19966¶
関連するリクエスト:18134
以前ご相談したプロジェクト移行になります。 時間が空きましたので、新しくリクエストを作成しております。 ようやくプロジェクトを移行できる段階になりましたが、「プロジェクトの移行権限」が分からず教えてください。
■前提条件 ・移行元組織 glv.co.jp
・移行元プロジェクト 移行元組織配下の複数プロジェクト
・移行操作を実行したいIAM 移行元組織配下の「shota.mori_823055@glv.co.jp」
・移行先組織 ict.inc
■確認したこと 公式ドキュメント「Identity and Access Management のロールと権限を割り当てる」 https://cloud.google.com/resource-manager/docs/assign-iam-roles?hl=ja
■質問 上記の公式ドキュメントには、親リソースの権限と宛先リソースの権限が必要であることを理解しました。 しかし進め方がよくわかっていません。具体的な方法について教えてください。
①glv.co.jpでの権限付与 プロジェクト「glv.co.jp」を選択し、IAMを操作する。 「shota.mori_823055@glv.co.jp」にプロジェクト移動(roles/resourcemanager.projectMover)のロールを付与する。
②移行元プロジェクト 必要な移行元プロジェクトを選択し、IAMを操作する。 プリンシパル「shota.mori_823055@glv.co.jp」を追加し、プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)のロールを付与する。
③ict.incでの権限付与 移行先組織の担当者に依頼し、プリンシパル「shota.mori_823055@glv.co.jp」を追加してもらう。 また、プロジェクト作成者(roles/resourcemanager.projectCreator)のロールを付与してもらう。
以上の対応でよろしいでしょうか。 特に③が分かっておらず、サポートをよろしくお願いいたします。
2024-09-19 Sent¶
株式会社IDOM 森 様
お世話になっております、株式会社G-genサポートの高井です。 追加にてお問い合わせいただきありがとうございます。
以前にご案内した「Identity and Access Management のロールと権限を割り当てる」公式ドキュメント[1]の通りでございますが、ご認識されている手順の概要については問題ないかと存じます。
[1] Identity and Access Management のロールと権限を割り当てる (Cloud Resource Manager 公式ドキュメント) https://cloud.google.com/resource-manager/docs/assign-iam-roles?hl=ja
③ict.incでの権限付与 移行先組織の担当者に依頼し、プリンシパル「shota.mori_823055@glv.co.jp」を追加してもらう。 また、プロジェクト作成者(roles/resourcemanager.projectCreator)のロールを付与してもらう。
こちらのご不明点についてより詳細に把握させていただくため、お手数ですが具体的にどの部分が不明であるかご教示いただけますでしょうか。
引き続きよろしくお願いいたします。
2024-09-20 In¶
株式会社G-genサポート 高井様
お世話になっております。 IDOM 森でございます。
ご確認ありがとうございます。
「③ict.incでの権限付与」の不明点については以下の通りです。
今回のプリンシパルは私のアカウントになりますが、組織の権限を持っていないため画面上の操作が分かっておりません。 プリンシパル「shota.mori_823055@glv.co.jp」はglv.co.jpの組織に属しますが、別の組織の所属することは可能なのでしょうか。 移行先の組織のIAMにプリンシパル「shota.mori_823055@glv.co.jp」の追加とロールを割り当てるということでよろしいでしょうか。
以上、よろしくお願いいたします。
2024-09-20 Sent¶
株式会社IDOM 森 様
お世話になっております、株式会社G-genサポートの高井です。
ご確認・詳細なご不明点についてご共有ありがとうございます。 いただいた質問内容につきまして、現在弊社にて内容を確認しております。
お待たせしており恐れ入りますが、ご案内まで少々お時間いただけますと幸いです。 引き続きよろしくお願いいたします。
2024-09-24 Sent¶
株式会社IDOM 森 様
いつもお世話になっております、株式会社G-genサポートの高井です。 ご案内までお待たせしており、大変恐れ入ります。追加でのご質問について、下記に回答いたします。
プリンシパル「shota.mori_823055@glv.co.jp」はglv.co.jpの組織に属しますが、別の組織の所属することは可能なのでしょうか。 移行先の組織のIAMにプリンシパル「shota.mori_823055@glv.co.jp」の追加とロールを割り当てるということでよろしいでしょうか。
こちら、ご認識に相違ございません。Google Cloud の IAM は組織外のユーザーに対しロールを付与することも可能でございます。
ご質問いただいております内容への回答は以上となりますが、認識の相違ある場合や不明点などありましたらお知らせくださいませ。 ご確認のほどよろしくお願いいたします。
2024-09-26 Sent¶
株式会社IDOM 森 様
いつもお世話になっております、株式会社G-genサポートの高井です。 お待たせしており大変恐れ入ります。ご確認いただきありがとうございます。 追加でのご質問について、下記に回答いたします。
①の確認となりますが、親組織にはプロジェクト移動(roles/resourcemanager.projectMover)だけで良いですか。 プロジェクト IAM 管理者(roles/resourcemanager.projectIamAdmin)は不要ということで良いでしょうか。
こちらは「プロジェクト IAM 管理者」ロールも移行元・宛先の両リソースに必要となっております。
また、先のURLには「組織のポリシーの権限」という項目がありますが、こちらも必要でしょうか。
こちらにつきましても組織のポリシーに関する権限ですので必要でございます。
ご質問いただいております内容への回答は以上となりますが、認識の相違ある場合や不明点などありましたらお知らせくださいませ。 ご確認のほどよろしくお願いいたします。
2024-10-04 In¶
株式会社G-genサポート 高井様
お世話になっております。 IDOM 森でございます。
調査ありがとうございます。 回答内容について教えてください。
・ポリシーの確認
IAM ポリシーと組織のポリシーはリソース階層によって継承され、正しく設定されていない場合はサービスが機能しなくなることがあるため、 リソース階層のプロジェクトの移行先で有効なポリシーが適用されていることを確認していただく必要があります。
それぞれの確認方法を教えてください。
①IAMポリシー 手順を教えてください。 ②組織のポリシー 以下手順と認識していますが、相違あればご指摘ください。 プロジェクトから IAMと管理 > 組織のポリシー ポリシーを一つ一つ確認し、移行元/先に差異があるか確認する。
例えばプロジェクト「GO2GO STG」では、 組織ポリシー「constraints/iam.allowServiceAccountCredentialLifetimeExtension」において 有効なポリシーが「拒否 すべて」となっています。 移行先でもこのポリシーが「拒否 すべて」となるようにポリシーが設定されていれば良いということでしょうか。 (こちらは画面を添付いたします。先日と同じPWで展開ください。)
・サービス アカウントとリソースの関連付け
こちら対応が必要なのは「移行元の組織リソースに従来の動作があり、移行先の組織リソースにそれらの動作がない場合」となります。 つきましては移行元・移行先組織においてどちらも「未適用」である場合は、移行作業には影響ございませんので、一度移行先の設定をご確認いただけますと幸いです。
移行元組織のみ「未適用」である場合はどのような影響がありますか。
以上、よろしくお願いいたします。
2024-10-08 Sent¶
株式会社IDOM 森 様
お世話になっております、株式会社 G-gen サポートの高井です。
お待たせしており大変恐れ入ります。追加でのご質問について、下記に回答いたします。
①IAMポリシー 手順を教えてください。
移行対象プロジェクトに対する IAM 権限一覧の確認方法については、以下手順で可能となっております。
Google Cloud Console > 画面左上の Google Cloud ロゴの右より対象プロジェクトを選択 > 画面左上の三本線 > IAM と管理 > IAM ※上位階層から継承されている権限は画面右側の「継承」箇所から確認いただけます。
②組織のポリシー 以下手順と認識していますが、相違あればご指摘ください。 プロジェクトから IAMと管理 > 組織のポリシー ポリシーを一つ一つ確認し、移行元/先に差異があるか確認する。
例えばプロジェクト「GO2GO STG」では、 組織ポリシー「constraints/iam.allowServiceAccountCredentialLifetimeExtension」において 有効なポリシーが「拒否 すべて」となっています。 移行先でもこのポリシーが「拒否 すべて」となるようにポリシーが設定されていれば良いということでしょうか。
組織ポリシーについて、ご認識に相違ございません。 なお移行先組織については、対象のフォルダに対して設定いただければ問題ございません。
・サービス アカウントとリソースの関連付け
(当サポートよりご案内した内容)
移行元組織のみ「未適用」である場合はどのような影響がありますか。
以前ご案内させていただいたケース( #18134 )と同じ内容となりますが、以下ご案内を記載いたしますのでご確認いただけますと幸いです。
結論といたしましては、移行先組織のご状況により対応の要否が異なります。 移行先組織「のみ」において「適用」(もしくは検索で表示されない場合)の場合につきましては、移行先組織において App Engine のサービスに影響が出る可能性[1]がございます。 その場合は App Engine のサービスアカウントに対して「サービスアカウント ユーザー」ロールを付与[2]いただければと存じます。
[1] App Engine の保護 - サービス アカウントをリソースに関連付けるための権限を要求する (Google Cloud IAM 公式ドキュメント) https://cloud.google.com/iam/docs/service-accounts-actas?hl=ja#appengine
[2] サービス アカウントとリソースの関連付け(ハイライト箇所を参照ください) - 特殊なケースを処理する (Google Cloud Resource Manager 公式ドキュメント) https://cloud.google.com/resource-manager/docs/handle-special-cases?hl=ja#service_account_attachment:~:text=%E3%81%8A%E5%AE%A2%E6%A7%98%E3%81%AE%E7%A7%BB%E8%A1%8C%E5%85%83%E3%81%AE%E7%B5%84%E7%B9%94%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AB%E5%BE%93%E6%9D%A5%E3%81%AE%E5%8B%95%E4%BD%9C%E3%81%8C%E3%81%82%E3%82%8A
認識の相違ある場合や不明点などありましたらお知らせくださいませ。 引き続きどうぞよろしくお願いいたします。
2024-10-09 In¶
株式会社G-genサポート 高井様
お世話になっております。 IDOM 森でございます。
調査ならびにご回答ありがとうございます。
内容を確認いたします。 別組織の確認がありますので、追加の質問があれば改めてご連絡いたします。
以上、よろしくお願いいたします。
2024-10-10 Sent¶
株式会社IDOM 森 様
お世話になっております、株式会社 G-gen サポートの高井です。 ご案内内容をご確認いただきありがとうございます。
本件はこちらのメールをもちましてご案内終了とさせていただきます。 追加でのご質問などございましたら、継続ケースとして起票いただければ幸いです。
今後ともどうぞよろしくお願いいたします。