目的
下記の様なリソースやセキュリティ管理を実現するために、Google Cloudにて組織を作成する。
まずは組織作成の手順から、フォルダ->プロジェクト作成まで実際にやってみる。
組織リソースの作成と管理
1.リソースの集中管理と整理
リソースを単一の管理下で集中管理することがで、リソースの利用状況を把握し、セキュリティやコンプライアンスの向上
2.アクセス制御の強化
組織ごとにアクセスポリシーを設定することで、ユーザーやプロジェクトのアクセス権を細かく制御
3.コストの管理
組織ごとに割り当てを設定することで、ユーザーやプロジェクトの利用できるリソースの量を制限
4.複数のプロジェクトを管理する
プロジェクトで異なるサービスを利用している場合、組織を作成することで、プロジェクトを管理
5.部門ごとにアクセス権を制限する
組織を作成して、アクセスポリシーを設定することで、部門ごとにアクセス権を制限
環境
ドメイン -> お名前.comにて新規で取得(xcloudyx.net)
DNSサーバ -> お名前.comのDNSサーバを利用しDNSレコードを追加
作成する組織、フォルダ、プロジェクト構成
組織の作成
こちらは、Google Cloudのアカウントを作成直後の画面
画面左上のボタンを押すと、各メニューに行ける
IAMと管理 -> IDと組織を選択する
続けて、チェックリストに移動を選択する
設定を開始するを選択する
初めて利用するにチェックをつけ、CLOUD IDENTITYに申し込むを選択する
Cloud Identityの作成
ブラウザで別のページに飛ぶので、必要事項を記載して、次へを選択する
性名を記載し、GoogleCloudに登録したgmailアドレスを入力し、次へを選択する
自分が持っているドメインを入力し、次へを選択する
この環境では、「xcloudyx.net」をいうドメインを用いる
確認画面で問題なければ、次へを選択する
どちらか選択して次へ進む
作成するユーザを記載し、「私はロボットではありません」にチェックをつけ、同意して続行を選択する
※画像では「xcloudx.net」になっていますが、正しくは「xcloudyx.net」です。(画像撮り忘れ)
登録が完了すると、Admin Consoleへのログイン画面になるので、作成したユーザでログインする
本人確認の画面が表示されるため、受信できる携帯電話番号を入力し、コードを取得する
受信した確認コードを入力し、完了する
内容を確認し、問題なければ理解しましたを選択する
管理コンソールの画面が表示されるので、次へを選択する
保護を選択する
ドメイン保護の説明を読み、ドメインを保護を選択する
今回利用するドメイン「xcloudyx.net」はGoogle Domainsで取得したものではないので、(b)を実行する
従って、次へ:手順2に移動を選択する
お名前.com側の操作(TXTレコードの追加)
登録したドメイン名を管理しているDNSサーバでTXTレコードを追加する必要がある
今回は登録する「xcloudyx.net」のドメインはお名前.comで管理されているため、お名前.comの画面で実施する
ドメイン設定 -> DNS設定/転送設定 -> 変更対象ドメイン -> 次へを選択
対象ドメインが正しい事を確認し、設定するを選択する
Google Cloudドメイン保護の画面に表示されているTXTレコードをお名前.comの画面に入力する
(c)の内容を確認し、その値をお名前.comに入力
お名前.com側の画面を少し下にスクロールすると、DNSレコードの追加エリアがある
ホスト名、TYPE、VALUEをGoogle Cloudドメイン保護の画面からコピーし記載する
最後に追加を選択
画面下にある確認画面へ進むを選択する
設定内容を確認
実際にdigコマンド等でレコードを確認し、txtレコードが確認できるか見てみる
% dig xcloudyx.net txt
; <<>> DiG 9.10.6 <<>> xcloudyx.net txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64365
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;xcloudyx.net. IN TXT
;; ANSWER SECTION:
xcloudyx.net. 3600 IN TXT "google-site-verification=GpKej3-rp3RxXzbUGVRhwa-LWW2n8M1Kq0a1ccy8r-s"
;; AUTHORITY SECTION:
xcloudyx.net. 86400 IN NS 02.dnsv.jp.
xcloudyx.net. 86400 IN NS 03.dnsv.jp.
xcloudyx.net. 86400 IN NS 04.dnsv.jp.
xcloudyx.net. 86400 IN NS 01.dnsv.jp.
問題なければ、Google Cloudの画面に戻り、ドメイン保護を選択する
確認まで少し時間がかかるので待つ・・・。
問題なければ、続行を選択し完了
新しいユーザは特に不要(今回作成したユーザのみ)なので、Cloudコンソールを設定するを選択
利用規約を確認して同意する
以上で組織リソースの作成が完了
組織配下にプロジェクトの作成ができる事を確認
フォルダの作成準備
組織を作成したので、組織の配下にフォルダを作成していく
フォルダの作成にも権限が必要になるので、これ以降は新規ユーザを作成し権限の設定して操作する。
フォルダの作成と管理
ユーザの作成
Google Workspace 管理コンソールにログインし、トップ画面からユーザの追加を選択
新規作成ユーザの情報を入力し、新しいユーザーの追加を選択
ユーザが作成できたので、ページのユーザ名とパスワードもしくはメールに送信されたパスワードを参照し
作成したユーザでGoogleにログインする
パスワードの変更を求められるので実施する
権限の割り当て
xcloudx.netの組織を選択 -> IAM -> アクセス権を付与を選択
フォルダの作成権限
ロールの画面から、Resource Manager -> フォルダ管理者を選択
プロジェクトの作成権限
別のロールを追加を選択
ロールの画面から、Resource Manager -> プロジェクト作成者を選択
保存を選択し、完了
フォルダの作成
権限の割り当てが完了したので、フォルダの作成を実施する
先ほど権限を割り当てた「user1@xcloudyx.net」でログインする
IAMと管理 -> リソースの管理を選択
フォルダの作成を選択
フォルダ名や作成するフォルダの組織を選択し、作成を選択
作成した「Test Folder」が作成された
プロジェクトの作成
続いて作成したフォルダの下にプロジェクトを作成する
プロジェクトを作成を選択
プロジェクト名を入力し、場所は先ほど作成した「Test Folder」を選択し、プロジェクトを作成する
Test Folder配下にプロジェクトが作成された
