Google Cloud の 「組織」について概要を詳しく解説
本記事では、Google Cloud の「組織」についてご紹介していきます。
組織を作成することで、利用できる代表的なサービスについてもご紹介いたします。
組織について
Google Cloud は、無料の Gmail アカウントでも Google Workspace アカウントでも、Google アカウントであれば利用することが出来ますが、利用できる機能には、大きな違いがあります。
それは、Google Workspace アカウントを利用することで 「組織」 が作れることです。
Google Cloud 上で、権限管理を行う重要な機能である IAM の機能やセキュリティを高めるためのサービスの中には、 組織 を作ることで利用できる機能が多くあり、Google Cloud をビジネス利用をする上では、必須と言えるものになっています。 組織 によって適用される IAM アクセス制御ポリシーは、組織のすべてのリソースの階層全体に適用されます。
Google Workspace のドメイン単位を、Google Cloud 上では 組織 として使用します。
もし、すでに組織のドメインを別で利用しており、Google Workspaceの登録ができない場合は、サブドメインでの登録や、 Cloud Identity を利用することで利用することが可能になります。
以下に、組織を設定することで利用可能になる機能をいくつか紹介します。
(1) 特権管理者権限
特権管理者権限は、すべての管理を行うことが出来る権限となります。
Google Cloud のアカウントを作ると、組織が自動で作られます。 その際、Google Cloud の特権管理者ユーザーが、Google Workspace もしくは Cloud Identity の特権管理者に割り当てられます。
権限が強く緊急性のある操作が行えるため、日常的に利用されるユーザーに割り当てることは推奨されておらず、別途、特権管理者専用のアカウントを作成して利用することが推奨されています。
Google Cloud の公式サイトに 「特権管理者アカウントのベスト プラクティス」 が紹介されています。
特権管理者アカウントのベスト プラクティス
(2) 組織管理者
組織管理者は、組織の配下に作るフォルダ、プロジェクトの構成を管理し、それぞれの権限を管理することが出来る権限となります。
また、ベストプラクティスに従い、組織全体の管理を行うユーザーに、組織管理者権限を付与します。
組織管理者を用意することは、Google Workspace または Cloud Identity と Google Cloud のサービスを、顧客の組織のことなる部門で管理するために必要です。
(3) フォルダ
組織を利用することで利用できるようになる重要な機能として、「フォルダ」 があります。フォルダ は、Cloud Platform リソース階層のノードであり、プロジェクトや他のフォルダを置くことが可能です。 複数のフォルダやリソースを入れることができますが、親にとれるものは1つだけです。
Google Cloud では、プロジェクトの単位でサービスを構築しますが、プロジェクトは簡単に作成、削除ができ、利用する権限などを考慮して、作ることが出来ます。
例えば、開発環境/検証環境/本番環境などに対し、同じシステムで各環境を作る場合、システムをひとまとめにしたフォルダを作ることで、管理することが出来ます。
フォルダに付けた権限をつけることができ、配下のプロジェクトに引き継がれます。 例えば以下の構成のプロジェクトを作った場合は、フォルダ1に 「Cloud Storege オブジェクト管理者 権限」をつけると、各プロジェクトに同じ権限が付与されます。
-組織
└─ フォルダ1
├─ 開発プロジェクト
├─ 検証プロジェクト
└─ 本番プロジェクト
もし、本番環境とそれ以外では、権限を分けたい場合には、フォルダ1には、管理者の権限のみを付与し、各プロエジェクトには、メンバーに対して必要な権限を個別に付与することも可能です。
フォルダの説明は、公式サイトのこちらもご確認下さい。
(4) 組織ポリシー
組織全体のポリシーを設定することが出来ます。
通常、プロジェクト単位、サービス単位で個別に設定を行います。組織が大きくなると、各システムのセキュリティ設定の漏れが発生するなど、管理が難しくなっていきます。
その際に、組織ポリシーを設定することでプロジェクト、サービスに対して共通の制約を設定することができます。
組織全体のポリシーの設定項目は多岐にわたり、非常に多くの設定ができます。
例をいくつか挙げると以下のような事が可能です(詳細は、組織ポリシーの制約 を参照してください)。
- Google Cloud Storage の外部公開禁止
- デフォルトの VPC ネットワークの作成無効
- Cloud SQL インスタンスに対するパブリックIPのアクセスを制限
公式サイトはこちらです。
組織ポリシー サービスの概要
組織で利用できるサービス
(1) Access Context Manager
Access Context Manager は、Google Cloud のプロジェクトとリソースに対するアクセスを制御するための定義を作成することが出来ます。 特に、IAM の権限だけでは制御できないきめ細かな制御の定義が可能です。
例えば、以下のような内容を組み合わせた定義が可能です。
- デバイスの種類とオペレーティング システム
- IPアドレス
- ユーザーID
「Access Context Manager」 を理解する上で重要なことは、あくまでも「定義」 を作成するサービスであるということです。
Access Context Manager で定義を作成し、次に紹介する 「VPC Service Controls」 で利用することで、機能するようになります。
また、Google Cloud 内での利用のみならず、「BeyondCorp Enterprise」 における、アクセス制御を行う上でも重要な要素になっています。
公式サイトはこちらです。
Access Context Manager の概要
(2) VPC Service Controls
プロジェクト内部から外部へのデータの持ち出しを制限することが出来ます。
個人情報を管理するデータベース等がある場合、システム外へのデータの持ち出しには、特に気を使う必要があると思います。
そういった際に、利用できるのが、「VPC Service Controls」 です。
VPC Service Controls は、Google Cloud と外部に境界を作り、外部へのデータの持ち出しを制限します。
ここで先に紹介した Access Context Manager にてアクセス制御を行うための定義を行います。
VPC Service Controls を使うことで、以下のようなケースのリスクを緩和できます。
- 流出した認証情報を使用した外部ネットワークからのアクセス
承認済みの VPC ネットワークからのアクセスのみを許可することで、流出した認証情報を利用して外部からアクセスすることを防止できます。 - 悪意のある関係者や感染コードによるデータの持ち出し
下り(外向き)ネットワーク内のクライアントは境界外にある Google マネージドサービスのリソースにアクセスできません。 これにより、内部の関係者であってもデータの持ち出しを制限することが出来ます。 - サービスへのアクセスのモニタリング
実際にアクセスを阻止せずに保護されたサービスへのリクエストを監視することが出来ます。 また、Honeypot 境界を作成して、アクセス可能なサービスを探ろうとするアクセスを把握することが出来ます。
公式サイトはこちらです。
VPC Service Controls の概要
(3) Security Command Center
「Security Command Center」 は、Google Cloud で利用できるとても強力なセキュリティ、リスク管理ソリューションです。
以下のようなことが出来ます。
- 構成ミスと脆弱性の特定
- サイバーリスクの特定と修復の優先順位付け
- Google Cloud リソースを標的とする脅威を検出
- 規制遵守のモニタリングと管理
Security Command Center は、スタンダードサービスティアとプレミアムサービスティアがあります。
それぞれで利用できる主要な機能をご紹介します。
■スタンダードサービスティア
| サービス | 概要 |
|---|---|
| Security Health Analytics | Google Cloud のマネージド脆弱性評価スキャン機能を提供します。Google Cloud アセットの最も重大な脆弱性と構成ミスを自動的に検出可能です。 |
| Web Security Scanner のカスタム スキャン | ファイアウォールに保護されていない公開 URL と IPアドレスにデプロイされたアプリケーションのカスタム スキャンを行います。すべてのプロジェクトに対して手動で構成、管理、実行され、OWASP トップ 10 のカテゴリの一部がサポートされます。 |
| Security Command Center のエラー | Security Command Center とそのサービスの正常な動作を妨げる構成エラーの検出と修復のガイダンスが用意されています。 |
■プレミアムティア
スタンダードサービスティアで提供されているサービスの教科に加え以下のようなサービスが提供されています。
| サービス | 概要 |
|---|---|
| Event Threat Detection | Cloud Logging と Google Workspace をモニタリングし、マルウェア、暗号通貨マイニング、ブルーとフォースSSH、IAM異常付与などの脅威を検出します。 |
| Container Threat Detection | 追加されたバイナリの実行やライブラリの読み込み、悪意あるスクリプトの実行、リバースシェルのコンテナランタイム攻撃を検出します。 |
| Sensitive Actions Service | Google Cloud の組織、フォルダ、プロジェクトで悪意のある行為者によって行われ、ビジネスに被害を及ぼす可能性のあるアクションを検出します。 |
| Virtual Machine Threat Detection | VM インスタンスで実行され、悪質な可能性のあるアプリケーションを検出します。 |
公式サイトはこちらです。
Security Command Center の概要
(4) 共有VPC
Compute Engine などを利用する際には、VPC ネットワークの作成が必要になります。
通常は、プロジェクト単位で作成することになり、プロジェクト間で内部IPでの通信をするためには、ピアリングや VPN などを使って接続する必要があります。
この方式では、IPアドレスが重複する可能性があり、双方のプロジェクトのIPレンジの管理に気を使う必要があります。
プロジェクト間を跨いでネットワークを構築するためには、共有 VPC を利用することが出来ます。
この共有 VPC も組織を作ることで利用できるようになります。
ここでは、詳細の機能は省略させていただきますが、簡単な概要は以下のとおりです。
- ホストプロジェクトを作成する
- ホストプロジェクトで、VPCネットワークを作成し、その下にサブネットワークを作成する
- サブネットワークをサービスプロジェクトに共有する
共有 VPC を利用することで、ホストプロジェクト内でサブネットワークを集中して管理することが出来るようになり、IPアドレス範囲の重複などの問題を解決し、ネットワーク管理者が管理しやすい構成を作ることが出来ます。
公式サイトはこちらです。
共有 VPC
まとめ
「組織」は、Google Workspace や Cloud Identity を利用することで作成できます。
組織で利用するための様々な機能が提供されていますので、是非ご活用ください。
なお、これらの製品は販売することが可能です。
TD SYNNEX で販売パートナーとなり、Google のパートナーとしての条件を満たすことで、Google Workspace と Google Cloud ともに販売できるようになります。
Google Cloud の販売パートナーに興味のある方は、是非こちらからお申し込み下さい。
お申し込みフォーム
