GCP(Google Cloud Platform)のリソース管理
「組織」を活用した管理方法をご紹介
こんにちは。
ちゅらデータでデータビジネスコンサルタントをしている山本です。
この記事では、GCPのリソース管理についてお話いたします。
GCPを使い始めると、プロジェクトが増えていきがちだと思います。
最初から秩序立てて、リソース管理ができればよいのですが、後回しにしてしまって、気づいたときにはプロジェクトが乱立し、管理ができなくなってしまう。
そんなことを避けるために、スモールスタートするときから知っておいていただきたい「組織」についてまとめてみます。
GCP(Google Cloud Platform)のリソース
まず始めに、GCPにおけるリソースについて整理します。
GCPを利用する場合には、プロジェクトを起こして、その中で使いたいサービスを有効にします。
Webサーバを立てたい場合は Compute Engine(GCE)、大量データを処理・分析したい場合は BigQuery、機械学習を行う場合は Vertex AI などが中心となるサービスですね。それに周辺のサービスを組合せて、利用目的を満たす環境を作っていきます。
そのときの各サービスがGCPにおける「リソース」です。
リソースを利用目的で束ねたものが「プロジェクト」で、更にそれを「フォルダ」「組織」という単位で束ねて管理することができます。
この階層を図で示すと以下のようになります。
https://cloud.google.com/resource-manager/docs/cloud-platform-resource-hierarchy
ここに、「ヒト」(権限; IAM)と「カネ」(請求先アカウント)を紐つけて管理していくことができます。
階層化してリソース管理すると、「組織」→「フォルダ」→「プロジェクト」の順に、権限が継承されるため、個別プロジェクトレベルでのユーザ管理を最小限にできるようになります。
リソース管理の準備(「組織」の作成)
リソースを「組織」「フォルダ」に束ねて管理するためには、Google Cloudで「組織」を作成する必要があります。「組織」は、ドメイン名(datumstudio.jp など)と紐付くため、会社でひとつだけ起こします。
尚、Google Cloudの組織は、GCP(Google Cloud Platform)とGoogle Workspace(旧Google Apps for Business、G Suite)とで共通です。ですので、既に会社としてGoogle Workspaceを使っている場合は、GCP用に組織を起こす必要はありません。
ここでは、初めて組織を作成する場合の手順をご紹介しておきます。
(1)GCPの【Webコンソール画面】左上の三本線マークをクリックして、メニューを表示
(2)「IAMと管理」のサブメニューから、「IDと組織」を選択
(3)【組織用に Google Cloud を設定】で、「チェックリストに移動」をクリック
(4)【〇〇さん、組織を設定して Google Cloud で成功を収めましょう】で、「設定を開始する」をクリック
(5)【Cloud Identity の設定とドメインの確認】で、「CLOUD IDENTITYに申し込む」をクリック
(6)その後、会社名や連絡先メールアドレス、ドメイン名などを、入力していきます
これで、Cloud Identityのアカウントが作成されます。
続いて、今、作成したアカウントでログインし、登録したドメインの「所有権の証明」を行います。
DNSのTXTレコードかCNAMEレコードにGoogleが指定する文字列を設定することで証明します。
DNS設定後、「ドメインの所有権を証明」をクリックすると、Googleが所有権の確認を行います。
所有権の確認が完了したら、必要に応じてGoogle Adminでユーザの追加などを行います(Active Directoryなどとの同期も可能です)。
ここまでで、Cloud Identityの設定は終了で、GCPの設定に戻ります。
Cloud Identityに登録したユーザで、GCPにログインし、「IAMと管理」〜「IDと組織」を選択すると、「Cloud Identityの有効化と組織の作成」にチェックが付いている状態になっていると思います。
この後、ナビゲーションに従って、「ユーザーとグループ」「管理者権限」などを設定していけば、「組織」の設定は完了です。
リソース階層の作成
前述のナビゲーションの中に、「階層とアクセス」というステップがあり、ここでGCPがおすすめする「リソース階層」を作成することができます。「推奨グループ」を作成しておけば、リソース階層を作ると同時に、アクセス権限も付与することができます。
もちろん、手動で作成していくことも可能です。
【Webコンソール画面】左上の三本線マークから、「IAMと管理」→「リソースの管理」を選択します。
この画面で、フォルダを作成したり、そのフォルダにプロジェクトを移動させたりできます。フォルダを作ると、そのフォルダに対する権限の管理が行えるようになります(フォルダの「IAM」設定)。デフォルトでは、組織から継承された権限が付与されている状態になっていますので、そのフォルダ以下の階層に共通するユーザを追加していきます。
リソース階層について、より深く知りたい場合は、Googleが用意している「ソリューション デザインパターン:エンタープライズ組織の基本」をご一読ください。
既存プロジェクトの移動
組織を作成する前に起こしていたGCPのプロジェクトは、以下の手順で組織配下に移動させることができます。
(1)移動する既存プロジェクトに、組織のユーザーをオーナー権限で追加します
(2)プロジェクトへの参加承諾を促すメールが届くので、リンクをクリックし、承諾します
(3)組織のユーザーでGCPにログインします
(4)【Webコンソール画面】左上の三本線マークから、「IAMと管理」→「リソースの管理」を選択します
(5)「No organization」の下に、該当するプロジェクトが表示されているので、そのプロジェクトを選択し、[移行]をクリックします
(6)遷移した画面で、移行先を指定すれば完了です
おわりに
GCPのリソース管理について、お話させていただきましたが、いかがだったでしょうか。
「組織」を導入することで、フルマネージドサービスに対するIPアドレス制限を掛けられる「VPC Service Controls」や、セキュリティリスクのある設定を見つけてくれるサービス「Security Command Center」なども利用できるようになります。
まだ「組織」を導入していなければ、ぜひ導入を検討してみてください。
DATUM STUDIOは、Google Cloud サービスを活用し、顧客を分析するための基盤や分析エンジン、実際に施策を実行するためのマーケティング実行基盤までEnd to Endで提供しています。
Google Cloud サービスについてお困りごとがあればDATUM STUDIOまでお気軽にお問い合わせください。
DATUM STUDIOは、クライアントの事業成長と経営課題解決を最適な形でサポートする、データ・ビジネスパートナーです。
データ分析の分野でお客様に最適なソリューションをご提供します。まずはご相談ください。
Contact
Explore Jobs
関連記事