【無料】GCP にログインするユーザーを Cloud Identity で作成する【画面で説明】

  • tech系
8min
こちらの記事は弊社技術ブログに掲載していた内容となります。
一部を除き、投稿当時の情報となりますので、紹介内容の最新情報については別途公式情報等をご参照下さい。

こんにちは。
クラウドエース編集部です。

はじめに

GCP にログインする方法は大きく4つあります。
今回は4番目の Cloud Identity というサービスを用いて GCP のログインユーザーを作成する方法をわかりやすく説明します。

本記事をご覧いただいている方の中で、Google Cloud についてもう少し詳しく知りたいという方にはこちらの《最新版》Google Cloud と Cloud Ace のご紹介資料がおすすめです。
Google Cloud の各プロダクトの特徴等、弊社独自のコンテンツを交えてを紹介しておりますので、貴社に合うクラウドの検討材料としてぜひご活用ください!

  1. Gmai のメールアドレス(無料。ただし、法人は社内の方針で禁止の場合がある)
  2. G Suite により取得したメールアドレス(最安プラン Basic は月額680円/1ユーザー)
  3. 既存のメールアドレスを紐付けた Google アカウント(無料。ただし、既存のメールアドレス取得費用は発生)
  4. Cloud Identity(50ユーザーまで無料 [Free Edition]、51ユーザー以上は有料 [Premium Edition]

1番目以外はメールアドレスの取得に費用が発生しますが、4番目の Cloud Identity は GCP を使うユーザーを50ユーザーまで無料で作成できます。
つまり、GCP を使うユーザーが増えるたびにメールアドレスを発行する必要がありません。
特にサブスクリプション契約タイプの SaaS でメールアドレスを発行している場合はサブスクリプションを購入しなければなりません。
できるだけコストを抑制するために Cloud Identity という機能を Google は提供しているので、これを有効活用してみます。

では早速、以下に作業手順を 簡潔 に書きます。
その後に 画像 を用いて、できるだけ丁寧に記載してみます。

  1. 前提:独自ドメイン(例:foo.io)のメールアドレス(例:abc@foo.io)を取得済みであり、各社が管理可能な DNS サーバに新しいレコードを追加できること。
    そして、当該メールアドレスで GCP にログインできること
  2. Cloud Identity をクリックし、Cloud Identity ユーザー(toru@foo.io)を1つ作成
  3. 新規で作成した Cloud Identity ユーザー(toru@foo.io)で GCP にログイン
  4. 組織を作成
  5. 組織の配下に新規プロジェクトを作成
  6. Google Admin で Cloud Identity ユーザーの追加方法を確認
  7. まとめ

1.前提

一般的に独自ドメインを取得し、G Suite でメールアドレス(例:abc@foo.io)を取得しますが、本記事では Google Domains などでドメインを取得し、自社で管理可能な Mail サーバ と DNS サーバ(SaaS を含む)を用いてメールアドレスを発行済みであることを前提の1つとしています。
なぜなら、ドメイン認証を行う必要があり、DNS にレコード(TXT or CNAME)を追加するオペレーションがあるからです。

前提の2つ目として、各社が以下の記事を参考に GCP にログインできる Google アカウントを所持し、GCP のコンソールパネルを表示できるところから本記事は説明しています。

参考記事:会社のメールアドレスでマルチクラウド(GCP / AWS / Azure)にログインする方法
Google アカウントの取得方法をわかりやすく説明しています。

2.GCP のログインし、左ペインの「IAM と管理」から「組織とID」をクリック

「組織と ID」を表示し Cloud Identity の「お申込み」をクリックします。

Cloud Identity のセットアップが開始されますので「次へ」をクリックし、セットアップを完了します。
途中でドメイン認証が行う必要があます。
各自及び各社が管理する DNS サーバにレコードを追加して認証を完了させます。

以下にセットアップ中の画面を追加します。
参考にしてみてください。

企業または組織の詳細を入力しましょう

本記事ではビジネス名は foo Project / 従業員数は 2~9 人を選択

企業または組織の場所を入力しましょう

現在のメールアドレスを入力しましょう

GCP にログインできる Google アカウント(メールアドレス)を入力します。
画面上は例として「abc@foo.io」としていますが、各自及び各社のメールアドレスになります。

企業または組織のドメイン名をご入力ください

ドメイン認証(ドメインの所有者の確認)を行うために重要です。
画面上は例として「foo.io」としています。

【参考】
下図のように「このドメイン名は別の Google サービスで使用されています。」と表示される場合があるので画面内の「こちら」をクリックして調査します。
原因がわかりやすいように丁寧な内容になっています。

「このドメインを使ってアカウントを設定しますか?」と再確認が行われます。

Cloud Identity アカウントのセットアップ開始画面

名前を入力しましょう

アカウント管理者になるので「姓と名」は正しく入力します。
画面上は例として foo / bar にしているだけです。

ログイン情報を入力しましょう

Cloud Identity アカウントを作成します。
このアカウントで GCP にログインできるようになります。
アカウント管理者であり、Cloud Identity ユーザーの側面も備えています。

セットアップを進ませると「フィードバックをお寄せください」の画面が表示されますので「OK」「いいえ」のいずれかを選択します。
お好きな方を選択ください。
画面は割愛します。

これで Cloud Identity アカウントの作成手続きはほぼ完了です

Cloud Identity 契約に同意するため「同意してアカウントを作成」をクリックします。

Cloud Identity アカウントが作成されました

Cloud Identity アカウントの基本セットアップが完了します。
「設定に進む」をクリックします。

Cloud Identity の設定

Cloud Identity 管理者になったので「Cloud Identity アカウントの設定 / ドメイン所有権の確認 / Cloud Identity アカウントへのユーザーの追加」を行うことができますが、まずはドメインの所有権の確認をする必要があるため「開始」をクリックします。

ドメインの所有権の確認

ドメインの所有権の確認方法は3つありますが、DNS サーバに TXT or CNAME レコードを追加する方法が最も簡単だと思いますので、下図のように選択します。

【参考】
TXT レコードを追加できない場合は、代わりに CNAME レコードを追加します。
これは DNS サーバに依存するので TTL(DNS の伝播時間)を超えてもドメインの所有権の確認ができない場合は CNAME レコードを選択してください。

【CNAME レコード選択後の画面】

【ドメインの所有権の確認(セットアップ最終画面)】
確認が完了すると Cloud Identity アカウント(toru@foo.io)で GCP へのログイン / Cloud Identity の設定などができるようになります。
まずはここで Coffee Break をしましょう!

3.新規で作成した Cloud Identity ユーザー(toru@foo.io)で GCP にログイン

新規で作成された Cloud Identity アカウント(toru@foo.io)は上述のとおり、Cloud Identity ユーザーの側面も備えていますので、早速、GCP にログインしてみます。
すると、GCP の新規セットアップが開始されます。
新規アカウントですからクレジットカード情報も含めて入力をします。

【参考】GCP セットアップ(その1)

【参考】GCP セットアップ(その2)

【参考】GCP セットアップ(その3)
toru@foo.io で GCP にログインすることができました。
これで組織を作成することが可能になります。
また、既存の Google アカウント(本記事で最初に GCP にログインした既存のメールアドレス abc@foo.io )との関係については後述します。

4.組織の作成 / 組織の配下に新規プロジェクトを作成

GCP コンソールパネルの左ペインにある「組織のポリシー」をクリックします。
すると下図のように組織を作成できるようになります。
もう1点確認しておくことは、GCP コンソールパネルの最上段にある「組織なし」になっていることです。
通常は「プロジェクトの選択」で、新しいプロジェクトを作成する場合の場所は「組織なし」で、親組織やフォルダ内にプロジェクトを選択することはできません。

組織が作成されたことを確認

組織が作成されると、新しいプロジェクトを作成する際に「組織なし」と「組織」のいずれかを選択することができます。
組織元が Cloud Identity アカウント作成時のドメインが表示されます。

新しいプロジェクト作成時の画面(その1)

新しいプロジェクト作成時の画面(その2)

【参考】無料トライアルに参加
GCP コンソールパネルの右上段にある「有効化」をクリックし、アカウントのアップグレードをします。
これはどのタイミングで実施しても問題ありません。
本記事では、このタイミングでアップグレードしただけです。

組織とプロジェクトの構成確認

新しく作成したプロジェクト名は PMIS-dev です。
次に組織名(foo.io)です。
読者の方が実際に既存のメールアドレス(例:abc@foo.io)で GCP にログインすると良くわかると思いますが、Cloud Identity アカウント作成時にアカウント管理者を toru@foo.io に移譲したため、プロジェクトしか作成できません。
従って、既存のメールアドレス(例:abc@foo.io)の権限は制限されることになります。
ただし、権限の再移譲(復権)は可能ですので参考図を以下に追加しておきます。

【参考】組織の登録完了後の「IDと組織】の画面
管理者の役割の権限の設定、組織の設定方法などで制御できるようになります。
最も便利なのは「管理コンソール」です。
Cloud Identity ユーザーの追加などができます。
admin.google.com をクリックしてみます。

5.Google Admin で Cloud Identity ユーザーの追加方法を確認

Google Admin 内のユーザーの制御画面です。
Cloud Identity ユーザーは無料(Free Edition)の場合は50ユーザーまで作成できますので、ここで新しいユーザーの作成や削除などの操作を行うことが可能です。

Google Admin は様々な制御が可能な管理コンソールで、Google が長く培ったセキュリティの制御も含めたきめ細やかな管理ができるので非常に便利です。
知っておいて損はありません。
是非とも Google Admin にアクセスしてみてください。

【参考】Google Admin 管理コンソール

まとめ

Cloud Identity アカウントの作成方法、Cloud Identity ユーザーで GCP にログイン、組織の作成と組織配下にプロジェクトを作成する方法、Google Admin を使って Cloud Identity ユーザーの追加まで説明しました。
ポイントは無料で Cloud Identity ユーザー(上限数50)を作成できることです。
Cloud Identity は非常に便利かつコストを抑制する一つの方法ですので活用してみてください。

また、組織の他にフォルダも作成することができます。
フォルダの中にプロジェクトを作成することができるため、Windows で例えるならインターネットエクスプローラーのような階層化を実現できます。
フォルダの作成にも組織と同様に GCP にログインできる複数のユーザーが必要です。
つまり、本記事のとおり組織を作ってしまえばフォルダも作成できます。

Cloud Identity は非常に便利で柔軟性が高いため、できるだけわかりやすく説明しました。
本記事を機会にトライしていただければ嬉しいです。

Cloud Identity 以外の Google Cloud のサービスの概要が知りたい、という方は、記事冒頭でもご紹介したこちらの【最新版】Google Cloud と Cloud Ace のご紹介資料 も合わせて参考にしていただけますと幸いです。

合わせて読みたい