組織の作成と管理

組織リソースは、Google Cloud Platform リソース階層のルートノードで、プロジェクトの階層的なスーパーノードです。このページでは、組織リソースの取得方法と管理方法について説明します。

始める前に

組織リソースの概要をお読みください。

組織リソースを取得する

組織リソースは、G Suite と Cloud Identity のユーザーが使用できます。

G Suite アカウントまたは Cloud Identity アカウントを作成し、ドメインに関連付けると、組織リソースが自動的に作成されます。リソースは、アカウントのステータスに応じて異なるタイミングでプロビジョニングされます。

  • 新しい G Suite アカウントまたは Cloud Identity アカウントを作成し、初めて使用する場合は、Google Cloud Console にログインして Google Cloud の利用規約に同意すると、組織リソースが作成されます。
  • 既存の G Suite ユーザーまたは Cloud Identity ユーザーの場合は、最初のプロジェクトまたは請求先アカウントを作成すると、組織リソースが作成されます。この最初のプロジェクトを作成するまでは、「組織なし」に表示されますが、これは正常です。プロジェクトを作成すると、組織リソースが表示され、プロジェクトが自動的にリンクされます。

作成された組織リソースは、作成したプロジェクトまたは請求先アカウントが子リソースとして設定された G Suite アカウントまたは Cloud Identity アカウントにリンクされます。G Suite または Cloud Identity のドメインで作成されたすべてのプロジェクトと請求先アカウントは、この組織の子になります。

G Suite アカウントや Cloud Identity アカウントには、それぞれ 1 つの組織が関連付けられます。組織は、組織リソースの作成時に設定された 1 つのドメインのみと関連付けられます。

組織リソースが作成されると、Google は G Suite や Cloud Identity の特権管理者にリソースが利用可能になった旨を通知します。特権管理者アカウントは、組織およびその下のあらゆるリソースに対して広範な制御を行えるため、慎重に使用する必要があります。したがって、G Suite や Cloud Identity の特権管理者アカウントを組織の日常管理に使用することはおすすめできません。Google Cloud で G Suite または Cloud Identity の特権管理者アカウントを使用する方法について詳しくは、特権管理者のベスト プラクティスをご覧ください。

組織リソースを能動的に取得するには、G Suite や Cloud Identity の特権管理者が一部のユーザーかグループに組織管理者の IAM ロールを割り当てる必要があります。組織をセットアップする手順については、組織のセットアップをご覧ください。

  • 組織を作成すると、ドメインのすべてのユーザーにプロジェクト作成者と請求先アカウント作成者の IAM 役割が組織レベルで付与されます。これにより、ドメインのユーザーはプロジェクトの作成を遅滞なく継続できます。
  • 組織管理者は、組織を本格的に使用し始める時期を決定します。デフォルトの権限を変更し、必要であれば制約の多いポリシーを適用することもできます。
  • 組織が利用可能であれば、組織の表示に必要な Cloud IAM 権限がなくとも、プロジェクトと請求先アカウントを作成できます。表示されない場合でも、これらは組織リソースの下に自動的に作成されます。

組織 ID の取得

組織 ID は、組織を一意に表す識別子で、組織リソースが作成されると自動的に作成されます。組織 ID は 10 進数の形式で、ゼロで始まることはありません。

組織 ID は、Cloud Console、gcloud ツール、または Resource Manager API のいずれかを使用して取得できます。

Console


Cloud Console を使用して組織 ID を取得するには:

  1. Cloud Console に移動:

    Cloud Console に移動

  2. ページ上部にある [プロジェクトの選択] プルダウン リストをクリックします。
  3. 表示された [選択元] ウィンドウで、組織プルダウン リストをクリックして、組織を選択します。
  4. 右側にある [さらに表示] をクリックし、[設定] をクリックします。

[設定] ページに組織の ID が表示されます。

gcloud


組織 ID を調べるには、次のコマンドを実行します。

gcloud organizations list

このコマンドは、自分が属するすべての組織と、それらに対応する組織 ID をリスト表示します。

API


Resource Manager API を使用して組織 ID を確認するには、フィルタ domain:[company.com] を設定して organizations.search() メソッドを呼び出します。レスポンスには、組織 ID などの組織リソースのメタデータが含まれます。

組織を設定する

G Suite や Cloud Identity のユーザーには組織リソースが自動的に提供されます。

G Suite や Cloud Identity の特権管理者が、作成時に組織にアクセスする最初のユーザーとなります。他のユーザーまたはグループはすべて、以前と同じように GCP を使用できます。組織リソースの表示はできますが、適切な権限が設定されるまで、組織リソースの変更はできません。

G Suite や Cloud Identity の特権管理者と GCP 組織管理者は、設定プロセスで重要な役割となります。また、組織リソースのライフサイクル管理でも重要な役割となります。組織の構造やニーズによっても変わりますが、通常、この 2 つの役割は別々のユーザーまたはグループに割り当てられます。

GCP 組織の設定で担う G Suite や Cloud Identity の特権管理者の責任は次のとおりです。

  • 一部のユーザーに組織管理者の役割を割り当てる
  • 復旧に関する連絡窓口になる
  • G Suite や Cloud Identity のアカウントと組織リソースのライフサイクルを管理する(詳しくは、組織リソースを削除するをご覧ください)。

組織管理者は IAM 役割を他のユーザーに割り当てることができます。組織管理者の業務は次のとおりです。

  • IAM ポリシーを定義する
  • リソース階層の構造を決める
  • IAM 役割を使用して、ネットワーキング、請求、リソース階層などの重要な機能の権限を委譲する

最小権限を付与するという原則に従い、この役割には、フォルダの作成などその他のアクションを実行する権限が付与されていません。これらの権限を取得するには、組織管理者がアカウントに追加の役割を割り当てる必要があります。

2 つの別々の役割を用意することで、G Suite や Cloud Identity の特権管理者と GCP 組織管理者の責任範囲を明確に分離しています。2 つの Google サービスをお客様の組織の異なる部門で管理する場合、この機能が必須になります。

組織リソースの使用を開始するには、以下の手順に従って組織管理者を追加します。

組織管理者を追加する

Console

組織管理者を追加するには:

  1. Google Cloud Console に G Suite または Cloud Identity の特権管理者としてログインし、[IAM と管理] ページに移動します。

    [IAM と管理] ページを開く

  2. 編集する組織を選択します。

    1. ページの上部にあるプロジェクトのプルダウン リストをクリックします。

    2. [選択元] ダイアログで組織プルダウン リストをクリックし、組織管理者を追加する組織を選択します。

    3. 表示されたリストで組織をクリックして、IAM 権限ページを開きます。

  3. [追加] をクリックして、組織管理者として設定するユーザーのメールアドレスを入力します。複数のユーザーのアドレスも入力できます。

  4. [役割を選択] プルダウン リストで、[Resource Manager] > [組織管理者] を選択し、[保存] をクリックします。

    組織管理者は次を行えます。

    • 組織を完全に管理する。G Suite または Cloud Identity の特権管理者と Google Cloud 管理者の責任範囲を分離する。

    • 関連する Cloud IAM 役割を割り当てることで、重要な機能に対する権限を委譲する。

組織リソースを取得するで説明したように、デフォルトでは、組織の作成時にドメインのすべてのユーザーにプロジェクト作成者と請求先アカウント作成者の役割が組織レベルで付与されます。これにより、組織リソースを作成しても GCP ユーザーに影響を及ぼすことはありません。組織管理者が管理を行うので、これらの組織レベルの権限を削除し、より細かい単位(フォルダまたはプロジェクト レベル)でアクセスをロックダウンできます。IAM ポリシーは階層で継承されます。ドメイン全体(domain:mycompany.com)に組織レベルでポリシー作成者の役割を割り当てると、ドメイン内のユーザーは階層内で位置に関係なく、プロジェクトを作成できます。

組織にプロジェクトを作成する

Console


ドメインで組織リソースが有効になると、Cloud Console を使用して組織内でプロジェクトを作成できます。

組織で新しいプロジェクトを作成するには:

  1. Cloud Console の [リソースの管理] ページに移動します。
    [リソースの管理] ページに移動
  2. ページの上部にある「組織の選択」プルダウン リストで、プロジェクトを作成する組織を選択します。無料トライアルをご使用の場合はこのリストが表示されないため、この手順はスキップしてください。
  3. [プロジェクトを作成] をクリックします。
  4. 表示される [新しいプロジェクト] ウィンドウで、プロジェクト名を入力し、該当する請求先アカウントを選択します。プロジェクト名には文字、数字、単一引用符、ハイフン、スペース、感嘆符のみを使用でき、4~30 文字にする必要があります。
  5. プロジェクトをフォルダに追加する場合は、[場所] ボックスに該当するフォルダ名を入力します。
  6. 新しいプロジェクトの詳細を入力し終えたら、[作成] をクリックします。

API


組織内に新しいプロジェクトを作成するには、project作成し、parent フィールドを組織の organizationId に設定します。

次のコード スニペットは、組織内でプロジェクトを作成する方法を示します。

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

組織内のプロジェクトを表示する

ユーザーが表示または一覧表示できるのは、IAM 役割でアクセスが許可されているプロジェクトだけです。組織管理者は、組織内のすべてのプロジェクトを表示または一覧表示できます。

Console


Cloud Console を使用して組織内のすべてのプロジェクトを表示するには:

  1. Google Cloud Console に移動します。

    Google Cloud Console に移動

  2. ページの上部にある [組織] をクリックします。

  3. 組織を選択します。

  4. ページの上部にある [プロジェクト] をクリックし、[プロジェクトをさらに表示] をクリックします。組織に含まれるすべてのプロジェクトがページに表示されます。

[組織] で [組織なし] オプションを指定すると、次のプロジェクトがリスト表示されます。

  • まだ組織に属していないプロジェクト。
  • ユーザーがアクセスできるプロジェクトのうち、ユーザーがアクセスできない組織に属しているプロジェクト。

gcloud


組織に含まれるすべてのプロジェクトを表示するには、次のコマンドを実行します。

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


組織のすべてのプロジェクトを一覧表示するには、次のコード スニペットのように projects.list() メソッドを使用します。

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

組織リソースを削除する

組織リソースは、G Suite または Cloud Identity アカウントに関連付けられています。

組織リソースを使用しない場合は、次の手順で、組織の IAM ポリシーを元の状態に戻すことをおすすめします。

  1. ドメインを Project CreatorBilling Account Creator の役割に追加します。
  2. 組織の IAM ポリシーで、それ以外の項目をすべて削除します。

これにより、ユーザーがプロジェクトと請求先アカウントを作成しても、G Suite や Cloud Identity の特権管理者が後で一元的に管理できます。

G Suite アカウントを削除すると、組織とそのアカウントに関連付けられているすべてのリソースが削除されます。そのため、組織を削除する場合は、G Suite アカウントを削除してください。Cloud Identity ユーザーの場合は、他の Google サービスをすべてキャンセルしてから Google アカウントを削除してください。これは、完全に元に戻すことができない可能性がある非常にダメージの大きなアクションであるため、アクティブに使用されているリソースがないことが確実な場合にのみ行うことをおすすめします。