組織リソースは、Google Cloud リソース階層のルートノードで、プロジェクトの階層的なスーパーノードです。このページでは、組織リソースの取得方法と管理方法について説明します。
始める前に
組織リソースの概要をお読みください。
組織リソースを取得する
組織リソースは、Google Workspace と Cloud Identity のユーザーが使用できます。
- Google Workspace: Google ワークスペースに登録します。
- Cloud Identity: Cloud Identity に登録します。
Google Workspace アカウントまたは Cloud Identity アカウントを作成し、ドメインに関連付けると、組織リソースが自動的に作成されます。リソースは、アカウントのステータスに応じて異なるタイミングでプロビジョニングされます。
- Google Cloud を初めて使用し、まだプロジェクトを作成していない場合は、 Google Cloud コンソールにログインして利用規約に同意すると、組織リソースが作成されます。
-
既存の Google Cloud ユーザーの場合、新しいプロジェクトまたは請求先アカウントを作成するときに組織リソースが作成されます。以前に作成したプロジェクトは「組織なし」に表示されますが、これは正常な状態です。組織リソースが表示され、作成した新しいプロジェクトが自動的にリンクされます。
「組織なし」で作成したプロジェクトを新しい組織リソースに移行する必要があります。プロジェクトを移行する方法については、プロジェクトを組織リソースに移行するをご覧ください。
作成された組織リソースは、作成したプロジェクトまたは請求先アカウントが子リソースとして設定された Google Workspace アカウントまたは Cloud Identity アカウントにリンクされます。Google Workspace または Cloud Identity のドメインで作成されたすべてのプロジェクトと請求先アカウントは、この組織リソースの子になります。
- 既存のプロジェクトを移行する方法については、既存のプロジェクトを移行するをご覧ください。
Google Workspace アカウントや Cloud Identity アカウントには、それぞれ 1 つの組織リソースが関連付けられます。組織リソースは、組織リソースの作成時に設定された 1 つのドメインのみと関連付けられます。
組織リソースを能動的に取得するには、Google Workspace または Cloud Identity の特権管理者が組織管理者(roles/resourcemanager.organizationAdmin)の Identity and Access Management(IAM)ロールをユーザーまたはグループに割り当てる必要があります。組織リソースを設定する手順については、組織リソースを設定するをご覧ください。
- 組織を作成すると、ドメインのすべてのユーザーにプロジェクト作成者(
roles/resourcemanager.projectCreator)と請求先アカウント作成者(roles/billing.creator)の IAM 役割が組織リソースレベルで付与されます。これにより、ドメインのユーザーはプロジェクトの作成を中断なく継続できます。 - 組織管理者は、組織リソースを本格的に使用し始める時期を決定します。デフォルトの権限を変更し、必要であれば制約の多いポリシーを適用することもできます。
- 組織リソースが利用可能であれば、表示に必要な Cloud IAM 権限がなくとも、プロジェクトと請求先アカウントを作成できます。表示されない場合でも、これらは組織リソースの下に自動的に作成されます。
Google Cloud セキュリティ ベースライン
Google Cloud セキュリティ ベースラインは、組織リソースの作成時に適用される組織のポリシーのバンドルを使用して、安全でないセキュリティ対策に対処します。これらの制約は、組織の作成時に自動的に作成され、適用されます。これらの制約の表示と管理については、Google Cloud セキュリティ ベースラインの制約をご覧ください。
組織リソース ID を取得する
組織リソース ID は、組織リソースを一意に表す ID で、組織リソースが作成されると自動的に作成されます。組織リソース ID は 10 進数の形式で、ゼロで始まることはありません。
組織リソース ID は、 Google Cloud コンソール、gcloud CLI、Cloud Resource Manager API のいずれかを使用して取得できます。
Console
Google Cloud コンソールを使用して組織リソース ID を取得するには、次の操作を行います。
- Google Cloud コンソールに移動します。
- ページの上部にあるプロジェクト選択ツールから、組織リソースを選択します。
- 右側にある [詳細] をクリックし、[設定] をクリックします。
[設定] ページに、組織リソース ID が表示されます。
gcloud
組織リソース ID を調べるには、次のコマンドを実行します。
gcloud organizations list
このコマンドによって、所属するすべての組織リソースと、対応する組織リソース ID を一覧表示します。
API
Cloud Resource Manager API を使用して組織リソース ID を確認するには、organizations.search() メソッド(ドメインのクエリを含む)を使用します。例:
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
レスポンスには、組織リソース ID を含む、altostrat.com に属する組織リソースのメタデータが含まれます。
組織リソースを設定する
Google Workspace または Cloud Identity のユーザーには、組織リソースが自動的に提供されます。
Google Workspace や Cloud Identity の特権管理者は、作成時に組織リソースにアクセスできる最初のユーザーです。他のすべてのユーザーやグループは、以前と同様、 Google Cloud を使用できます。組織リソースの表示はできますが、適切な権限が設定されるまで、組織リソースの変更はできません。
Google Workspace や Cloud Identity の特権管理者とGoogle Cloud 組織管理者は、設定プロセスと組織リソースのライフサイクル管理における重要なロールです。組織リソースの構造やニーズによっても変わりますが、通常、この 2 つのロールは別々のユーザーまたはグループに割り当てられます。
Google Cloud 組織リソースの設定における Google Workspace または Cloud Identity の特権管理者の責任は次のとおりです。
- 一部のユーザーに組織管理者のロールを割り当てる
- 復旧に関する連絡窓口になる
- Google Workspace や Cloud Identity のアカウントと組織リソースのライフサイクルを管理する(詳しくは、組織を削除するをご覧ください)。
組織管理者に割り当てられると、Identity and Access Management ロールを他のユーザーに割り当てることができます。組織管理者ロールの責任は、次のとおりです。
- 許可ポリシーと拒否ポリシーを定義し、他のユーザーにロールを付与する。
- リソース階層の構造を確認する
最小権限の原則に従い、このロールにはフォルダまたはプロジェクトの作成など、その他のアクションを実行するための権限が付与されていません。これらの権限を取得するには、組織管理者がアカウントに追加のロールを割り当てる必要があります。
2 つの別々のロールを用意することで、Google Workspace 特権管理者または Cloud Identity 特権管理者とGoogle Cloud 組織管理者の責任範囲を明確に分離できます。2 つの Google サービスを顧客の組織の異なる部門で管理する場合、この機能が必須になります。
組織リソースを積極的に使用するには、次の手順に沿って組織管理者を追加します。
組織管理者を追加する
コンソール
組織管理者を追加するには:
Google Workspace または Cloud Identity の特権管理者として Google Cloud コンソールにログインし、[IAM と管理] ページに移動します。
編集する組織リソースを選択します。
ページの上部にあるプロジェクトのプルダウン リストをクリックします。
[選択元] ダイアログで組織プルダウン リストをクリックし、組織管理者を追加する組織リソースを選択します。
表示されたリストで組織リソースをクリックして、IAM 権限ページを開きます。
[追加] をクリックして、組織管理者として設定するユーザー(複数も可)のメールアドレスを入力します。
[ロールを選択] プルダウン リストで、[Resource Manager] > [組織管理者] を選択し、[保存] をクリックします。
組織管理者は次の操作を実行できます。
組織リソースを完全に管理する。Google Workspace または Cloud Identity の特権管理者と Google Cloud 管理者の責任範囲を分離する。
関連する IAM ロールを割り当てることで、重要な機能に対する権限を委譲する。
組織リソースを取得するで説明したように、デフォルトでは、組織の作成時にドメインのすべてのユーザーにプロジェクト作成者と請求先アカウント作成者のロールが組織リソースレベルで付与されます。これにより、組織リソースを作成しても Google Cloud ユーザーに影響を及ぼすことはありません。組織管理者が管理を行うため、これらの組織レベルの権限を削除し、より細かい単位(例: フォルダまたはプロジェクト レベル)でアクセスをロックダウンできます。許可ポリシーと拒否ポリシーは階層で継承されます。ドメイン全体(domain:mycompany.com)に組織リソースレベルでポリシー作成者のロールを割り当てると、ドメイン内のすべてのユーザーが階層内の任意の場所でプロジェクトを作成できます。