組織を作成および管理する

組織リソースは、Google Cloud Platform リソース階層のルートノードで、プロジェクトの階層的なスーパーノードです。このページでは、組織リソースの取得方法と管理方法について説明します。

始める前に

組織リソースの概要をお読みください。

組織リソースを取得する

組織リソースは、G Suite と Cloud Identity の両方のユーザーが使用できます。

  • G Suite:
    • ドメイン内のユーザーがプロジェクトを初めて作成すると、組織リソースが自動的に作成され、会社の G Suite アカウントに関連付けられます。現在のプロジェクトだけでなく、今後作成するプロジェクトも自動的に組織に所属します。
    • 事前に存在するプロジェクトは、ガイドラインに沿って移行させる必要があります。
  • Cloud Identity: 無料の Cloud Identity アカウントを使用して、組織リソースを作成できます。Cloud Identity についての記事をご覧ください。

組織リソースが作成されるときに、Google は G Suite や Cloud Identity の特権管理者にリソースの可用性を通知します。組織リソースを能動的に取得するには、G Suite や Cloud Identity の特権管理者が一部のユーザーに組織管理者の IAM 役割を割り当てる必要があります。組織の設定方法については、組織を設定するをご覧ください。

デフォルトでは、組織を作成すると、ドメイン全体にプロジェクト作成者と請求先アカウント作成者の IAM 役割が組織レベルで付与されます。これにより、ドメイン内のユーザーは以前と同様にプロジェクトを作成できるようになります。

組織管理者は組織の使用を開始するかどうかを判断します。デフォルトの権限を変更し、必要であれば制約の多いポリシーを適用することもできます。

組織が利用可能でも、IAM 権限がなければ表示されません。この場合でもプロジェクトや請求先アカウントの作成は可能です。表示されない場合でも、これらは組織リソースに自動的に作成されています。

組織 ID を取得する

組織 ID は、組織を一意に表す識別子で、組織リソースが作成されると自動的に作成されます。

組織 ID を確認するには、Cloud Platform Console、gcloud ツールまたは Google Cloud Resource Manager API を使用します。

コンソール


Cloud Platform Console を使用して組織 ID を調べるには:

  1. Google Cloud Platform Console に移動します。

    Google Cloud Platform Console に移動する

  2. ページの上部にある [組織] をクリックします。

  3. [組織] で組織を選択してから、[設定] を選択します。組織 ID が [設定] ページに表示されます。

gcloud


組織 ID を調べるには、次のコマンドを実行します。

gcloud organizations list

このコマンドは、自分が属するすべての組織と、それらに対応する組織 ID をリスト表示します。

API


Resource Manager API で組織 ID を調べるには、organizations.search() メソッドでフィルタ domain:[company.com] を使用します。レスポンスには、組織 ID などの組織リソースのメタデータが含まれます。

組織を設定する

G Suite や Cloud Identity のユーザーには組織リソースが自動的に提供されます。

G Suite や Cloud Identity の特権管理者が、作成時に組織にアクセスする最初のユーザーとなります。他のすべてのユーザーは以前と同じように GCP を使用できます。組織リソースの表示はできますが、適切な権限が設定されるまで、組織リソースの変更はできません。

G Suite や Cloud Identity の特権管理者と GCP 組織管理者は、設定プロセスで重要な役割となります。また、組織リソースのライフサイクル管理でも重要な役割となります。組織の構造やニーズによっても変わりますが、通常、この 2 つの役割は別々のユーザーに割り当てられます。

GCP 組織の設定で担う G Suite や Cloud Identity の特権管理者の責任は次のとおりです。

  • 一部のユーザーに組織管理者の役割を割り当てる
  • 復旧に関する連絡窓口になる
  • G Suite や Cloud Identity のアカウントと組織リソースのライフサイクルを管理する(詳しくは、組織リソースを削除するをご覧ください)。

組織管理者は IAM 役割を他のユーザーに割り当てます。最小権限を付与するという原則に従い、デフォルトでは、組織管理者に他の権限が付与されていません。ただし、必要に応じて役割を割り当てることができます。組織管理者の責任は次のとおりです。

  • IAM ポリシーを定義する
  • リソース階層の構造を決める
  • IAM 役割を使用して、ネットワーキング、請求、リソース階層などの重要な機能の権限を委譲する

2 つの別々の役割を用意することで、G Suite や Cloud Identity の特権管理者と GCP 組織管理者の責任範囲を明確に分離しています。2 つの Google プロダクトを顧客の組織の異なる部門で管理する場合、この機能が必須になります。

組織リソースの使用を開始するには、次の操作を行う必要があります。

コンソール


組織管理者を追加するには:

  1. G Suite または Cloud Identity の特権管理者として Google Cloud Platform Console にログインします。

    Google Cloud Platform Console に移動する

  2. 組織の [IAM と管理] セクションに移動し、[Resource Manager] -> [Organization Manager] の役割をドメイン内の 1 人以上のユーザーに割り当てます。詳しくは、組織管理者の追加方法をご覧ください。

  3. この段階で、組織管理者は組織のすべてを管理できます。また、G Suite や Cloud Identity の特権管理者と GCP 管理者の責任範囲が分離されます。

  4. 組織管理者は、関連する IAM 役割を割り当てることで、重要な機能に対する権限を委譲できます。

組織リソースを取得するで説明したように、デフォルトでは、組織の作成時にドメイン全体にプロジェクト作成者と請求先アカウント作成者の役割が組織レベルで付与されます。これにより、組織リソースを作成しても GCP ユーザーに影響を及ぼすことはありません。組織管理者が管理を行うので、これらの組織レベルの権限を削除し、より細かい単位(フォルダまたはプロジェクト レベル)でアクセスをロックダウンできます。IAM ポリシーは階層で継承されます。ドメイン全体(domain:mycompany.com)に組織レベルでポリシー作成者の役割を割り当てると、ドメイン内のユーザーは階層内で位置に関係なく、プロジェクトを作成できます。

組織にプロジェクトを作成する

コンソール


ドメインに対して組織リソースが有効になると、Cloud Platform Console を使用して組織内でプロジェクトを作成できます。

組織で新しいプロジェクトを作成するには:

  1. Google Cloud Platform Console に移動します。

    Google Cloud Platform Console に移動する

  2. 上部のバーにあるプルダウンをクリックして、プロジェクト選択ダイアログを表示します。デフォルトでは、現在表示しているプロジェクトがあれば、その名前が表示されます。
  3. 表示された [選択] ダイアログで、右側にある [プロジェクトを作成] をクリックします。[プロジェクトを作成] ボタン
  4. [新しいプロジェクト] ウィンドウで、プロジェクト名を入力し、該当する請求先アカウントと組織を選択します。
  5. 新しいプロジェクトの詳細を入力し終えたら、[作成] をクリックします。

API


組織内に新しいプロジェクトを作成するには、project作成し、その parent フィールドを組織の organizationId に設定します。

次のコード スニペットは、組織内でプロジェクトを作成する方法を示します。

...

project = crm.projects().create(
    body={
        'project_id': flags.projectId,
        'name': 'My New Project',
        'parent': {
            'type': 'organization',
            'id': flags.organizationId
         }
}).execute()

...

組織内のプロジェクトを表示する

ユーザーが表示または一覧表示できるのは、IAM 役割でアクセスが許可されているプロジェクトだけです。組織管理者は、組織内のすべてのプロジェクトを表示または一覧表示できます。

コンソール


Cloud Platform Console を使用して、組織に含まれるすべてのプロジェクトを表示するには:

  1. Google Cloud Platform Console に移動します。

    Google Cloud Platform Console に移動する

  2. ページの上部にある [組織] をクリックします。

  3. 組織を選択します。

  4. ページの上部にある [プロジェクト] をクリックし、[プロジェクトをさらに表示] をクリックします。組織に含まれるすべてのプロジェクトがページに表示されます。

[組織] で [組織なし] オプションを指定すると、次のプロジェクトがリスト表示されます。

  • まだ組織に属していないプロジェクト。
  • ユーザーがアクセスできるプロジェクトのうち、ユーザーがアクセスできない組織に属しているプロジェクト。

gcloud


組織に含まれるすべてのプロジェクトを表示するには、次のコマンドを実行します。

gcloud projects list --filter 'parent.id=[ORGANIZATION_ID] AND \
    parent.type=organization'

API


組織に含まれるすべてのプロジェクトを表示するには、次のコード スニペットのように projects.list() メソッドを使用します。

...

filter = 'parent.type:organization parent.id:%s' % flags.organizationId
projects = crm.projects().list(filter=filter).execute()

...

組織リソースを削除する

組織リソースは、G Suite または Cloud Identity アカウントに関連付けられています。

組織リソースを使用しない場合には、次の方法で組織の IAM ポリシーを元の状態に戻すことをおすすめします。

  1. ドメインを Project Creator 役割と Billing Account Creator 役割に追加します。
  2. 組織の IAM ポリシーで、それ以外の項目をすべて削除します。

これにより、ユーザーがプロジェクトと請求先アカウントを作成しても、G Suite や Cloud Identity の特権管理者が必要に応じて後で一元的に管理することができます。

組織と関連するすべてのリソースを削除する場合には、G Suite または Cloud Identity アカウントを削除します。

フィードバックを送信...

Google Cloud Resource Manager ドキュメント
Google Cloud Resource Manager ドキュメント