組織設定ウィザード

組織設定ウィザードを使用すると、組織の管理を確立し、委任することが簡単にできます。また、既存のプロジェクトと請求先アカウントを新しい組織に移行することもできます。

組織設定ウィザードを開始するには:

  1. 組織リソースを取得します。詳しい手順については、組織リソースを取得するをご覧ください。

  2. Google Cloud 組織の組織管理者、課金管理者、ネットワーク管理者を割り当てます。詳しい手順については、リソースへのアクセス権の付与、変更、取り消しをご覧ください。

移行プロセスを開始するには:

  1. プロジェクト オーナーにプロジェクトおよび請求先移行リクエストを送信します。

  2. プロジェクト オーナーが移行リクエストを確認するのを待ちます。

  3. プロジェクトおよび請求先アカウントの移行を承認します。

このガイドでは、Google Cloud 設定ウィザードを使用してプロジェクトと請求先アカウントを移行する方法について説明します。Resource Manager の使用の詳細については、組織に既存のプロジェクトを移行するをご覧ください。

プロジェクトまたは請求先アカウントを組織に関連付けると、組織内のすべてのリソースを集中管理できます。詳細については、組織リソースのメリットをご覧ください。

以下のセクションでは、上記の手順を詳細に説明します。

既存のプロジェクトと請求先アカウントを移行する

ドメイン用に組織リソースが作成されると、その組織の下に作成されたすべてのプロジェクトは自動的にその組織に属します。既存のプロジェクトを組織に移行することもできます。

  • プロジェクトのオーナーまたは編集者であると同時に、組織のプロジェクト作成者でもあるユーザーは、プロジェクトを直接移行できます。

  • 組織管理者は、プロジェクト オーナーに対して、プロジェクトの制御を委任するよう要求できます。これにより、プロジェクトを組織に移行できるようになります。

プロジェクトの移行を元に戻すことはできません。プロジェクトが組織に関連付けられた後は、ユーザーが自分でプロジェクトを [組織なし] に戻すことや、別の組織に移動することはできません。組織に関連付けられた後でプロジェクトを移動する必要がある場合は、Google Cloud Premium サポートまでご連絡ください。

プロジェクトを組織に移行すると、組織管理者はプロジェクトの管理権限を持つようになり、プロジェクトは Cloud Identity and Access Management(Cloud IAM)と組織のポリシーを継承します。詳しくは Cloud IAM ポリシーの影響をご覧ください。

既存のプロジェクトを組織に移動すると、移行前と同様に請求されます。これはプロジェクトの請求先アカウントがまだ移行されていない場合でも同じです。同様に、請求先アカウントを組織に移行させた場合、請求先アカウントにリンクされたすべてのプロジェクトは、その組織の外にあっても機能し続けます。新しくインポートしたプロジェクトは、いつでも組織内の新規または既存の請求先アカウントにリンクできます。このとき、プロジェクトの機能は中断されません。

特権管理者用の組織設定

組織を作成する

Google Cloud の管理者を委任し、プロジェクトと請求先アカウントを移行する前に、組織リソースを用意しておく必要があります。組織リソースを取得するには、G Suite または Cloud Identity に申し込み、ドメインの所有権を確認して、そのアカウントを使用してプロジェクトを作成します。プロジェクトが作成されると、組織リソースが自動的にプロビジョニングされます。組織リソースの取得の詳細については、組織リソースを取得するをご覧ください。

Google Cloud 管理者の委任

Google Cloud 管理者を委任するには:

  1. 「Welcome to [ORGANIZATION_NAME] at Google Cloud」メールで [コンソールに移動] をクリックするか、Cloud Console で [組織の設定] ページに移動します。

  2. [組織の設定] ページで、[設定を委任] をクリックします。

  3. [組織管理者ロールの委任] ページが表示されるので、組織管理者として追加する個人またはグループのメールアドレスを入力します。

  4. 組織管理者の追加が完了したら、[委任する] をクリックします。

入力したメールアドレスに、指定した個人またはグループが Google Cloud 組織の組織管理者になったことを通知するメールが届きます。

後から管理者を追加するには、[ID と組織] ページで [権限を設定] をクリックします。

Google Cloud 管理者の移行

G Suite または Cloud Identity アカウントのユーザーが組織設定プロセスにより組織管理者のロールを委任すると、メール通知が送信されます。組織の設定時に、他の組織、請求先、ネットワーク管理者に権限を割り当てることができます。管理者として割り当てた個人にはメールが送信されません。

プロジェクトや請求先アカウントの移行を要求するには、プロジェクト作成者のロールが必要です。デフォルトでは、ドメイン内のすべてのユーザーにこのロールが付与されます。この既定の動作の変更と、ユーザーへのこのロールの付与については、デフォルトの組織ロールの管理をご覧ください。

プロジェクトと請求先アカウントの移行

プロジェクトまたは請求先アカウントを他のユーザー アカウントから移行するには、まずオーナーに移行の承認をリクエストします。オーナーは、リクエストを確認してプロジェクトや請求先アカウントの移行を承認するよう求める通知を受け取ります。プロジェクト オーナーはこのリクエストを無視することもできます。リクエストは 30 日が経過すると失効します。元のリクエストが失効しているか、保留中の場合は、もう一度移行をリクエストできます。オーナーがプロジェクトや請求先アカウントの移行を承認すると、通知が送信されるため、移行対象を選択します。

プロジェクト移行や請求先アカウント移行のリクエスト

  1. Google Cloud Console の [ID と組織] ページに移動します。

    組織設定ウィザードの UI

  2. [プロジェクトまたは請求先アカウントのリクエスト] ボックスで、プロジェクトのリクエスト先となる請求先アカウントまたはプロジェクトのオーナーのメールアドレスを入力してから、[リクエスト] をクリックします。

    プロジェクトのリクエスト UI

請求先アカウントまたはプロジェクトのオーナーに、移行のリクエストが記載されたメールが送信されます。オーナーが移行を承認すると、組織管理者に、移行を完了するためのリンクが記載されたメールが送信されます。

移行リクエストの承認を待つ

プロジェクトまたは請求先アカウントの移行をリクエストすると、プロジェクトまたは請求先アカウントのオーナーにそのリクエストが送信されます。受信者は、プロジェクトを選択して移行を設定できます。リクエストの有効期間は最大 30 日間です。30 日後にリクエストが期限切れとなるため、未処理のプロジェクトまたは請求先アカウントを対象とする新しい移行リクエストを送信する必要があります。

プロジェクトまたは請求先アカウントのオーナーが移行リクエストを確認すると、メールが送信され、Cloud Console に通知が表示されます。移行を承認するには、次の手順に進みます。

プロジェクトと請求先アカウントの移行を承認する

オーナーが移行リクエストを承認すると、プロジェクト オーナーが移行リクエストに応答したことを伝えるメールがプラットフォーム通知から送信され、Cloud Console に通知が表示されます。

プロジェクトの移行先となる組織でプロジェクト作成者請求先アカウント作成者組織管理者のロールが必要です。移行を完了するには:

  1. メールで [移行] をクリックするか、Cloud Console で [プロジェクトの移行] ページに移動します。

    [プロジェクトの移行] ページ

  2. [プロジェクトの選択] タブと [請求先アカウントの選択] タブで、移行するプロジェクトと請求先アカウントの組み合わせを選択し、[次へ] をクリックします。

  3. [確認して承認] タブに、移行対象として選択したすべてのプロジェクトと請求先アカウントのリストが表示されます。

  4. 移行を完了するには、[承認] をクリックします。

移行対象として選択したプロジェクトまたは請求先アカウントが、組織に関連付けられます。移行しなかったプロジェクトや請求先アカウントは、[組織なし] リストに残ります。これらのプロジェクトに対するプロジェクト移動の Cloud IAM ロールと、これらの請求先アカウントに対する請求先アカウント管理者のロールはそのまま残ります。Cloud Console の [プロジェクトの移行] ページに戻って、これらのプロジェクトと請求先アカウントの移行を承認できます。

移行したプロジェクトは、請求先アカウントの移行が完了していなくても、移行前と同様に請求されます。同様に、請求先アカウントの移行が完了している場合、請求先アカウントにリンクされたすべてのプロジェクトは、その組織の外にあっても機能し続けます。

移行リクエストの確認

組織管理者がプロジェクトまたは請求先アカウントを組織に移行するようリクエストすると、「移行リクエスト」メールが届きます。移行を承認すると、組織管理者に次のロールが付与されます。

  • プロジェクト: role/project.mover

    • プロジェクト移動のロールでは、プロジェクトをインポートして、それらのプロジェクトの Cloud IAM 権限を変更できます。
  • 請求先アカウント: roles/billing.admin

    • 請求管理者のロールでは、請求先アカウントをインポートして、それらのプロジェクトの Cloud IAM 権限を変更できます。

組織管理者が移行を承認すると、組織管理者はプロジェクトの Cloud IAM ロールを変更できるようになり、プロジェクトは既存の組織のポリシーを継承します。詳しくは Cloud IAM ポリシーの影響をご覧ください。

リクエストを確認するには、下記の手順を実行します。

  1. メールで [リクエストの確認] をクリックして、[移行リクエストの確認] ページを開きます。

  2. [プロジェクトの選択] タブと [請求先アカウントの選択] タブで、組織に移行するプロジェクトと請求先アカウントの組み合わせを選択し、[次へ] をクリックします。

  3. [確認] タブには、移行に関する以下の詳細が表示されます。

    1. プロジェクト移動と請求管理者のロールを付与する対象となる組織管理者のメールアドレス。

    2. 移行対象として選択したすべてのプロジェクトと請求先アカウントの確認リスト。

  4. 移行を完了するには、移行リクエストを行ったエンティティのメールアドレスを入力し、[確認] をクリックします。

移行対象として選択したプロジェクトや請求先アカウントを、組織管理者が組織に移行できるようになりました。

プロジェクトや請求先アカウントの移行プロセスを中止する場合、組織管理者がそのプロジェクトや請求先アカウントを組織にインポートする前に移行プロセスを中止する必要があります。移行を停止するには、Cloud Console でプロジェクトの [Cloud IAM] ページに移動し、組織管理者からプロジェクト移動のロールまたは課金管理者のロールを削除します。

移行対象として選択されなかったプロジェクトや請求先アカウントは、[組織なし] に残ります。30 日以内であれば、「移行リクエスト」メールのリンクをクリックして移行を承認できます。30 日が経過すると移行リクエストは失効するため、組織管理者は新しい移行リクエストを送信して、確認できるようにする必要があります。

Cloud IAM ポリシーの影響

プロジェクトに対してすでに定義されている Cloud Identity and Access Management ポリシーは、プロジェクトとあわせて移行されます。そのため、移行前にプロジェクトに対する権限を持っていたユーザーは、プロジェクトの移行後も同じ権限を持つことになります。

Cloud IAM 権限は継承され、追加もできるため、組織レベルで定義されたロールは、組織への移行時にプロジェクトによって継承されます。たとえば、projectAuthor@myorganization.com に組織レベルでプロジェクト編集者のロールが付与されている場合、その組織に移行されたすべてのプロジェクトについても同じロールが付与されます。既存のプロジェクトに対する影響はありませんが、継承が原因で、アクセスが可能となるユーザーが増えることになります。

組織ポリシーも下位階層に継承されます。デフォルトでは、新しく作成された組織には組織ポリシーがありません。組織の組織ポリシーを定義する場合は、移行するプロジェクトが組織ポリシーに適合していることを確認してください。

キーポイント: プロジェクトを組織に移行する際に、Cloud IAM が組織のポリシーに適合していることを必ず確認してください。