます。
このタスクでは、サンプルの図に基づいてネットワークの初期構成を作成します。
このタスクを行うユーザー
このタスクを行うには、次のいずれかが必要です。
roles/compute.networkAdmin
ロール。- 「ユーザーとグループ」タスクで作成した
gcp-network-admins@YOUR_DOMAIN
グループのユーザー。
このタスクの内容
次のものを含むネットワークの初期構成を作成します。
- 開発環境に合わせて複数のホスト プロジェクトを作成します。
- 各ホスト プロジェクトに共有 VPC ネットワークを作成し、異なるリソースが同じネットワークを共有できるようにします。
- 各共有 VPC ネットワークに個別のサブネットを作成して、サービス プロジェクトへのネットワーク アクセスを提供します。
このタスクをおすすめする理由
各チームが共有 VPC を使用して、一元管理された共通の VPC ネットワークに接続できます。
始める前に
次の作業を行います。
- 「組織」タスクで、特権管理者ユーザーと組織を作成します。
- 「ユーザーとグループ」タスクで、ユーザーの追加とグループの作成を行います。
- 「管理者権限」タスクでグループに IAM ロールを割り当てます。
- [課金] タスクで請求先アカウントを作成またはリンクします。
- 「階層とアクセス」タスクで階層を設定し、アクセス権を割り当てます。
ネットワーク アーキテクチャを構成する
2 つのホスト プロジェクトを使用してネットワークの初期構成を作成し、非本番環境と本番環境のワークロードをセグメント化します。各ホスト プロジェクトには、複数のサービス プロジェクトで使用できる共有 VPC ネットワークが含まれています。ネットワークの詳細を構成し、後のタスクで構成ファイルをデプロイします。
ネットワークの初期構成を行うには、次の操作を行います。
「ユーザーとグループ」タスクで作成した
gcp-organization-admins@YOUR_DOMAIN
グループのユーザーで Google Cloud コンソールにログインします。ページの上部にある [組織を選択] プルダウン リストから組織を選択します。
[Google Cloud の設定] の [ネットワーキング] に移動します。
デフォルトのネットワーク アーキテクチャを確認します。
ネットワーク名を編集するには、次の操作を行います。
- 操作アイコン more_vert をクリックします。
- [ネットワーク名を編集する] を選択します。
- [ネットワーク名] フィールドに、小文字、数字、ハイフンを入力します。ネットワーク名は 25 文字以内で指定してください。
- [保存] をクリックします。
ファイアウォールの詳細を変更する
ホスト プロジェクトのデフォルトのファイアウォール ルールは、推奨されるベスト プラクティスに基づいています。ファイアウォール ルールの概要については、VPC ファイアウォール ルールをご覧ください。
ファイアウォールの設定を変更するには、次の操作を行います。
操作アイコン more_vert をクリックします。
[ファイアウォール ルールを編集する] を選択します。
デフォルトのファイアウォール ルールの詳細については、デフォルト ネットワークの事前設定ルールをご覧ください。
ファイアウォール ルールを無効にするには、対応するチェックボックスをオフにします。
[ファイアウォール ルールのロギング] を無効にするには、[オフ] をクリックします。
デフォルトでは、Compute Engine インスタンスとの間のトラフィックは、監査目的でロギングされます。このプロセスには費用が発生します。詳細については、ファイアウォール ルールのロギングをご覧ください。
[保存] をクリックします。
サブネットの詳細を変更する
各 VPC ネットワークには 1 つ以上のサブネットが存在します。サブネットは、IP アドレス範囲が関連付けられたリージョン リソースです。このマルチリージョン構成では、IP 範囲が重複しないサブネットが 2 つ以上必要になります。
詳細については、サブネットをご覧ください。
各サブネットは、推奨のベスト プラクティスに従って構成されます。各サブネットをカスタマイズする場合は、次の操作を行います。
- 操作アイコン more_vert をクリックします。
- [サブネットを編集する] を選択します。
- [名前] フィールドに、小文字、数字、ハイフンを入力します。サブネット名は 25 文字以内で指定してください。
[リージョン] プルダウンから、サービス提供地点に近いリージョンを選択します。
サブネットごとに異なるリージョンを使用することをおすすめします。構成をデプロイした後にリージョンを変更することはできません。リージョンの選択については、リージョン リソースをご覧ください。
[IP アドレス範囲] フィールドに、範囲を CIDR 表記で入力します(例: 10.0.0.0/24)。
入力する範囲は、このネットワーク内の他のサブネットと重ならないようにしてください。有効な範囲については、IPv4 サブネットの範囲をご覧ください。
サブネット 2 にも同じ手順を繰り返します。
このネットワークで追加のサブネットを構成するには、[サブネットを追加] をクリックして、上記の手順を繰り返します。
[保存] をクリックします。
サブネットは、ベスト プラクティスに従って自動的に構成されます。構成を変更する場合は、[Google Cloud 設定] の [VPC ネットワーク] ページで次の操作を行います。
VPC フローログをオフにするには、[Flow logs] 列で [オフ] を選択します。
フローログがオンの場合、各サブネットはネットワーク フローを記録します。これは、セキュリティや費用の最適化などの目的で分析できます。詳細については、VPC フローログを使用するをご覧ください。
VPC フローログには費用が発生します。詳細については、Virtual Private Cloud の料金をご覧ください。
限定公開の Google アクセスを無効にするには、[Private access] 列で [オフ] を選択します。
限定公開の Google アクセスが有効になっている場合、外部 IP アドレスのない VM インスタンスが Google API とサービスにアクセスできます。詳細については、限定公開の Google アクセスをご覧ください。
Cloud NAT を有効にするには、[Cloud NAT] 列で [オン] を選択します。
Cloud NAT を有効にすると、特定のリソースがインターネットへのアウトバウンド接続を作成できます。詳細については、Cloud NAT の概要をご覧ください。
Cloud NAT には費用が発生します。詳細については、Virtual Private Cloud の料金をご覧ください。
[サービス プロジェクトのリンクに進む] をクリックします。
サービス プロジェクトをホスト プロジェクトにリンクする
サービス プロジェクトとは、ホスト プロジェクトに接続されている任意のプロジェクトです。接続したサービス プロジェクトには、共有 VPC への参加が許可されます。各サービス プロジェクトを異なる部門やチームで運用、管理することで、責任を分離できます。
複数のプロジェクトを共通の VPC ネットワークに接続する方法については、共有 VPC の概要をご覧ください。
サービス プロジェクトをホスト プロジェクトにリンクして構成を完了するには、次の操作を行います。
[共有 VPC ネットワーク] テーブルの各サブネットに、接続するサービス プロジェクトを選択します。これを行うには、[サービス プロジェクト] 列の [プロジェクトを選択] プルダウンから選択します。
1 つのサービス プロジェクトを複数のサブネットに接続できます。
[続行して確認] をクリックします。
構成を確認して変更を行います。
構成ファイルをデプロイするまでは編集が可能です。
[ドラフトの構成の確定] をクリックします。ネットワークの構成が構成ファイルに追加されます。
後のタスクで構成ファイルをデプロイするまで、ネットワークはデプロイされません。
次のステップ
ロギングの一元化
このタスクでは、組織のプロジェクトから中央のログバケットにログをルーティングするように Cloud Logging を設定します。
このタスクを行うユーザー
次のいずれかが必要です。
- Logging 管理者のロール(
roles/logging.admin
)。 - 「ユーザーとグループ」タスクで作成した
gcp-logging-admins@YOUR_DOMAIN
グループのメンバー。
このタスクの内容
セキュリティ、監査、コンプライアンスに役立つように、組織全体のプロジェクトで作成されたログを一元的に整理します。
このタスクをおすすめする理由
ロギングのストレージと保持を構成すると、分析が簡素化され、監査証跡を保持できます。
始める前に
次の作業を行います。
- 「組織」タスクで、特権管理者ユーザーと組織を作成します。
- 「ユーザーとグループ」タスクで、ユーザーの追加とグループの作成を行います。
- 「管理者権限」タスクでグループに IAM ロールを割り当てます。
- [課金] タスクで請求先アカウントを作成またはリンクします。
- 「階層とアクセス」タスクで階層を設定し、アクセス権を割り当てます。
ロギングを一元的に整理する
Cloud Logging では、Google Cloud から取得したログデータとイベントについて、保存、検索、分析、モニタリング、通知を行うことができます。アプリケーション、オンプレミス リソース、その他のクラウドからログを収集して処理することもできます。Logging がログのルーティングと保存を行う方法の概要については、ルーティングとストレージの概要をご覧ください。
ログデータを中央のログバケットに保存する手順は次のとおりです。
「ユーザーとグループ」タスクで作成した
gcp-logging-admins@YOUR_DOMAIN
グループのユーザーで Google Cloud コンソールにログインします。ページ上部の選択元プルダウン リストから組織を選択します。
[Google Cloud の設定] の [ロギングの一元化] に移動します。
タスクの概要を確認し、[ロギングの構成を開始] をクリックします。
タスクの詳細を確認します。
ログを中央のログバケットにルーティングするには、[組織レベルの管理アクティビティの監査ログをログバケットに保存する] が選択されていることを確認します。
[ログバケット名] フィールドに、中央のログバケットの名前を入力します。
[ログバケット リージョン] リストから、ログデータが保存されているリージョンを選択します。
詳細については、ログバケットのロケーションをご覧ください。
ログは 365 日間保存することをおすすめします。保持期間をカスタマイズするには、[保持期間] フィールドに日数を入力します。
30 日を超えて保存されたログには、保持料金が発生します。詳細については、Cloud Logging の料金情報をご覧ください。
[続行] をクリックします。
ログルーターの構成の詳細を確認し、[ドラフトの構成を確定] をクリックします。
ロギング構成は、後のタスクで構成をデプロイするまでデプロイされません。
次のステップ
構成をデプロイする。構成には、階層とアクセス、ネットワーク、ロギングの設定が含まれます。
設定をデプロイする
デプロイまたはダウンロード
Google Cloud の設定プロセスを完了すると、次のタスクの設定が Terraform 構成ファイルにコンパイルされます。
設定を適用するには、選択内容を確認してデプロイ方法を選択します。
このタスクを行うユーザー
「ユーザーとグループ」タスクで作成した gcp-organization-admins@YOUR_DOMAIN
グループのユーザー。
このタスクの内容
構成ファイルをデプロイして設定を適用します。
このタスクをおすすめする理由
選択した設定を適用するには、構成ファイルをデプロイする必要があります。
始める前に
次のタスクを完了する必要があります。
- 「組織」タスクで、特権管理者ユーザーと組織を作成します。
- 「ユーザーとグループ」タスクで、ユーザーの追加とグループの作成を行います。
- 「管理者権限」タスクでグループに IAM ロールを割り当てます。
- [課金] タスクで請求先アカウントを作成またはリンクします。
- 「階層とアクセス」タスクで階層を設定し、アクセス権を割り当てます。
推奨されるタスクは次のとおりです。
構成の詳細を確認する
構成の設定が完了していることを確認するには、次の操作を行います。
「ユーザーとグループ」タスクで作成した
gcp-organization-admins@YOUR_DOMAIN
グループのユーザーで Google Cloud コンソールにログインします。ページ上部の選択元プルダウン リストから組織を選択します。
[Google Cloud の設定] の [デプロイまたはダウンロード] に移動します。
選択した構成設定を確認します。次の各タブをクリックして、設定を確認します。
- リソースの階層とアクセス
- ネットワーキング
- ロギング
構成をデプロイする
構成の詳細を確認したら、次のいずれかのオプションを使用します。
コンソールから直接デプロイする: 既存の Terraform デプロイ ワークフローがなく、シンプルなデプロイ方法が必要な場合は、このオプションを使用します。この方法でデプロイできるのは 1 回だけです。
Terraform ファイルをダウンロードしてデプロイする: Terraform デプロイ ワークフローを使用してリソース管理を自動化する場合は、このオプションを使用します。この方法は複数回使用できます。
次のいずれかのオプションを使用してデプロイします。
直接デプロイする
既存の Terraform ワークフローがなく、シンプルな 1 回限りのデプロイを行う場合は、コンソールから直接デプロイできます。
[直接デプロイ] をクリックします。
デプロイが完了するまで数分待ちます。
デプロイに失敗した場合は、次の操作を行います。
- デプロイを再試行するには、[プロセスを再試行します] をクリックします。
- 何度か試してもデプロイに失敗した場合は、管理者にお問い合わせください。その場合は、[Contact organization administrator] をクリックします。
ダウンロードとデプロイ
Terraform デプロイ ワークフローを使用してデプロイを繰り返す場合は、構成ファイルをダウンロードしてデプロイします。
構成ファイルをダウンロードするには、[Terraform としてダウンロード] をクリックします。
ダウンロードしたパッケージには、次のタスクで選択した設定に基づく Terraform 構成ファイルが含まれています。
- 階層とアクセス
- ネットワーキング
- ロギングの一元化
担当の職務に関連する構成ファイルのみをデプロイすると、無関係なファイルをダウンロードせずに済みます。これを行うには、不要な構成ファイルのチェックボックスをオフにします。
[ダウンロード] をクリックします。選択したファイルを含む
terraform.tar.gz
パッケージがローカル ファイル システムにダウンロードされます。デプロイ手順の詳細については、コンソールからダウンロードした Terraform を使用して基盤をデプロイするをご覧ください。
次のステップ
セキュリティとサポートの設定を適用する
モニタリング
Cloud Monitoring は、Google Cloud プロジェクト用に自動的に構成されます。このタスクでは、オプションのモニタリングのベスト プラクティスについて学びます。
始める前に
次の作業を行います。
このタスクを行うユーザー
「ユーザーとグループ」タスクで作成した gcp-monitoring-admins@YOUR_DOMAIN
グループのユーザー。
このタスクの内容
モニタリングのベスト プラクティス(オプション)を確認して実装します。
このタスクをおすすめする理由
モニタリングのベスト プラクティスを実装すると、次のことが可能になります。
- 組織を監視するユーザー間のコラボレーションを促進します。
- Google Cloud インフラストラクチャを 1 か所でモニタリングします。
- 重要なアプリケーション指標とログを収集します。
モニタリングのベスト プラクティスを確認して実装する
Cloud Monitoring は、Google Cloud サービス、合成モニタリング、アプリケーション計測、その他の一般的なアプリケーション コンポーネントから指標、イベント、メタデータを収集します。Cloud Monitoring は、Google Cloud プロジェクト用に自動的に構成されます。
このタスクでは、デフォルトの Cloud Monitoring 構成でビルドするために、次のベスト プラクティスを実装します。
コラボレーションを支援するため、組織内のすべてのプリンシパルにプロジェクトごとにモニタリング閲覧者ロールを付与する組織のポリシーを作成します。
Google Cloud インフラストラクチャを 1 か所でモニタリングするには、指標スコープを使用して、複数の Google Cloud プロジェクトから指標を読み取るようにプロジェクトを構成します。
仮想マシンのアプリケーション指標とログを収集するには、次のようにします。
- Compute Engine の場合は、Ops エージェントをインストールします。
- Google Kubernetes Engine(GKE)の場合は、Google Cloud Managed Service for Prometheus を設定します。
次のステップ
セキュリティ
このタスクでは、組織の保護に役立つセキュリティ設定とサービスを構成します。
このタスクを行うユーザー
このタスクを完了するには、次のいずれかが必要です。
- 組織のポリシー管理者(
roles/orgpolicy.policyAdmin
)とセキュリティ センター管理者(roles/securitycenter.admin
)のロール。 - 「ユーザーとグループ」タスクで作成した
gcp-organization-admins@<your-domain>.com
グループのメンバー。
このタスクの内容
次のカテゴリに基づいて、推奨される組織のポリシーを適用します。
- アクセス管理。
- サービス アカウントの動作。
- VPC ネットワークの構成。
また、Security Command Center を有効にして、脆弱性と脅威のレポートを一元化します。
このタスクをおすすめする理由
推奨される組織のポリシーを適用すると、セキュリティ対策を逸脱するユーザー操作を制限できます。
Security Command Center を有効にすると、脆弱性と脅威を 1 か所で分析できます。
始める前に
次の作業を行います。
推奨される組織のポリシーを適用する
組織のポリシーは組織レベルで適用され、フォルダとプロジェクトに継承されます。このタスクでは、推奨ポリシーのリストを確認して適用します。組織のポリシーはいつでも変更できます。詳細については、組織ポリシー サービスの概要をご覧ください。
「ユーザーとグループ」タスクで作成した
gcp-organization-admins@<your-domain>.com
グループのユーザーで Google Cloud コンソールにログインします。ページ上部の選択プルダウンから組織を選択します。
[Google Cloud の設定] の [セキュリティ] に移動します。
タスクの概要を確認し、[さらにセキュリティを強化する] をクリックします。
推奨される組織のポリシーのリストを確認します。推奨のポリシーを適用しない場合は、チェックボックスをオンにして削除します。
各組織のポリシーの詳細については、組織のポリシーの制約をご覧ください。
脆弱性と脅威のレポートを一元化する
脆弱性と脅威の報告サービスを一元化するには、Security Command Center を有効にします。これにより、セキュリティ対策を強化し、リスクを軽減できます。詳細については、Security Command Center の概要をご覧ください。
[Google Cloud の設定] の [セキュリティ] ページの [Security Command Center] で、[Security Command Center の有効化: Standard] チェックボックスがオンになっていることを確認します。
このタスクでは、無料のスタンダード ティアを有効にします。後でプレミアム バージョンにアップグレードできます。詳細については、Security Command Center のサービスティアをご覧ください。
[組織のポリシーと Security Command Center を適用する] をクリックします。
次のステップ
サポートプランを選択します。
サポート
このタスクでは、会社のニーズに合ったサポートプランを選択します。
このタスクを行うユーザー
「ユーザーとグループ」タスクで作成した gcp-organization-admins@YOUR_DOMAIN
グループのユーザー。
このタスクの内容
会社のニーズに基づいてサポートプランを選択してください。
このタスクをおすすめする理由
プレミアム サポートプランでは、Google Cloud のエキスパートのサポートを受けて問題をすばやく解決できるビジネス クリティカルなサポートを提供します。
サポート オプションを選択する
次のリソースにアクセスできる無料のベーシック サポートが自動的に提供されます。
企業のお客様の場合は、プレミアム サポートにご登録いただくことをおすすめします。プレミアム サポートでは、Google サポート エンジニアから直接テクニカル サポートを受けることができます。サポートプランを比較するには、Google Cloud カスタマーケアをご覧ください。
始める前に
次の作業を行います。
サポートを有効にする
サポート オプションを選択します。
サポートプランを確認して選択します。詳細については、Google Cloud カスタマーケアをご覧ください。
「ユーザーとグループ」タスクで作成した
gcp-organization-admins@<your-domain>.com
グループのユーザーで Google Cloud コンソールにログインします。[Google Cloud の設定] の [サポート] に移動します。
タスクの詳細を確認し、[サポート サービスを表示] をクリックしてサポート オプションを選択します。
サポート オプションを設定したら、[Google Cloud の設定] の [サポート] ページに戻り、[タスクを完了としてマーク] をクリックします。
次のステップ
Google Cloud の設定が完了したので、初期設定の拡張、ビルド済みソリューションのデプロイ、既存のワークフローの移行を行う準備が整いました。詳細については、初期設定を拡張してビルドを開始するをご覧ください。