Google Cloud (旧称:GCP) の組織のプロジェクトで外部ユーザーにプロジェクト/フォルダの招待またはサービス権限の付与をした際に、組織のポリシー「ドメインで制限された共有」エラーが表示されます。
これは組織のポリシーの制約により、組織外のユーザー (他のドメインのアカウント) を Google Cloud プロジェクトまたはフォルダに招待できない仕様 (ドメイン別の ID の制限) になっているからです。
「共有先のドメインを制限 のポリシー (Domain restricted sharing)」を変更することで組織外のユーザーを招待することができます。
この記事では、「ドメイン制限付き共有」を変更し、組織外ユーザーに Google Cloud プロジェクトを招待できる設定を紹介します。
ドメイン制限の制約 設定
(1) 組織ポリシー管理者を付与する
組織ポリシーを設定するには操作者のロール「組織ポリシー管理者」が必要になります。
Google Cloud コンソールの左メニューバーから「IAM と管理 > IAM」にアクセスします。
対象のユーザーにロール「組織ポリシー管理者」を付与します。
(2) ドメイン制限付き共有を変更する
Google Cloud コンソールの左メニューバーから「IAM と管理 > 組織のポリシー」にアクセスします。
「Domain restricted sharing」を選択します。
「ポリシーの管理」をタップします。
ポリシーのソースの「Google で管理されるデフォルト値」を選択し、「ポリシーを設定」をタップします。
許可が「すべて」になっていることを確認します。
以上の設定で組織外ユーザーをプロジェクに招待することができます。
特定の組織リソース (外部ドメイン) のみを適用する
特定の組織リソースのユーザーにプロジェクト/プロジェクにアクセスを許可する設定ができます。
Google Workspace の ID で設定する
組織外ユーザーが Google Workspace アカウントの場合、顧客 ID を「ドメイン制限付き共有」に設定することで、そのドメインのみがプロジェクト/フォルダにアクセス制御を行えます。
そのためには、組織外ユーザーに顧客 ID を共有してもらう必要があります。
組織外ユーザーに以下の手順で顧客 ID を調べてもらいます。
Google Adminにアクセスし、左サイドバーから「アカウント > アカウント設定」を選択します。
プロファイル項目をタップし、プロファイル情報の「顧客 ID」をコピーします。
Google Cloud の「共有先のドメインを制限 のポリシー (Domain restricted sharing)」をアクセスします。
「ポリシーの管理」をタップします。
ポリシーのソースの「親のポリシーをオーバーライドする」を選択し、ポリシーの適用の「親と結合する」を選択します。
「ルールの追加」をタップし、以下の設定をして「ポリシーの設定」をタップします。
- ポリシーの値:カスタム
- ポリシーの種類:許可 または 拒否
- カスタム値:Google Workspace の顧客 ID
上記の設定が反映されていることを確認します。
参照記事
- 組織内アクセス制限の例 | Resource Manager Documentation | Google Cloud
- ドメインで制限された共有の適用時にパブリック Cloud Run サービスを作成する方法 | Google Cloud 公式ブログ
- ドメイン制限のかかっている組織でだれもがアクセスできるCloud Run サービスを構築する方法を説明 | はじめのiT | はじめのiT
- [組織ポリシー]リソース サービスの使用を制限するポリシーを試してみた | DevelopersIO
- Google Cloudの組織のポリシーを活用しよう: よりセキュアなクラウド運用への道
- Google Cloud へのアクセス制御方法とソリューション – Zenn
