適切な組織、フォルダ構成と権限付与 

このパターンを用いて適切な制約を設定することで、よりセキュアに、かつリソース管理の運用負荷を抑えて Google Cloud をご活用頂くことができます。

まず、適切な組織・フォルダ構成と権限付与を実現する考え方についてご説明し、フォルダ構成を決定する上で必要となる観点についてご説明します。

フォルダ構成を決定する上で必要となる観点とはすなわち、リソースの制御や権限管理が該当します。

horizontalline

適切な組織・フォルダ構成と権限付与を実現する

解決する課題・使い所

階層構造を用いて権限や制限を管理していない場合は、緻密な権限分掌の実現が叶わず、保守性や課金管理の面からデメリットが生じることが少なくありません。本項では企業における各部門や、本番環境、評価環境等のシステムが稼働する各環境毎に階層構造を構成し、適切な制限や権限の付与を行うことで、適切な権限分掌の実現、保守性の向上、課金管理を実現します。

Google Cloud のリソースは階層的に編成されます。この階層により、企業の運用体制を Google Cloud にマッピングし、関連リソースのグループのアクセス制御と権限を管理できます。

具体的には、最上位に位置する組織とフォルダを使用して階層を実現できます。フォルダを使用すると、ユーザーはフォルダでプロジェクトをグループ化でき、リソースやポリシーの大規模な管理が可能になります。

一方で、理想的なプロジェクト構造は要件によって異なります。また、時間とともに変わることもあります。プロジェクトの構造を設計するときには、リソースごとに請求を行う必要があるかどうか、どの程度の分離が必要か、リソースとアプリを管理するチームをどのように編成するかを決める必要があります。

プロジェクト構造を検討する上では、参考ドキュメントの 「Google Cloud 設定のチェックリスト 」、「エンタープライズのお客様向けのポリシー設計」等の考え方が参考になります。

アーキテクチャ

ここでは、組織、フォルダ、プロジェクトの構成例を図示します。 

1-1

今回のペルソナパターンでは、組織、フォルダ、プロジェクトについて 5 つの階層に分かれる構成例を示しております。

  1. 組織
  2. 部門毎のフォルダ
  3. 環境毎のフォルダ プロジェクト
  4. グループ毎のフォルダ
  5. プロジェクト

フォルダを用いて階層を分ける際には、各種リソースの制限やロールの付与などが容易な構成を目指します。階層を設計する上での具体的な観点としては、後述の項で示すリソースの制御と権限管理が該当します。

利点

構成されたフォルダに対して制限や権限の付与を行うことで、適切な権限分掌の実現、保守性の向上、課金管理を実現します。

注意事項

上記の実現方法を検討する際に考慮する必要があるのは、以下のポイントになります。

  • 部門の数
  • 環境の数
  • 組織に紐づくプロジェクトの数

部門、環境、プロジェクトの数が少ない場合は、各プロジェクト単位でリソースやポリシーを個別に管理する方法をご検討ください。
部門、環境、プロジェクトの数が増え、フォルダでプロジェクトをグループ化し、リソースやポリシーをフォルダレベルで管理することをご検討ください。

関係するデザインパターン

  • 組織のポリシー設定
  • 事前定義ロールの使用
  • IAM Conditions の使用