組織のポリシー設定   

組織のポリシーを用いて実現できる制限の一例は下記になります。これらは、フォルダ構成を決定する上で必要となる観点となります。

リージョンを制限する

解決する課題・使い所

エンタープライズのご利用者様における法制度対応を目的として、 Google Cloud のリソースが配置されるリージョンを国内の東京リージョンと大阪リージョンに限定したいという場合がございます。

使用する API とサービス数、インスタンス数、ユーザー数が多くなり、コンソールで確認する運用コストが増加した場合は、組織のポリシーを用いてリージョンを限定することが効果的になります。

組織のポリシーの制約を用いることで、Google Cloud のシステムレベルでリソースが配置されるリージョンを特定のリージョンに限定することが可能となります。


アーキテクチャ

ここでは、組織ポリシーの適用例を図示します。組織ポリシーが適用される範囲を踏まえ、適切な組織、フォルダ、プロジェクト レベルで設定します。
メンテナンスの容易性の観点から、プロジェクト単位での権限付与よりも、できるだけ上位の組織、フォルダ単位での権限の付与を推奨します。

利点

リソース ロケーションの制限を行うことで、使用可能なリージョンを組織のポリシーのレベルで担保できます。


注意事項

上記の実現方法を検討する際に考慮する必要があるのは、以下のポイントになります。

使用する API とサービス数、インスタンス数、ユーザー数が少ない場合は、サービス利用開始時やインスタンス等の作成時に国内のリージョンを選択するように心がけ、コンソールを用いて各サービスにて使用しているリージョンを定期的に確認する運用を導入することで、設定と運用の工数を最小化しつつ目的を達成することができます

API ・サービスを制限する

解決する課題・使い所

使用する API とサービスが明確になっており、不要なサービスが誤って利用されることを回避したいという場合があります

使用する API とサービス数、インスタンス数、ユーザー数が多くなり、コンソールで確認する運用コストが増加した場合は、組織のポリシーを用いて使用する API とサービスを限定することが効果的になります

組織のポリシーの制約を用いることで、Google Cloud のシステムレベルで、使用する API とサービスを限定することが可能になります


アーキテクチャ

ここでは、組織ポリシーの適用例を図示します。組織ポリシーが適用される範囲を踏まえ、適切な組織、フォルダ、プロジェクト レベルで設定します
メンテナンスの容易性の観点から、プロジェクト単位での権限付与よりも、できるだけ上位の組織、フォルダ単位での権限の付与を推奨します。

利点

許可される Google Cloud API とサービスを制限することで、使用する API とサービスを組織のポリシーのレベルで担保できます


注意事項

上記の実現方法を検討する際に考慮する必要があるのは、以下のポイントになります

利用する API とサービス数、インスタンス数、ユーザー数が少ない場合は、不要なサービスを利用しないように心がけ、コンソールを用いて利用 API・サービスを定期的に確認する運用を導入することで、設定と運用の工数を最小化しつつ目的を達成することができます

Cloud IAM のメンバーを制限する

解決する課題・使い所

Cloud IAM ポリシーに追加できるメンバーを制限し、不要なメンバーが登録されることを回避したいという場合があります

許可または拒否したい Cloud Identity または Google Workspace(旧 G Suite)お客様 ID が多くなり、確認する運用コストが増加した場合は、組織のポリシーを用いて制限することが効果的になります

組織のポリシーの制約を用いることで、Google Cloud のシステムレベルで、許可または拒否したい Cloud Identity を設定し、不要なメンバーの登録を回避することが可能になります


アーキテクチャ

ここでは、組織ポリシーの適用例を図示します。組織ポリシーが適用される範囲を踏まえ、適切な組織、フォルダ、プロジェクトレベルで設定します。メンテナンスの容易性の観点から、プロジェクト単位での権限付与よりも、できるだけ上位の組織、フォルダ単位での権限の付与を推奨します

利点

ID とアクセスの管理を設定することで、予期せぬメンバーが登録されないことを組織のポリシーのレベルで担保できます


注意事項

上記の実現方法を検討する際に考慮する必要があるのは、以下のポイントになります

許可または拒否したい Cloud Identity または Google Workspace(旧 G Suite)お客様 ID が少ない場合は、不要なメンバーが登録されないように心がけ、コンソールを用いて Cloud IAM ポリシーに追加されたメンバーを定期的に確認する運用を導入することで、設定と運用の工数を最小化しつつ目的を達成することができます


関係するデザインパターン