このページでは、 Google Cloudの Resource Manager の仕組みと、これを使用してクラウド環境全体でクラウド リソースを整理し、アクセスを制御し、 ポリシーを効果的に適用する方法について説明します。
Resource Manager は、 リソースを階層的に整理するためのツールです。 Google Cloud つまり、リソースのグループ化方法と、ポリシーの継承元を制御できます。
リソース階層: 組織、フォルダ、プロジェクト
Google Cloud リソースは、ファイル システムと同様に階層的に整理されます。この階層により、アクセス制御や構成設定など、リソースに共通する要素を 1 か所から管理できます。
階層は次のレベルで構成されます。
組織: 階層のルートノード。会社を表し、すべてのリソースに対する一元的な可視性と制御を提供します。
フォルダ: 組織内のグループ化メカニズム。フォルダを使用すると、法的な構造や機能的な構造(部門やチームなど)をクラウド リソースにマッピングできます。
プロジェクト: リソースの基本レベルのコンテナ。すべてのリソース(Compute Engine 仮想マシン インスタンスや Cloud Storage バケットなど)は、1 つのプロジェクトに属します。
リソース: Google Cloud仮想マシン、 データベース、ストレージ バケットなど、 の基本的なコンポーネント。
リソースを管理するための主な機能 Google Cloud
Resource Manager には、クラウド環境の管理に役立つ次の機能が用意されています。
組織リソースによる集中管理: 組織リソースは 組織(会社など)を表します。これにより、すべての プロジェクトを 1 つのエンティティにグループ化できます。 Google Cloud これにより、リソースに対する一元的な可視性、所有権、制御が提供されます。組織リソースを使用すると、プロジェクトは個々の従業員ではなく組織に属するため、従業員が退職してもリソースの継続性が確保されます。
フォルダによるグループ化: フォルダを使用して、プロジェクトを論理グループに整理します。 たとえば、部門、環境(本番環境やステージング環境など)、チームごとにフォルダを作成できます。フォルダを使用すると、プロジェクトのグループにポリシーとアクセス制御を個別に管理するのではなく、一度に適用できます。
プロジェクト管理: プロジェクトは Google Cloudでの基本的な構成エンティティです。プロジェクトを使用して、API の有効化、課金の管理、チームメンバーとのコラボレーションを行います。 Resource Manager を使用すると、プログラムまたはコンソールを使用してプロジェクトを作成、更新、削除できます。
アクセス制御とポリシーの継承: Resource Manager は Identity and Access Management(IAM)と統合されており、リソースにアクセスできるユーザーを定義できます。 組織、 フォルダ、およびプロジェクトに許可ポリシーと拒否ポリシーを設定できます。一部のサービス リソースに許可ポリシーを設定することもできます。階層の下位にあるリソースは、親コンテナからポリシーを継承します。たとえば、フォルダに対するフォルダ管理者のロールをユーザーに付与すると、そのユーザーには、そのフォルダ内のすべてのプロジェクトに対するロールが自動的に付与されます。リソース階層を変更すると、許可ポリシーと拒否ポリシーの階層も変更されます。たとえば、プロジェクトを組織リソースに移動すると、その許可ポリシーと拒否ポリシーは、組織リソースのポリシーから継承するように更新されます。
Resource Manager は、 Google Cloud コンソール、Google Cloud CLI、 Resource Manager API を使用して操作できます。
リソース管理のための他のサービスとの統合 Google Cloud
Resource Manager は、 リソースの管理の中心となるものであり、 組織のポリシー、タグ、 重要な連絡先などの他の重要なサービスを効果的に使用して 管理するための構造と基盤機能を提供します。 Google Cloud
タグ: Resource Manager はタグと連携して動作します。タグを使用すると、任意の Key-Value ペアをリソースに付加できます。タグは、リソースの分類、ポリシーの適用、費用配分など、さまざまな目的に使用できます。タグの管理は、Resource Manager 階層内でリソースを整理して管理する方法の不可欠な部分です。
組織のポリシー サービス: 組織のポリシーを使用すると、組織のクラウド リソースをプログラムで一元管理できます。誰が何ができるかに重点を置く IAM とは異なり、組織のポリシーは実行できることに重点を置いています。たとえば、リソースを作成できる物理的な場所を制限するポリシーや、パブリック IP アドレスの作成を禁止するポリシーを定義できます。
Resource Manager は、組織のポリシーがルールを適用するために使用する階層構造(組織、フォルダ、プロジェクト)を提供します。Resource Manager はリソースが存在する範囲を定義しますが、組織のポリシーはそれらのリソースの構成方法に関する制限を定義します。
重要な連絡先: 重要な連絡先と Resource Manager を統合すると、組織構造内の場所に基づいて通知を受け取るユーザーを管理できます。重要な連絡先は、Resource Manager 階層を使用して、通知設定を子リソースにカスケードします。 上位レベル(組織ノードなど)で定義された連絡先は、その下にあるすべてのリソース(フォルダやプロジェクトなど)の通知を自動的に継承します。
次のステップ
- リソース階層について理解する。
- リソース階層を作成する Google Cloud 方法を学習する。