エンタープライズ組織の基本
目次
1. はじめに
適切な組織・フォルダ構成と権限付与を実現する
3. 組織のポリシー設定
リージョンを制限する
API ・サービスを制限する
Cloud IAM のメンバーを制限する
4. 事前定義ロールの使用
事前定義ロールを使用する
IAM Conditions を用いた条件付き権限付与
6. 請求アカウントの管理
請求情報へのアクセスを制限する
毎月の請求費用を BigQuery を用いて分析する
7. カスタマーケア サービス NEW
4 種類のサポート サービス
サポートケースへのアクセスを制限する
はじめに
エンタープライズのお客様が Google Cloud を利用する際の組織、IAM、課金に関する設計については様々なパターンが考えられますが、今回は下記のような要件を抱えたペルソナ企業を想定した組織、IAM、課金の設計例を紹介します。 このパターンを参考に適切な制約を設定することで、エンタープライズでのご利用に適した、IAM 権限・課金管理などを実現できます。
【ペルソナ企業の抱える要件】
組織のポリシー・IAM 権限
Google Cloud の主管チームがあり、Google Cloud を利用したい部署は主管チームにプロジェクトとユーザーを払い出す申請を行う手続きとなっている
大半がユーザーについて国内からの利用が見込まれることと法制度上の観点から、国内リージョンのリソースのみを利用することが好ましい
利用者は自部署のサービスについての権限のみを持つことができ、他部署の管轄するサービスについては、いかなる権限も持たせたくない
本番、開発、評価、Sandbox 環境を作りたい
Cloud IAM ポリシーに追加できる一連のメンバーを制限したい
期間・時間限定でアクセスを許可したいユースケースがある
請求アカウント管理
クレジットカードで利用額を支払う請求先アカウントを利用している
請求情報へのアクセスを必要最小限のメンバーに制限したい
パートナー経由の商流に切り替える必要が出てきており、今後一部のプロジェクトの請求アカウントをパートナー企業が準備している請求アカウントに変更する予定である
毎月の請求費用を詳細に分析したい
上記のニーズを満たすために、組織のポリシー・IAM 権限、請求アカウント管理の仕組みを用いて、それぞれの条件を実現することができます。
次に、これらの観点を組み合わせた全体設計例を示します。