組織のポリシー設定 

組織のポリシーを用いて実現できる制限の一例は下記になります。これらは、フォルダ構成を決定する上で必要となる観点となります。

  • 利用できるリージョンを制限する
  • 許可される Google Cloud API とサービスを制限する
  • Cloud IAM ポリシーに追加できる一連のメンバーを制限する
horizontalline

リージョンを制限する 

解決する課題・使い所

エンタープライズのご利用者様における法制度対応を目的として、 Google Cloud のリソースが配置されるリージョンを国内の東京リージョンと大阪リージョンに限定したいという場合がございます。

使用する API とサービス数、インスタンス数、ユーザー数が多くなり、コンソールで確認する運用コストが増加した場合は、組織のポリシーを用いてリージョンを限定することが効果的になります。

組織のポリシーの制約を用いることで、Google Cloud のシステムレベルでリソースが配置されるリージョンを特定のリージョンに限定することが可能となります。

アーキテクチャ

ここでは、組織ポリシーの適用例を図示します。組織ポリシーが適用される範囲を踏まえ、適切な組織、フォルダ、プロジェクト レベルで設定します。 
メンテナンスの容易性の観点から、プロジェクト単位での権限付与よりも、できるだけ上位の組織、フォルダ単位での権限の付与を推奨します。 

2-1

利点

リソース ロケーションの制限を行うことで、使用可能なリージョンを組織のポリシーのレベルで担保できます。

注意事項

上記の実現方法を検討する際に考慮する必要があるのは、以下のポイントになります。

    • 使用する API とサービスの把握
    • 使用するインスタンスの数
    • Google Cloud を利用するユーザーの数

使用する API とサービス数、インスタンス数、ユーザー数が少ない場合は、サービス利用開始時やインスタンス等の作成時に国内のリージョンを選択するように心がけ、コンソールを用いて各サービスにて使用しているリージョンを定期的に確認する運用を導入することで、設定と運用の工数を最小化しつつ目的を達成することができます。

horizontalline

API ・サービスを制限する

解決する課題・使い所

使用する API とサービスが明確になっており、不要なサービスが誤って利用されることを回避したいという場合があります。

使用する API とサービス数、インスタンス数、ユーザー数が多くなり、コンソールで確認する運用コストが増加した場合は、組織のポリシーを用いて使用する API とサービスを限定することが効果的になります。

組織のポリシーの制約を用いることで、Google Cloud のシステムレベルで、使用する API とサービスを限定することが可能になります。

アーキテクチャ

ここでは、組織ポリシーの適用例を図示します。組織ポリシーが適用される範囲を踏まえ、適切な組織、フォルダ、プロジェクト レベルで設定します。
メンテナンスの容易性の観点から、プロジェクト単位での権限付与よりも、できるだけ上位の組織、フォルダ単位での権限の付与を推奨します。 

2-2

利点

許可される Google Cloud API とサービスを制限することで、使用する API とサービスを組織のポリシーのレベルで担保できます。

注意事項

上記の実現方法を検討する際に考慮する必要があるのは、以下のポイントになります。

  • 使用する API とサービスの把握
  • 使用するインスタンスの数
  • Google Cloud を利用するユーザーの数

利用する API とサービス数、インスタンス数、ユーザー数が少ない場合は、不要なサービスを利用しないように心がけ、コンソールを用いて利用 API・サービスを定期的に確認する運用を導入することで、設定と運用の工数を最小化しつつ目的を達成することができます。

horizontalline

Cloud IAM のメンバーを制限する

解決する課題・使い所

Cloud IAM ポリシーに追加できるメンバーを制限し、不要なメンバーが登録されることを回避したいという場合があります。

許可または拒否したい Cloud Identity または Google Workspace(旧 G Suite)お客様 ID が多くなり、確認する運用コストが増加した場合は、組織のポリシーを用いて制限することが効果的になります。

組織のポリシーの制約を用いることで、Google Cloud のシステムレベルで、許可または拒否したい Cloud Identity を設定し、不要なメンバーの登録を回避することが可能になります。

アーキテクチャ

ここでは、組織ポリシーの適用例を図示します。組織ポリシーが適用される範囲を踏まえ、適切な組織、フォルダ、プロジェクトレベルで設定します。メンテナンスの容易性の観点から、プロジェクト単位での権限付与よりも、できるだけ上位の組織、フォルダ単位での権限の付与を推奨します。

2-3

利点

ID とアクセスの管理を設定することで、予期せぬメンバーが登録されないことを組織のポリシーのレベルで担保できます。

注意事項

上記の実現方法を検討する際に考慮する必要があるのは、以下のポイントになります。

  • 許可または拒否したい Cloud Identity または Google Workspace(旧 G Suite)お客様 ID の把握

許可または拒否したい Cloud Identity または Google Workspace(旧 G Suite)お客様 ID が少ない場合は、不要なメンバーが登録されないように心がけ、コンソールを用いて Cloud IAM ポリシーに追加されたメンバーを定期的に確認する運用を導入することで、設定と運用の工数を最小化しつつ目的を達成することができます。

関係するデザインパターン

  • 適切な組織、フォルダ構成と権限付与
  • 事前定義ロールの使用
  • IAM Conditions の使用