Google Cloud の再販モデル
Google Cloud を利用する際に、Google Cloud の再販パートナー経由で契約を行うことが可能です。その場合、Google Cloud の利用料についても再販パートナーから請求を受けます。本節では、Google Cloud を再販パートナーから購入する場合にあらかじめ理解をしておくべき組織設計、再販パートナーに対する権限の付与のあり方、留意事項について解説します。
解決する課題・使い所
ユーザー企業が再販パートナー経由で Google Cloud の契約を行う場合であっても、「Google Cloud 設定のチェックリスト 」「Google Cloud アーキテクチャ フレームワーク」を参考にして、階層管理に則ったリソース管理、権限付与、請求管理の設計を行っていくという基本的な考え方に変わりはありません。
一方で、販売パートナーとの再販契約により、Google Cloud リソースの利用料、サポート費用の支払いは販売パートナー経由で Google Cloud へ行うことになるため、請求管理の方法が直接契約の場合とは異なる部分があります。また、あわせて販売パートナーの Google Cloud のノウハウの提供やデリバリの支援などテクニカル面での支援を得ることも可能になり、そのために必要な権限付与、リソース設計が必要です。
Google Cloud の再販モデル
Google Cloud の再販モデルには大きく 2 つのパターンがあります。
SI 再販モデル
パートナーが企業ユーザーに対して Google Cloud の再販、請求を行います
プロジェクトは企業ユーザー組織の配下に配置されます
Google Cloud コンソール よりプロジェクトの作成や管理、サポート チケット(カスタマーケアを購入している場合)の管理の一部をパートナーに許可する場合は、企業ユーザー管理者が、パートナーに対して適切な権限を付与する必要があります
MSP モデル
パートナーが企業ユーザーに対して Google Cloud の再販、請求を行います
プロジェクトはパートナーの再販組織の配下に配置されるケースが多いですが、再販パートナーの提供形態に依拠します
プロジェクトの作成や管理、サポート チケット(カスタマーケアを購入している場合)の管理はパートナーとなるため、原則として企業ユーザーが Google Cloud コンソールから管理することはできません
(パートナーが提供するサービス内容により異なるため、事前に確認をされることを推奨します)
Google Cloud コンソール は、パートナー様とお客様が Google Cloud のプロジェクトとリソースの管理に使用するグラフィカル ユーザーインターフェース(GUI)です。適用する再販モデルに応じて、再販パートナーまたは企業ユーザーのいずれかの Google Cloud 組織にプロジェクトをプロビジョニングできます。
ここからは、多くの再販パートナーが提供している SI モデルをベースに、再販モデルにおける推奨されるリソース階層について解説していきます。
SI モデルのリソース階層の設計
ここからは多くの再販パートナーが提供している SI モデルをベースとして、再販モデルにおける標準的なリソース階層を解説します。
リソース管理における基本的な考え方は、適切な組織・フォルダ構成と権限付与を実現する に記載されているデザイン パターンに則って設計することには変わりはありません。(上記の図では、フォルダ階層を省略して記載しています。)
再販パートナーから Google Cloud サービスを購入する場合であっても、企業ユーザーは作成した組織に再販を受ける対象のサービスを展開するプロジェクトを作成することによって、自社でリソースの管理権限を維持することが可能です。
プロジェクトを作成する際に、企業ユーザーの組織にある請求先アカウントを利用するのではなく、再販パートナーの請求先サブアカウントを紐付けることで、Google Cloud への請求が販売パートナー経由で行われます。
請求先サブアカウントとは、販売パートナーが企業ユーザーごとに払い出す特別な請求先アカウントです。請求先サブアカウントは Google Cloud 認定パートナーのみが発行することができ、企業ユーザが発行することはできません。請求先サブアカウントを販売パートナーから払い出しを受ける際には、企業ユーザーの組織ドメインの情報を販売パートナーに提供する必要があります。これは、販売パートナーが請求先サブアカウントを発行する際に、お客様組織のドメインを予め紐づけておくことで、ドメインと該当の請求先サブアカウントを正しく紐づけられるからです。
プロジェクト作成時に請求先サブアカウントを設定する方法は、以下のとおりです。
Google Cloud コンソール にログインし、プロジェクトのページにアクセスして、画面の上部にある [プロジェクトを作成] ボタンをクリックします。右のようなダイアログが表示されます。
新しいプロジェクト名を入力します。「企業ユーザーの名前-販売パートナーの会社名-企業ユーザーのプロジェクトの名前」という命名規則でプロジェクトに名前を付けることがベスト プラクティスです。
[請求先アカウント] セレクタ プルダウンリストを使用して、販売パートナー から払い出される請求先サブアカウントを選択します。
[作成] ボタンをクリックします。上記の図の例では、これにより、「customer-reseller-project1」という新しいプロジェクトが作成されます。このプロジェクトに対する料金は「Customer name - ResellerX」サブアカウントに関連付けられます。
企業ユーザーにて請求先サブアカウントを表示できない場合には以下の手順で確認します。
Google Cloud コンソールのナビゲーション メニューを開き、[お支払い] を選択します。
※請求先アカウントが複数ある場合は、[請求先アカウントを管理] を選択するよう求められます。[組織を選択する] プルダウン リストで、[組織なし] を選択します
※プロジェクトとリソースが特定の Google Cloud 組織に置かれていても、請求先サブアカウントはお客様ではなく再販パートナーが所有するため、常に [組織なし] の下に含まれています)。
[自分の請求先アカウント] ページで、親アカウント ID のフィルタの [x] をクリックして、すべてのサブアカウント(再販パートナーによって作成された請求先サブアカウント ID を表す)を表示します。
SI モデルでのサポートの購入
企業ユーザーが 再販されたプロジェクト内のリソースに対するテクニカル サポートを受ける場合には、Google Cloud が提供するカスタマーケアを利用できます。(販売パートナーが独自のサポート サービスを提供している場合もあります。)
カスタマーケアの詳細については、Cloud カスタマーケア を参照してください。
SI モデルで付与が必要となる権限
請求先サブアカウント
再販パートナーが企業ユーザーごとに発行する再販用請求先サブアカウントに対して IAM 権限を割り当て(パートナーセールス コンソール)
権限付与が必要な Google アカウント:パートナー担当者、企業ユーザー管理者(パートナーセールス コンソール)
請求先サブアカウントに対する権限付与はパートナーセールス コンソールにて実施します。パートナーセールス コンソール とは、再販パートナーが企業ユーザとその請求先サブアカウントを管理する再販パートナー専用コンソールで、再販パートナーだけがアクセスできる管理ポータルです。
再販パートナーの Google アカウントに対し新しいプリンシパルとして権限付与が必要な場合は、組織ポリシーにて組織外のドメインの権限付与を許可する必要があります。
請求関連の情報の可視化、オペレーションのために以下のロールを割り当て
サポートケース 起票 / 閲覧
カスタマーケア購入時に企業ユーザ管理者が IAM 権限を割り当て( Google Cloud コンソール )
権限付与が必要な Google アカウント:サポート アカウントを管理する管理者、サポート チケットの作成・管理を行うエンジニア
再販パートナーの Google アカウントに対して新しいプリンシパルとして権限付与が必要な場合には、組織ポリシーにて組織外のドメインの権限付与を許可する必要があります。
サポート チケットの作成、管理を行うために以下のロールを割り当て
サービス パートナーとして企業ユーザープロジェクトにて各種サービスのデプロイを実施する場合
企業ユーザー管理者が IAM 権限を割り当て( Google Cloud コンソール )
権限付与が必要な Google アカウント:作業を請け負うパートナー エンジニア
再販パートナーの Google アカウントに対して新しいプリンシパルとして権限付与が必要な場合には、組織ポリシーにて組織外のドメインの権限付与を許可する必要があります。
デプロイを行うために必要な IAM 権限を最小権限の原則に乗っ取り、リソースレベル、プロジェクト レベルで付与することを推奨します。
注意事項
リソース階層の設計の段階から、カスタマーケアの購入を見据えた組織、請求管理の設計を行うことを推奨します。
カスタマーケアは、各サービスの利用料と同様に請求先のサブアカウントを通して請求が行われます。
カスタマーケアの購入は組織単位となります。組織内の一部のプロジェクトのみにサポートを適用することはできません。
企業ユーザー組織において、再販パートナーからの再販を受けるプロジェクトと企業ユーザー組織の請求先アカウントを利用して請求管理を行っているプロジェクト(直販プロジェクト)が混在している場合、カスタマーケアを購入することはできません。これは、サポート契約は Google 基本契約(CMA)または、 Partner Agreement 単位で行う、という制約があり、直販、再販契約を同一サポートでカバーはできないことによります。このようなケースでは、組織を分割してそれぞれでサポート契約を行うことを検討してください。