組織設定ウィザード

は、

組織設定ウィザードを使用すると、組織の管理を確立し、委任することが簡単にできます。また、既存のプロジェクトと請求先アカウントを新しい組織に移行することもできます。

組織設定ウィザードの使用を開始するには:

  1. G Suite または Cloud Identity を使用して組織を作成します。

  2. GCP 組織に組織、請求先、およびネットワーク管理者を割り当てます。

移行プロセスを開始するには:

  1. 既存のオーナーにプロジェクトおよび請求先移行リクエストを送信します。

  2. 既存のオーナーが移行リクエストを確認するまで待ちます。

  3. プロジェクトおよび請求先アカウントの移行を承認します。

このガイドでは、Google Cloud Platform の設定ウィザードを使用してプロジェクトおよび請求先アカウントを移行する方法について説明します。Resource Manager の使用の詳細については、組織に既存のプロジェクトを移行するをご覧ください。

プロジェクトまたは請求先アカウントを組織に関連付けると、組織内のすべてのリソースを集中管理できます。詳細については、組織リソースのメリットをご覧ください。

以下のセクションでは、上記の手順を詳細に説明します。

既存のプロジェクトと請求先アカウントを移行する

ドメイン用に組織リソースが作成されると、その組織の下に作成されたすべてのプロジェクトは自動的にその組織に属します。既存のプロジェクトを組織に移行することもできます。

  • プロジェクトのオーナーまたは編集者であると同時に、組織のプロジェクト作成者でもあるユーザーは、プロジェクトを直接移行できます。

  • 組織管理者は、プロジェクト オーナーに対して、プロジェクトの制御を委任するよう要求できます。これにより、プロジェクトを組織に移行できるようになります。

プロジェクトの移行を元に戻すことはできません。プロジェクトが組織に関連付けられた後は、ユーザーが自分でプロジェクトを [組織なし] に戻したり、別の組織に移動したりすることはできません。組織に関連付けられたプロジェクトの移動が必要となる場合は、GCP Premium サポートに連絡する必要があります。

プロジェクトを組織に移行すると、組織管理者はプロジェクトの管理権限を持つようになり、プロジェクトは Cloud Identity and Access Management(Cloud IAM)と組織のポリシーを継承します。詳しくは Cloud IAM ポリシーの影響をご覧ください。

既存のプロジェクトを組織に移動すると、移行前と同様に請求されます。これはプロジェクトの請求先アカウントがまだ移行されていない場合でも同じです。同様に、請求先アカウントを組織に移行させた場合、請求先アカウントにリンクされたすべてのプロジェクトは、その組織の外にあっても機能し続けます。新しくインポートしたプロジェクトは、いつでも組織内の新規または既存の請求先アカウントにリンクできます。このとき、プロジェクトの機能は中断されません。

特権管理者用の組織設定

組織を作成する

GCP 管理者を委任してプロジェクトと請求先アカウントを移行する前に、組織リソースを作成する必要があります。G Suite または Cloud Identity に登録してドメインの所有権を確認すると、GCP 組織リソースが使用できるようになります。詳しくは組織リソースを取得するをご覧ください。

GCP 管理者を委任する

GCP 管理者を委任するには:

  1. 「GCP の [組織名] へようこそ」メールで [コンソールに移動] をクリックするか、GCP Console で [組織の設定] ページに移動します。

  2. [組織の設定] ページで、[設定を委任] をクリックします。

  3. [組織管理者の役割の委任] ページが表示されるので、組織管理者として追加する個人またはグループのメールアドレスを入力します。

  4. 組織管理者の追加が完了したら、[委任する] をクリックします。

入力したメールアドレスに、GCP 組織の組織管理者になったことを通知するメールが送信されます。

後から管理者を追加するには、[ID と組織] ページで [権限を設定] をクリックします。

GCP 管理者の移行

G Suite または Cloud Identity アカウントのユーザーが組織設定プロセスにより組織管理者の役割を委任すると、メール通知が送信されます。組織の設定時に、他の組織、請求先、ネットワーク管理者に権限を割り当てることができます。管理者として割り当てた個人にはメールが送信されません。

プロジェクトや請求先アカウントの移行を要求するには、プロジェクト作成者の役割が必要です。デフォルトでは、ドメイン内のすべてのユーザーにこの役割が付与されます。この既定の動作の変更と、ユーザーへのこの役割の付与については、デフォルトの組織役割の管理をご覧ください。

プロジェクトと請求先アカウントの移行

プロジェクトまたは請求先アカウントを他のユーザー アカウントから移行するには、まずオーナーに移行の承認をリクエストします。オーナーは、リクエストを確認してプロジェクトや請求先アカウントの移行を承認するよう求める通知を受け取ります。プロジェクト オーナーはこのリクエストを無視することもできます。リクエストは 30 日が経過すると失効します。元のリクエストが失効しているか、保留中の場合は、もう一度移行をリクエストできます。オーナーがプロジェクトや請求先アカウントの移行を承認すると、通知が送信されるため、移行対象を選択します。

プロジェクトや請求先アカウントの移行をリクエストする

  1. Google Cloud Platform Console の [ID と組織] ページに移動します。

    組織設定ウィザードの UI

  2. [プロジェクトまたは請求先アカウントのリクエスト] ボックスで、プロジェクトのリクエスト先となる請求先アカウントまたはプロジェクトのオーナーのメールアドレスを入力してから、[リクエスト] をクリックします。

    プロジェクトのリクエスト UI

請求先アカウントまたはプロジェクトのオーナーに、移行のリクエストが記載されたメールが送信されます。オーナーが移行を承認すると、組織管理者に、移行を完了するためのリンクが記載されたメールが送信されます。

移行リクエストの承認を待つ

プロジェクトまたは請求先アカウントの移行をリクエストすると、プロジェクトまたは請求先アカウントのオーナーに、リクエストが記載されたメールが送信されます。オーナーは、移行を設定するプロジェクトを選択できます。リクエストの有効期間は最大 30 日間です。30 日後にリクエストが期限切れとなるため、未処理のプロジェクトまたは請求先アカウントを対象とする新しい移行リクエストを送信する必要があります。

プロジェクトまたは請求先アカウントのオーナーが移行リクエストを確認すると、メールが送信され、GCP Console に通知が表示されます。移行を承認するには、次の手順に進みます。

プロジェクトと請求先アカウントの移行を承認する

オーナーが移行リクエストを承認すると、プラットフォーム通知から、プロジェクト オーナーが移行リクエストにレスポンスしたことを示すメールが送信され、GCP Console に通知が表示されます。

プロジェクトの移行先となる組織でプロジェクト作成者請求先アカウント作成者組織管理者の役割が必要です。移行を完了するには:

  1. メールで [移行] をクリックするか、GCP Console で [プロジェクトの移行] ページを開きます。

    [プロジェクトの移行] ページ

  2. [プロジェクトの選択] タブと [請求先アカウントの選択] タブで、移行するプロジェクトと請求先アカウントの組み合わせを選択し、[次へ] をクリックします。

  3. [確認して承認] タブに、移行対象として選択したすべてのプロジェクトと請求先アカウントのリストが表示されます。

  4. 移行を完了するには、[承認] をクリックします。

移行対象として選択したプロジェクトまたは請求先アカウントが、組織に関連付けられます。移行しなかったプロジェクトや請求先アカウントは、[組織なし] リストに残ります。これらのプロジェクトに対するプロジェクト移動の Cloud IAM 役割と、これらの請求先アカウントに対する請求先アカウント管理者の役割はそのまま残ります。GCP Console の [プロジェクトの移行] ページに戻ると、これらのプロジェクトと請求先アカウントの移行を承認できます。

移行したプロジェクトは、請求先アカウントの移行が完了していなくても、移行前と同様に請求されます。同様に、請求先アカウントの移行が完了している場合、請求先アカウントにリンクされたすべてのプロジェクトは、その組織の外にあっても機能し続けます。

移行リクエストの確認

組織管理者がプロジェクトまたは請求先アカウントを組織に移行するようリクエストすると、「移行リクエスト」メールが届きます。移行を承認すると、組織管理者に次の役割が付与されます。

  • プロジェクト: role/project.mover

    • プロジェクト移動の役割では、プロジェクトをインポートして、それらのプロジェクトの Cloud IAM 権限を変更できます。
  • 請求先アカウント: roles/billing.admin

    • 請求管理者の役割では、請求先アカウントをインポートして、それらのプロジェクトの Cloud IAM 権限を変更できます。

組織管理者が移行を承認すると、組織管理者はプロジェクトの Cloud IAM 役割を変更できるようになり、プロジェクトは既存の組織ポリシーを継承します。詳しくは Cloud IAM ポリシーの影響をご覧ください。

リクエストを確認するには、次の手順を実行します。

  1. メールで [審査リクエスト] をクリックして、[移行リクエストの確認] ページを開きます。

  2. [プロジェクトの選択] タブと [請求先アカウントの選択] タブで、組織に移行するプロジェクトと請求先アカウントの組み合わせを選択し、[次へ] をクリックします。

  3. [確認] タブには、移行に関する以下の詳細が表示されます。

    1. プロジェクト移動と請求管理者の役割を付与する対象となる組織管理者のメールアドレス。

    2. 移行対象として選択したすべてのプロジェクトと請求先アカウントの確認リスト。

  4. 移行を完了するには、移行リクエストを行ったエンティティのメールアドレスを入力し、[確認] をクリックします。

移行対象として選択したプロジェクトや請求先アカウントを、組織管理者が組織に移行できるようになりました。

プロジェクトや請求先アカウントの移行プロセスを中止する場合、組織管理者がそのプロジェクトや請求先アカウントを組織にインポートする前に移行プロセスを中止する必要があります。移行を中止するには、GCP Console でプロジェクトの Cloud IAM ページを開き、組織管理者のプロジェクト移動および請求先アカウント管理者の役割を削除します。

移行対象として選択されなかったプロジェクトや請求先アカウントは、[組織なし] に残ります。30 日以内であれば、「移行リクエスト」メールのリンクをクリックして移行を承認できます。30 日が経過すると移行リクエストは失効するため、組織管理者は新しい移行リクエストを送信して、確認できるようにする必要があります。

Cloud IAM ポリシーの影響

プロジェクトに対してすでに定義されている Cloud Identity and Access Management ポリシーは、プロジェクトとあわせて移行されます。そのため、移行前にプロジェクトに対する権限を持っていたユーザーは、プロジェクトの移行後も同じ権限を持つことになります。

Cloud IAM 権限は継承され、追加もできるため、組織レベルで定義された役割は、組織への移行時にプロジェクトによって継承されます。たとえば、projectAuthor@myorganization.com に組織レベルでプロジェクト編集者の役割が付与されている場合、その組織に移行されたすべてのプロジェクトについても同じ役割が付与されます。既存のプロジェクトに対する影響はありませんが、継承が原因で、アクセスが可能となるユーザーが増えることになります。

組織ポリシーも下位階層に継承されます。デフォルトでは、新しく作成された組織には組織ポリシーがありません。組織の組織ポリシーを定義する場合は、移行するプロジェクトが組織ポリシーに適合していることを確認してください。

キーポイント: プロジェクトを組織に移行する際に、Cloud IAM が組織ポリシーに適合していることを必ず確認してください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Resource Manager のドキュメント