こんにちは!G-genの小林です。 みなさんGoogle Cloudはご利用されてますでしょうか? お客様とお話ししている中でGoogle Cloudを使ってみているけど、最初に何を設定しておくべきなのか分からなくて困っている、という声をよく伺います。
そのため、今回のブログでは、Google Cloudを利用開始したけど、Google Cloudをセキュアに使うためにはどのような対応をすべきなのかについて説明します。
Google Cloudを社内で使ってみようとしているけど必要最低限の設定をした状態でユーザーに使わせたい、本番利用する場合のこれだけは設定しておくべき項目を把握しておきたい、と考えている組織管理者さん向けに最適な内容となっております。
最初に対応すべきチェックリストの確認方法
Google Cloudにログインし、[IAMと管理] -> [IDと組織]にアクセスすると以下の通りになります。
赤枠の部分の詳細に書いている通り、こちらの項目がGoogle Cloudを利用する際の推奨設定が明記されたページになります。
[チェックリストに移動]にアクセスすると以下の通りになります。
こちらに記載の項目を一つずつ対応していくことによって、Googleが推奨する本番ワークロードに適した環境設定を準拠することができます。
なお、見ていただくと分かる通り非常に多くの対応項目があります。 かなり長文で、Google Cloudを初めて利用する人にとっては分からない用語や理解に時間がかかる項目がちらほら...。
そのため、以降の本投稿では具体的にどのような設定が必要か簡単かつわかりやすく解説したいと思います。 中には設定が不要な項目もあるかと思いますので、参考にしてみてください。
組織とID
Google CloudはCloud IdentityもしくはGoogle Workspaceを利用してID管理を行います。 Google Workspaceをすでに利用されている方は、登録作業なしにGoogle Cloudを利用することが可能になってます。 Google Workspaceを利用されていない、もしくは利用される予定のない方は、Cloud Identityを登録する必要があります。 Cloud Identityはユーザー50名までなら無料で利用することが可能になってます。
この項目ではCloud Identityの設定およびCloud IdentityもしくはGoogle Workspaceでドメインの所有権を証明できているかのチェックになります。
実施内容
- Cloud IdentityもしくはGoogle Workspaceを利用している場合
- ドメインの所有権の証明が完了しているかチェック
- Cloud IdentityもしくはGoogle Workspaceをまだ利用していない場合
- Cloud Identityの設定
- ドメインの所有権の証明が完了しているかチェック
ユーザーとグループ
ユーザーやグループを作成します。 Google Cloudで使用するユーザー、グループはGoogle Cloudコンソールで作成するのではなく、Cloud IdentityもしくはGoogle Workspaceの管理コンソールで作成をします。 Google Workspaceで設定しているユーザーやグループをそのままGoogle Cloudでも使用する、というイメージになります。
この項目で作るグループは、次項目でGoogle Cloud組織の管理するために必要な権限を設定するためのユーザーとグループになります。
実施内容
- ユーザーの追加
- グループの作成
- Google Cloud組織管理者、ネットワーク管理者、請求管理者などGoogle推奨のグループ作成
- ユーザーをグループに追加
管理者アクセス
この項目ではGoogle Cloudコンソールから一つ前で作成したグループに対してロール(権限)を割り当てます。
なお、この作業はCloud Identity または Google Workspace アカウントの特権管理者が行う必要があります。 Cloud Identity または Google Workspace アカウントの特権管理者は、最初からGoogle CloudのIAM管理者権限を持っているので、そのユーザーが作成したグループにロールの割り当てを行う必要があります。
実施内容
- グループへのGoogle Cloud IAMロールの割り当て
お支払い
この項目ではGoogle Cloudの支払いを行う請求先アカウントの作成をします。 Google Cloudは支払いの設定なしでも利用することができますが、課金リソースを作成するにはプロジェクトに対して請求先アカウントの紐付けが必須になります。
まずは請求先アカウントを作成し、次項目以降プロジェクトの作成をしたときに請求先アカウントの紐付けを行います。
実施内容
- 請求管理者グループにロールの割り当て
- 請求先アカウント設定
- 支払い方法によって実施内容が異なります
リソース階層
Google Cloudは以下のようなリソース階層で成り立っています。
このリソース階層の中でも、フォルダとプロジェクトを作成するのがこの項目対応になります。
簡単に説明するとプロジェクトは最下位レベルの階層で、リソースを配置する単位になります。(AWSでいうところのAWSアカウント) フォルダはプロジェクトをグループ化するための階層になります。
どのような単位でリソースを分離するかによって、プロジェクトとフォルダの設計をすることをお勧めします。
実施内容
- リソース階層の計画
- 初期フォルダの作成
- 初期プロジェクトの作成
- プロジェクト作成時請求先アカウントの選択あり
- プロジェクトと請求先アカウントの紐付けチェック
- 請求先アカウントはプロジェクトに対して紐付けます
リソースのアクセス
Google Cloudでは、個々のリソースが持つIAM設定の集合(誰が、どのリソースに対して、どのような権限を持っているか)のことをIAMポリシーと言います。 例えば、user01がCompute Engineに対しての閲覧権限を付与する、という一連の設定のことです。
この項目では上記のようなIAMポリシーの設定を実施していきます。 この項目でもリソース階層の概念が出てきます。 IAMについては、以下ブログで解説しているので設定前にぜひ一読してみてください。
実施内容
- 組織レベルのIAMポリシー設定
- フォルダレベルのIAMポリシー設定
- プロジェクトレベルのIAMポリシー設定
ネットワーキング
VPC、VPN、NAT、ファイアウォール等、主にネットワークに関連する初期設定を行う項目になります。
こちらの項目は設定が不要な項目もあるかと思いますので、必要に応じて対応してください。 なお、ネットワークについて、以下ブログで解説しているので設定前にぜひ一読してみてください。
実施内容
- VPC設定
- 共有VPC設定
- IPSec VPN設定
- Cloud NAT設定
- ファイアウォール設定
- Cloud Load Balancing設定
モニタリングとロギング
この項目ではモニタリングとロギングの設定を実施します。 モニタリングはCloud Monitoring、ロギングにはCloud Loggingを利用します。
Cloud MonitoringはGoogle Cloudリソースやアプリケーションからイベント、メタデータを取得し監視するためのサービスになります。 ここの項目では、モニタリング用のプロジェクトを作成し、そのプロジェクトで一括管理するために他のプロジェクトを登録するための設定のみ実施しています。(監視設定等は実施していない)
Cloud LoggingはGoogle Cloudで取得したログデータやイベントを格納、モニタリングを行うサービスになります、 この項目では、ロギング用のプロジェクトを作成し、複数のプロジェクトで取得したログデータをロギング用のプロジェクトのBigQueryに一括収集することを実施しています。
実施内容
- モニタリングの設定
- ロギングの設定
セキュリティ
Google Cloudで提供するセキュリティサービスの中でもプロジェクトの保護に役立つサービスの設定を行います。
Security Command Centerとは、Google Cloud内の設定で構成ミスや脆弱性がないかチェックしてくれる脅威検出サービスになります。 使用できる機能によってティアという分類がありますが、スタンダードティアだと無料で利用することが可能です。
組織ポリシーとは、組織で設定できる操作に制約をかけるサービスになります。 例えば特定のリージョン以外の使用を制限することや利用できるGoogle Cloud APIを制限することが設定可能です。
実施内容
- Security Command Centerの設定
- 組織ポリシーの設定
サポート
Google Cloudを利用していてドキュメントに書いていない情報を確認したい時など、サポートを利用したい!と思うことがあるかと思います。
Google Cloudでは無償のサポートプランと有償のサポートプランを提供しております。
無償の場合、課金やお支払いの質問のみサポートケースを起票して問い合わせることが可能です。 有償の場合、複数のプランがあり、プランによって日本語対応の有無や回答時間の差異があります。
無償の場合はこの項目で対応することは ありませんが、有償の場合は、サポートプランの有効化が必要になります。
実施内容
- サポートプランの申し込み
以上がGoogle Cloudを初めて利用する場合に設定しておくべき項目一覧の解説でした。 これまでAWS等のクラウドサービスを利用されたことのある方でも馴染みのない項目も多いかと思います。 これらの項目はGoogle社が推奨する設定になるので是非参考にしてみてください!
ちなみに設定を進めていただければわかるのですが、その設定が適切に完了しているか自動確認するような機能も備わっています。 ちょっとした配慮を感じますね。
今回の投稿で詳細に説明できなかったサービスについては今後の投稿で深堀していきたいと思っているので、そちらもお楽しみに!
小林 あゆみ (記事一覧)
クラウドソリューション部 営業チーム
AWSエンジニアからGoogle Cloud営業に転向
福井からリモートワーク中
趣味はMonkey125でツーリング、Netflix鑑賞、旅行