Help us understand the problem. What is going on with this article?

GCPを始めたときに最初にやることリスト

はじめに

GCPを使い始めた時にやるべきことについて書きたいと思います。

前提

前提として組織の使用を想定しています。 *Cloud IdentityかG-suiteの使用が前提

やることリスト

  • 特権管理者の管理
  • パスワードポリシーの設定
  • 不要なデフォルトの権限の削除
  • 組織ポリシーの活用
  • Billing設定

特権管理者の管理

G-SuiteまたはCloud Ideneityでの特権管理者(Super Admin)は2名以上4名未満となることが推奨になります。

https://support.google.com/cloudidentity/answer/2405986?hl=ja

特権管理者は、アカウントに少なくとも 1 人必要ですが、2 人以上にすることをおすすめします。そうすれば、1 人がパスワードを忘れても、もう 1 人がパスワードを再設定することができます。ただし、特権管理者を 4 人以上にすると、すべての管理者のパスワード再設定オプションが制限されます。

また、特権管理者は権限が非常に強いため、普段は利用せず、権限を絞ったユーザアカウントを作成し利用することが推奨となります。
特権管理者には多要素認証を適用することが推奨されます。
https://cloud.google.com/resource-manager/docs/super-admin-best-practices?hl=ja

特権管理者だけができるオペレーションは以下になります。

お支払い情報を設定する
ライセンスを管理する
管理者の役割を作成する、割り当てる
管理者のパスワードを再設定する
削除したユーザーを復元する
管理者の設定を変更する
連絡先の共有の有効と無効を切り替える

特権管理者の作成方法

https://support.google.com/a/answer/172176?hl=ja&ref_topic=4514291

Admin Consoleでユーザアカウントを作成した後、作成したアカウントをクリック。ASSIGN ROLEをクリックする。
image.png

Super Adminロールをアサインする
image.png

2段階認証の有効化

Admin ConsoleでSecurity>Basic Settingsをクリックする。
「Allow users to turn on 2-step verification」を有効にする。*デフォルトで有効

各ユーザで2段階認証を設定する。

以下の設定が可能です。

セキュリティ キー
Google からのメッセージ
Google 認証システム
バックアップ コード
テキスト メッセージや電話

https://support.google.com/a/answer/175197

今回は、テキストメッセージの設定します。設定ページにアクセスしますす。
https://myaccount.google.com/security/signinoptions/two-step-verification

携帯の電話番号を入力して次へをクリックします。
image.png

携帯に送付されたコードを入力します。
image.png

2段階認証を有効にします。
image.png

組織に2段階認証を有効にする

Admin ConsoleでSecurity>Basic settings>Go to advanced settings to enforce 2-step verificationをクリックする
Turn on enforcement nowにチェックをつけてSaveをクリックする。
image.png

一度サインアウトして再度ログインする。
携帯に送付されたテキストメッセージに記載されたコードを入力してログインする。
image.png

2段階認証が設定されていないユーザでログインしようとしてもログインできません。
image.png

パスワードポリシー設定

デフォルトでは、「安全なパスワードを適用する*」「パスワード長が8-100文字」となっています。セキュリティルールに合わせてパスワードポリシーを設定します。

*安全なパスワードとは、「よく使用されるパスワードや以前使用したパスワードの確認など、多くのアルゴリズムとルールから判断されます。」

設定方法

https://support.google.com/a/answer/139399?hl=ja
[セキュリティ] 次に [パスワードの管理]
image.png

要件に合わせてパスワードポリシーを設定する
image.png

不要なデフォルトの権限の削除

デフォルトのIAMロール設定は、強い権限が割り当てられているため、不要なものを削除します。
例)
image.png

設定方法

Google Cloud Consoleで設定対象の組織、フォルダ、またはプロジェクトを選択します。IAMを選択します。不要な行を選択し削除をクリックします。

image.png

組織ポリシーの活用

組織ポリシーは、組織、フォルダ、プロジェクト単位で設定可能です。利用者に実施してほしくないものを制限可能です。

例)
image.png

設定方法

Google Cloud Consoleで組織ポリシーを設定する組織かフォルダ、プロジェクトを選択します。IAMと管理を選択します。組織ポリシーをクリックします。任意のポリシーを選択し有効にします。

image.png

Billing設定

予算を超過した場合、通知が設定可能です。
https://cloud.google.com/billing/docs/how-to/budgets?hl=JA&visit_id=637071530718593610-3971689336&rd=1

設定方法

Google Cloud Consoleでお支払いをクリックする
image.png

請求先アカウントをクリックする

予算をアラートをクリックする
image.png

予算を作成する
image.png

image.png

image.png

image.png

投稿内容は私個人の意見であり、所属企業・部門見解を代表するものではありません。

atsumjp
Cloud Consultant, Google Cloud Professional Services. All views and opinions are my own. GCPサービスについて試してみた内容について書いていきたいと思います。 GCP<-AWS<-NetApp<-SES
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした