管理者として Cloud Identity を設定する Google Cloud

このドキュメントでは、Cloud Identity を設定して、 Google Cloud ユーザーとリソースを管理できる Google Cloud 管理者になる方法について説明します。Cloud Identity の設定は、リソース階層を作成するときに行う最初のステップの 1 つです。 Google Cloud

各エディションのサービスの違いについて詳しくは、Cloud Identity の機能とエディションの比較をご覧ください。

要件

  • Cloud Identity Free: 登録するには、会社のドメイン名と、 ドメイン登録事業者にアクセスするための管理者のユーザー名とパスワードが必要です。
  • Cloud Identity Premium: 申し込むには、会社のドメイン名が必要です。お持ちでない場合は、お申し込み時にドメインを購入する必要があります。

Cloud Identity Free に登録する

Google Workspace をご利用の場合

  1. 管理者アカウントで Google 管理コンソールにログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. [お支払い] > [購入またはアップグレード] に移動します。

    お支払いの管理の管理者権限があることを確認します。

  3. [**カテゴリ**] で [**Cloud Identity**] をクリックします。

  4. [Cloud Identity Free] で [開始] をクリックします。

  5. 画面の指示に沿って操作します。

Google Workspace をご利用ではない場合

  1. 次のお申し込みページにアクセスします。 https://workspace.google.com/gcpidentity/signup?sku=identitybasic
  2. 画面の指示に沿って操作します。

Cloud Identity Premium に申し込む

Google Workspace をご利用の場合

  1. 管理者アカウントで Google 管理コンソールにログインします。

    管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

  2. [お支払い] > [購入またはアップグレード] に移動します。

    お支払いの管理の管理者権限があることを確認します。

  3. [Cloud Identity] をクリックします。

  4. [Cloud Identity Premium] の横にある [無料試用を開始] をクリックします。

  5. 画面の指示に沿って操作します。

Google Workspace をご利用ではない場合

  1. 次の登録ページにアクセスします。 https://workspace.google.com/gcpidentity/signup?sku=identitypremium
  2. 画面の指示に沿って操作します。

Cloud Identity アカウントと 1 人目の管理者ユーザーを作成する

設定ウィザードを使用して Cloud Identity アカウントと 1 人目の管理者ユーザーを作成するには:

  1. [お客様について] の [名前] 欄に氏名を入力します。

  2. [現在仕事でご使用のメールアドレス] 欄にメールアドレスを入力します。

    このメールアドレスは再設定用のアドレスとして使用されます。次に作成する Cloud Identity の管理者アカウントとして使用するものとは違うアドレスを指定してください。

  3. [お客様の事業について] の [会社名 / 組織名] 欄に会社名を入力します。

  4. [国/地域] リストから該当する国または地域を選択します。

  5. [次へ] をクリックしてドメインを設定します。

  6. [お使いの Cloud Identity ドメイン] ウィンドウで、会社で購入済みのドメインを追加します。後で、そのドメインの所有権を確認する必要があります。

  7. [Cloud Identity アカウントの作成] ウィンドウで、ユーザー名とパスワードを入力します。このアカウントは Cloud Identity の管理者アカウントとなるものですので、上の手順 2 で入力したものとは違うメールアドレスを指定してください。[管理者名]@[ドメイン名].com の形式でユーザー名を入力することをおすすめします。 admin@example.com

ドメイン所有権の証明とその手順について詳しくは、Cloud Identity の ドメイン所有権の確認をご覧ください。

これで完了です。Cloud Identity を有効にして最初のユーザーを作成できました。

設定の終了

Cloud Identity アカウントを作成してドメインの所有権証明を終えたら、 コンソールに戻ります。 Google Cloud 続行するには、組織を代表して Cloud Identity 契約に同意する必要があります。[ID] ページにリダイレクトされます。

これで Cloud Identity アカウントが完全に有効になりました。このドキュメントで説明されているように、 コンソールでさらに詳細な設定を行うこともできます。

: 後から Google 管理コンソールに戻って ユーザーを追加したりグループを作成したりできます。手順については、ユーザーを管理する をご覧ください。

Cloud Identity 組織について

Cloud Identity 組織は、Cloud Identity アカウント管理サービスの登録と設定手順を完了すると作成されます。これにより、管理コンソールの Cloud Identity アカウントが Google Cloudにマッピングされます。また、 請求や管理目的ですべてのプロジェクトをグループ化するために Cloud Identity 組織が使用されます。たとえば、Cloud Identity 組織を使用すると、プロジェクトのアクセスを Cloud Identity ユーザーのみに制限できます。

組織リソースを作成した特権管理者に Google Cloud 組織管理者 ロールが割り当てられます。これにより、組織の設定を管理し、最上位レベルで ポリシーを割り当てることができます。

プロジェクトと請求先アカウントを移行し、権限を設定する

重要:

  • 手順 1 ~ 2 は、管理者以外のアカウントを使用して行います。 Google Cloud通常、個人用の Gmail アカウントを利用します。
  • 手順 3〜6 の操作は、Cloud Identity 管理者アカウントから行います。

以前のアカウントからコンテンツを移行するには、次の手順で操作します。

ステップ 1: 請求先アカウントへのアクセスを許可する

以下の手順で、プロジェクトや請求先アカウントを Cloud Identity 組織外のアカウントから新しい Cloud Identity 組織に移行します。このページを別のタブで開いておいて、参照しながら操作を行うことをおすすめします。

  1. 関連付けを行う既存の 請求先アカウントがある Google Cloud アカウントにログインします。
  2. Cloud Identity の組織管理者に、この請求先アカウントへのアクセス権を付与します。
    1. 左側のナビゲーションで [お支払い] を開きます。
    2. 関連付けを行う請求先アカウントに移動します。
    3. Cloud Identity の組織管理者を 請求管理者として追加します。

ステップ 2: プロジェクトへのアクセス権を付与する

プロジェクトへのアクセス権を付与するには、1 つずつ行う方法と、一括 アクセス UI から行う方法があります。ステップ 1 では個別に付与する方法を示し、 ステップ 2 では一括で付与する方法を説明します。

  1. 組織管理者にプロジェクトへの「オーナー」アクセス権を付与します。
    移行するプロジェクトの [IAM と管理] ページに移動し、組織管理者のアカウントを 「オーナー」として追加します。
  2. 一括権限を設定します(省略可)。
    [**IAM と管理**] に移動し、左側のナビゲーションから [**リソースの管理**] または [**すべてのプロジェクト**] をクリックします。    [リソースの管理] 画面で、移行するすべての プロジェクトを選択し、Identity and Access Management(IAM) パネルを使用して、これらの プロジェクトに新しいアカウントをオーナーとして追加します。

ステップ 3: Cloud Identity アカウントにログインして プロジェクトへの招待を承諾する

Cloud Identity アカウントにログインし、 メールを確認します。

プロジェクトを移行するには、新しいアカウントにメールで送信されたプロジェクト の招待を承諾する必要があります。移行するプロジェクトごとに、各メールのリンクをクリックします。

ステップ 4: Google Cloudに移動して Cloud Identity アカウントでログインし、アクセス権を削除する

  1. 請求先アカウントへのアクセス権を削除します。
    古いアカウントに関連付けられた請求先アカウントに移動し、 会社のドメインに属していないユーザー アカウントのアクセス権を削除します。これには、管理者の @gmail.com アカウントも含まれます。
  2. プロジェクトへのアクセス権を削除します。
    1. [IAM と管理] ページに移動し、 [リソースの管理] をクリックします。
    2. [リソースの管理] ページで、フィルタ コントロールの横にあるプルダウン リストから [組織なし] を選択します。
    3. 古いアカウントのプロジェクトに、黄色の 警告アイコンが表示されます。これらのプロジェクトを選択し、IAM パネルを使用して、会社のドメインに属していないアカウントのアクセス権を削除します。これには、管理者の @gmail.com アカウントも含まれます。

ステップ 5: プロジェクトを移行する

  1. [IAM と管理] に移動し、 [リソースの管理] をクリックします。
  2. [リソースの管理] ページで、フィルタ コントロールの横にある プルダウン リストから [組織なし] をクリックします。古いアカウントのプロジェクトに、黄色の警告アイコンが表示されます。
  3. 古いアカウントからこれらのプロジェクトを選択し、[移行] 上部のバーから、または各プロジェクトのアイコンをクリックします。

移行が完了すると、プロジェクトは会社の組織に移管されます。プロジェクトを表示するには、プルダウン リストの [組織なし] を会社の組織に切り替えます。

ステップ 6: 権限を設定する

  1. [IAM と管理] に移動し、上部のバーのプルダウン リストから組織を選択します。これにより、組織のすべてのプロジェクトに適用される IAM 権限を設定できます。
  2. IAM ページから管理ユーザーを追加し、適切なロールを付与します。

詳しくは、 での権限の設定に関する記事もご覧ください。 Google Cloud

Cloud 請求先アカウントを有効にする

無料トライアル ユーザー: Cloud Identity を設定したら、請求 ステータスを確認して、 無料トライアルのクレジットが残っていることを確認します。無料トライアルの特典 が終了したら、有料の完全な Cloud 請求先アカウント を有効にして、 Google Cloud Cloud 請求先アカウントを必要とする リソースを引き続き使用できます。無料トライアルの詳細については、無料 のクラウド機能とトライアル特典をご覧ください。

トラブルシューティング手順

ドメインを使用して Cloud Identity に登録する際に、次のいずれかのエラー メッセージが表示されることがあります。その内容に応じて、次の解決策をお試しください。

「このドメインはすでに使用されています」

Cloud Identity のお申し込み中にこのメッセージが表示される場合は、原因として以下のことが考えられます。

  • そのドメインの Google Workspace アカウントを持っているが、マーケティング ページまたはサードパーティから Cloud Identity Premium を申し込もうとした。この場合、Google 管理コンソールの [お支払い] から、そのドメイン用の Cloud Identity Premium をお申し込みいただく必要があります。詳細
  • そのドメインの Google Cloud で Cloud Identity Free Edition のアカウントを使っているが、マーケティング ページまたはサードパーティから Cloud Identity Premium を申し込もうとした。この場合、Google 管理コンソールの [お支払い] から、そのドメイン用の Cloud Identity Premium をお申し込みいただく必要があります。詳細
  • そのドメインが別の Google アカウントから最近削除された。この場合、そのドメインを新しいアカウントで使用できるようになるまでに 24 時間ほど(サードパーティから購入したアカウントである場合は 7 日ほど)かかることがあります。
  • そのドメインを使って Cloud Identity アカウントまたは Google Workspace アカウントを作成した人が組織内にいる。この場合、管理者パスワードの再設定を行っていただければ、お申し込み時にご指定いただいた予備のメールアドレスに、アカウントへのアクセス方法を記載したメールをお送りいたします。
  • そのドメインが、組織で所有している別の Cloud Identity アカウントで使用されている。該当する場合は、ドメインを削除してください。

「このドメインは登録済みで、所有権の確認手続きの段階です」

Cloud Identity のお申し込み中にこのメッセージが表示される場合は、原因として以下のことが考えられます。

  • そのドメインを使って Cloud Identity アカウントまたは Google Workspace アカウントを作成した人が組織内にいて、ドメインの所有権証明の手続き中である(この手続きには最長で 72 時間ほどかかる場合があります)。この場合、管理者パスワードの再設定を行っていただければ、お申し込み時にご指定いただいた予備のメールアドレスに、アカウントへのアクセス方法を記載したメールをお送りいたします。
  • そのドメインが、組織で所有している別の Cloud Identity アカウントで使用されている。該当する場合は、ドメインを削除してください。

「このドメイン名はまだ存在しません」

ドメインのホスト登録が行われていない場合に、このエラー メッセージが表示されます。

ドメイン名のホスト登録が済んでいる場合は、ご入力いただいたドメイン名の記載が登録されている名前と同じであることをご確認ください。なお、ホスト登録を行ったドメインの所有情報が WHOIS ディレクトリ に反映されるまでには、最長で 72 時間ほどかかる場合があります。

「現在 Cloud Identity では、このドメイン名をサポートしていません」

ご入力いただいたドメインは、Cloud Identity のポリシーによりご利用いただけません。別のドメイン名を使ってお申し込みください。

次のステップ