【Google Cloud/Organization】組織の使い方（① 組織を作成する）

2022年10月11日2023年2月6日

こんにちは、Aireです。

今回はGoogle Cloudリソースを管理する「組織」の使い方として、組織の作成方法を紹介します。

前提条件

組織は独自ドメイン（例：example.com）と1：1で紐付ける必要があります。そのため、組織の作成を始める前に独自ドメインを用意してください。（ちなみにサブドメインの場合でも、組織を作成できました）

組織の作成手順

Google Cloudコンソール上から組織を作成する手順を紹介します。

Cloud Identityアカウントを作成する

組織を作成するためには、Google WorkspaceまたはCloud Identityで管理するアカウントが必要です。ここでは、Cloud Identityアカウントを作成する方法を紹介します。

Google WorkspaceとCloud Identityについて

Google WorkspaceはGoogleが提供するグループウェア（企業内での円滑なコミュニケーションや情報共有を実現するための業務効率化ツール）です。企業の独自ドメインを用いて社員用のGoogleアカウントの発行や一元管理をすることができ、発行されたGoogleアカウントは、Gmail等のGoogleサービスを利用することができます。

Google Workspaceには色々な機能がありますが、Cloud Identityは、それらの機能の中からアカウント発行と一元管理のみができるサービスになります。Google Workspaceが提供するサービスを必要としないGoogleアカウントを発行、管理する場合は、Cloud Identityを使用します。

Google Cloudにログインし、[IAMと管理]-[IDと組織]を選択します。

[チェックリストに移動]をクリックします。

[① Cloud Identityと組織]または[設定を開始する]をクリックします。

オプションとして[初めて利用する]が選択されていることを確認して、[CLOUD IDENTITYに申し込む]をクリックします。

組織情報として、ビジネス名、従業員数、地域を入力・選択し、[次へ]をクリックします。

Cloud Identityアカウントの管理者情報を設定します。

あらかじめ用意しておいたドメイン名を入力し、[次へ]をクリックします。

ドメイン名を確認し、[次へ]をクリックします。

Googleから最新の情報を受け取るかどうか選択します。

ユーザーへのお知らせ情報を受け取るかどうか選択します。

ログイン情報として、ユーザー名（例：info@example.com）とパスワードを設定します。Cloud Identity契約について確認したら[同意して続行]をクリックします。

ここで作成したユーザ名には後述のステップで組織管理者ロールが割り当てられますが、このユーザ名はメールアドレスとしても使える必要があります。

これは今後の運用で、組織の下に配置されていないプロジェクト（組織作成前に作成したプロジェクト）を組織の下に配置する場合、移行先組織の組織管理者にプロジェクトへの招待メールを送付し、組織管理者がプロジェクトに参加している必要があるためです。（Google管理コンソール上で別のユーザ（組織管理者）を作成し、その管理者ユーザをプロジェクトに招待することもできますが、メールドメイン（@example.com）は同じになりますので、メールアドレスの課題は残ります）

Google Workspaceの場合はGmailが使えますが、Cloud Identityの場合は使えませんので、その場合は、ドメインホスト（ドメイン名を管理しているサービス（例：お名前ドットコム、Xserver））にアクセスし、ここで作成したユーザ名と同じ名前のメールアドレスを作成する必要があります。

Cloud Identityアカウントの作成が完了しました。

ドメインの所有権を証明する

次にドメイン保護のため、ドメインの所有権の証明を行います。これにより、第三者が、前章で使用した独自ドメインを使用してGoogle Workspaceに申請することができなくなります。

admin.google.comまたは前ステップの[設定を続行]ボタンからGoogle管理コンソールにログインします。（ログイン情報は、前章で設定したユーザー名とパスワードです）

Cloud Identityの設定画面が表示されます。[保護]をクリックします。

ステップ2の設定画面から移動してしまった場合でも、Google管理コンソールのトップページに表示される[ドメインの所有権を証明]をクリックすることで、ステップ2の画面に戻ることができます。

ドメインホスト（ドメイン名を管理しているサービス（例：お名前ドットコム、Xserver））のログイン情報を用意し、[ドメインを保護]をクリックします。

ドメインホストにログイン後、DNS設定画面に移動し、[次へ: 手順2に移動]をクリックします。

ドメインホストのDNS設定画面上で、DNSレコードを追加する画面に移動し、レコード種別（TXT）やTXT値（以下の画面からコピー）を入力します。DNSレコードの追加が完了したら、[ドメインを保護]をクリックします。ドメインの保護が完了するまで数分待ちます。

ドメインの保護が完了したら、[続行]をクリックします。

[GCP Cloud Consoleを設定する]をクリックします。

利用規約にチェックを入れて、[同意して続行]をクリックします。

本ステップを実施すると、組織とドメインの紐付けや、ユーザー名（例：info@example.com）に対する組織管理者ロールの割り当てが行われ、Cloud Identityのセットアップが完了します。

ドメイン所有権の証明手順の公式情報は、以下のCloud Identityヘルプを参照してください。

組織の削除手順

ここでは組織を削除する手順を紹介します。

本手順は組織を作成後、Google Cloudコンソールにログインした直後の状態で行なっています。実運用で組織を削除する場合は、Google Workspace管理者ヘルプの組織部門を削除するを参考に、子組織やユーザアカウントの削除を行なってから本手順を実施するようにしてください。

Google管理コンソールのナビゲーションメニューから、[アカウント]-[アカウント設定]に移動後、[アカウント管理]を選択します。

[アカウントを削除]をクリックします。下の画面のように警告メッセージが表示された場合は、アクティブなプロジェクトを削除後、コンソール画面を更新してから本ステップを実施してください。

再度メッセージを確認し、組織を削除しても問題なければ、チェックマークを入れて、[アカウントを削除]をクリックします。

まとめ

今回はGoogle Cloudで組織を作成する方法を紹介しました。

組織の作成にはドメイン（@example.com）が必要
Cloud Identityの設定にあたってドメイン所有権を証明するため、ドメインにTXTレコード（DNSレコード）を追加
今後、組織移行を行う場合、組織管理者であるユーザ名（sample@example.com）のメールアカウントが必要（Cloud Identityの場合はメール機能（Gmail）が利用できないので、ドメインホストでメールアカウントを作成する）

以上、ここまで。