エンタープライズ組織の基本
エンタープライズ組織の基本
Embedded Files
目次
目次
1. はじめに
適切な組織・フォルダ構成と権限付与を実現する
3. 組織のポリシー設定
リージョンを制限する
API ・サービスを制限する
Cloud IAM のメンバーを制限する
4. 事前定義ロールの使用
事前定義ロールを使用する
IAM Conditions を用いた条件付き権限付与
6. 請求アカウントの管理
請求情報へのアクセスを制限する
毎月の請求費用を BigQuery を用いて分析する
7. カスタマーケア サービス NEW
4 種類のサポート サービス
サポートケースへのアクセスを制限する
はじめに
はじめに
エンタープライズのお客様が Google Cloud を利用する際の組織、IAM、課金に関する設計については様々なパターンが考えられますが、今回は下記のような要件を抱えたペルソナ企業を想定した組織、IAM、課金の設計例を紹介します。 このパターンを参考に適切な制約を設定することで、エンタープライズでのご利用に適した、IAM 権限・課金管理などを実現できます。
【ペルソナ企業の抱える要件】
組織のポリシー・IAM 権限
Google Cloud の主管チームがあり、Google Cloud を利用したい部署は主管チームにプロジェクトとユーザーを払い出す申請を行う手続きとなっている
大半がユーザーについて国内からの利用が見込まれることと法制度上の観点から、国内リージョンのリソースのみを利用することが好ましい
利用者は自部署のサービスについての権限のみを持つことができ、他部署の管轄するサービスについては、いかなる権限も持たせたくない
本番、開発、評価、Sandbox 環境を作りたい
Cloud IAM ポリシーに追加できる一連のメンバーを制限したい
期間・時間限定でアクセスを許可したいユースケースがある
請求アカウント管理
クレジットカードで利用額を支払う請求先アカウントを利用している
請求情報へのアクセスを必要最小限のメンバーに制限したい
パートナー経由の商流に切り替える必要が出てきており、今後一部のプロジェクトの請求アカウントをパートナー企業が準備している請求アカウントに変更する予定である
毎月の請求費用を詳細に分析したい
上記のニーズを満たすために、組織のポリシー・IAM 権限、請求アカウント管理の仕組みを用いて、それぞれの条件を実現することができます。
次に、これらの観点を組み合わせた全体設計例を示します。
Page updated
Report abuse