Google Cloud：組織に所属していないプロジェクトを管理するメリット・デメリットを解説&移行デモ

概要

企業でGoogle Cloudを利用する場合において、従業員が個別に作成したプロジェクトを一元管理するニーズは高まっていると感じます。

プロジェクトの作成自体は容易なため、個人が用途に応じて複数のプロジェクトを立ち上げることも可能ですが、その結果、管理が煩雑になりがちです。

放置されたプロジェクトはセキュリティリスクを高め、ユーザーアカウントが侵害された際には重大なインシデントに繋がる可能性があります。
このようなリスクを避けるためにも、組織内でのプロジェクト管理はとても重要です。

そこで今回は、個人が作成したGoogle Cloudプロジェクトを、組織配下に移管する方法についてご紹介します。これにより、セキュリティを強化し、プロジェクトの管理を効率化することができます。

組織とは

組織リソースは、Google Cloud リソース階層のルートノードで、プロジェクトの階層的なスーパーノードです。

組織とは Google Cloud プロジェクトをまとめて管理したい場合に使用するリソースになります。
役割としては、プロジェクトを会社単位でまとめたり、または組織を登録していないと使用できないセキュリティー機能を有効化するために登録を行います。

さらに、組織ポリシーという仕組みもあり、会社全体や部署単位で統一的なポリシーを強制させたい場合に便利です。（例：VMに外部IPの付与を禁止させるなど）

これにより特定の行動を制限し、組織全体の方針に沿った運用を実現することが可能になります。

【組織のイメージ】

組織がないプロジェクトとは

組織に所属なしないプロジェクトとは、単純にプロジェクトとGoogleアカウント（IAMユーザー）、請求先アカウントのみを使用して、Google Cloudを利用するということです。 （Google WorkspaceやCloud Identityも未使用）

【組織なしプロジェクト】

単純に個人にて、Google Cloudを利用する場合には、まずは検証環境やPC環境としてプロジェクトのみの運用で開始する方は多いかと思います。（こちらから登録可能）

ただし、やはり企業でGoogleクラウドを本格的に運用していくとなると、この野良プロジェクトの管理がとても重要になります。

繰り返しにはなりますが、ポリシーを統一的に適用できなかったり、一部のセキュリティー機能が使用できなかったり、課金管理も煩雑になったりと組織を使用しないことによるデメリットが大きいです。

組織への移行

今回付与した権限

移行を実施するIAMユーザー（例：demoiam@gmail.jp）に対して、ロールの付与が必要です。

• 移行する組織対して付与した権限
• プロジェクト作成者

• 移行するプロジェクトに対して付与した権限
• Project IAM 管理者
• プロジェクト移動

実際の移行作業

※あらかじめ、画像のプロジェクトIDなどはマスクしています。

• コンソールの設定より、プロジェクトの一覧を開きプロジェクトを選択する。
• 今回はDemoProject-01を選択する。

• 該当のプロジェクトに遷移後、移行を押下する。

• 該当の権限を所持していた場合に、その組織が現れるので選択して移行を実施する

• 組織への移行が完了しました。

• 念の為、プロジェクトの一覧も確認しました。

まとめ

企業がGoogle Cloudを最大限に活用するためには、プロジェクトの一元管理が不可欠です。
今回の記事では、個々のプロジェクトを組織配下に移管する方法を詳しく解説しました。

組織リソースを利用することで、セキュリティを強化し、管理を効率化することが可能になります。

放置されたプロジェクトのリスクを避け、統一的なポリシーを適用するためにも、今回のガイドを参考に組織への移行を検討してみてください。