18134

2024-05-31 Sent

株式会社IDOM 森 様

いつもお世話になっております。トップゲートサポートの高井です。 ご案内にお時間を頂戴しており恐れ入ります。

ログ全文のご共有・権限のご確認ありがとうございます。

追加でご質問いただいた内容を踏まえまして、改めて下記にご案内いたします。

(2) IAMのWarningについて 以下のWarningが出力されています。 「The current effective policies including inherited policies applied to the project: * may no longer be effective after the migration. The current effective policies based on the current user's read permissions are:」 移行後に有効でなくなる可能性があるということですが、具体的にはどのように対応したら良いでしょうか。

共有いただきましたログにて列挙されている項目というのは「現在対象プロジェクトにて有効な権限の一覧」でございます。 つきましては、これらの権限を移行後も有効とするには移行先でも適切なIAM設定が必要となりますため、以下手順を参考にご対応いただくことを推奨いたします。 チェックリスト[1]も提供されておりますので、併せてご活用いただければ幸いでございます。

移行計画を作成する: https://cloud.google.com/resource-manager/docs/create-migration-plan?hl=ja Identity and Access Management のロールを割り当てる: https://cloud.google.com/resource-manager/docs/assign-iam-roles?hl=ja 組織のポリシーの構成: https://cloud.google.com/resource-manager/docs/configure-org-policy?hl=ja 特殊なケースに対応する: https://cloud.google.com/resource-manager/docs/handle-special-cases?hl=ja 移行を実行する: https://cloud.google.com/resource-manager/docs/perform-migration?hl=ja

(3) ORGANIZATION POLICYについて 「constraints/appengine.enforceServiceAccountActAsCheck」がWarningとして出力されています。 移行元のステータスは「未適用」です。 移行作業自体には影響なしという認識でよろしいでしょうか。 また、これ以外のポリシーは問題ないのでしょうか。

念の為確認させていただきたいのですが、森 様が仰っている「未適用」ステータスというのは、以下の認識であっておりますでしょうか。 「当該の組織ポリシー制約を移行元の組織ポリシー制約リストにて検索し、当該項目は存在したがステータスが未適用であった」 また、同様の確認を移行先の組織においても実施いただければと存じます。

移行元・移行先組織においてどちらも「未適用」である場合は、移行作業には影響ございません。 ただし、移行先組織「のみ」において「適用」(もしくは検索で表示されない場合)の場合につきましては、移行先組織においてApp Engineのサービスに影響が出る可能性[2]がございます。 その場合はApp Engineのサービスアカウントに対して「サービスアカウント ユーザー」ロールを付与[3]いただければと存じます。

(4) QUOTASについて

移行先組織の情報をお待ちしております。

https://cloud.google.com/resource-manager/docs/project-migration-checklist?hl=ja

[2]: App Engine の保護 - サービス アカウントをリソースに関連付けるための権限を要求する (Google Cloud IAM 公式ドキュメント) https://cloud.google.com/iam/docs/service-accounts-actas?hl=ja#appengine

[3]: (ハイライト箇所を参照ください) サービス アカウントとリソースの関連付け - 特殊なケースを処理する (Google Cloud Resource Manager 公式ドキュメント) https://cloud.google.com/resource-manager/docs/handle-special-cases?hl=ja#service_account_attachment:~:text=%E3%81%8A%E5%AE%A2%E6%A7%98%E3%81%AE%E7%A7%BB%E8%A1%8C%E5%85%83%E3%81%AE%E7%B5%84%E7%B9%94%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AB%E5%BE%93%E6%9D%A5%E3%81%AE%E5%8B%95%E4%BD%9C%E3%81%8C%E3%81%82%E3%82%8A

お問い合わせいただいたご質問に対する回答は以上となりますが、認識の相違ある場合や不明点などありましたらお知らせくださいませ。 引き続きどうぞよろしくお願いいたします。

2024-06-07 Incoming

(2) IAMのWarningについて

共有いただきましたログにて列挙されている項目というのは「現在対象プロジェクトにて有効な権限の一覧」でございます。 こちらはどのような意味でしょうか。 組織から権限を継承しているから、移行先で動作しない可能性があるということでしょうか。 いただいたリンクから、プロジェクトの中で作成したポリシーならば影響がないように見受けられました。 以下のような認識でよろしいでしょうか。

・移行先の組織にIAM権限を追加する。 ・またはプロジェクトの中で完結するように権限を付与する。

③ORGANIZATION POLICYについて

念の為確認させていただきたいのですが、森 様が仰っている「未適用」ステータスというのは、以下の認識であっておりますでしょうか。 「当該の組織ポリシー制約を移行元の組織ポリシー制約リストにて検索し、当該項目は存在したがステータスが未適用であった」 また、同様の確認を移行先の組織においても実施いただければと存じます。

移行先の方は未だ回答がないため状況は分かりません。 移行元は以下の手順で確認しました。正規の確認手順があれば教えてください。

  1. 移行対象のプロジェクトを選択

  2. IAMと管理を選択

  3. 組織のポリシーを選択

  4. フィルタから「constraints/appengine.enforceServiceAccountActAsCheck」を検索

  5. プロジェクト「移行対象のプロジェクト名」で有効なポリシーを確認

④QUOTASについて QUOTASについても同じようにプロジェクトから確認いたしました。 これがデフォルト値から変更されているか、確認する術はございますか。

2024-06-11 Sent

株式会社IDOM 森 様

いつもお世話になっております。トップゲートサポートの高井です。 ご案内にお時間を頂戴しており恐れ入ります。

ご確認ありがとうございます。追加でのご質問いただいた内容について、下記にご案内いたします。

(2) IAMのWarningについて

こちらはどのような意味でしょうか。 組織から権限を継承しているから、移行先で動作しない可能性があるということでしょうか。 いただいたリンクから、プロジェクトの中で作成したポリシーならば影響がないように見受けられました。 以下のような認識でよろしいでしょうか。

・移行先の組織にIAM権限を追加する。 ・またはプロジェクトの中で完結するように権限を付与する。

こちらにつきましては、認識に相違ございません。移行元のプロジェクト内で作成されたポリシーであれば影響はないと存じます。 なお、共有いただいたメッセージに列挙されているポリシーは、プロジェクトに直接付与されているポリシーも含まれていることにご留意いただけると幸いです。

(3) ORGANIZATION POLICYについて

移行先の方は未だ回答がないため状況は分かりません。 移行元は以下の手順で確認しました。正規の確認手順があれば教えてください。

こちらの移行元の確認手順については問題ないかと存じます。 同様に移行先の組織についても確認いただき、以前にもご案内した、以下の場合分け手順の通りに対応いただければ幸いです。

移行元・移行先組織においてどちらも「未適用」である場合は、移行作業には影響ございません。 ただし、移行先組織「のみ」において「適用」(もしくは検索で表示されない場合)の場合につきましては、移行先組織においてApp Engineのサービスに影響が出る可能性[1]がございます。 その場合はApp Engineのサービスアカウントに対して「サービスアカウント ユーザー」ロールを付与[2]いただければと存じます。

(4) QUOTASについて

QUOTASについても同じようにプロジェクトから確認いたしました。 これがデフォルト値から変更されているか、確認する術はございますか。

最後にこちらについては、複数の方法がございます。 以下に各方法の概要を記載しますが、詳細な手順は「割り当ての表示と管理」公式ドキュメント[3]を参照くださいませ。

  • Google Cloud コンソールでの確認方法

    • 「割り当て (原題: Quotas)」ページ

    • APIダッシュボード

  • CLI(gcloud alpha services quota list)コマンドを用いる方法

  • HTTPリクエストでCloud Quotas APIを用いる方法

[1] App Engine の保護 - サービス アカウントをリソースに関連付けるための権限を要求する (Google Cloud IAM 公式ドキュメント) https://cloud.google.com/iam/docs/service-accounts-actas?hl=ja#appengine

[2] (ハイライト箇所を参照ください) サービス アカウントとリソースの関連付け - 特殊なケースを処理する (Google Cloud Resource Manager 公式ドキュメント) https://cloud.google.com/resource-manager/docs/handle-special-cases?hl=ja#service_account_attachment:~:text=%E3%81%8A%E5%AE%A2%E6%A7%98%E3%81%AE%E7%A7%BB%E8%A1%8C%E5%85%83%E3%81%AE%E7%B5%84%E7%B9%94%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AB%E5%BE%93%E6%9D%A5%E3%81%AE%E5%8B%95%E4%BD%9C%E3%81%8C%E3%81%82%E3%82%8A

[3] 割り当ての表示と管理 (Google Cloud Quotas 公式ドキュメント) https://cloud.google.com/docs/quotas/view-manage?hl=ja

ご質問いただいております内容への回答は以上となりますが、認識の相違ある場合や不明点などありましたらお知らせくださいませ。 引き続きどうぞよろしくお願いいたします。