本日も乙

ただの自己満足な備忘録。

Cloud IdentityでGCPの組織を作成する

Google Cloud Platform

はじめに

昨年7月にAWS Organizationsのメリットについて記事を書きました。今回はGCP版について書きます。

blog.jicoman.info

Google Cloud Platform(GCP)はデフォルトでは組織なしでの利用となります。AWSに対して、GCPで組織を作らなくてもプロジェクトの作成・シャットダウンは簡単にできますし、請求も一つにまとめることができます。会社など複数人数で利用するならともかく、個人利用においてGCPで組織を作るメリットはなんでしょうか。筆者が考えるメリットは以下のとおりです。

  1. VPC Service Controlsを使う
  2. Cloud IAMを検証する
  3. 組織・フォルダ・プロジェクトのアクセス制御を検証する

1. VPC Service Controlsを使う

BigQueryやCloud Storage(GCS)でIPアドレス制限をかけたい場合、VPC Service Controlsが必要です。VPC Service Controlsを使うには組織を作成する必要があります。

2. Cloud IAMを検証する

GCPのIAMは分かりづらいところがあり、実際に試してみないと腑に落ちないことがあります。いざ試すときに自分が使っているアカウントのIAMを変えてしまうと、下手したらGCPプロジェクトに対して何も操作ができなくなります。Google WorkspaceもしくはCloud Identityによって組織を作成し、検証用ユーザを作成しておけば安全に試すことができます。

3. 組織・フォルダ・プロジェクトのアクセス制御を検証する

会社でGCPを使われている場合は、構築されている組織配下にあるGCPプロジェクトで何かしらのサービス・プロダクトが稼働しているかと思います。一般的な開発者ならGCPプロジェクト内で作業するため問題ないですが、フォルダやプロジェクトのIAM管理をするような情シス・インフラ・SREの方々はフォルダやプロジェクトに対するIAMやアクセス制御を担うことがあります。2と同様に会社の組織内で気軽に検証するわけにもいかないのですが、個人アカウントで組織を作っておき、似たような構成を実現することで安心して試すことができます。

Cloud IdentityでGCPの組織をつくる

GCPの組織を作るメリットを理解できたところで、実際に作ってみます。Google Workspaceか、Cloud Identityで作ることができます。今回は無料で作成できるCloud Identity Freeを使った方法を採用します。Cloud Identity Freeについては以下の記事が参考になります。

okash1n.blog

Cloud Identityをつかった組織の作成方法については、以下の記事が参考になりました。作成するには、独自ドメインとドメインに対してDNSレコードを設定できる権限が必要になります。

cloud-ace.jp

www.apps-gcp.com

私の場合の利用例

独自ドメインは jicoman.info を使いました。BigQueryのプロジェクトをまたいだIAMについて調べていたので以下の図のようにフォルダとプロジェクトを作って遊んでいます。

gcp-organization

Google Adminでユーザーやグループも作成できるので、グループによるBigQueryデータセットへのアクセス制御についても試したりしています。

google-admin