階層型サービスの有効化の概要

階層型サービスのアクティベーションは、組織のリソース階層全体でパブリック サービスとプライベート サービスを含むサービスの有効化と無効化をより詳細に制御できる Service Usage の機能です。階層型サービス アクティベーションは、サービス依存関係と多くのサービスを効率的に管理するのに役立つ宣言型ポリシー モデルをサポートしています。

このドキュメントでは、階層型サービスの有効化の概要について説明します。この機能の使用方法については、サービスの有効化を管理するをご覧ください。

サービス有効化ポリシーの継承

階層型サービス有効化を使用すると、 Google Cloud リソース階層のさまざまなレベルでサービス有効化ポリシーを設定できます。上位レベルで設定されたポリシーは、すべての子リソースに継承されます。サービスを有効にする必要があるのは、最も高い共通レベルのみです。

これにより、多数のプロジェクトにわたるサービスの管理が簡素化され、一貫したポリシーの適用がサポートされます。たとえば、フォルダまたは組織内のすべてのプロジェクトが有効なサービスのベースライン セットに準拠するようにして、プロジェクト レベルの構成の必要性を減らすことができます。

サービス有効化ポリシーは、次のレベルで設定できます。

  • 組織レベルで設定されたポリシーは、組織内のすべてのフォルダとプロジェクトに適用されます。
  • フォルダ レベルで設定されたポリシーは、フォルダ内のすべてのサブフォルダとプロジェクトに適用されます。
  • プロジェクト レベルで設定されたポリシーは、親フォルダと組織から継承されます。


上位レベルで設定されたポリシーは、すべての子リソースに継承されます。

組織のポリシー

階層型サービスのアクティベーションではサービスを有効または無効にできますが、組織のポリシー サービスは、サービスの使用方法を一元管理することで、この機能を補完します。サービスを有効にすると、組織のポリシーを使用して、構成に制約を適用できます。たとえば、新しく作成されたリソースの物理的な場所を制限したり、使用できるサービス アカウントを制限したりできます。これにより、コンプライアンス ガードレールを確立し、サービスが有効になった後も、その使用が組織のガバナンス要件に準拠するようにします。

主なコンセプト

サービス有効化を管理するには、階層型サービス有効化宣言型ポリシー モデルの次の主要なコンセプトを理解する必要があります。

消費者に関するポリシー

ConsumerPolicy は、 Google Cloudリソース階層の各レベルにある Service Usage API リソースです。このリソースは常に default という名前で、有効にするサービスを定義する enableRules が含まれています。特定のサービスを有効または無効にするのではなく、ConsumerPolicy リソースを変更できます。サービス名がリストにある場合、その階層レベルでサービスが有効になります。この宣言型アプローチにより、サービス状態の管理が簡素化されます。

有効なポリシー

EffectivePolicy は、 Google Cloud リソース階層の各レベルにある Service Usage API リソースです。有効なポリシーには、リソースに対して有効になっているサービスが表示されます。リソースの ConsumerPolicy と、そのすべての祖先のポリシーを組み合わせます。これにより、有効になっているすべてのサービスと、それらのサービスが有効になった場所を完全に把握できます。

有効なポリシーを使用すると、有効になっているすべてのサービスと、その有効化の発生元を完全に把握できます。

サービスの依存関係

多くの Google Cloud サービスは、機能するために他のサービスを必要とします。階層型サービス アクティベーションを使用してサービスを有効にすると、必要な依存関係が ConsumerPolicy に自動的に追加されます。サービス依存関係グループには、これらの依存サービスが含まれています。このグループを検査して、依存サービスをより深く理解し、管理できます。

以前の Service Usage バージョンからの移行

階層型サービスの有効化は、以前の Service Usage バージョンで機能します。既存のプロジェクト レベルの設定を変更することなく、フォルダまたは組織レベルでサービスを有効にするなど、階層型サービス有効化機能を使用できます。プロジェクト レベルで有効になっているサービスは引き続き機能します。階層モデルでは、これらの設定が追加されます。プロジェクトの有効なポリシーは、プロジェクト レベルで設定されたポリシーと、フォルダと組織から継承されたポリシーを組み合わせた結果になります。

たとえば、以前の Service Usage バージョンを使用してプロジェクト レベルで compute.googleapis.com が有効になっている場合、サービスは有効なままになります。階層型サービス アクティベーションを使用してフォルダレベルまたは組織レベルで後から有効にしても、この設定は影響を受けません。逆に、フォルダレベルで compute.googleapis.com を有効にすると、そのフォルダ内のすべてのプロジェクトでサービスが有効になります。

次のステップ