Identity and Access Management のロールと権限を割り当てる

組織リソース間でプロジェクトを移行するには、次の権限が必要です。

これらの権限を取得するには、リソース階層の適切なレベルで推奨されているロールの付与を管理者に依頼してください。

プロジェクトの移行権限

組織リソース間でプロジェクトを移行するには、プロジェクト、その親リソース、移行先リソースに対して次のロールが必要です。

  • 組織リソース間で移行するプロジェクトのプロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)。
  • プロジェクトの親リソース(フォルダや組織リソース)のプロジェクト移動(roles/resourcemanager.projectMover)。
  • 宛先リソースがフォルダの場合: 宛先リソースのプロジェクト移転者(roles/resourcemanager.projectMover
  • 宛先リソースが組織の場合: 宛先リソースのプロジェクト作成者(roles/resourcemanager.projectCreator

これらのロールにより、次の必要な権限が与えられます。

必要な権限

  • 組織リソース間で移行するプロジェクトの resourcemanager.projects.getIamPolicy
  • 組織リソース間で移行するプロジェクトの resourcemanager.projects.update
  • プロジェクトの親リソース(フォルダまたは組織リソース)の resourcemanager.projects.move
  • 宛先リソースがフォルダの場合: 宛先リソースの resourcemanager.projects.move
  • 移行先リソースが組織リソースの場合: 移行先リソースの resourcemanager.projects.create
  • 組織に関連付けられていないプロジェクトを移行する場合: 移行するプロジェクトの resourcemanager.projects.setIamPolicy

カスタムロールまたは他の事前定義ロールを使用してこれらの権限を取得することもできます。

組織のポリシーの権限

移行元の組織リソースと移行先の組織リソースには、組織のポリシーを設定するユーザーに roles/orgpolicy.policyAdmin ロールが必要です。このロールには、組織のポリシーを作成し管理する権限が付与されます。

請求先アカウントの権限

Cloud 請求先アカウントは、組織リソース全体で使用できます。プロジェクトをある組織リソースから別の組織リソースに移行しても課金に影響はありません。料金は、古い請求先アカウントに対して継続して課せられます。ただし、組織リソース間でプロジェクトを移行する場合は、しばしば新しい請求先アカウントへの移行要件があることもあります。

プロジェクトの請求先アカウントを変更するために必要な権限を取得するには、管理者に次の IAM ロールを付与するよう依頼してください。

ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

これらの事前定義ロールには、プロジェクトの請求先アカウントを変更するために必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

プロジェクトの請求先アカウントを変更するには、次の権限が必要です。

  • 移行先の請求先アカウントに対する billing.resourceAssociations.create
  • プロジェクトに対する resourcemanager.projects.createBillingAssignment
  • プロジェクトに対する resourcemanager.projects.deleteBillingAssignment

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

次のステップ

組織のポリシーを構成する方法については、組織のポリシーの構成をご覧ください。