このガイドでは、 Google Cloud内でスタンドアロン組織を取得して管理する方法について説明します。
組織リソースは、 Google Cloudリソース階層のルートノードとして機能します。ほとんどの場合、組織を作成するには、Cloud Identity の特権管理者であり、 Google Cloud組織を DNS ドメインに接続する必要があります。
スタンドアロン組織では、Cloud Identity は必要ありません。 Google Cloud に登録して Google メールアドレスを指定すると、スタンドアロン組織が自動的に作成されます。アカウントのオーナーであるため、組織オーナーのロールも取得します。その後、[組織の詳細] ページで、他のユーザーのオーナー権限を管理できます。
スタンドアロン組織には次の利点があります。
- フェデレーション ID を持つユーザーを組織のオーナーとして追加する機能。
- 複数の組織をサポートして、さまざまな機能をテストできます。
- 従業員が退職した場合に備えて、複数の組織オーナーをサポートできる。
次の表に、Cloud Identity 組織とスタンドアロン組織の違いを示します。
| 能力 | Cloud Identity 組織 | スタンドアロン組織 |
|---|---|---|
| Fundamental | ||
| Cloud Identity が必要 | ○ | いいえ |
| 登録 | ||
| 登録に必要な身元確認情報 | 2 | 1 |
| ドメイン/DNS の所有権証明が必要 | ○ | いいえ |
| Ownership | ||
| 取り消し不能な特権管理者の所有権 | ○ | いいえ |
| 組織オーナーとしての Cloud Identity | ○ | ○ |
| 組織オーナーとしてのフェデレーション ID | なし | ○ |
| 組織のオーナーとしての Google アカウント | 不可能 | ○ |
| Lifecycle | ||
| 組織のオーナーを変更する | なし | ○ |
| 組織を削除 | 分離されていない | ○ |
| 削除した組織を復元する | なし | ○ |
| 表示名を変更する | なし | ○ |
| ガバナンス | ||
| プリンシパル アクセス境界(PAB)ポリシーを定義してユーザーを制限する | ○ | ○ |
始める前に
始める前に、以下を確認してください。
- 組織リソースについて理解する。
- Google Cloud ランディング ゾーンのリソース階層を決定する方法について学習する。
組織を特定する
スタンドアロン組織は、組織名と組織 ID で識別されます。
組織名
デフォルトの組織名は、ユーザー名と -org を組み合わせて作成されます。ユーザー名に含まれる特殊文字はすべてダッシュに置き換えられます。たとえば、ユーザー名が lara_brown の場合、組織名は lara-brown-org になります。この名前は Google API では使用されません。組織の作成後、組織名をいつでも編集できます。
名前が次の条件を満たしていることを確認します。
- 英字、数字、ハイフンのみを使用する。
- ドメイン名は使用しないでください。ドメイン名は、Cloud Identity 組織と Google Workspace 組織専用として予約されています。
- 「Google Cloud」などの一般的な単語を含まない。
組織 ID
組織 ID は、組織のグローバルに一意の識別子です。Google Cloud コンソールは、組織を Google Cloud内の他のすべての組織と区別するために、この番号を生成します。組織 ID は整数で表示され、先頭にゼロを付けることはできません。
組織名や他のリソース名に、個人を特定できる情報(PII)やセキュリティ データなどの機密情報を含めないでください。組織 ID は、他の多くの Google Cloud リソースの名前で使用されます。組織や関連リソースを参照すると、組織 ID とリソース名が公開されます。
スタンドアロン組織リソースを取得する
スタンドアロン組織は、すべての新規のお客様にご利用いただけます。 Google Cloud Google Cloud アカウントを作成すると、組織リソースが自動的に作成されます。これは、 Google Cloud コンソールにログインして利用規約に同意したときに発生します。既存のGoogle Cloud アカウントでは、スタンドアロン組織はご利用いただけません。
ユーザー アカウントごとに作成される組織は 1 つだけです。ただし、複数の組織の所有者と管理者になるよう 1 人のユーザーを招待することはできます。
組織リソースが作成されると、システムはアカウント オーナーに次のロールを割り当てます。
roles/cloudowner.admin(組織のオーナー)roles/resourcemanager.organizationAdmin(組織管理者)
組織にオーナーと管理者を追加する方法については、スタンドアロン組織を設定するをご覧ください。
組織 ID を取得する
スタンドアロン組織の組織 ID を取得するには、 Google Cloud コンソール、Google Cloud CLI、または Resource Manager API を使用します。
コンソール
Google Cloud コンソールで、[組織] ページに移動します。
表に組織とその組織 ID が一覧表示されます。
gcloud
組織リソース ID を調べるには、次のコマンドを実行します。
gcloud organizations list
このコマンドによって、所属するすべての組織リソースと、対応する組織リソース ID を一覧表示します。
API
Cloud Resource Manager API を使用して組織リソース ID を確認するには、organizations.search() メソッド(ドメインのクエリを含む)を使用します。次に例を示します。
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
レスポンスには、組織リソース ID を含む、altostrat.com に属する組織リソースのメタデータが含まれます。
スタンドアロン組織を設定する
Google Cloud アカウントを作成すると、スタンドアロンの組織リソースが自動的に作成されます。このセクションでは、初期設定、重要なロール、組織内での権限の管理方法について説明します。
アカウントの作成者は、組織リソースにアクセスできる最初のユーザーです。組織内の他のユーザーはリソースを表示できますが、適切な権限が設定されるまで、リソースの変更はできません。
組織オーナーと組織管理者は、組織リソースのライフサイクルを設定して制御するための重要なロールです。通常、この 2 つのロールは、組織の構造やニーズに応じて別々のユーザーまたはグループに割り当てられます。
組織オーナーの責任
組織オーナーのロールでは、次の操作を行うことができます。
- 他のユーザーに組織管理者のロールを割り当てます。
- 復旧に関する問題が発生した場合の連絡窓口となります。
- スタンドアロン組織の削除、復元、名前変更で説明されているように、スタンドアロン組織リソースのライフサイクルを制御します。
組織のオーナーは、個人または Workforce プール内のプリンシパルにできます。スタンドアロン組織には、組織のオーナーとして有効な Google アカウントが常に 1 つ以上必要です。サービス アカウントを組織のオーナーに招待することはできません。
組織管理者の責任
組織管理者ロールでは、次の操作を実行できます。
- 許可ポリシーと拒否ポリシーを定義します。
- Google Cloudの他のユーザーに Identity and Access Management のロールを付与します。
- リソース階層を表示します。
最小権限の原則に従い、このロールではフォルダやプロジェクトの作成など、その他のアクションを実行できません。これらの権限を取得するには、組織管理者がアカウントに追加のロールを割り当てる必要があります。
個人に組織オーナーのロールを付与する
- 組織のオーナーとして Google Cloud コンソールにログインします。
Google Cloud コンソールで、[組織の詳細] ページに移動します。
[組織のオーナー] で [組織のオーナーを追加] をクリックします。
オーナーとして追加するプリンシパルのメールアドレスを入力します。システムからプリンシパルに、組織のオーナーになるよう招待するメールが送信されます。組織のオーナーになるには、プリンシパルが 30 日以内に招待を承諾する必要があります。
Workforce Identity プール内のユーザーに組織オーナーのロールを付与する
この手順は、組織で Workforce Identity 連携がすでに構成されていることを前提としています。また、アカウントに重要な連絡先が設定されていることを確認してください。
- 組織のオーナーとして Google Cloud コンソールにログインします。
Google Cloud コンソールで、[組織の詳細] ページに移動します。
[組織のオーナー] で [組織のオーナーを追加] をクリックします。
ユーザーのプリンシパル ID を
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE形式で入力します。[次へ] をクリックします。
オーナーの招待リンクを送信するメールアドレスを入力します。Google Cloud は、組織のオーナーになるようユーザーを招待するメールを送信します。組織のオーナーになるには、ユーザーが 30 日以内に招待を承諾する必要があります。ユーザーが招待に応じると、組織管理者ロールが自動的に付与されます。
組織のオーナーを削除する
組織オーナーのロールを持つユーザーを削除するには、次の操作を行います。
- 組織のオーナーとして Google Cloud コンソールにログインします。
Google Cloud コンソールで、[組織の詳細] ページに移動します。
[組織のオーナー] で、削除するプリンシパルを選択します。
テーブルの最後の列の [アクション] で、プリンシパルの横にある [その他の操作] をクリックします。
表示されるダイアログで [削除] をクリックします。
組織管理者を削除する
組織管理者ロールを持つユーザーを削除する手順は次のとおりです。
Google Cloud コンソールで、[IAM] ページに移動します。
[IAM 許可] で、[プリンシパル別に表示] に移動します。
ロールを付与したプリンシパルを含む行を見つけて、その行の [プリンシパルを編集 ] をクリックします。
[権限の編集] ペインで、組織管理者ロールの横にある削除アイコンをクリックします。
[保存] をクリックします。