パートナー管理フォルダを作成する

このページでは、パートナーによる主権管理用の新しいフォルダを作成する手順について説明します。このフォルダは、パートナーによる主権管理で使用する他のリソースを作成する前に作成する必要があります。

始める前に

新しいフォルダを作成する前に、次のことを確認してください。

Google Cloud へのオンボーディングを完了し、パートナー管理フォルダを作成するよう指示するメールを受け取った。
組織で iam.allowedPolicyMemberDomains 組織のポリシー制約が適用されている場合は、[Sovereign Controls by Partners] フォルダを作成する前に、次の追加のドメイン ID を許可する必要があります。
- パートナーの Google Cloud 組織 ID または Google Workspace お客様 ID
- Google のお客様 ID（C02h8e9nw）
これらの ID を許可することで、パートナーと Google は、ワークロードの管理に必要な IAM ロールを組織に付与できます。オンボーディングプロセスでパートナーが組織 ID または顧客 ID を提供していない場合は、パートナーにリクエストします。これらの ID を許可する前にフォルダを作成しようとすると、次のエラーが発生してオペレーションが失敗します。One or more users named in the policy do not belong to a permitted customer.

iam.allowedPolicyMemberDomains 制約の更新の詳細については、ドメイン別の ID の制限をご覧ください。
パートナーが提供するデータ境界に関連する制限事項を理解しておいてください。

新しいフォルダの作成

Google Cloud コンソールで、[Assured Workloads] ページに移動します。
Assured Workloads に移動
表示された指示に従って組織を選択します。
[作成] をクリックして、[Assured Workloads フォルダの作成] ページに移動します。
注: パートナーによる主権管理は Assured Workloads のサービスであり、同様の機能と特徴を備えています。
[フォルダの詳細を追加する] のステップで以下を行います。
- [フォルダ名] に、フォルダの一意の名前（aw-my-folder-name など）を入力します。フォルダ名は 4 ～ 30 文字で、英字、数字、スペース、ハイフンのみを使用できます。
  ヒント: パートナーによる主権管理用の Assured Workloads フォルダに名前を付ける場合は、次の点を考慮してください。
  - フォルダを Assured Workloads フォルダとして識別するには、名前に接頭辞（aw- など）を含めます。この識別子は、他のリソースのリストからフォルダを見つけるのに役立ちます。既存の Assured Workloads フォルダがある場合は、別の命名規則を使用して、パートナーによる Sovereign Controls フォルダを区別することを検討してください。
  - フォルダ名には機密データや個人を特定できる情報（PII）を含めないでください。
- [組織] で、フォルダを作成する組織を選択します。このロケーションは後で変更できません。
- [フォルダの場所] で、フォルダが作成されるリソース階層内の場所を選択します。パートナーによる主権管理フォルダは、組織または別のフォルダの子として作成できます。
- [次へ] をクリックします。
[コントロールパッケージオプションを選択する] のステップで、[主権管理] を選択します。
プルダウンメニューからパートナー管理ソリューションを選択します。
パートナーがサブの請求先アカウントを作成した場合は、それを選択します。
[リソースロケーションの選択] で、リソースと使用がフォルダの組織のポリシーによって適用されるロケーションを選択します。
選択内容の詳細を確認し、[次へ] をクリックします。
[追加の設定を構成する] のステップでは、新しいプロジェクトと顧客管理の暗号鍵（CMEK）用のキーリングを作成する必要があります。Sovereign Controls by Partners は暗号鍵を自動的に作成しないため、このステップでは鍵は作成されません。
注: 鍵管理プロジェクトが作成されたら、連携された外部鍵を作成する手順を完了します。Cloud EKM 用に連携された外部鍵を作成する場合、手動で作成した鍵バージョンが主鍵バージョンとして自動的に設定されることはありません。主キーとして設定するには、鍵のローテーションをご覧ください。
選択した主権パートナーによっては、パートナーの権限を管理する手順が追加される場合があります。このステップでは、パートナーに次のデータへのアクセス権を付与するかどうかを選択できます。
- モニタリング: フォルダに関する Assured Workloads モニタリング情報を表示する権限が含まれます。これには、未解決または解決済みのコンプライアンス違反と、それらの違反に対して付与した例外が含まれます。
- アクセスの透明性と緊急アクセスログ: フォルダのアクセスの透明性ログと緊急アクセスログを表示する権限が含まれます。
- アクセスの透明性に関するサポートケースの詳細: フォルダのアクセスの透明性ログでアクセス理由として使用される追加のサポートケースの詳細を含める権限が含まれます。この権限を有効にするには、アクセスの透明性と緊急アクセスログの権限が必要です。
- アクセス承認情報: フォルダのアクセス承認ログを表示する権限が含まれます。
これらの権限の付与と取り消しについて詳しくは、パートナーの権限をご覧ください。
選択したら、[次へ] をクリックします。
[フォルダを確認して作成する] のステップで、新しいパートナーによる主権管理フォルダの詳細を確認し、正しいことを確認します。[フォルダの作成] をクリックします。

これらの手順を完了すると、Sovereign Controls by Partners によって次のリソースが作成されます。

パートナーによる主権管理フォルダ。このフォルダは、パートナーのサービスに準拠するためにサポートされている Google Cloud プロダクトに対してセキュリティ管理を適用します。これらのコントロールには、サポートされているプロダクトのみにリソース使用を制限し、許可されたロケーションでのみリソースの作成または使用を許可する組織ポリシーの設定が含まれます。
構成された CMEK キーリングを含む CMEK プロジェクト。
注: フォルダの作成では、キーは自動的に作成されません。フォルダを作成したら、リソースを追加する前に暗号鍵を作成する必要があります。

パートナー権限

Assured Workloads のモニタリングとアクセス履歴データへのアクセス権をパートナーに付与した場合、このアクセス権はいつでも取り消すことができます。すべてのタイプのデータに対するアクセス権を付与または取り消すには、次の操作を行います。

Google Cloud コンソールで、[Assured Workloads] ページに移動します。

Assured Workloads に移動
[Sovereign Controls by Partners] フォルダの名前をクリックして、フォルダの詳細を表示します。
[Assured Workloads フォルダの詳細] ページの [情報] パートナーの権限セクションで、[パートナーの権限を構成] ボタンをクリックします。
[パートナーの権限を構成] パネルで、各タイプのデータの権限を付与または取り消すチェックボックスをオンにして、[保存] をクリックします。

パートナーによるこのデータへのアクセスは、選択内容に応じて許可または取り消されます。

モニタリング

フォルダの Assured Workloads モニタリングデータへのパートナーアクセスを有効にするには、Cloud Controls Partner サービスエージェントに Identity and Access Management（IAM）ロールが付与されます。すべてのサービスエージェントと同様に、Cloud Controls Partner サービスエージェントは Sovereign Controls by Partners の代理として動作します。これは、パートナーの Sovereign Controls フォルダの IAM ポリシーに表示され、次のメール形式を使用します。ここで、FOLDER_ID はそのフォルダの ID です。

service-folder-[FOLDER_ID]@gcp-sa-cloudcontrolspartner.iam.gserviceaccount.com

サービスエージェントには、フォルダに対する Cloud Controls Partner Monitoring サービスエージェント（roles/cloudcontrolspartner.monitoringServiceAgent）IAM ロールが付与されます。このロールとその権限の詳細については、IAM リファレンスをご覧ください。

次のステップ

パートナー管理の KMS を構成する方法を確認する