Go to Qiita Advent Calendar 2024 Top
LoginSignup
8
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

@kccs_daisuke-ishizeki(Daisuke Ishizeki)in京セラコミュニケーションシステム(デジタルソリューション)

Google Cloud でデフォルトの組織ロールを放置すると起きること

Last updated at Posted at 2023-03-20

こんにちは、京セラコミュニケーションシステム 石関 (@kccs_daisuke-ishizeki)です。

以前こちらの記事で 企業が Google Cloud を使い始める際は、Google Workspace(または Cloud Identity) を利用して Google アカウントを作成・管理することが推奨されている旨ご紹介しました。

この記事では組織で Google Cloud を使い始めた際に発生しやすい課題とその対処法についてご紹介します。

記事中のhoge.comは架空の組織(ドメイン)です。

この記事の対象者

  • Google Cloud を使い始めた方
  • 会社や部門のIT管理者

デフォルトの組織ロールとは

まず、デフォルトの組織ロールとは?ですが赤枠で囲った IAM 設定を指します。
IAM.png

ポイントはプロジェクトの IAM ではなく、組織に対する IAM 設定である点です。

対象画面には以下の操作で辿り着けます。

  1. Google Cloud Console からページ上部にある [組織の選択] プルダウンリストで組織(この例ではhoge.com)を選択
  2. ナビゲーションメニューより [IAM と管理] - [IAM] を開く

放置するとどうなるか

こうなります(断言)。
こうなる_プロジェクト.jpg

無数の My First Project が生まれる😇

これ以外のプロジェクト名がついたプロジェクトも多数作成され、そのほとんどが使われていないプロジェクトと推測できる状況かと思います。

こうなると不要なプロジェクトをシャットダウン(削除)して整理したくなりますが、プロジェクトの利用者に確認したり、シャットダウンを依頼することになるため、ちょっと面倒です。

こうなる_請求先アカウント.png

無数の 請求先アカウント が生まれる😇

おそらくほとんどが、Google Cloud を無料トライアルした際に作成された、個人のクレジットカードが登録された請求先アカウントです。先ほどの My First Project などのプロジェクトにリンクしているものと想像できます。

これ自体が良いのかどうかは会社のポリシーによってさまざまだと思いますが、個々人が個別に経費精算する状況が望ましくないケースもあるかと思います。

組織のすべての請求先アカウントを list するには、組織リソースに対し請求先アカウント閲覧者などのロールが割り当てられている必要があります。
組織の管理者ロールのみでは組織の請求先アカウントを list できませんのでご注意ください。

どうしてこうなるの?

デフォルトで組織リソースに対し、組織(ドメイン)のすべてのユーザーに権限があり、自由に作成できるためです。

ドキュメント1に以下の記載があります。

デフォルトでは、組織リソースを作成すると、ドメインのすべてのユーザーに請求先アカウント作成者とプロジェクト作成者のロールが付与されます。
このデフォルトのロールは、ユーザーがすぐに Google Cloud の使用を開始できるようにするためのものであり、組織リソースの通常運用での使用を意図したものではありません。

文字だけではイメージしにくいかなと思うので、具体例で示します。
IAM2.png

ポイントは左下赤丸の hoge.com となっている箇所です。
これが組織(ドメイン)のすべてのユーザーを表しています。タイプのアイコンもドメインになってますね。

この例では(イメージ図記載のとおりですが)以下の設定になっています。

  • hoge.com というリソースに対し
  • hoge.com (ドメイン)すべてのユーザー
  • プロジェクト作成者請求先アカウント作成者ロールを割り当てる

どうすれば良いか

やることは単純で、

  • 組織リソースに対し、組織(ドメイン)に割り当てられているデフォルトロール(プロジェクト作成者請求先アカウント作成者)を削除する

をすれば先ほどの状況は回避できます。

ただ、これだけでは利用したい人がセルフでプロジェクトを作成できなくなるため、会社のポリシーに合わせどのように利用させるか検討が必要です。

以下、設定の一例です。

  • 例:管理部門がプロジェクトの作成を担うケース
    • 管理部門メンバーの Google アカウントなどのプリンシパル2
      • 組織リソースに対し、プロジェクト作成者を割り当てる
      • プロジェクトをリンクさせる請求先アカウントに対し、請求先アカウントユーザーを割り当てる
  • 例:プロジェクトの作成を利用者に委譲するケース
    • 対象メンバーが所属する Google グループなどのプリンシパル2
      • 特定のフォルダリソースに対し、プロジェクト作成者を割り当てる
      • プロジェクトをリンクさせる請求先アカウントに対し、請求先アカウントユーザーを割り当てる

Cloud Build などからプロジェクトの作成を行いたい場合は、上記プリンシパルをサービスアカウントに置き換えることで実現できます。

参考

  1. https://cloud.google.com/resource-manager/docs/default-access-control?hl=ja

  2. https://cloud.google.com/iam/docs/overview?hl=ja#concepts_related_identity 2

8
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
8
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?