組織設定ウィザードを使用すると、組織リソースの管理を確立し、委任することが簡単にできます。また、既存のプロジェクトと請求先アカウントを新しい組織リソースに移行することもできます。
組織設定ウィザードを開始するには:
組織リソースを取得します。詳しい手順については、組織リソースを取得するをご覧ください。
Google Cloud 組織リソースの組織管理者、課金管理者、ネットワーク管理者を割り当てます。詳しい手順については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。
移行プロセスを開始するには:
プロジェクト オーナーにプロジェクトおよび請求先移行リクエストを送信します。
プロジェクト オーナーが移行リクエストを確認するのを待ちます。
プロジェクトおよび請求先アカウントの移行を承認します。
このガイドでは、Google Cloud 設定ウィザードを使用してプロジェクトと請求先アカウントを移行する方法について説明します。Resource Manager の使用の詳細については、プロジェクトの移行をご覧ください。
プロジェクトまたは請求先アカウントを組織リソースに関連付けると、組織リソース内のすべてのリソースを集中管理できます。詳細については、組織リソースのメリットをご覧ください。
以下のセクションでは、上記の手順を詳細に説明します。
既存のプロジェクトと請求先アカウントを移行する
ドメイン用に組織リソースが作成されると、その組織リソースの下に作成されたすべてのプロジェクトは自動的にその組織リソースに属します。既存のプロジェクトを組織リソースに移行することもできます。
プロジェクトのオーナーまたは編集者であると同時に、組織リソースのプロジェクト作成者でもある場合は、プロジェクトを直接移行できます。
組織管理者は、プロジェクト オーナーに対して、プロジェクトの制御を委任するよう要求できます。これにより、プロジェクトを組織リソースに移行できるようになります。
プロジェクトの移行を元に戻すことはできません。プロジェクトが組織リソースに関連付けられた後は、ユーザーが自分でプロジェクトを [組織なし] に戻すことや、別の組織に移動することはできません。組織リソースに関連付けられた後でプロジェクトを移動する必要がある場合は、Google Cloud Premium サポートまでご連絡ください。
プロジェクトを組織リソースに移行すると、組織管理者はプロジェクトの管理権限を持つようになり、プロジェクトは Cloud Identity and Access Management(Cloud IAM)と組織のポリシーを継承します。詳しくは、IAM ポリシーの影響をご覧ください。
既存のプロジェクトを組織リソースに移動すると、移行前と同様に請求されます。これはプロジェクトの請求先アカウントがまだ移行されていない場合でも同じです。同様に、請求先アカウントを組織リソースに移行させた場合、請求先アカウントにリンクされたすべてのプロジェクトは、その組織リソースの外にあっても機能し続けます。新しくインポートしたプロジェクトは、いつでも組織リソース内の新規または既存の請求先アカウントにリンクでき、プロジェクトの機能は中断されません。
特権管理者用の組織リソースの設定
組織リソースを作成する
Google Cloud の管理者を委任し、プロジェクトと請求先アカウントを移行する前に、組織リソースを用意しておく必要があります。組織リソースを取得するには、Google Workspace または Cloud Identity に申し込み、ドメインの所有権を確認して、そのアカウントを使用してプロジェクトを作成します。プロジェクトが作成されると、組織リソースが自動的にプロビジョニングされます。組織リソースの取得の詳細については、組織リソースを取得するをご覧ください。
Google Cloud 管理者の委任
Google Cloud 管理者を委任するには:
「Welcome to [ORGANIZATION_NAME] at Google Cloud」メールで [コンソールに移動] をクリックするか、Google Cloud コンソールで [組織の設定] ページに移動します。
[組織の設定] ページで、[設定を委任] をクリックします。
[組織管理者の役割の委任] ページが表示されるので、組織管理者として追加する個人またはグループのメールアドレスを入力します。
組織管理者の追加が完了したら、[委任する] をクリックします。
入力したメールアドレスに、指定した個人またはグループが Google Cloud 組織の組織管理者になったことを通知するメールが届きます。
後から管理者を追加するには、[ID と組織] ページで [権限を設定] をクリックします。
Google Cloud 管理者の移行
Google Workspace または Cloud Identity アカウントのユーザーが組織設定プロセスにより組織管理者ロールを委任すると、メール通知が送信されます。組織リソースの設定時に、他の組織、請求先、ネットワーク管理者に権限を割り当てることができます。管理者として割り当てた個人にはメールが送信されません。
プロジェクトや請求先アカウントの移行を要求するには、プロジェクト作成者の役割が必要です。デフォルトでは、ドメイン内のすべてのユーザーにこの役割が付与されます。この既定の動作の変更と、ユーザーへのこの役割の付与については、デフォルトの組織役割の管理をご覧ください。
プロジェクトと請求先アカウントの移行
プロジェクトまたは請求先アカウントを他のユーザー アカウントから移行するには、まずオーナーに移行の承認をリクエストします。オーナーは、リクエストを確認してプロジェクトや請求先アカウントの移行を承認するよう求める通知を受け取ります。プロジェクト オーナーはこのリクエストを無視することもできます。リクエストは 30 日が経過すると失効します。元のリクエストが失効しているか、保留中の場合は、もう一度移行をリクエストできます。オーナーがプロジェクトや請求先アカウントの移行を承認すると、通知が送信されるため、移行対象を選択します。
プロジェクト移行や請求先アカウント移行のリクエスト
Google Cloud Console の [ID と組織] ページに移動します。
[プロジェクトまたは請求先アカウントのリクエスト] ボックスで、プロジェクトのリクエスト先となる請求先アカウントまたはプロジェクトのオーナーのメールアドレスを入力してから、[リクエスト] をクリックします。
請求先アカウントまたはプロジェクトのオーナーに、移行のリクエストが記載されたメールが送信されます。オーナーが移行を承認すると、組織管理者に、移行を完了するためのリンクが記載されたメールが送信されます。
移行リクエストの承認を待つ
プロジェクトまたは請求先アカウントの移行をリクエストすると、プロジェクトまたは請求先アカウントのオーナーにそのリクエストが送信されます。受信者は、プロジェクトを選択して移行を設定できます。リクエストの有効期間は最大 30 日間です。30 日後にリクエストが期限切れとなるため、未処理のプロジェクトまたは請求先アカウントを対象とする新しい移行リクエストを送信する必要があります。
プロジェクトまたは請求先アカウントのオーナーが移行リクエストを確認すると、メールが送信され、Google Cloud コンソールに通知が表示されます。移行を承認するには、次の手順に進みます。
プロジェクトと請求先アカウントの移行を承認する
オーナーが移行リクエストを承認すると、プロジェクト オーナーが移行リクエストに応答したことを伝えるメールがプラットフォーム通知から送信され、Google Cloud コンソールに通知が表示されます。
プロジェクトの移行先となる組織リソースでプロジェクト作成者、請求先アカウント作成者、組織管理者の役割が必要です。移行を完了するには:
メールで [移行] をクリックするか、Google Cloud コンソールで [プロジェクトの移行] ページに移動します。
[プロジェクトの選択] タブと [請求先アカウントの選択] タブで、移行するプロジェクトと請求先アカウントの組み合わせを選択し、[次へ] をクリックします。
[確認して承認] タブに、移行対象として選択したすべてのプロジェクトと請求先アカウントのリストが表示されます。
移行を完了するには、[承認] をクリックします。
移行対象として選択したプロジェクトまたは請求先アカウントが、組織リソースに関連付けられます。移行しなかったプロジェクトや請求先アカウントは、[組織なし] リストに残ります。これらのプロジェクトに対するプロジェクト移動の IAM ロールと、これらの請求先アカウントに対する請求先アカウント管理者の役割はそのまま残ります。Google Cloud コンソールの [プロジェクトの移行] ページに戻って、これらのプロジェクトと請求先アカウントの移行を承認できます。
移行したプロジェクトは、請求先アカウントの移行が完了していなくても、移行前と同様に請求されます。同様に、請求先アカウントの移行が完了している場合、請求先アカウントにリンクされたすべてのプロジェクトは、その組織リソースの外にあっても機能し続けます。
移行リクエストの確認
組織管理者がプロジェクトまたは請求先アカウントを組織に移行するようリクエストすると、「移行リクエスト」メールが届きます。移行を承認すると、組織管理者に次の役割が付与されます。
プロジェクト:
role/project.mover
- プロジェクト移動のロールでは、プロジェクトをインポートして、それらのプロジェクトの IAM 権限を変更できます。
請求先アカウント:
roles/billing.admin
- 請求管理者のロールでは、請求先アカウントをインポートして、それらのプロジェクトの IAM 権限を変更できます。
組織管理者が移行を承認すると、組織管理者はプロジェクトの IAM ロールを変更できるようになり、プロジェクトは既存の組織のポリシーを継承します。詳しくは、IAM ポリシーの影響をご覧ください。
リクエストを確認するには、次の手順を実行します。
メールで [リクエストの確認] をクリックして、[移行リクエストの確認] ページを開きます。
[プロジェクトの選択] タブと [請求先アカウントの選択] タブで、組織リソースに移行するプロジェクトと請求先アカウントの組み合わせを選択し、[次へ] をクリックします。プロジェクトのリストが入力されるまでに最大 5 分かかります。
[確認] タブには、移行に関する以下の詳細が表示されます。
プロジェクト移動と請求管理者の役割を付与する対象となる組織管理者のメールアドレス。
移行対象として選択したすべてのプロジェクトと請求先アカウントの確認リスト。
移行を完了するには、移行リクエストを行ったエンティティのメールアドレスを入力し、[確認] をクリックします。
移行対象として選択したプロジェクトや請求先アカウントを、組織管理者が組織リソースに移行できるようになりました。
プロジェクトや請求先アカウントの移行プロセスを中止する場合、組織管理者がそのプロジェクトや請求先アカウントを組織リソースにインポートする前に実行する必要があります。移行を停止するには、プロジェクトのGoogle Cloud コンソール [IAM] ページに移動し、組織管理者からプロジェクト移動のロールまたは課金管理者のロールを削除します。
移行対象として選択されなかったプロジェクトや請求先アカウントは、[組織なし] に残ります。30 日以内であれば、「移行リクエスト」メールのリンクをクリックして移行を承認できます。30 日が経過すると移行リクエストは失効するため、組織管理者は新しい移行リクエストを送信して、確認できるようにする必要があります。
IAM ポリシーの影響
プロジェクトに対してすでに定義されている Identity and Access Management ポリシーは、プロジェクトとあわせて移行されます。そのため、移行前にプロジェクトに対する権限を持っていたユーザーは、プロジェクトの移行後も同じ権限を持つことになります。
IAM 権限は継承され、追加もできるため、組織レベルで定義された役割は、組織リソースへの移行時にプロジェクトによって継承されます。たとえば、projectAuthor@myorganization.com に組織レベルでプロジェクト編集者の役割が付与されている場合、その組織リソースに移行されたすべてのプロジェクトについても同じ役割が付与されます。既存のプロジェクトに対する影響はありませんが、継承が原因で、アクセスが可能となるユーザーが増えることになります。
組織ポリシーも下位階層に継承されます。デフォルトでは、新しく作成された組織リソースには組織のポリシーがありません。組織リソースの組織ポリシーを定義する場合は、移行するプロジェクトが組織ポリシーに適合していることを確認してください。