このガイドでは、 でスタンドアロン 組織を取得して管理する方法について説明します Google Cloud。
組織リソースは、リソース階層のルートノードとして機能します。 Google Cloudほとんどの場合、組織を作成するには、Cloud Identity の特権管理者であり、組織を DNS ドメインに接続する必要があります。 Google Cloud
スタンドアロン組織では、Cloud Identity は必要ありません。 に登録して Google メールアドレスを入力すると、スタンドアロン組織が自動的に作成されます。 Google Cloud アカウント オーナーには、組織オーナーのロールも付与されます。その後、[組織の詳細] ページで他のユーザーのオーナー権限を管理できます。
スタンドアロン組織には次の利点があります。
- フェデレーション ID を持つユーザーを組織オーナーとして追加できる。
- 複数の組織をサポートして、さまざまな機能をテストできる。
- 従業員が退職した場合に、単一障害点を回避するために複数の組織オーナーをサポートできる。
次の表に、Cloud Identity 組織とスタンドアロン組織の違いを示します。
| 能力 | Cloud Identity 組織 | スタンドアロン組織 |
|---|---|---|
| 基本 | ||
| Cloud Identity が必要 | はい | いいえ |
| 登録 | ||
| 登録に必要な ID | 2 | 1 |
| ドメイン/DNS の確認が必要 | はい | いいえ |
| Ownership | ||
| 取り消し不能な特権管理者のオーナー権限 | はい | いいえ |
| 組織オーナーとしての Cloud Identity | はい | はい |
| 組織オーナーとしてのフェデレーション ID | なし | はい |
| 組織オーナーとしての Google アカウント | 不可能 | はい |
| Lifecycle | ||
| 組織オーナーを変更する | なし | はい |
| 組織を削除する | 隔離されていない | はい |
| 削除した組織を復元する | なし | はい |
| 表示名を変更する | なし | はい |
| ガバナンス | ||
| プリンシパル アクセス境界(PAB)ポリシーを定義してユーザーを制限する | はい | はい |
始める前に
始める前に、以下を確認してください。
組織を特定する
スタンドアロン組織は、組織名と組織 ID で識別されます。
組織名
デフォルトの組織名は、ユーザー名と -org を組み合わせて作成されます。
ユーザー名に含まれる特殊文字はダッシュに置き換えられます。たとえば、ユーザー名が lara_brown の場合、組織名は lara-brown-org になります。
この名前は Google API では使用されません。組織名は、組織の作成後にいつでも編集できます。
名前が次の条件を満たしていることを確認してください。
- 文字、数字、ハイフンのみを含める。
- ドメイン名を使用しない。ドメイン名は、Cloud Identity 組織と Google Workspace 組織専用です。
- 「Google Cloud」などの一般的な単語を含めない。
組織 ID
組織 ID は、組織のグローバルに一意の ID です。コンソールは、組織を Google Cloud の他のすべての組織と区別するためにこの番号を生成します Google Cloud. 組織 ID は整数形式で、先頭にゼロを付けることはできません。
組織名や他のリソース名に、個人を特定できる情報(PII)やセキュリティ データなどの機密情報を含めないでください。組織 ID は、他の多くのリソースの名前で使用されます。 Google Cloud 組織や関連リソースを参照すると、組織 ID とリソース名が公開されます。
スタンドアロン組織リソースを取得する
スタンドアロン組織は、新規の無料トライアル Google Cloud のお客様すべてにご利用いただけます。アカウントを作成すると、組織リソースが 自動的に作成されます。 Google Cloud これは、 コンソールにログインして利用規約に同意すると発生します。 Google Cloud スタンドアロン組織は、既存の Google Cloud アカウントでは使用できません。
ユーザー アカウントごとに作成される組織は 1 つだけです。ただし、1 人のユーザーを招待して、複数の組織を所有して管理できます。
組織リソースが作成されると、アカウント オーナーに次のロールが割り当てられます。
roles/cloudowner.admin(組織オーナー)roles/resourcemanager.organizationAdmin(組織管理者)
組織オーナーのロールは IAM の外部で管理され、[組織の詳細] ページから組織オーナーと管理者を管理する権限が付与されます。組織にオーナーと管理者を追加する方法については、 スタンドアロン組織を設定するをご覧ください。
組織 ID を取得する
スタンドアロン組織の組織 ID を取得するには、 Google Cloud コンソール、Google Cloud CLI、Resource Manager API を使用します。
コンソール
コンソールで、[**マイ組織**] ページに移動します。 Google Cloud
表に、組織とその組織 ID が一覧表示されます。
gcloud
組織リソース ID を調べるには、次のコマンドを実行します。
gcloud organizations list
このコマンドによって、所属するすべての組織リソースと、対応する組織リソース ID を一覧表示します。
API
Cloud Resource Manager API を使用して組織リソース ID を確認するには、ドメインのクエリを含めて
organizations.search() メソッドを使用します。次に例を示します。
GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}
レスポンスには、組織リソース ID を含む、altostrat.com に属する組織リソースのメタデータが含まれます。
スタンドアロン組織を設定する
アカウントを作成すると、スタンドアロン組織リソースが自動的に作成されます。 Google Cloud このセクションでは、初期設定、重要なロール、組織内でこれらの権限を管理する方法について説明します。
アカウント作成者は、組織リソースにアクセスできる最初のユーザーです。組織内の他のユーザーはリソースを表示できますが、適切な権限が設定されるまで変更できません。
組織リソースのライフサイクルを設定して制御するための重要なロールは、組織オーナーと組織管理者です。通常、これらの 2 つのロールは、組織の構造とニーズに応じて、別々のユーザーまたはグループに割り当てられます。
組織オーナーの責任
組織オーナーのロールでは、次の操作を行うことができます。
- 他のユーザーに組織管理者ロールを割り当てる。
- 復旧に関する連絡窓口になる。
- スタンドアロン組織リソースのライフサイクルを制御する( スタンドアロン組織の削除、復元、名前変更をご覧ください)。
組織オーナーは、個人または Workforce プール内のプリンシパルにすることができます。各スタンドアロン組織には、組織オーナーとして有効な Google アカウントが常に 1 つ以上必要です。サービス アカウントを組織オーナーに招待することはできません。
組織管理者の責任
組織管理者のロールでは、次の操作を行うことができます。
- 許可ポリシーと拒否ポリシーを定義する。
- の他のユーザーに Identity and Access Management ロールを付与する Google Cloud。
- リソース階層を表示する。
最小権限の原則に従い、このロールではフォルダやプロジェクトの作成など、他の操作を行うことはできません。これらの権限を取得するには、組織管理者がアカウントに追加のロールを割り当てる必要があります。
組織オーナーのロールを個人に付与する
- 組織オーナーとして Google Cloud コンソールにログインします。
コンソールで、[組織の詳細] ページに移動します。 Google Cloud
[**組織オーナー**] で [**組織オーナーを追加**] をクリックします。
オーナーとして追加するプリンシパルのメールアドレスを入力します。組織のオーナーになるよう招待するメールがプリンシパルに送信されます。組織オーナーになるには、プリンシパルが 30 日以内に招待を承諾する必要があります。
Workforce Identity プールのユーザーに組織オーナーのロールを付与する
この手順では、組織の Workforce Identity 連携 がすでに構成されていることを前提としています。また、アカウントに重要な連絡先が構成されていることを確認してください。
- 組織オーナーとして Google Cloud コンソールにログインします。
コンソールで、[組織の詳細] ページに移動します。 Google Cloud
[**組織オーナー**] で [**組織オーナーを追加**] をクリックします。
ユーザーのプリンシパル ID を
principal://iam.googleapis.com/locations/LOCATION/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUEの形式で入力します。[次へ] をクリックします。
オーナーの招待リンクを送信するメールアドレスを入力します。 Google Cloud 組織のオーナーになるよう招待するメールがユーザーに送信されます。 組織オーナーになるには、ユーザーが 30 日以内に招待を承諾する必要があります。ユーザーが招待を承諾すると、組織管理者のロールが自動的に付与されます。
組織管理者ロールを付与する
組織オーナーは、[組織の詳細] ページから他のユーザーに組織管理者ロールを付与できます。これは、組織の IAM ポリシーを設定できるすべてのユーザーから誤って組織管理者の権限を削除してしまい、アクセス権を復元する必要がある場合に便利です。
ユーザーに組織管理者ロールを付与する手順は次のとおりです。
- 組織オーナーとして Google Cloud コンソールにログインします。
コンソールで、[組織の詳細] ページに移動します。 Google Cloud
[組織オーナー] テーブルで、組織オーナーのリストを表示します。
組織管理者ロールを割り当てるプリンシパルを選択します。
テーブルの最後の列の [アクション] で、プリンシパルの横にある [その他の操作] をクリックします。
[組織管理者ロールを付与] をクリックします。組織リソースの組織管理者ロール(
roles/resourcemanager.organizationAdmin)がプリンシパルに付与されます。
組織オーナーを削除する
組織オーナーのロールを持つユーザーを削除する手順は次のとおりです。
- 組織オーナーとして Google Cloud コンソールにログインします。
コンソールで、[組織の詳細] ページに移動します。 Google Cloud
[組織オーナー] で、削除するプリンシパルを選択します。
テーブルの最後の列の [アクション] で、プリンシパルの横にある [その他の操作] をクリックします。
表示されるダイアログで [削除] をクリックします。
組織管理者を削除する
組織管理者ロールを持つユーザーを削除する手順は次のとおりです。
コンソールで、[IAM] ページに移動します。 Google Cloud
[IAM 許可] で、[プリンシパル別で表示] に移動します。
ロールを付与したプリンシパルを含む行を見つけて、 [プリンシパルを編集] その行をクリックします。
[権限の編集] ペインで、組織管理者ロールの横にある削除アイコンをクリックします。
[保存] をクリックします。