このページの内容は次のお客様に関係あるかもしれません。
- WebサイトにGoogle CloudのサービスやAPIを利用したコンテンツを依頼する場合
- Google CloudのCompute Engine(GCE)のマシンの初期セットアップを依頼する場合
- Compute Engine(GCE)の仮想マシンの保守管理を依頼する場合
- その他、Google Cloudの各種サービスの設定・設定変更を依頼する場合
Google Cloudは、その名の通りGoogleが提供するクラウドサービスです。Amazonが提供するAWS(Amazon Web Services)やMicrosoftが提供するMicrosoft Azureと並ぶ3大クラウドサービスの1つです。主なサービスとして、ストレージサービス(オンライン上にデータを保存するサービス)、ビックデータ分析、機械学習、コンピューティング(アプリ開発、仮想サーバー)を提供しています。
当社のお客様では、特にWebサイトを公開する為の手段(サーバー)の一つとしてGoogle CloudとAWSをご提案する事がございます。
一般的な共用サーバーは、必要な機能(メール・データベースなど)が最初から揃っており、月額固定料金で利用できます。直感的に操作できる管理画面も用意されているため、専門知識がなくても利用可能です。Webサイト公開時には、FTPアカウントやDB接続情報など最低限の情報を制作会社に渡すだけで運用を任せられます。
対してGoogle Cloudの様なクラウドサーバーの場合は、用途に応じて自由に設計・拡張でき、必要に応じて性能も柔軟に変更できます。その反面、設定は高度で専門知識が求められるため、一般の方が直接利用するのは難しいのが実情です。料金も定額制ではなく、利用した分だけ支払う「従量課金制」となります。
従って、これらGoogle Cloudのクラウドサーバーを利用するには当社の様な専門的知識を持った業者に依頼する事が適切だと思われますが、支払い情報を登録したGoogleアカウントのログイン情報を制作会社に教えるのは抵抗があると思います。
そこで当社では、お客様がご自身のGoogleアカウントで支払い情報を管理しつつ、当社には課金情報を閲覧できない権限のみを付与いただく方法をご案内しています。これにより、料金に関する部分はお客様が直接管理しながら、それ以外のサーバー構築・設定作業は安心して当社にお任せいただけます。
GoogleCloudで支払い以外の権限を当社アカウントに付与していただく手順
Google Cloudを初めて利用するお客様は、Google Cloudの利用開始手続きを行います。
Google Cloudを別の目的で利用した事の無いお客様は、先ずGoogle Cloudの利用開始手続きを行う必要がございます。以下ぺージに説明する方法で、Google Cloudの利用開始手続きを行ってください。
既に利用開始手続きを行っている場合は、Google Cloudのコンソールにログインします。
こちらにアクセスして、右上の「ログイン」※をクリックします。
※既にログインされている場合は、「コンソール」をクリックします。
専用のプロジェクトを作成します。
プロジェクトに支払い以外の権限を当社アカウントに付与
-
作成したプロジェクトに移動します。
左上のプロジェクト名をクリック
プロジェクト一覧から、作成したプロジェクトをクリック
-
をクリックしてIAMに移動します。
画面左上にあるをクリック
「IMAと管理」→「IMA」をクリック
-
「アクセスを許可」をクリック
-
プリンシパルを入力、ロールを選択して「保存」
①プリンシパルの追加 当社からお渡ししたGoogleアカウントをペーストしてください。 ②ロールを選択 編集者を選択してください。 プリンシパルを入力、ロールを選択して「保存」をクリックします。
-
一覧に次の様に表示されていれば、権限付与完了です。
プリンシパルに手順4で追加したGoogleアカウント、ロールに編集者と表示されている事を確認します。
-
権限付与完了をお知らせください。
ここまでの設定(権限付与)が完了したら、当社担当者までお知らせください。当社サイドの画面で、権限付与が確認できたらその旨、お知らせ致します。
この手順で権限付与された時の支払い設定画面
説明した手順で権限付与した場合、付与された側(当社側)の支払い設定画面では、以下の様に必要最低限の情報しか表示されない様になっています。
現在の利用料金などは閲覧できますが、支払い設定や支払い方法などの設定・閲覧は出来ない様になっています。
表示メニューの違い
支払い管理をする為の「課金」のメニューは、お客様サイドはより詳細な設定メニューが表示されますが、権限付与された当社側では簡易的なメニューしか表示されません。特に、登録したクレジットカードの情報は、お客様サイドでは「支払い方法」だ閲覧、変更、追加が出来ますが、当社側では一切見る事は出来ません。
請求先アカウントの管理
このプロジェクトの請求先アカウントIDは分かりますが、支払いに関する設定変更は、次の様に表示されて一切の設定はできません。
必要以上の権限付与を避けたい場合
上記の方法は、当社には課金情報を閲覧できない権限で、それ以外の設定が全て可能(編集者権限)であり、必要以上の権限を避けたい場合は、カスタムロールを作成して、特定の操作だけ許可することが可能です。
このカスタムロールを作成をするには、お客様自身で行う必要があり若干の専門的知識が必要ですが、次の4つを理解していれば作成可能だと思われます。
但し、どのサービスの権限付与が必要か?はGoogle Cloudのクラウドサーバーを利用する必要がある様な場合は、お客様によって異なりますので、必要に応じて都度権限付与をお願いする事になります。この手間を避けたいという場合は、カスタムロールの権限では無く標準の編集者権限を付与してください。
| サービス名・用語 | 説明 |
|---|---|
| IAM | IAM(Identity and Access Management)は、Google Cloudを「誰が」「どこまで操作できるか」を決める仕組みです。 例えば「Aさんは料金の確認だけ」「Bさんはサーバー設定もできる」といったように、利用者ごとに権限を分けられるため、安全にクラウドを利用できます。 |
| PAM | PAM(特権アクセス管理)は、会社の中でも特に「強い権限」を持つ人(管理者アカウントなど)を安全に管理する仕組みです。 「誰がいつ、特別な権限を使ったのか」を記録したり、必要なときだけ一時的に権限を与えたりして、不正利用や事故を防ぎます。 |
| プリンシパル | 権限を与えられる相手(誰に権限を付けるのか) のことです。ユーザーのGoogleアカウント、Googleグループ、システムやアプリが使う専用アカウント、ドメインがプリンシパルにあたります。 |
| ロール | Google Cloudのサービスに対し「どんな操作ができるか」をまとめた権限のセットです。見るだけなのか(閲覧者)、設定できるのか(編集者)、全部任されているのか(管理者)をサービス毎に設定が出来ます。使い方としては、「制作会社用」というロール名をつけて、サービスAとBは編集権限を与えて、他は閲覧のみというセットを作ります。この作ったセットをプリンシパルと紐づけする事で、そのプリンシパルは、その権限内での操作しか出来ない様になります。 |