エンタープライズ組織の基本

目次

1. はじめに

2. 適切な組織、フォルダ構成と権限付与

    • 適切な組織・フォルダ構成と権限付与を実現する

3. 組織のポリシー設定

    • リージョンを制限する

    • API ・サービスを制限する

    • Cloud IAM のメンバーを制限する

4. 事前定義ロールの使用

  • 事前定義ロールを使用する

5. IAM Conditions の使用

  • IAM Conditions を用いた条件付き権限付与

6. 請求アカウントの管理

  • 請求情報へのアクセスを制限する

  • 毎月の請求費用を BigQuery を用いて分析する

はじめに

エンタープライズのお客様が Google Cloud を利用する際の組織、IAM、課金に関する設計については様々なパターンが考えられますが、今回は下記のような要件を抱えたペルソナ企業を想定した組織、IAM、課金の設計例を紹介します。 このパターンを参考に適切な制約を設定することで、エンタープライズでのご利用に適した、IAM 権限・課金管理などを実現できます。

【ペルソナ企業の抱える要件】

  • 組織のポリシー・IAM 権限

    • Google Cloud の主管チームがあり、Google Cloud を利用したい部署は主管チームにプロジェクトとユーザーを払い出す申請を行う手続きとなっている

    • 大半がユーザーについて国内からの利用が見込まれることと法制度上の観点から、国内リージョンのリソースのみを利用することが好ましい

    • 利用者は自部署のサービスについての権限のみを持つことができ、他部署の管轄するサービスについては、いかなる権限も持たせたくない

    • 本番、開発、評価、Sandbox 環境を作りたい

    • Cloud IAM ポリシーに追加できる一連のメンバーを制限したい

    • 期間・時間限定でアクセスを許可したいユースケースがある


  • 請求アカウント管理

    • クレジットカードで利用額を支払う請求先アカウントを利用している

    • 請求情報へのアクセスを必要最小限のメンバーに制限したい

    • パートナー経由の商流に切り替える必要が出てきており、今後一部のプロジェクトの請求アカウントをパートナー企業が準備している請求アカウントに変更する予定である

    • 毎月の請求費用を詳細に分析したい


上記のニーズを満たすために、組織のポリシー・IAM 権限、請求アカウント管理の仕組みを用いて、それぞれの条件を実現することができます。


次に、これらの観点を組み合わせた全体設計例を示します。