Google Cloud 管理者として Cloud Identity を設定する

この記事では、Google Cloud 管理者として Cloud Identity を設定する方法について説明します。Cloud Identity の設定は、新しい Google Cloud 組織を作成するときに行う最初のステップの 1 つです。

始める前に

Google Cloud 管理者向けの設定手順

Google Cloud 管理者が Cloud Identity Free に登録するまたは Cloud Identity Premium に申し込むには、以下の手順を実施します。各エディションのサービスの違いについて詳しくは、Cloud Identity の機能とエディションの比較をご覧ください。

要件

  • Cloud Identity Free - 登録するには、会社のドメイン名と、ドメイン登録事業者にアクセスするための管理者のユーザー名とパスワードが必要です。
  • Cloud Identity Premium - 申し込むには、会社のドメイン名が必要です。お持ちでない場合は、お申し込み時にドメインを購入する必要があります。

Cloud Identity Free に登録する

  1. 次のお申し込みページにアクセスします。
    https://workspace.google.com/gcpidentity/signup?sku=identitybasic
  2. 画面の指示に沿って操作します。

以降のステップについて詳しくは、Cloud Identity アカウントと 1 人目の管理ユーザーを作成するをご覧ください。

Cloud Identity Premium に申し込む

Google Workspace をご利用の場合

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールで、メニュー アイコン 次に [お支払い]次に[その他のサービスを利用する] にアクセスします。
  3. [Cloud Identity] をクリックします。
  4. [Cloud Identity Premium] の横にある [無料試用を開始] をクリックします。
  5. 画面の指示に沿って操作します。

Google Workspace をご利用ではない場合

  1. 次の登録ページにアクセスします。
    https://workspace.google.com/gcpidentity/signup?sku=identitypremium
  2. 画面の指示に沿って操作します。

最初のユーザーを作成する

設定ウィザードを使用して Cloud Identity アカウントと 1 人目の管理ユーザーを作成するには:

  1. [お客様について] の [名前] 欄に氏名を入力します。
  2. [現在仕事でご使用のメールアドレス] 欄にメールアドレスを入力します。
    このメールアドレスは再設定用のアドレスとして使用されます。次に作成する Cloud Identity の管理者アカウントとして使用するものとは違うアドレスを指定してください。
  3. [お客様の事業について] の [会社名 / 組織名] 欄に会社名を入力します。
  4. [国 / 地域] 欄のプルダウン リストから該当する国または地域を選択します。
  5. [次へ] をクリックしてドメインを設定します。
  6. [お使いの Cloud Identity ドメイン] ウィンドウで、会社で購入済みのドメインを追加します。特定の CNAME レコードを作成するか、HTML ファイルをアップロードして、ドメイン所有権の確認を行う必要があります。
  7. [Cloud Identity アカウントの作成] ウィンドウで、ユーザー名とパスワードを入力します。このアカウントは Cloud Identity の管理者アカウントとなるものですので、上の手順 2 で入力したものとは違うメールアドレスを指定してください。admin@example.com[管理者名]@[ドメイン名].com の形式でユーザー名を入力することをおすすめします。

ドメイン所有権の証明とその手順について詳しくは、Cloud Identity のドメイン所有権の確認をご覧ください。

これで、Cloud Identity を有効にして最初のユーザーを作成できました。

設定の終了

Cloud Identity アカウントを作成してドメインの所有権証明を終えたら、Google Cloud コンソールに戻ります。続行するには、組織を代表して Cloud Identity 契約に同意する必要があります。同意すると、[Identity] ページが表示されます。

これで Cloud Identity アカウントが完全に有効になりました。コンソールでさらに詳細な設定を行うこともできます(方法については下記をご参照ください)。
 
注: 後から Google 管理コンソールに戻ってユーザーを追加したりグループを作成したりできます。手順については、ユーザーを管理するをご覧ください。

Cloud Identity 組織について

Cloud Identity 組織は、Cloud Identity サービスの登録と設定手順を完了すると作成されます。これにより、管理コンソールの Cloud Identity アカウントが Google Cloud にマッピングされます。また、請求や管理目的ですべてのプロジェクトをグループ化するために Cloud Identity 組織が使用されます。たとえば、Cloud Identity 組織を使用すると、プロジェクトのアクセスを Cloud Identity ユーザーのみに制限できます。
 
Google Cloud コンソールに最初にアクセスする特権管理者には組織オーナーのロールが割り当てられ、最高レベルで組織の設定の管理やポリシーの割り当てを行えるようになります。

プロジェクトと請求先アカウントを移行し、権限を設定する

重要: 

  • 次の 1~2 の手順では、管理者以外の Google Cloud アカウントを使用します。通常、個人用の Gmail アカウントを利用します。
  • 手順 3〜6 の操作は、Cloud Identity 管理者アカウントから行います。

以前のアカウントからコンテンツを移行するには、次の手順で操作します。

請求先アカウントへのアクセス権を付与する

以下の手順で、プロジェクトや請求先アカウントを Cloud Identity 組織外のアカウントから新しい Cloud Identity 組織に移行します。このページを別のタブで開いておいて、参照しながら操作を行うことをおすすめします。

  1. 関連付けを行う既存の請求先アカウントがある Google Cloud アカウントにログインします。
  2. Cloud Identity の組織管理者に、この請求先アカウントへのアクセス権を付与します。
    1. 左側のナビゲーションで [お支払い] を開きます。
    2. 関連付けを行う請求先アカウントに移動します。
    3. Cloud Identity の組織管理者を請求管理者として追加します。

プロジェクトへのアクセス権を付与する

プロジェクトへのアクセス権を付与するには、1 つずつ行う方法と、一括アクセス UI から行う方法があります。以下のステップ 1 では個別に付与する方法を示し、ステップ 2 では一括で付与する方法を説明します。

  1. 組織管理者にプロジェクトへの「オーナー」アクセス権を付与します。
    移行するプロジェクトの [IAM と管理] ページに移動し、組織管理者のアカウントを「オーナー」として追加します。
  2. 一括権限を設定します(省略可)。
    [IAM と管理] に移動し、左側のナビゲーションから [リソースの管理] または [すべてのプロジェクト] をクリックします。[リソースの管理] 画面で、移行するすべてのプロジェクトを選択し、IAM パネルを使用して、これらのプロジェクトに新しいアカウントをオーナーとして追加します。

Cloud Identity アカウントにログインし、プロジェクトの招待を承諾します。

Cloud Identity アカウントにログインし、メールを確認します。

プロジェクトを移行するには、新しいアカウントにメールで送信されたプロジェクトの招待を承諾する必要があります。移行するプロジェクトごとに、各メールのリンクをクリックします。

Google Cloud にアクセスして Cloud Identity アカウントでログインし、アクセス権を削除する

  1. 請求先アカウントへのアクセス権を削除します。
    古いアカウントに関連付けられた請求先アカウントに移動し、会社のドメインに属していないユーザー アカウントのアクセス権を削除します。これには、管理者の @gmail.com@gmail.com アカウントも含まれます。
  2. プロジェクトへのアクセス権を削除します。
    1. [IAM と管理] ページに移動し、[リソースの管理] をクリックします。
    2. [リソースの管理] ページで、フィルタ コントロールの横にあるプルダウン リストから [組織なし] を選択します。
    3. 古いアカウントのプロジェクトに、黄色の警告アイコンが表示されます。これらのプロジェクトを選択し、IAM パネルを使用して、会社のドメインに属していないアカウントのアクセス権を削除します。これには、管理者の @gmail.com@gmail.com アカウントも含まれます。

プロジェクトの移行

  1. [IAM と管理] に移動し、[リソースの管理] をクリックします。
  2. [リソースの管理] ページで、フィルタ コントロールの横にあるプルダウン リストから [組織なし] をクリックします。古いアカウントのプロジェクトに、黄色の警告アイコンが表示されます。
  3. 古いアカウントからこれらのプロジェクトを選択し、上部のバーの [移行] をクリックするか、各プロジェクトのアイコンをクリックします。

移行が完了すると、プロジェクトは会社の組織に移管されます。プロジェクトを表示するには、プルダウン リストの [組織なし] を会社の組織に切り替えます。

権限を設定

  1. [IAM と管理] に移動し、上部のバーのプルダウン リストから組織を選択します。これにより、組織のすべてのプロジェクトに適用される IAM 権限を設定できます。
  2. IAM ページから管理ユーザーを追加し、適切なロールを付与します。

詳しくは、Google Cloud での権限の設定に関する記事もご覧ください。
 

次のステップ