Google Cloud 管理者として Cloud Identity を設定する
このドキュメントでは、Cloud Identity を設定して、 Google Cloud ユーザーとリソースを管理できるGoogle Cloud 管理者になる方法について説明します。Cloud Identity の設定は、 Google Cloud リソース階層を作成するときに行う最初のステップの 1 つです。
始める前に
Google Cloud 管理者が Cloud Identity Free に登録するまたは Cloud Identity Premium に申し込むには、以下の手順を実施します。各エディションのサービスの違いについて詳しくは、Cloud Identity の機能とエディションの比較をご覧ください。
要件
- Cloud Identity Free: 登録するには、会社のドメイン名と、ドメイン登録事業者にアクセスするための管理者のユーザー名とパスワードが必要です。
- Cloud Identity Premium: 申し込むには、会社のドメイン名が必要です。お持ちでない場合は、お申し込み時にドメインを購入する必要があります。
Cloud Identity Free に登録する
Google Workspace をご利用の場合
管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
[お支払い] > [購入またはアップグレード] に移動します。
お支払いの管理の管理者権限があることを確認します。
[カテゴリ] で [Cloud Identity] をクリックします。
[Cloud Identity Free] で [開始] をクリックします。
画面の指示に沿って操作します。
Google Workspace をご利用ではない場合
- 次の登録ページにアクセスします。 https://workspace.google.com/gcpidentity/signup?sku=identitybasic
- 画面の指示に沿って操作します。
以降のステップについて詳しくは、Cloud Identity アカウントと 1 人目の管理者ユーザーを作成するをご覧ください。
Cloud Identity Premium に申し込む
Google Workspace をご利用の場合
管理者アカウントで Google 管理コンソールにログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
[お支払い] > [購入またはアップグレード] に移動します。
お支払いの管理の管理者権限があることを確認します。
[Cloud Identity] をクリックします。
[Cloud Identity Premium] の横にある [無料試用を開始] をクリックします。
画面の指示に沿って操作します。
Google Workspace をご利用ではない場合
- 次の登録ページにアクセスします。 https://workspace.google.com/gcpidentity/signup?sku=identitypremium
- 画面の指示に沿って操作します。
Cloud Identity アカウントと 1 人目の管理ユーザーを作成する
設定ウィザードを使用して Cloud Identity アカウントと 1 人目の管理ユーザーを作成するには:
- [お客様について] の [名前] 欄に氏名を入力します。
[現在仕事でご使用のメールアドレス] にメールアドレスを入力します。
このメールアドレスは再設定用のアドレスとして使用されます。次に作成する Cloud Identity の管理者アカウントとして使用するものとは違うアドレスを指定してください。
[お客様の事業について] の [会社名 / 組織名] に会社名を入力します。
[国/地域] リストから該当する国または地域を選択します。
ドメインを設定するには、[次へ] をクリックします。
[お使いの Cloud Identity ドメイン] ウィンドウで、会社で購入済みのドメインを追加します。後で、ドメインの所有権を確認する必要があります。
[Cloud Identity アカウントの作成] ウィンドウで、ユーザー名とパスワードを入力します。このアカウントは Cloud Identity の管理者アカウントとなるものですので、手順 2 で入力したものとは違うメールアドレスを指定してください。
admin@example.com
の形式でユーザー名を入力することをおすすめします。
ドメイン所有権の証明とその手順について詳しくは、Cloud Identity のドメイン所有権の確認をご覧ください。
これで完了です。Cloud Identity を有効にして最初のユーザーを作成できました。
設定の終了
Cloud Identity アカウントを作成してドメインの所有権証明を終えたら、 Google Cloud コンソールに戻ります。続行するには、組織を代表して Cloud Identity 契約に同意する必要があります。同意すると、[Identity] ページが表示されます。
これで Cloud Identity アカウントが完全に有効になりました。コンソールでさらに詳細な設定を行うこともできます(方法については、このドキュメントで説明します)。
注: 後から Google 管理コンソールに戻ってユーザーを追加したりグループを作成したりできます。手順については、ユーザーを管理するをご覧ください。
Cloud Identity 組織について
Cloud Identity 組織は、Cloud Identity サービスの登録と設定手順を完了すると作成されます。これにより、管理コンソールの Cloud Identity アカウントが Google Cloudにマッピングされます。また、請求や管理目的ですべてのプロジェクトをグループ化するために Cloud Identity 組織が使用されます。たとえば、Cloud Identity 組織を使用すると、プロジェクトのアクセスを Cloud Identity ユーザーのみに制限できます。
Google Cloud コンソールに最初にアクセスする特権管理者には組織オーナーのロールが割り当てられ、最高レベルで組織の設定の管理やポリシーの割り当てを行えるようになります。
プロジェクトと請求先アカウントを移行し、権限を設定する
重要:
- 手順 1 ~ 2 は、管理者以外の Google Cloudアカウントで行います。通常、個人用の Gmail アカウントを利用します。
- 手順 3〜6 の操作は、Cloud Identity 管理者アカウントから行います。
以前のアカウントからコンテンツを移行するには、次の手順で操作します。
ステップ 1: 請求先アカウントへのアクセス権を付与する
次の手順に沿って、プロジェクトと請求先アカウントを Cloud Identity 組織外のアカウントから新しい Cloud Identity 組織に移行します。このページを別のタブで開いておいて、参照しながら操作を行うことをおすすめします。
- 関連付けを行う既存の請求先アカウントがある Google Cloud アカウントにログインします。
- Cloud Identity の組織管理者に、この請求先アカウントへのアクセス権を付与します。
- 左側のナビゲーションで [お支払い] を開きます。
- 関連付けを行う請求先アカウントに移動します。
- Cloud Identity の組織管理者を請求管理者として追加します。
ステップ 2: プロジェクトへのアクセス権を付与する
プロジェクトへのアクセス権を付与するには、1 つずつ行う方法と、一括アクセス UI を使用する方法があります。ステップ 1 では個別に付与する方法を示し、ステップ 2 では一括で付与する方法を説明します。
- 組織管理者にプロジェクトへの「オーナー」アクセス権を付与します。
移行するプロジェクトの [IAM と管理] ページに移動し、組織管理者のアカウントを「オーナー」として追加します。 - 一括権限を設定します(省略可)。
[IAM と管理] に移動し、左側のナビゲーションから [リソースの管理] または [すべてのプロジェクト] をクリックします。[リソースの管理] 画面で、移行するすべてのプロジェクトを選択し、Identity and Access Management(IAM)パネルを使用して、これらのプロジェクトに新しいアカウントをオーナーとして追加します。
ステップ 3: Cloud Identity アカウントにログインして、プロジェクトへの招待を承諾する
Cloud Identity アカウントにログインし、メールを確認します。
プロジェクトを移行するには、新しいアカウントにメールで送信されたプロジェクトの招待を承諾する必要があります。移行するプロジェクトごとに、各メールのリンクをクリックする必要があります。
ステップ 4: Google Cloudにアクセスして Cloud Identity アカウントでログインし、アクセス権を削除する
- 請求先アカウントへのアクセス権を削除します。
古いアカウントに関連付けられた請求先アカウントに移動し、会社のドメインに属していないユーザー アカウントのアクセス権を削除します。これには、管理者の@gmail.com アカウントも含まれます。 - プロジェクトへのアクセス権を削除します。
- [IAM と管理] ページに移動し、[リソースの管理] をクリックします。
- [リソースの管理] ページで、フィルタ コントロールの横にあるプルダウン リストから [組織なし] を選択します。
- 古いアカウントのプロジェクトに、黄色の警告アイコンが表示されます。これらのプロジェクトを選択し、IAM パネルを使用して、会社のドメインに属していないアカウントのアクセス権を削除します。これには、管理者の@gmail.com アカウントも含まれます。
ステップ 5: プロジェクトを移行する
- [IAM と管理] セクションに移動し、[リソースの管理] をクリックします。
- [リソースの管理] ページで、フィルタ コントロールの横にあるプルダウン リストから [組織なし] をクリックします。古いアカウントのプロジェクトに、黄色の警告アイコンが表示されます。
- 古いアカウントからこれらのプロジェクトを選択し、上部のバーの [移行] をクリックするか、各プロジェクトのアイコンをクリックします。
移行が完了すると、プロジェクトは会社の組織に移管されます。プロジェクトを表示するには、プルダウン リストの [組織なし] を会社の組織に切り替えます。
ステップ 6: 権限を設定する
- [IAM と管理] セクションに移動し、上部のバーのプルダウン リストから組織を選択します。これにより、組織のすべてのプロジェクトに適用される IAM 権限を設定できます。
- IAM ページから管理ユーザーを追加し、適切なロールを付与します。
詳細については、 Google Cloudでの権限の構成もご覧ください。
Cloud 請求先アカウントを有効にする
無料トライアル ユーザー: Cloud Identity を設定したら、課金対象のステータスを確認して、無料トライアルのクレジットが残っていることを確認します。無料トライアルの特典が終了したら、有料の完全な Cloud 請求先アカウントを有効にして、Cloud 請求先アカウントを必要とする Google Cloud リソースを引き続き使用できます。無料トライアルの詳細については、無料のクラウド機能とトライアル特典をご覧ください。