組織を作成、管理する

組織リソースは、Google Cloud Platform リソース階層のルートノードで、プロジェクトの階層的なスーパーノードです。このページでは、組織リソースの取得方法と管理方法について説明します。

始める前に

組織リソースの概要をお読みください。

組織リソースを取得する

組織リソースは、G Suite と Cloud Identity のユーザーが使用できます。

  • G Suite:
    • 組織リソースは、G Suite ドメインに関連付けられたユーザーが最初にプロジェクトまたは請求先アカウントを作成したときに自動的に作成されます。組織は、プロジェクトまたは請求先アカウントが子リソースとして設定された G Suite アカウントにリンクされます。G Suite ドメインで作成されたすべてのプロジェクトと請求先アカウントは、この組織の子になります。
    • 既存のプロジェクトを移行する方法については、既存のプロジェクトを移行するをご覧ください。
  • Cloud Identity:
    • 無料の Cloud Identity アカウントを使用して、組織リソースを作成できます。Cloud Identity についてをご覧ください。

1 つの G Suite または Cloud Identity アカウントに 1 つの組織が関連付けられます。

組織リソースが作成されるときに、Google は G Suite や Cloud Identity の特権管理者にリソースの可用性を通知します。組織リソースを能動的に取得するには、G Suite や Cloud Identity の特権管理者が一部のユーザーかグループに組織管理者の IAM 役割を割り当てる必要があります。組織の設定方法については、組織を設定するをご覧ください。

  • 組織を作成すると、ドメインのすべてのユーザーにプロジェクト作成者と請求先アカウント作成者の IAM 役割が組織レベルで付与されます。これにより、ドメインのユーザーはプロジェクトの作成を中断なく継続できます。
  • 組織管理者は組織の使用を開始するかどうかを判断します。デフォルトの権限を変更し、必要であれば制約の多いポリシーを適用することもできます。
  • 組織が利用可能であれば、表示に必要な Cloud IAM 権限がなくても、プロジェクトと請求先アカウントを作成できます。表示されない場合でも、これらは組織リソースの下に自動的に作成されます。

組織 ID を取得する

組織 ID は、組織を一意に表す識別子で、組織リソースが作成されると自動的に作成されます。

組織 ID を取得するには、GCP Console、gcloud ツールまたは Resource Manager API を使用します。

Console


GCP Console を使用して組織 ID を取得するには:

  1. GCP Console に移動します。

    GCP Console に移動する

  2. ページ上部にある [プロジェクトの選択] プルダウン リストをクリックします。
  3. 表示された [選択元] ウィンドウで、組織プルダウン リストをクリックして、組織を選択します。
  4. 右側にある [詳細] をクリックし、[設定] をクリックします。

[設定] ページに組織の ID が表示されます。

gcloud


組織 ID を調べるには、次のコマンドを実行します。

gcloud organizations list

このコマンドは、自分が属するすべての組織と、それらに対応する組織 ID をリスト表示します。

API


Resource Manager API で組織 ID を調べるには、organizations.search() メソッドで domain:[company.com] フィルタを使用します。レスポンスには、組織 ID などの組織リソースのメタデータが含まれます。

組織を設定する

G Suite や Cloud Identity のユーザーには組織リソースが自動的に提供されます。

G Suite や Cloud Identity の特権管理者が、作成時に組織にアクセスする最初のユーザーとなります。他のユーザーまたはグループはすべて、以前と同じように GCP を使用できます。組織リソースの表示はできますが、適切な権限が設定されるまで、組織リソースの変更はできません。

G Suite や Cloud Identity の特権管理者と GCP 組織管理者は、設定プロセスで重要な役割となります。また、組織リソースのライフサイクル管理でも重要な役割となります。組織の構造やニーズによっても変わりますが、通常、この 2 つの役割は別々のユーザーまたはグループに割り当てられます。

GCP 組織の設定で担う G Suite や Cloud Identity の特権管理者の責任は次のとおりです。

  • 一部のユーザーに組織管理者の役割を割り当てる
  • 復旧に関する連絡窓口になる
  • G Suite や Cloud Identity のアカウントと組織リソースのライフサイクルを管理する(詳しくは、組織リソースを削除するをご覧ください)。

組織管理者は IAM 役割を他のユーザーに割り当てることができます。組織管理者の業務は次のとおりです。

  • IAM ポリシーを定義する
  • リソース階層の構造を決める
  • IAM 役割を使用して、ネットワーキング、請求、リソース階層などの重要な機能の権限を委譲する

最小権限を付与するという原則に従い、この役割には、フォルダの作成などその他のアクションを実行する権限が付与されていません。これらの権限を取得するには、組織管理者がアカウントに追加の役割を割り当てる必要があります。

2 つの別々の役割を用意することで、G Suite や Cloud Identity の特権管理者と GCP 組織管理者の責任範囲を明確に分離しています。2 つの Google サービスを顧客の組織の異なる部門で管理する場合、この機能が必須になります。

組織リソースの使用を開始するには、以下の手順に従って組織管理者を追加します。

組織管理者を追加する

Console

組織管理者を追加するには:

  1. Google Cloud Platform Console に G Suite または Cloud Identity の特権管理者としてログインし、[IAM と管理] ページに移動します。

    [IAMと管理] ページを開く

  2. 編集する組織を選択します。

    1. ページの上部にある [プロジェクトの選択] プルダウン リストをクリックします。

    2. 表示された [選択元] ダイアログで、組織プルダウン リストをクリックして、組織管理者を追加する組織を選択します。

    3. 表示されたリストで組織をクリックして、[IAM 権限] ページを開きます。

  3. [追加] をクリックして、組織管理者として設定するユーザーのメールアドレスを入力します。複数のユーザーのアドレスも入力できます。

  4. [役割を選択] プルダウン リストで、[Resource Manager] > [組織の管理者] の順に選択し、[追加] をクリックします。

  5. 組織管理者は組織のすべてを管理できます。また、G Suite や Cloud Identity の特権管理者と GCP 管理者の責任範囲が分離されます。

  6. 組織管理者は、関連する Cloud IAM 役割を割り当てることで、重要な機能に対する権限を委譲できます。

組織リソースを取得するで説明したように、デフォルトでは、組織の作成時にドメインのすべてのユーザーにプロジェクト作成者と請求先アカウント作成者の役割が組織レベルで付与されます。これにより、組織リソースを作成しても GCP ユーザーに影響を及ぼすことはありません。組織管理者が管理を行うので、これらの組織レベルの権限を削除し、より細かい単位(フォルダまたはプロジェクト レベル)でアクセスをロックダウンできます。IAM ポリシーは階層で継承されます。ドメイン全体(domain:mycompany.com)に組織レベルでポリシー作成者の役割を割り当てると、ドメイン内のユーザーは階層内で位置に関係なく、プロジェクトを作成できます。

組織にプロジェクトを作成する

Console


ドメインで組織リソースが有効になると、GCP Console を使用して組織にプロジェクトを作成できます。

組織で新しいプロジェクトを作成するには:

  1. GCP Console の [リソースの管理] ページに移動します。
    [リソースの管理] ページに移動
  2. ページの上部にあるプルダウンから、プロジェクトを作成する組織を選択します。
  3. [プロジェクトを作成] をクリックします。
  4. 表示された [新しいプロジェクト] ウィンドウで、プロジェクト名を入力し、該当する請求先アカウントを選択します。
  5. プロジェクトをフォルダに追加する場合は、[場所] ボックスに該当するフォルダ名を入力します。
  6. 新しいプロジェクトの詳細を入力し終えたら、[作成] をクリックします。

API


組織内に新しいプロジェクトを作成するには、project作成し、parent フィールドを組織の organizationId に設定します。

次のコード スニペットは、組織内でプロジェクトを作成する方法を示します。

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

組織内のプロジェクトを表示する

ユーザーが表示または一覧表示できるのは、IAM 役割でアクセスが許可されているプロジェクトだけです。組織管理者は、組織内のすべてのプロジェクトを表示または一覧表示できます。

Console


GCP Console を使用して、組織に含まれるすべてのプロジェクトを表示するには:

  1. Google Cloud Platform Console に移動します。

    Google Cloud Platform Console に移動

  2. ページの上部にある [組織] をクリックします。

  3. 組織を選択します。

  4. ページの上部にある [プロジェクト] をクリックし、[プロジェクトをさらに表示] をクリックします。組織に含まれるすべてのプロジェクトがページに表示されます。

[組織] で [組織なし] オプションを指定すると、次のプロジェクトがリスト表示されます。

  • まだ組織に属していないプロジェクト。
  • ユーザーがアクセスできるプロジェクトのうち、ユーザーがアクセスできない組織に属しているプロジェクト。

gcloud


組織に含まれるすべてのプロジェクトを表示するには、次のコマンドを実行します。

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


組織のすべてのプロジェクトを一覧表示するには、次のコード スニペットのように projects.list() メソッドを使用します。

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

組織リソースを削除する

組織リソースは、G Suite または Cloud Identity アカウントに関連付けられています。

組織リソースを使用しない場合は、次の手順で、組織の IAM ポリシーを元の状態に戻すことをおすすめします。

  1. ドメインを Project CreatorBilling Account Creator の役割に追加します。
  2. 組織の IAM ポリシーで、それ以外の項目をすべて削除します。

これにより、ユーザーがプロジェクトと請求先アカウントを作成しても、G Suite や Cloud Identity の特権管理者が後で一元的に管理できます。

組織とそれに関連するすべてのリソースを削除する場合は、G Suite アカウントを削除します。Cloud Identity ユーザーの場合は、他の Google サービスをすべてキャンセルしてから Google アカウントを削除してください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Resource Manager のドキュメント