こんにちは、Aireです。
今回はGoogle Cloudリソースを管理する「組織」の使い方として、組織の下に配置されていないプロジェクト(組織無しプロジェクト)を組織の下に移動する方法を紹介します。
組織の作成方法については、以下の記事を参考にしてください。
組織無しプロジェクトを組織の下に配置する(新しいユーザ・組織・請求先アカウントに切り替える)
以下、プロジェクトを組織の下に配置する手順の概要を記載します。本手順では、プロジェクトを新しいユーザ・組織・請求先アカウントと紐付けし、現行のユーザ・請求先アカウントからの切り離しを行います。
組織無しプロジェクトとリンクしている請求先アカウントに組織管理者を追加し、組織管理者によるアクセスを許可します。(請求方法が現状のままで良ければ、本ステップはスキップ可能です)
組織無しプロジェクトに組織管理者を追加し、当該プロジェクトへのアクセスを許可します。
組織のドメインに属していないユーザーアカウント(現ユーザ)の、現請求先アカウントに対するアクセス権限を削除します。(削除する必要がなければ、本ステップはスキップ可能です)
組織のドメインに属していないユーザーアカウント(現ユーザ)の、組織無しプロジェクトに対するアクセス権限を削除します。(削除する必要がなければ、本ステップはスキップ可能です)
アクセス権限の設定変更後、プロジェクトを組織の下に移行します。
プロジェクトの請求方法を変更します。(請求方法が現状のままで良ければ、本ステップはスキップ可能です)
現請求先アカウントに組織管理者を追加する
組織無しプロジェクトとリンクしている請求先アカウントに対して、組織管理者によるアクセスを許可します。
- 組織のドメインに属していないユーザーアカウント(現ユーザ)でGoogle Cloudコンソールにログイン後、ナビゲーションメニューから[お支払い]-[アカウント管理]を選択します。画面右側に情報パネルが表示されていない場合、[情報パネルを表示]をクリックします。その後、[プリンシパルを追加]をクリックします。
- アクセス権を付与するユーザーアカウントを指定します。[新しいプリンシパル]欄に組織管理者のメールアドレスを入力後、[ロール]欄から「請求先アカウント管理者」を選択し、[保存]をクリックします。
プロジェクトに組織管理者を追加する
前節に続き、組織無しプロジェクトに組織管理者を追加します。
- 移行対象のプロジェクトが選択された状態で、ナビゲーションメニューから[IAMと管理]-[IAM]を選択し、[アクセス権を付与]をクリックします。
- アクセス権を付与するユーザーアカウントを指定します。[新しいプリンシパル]欄に組織管理者のメールアドレスを入力後、[ロール]欄から「オーナー」を選択し、[保存]をクリックします。
- 組織管理者のメールアドレス宛に招待メールが届くので、招待メール内のURLをクリックし、招待を承諾します。
現ユーザの現請求先アカウントへのアクセス権限を削除する
組織管理者で組織無しプロジェクトにアクセスし、組織のドメインに属していないユーザーアカウントの、請求先アカウントに対するアカウント権限を削除します。
- 組織管理者でGoogle Cloudコンソールにログイン後、ダッシュボードから組織無しプロジェクトを選択します。
- ナビゲーションメニューから[お支払い]-[アカウント管理]を選択し、組織のドメインに属していないユーザーアカウントから[請求先アカウント管理者]ロールを削除します。
現ユーザのプロジェクトへのアクセス権限を削除する
前節に続き、組織のドメインに属していないユーザーアカウントの、組織無しプロジェクトに対するアクセス権限を削除します。
- 組織管理者でGoogle Cloudコンソールにログインした状態で、ナビゲーションメニューから[IAMと管理]-[リソースの管理]を選択し、組織無しプロジェクトにチェックを入れます。組織のドメインに属していないユーザーアカウントから[オーナー]ロールを削除します。
プロジェクトを新規組織の下に移行する
ここまででアクセス権限の設定が終わったので、プロジェクトを組織の下に移行します。
- [IAMと管理]-[リソースの管理](前節と同じ画面)上で、組織無しプロジェクトにチェックを入れて、[移行]をクリックします。
- 移行先の組織を選択し、[移行]をクリックします。
- 組織無しプロジェクトが組織の下に移動したことを確認します。
プロジェクトの請求先アカウントを変更する
プロジェクトの請求先アカウントを変更し、新しい請求方法に切り替える手順を記載します。
- 組織管理者でGoogle Cloud管理コンソールにログインした状態で、ナビゲーションメニューから[お支払い]を選択します。[マイプロジェクト]タブに移動し、対象プロジェクトの[お支払い情報を変更]をクリックします。
- [請求先アカウント]欄から新請求先アカウントを選択し、[アカウントを設定]をクリックします。
参考(組織管理者にメールアドレスを用意できない場合の代替手順)
本記事で紹介した手順は、GoogleサポートページのGoogle Cloud管理者向け設定手順 > Google Cloudコンソールを使用して設定手順を完了するを参考にしています。
上記手順では、組織管理者をプロジェクトのオーナーとして追加後、そのアクセス権限を利用して、新規組織の下にプロジェクトを移行していますが、組織無しプロジェクトにユーザー(オーナー権限)を追加する場合、そのユーザ宛にプロジェクトへの招待メールを送り、メール内のURLをクリックし招待を承諾してもらう必要があります。
そのため、組織管理者には組織と紐付けられたドメインを持つメールアドレスが必要になりますが、手順を変更することで組織管理者にメールアドレスがなくてもプロジェクトを移行することができたので参考までに共有します。(また、プロジェクトが組織配下のリソースになったためか、プロジェクトを組織の下に移動後、メールによる招待のステップを踏むことなく、そのプロジェクトに組織管理者をオーナー権限で追加することもできました)
以下、手順の概要です。(請求先アカウントの変更手順は省略しています)
組織のドメインに属していないユーザーアカウント(現ユーザ)を新規組織のプロジェクト作成者(roles/resourcemanager.projectCreator)として追加します。
アクセス権限の設定変更後、プロジェクトを組織の下に移行します。
新規組織に現ユーザをプロジェクト作成者として追加する
組織管理者でGoogle Cloudコンソールにログインし、新規組織に現ユーザをプロジェクト作成者として追加します。
- ナビゲーションメニューから[IAMと管理]-[リソースの管理]を選択し、新規組織にチェックを入れて、[プリンシパルを追加]をクリックします。
- アクセス権を付与するユーザーアカウントを指定します。[新しいプリンシパル]欄に現ユーザのメールアドレスを入力後、[ロール]欄から「プロジェクト作成者」を選択し、[保存]をクリックします。
プロジェクトを新規組織の下に移行する
前節でアクセス権限の追加が完了したら、プロジェクトを組織の下に移行します。
- [IAMと管理]-[リソースの管理](前節と同じ画面)上で、組織無しプロジェクトにチェックを入れて、[移行]をクリックします。
- 新規組織を選択し、[移行]をクリックします。
以上、ここまで。
