トップ > Google Cloud基本のキ > Google Cloudを利用してみたい!最初に対応すべきことは?初期設定のベストプラクティスを解説
最終更新日

Google Cloudを利用してみたい!最初に対応すべきことは?初期設定のベストプラクティスを解説

Google Cloud基本のキ フレームワーク・ガイドライン・事例 Google Cloud

ggen-ayumikobayashi

記事タイトルとURLをコピーする

こんにちは!G-genの小林です。みなさんGoogle Cloudはご利用されてますでしょうか?お客様とお話ししている中でGoogle Cloudを使ってみているけど、最初に何を設定しておくべきなのか分からなくて困っている、という声をよく伺います。当記事では、Google Cloudをセキュアに使うためにはどうするべきなのかについて説明します。

はじめに

当記事では、Google Cloudを利用開始したばかりの方が、セキュアに利用するために必要なことを説明します。

「Google Cloudを社内で使ってみようとしているけど、必要最低限の設定をした状態でユーザーに使わせたい」「本番利用する場合のこれだけは設定しておくべき項目を把握しておきたい」と考えているクラウド管理者の方向けの内容です。

なお、当記事で紹介する Google Cloud コンソール画面は2021年10月現在のものです。最新の状態とは異なる場合がある点にご留意ください。

最初に対応すべきチェックリストの確認方法

Web ブラウザで Google Cloud にログインし、[IAMと管理] -> [IDと組織] にアクセスします。画面上部のプロジェクトセレクタで組織を選択すると、以下の表示になります。

この画面では、Google Cloudを利用する際の推奨設定が案内されます。[チェックリストに移動] をクリックすると、以下の画面になります。

ここに記載されている項目を1つずつ対応することで、Google が推奨する本番ワークロードに適した環境設定を行うことができます。

なお、見ていただくと分かる通り非常に多くの対応項目があります。Google Cloudを初めて利用する人にとっては分からない用語や理解に時間がかかる項目がちらほら...。

そのため、以降の本投稿では具体的にどのような設定が必要か簡単かつわかりやすく解説したいと思います。

組織と ID

Google Cloud を管理したり、Google Cloud 上で開発したりする人のアカウントは、Cloud Identity もしくは Google Workspace で管理されます。

Google Workspace をすでに利用している組織の方は、そのアカウントを使って Google Cloud を利用することが可能です。Google Workspace を利用していない組織の方は、Cloud Identity の新しい組織(テナント)を開設する必要があります。Cloud Identity Free edition は、50アカウントまで無料で利用することができます。

実施内容

  • Cloud Identity もしくは Google Workspace を利用している場合
    • ドメインの所有権の証明が完了しているかチェック
  • Cloud Identity もしくは Google Workspace をまだ利用していない場合
    • Cloud Identity の新規登録
    • ドメインの所有権の証明が完了しているかチェック

組織についての詳細は、以下の記事を参照してください。

blog.g-gen.co.jp

ユーザーとグループ

ユーザーやグループを作成します。

Google Cloud で使用するユーザーアカウントやグループは、Google Cloud コンソールで作成するのではありません。前述のとおり、Cloud Identity もしくは Google Workspace の管理コンソールで作成します。Google Workspace で作成したユーザーアカウントやグループを、そのままGoogle Cloud でも使用するイメージです。

実施内容

  • ユーザーの追加
  • グループの作成
    • 組織管理者、ネットワーク管理者、請求管理者など Google 推奨のグループ作成
  • ユーザーをグループに追加

管理者アクセス

この項目では、1つ前の項目で作成したグループに対して IAM ロールを割り当てます。

なお、この作業は Cloud Identity または Google Workspace の特権管理者が行う必要があります。Cloud Identity または Google Workspace アカウントの特権管理者は、最初から Google Cloud の「組織の管理者」ロールの権限を持っています。

実施内容

  • グループへの IAM ロールの割り当て

IAM の仕組みについては、以下の記事も参照してください。

blog.g-gen.co.jp

お支払い

この項目では Google Cloud の支払いを行う請求先アカウントの作成をします。Google Cloud は支払いの設定がなくても一部の機能を利用できますが、すべての機能を利用するには Google Cloud プロジェクトに対して請求先アカウントの紐付けが必須になります。

実施内容

  • 請求管理者グループにロールの割り当て
  • 請求先アカウント設定
    • 支払い方法によって実施内容が異なります

請求先アカウントについては、以下の記事も参照してください。

blog.g-gen.co.jp

リソース階層

Google Cloudは以下のようなリソース階層で成り立っています。

この項目では、フォルダとプロジェクトを作成します。Google Cloud プロジェクトは最下層の管理単位であり、Compute Engine VM や BigQuery テーブルなど個々のリソースを配置する管理オブジェクトです。Amazon Web Services(AWS)でいうところの「AWS アカウント」といえます。

フォルダは、プロジェクトをグループピングするための管理オブジェクトです。

Google Cloud のフォルダやプロジェクトの詳細は、以下の記事を参照してください。

blog.g-gen.co.jp

実施内容

  • リソース階層の計画
  • 初期フォルダの作成
  • 初期プロジェクトの作成
    • プロジェクト作成時請求先アカウントの選択あり
  • プロジェクトと請求先アカウントの紐付けチェック
    • 請求先アカウントはプロジェクトに対して紐付けます

リソースのアクセス

Google Cloud では、個々のリソースが持つ IAM 設定値(このリソースに対して、誰がどのような権限を持っているか)のことを IAM ポリシーと呼びます。例えば、ある Compute Engine VM の IAM ポリシーには「user01@example.com が管理者権限を持つ」のように定義できます。

この項目では上記のような IAM ポリシーの設定を実施します。IAM ポリシーなどの概念については、以下の記事をご参照ください。

blog.g-gen.co.jp

実施内容

  • 組織レベルの IAM ポリシー設定
  • フォルダレベルの IAM ポリシー設定
  • プロジェクトレベルの IAM ポリシー設定

ネットワーキング

VPC ネットワーク、Cloud VPN、Cloud NAT、VPC ファイアウォール等、主にネットワークに関連する初期設定を行う項目です。

すぐには設定が不要な項目もあるはずですので、必要に応じて作業を行ってください。

実施内容

  • VPC 設定
  • 共有 VPC 設定
  • IPSec VPN 設定
  • Cloud NAT 設定
  • ファイアウォール設定
  • Cloud Load Balancing 設定

Google Cloud のネットワークの基本的な知識については、以下の記事も参照してください。

blog.g-gen.co.jp

モニタリングとロギング

この項目ではモニタリングとロギングの設定を行います。モニタリングは Cloud Monitoring、ロギングには Cloud Logging を利用します。

Cloud Monitoring は Google Cloud サービスからパフォーマンス指標を取得、保管、閲覧するサービスです。この項目では、モニタリング用のプロジェクトを作成し、そのプロジェクトでパフォーマンス指標を一括管理するために、他のプロジェクトを登録するための設定を行います。

Cloud Logging は Google Cloud サービスからログを収集、保管、閲覧するサービスです。この項目では、ログ集約用のプロジェクトを作成し、複数のプロジェクトから取得されたログをロギング用プロジェクトの BigQuery に一括収集する設定を行います。

実施内容

  • モニタリングの設定
  • ロギングの設定

Cloud Monitoring や Cloud Logging については、以下の記事も参照してください。

blog.g-gen.co.jp

blog.g-gen.co.jp

セキュリティ

プロジェクトの保護に役立つセキュリティ設定を行います。

Security Command Center とは、Google Cloud サービスの構成ミスや脆弱な設定がないかチェックする脅威検出サービスです。スタンダードティアは無料で利用できます。

組織ポリシーは、組織内で利用可能なサービスや実施可能な操作、適用可能な設定などを制限する強制的なルールを定義できる仕組みです。例えば、特定のリージョン以外の使用を制限することや、利用可能な Google Cloud APIs を制限することが可能です。

実施内容

  • Security Command Center の設定
  • 組織ポリシーの設定

Security Command Center や組織ポリシーについての詳細は、以下の記事も参照してください。

blog.g-gen.co.jp

blog.g-gen.co.jp

サポート(カスタマーケア)

障害時等に備えて、公式の技術サポートを利用したいと思うことがあるはずです。Google Cloud にはカスタマーケアと呼ばれるサポートサービスがあり、無償のプランと有償のプランがあります。

無償プラン(ベーシック)の場合、課金に関する質問のみを問い合わせることができます。技術的な質問が可能な有償プランには複数あり、プランによって日本語対応の有無や、回答時間の差異があります。

実施内容

  • カスタマーケアの申し込み

カスタマーケアのプランについては、以下の公式ページを参照してください。

さいごに

以上が、Google Cloud を初めて利用する場合に設定しておくべき項目一覧の解説でした。これまで Amazon Web Services(AWS)等のクラウドサービスを利用されたことのある方でも、馴染みのない項目も多いかと思います。これらの項目は Google が推奨する設定ですので、是非参考にしてみてください!

小林 あゆみ (記事一覧)

クラウドソリューション部 営業チーム

AWSエンジニアからGoogle Cloud営業に転向

福井からリモートワーク中

趣味はMonkey125でツーリング、Netflix鑑賞、旅行