共有先のドメインを制限を変更し、誰でも招待できるようにする方法

Google Cloud (旧称:GCP) の組織のプロジェクトで外部ユーザーにプロジェクト/フォルダの招待またはサービス権限の付与をした際に、組織のポリシー「ドメインで制限された共有」エラーが表示されます。

これは組織のポリシーの制約により、組織外のユーザー (他のドメインのアカウント) を Google Cloud プロジェクトまたはフォルダに招待できない仕様 (ドメイン別の ID の制限) になっているからです。
「共有先のドメインを制限 のポリシー (Domain restricted sharing)」を変更することで組織外のユーザーを招待することができます。

この記事では、「ドメイン制限付き共有」を変更し、組織外ユーザーに Google Cloud プロジェクトを招待できる設定を紹介します。

ドメイン制限の制約 設定

(1) 組織ポリシー管理者を付与する

組織ポリシーを設定するには操作者のロール「組織ポリシー管理者」が必要になります。

Google Cloud コンソールの左メニューバーから「IAM と管理 > IAM」にアクセスします。
対象のユーザーにロール「組織ポリシー管理者」を付与します。

(2) ドメイン制限付き共有を変更する

Google Cloud コンソールの左メニューバーから「IAM と管理 > 組織のポリシー」にアクセスします。
Domain restricted sharing」を選択します。

ポリシーの管理」をタップします。
ポリシーのソースの「Google で管理されるデフォルト値」を選択し、「ポリシーを設定」をタップします。
許可が「すべて」になっていることを確認します。

以上の設定で組織外ユーザーをプロジェクに招待することができます。

特定の組織リソース (外部ドメイン) のみを適用する

特定の組織リソースのユーザーにプロジェクト/プロジェクにアクセスを許可する設定ができます。

Google Workspace の ID で設定する

組織外ユーザーが Google Workspace アカウントの場合、顧客 ID を「ドメイン制限付き共有」に設定することで、そのドメインのみがプロジェクト/フォルダにアクセス制御を行えます。
そのためには、組織外ユーザーに顧客 ID を共有してもらう必要があります。

組織外ユーザーに以下の手順で顧客 ID を調べてもらいます。

Google Adminにアクセスし、左サイドバーから「アカウント > アカウント設定」を選択します。
プロファイル項目をタップし、プロファイル情報の「顧客 ID」をコピーします。

Google Cloud の「共有先のドメインを制限 のポリシー (Domain restricted sharing)」をアクセスします。
ポリシーの管理」をタップします。
ポリシーのソースの「親のポリシーをオーバーライドする」を選択し、ポリシーの適用の「親と結合する」を選択します。
ルールの追加」をタップし、以下の設定をして「ポリシーの設定」をタップします。

  • ポリシーの値:カスタム
  • ポリシーの種類:許可 または 拒否
  • カスタム値:Google Workspace の顧客 ID

上記の設定が反映されていることを確認します。

参照記事

このサイトの運営者です。 Google テクノロジーが好きで布教活動を勝手にしています。