プロジェクトの移動

このガイドでは、組織リソース内でプロジェクトを移動する方法について説明します。

プロジェクト リソースは、Google Cloud 組織リソースでの基本レベルの構成エンティティです。プロジェクトは組織リソースの下に作成され、フォルダまたは組織リソース自体の下に配置でき、リソース階層を形成します。プロジェクト リソースをリソース階層内で移動することはできますが、移動を行う前に、ポリシーの違いを考慮する必要があります。

プロジェクトを移動すると、Identity and Access Management ポリシーまたは直接接続されている組織のポリシーがすべてそのプロジェクトとともに移動します。ただし、リソース階層のプロジェクトは、親リソースから継承するポリシーの影響も受けます。特定のサービスを使用する権限をユーザーに付与する IAM ロールがプロジェクトから継承されている場合、エクスポート先で権限を継承しない限り、ユーザーはエクスポート先でそのサービスにアクセスできません。

たとえば、サービス アカウントでフォルダ A のユーザーにストレージのオブジェクト作成者のロールがバインドされているとします。サービス アカウントには、フォルダ A 内の任意のプロジェクトで Cloud Storage にデータをアップロードする権限があります。同じ継承された権限を持たないいずれかのプロジェクトをフォルダ B に移動すると、そのプロジェクトのサービス アカウントはデータのアップロード権限を失い、結果的にサービスが停止します。

移動元と移動先のフォルダで組織のポリシーが定義されている場合も同様です。IAM ポリシーと同じように、組織ポリシーも継承されます。したがって、移動元と移動先のフォルダで組織のポリシーが一致していなければなりません。

組織のポリシーの詳細については、組織ポリシー サービスの概要をご覧ください。

プロジェクトを移動するには、移動元と移動先の両方のフォルダでプロジェクト移動の IAM ロール（roles/resourcemanager.projectMover）が必要です。リソースがフォルダ内にない場合は、組織リソースでこのロールが必要です。

これらのロールにより、次の必要な権限が与えられます。

• プロジェクトに対する resourcemanager.projects.update
• リソースがフォルダにある場合: 移動元フォルダと宛先のresourcemanager.projects.move
• リソースがフォルダ内にない場合: 組織リソースのresourcemanager.projects.move

カスタムロールまたは他の事前定義ロールを使用してこれらの権限を取得することもできます。

gcloud beta projects move PROJECT_ID \
--DESTINATION_TYPE DESTINATION_ID

POST https://cloudresourcemanager.googleapis.com/v3/{name=PROJECT_NAME}:move
{
  "destinationParent": DESTINATION_PARENT
}