要旨
Google Cloud を組織で利用しようとしたとき、最初に課題となるのが 『Google Cloud 上の ID 管理をどうするか?』 という点です。
Google Cloud は独自の ID で運用されています。
個人用であれば、Gmail などの Google Account が利用できます。
組織で、Gmail などの Google Workspace を利用している場合、Google Workspace のアカウントが利用できます。
しかし、Google Workspace の費用は決して安いものではなく、他社のコラボレーションツール (e.g. Teams) を利用している場合は、コスト上の問題で導入が難しいものです。
このような場合に利用できる選択肢として、Google は Cloud Identity というサービスを用意しています。
Cloud Identity を利用することで、Google Account を作成して Google Cloud などで利用することができます。
基礎編では、以下の内容を実施します。
1. 新しい Cloud Identity アカウントを作成する
2. Cloud Identity の初期設定を行う
3. Google Cloud に対する権限を付与する
また、追加設定の補足として以下の内容を確認します。
1. Active Directory と連携する
2. 組織の MFA ポリシーを有効にする
他の記事は以下のリンクを参照してください。
- 基礎編 (本記事)
- 追加設定の補足
なお、Cloud Identity Free Edition は 50 ユーザーまで利用できます。
50 ユーザーの上限を増やす場合は、Google Workspace や Cloud Identity Premium などの有料サービスの利用が必要になります。
Cloud Identity Free Edition ユーザーの上限数
また、こちらの記事は参考であり、実際のビジネスに利用する場合は、アイレットなどの Google パートナーにご相談いただくことも検討してください。
事前準備
この記事は、以下の事前準備を要します。
詳細は割愛するので、他ドキュメントなどを参考に実施してください。
連絡先等の準備
自社に関する情報、申込者の氏名、アドレス等の申し込みに必要な情報を準備します。
ドメインの取得
Cloud Identity で登録するドメインの準備。
既存で Google Workspace や Cloud Identity で利用しているドメインは利用できないため、新規取得する、またはサブドメインの移管が必要です。
必要知識
Google の ID 周りに関する必要知識を記載します。
Google Account
Google Account は、Google の製品群 (e.g. Gmail、Google Drive、Google Cloud) が利用するアカウントです。
Google Account は、個人が管理するものと、組織が管理するものに分けられます。
個人が管理するものは、gmail.com を利用するものと、独自ドメインを利用するものに分けられます。
組織が管理するものでは、Google Workspace を利用するものと Cloud Identity に分けられます。
個人が管理するものでも、独自ドメインを利用することが可能です。
しかし、個人が管理するアカウントとなってしまうため、組織として利用する場合は統制の観点で注意が必要です。
そのため、組織で利用する際は、Google Workspace、または Cloud Identity を利用することを推奨いたします。
本記事では、Cloud Identity を用いて、組織がアカウント管理を行いつつ Google Cloud などで従業員のアカウントを利用できるまでの作業を行います。
Cloud Identity
Cloud Identity は、一般的に Workforce Identity and Access Management (IAM) と呼ばれる製品の一つです。
組織の従業員に対する Identity 管理を行います。
Cloud Identity で管理されるアカウントは、Gmail や Document の利用権限を有していませんが、Google Cloud の Cloud IAM によるアクセス管理には利用することが可能です。
ユーザーとグループ
Google Account には、個々のユーザーと、ユーザーの集まりとしてのグループがあります。
Google Cloud の Cloud IAM の権限付与には、ユーザーとグループのどちらも利用できますが、Cloud IAM で権限を付与するのはグループを利用し、グループに対してユーザーを管理する方法が推奨されています。
本記事でも、グループを作成して権限を付与する方法を示しています。
参考
リソース階層を使用したアクセス制御
Cloud IAM Google Cloud
手順
ここでは、 Cloud Identity を用意し、Google Cloud へアクセスする手順を実際に実施します。
1. 新しい Cloud Identity アカウントを作成する
Cloud Identity の新規作成
この章では、新しい Cloud Identity を作成します。
1. 登録ページへアクセス
登録ページ にアクセス
- 『ビジネス名』 に社名を入力
- 『自分を含む従業員の数』 に、授業員数を入力
- 『地域』で『日本』を選択
- 『次へ』
2. 連絡先を入力
- 『姓』『名』『現在のメールアドレス』を入力
- 『次へ』
3. ドメイン名を入力
- 『ご利用のドメイン名』に、事前に準備しているドメインを入力
- 『次へ』
(reCAPTCHA が出てくる場合があります)
4. 確認
- ドメインの情報が出てくるため、確認して『次へ』
5. 最新情報の受け取り
- 任意の選択肢を選択
6. お知らせの送信
- 任意の選択肢を選択
7. 管理者の情報を入力
- 『ユーザー名』『パスワード』に、管理者情報を入力
- 『同意して続行』
ここで作成されたユーザーは、Cloud Identity の特権管理者となります。
参考
既定の管理者ロール
特権管理者アカウントのベスト プラクティス
以上で、 Cloud Identity の作成と、特権管理者の作成が完了します。
2. Cloud Identity の初期設定を行う
Cloud Identity の初期設定
この章では、作成した Cloud Identity を初期設定します。
1. 管理サイトにアクセス
管理サイト にアクセスします。
Google ログイン画面が表示されるので、 上記で作成した特権管理者アカウントでログインします。
初回アクセス時は注意事項が表示されます。
2. 初期設定の確認
初期設定の必要な事項が表示されます。
この画面が表示されない場合、手動でアクセスしてください。
https://admin.google.com/u/0/ac/signup/setup/v2/gettingstarted
ドメイン所有権の証明
1. ドメイン所有権の証明
- 『保護』を選択
2. ドメインの保護
ドメイン保護に関するダイアログが表示されます。
今回の検証環境では、ドメインは AWS により管理されているため、Amazon Web Services に関する確認が表示されています。
(DNS の環境により、画面が異なる場合があります)
- 『ドメインを保護』
3. ドメイン環境ごとの保護方法の表示
ダイアログが表示され、ドメイン環境ごとのセットアップ手順が表示されます。
ダイアログの内容に従い、DNS に確認レコードをセットアップします。
4. 確認の完了
確認が完了すると、画面が遷移する。
- 『続行』
新しいユーザーの作成
Cloud Identity 作成時に、初回の特権管理者の作成は完了しています。
しかし、Cloud Identity では複数名の特権管理者を作成することが推奨されています。
本手順で、追加の特権管理者を作成します。
1. 新しいユーザーの作成
- 『作成』
2. 新しいユーザーの作成
ユーザー画面へ遷移する。
- 『新しいユーザーの作成』
3. 新しいユーザーの追加
- 『姓』『名』『メインのメールアドレス』を入力
- 必要に応じて『予備のメールアドレス』『電話番号』を入力
- 『新しいユーザーの追加』
4. ユーザー追加の完了
- 『ユーザー名』『パスワード』を記録
- 『完了』
5. パスワードをコピー
- 必要に応じてパスワードをコピー
- 『完了』
特権管理者権限の付与
1. ユーザー管理画面へアクセス
- ユーザー へアクセス。
2. ユーザーを選択
- 対象ユーザーの『名前』を選択
3. 管理メニューの表示
- 『管理者ロールと権限』から『ロールを割り当ててください』を選択
4. 管理ロールと権限の選択
- 必要なロールを割り当てる。
- 今回は、『特権管理者』を選択
- 『保存』
以上で、 複数の特権管理者の作成が完了します。
一般ユーザーを作成する場合は、本手順の『特権管理者権限の付与』を省略して作成してください。
3. Google Cloud に対する権限を付与する
Google Group を作成する
1. Admin のグループへアクセス
Admin サイトの グループ へアクセスする。
2. グループ作成へアクセス
- 『グループを作成』
3. グループ情報を入力
- 『グループ名』『グループのメールアドレス』を入力
- 『グループの説明』を入力
- 『グループのオーナー』にグループのオーナー権限を有するユーザーを入力
- 『セキュリティ』ラベルを付与することを推奨
- 『次へ』
参考
セキュリティ グループでセンシティブ データへのアクセスを制御する
4. アクセスタイプを設定する
- 組織の要求に従い、アクセスタイプを設定する
- 上記は、制限付きから、外部のアクセス権限を外したもの
5. グループに参加できるユーザーを制限する
- 『招待されたユーザーのみ』を選択
6. 組織外のメンバーの許可を制限する
- 『オフ』のまま
7. グループを作成する
- 『グループの作成』
8. 確認
- 作成が完了したことを確認する
- 『完了』
Google Group のメンバーを管理する
1. 対象となるグループの『グループ名』を選択する
- この例の場合、『example』を選択
2. メンバーの追加
- 『メンバーを追加』を選択
- 追加したいメンバーを入力
- 『グループに追加』
Cloud IAM で利用する
1. Google Cloud へアクセス
- Cloud IAM へアクセス
- 適切なプロジェクトを選択する。
2. アクセス権を付与
- 『アクセス権を付与』を選択
3. 権限の付与
- 『新しいプリンシパル』に『Google Group を作成する』で作成したグループのアドレスを入力
- 『ロール』に適切な権限を選択
- 『保存』
4. 確認
- 権限が付与されたことを確認
以上で、Cloud Identity で作成したグループに対して Google Cloud の権限付与が完了です。
グループのメンバーは付与された権限で Google Cloud にアクセスできます。
以上
