Trusted Cloud by S3NS の設定のガイド付きフロー

Trusted Cloud by S3NS の組織リソースは組織（企業）を表し、階層の最上位ノードとして機能します。組織を作成するには、Google ID サービスを設定してドメインに関連付けます。このプロセスを完了すると、組織リソースが自動的に作成されます。

組織リソースの概要については、以下をご覧ください。

• 組織のリソースを管理する
• アカウントと組織の計画に関するベスト プラクティス

このタスクを行うユーザー

このタスクは、次の 2 人の管理者が行います。

• ロールベースのアクセス権の割り当てを担当する ID 管理者。この管理者には Cloud Identity 特権管理者を割り当てます。特権管理者ユーザーについて詳しくは、既定の管理者ロールをご覧ください。

• 会社のドメインホストにアクセスできるドメイン管理者。この管理者は、ドメイン所有権の証明プロセスの一環として、DNS 構成などのドメインの設定を編集します。

このタスクの内容

• まだ設定していない場合は、Cloud Identity を設定します。ここで、特権管理者ユーザーの管理対象ユーザー アカウントを作成します。
• Cloud Identity をドメイン（example.com など）にリンクします。
• ドメインの所有権を確認します。このプロセスにより、リソース階層のルートノード（組織リソース）が作成されます。

このタスクをおすすめする理由

Trusted Cloud by S3NS 基盤の一部として、次のものを構成する必要があります。

• Google ID サービス。ID を一元管理します。
• 組織リソース。階層のルートとアクセス制御を設定します。

Google ID サービスのオプション

次の Google ID サービスのいずれかまたは両方を使用して、 Trusted Cloud by S3NS ユーザーの認証情報を管理します。

• Cloud Identity: ユーザーとグループを一元管理します。Google と他の ID プロバイダの間で ID を連携できます。詳細については、Cloud Identity の概要をご覧ください。
• Google Workspace: ユーザーとグループを管理し、生産性とコラボレーションを強化する Gmail や Google ドライブなどのプロダクトへのアクセスを提供します。詳しくは、Google Workspace をご覧ください。

ID の計画に関する詳細については、企業 ID のオンボーディング プロセスを計画するをご覧ください。

始める前に

特権管理者アカウントの管理方法については、特権管理者アカウントのベスト プラクティスをご覧ください。

ID プロバイダを構成してドメインの所有権を確認する

このタスクの手順は、新規のお客様か既存のお客様かによって異なります。ニーズに合ったオプションを確認してください。

• 新規のお客様: Cloud Identity を設定し、ドメインの所有権を確認して、組織を作成します。

• Google Workspace の既存のお客様: Google Workspace と Trusted Cloud by S3NSにアクセスするユーザーに対しては、ID プロバイダとして Google Workspace を使用します。 Trusted Cloud by S3NSにのみアクセスするユーザを作成する場合は、Cloud Identity を有効にします。

• Cloud Identity の既存のお客様: ドメインの所有権を確認します。組織が作成され、Cloud Identity が有効になっていることを確認します。

次のステップ

グループを作成してメンバーを追加する。

このタスクでは、Trusted Cloud by S3NS リソースへのアクセスを管理するための ID、ユーザー、グループを設定します。

Trusted Cloudでのアクセス管理の詳細については、以下をご覧ください。

• Identity and Access Management（IAM）の概要
• ベスト プラクティスについては、IAM を安全に使用するをご覧ください。

このタスクを実行するユーザー

このタスクは、次のいずれかをお持ちの場合に実行できます。

• 組織タスクで作成した Google Workspace または Cloud Identity の特権管理者。
• 次のいずれかの IAM ロール:
  • 組織管理者（roles/resourcemanager.organizationAdmin）。
  • Workforce Identity プール管理者（roles/iam.workforcePoolAdmin）。

このタスクの内容

• Cloud Identity または外部 ID プロバイダ（IdP）に接続します。

• Trusted Cloud by S3NS の設定の残りの手順を実行する管理グループとユーザーを作成します。これらのグループへのアクセス権は、後で実行するタスクで付与します。

このタスクをおすすめする理由

このタスクは、セキュリティに関する次のベスト プラクティスを実装する際に役立ちます。

• 最小権限の原則: ロールに必要な最小限の権限をユーザーに付与します。また、権限が不要になったら、その権限をすぐに取り消します。

• ロールベース アクセス制御（RBAC）: ユーザーの職務に応じてユーザーのグループに権限を割り当てます。個々のユーザー アカウントには権限を追加しません。

グループを使用することで、IAM のロールをユーザーの集合に効率的に適用できます。これにより、アクセス管理を簡素化できます。

ID プロバイダを選択する

次のいずれかを使用して、ユーザーとグループを管理し、 Trusted Cloud by S3NSに接続できます。

• Google Workspace または Cloud Identity: Google Workspace または Cloud Identity でユーザーとグループを作成して管理します。外部 ID プロバイダとの同期は後で選択できます。
• 外部 ID プロバイダ（Microsoft Entra ID、Okta など）: 外部 ID プロバイダでユーザーとグループを作成して管理します。次に、プロバイダを Trusted Cloud by S3NS に接続して、シングル サインオンを有効にします。

ID プロバイダを選択する手順は次のとおりです。

1. このタスクを実行するユーザーで指定したユーザーのいずれかとして Trusted Cloud コンソールにログインします。

2. [Trusted Cloud by S3NS の設定 / ユーザーとグループ] に移動します。

   [ユーザーとグループ] に移動

3. タスクの詳細を確認し、[ID の設定を続行] をクリックします。

4. [ID プロバイダを選択する] ページで、次のいずれかを選択してガイド付きのセットアップを開始します。

   • Google を使用して Trusted Cloud by S3NS ユーザーを一元的に管理する: Google Workspace または Cloud Identity を使用して、確認済みドメインの特権管理者としてユーザーとグループをプロビジョニングし、管理します。後で外部 ID プロバイダと同期できます。
   • Microsoft Entra ID（Azure AD）: OpenID Connect を使用して Microsoft Entra ID への接続を構成します。
   • Okta: OpenID Connect を使用して Okta への接続を構成します。
   • OpenID Connect: OpenID プロトコルを使用して、互換性のある ID プロバイダに接続します。
   • SAML: SAML プロトコルを使用して、互換性のある ID プロバイダに接続します。
   • 現時点では外部 IdP の設定をスキップする: 外部 ID プロバイダがあり、 Trusted Cloud by S3NSに接続する準備が整っていない場合は、Google Workspace または Cloud Identity でユーザーとグループを作成できます。

5. [続行] をクリックします。

6. 次の手順については、以下のいずれかをご覧ください。

   • Cloud Identity でユーザーとグループを作成する
   • 外部 ID プロバイダを Trusted Cloudに接続する

Cloud Identity でユーザーとグループを作成する

既存の ID プロバイダがない場合、または ID プロバイダを Trusted Cloud by S3NSに接続する準備が整っていない場合は、Cloud Identity または Google Workspace でユーザーとグループを作成して管理できます。ユーザーとグループを作成するには、次の操作を行います。

• 組織、課金、ネットワーク管理など、推奨される管理機能ごとにグループを作成します。
• 管理者用に管理対象ユーザー アカウントを作成します。
• ユーザーの責任に応じて、ユーザーを管理グループに割り当てます。

始める前に

• すでに Google アカウントを持っているユーザーを探して移行します。詳細については、管理対象外のアカウントを持つユーザーを追加するをご覧ください。

• 特権管理者であることが必要です。

管理グループを作成する

グループは、複数の Google アカウントやサービス アカウントを 1 つにまとめて、名前を付けたものです。各グループには、gcp-billing-admins@example.com などの一意のメールアドレスがあります。グループを作成することで、ユーザーを管理し、IAM ロールをまとめて適用できます。

次のグループは、組織のコア機能の管理と、 Trusted Cloud by S3NS の設定プロセスの完了に役立ちます。

管理グループを作成する方法は次のとおりです。

1. プロバイダとして Google を選択します。

2. [グループを作成] ページで、推奨される管理グループのリストを確認し、次のいずれかを行います。

   • 推奨されるグループをすべて作成するには、[すべてのグループを作成] をクリックします。
   • 推奨されるグループのサブセットを作成する場合は、選択した行の [作成] をクリックします。

3. [続行] をクリックします。

管理ユーザーを作成する

組織、ネットワーク、課金、その他の設定を終えているユーザーを最初に追加することをおすすめします。他のユーザーは、 Trusted Cloud by S3NS の設定プロセスの完了後に追加できます。

Trusted Cloud by S3NS の設定タスクを行う管理ユーザーを追加するには、次の手順で操作します。

1. 一般ユーザー向けアカウントを、Cloud Identity で管理される管理対象ユーザー アカウントに移行します。詳しい手順については、以下をご覧ください。

   • 一般ユーザー向けアカウントの移行
   • 管理対象外のアカウントを持つユーザーを追加する

2. 特権管理者アカウントを使用して、Google 管理コンソールにログインします。

3. 次のいずれかの方法でユーザーを追加します。

   • 複数のユーザーをまとめて追加するには、CSV ファイルから複数のユーザーを追加または更新するをご覧ください。
   • ユーザーを個別に追加するには、新規ユーザーのアカウントを追加するをご覧ください。

4. ユーザーの追加が完了したら、[Trusted Cloud by S3NS の設定 / ユーザーとグループ（ユーザーの作成）] に戻ります。

5. [続行] をクリックします。

管理ユーザーをグループに追加する

作成したユーザーを、それぞれの職務に対応する管理グループに追加します。

1. 管理ユーザーを作成していることを確認します。

2. [Trusted Cloud by S3NS の設定 / ユーザーとグループ（グループへのユーザーの追加）] で、ステップの詳細を確認します。

3. 各 [グループ] 行で、次の操作を行います。

   1. [メンバーを追加] をクリックします。
   2. ユーザーのメールアドレスを入力します。

   3. [グループのロール] プルダウン リストから、ユーザーのグループ権限の設定を選択します。詳しくは、閲覧、投稿、管理できるユーザーを設定するをご覧ください。

      選択したグループのロールに関係なく、各メンバーはグループに付与したすべての IAM ロールを継承します。

   4. このグループに別のユーザーを追加するには、[別のメンバーを追加] をクリックして、上記の手順を繰り返します。各グループに複数のメンバーを追加することをおすすめします。

   5. このグループにユーザーを追加したら、[保存] をクリックします。

4. すべてのグループの設定が完了したら、[ユーザーとグループを確認] をクリックします。

5. ID プロバイダを Trusted Cloud by S3NSと連携させる場合は、以下をご覧ください。

   • リファレンス アーキテクチャ: 外部 IdP の使用
   • ユーザーを自動的にプロビジョニングしてシングル サインオンを有効にするには、以下をご覧ください。
     • Cloud Identity を Active Directory と連携させる。
     • Cloud Identity を Microsoft Entra ID と連携させる。
   • Active Directory のユーザーとグループを Trusted Cloudに同期するには、Directory Sync または Google Cloud Directory Sync を使用します。
     • 比較については、Directory Sync と GCDS の比較をご覧ください。

外部 ID プロバイダを Trusted Cloudに接続する

既存の ID プロバイダを使用して、グループとユーザーを作成して管理できます。 Trusted Cloud へのシングル サインオンを構成するには、外部 ID プロバイダとの Workforce Identity 連携を設定します。このプロセスの主なコンセプトについては、Workforce Identity 連携をご覧ください。

外部 ID プロバイダを接続するには、次の手順を含むガイド付きの設定を完了します。

1. Workforce プールを作成する: Workforce Identity プールを使用すると、ID とリソースへのアクセスを管理できます。次の詳細情報を人間が読める形式で入力します。
   • Workforce プール ID: IAM で使用されるグローバル固有識別子。
   • プロバイダ ID: プロバイダの名前。ユーザーが Trusted Cloudにログインするときに指定します。
2. プロバイダで Trusted Cloud を構成する: ガイド付きの設定には、プロバイダ固有の手順が含まれています。
3. プロバイダの Workforce プールの詳細情報を入力する: ID をアサートする信頼できる機関としてプロバイダを追加するには、プロバイダから詳細情報を取得して Trusted Cloudに追加します。
4. 管理グループの初期セットを構成する: ガイド付きの設定には、プロバイダ固有の手順が含まれています。プロバイダでグループを割り当て、 Trusted Cloudへの接続を確立します。各グループの詳細については、管理グループを作成するをご覧ください。
5. 各グループにユーザーを割り当てる: 各グループに複数のユーザーを割り当てることをおすすめします。

各プロバイダの接続プロセスの背景情報については、以下をご覧ください。

• Azure AD との Workforce Identity 連携を構成してユーザー ログインを行う
• Okta との Workforce Identity 連携を構成してユーザー ログインを行う
• OIDC または SAML をサポートする他のプロバイダについては、Workforce Identity 連携を構成するをご覧ください。

次のステップ

管理者グループに権限を割り当てる。

このタスクでは、Identity and Access Management（IAM）を使用して、権限のコレクションを組織レベルで管理者のグループに割り当てます。このプロセスにより、管理者は組織に属するすべてのクラウド リソースを一元的に表示して管理できます。

Trusted Cloud by S3NSの Identity and Access Management の概要については、IAM の概要をご覧ください。

このタスクを実行するユーザー

このタスクを行うには、次のいずれかのユーザーである必要があります。

• 特権管理者ユーザー。
• 組織管理者のロール（roles/resourcemanager.organizationAdmin）を持つユーザー。

このタスクの内容

• [ユーザーとグループ] タスクで作成した管理者グループにデフォルトで割り当てられているロールのリストを確認します。

• グループをカスタマイズするには、次の操作を行います。

  • ロールを追加または削除します。
  • 使用する予定のないグループは削除できます。

このタスクをおすすめする理由

組織のすべての管理者ロールを明示的に付与する必要があります。このタスクは、セキュリティに関する次のベスト プラクティスを実装する際に役立ちます。

• 最小権限の原則: ジョブの実行に必要な最小限の権限をユーザーに付与します。また、権限が不要になったら、その権限をすぐに取り消します。

• ロールベース アクセス制御（RBAC）: ジョブに応じてユーザーのグループに権限を割り当てます。個々のユーザー アカウントにはロールを付与しません。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。

管理者グループにアクセス権を付与する

[ユーザーとグループ] タスクで作成した管理者グループに適切なアクセス権を付与するには、各グループに割り当てられているデフォルトのロールを確認します。ロールを追加または削除して、各グループのアクセス権をカスタマイズできます。

1. 特権管理者ユーザーとして Trusted Cloud コンソールにログインしていることを確認します。

   また、組織管理者ロール（roles/resourcemanager.organizationAdmin）を持つユーザーとしてログインすることもできます。

2. [Trusted Cloud by S3NS の設定 / 管理者権限] に移動します。

   [管理者権限] に移動

3. ページの上部にある [選択元] プルダウン リストから組織名を選択します。

4. タスクの概要を確認し、[管理者権限を継続] をクリックします。

5. [ユーザーとグループ] タスクで作成した [グループ（プリンシパル）] 列のグループを確認します。

6. グループごとにデフォルトの IAM ロールを確認します。組織固有のニーズに合わせて、各グループに割り当てるロールを追加または削除できます。

   各ロールには、関連するタスクの実行を許可する複数の権限が含まれています。各ロールの権限の詳細については、IAM の基本ロールと事前定義ロールのリファレンスをご覧ください。

7. 各グループにロールを割り当てる準備ができたら、[保存してアクセスを許可] をクリックします。

次のステップ

お支払い情報を設定する。

このタスクでは、 Trusted Cloudリソースの支払いを行う請求先アカウントを設定します。この設定を行うには、組織に次のいずれかを関連付けます。

• 既存の Cloud 請求先アカウント。アカウントにアクセスできない場合は、請求先アカウントの管理者にアクセス権をリクエストできます。

• 新しい Cloud 請求先アカウント。

課金の詳細については、Cloud Billing のドキュメントをご覧ください。

このタスクを行うユーザー

[ユーザーとグループ] タスクで作成した gcp-billing-admins@YOUR_DOMAIN グループのユーザー。

このタスクの内容

• セルフサービスの Cloud 請求先アカウントを作成するか、既存の Cloud 請求先アカウントを使用します。
• セルフサービス アカウントから請求書発行アカウントに移行するかどうかを決定します。
• Cloud 請求先アカウントとお支払い方法を設定します。

このタスクをおすすめする理由

Cloud Billing アカウントは 1 つ以上の Trusted Cloud プロジェクトにリンクされ、仮想マシン、ネットワーク、ストレージなど、使用するリソースの課金に使用されます。

請求先アカウントの種類を決定する

組織には、次のいずれかの種類の請求先アカウントを関連付けます。

• セルフサービス（またはオンライン）: クレジット カードまたはデビットカードを使用してオンラインで登録します。小規模ビジネスや個人の場合は、このオプションをおすすめします。請求先アカウントをオンラインで登録する場合、アカウントはセルフサービス アカウントとして自動的に設定されます。

• 請求書発行（またはオフライン）。セルフサービスの請求先アカウントをすでにお持ちの場合、お客様のビジネスが資格要件を満たしていれば、請求書発行を申請できる場合があります。

請求書発行アカウントをオンラインで作成することはできませんが、セルフサービス アカウントから請求書発行アカウントへの変更を申請することは可能です。

詳細については、Cloud 請求先アカウントの種類をご覧ください。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。

請求先アカウントを設定する

請求先アカウントの種類を選択したら、組織に請求先アカウントを関連付けます。このプロセスを完了すると、請求先アカウントを使用して Trusted Cloud リソースの支払いを行うことができます。

1. gcp-billing-admins@YOUR_DOMAIN グループのユーザーとして Trusted Cloud コンソールにログインします。

2. [Trusted Cloud by S3NS の設定 / 課金] に移動します。

   [課金] に移動

3. タスクの概要を確認し、[お支払いを続行] をクリックします。

4. 次のいずれかのオプションを選択します。

   新しいアカウントを作成する

   組織に既存のアカウントがない場合は、新しいアカウントを作成します。

   1. [新しい請求先アカウントを作成します] を選択します。
   2. [続行] をクリックします。

   3. 作成する請求先アカウントの種類を選択します。詳しい手順については、以下をご覧ください。

      • 新しいセルフサービス アカウントを作成するには、セルフサービスの Cloud 請求先アカウントを新規に作成するをご覧ください。
      • 既存のセルフサービス アカウントを請求書発行に移行するには、毎月の請求書発行に申し込むをご覧ください。

   4. 請求先アカウントが作成されたことを確認します。

      1. 請求書発行アカウントを作成した場合は、確認メールが届くまでに最大 5 営業日かかります。

      2. [課金] ページに移動します。

      3. ページの上部にある [選択元] リストから組織を選択します。アカウントが正常に作成されると、請求先アカウントのリストに表示されます。

   既存のアカウントを使用する

   既存の請求先アカウントがある場合は、それを組織に関連付けることができます。

   1. [このリストから、設定手順を完了するために使用する請求先アカウントを特定しました。] を選択します。
   2. [課金] プルダウン リストから、組織に関連付けるアカウントを選択します。
   3. [続行] をクリックします。
   4. 詳細を確認し、[請求先アカウントを確定] をクリックします。

   別のユーザーのアカウントを使用する

   別のユーザーが既存の請求先アカウントにアクセスできる場合は、そのユーザーに請求先アカウントを組織に関連付けるよう依頼できます。また、そのユーザーから、関連付けの完了に必要なアクセス権を付与してもらうこともできます。

   1. [別の Google ユーザー アカウントで管理されている請求先アカウントを使用する] を選択します。
   2. [続行] をクリックします。
   3. 請求先アカウント管理者のメールアドレスを入力します。
   4. [管理者に問い合わせる] をクリックします。
   5. 請求先アカウント管理者から詳細な手順について連絡があるまで待ちます。

次のステップ

リソース階層を作成してアクセス権を割り当てる。

このタスクでは、次のリソースを作成してアクセス権を割り当て、リソース階層を設定します。

フォルダ

プロジェクトをグループ化してプロジェクトを分離できます。たとえば、財務部門や小売部門などの組織内の部門を表すフォルダを作成できます。

リソース階層内の環境フォルダ（Production など）は、アプリ対応フォルダです。これらのフォルダでアプリケーションを定義して管理できます。

プロジェクト

仮想マシン、データベース、ストレージ バケットなどの Trusted Cloud リソースが含まれます。アプリ対応フォルダには、アプリケーションのアクセス、課金、オブザーバビリティ、その他の管理機能を管理するために役立つ管理プロジェクトも含まれています。

プロジェクト内のリソースを整理するための設計上の考慮事項とベスト プラクティスについては、 Trusted Cloud ランディング ゾーンのリソース階層を決定するをご覧ください。

このタスクを実行するユーザー

このタスクは、[ユーザーとグループ] タスクで作成した gcp-organization-admins@YOUR_DOMAIN グループのユーザーが行います。

このタスクの内容

• フォルダとプロジェクトを含む最初の階層構造を作成します。
• IAM ポリシーを設定して、フォルダとプロジェクトへのアクセスを制御します。

このタスクをおすすめする理由

フォルダとプロジェクトの構造を作成すると、Trusted Cloud リソースとアプリケーションを管理できます。この構造を使用して、組織の運用方法に基づいてアクセス権を割り当てることができます。たとえば、地理的リージョン、子会社の構成、アカウンタビリティ フレームワークなど、組織固有の状況に基づいてアクセス権を整理し、付与できます。

リソース階層の計画

リソース階層を使用するとリソースの境界を作成できます。また、組織全体でリソースを共有し、共通のタスクで使用することもできます。階層を作成するには、組織構造に応じて次のいずれかの初期構成を使用します。

• シンプルな環境指向:

  • Non-production や Production などの環境を分離します。
  • 各環境フォルダに個別のポリシー、規制要件、アクセス制御を実装します。
  • 一元化された環境を使用する小規模企業に適しています。

• シンプルなチーム指向:

  • Development や QA などのチームを分離します。
  • 各チームフォルダの下に子環境フォルダを用意し、リソースへのアクセスを分離します。
  • 自律型のチームが複数存在する小規模企業に適しています。

• 環境指向:

  • Non-production や Production などの環境の分離を優先します。
  • 各環境フォルダの下でビジネス ユニットを分離します。
  • 各ビジネス ユニットの下でチームを分離します。
  • 一元化された環境を使用する大規模企業に適しています。

• ビジネス ユニット指向:

  • Human Resources や Engineering などのビジネス ユニットの分離を優先し、ユーザーが必要なリソースとデータにのみアクセスできるようにします。
  • 各ビジネス ユニットの下でチームを分離します。
  • 各チームの下で環境を分離します。
  • 自律型チームが複数存在する大規模企業に適しています。

各構成には、共有リソースを含むプロジェクト用の Common フォルダがあります。これには、プロジェクトのロギングとモニタリングが含まれる場合があります。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。
• [課金] タスクで請求先アカウントを作成またはリンクします。

最初のフォルダとプロジェクトを構成する

組織構造を表すリソース階層を選択します。

最初のフォルダとプロジェクトを構成する手順は次のとおりです。

1. ユーザーとグループのタスクで作成した gcp-organization-admins@YOUR_DOMAIN グループのユーザーとして Trusted Cloud コンソールにログインします。

2. ページ上部の [選択元] プルダウン リストから組織を選択します。

3. [Trusted Cloud by S3NS の設定 / 階層とアクセス] に移動します。

   [階層とアクセス] に移動

4. タスクの概要を確認し、[リソース階層] の横にある [開始] をクリックします。

5. 最初の構成を選択します。

6. [続行して構成] をクリックします。

7. 組織構造を反映するようにリソース階層をカスタマイズします。たとえば、以下をカスタマイズできます。

   • フォルダ名。

   • 各チームのサービス プロジェクト。サービス プロジェクトへのアクセス権を付与するには、以下を作成します。

     • 各サービス プロジェクトのグループ。
     • 各グループのユーザー。

     サービス プロジェクトの概要については、共有 VPC をご覧ください。

   • モニタリング、ロギング、ネットワーキングに必要なプロジェクト。

   • カスタム プロジェクト。

8. [続行] をクリックします。

9. フォルダとプロジェクトへのアクセスを許可します。

フォルダとプロジェクトへのアクセスを許可する

[管理者権限] タスクでは、グループに対する管理者権限を組織レベルで付与しました。このタスクでは、新しく構成したフォルダとプロジェクトを操作するグループへのアクセス権を構成します。

プロジェクト、フォルダ、組織にはそれぞれ、リソース階層から継承される独自の IAM ポリシーがあります。

• 組織: ポリシーは組織内のすべてのフォルダとプロジェクトに適用されます。
• フォルダ: ポリシーはフォルダ内のプロジェクトと他のフォルダに適用されます。
• プロジェクト: ポリシーはプロジェクトとそのリソースにのみ適用されます。

フォルダとプロジェクトの IAM ポリシーを更新します。

1. [階層とアクセス] の [アクセス制御の構成] で、グループにフォルダとプロジェクトへのアクセス権を付与します。

   1. 表で、各リソースのグループに付与されている推奨の IAM ロールのリストを確認します。

   2. 各グループに割り当てられたロールを変更する場合は、目的の行の [編集] をクリックします。

      各ロールの詳細については、IAM の基本ロールと事前定義ロールをご覧ください。

2. [続行] をクリックします。

3. 変更を確認し、[ドラフトの構成を確定] をクリックします。

管理プロジェクトの課金を構成する

構成をデプロイしたら、各管理プロジェクトの課金を構成する必要があります。関連する費用が発生する API の支払いには、請求先アカウントが必要です。詳細については、管理プロジェクトの請求先アカウントをリンクするをご覧ください。

次のステップ

セキュリティ設定を作成する

このタスクでは、組織の保護に役立つセキュリティ設定とサービスを構成します。

このタスクを行うユーザー

このタスクを完了するには、次のいずれかが必要です。

• 組織管理者ロール（roles/resourcemanager.organizationAdmin）。
• [ユーザーとグループ] タスクで作成した次のいずれかのグループのメンバー。
  • gcp-organization-admins@<your-domain>.com
  • gcp-security-admins@<your-domain>.com

このタスクの内容

次のカテゴリに基づいて、推奨される組織のポリシーを適用します。

• アクセス管理。
• サービス アカウントの動作。
• VPC ネットワークの構成。
• Cloud KMS with Autokey - [強化されたセキュリティ] 基盤オプションでのみ使用できます。

また、Security Command Center を有効にして、脆弱性と脅威のレポートを一元化します。

このタスクをおすすめする理由

推奨される組織のポリシーを適用すると、セキュリティ ポスチャーを逸脱するユーザー操作を制限できます。

Security Command Center を有効にすると、脆弱性と脅威を一元的に分析するための場所を作成できます。

Cloud KMS with Autokey を適用して自動化すると、顧客管理の暗号鍵（CMEK）を一貫して使用してリソースを保護できます。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。

セキュリティ タスクを開始する

1. このタスクを行うユーザーで指定したユーザーで Trusted Cloud コンソールにログインします。

2. ページ上部の [選択元] プルダウンから組織を選択します。

3. [Trusted Cloud by S3NS の設定 / セキュリティ] に移動します。

   [セキュリティ] に移動

4. タスクの概要を確認し、[セキュリティを強化する] をクリックします。

脆弱性と脅威のレポートを一元化する

脆弱性と脅威の報告サービスを一元化するには、Security Command Center を有効にします。 これにより、セキュリティ ポスチャーを強化し、リスクを軽減できます。詳細については、Security Command Center の概要をご覧ください。

1. [Trusted Cloud by S3NS の設定 / セキュリティ] ページで、[Security Command Center の有効化: Standard] チェックボックスがオンになっていることを確認します。

   このタスクでは、無料のスタンダード ティアを有効にします。後でプレミアム バージョンにアップグレードできます。詳細については、Security Command Center のサービスティアをご覧ください。

2. [SCC 設定を適用] をクリックします。

推奨される組織のポリシーを適用する

組織のポリシーは組織レベルで適用され、フォルダとプロジェクトに継承されます。このタスクでは、推奨ポリシーのリストを確認して適用します。組織のポリシーはいつでも変更できます。詳細については、組織ポリシー サービスの概要をご覧ください。

1. 推奨される組織のポリシーのリストを確認します。推奨のポリシーを適用しない場合は、チェックボックスをクリックしてオフにします。

   各組織のポリシーの詳細については、組織のポリシーの制約をご覧ください。

2. [組織のポリシー構成を確認する] をクリックします。

選択した組織のポリシーは、後のタスクで構成をデプロイするときに適用されます。

顧客暗号鍵を適用して自動化する

Cloud KMS with Autokey では、 Trusted Cloudリソースを保護するために必要な場合に、組織内の開発者が対称暗号鍵を作成できます。Cloud KMS with Autokey は、[強化されたセキュリティ] 基盤オプションを選択する場合に構成できます。

1. Cloud KMS with Autokey の説明を読み、[Cloud KMS with Autokey を使用して組織のポリシーを適用する] で [はい（推奨）] をクリックします。
2. [鍵管理の構成を確認する] をクリックします。

後のタスクで構成をデプロイするときに、次の構成が適用されます。

• 階層の各環境フォルダに Autokey プロジェクトを設定する。
• 環境フォルダで Cloud KMS with Autokey を有効にする。
• 各環境フォルダに作成されたリソースに顧客管理の暗号鍵（CMEK）を使用するようにする。
• 各フォルダを制限して、そのフォルダの Autokey プロジェクトの Cloud KMS 鍵のみを使用するようにする。

次のステップ

一元的なロギングとモニタリング

このタスクでは、次の構成を行います。

• 一元化されたロギングにより、組織内のすべてのプロジェクトのログを分析して分析情報を取得できます。
• 一元的なモニタリングにより、この設定で作成されたすべてのプロジェクトの指標を可視化できます。

このタスクを実行するユーザー

ロギングとモニタリングを設定するには、次のいずれかが必要です。

• ロギング管理者（roles/logging.admin）とモニタリング管理者（roles/monitoring.admin）のロール。
• [ユーザーとグループ] タスクで作成した次のいずれかのグループのメンバー。
  • gcp-organization-admins@YOUR_DOMAIN
  • gcp-security-admins@YOUR_DOMAIN
  • gcp-logging-monitoring-admins@YOUR_DOMAIN

このタスクの内容

このタスクでは、次のことを行います。

• セキュリティ、監査、コンプライアンスに役立つように、組織全体のプロジェクトで作成されたログを一元的に整理します。
• この設定で作成したプロジェクト全体のモニタリング指標にアクセスできるように、一元的なモニタリング プロジェクトを構成します。

このタスクをおすすめする理由

ログの保存と保持により、分析が簡素化され、監査証跡を保持できます。 一元化されたモニタリングでは、指標を 1 か所で確認できます。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。
• [課金] タスクで請求先アカウントを作成またはリンクします。
• [階層とアクセス] タスクで階層を設定し、アクセス権を割り当てます。

ロギングを一元的に整理する

Cloud Logging では、 Trusted Cloudから取得したログデータとイベントについて、保存、検索、分析、モニタリング、アラート出力を行うことができます。アプリケーション、オンプレミス リソース、その他のクラウドからログを収集して処理することもできます。Cloud Logging を使用してログを 1 つのログバケットに統合することをおすすめします。

詳しくは以下をご覧ください。

• 概要については、転送とストレージの概要をご覧ください。
• オンプレミス リソースのロギングの詳細については、BindPlane を使用したオンプレミス リソースのロギングをご覧ください。
• 構成のデプロイ後にログフィルタを変更する手順については、包含フィルタをご覧ください。

ログデータを一元的なログバケットに保存する手順は次のとおりです。

1. このタスクを実行するユーザーで指定したユーザーとして Trusted Cloud コンソールにログインします。

2. ページ上部の [選択元] プルダウン リストから組織を選択します。

3. [Trusted Cloud by S3NS の設定 / 一元的なロギングとモニタリング] に移動します。

   [一元的なロギングとモニタリング] に移動

4. タスクの概要を確認し、[一元的なロギングとモニタリングを開始] をクリックします。

5. タスクの詳細を確認します。

6. ログを中央のログバケットに転送するには、[組織レベルの監査ログをログバケットに保存する] が選択されていることを確認します。

7. [Logging ログバケットにログを転送する] を開き、次の操作を行います。

   1. [ログバケット名] フィールドに、一元的なログバケットの名前を入力します。

   2. [ログバケット リージョン] リストから、ログデータが保存されているリージョンを選択します。

      詳細については、ログバケットのロケーションをご覧ください。

   3. デフォルトでは、ログは 30 日間保存されます。大規模な企業では、ログを 365 日間保存することをおすすめします。保持期間をカスタマイズするには、[保持期間] フィールドに日数を入力します。

      30 日を超えて保存されたログには、保持料金が発生します。詳細については、Cloud Logging の料金情報をご覧ください。

Trusted Cloud by S3NSの外部にログをエクスポートする

Trusted Cloud by S3NSの外部の宛先にログをエクスポートする場合は、Pub/Sub を使用してエクスポートできます。たとえば、複数のクラウド プロバイダを使用している場合は、各クラウド プロバイダからサードパーティ ツールにログデータをエクスポートできます。

固有のニーズと要件を満たすように、エクスポートするログをフィルタできます。たとえば、エクスポートするログの種類を制限して、費用を管理したり、データのノイズを削減したりすることが可能です。

ログのエクスポートの詳細については、以下をご覧ください。

• 概要については、Pub/Sub とはをご覧ください。
• 料金については、以下をご覧ください。
  • Pub/Sub の料金。
  • Cloud Audit Logs のベスト プラクティス: 料金。
• Splunk へのストリーミングについては、 Trusted Cloud by S3NS から Splunk にログをストリーミングするをご覧ください。

ログをエクスポートする手順は次のとおりです。

1. [他のアプリケーション、他のリポジトリ、またはサードパーティにログをストリーミングする] をクリックします。

2. [Pub/Sub トピック ID] フィールドに、エクスポートされたログを含むトピックの ID を入力します。トピックへの登録の詳細については、pull サブスクリプションをご覧ください。

3. エクスポートするログを選択する手順は次のとおりです。

   1. 各ログタイプの詳細については、Cloud Audit Logs についてをご覧ください。

   2. 次の推奨ログのいずれかをエクスポートしないようにするには、[包含フィルタ] リストをクリックして、ログのチェックボックスをオフにします。

      • Cloud Audit Logs: 管理アクティビティ: リソースの構成またはメタデータを変更する API 呼び出しまたはアクション。
      • Cloud Audit Logs: システム イベント:　リソース構成を変更する Trusted Cloud by S3NS アクション。
      • アクセスの透明性: Google の担当者がお客様のコンテンツにアクセスした際に行った操作。

   3. 次の追加ログを選択してエクスポートします。

      • Cloud Audit Logs: データアクセス: リソースの構成またはメタデータを読み取る API 呼び出しと、ユーザー提供のリソースデータの作成、変更、または読み取りを行うユーザー主導の API 呼び出し。
      • Cloud Audit Logs: ポリシー拒否: セキュリティ ポリシー違反に基づく、ユーザー アカウントまたはサービス アカウントに対する Trusted Cloud by S3NS サービス アクセスの拒否。

   4. このステップで選択したログは、プロジェクトまたはリソースで有効になっている場合にのみエクスポートされます。構成をデプロイした後にプロジェクトとリソースのログフィルタを変更する手順については、包含フィルタをご覧ください。

   5. [OK] をクリックします。

4. [モニタリング に進む] をクリックします。

一元的なモニタリングを設定する

一元化されたモニタリングを使用すると、複数のプロジェクトのシステムの健全性、パフォーマンス、セキュリティを分析できます。このタスクでは、階層とアクセスタスクで作成したプロジェクトをスコーピング プロジェクトに追加します。これにより、スコーピング プロジェクトからこれらのプロジェクトをモニタリングできます。Cloud の設定が完了したら、スコーピング プロジェクトによってモニタリングする他のプロジェクトを構成できます。

詳細については、指標スコープの概要をご覧ください。

一元的なモニタリングを設定するには、次の手順で操作します。

1. Trusted Cloud by S3NS の設定時に作成されたプロジェクトを一元的なモニタリング用に構成するには、[一元的なモニタリングを使用する] が選択されていることを確認します。

   Trusted Cloud by S3NS 　の設定時に作成したプロジェクトは、リストに表示されているスコーピング プロジェクトの指標スコープに追加されます。

2. Cloud Monitoring には毎月の無料割り当てがあります。詳細については、Cloud Monitoring の料金の概要をご覧ください。

3. Trusted Cloud by S3NS の設定以外で作成したプロジェクトを構成する手順については、以下をご覧ください。

   • 指標スコープを構成する
   • モニタリング対象プロジェクトの上限

構成の完了

ロギングとモニタリングのタスクを完了する手順は次のとおりです。

1. [構成の確認] をクリックします。

2. ロギングとモニタリングの構成の詳細を確認します。構成は、後のタスクで設定をデプロイするまでデプロイされません。

次のステップ

ネットワークの初期構成を設定します。

このタスクではネットワークの初期構成を設定します。この構成は、ニーズの変化に応じてスケーリングできます。

Virtual Private Cloud アーキテクチャ

Virtual Private Cloud（VPC）ネットワークは、Google の本番環境ネットワーク内に実装された物理ネットワークを仮想化したネットワークです。VPC ネットワークは、リージョンのサブネットワーク（サブネット）で構成されるグローバル リソースです。

VPC ネットワークは、Compute Engine 仮想マシン インスタンス、GKE コンテナ、App Engine フレキシブル環境インスタンスなどの Trusted Cloud リソースにネットワーク機能を提供します。

共有 VPC は、複数のプロジェクトのリソースを共通の VPC ネットワークに接続し、ネットワークの内部 IP アドレスを使用して相互に通信できるようにします。次の図は、サービス プロジェクトが接続された共有 VPC ネットワークの基本アーキテクチャを示しています。

共有 VPC を使用する場合は、ホスト プロジェクトを指定し、1 つ以上のサービス プロジェクトをホスト プロジェクトに接続します。ホスト プロジェクトの Virtual Private Cloud ネットワークは、共有 VPC ネットワークといいます。

この例の図には、本番環境と非本番環境のホスト プロジェクトがあり、それぞれに共有 VPC ネットワークが含まれています。ホスト プロジェクトを使用すると、以下のものを一元管理できます。

• ルート
• ファイアウォール
• VPN 接続
• サブネット

サービス プロジェクトとは、ホスト プロジェクトに接続されている任意のプロジェクトです。ホスト プロジェクトとサービス プロジェクトの間で、セカンダリ範囲を含むサブネットを共有できます。

このアーキテクチャでは、各共有 VPC ネットワークにパブリック サブネットとプライベート サブネットが含まれています。

• パブリック サブネットは、インターネットに接続するインスタンスで外部接続のために使用されます。
• プライベート サブネットは、パブリック IP アドレスが割り振られていない内部インスタンスで使用されます。

このタスクでは、サンプルの図に基づいてネットワークの初期構成を作成します。

このタスクを行うユーザー

このタスクを行うには、次のいずれかが必要です。

• roles/compute.networkAdmin ロール。
• [ユーザーとグループ] タスクで作成した gcp-network-admins@YOUR_DOMAIN グループのユーザー。

このタスクの内容

次のものを含むネットワークの初期構成を作成します。

• 開発環境に合わせて複数のホスト プロジェクトを作成します。
• 各ホスト プロジェクトに共有 VPC ネットワークを作成し、異なるリソースが同じネットワークを共有できるようにします。
• 各共有 VPC ネットワークに個別のサブネットを作成して、サービス プロジェクトへのネットワーク アクセスを提供します。

このタスクをおすすめする理由

各チームが共有 VPC を使用して、一元管理された共通の VPC ネットワークに接続できます。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。
• [課金] タスクで請求先アカウントを作成またはリンクします。
• [階層とアクセス] タスクで階層を設定し、アクセス権を割り当てます。

ネットワーク アーキテクチャを構成する

2 つのホスト プロジェクトを使用してネットワークの初期構成を作成し、非本番環境と本番環境のワークロードをセグメント化します。各ホスト プロジェクトには、複数のサービス プロジェクトで使用できる共有 VPC ネットワークが含まれています。ネットワークの詳細を構成し、後のタスクで構成ファイルをデプロイします。

ネットワークの初期構成を行うには、次の手順で操作します。

1. ユーザーとグループのタスクで作成した gcp-organization-admins@YOUR_DOMAIN グループのユーザーとして Trusted Cloud コンソールにログインします。

2. ページの上部にある [組織を選択] プルダウン リストから組織を選択します。

3. [Trusted Cloud by S3NS の設定 / ネットワーキング] に移動します。

   [ネットワーキング] に移動

4. デフォルトのネットワーク アーキテクチャを確認します。

5. ネットワーク名を編集するには、次の操作を行います。

   1. 操作アイコン more_vert をクリックします。
   2. [ネットワーク名を編集する] を選択します。
   3. [ネットワーク名] フィールドに、小文字、数字、ハイフンを入力します。ネットワーク名は 25 文字以内で指定してください。
   4. [保存] をクリックします。

ファイアウォールの詳細を変更する

ホスト プロジェクトのデフォルトのファイアウォール ルールは、推奨されるベスト プラクティスに基づいています。1 つ以上のデフォルト ファイアウォール ルールを無効にできます。ファイアウォール ルールの概要については、VPC ファイアウォール ルールをご覧ください。

ファイアウォールの設定を変更するには、次の操作を行います。

1. 操作アイコン more_vert をクリックします。

2. [ファイアウォール ルールを編集する] を選択します。

3. デフォルトのファイアウォール ルールの詳細については、デフォルト ネットワークの事前設定ルールをご覧ください。

4. ファイアウォール ルールを無効にするには、対応するチェックボックスをオフにします。

5. [ファイアウォール ルールのロギング] を無効にするには、[オフ] をクリックします。

   デフォルトでは、Compute Engine インスタンスとの間のトラフィックは、監査目的でロギングされます。このプロセスには費用が発生します。詳細については、ファイアウォール ルールのロギングをご覧ください。

6. [保存] をクリックします。

サブネットの詳細を変更する

各 VPC ネットワークには 1 つ以上のサブネットが存在します。サブネットは、IP アドレス範囲が関連付けられたリージョン リソースです。このマルチリージョン構成では、IP 範囲が重複しないサブネットが 2 つ以上必要になります。

詳細については、サブネットをご覧ください。

各サブネットは、推奨のベスト プラクティスに従って構成されます。各サブネットをカスタマイズする場合は、次の操作を行います。

1. 操作アイコン more_vert をクリックします。
2. [サブネットを編集する] を選択します。
3. [名前] フィールドに、小文字、数字、ハイフンを入力します。サブネット名は 25 文字以内で指定してください。

4. [リージョン] プルダウンから、サービス提供地点に近いリージョンを選択します。

   サブネットごとに異なるリージョンを使用することをおすすめします。構成をデプロイした後にリージョンを変更することはできません。リージョンの選択については、リージョン リソースをご覧ください。

5. [IP アドレス範囲] フィールドに、範囲を CIDR 表記で入力します（例: 10.0.0.0/24）。

   入力する範囲は、このネットワーク内の他のサブネットと重ならないようにしてください。有効な範囲については、IPv4 サブネットの範囲をご覧ください。

6. サブネット 2 にも同じ手順を繰り返します。

7. このネットワークで追加のサブネットを構成するには、[サブネットを追加] をクリックして、上記の手順を繰り返します。

8. [保存] をクリックします。

サブネットは、ベスト プラクティスに従って自動的に構成されます。構成を変更する場合は、[Trusted Cloud by S3NS の設定: VPC ネットワーク] ページで次の操作を行います。

1. VPC フローログをオフにするには、[Flow logs] 列で [オフ] を選択します。

   フローログがオンの場合、各サブネットはネットワーク フローを記録します。これは、セキュリティや費用の最適化などの目的で分析できます。詳細については、VPC フローログを使用するをご覧ください。

   VPC フローログには費用が発生します。詳細については、Virtual Private Cloud の料金をご覧ください。

2. プライベート Google アクセスを無効にするには、[プライベート アクセス] 列で [オフ] を選択します。

   プライベート Google アクセスが有効になっている場合、外部 IP アドレスのない VM インスタンスが Google API とサービスにアクセスできます。詳細については、プライベート Google アクセスをご覧ください。

3. Cloud NAT を有効にするには、[Cloud NAT] 列で [オン] を選択します。

   Cloud NAT を有効にすると、特定のリソースがインターネットへのアウトバウンド接続を作成できます。詳細については、Cloud NAT の概要をご覧ください。

   Cloud NAT には費用が発生します。詳細については、Virtual Private Cloud の料金をご覧ください。

4. [サービス プロジェクトのリンクに進む] をクリックします。

サービス プロジェクトをホスト プロジェクトにリンクする

サービス プロジェクトとは、ホスト プロジェクトに接続されている任意のプロジェクトです。接続したサービス プロジェクトには、共有 VPC への参加が許可されます。各サービス プロジェクトを異なる部門やチームで運用、管理することで、責任を分離できます。

複数のプロジェクトを共通の VPC ネットワークに接続する方法については、共有 VPC の概要をご覧ください。

サービス プロジェクトをホスト プロジェクトにリンクして構成を完了するには、次の操作を行います。

1. [共有 VPC ネットワーク] テーブルの各サブネットに、接続するサービス プロジェクトを選択します。これを行うには、[サービス プロジェクト] 列の [プロジェクトを選択] プルダウンから選択します。

   1 つのサービス プロジェクトを複数のサブネットに接続できます。

2. [続行して確認] をクリックします。

3. 構成を確認して変更を行います。

   構成ファイルをデプロイするまでは編集が可能です。

4. [ドラフトの構成の確定] をクリックします。ネットワークの構成が構成ファイルに追加されます。

   後のタスクで構成ファイルをデプロイするまで、ネットワークはデプロイされません。

次のステップ

ハイブリッド接続をセットアップします。これにより、オンプレミス サーバーや他のクラウド プロバイダを Trusted Cloud by S3NSに接続できます。

このタスクでは、次の図のように、ピア（オンプレミスまたは他のクラウド）ネットワークと Trusted Cloud by S3NS ネットワーク間の接続を確立します。

このプロセスでは、HA VPN が作成されます。これは、パブリック インターネットを介してデータを転送するために迅速に作成できる高可用性（HA）ソリューションです。

Trusted Cloud の設定をデプロイしたら、Cloud Interconnect を使用してより堅牢な接続を作成することをおすすめします。

ピア ネットワークと Trusted Cloud by S3NS間の接続の詳細については、以下をご覧ください。

• Cloud VPN の概要
• Network Connectivity プロダクトの選択

このタスクを行うユーザー

組織管理者ロール（roles/resourcemanager.organizationAdmin）を付与されている必要があります。

このタスクの内容

VPC ネットワークとオンプレミスまたは他のクラウド ネットワークの間に低レイテンシで高可用性の接続を作成します。次のコンポーネントを構成します。

• Trusted Cloud by S3NS HA VPN ゲートウェイ: それぞれ独自の IP アドレスを持つ 2 つのインターフェースがあるリージョン リソース。IP スタックタイプを指定します。これにより、接続で IPv6 トラフィックがサポートされるかどうかが決定されます。背景情報については、HA VPN をご覧ください。
• ピア VPN ゲートウェイ: Trusted Cloud by S3NSHA VPN ゲートウェイが接続するピア ネットワーク上のゲートウェイ。ピア ゲートウェイで Trusted Cloud by S3NSへの接続に使用する外部 IP アドレスを入力します。背景情報については、ピア VPN ゲートウェイを構成するをご覧ください。
• Cloud Router: Border Gateway Protocol（BGP）を使用して、VPC とピア ネットワーク間でルートを動的に交換します。自律システム番号（ASN）を Cloud Router の ID として割り当て、ピアルーターで使用する ASN を指定します。背景情報については、VPC ネットワークをピア ネットワークに接続する Cloud Router を作成するをご覧ください。
• VPN トンネル: Trusted Cloud by S3NS ゲートウェイをピア ゲートウェイに接続します。トンネルの確立に使用する Internet Key Exchange（IKE）プロトコルを指定します。以前に生成した独自の IKE 鍵を入力するか、新しい鍵を生成してコピーできます。背景情報については、IKE を構成するをご覧ください。

このタスクをおすすめする理由

HA VPN は、既存のインフラストラクチャと Trusted Cloud by S3NS間に安全で高可用性の接続を実現します。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。
• [課金] タスクで請求先アカウントを作成またはリンクします。
• [階層とアクセス] タスクで階層を設定し、アクセス権を割り当てます。
• [VPC ネットワーク] タスクでネットワークを構成します。

ピア ネットワーク管理者から次の情報を収集します。

• ピア VPN ゲートウェイ名: Cloud VPN が接続するゲートウェイ。
• ピア インターフェース IP アドレス 0: ピア ネットワーク ゲートウェイの外部 IP アドレス。
• ピア インターフェース IP アドレス 1: 2 番目の外部アドレス。ピア ネットワークに外部 IP アドレスが 1 つのみ存在する場合は、IP アドレス 0 を再利用できます。
• ピア自律システム番号（ASN）: ピア ネットワーク ルーターに割り当てられる固有識別子。
• Cloud Router ASN: Cloud Router に割り当てる固有識別子。
• Internet Key Exchange（IKE）鍵: ピア VPN ゲートウェイで 2 つの VPN トンネルを確立するために使用する鍵。既存の鍵がない場合は、この設定中に鍵を生成してピア ゲートウェイに適用できます。

接続を構成する

VPC ネットワークをピア ネットワークに接続する手順は次のとおりです。

1. 組織管理者ロールを持つユーザーとしてログインします。

2. ページ上部の [選択元] プルダウン リストから組織を選択します。

3. [Trusted Cloud by S3NS の設定 / ハイブリッド接続] に移動します。

   [ハイブリッド接続] に移動

4. タスクの詳細を確認する手順は次のとおりです。

   1. タスクの概要を確認し、[ハイブリッド接続を開始] をクリックします。

   2. 各タブをクリックしてハイブリッド接続の詳細を確認し、[続行] をクリックします。

   3. 各タスクのステップで何が行われるかを確認し、[続行] をクリックします。

   4. 収集する必要があるピア ゲートウェイの構成情報を確認して、[続行] をクリックします。

5. [ハイブリッド接続] 領域で、ビジネスニーズに基づいて接続する VPC ネットワークを特定します。

6. 最初に選択したネットワークの行で、[構成] をクリックします。

7. [構成の概要] 領域で説明を確認し、[次へ] をクリックします。

8. [Trusted Cloud by S3NS HA VPN ゲートウェイ] 領域で、次の操作を行います。

   1. [Cloud VPN ゲートウェイ名] フィールドに、英小文字、数字、ハイフンを使用して最大 60 文字を入力します。

   2. [VPN トンネルの内部 IP スタックタイプ] 領域で、次のいずれかのスタックタイプを選択します。

      • IPv4 と IPv6（推奨）: IPv4 トラフィックと IPv6 トラフィックの両方をサポートできます。トンネルで IPv6 トラフィックを許可する場合は、この設定をおすすめします。
      • IPv4: IPv4 トラフィックのみをサポートできます。

      スタックタイプによって、VPC ネットワークとピア ネットワーク間のトンネルで許可されるトラフィックのタイプが決定されます。ゲートウェイの作成後にスタックタイプを変更することはできません。背景情報については、以下をご覧ください。

      • IPv6 サポート
      • スタックタイプと BGP セッション

   3. [次へ] をクリックします。

9. [ピア VPN ゲートウェイ] 領域で、次の操作を行います。

   1. [ピア VPN ゲートウェイの名前] フィールドに、ピア ネットワーク管理者によって指定された名前を入力します。英小文字、数字、ハイフンを使用して最大 60 文字を入力できます。

   2. [ピア インターフェース IP アドレス 0] フィールドに、ピア ネットワーク管理者によって指定されたピア ゲートウェイ インターフェースの外部 IP アドレスを入力します。

   3. [ピア インターフェース IP アドレス 1] フィールドで、次のいずれかを行います。

      • ピア ゲートウェイに 2 つ目のインターフェースがある場合は、その IP アドレスを入力します。
      • ピア ゲートウェイにインターフェースが 1 つのみ存在する場合は、[ピア インターフェース IP アドレス 0] に入力したのと同じアドレスを入力します。

      背景情報については、ピア VPN ゲートウェイを構成するをご覧ください。

   4. [次へ] をクリックします。

10. [Cloud Router] 領域で、次の操作を行います。

    1. [Cloud Router の ASN] フィールドに、ピア ネットワーク管理者によって指定された、Cloud Router に割り当てる自律システム番号を入力します。背景情報については、Cloud Router を作成するをご覧ください。

    2. [ピアルーターの ASN] フィールドに、ピア ネットワーク管理者によって指定されたピア ネットワーク ルーターの自律システム番号を入力します。

11. [VPN トンネル 0] 領域で、次の操作を行います。

    1. [トンネル 0 の名前] フィールドに、英小文字、数字、ハイフンを使用して最大 60 文字を入力します。

    2. [IKE バージョン] 領域で、次のいずれかを選択します。

       • IKEv2 - 推奨: IPv6 トラフィックをサポートします。
       • IKEv1: トンネルで IPv6 トラフィックを許可しない場合は、この設定を使用します。

       背景情報については、VPN トンネルを構成するをご覧ください。

    3. [IKE 事前共有キー] フィールドに、ピア ネットワーク管理者によって指定された、ピア ゲートウェイ構成で使用する鍵を入力します。既存の鍵がない場合は、[生成してコピー] をクリックして、鍵をピア ネットワーク管理者に渡します。

12. [VPN トンネル 1] 領域で、前のステップを繰り返して 2 番目のトンネルの設定を適用します。このトンネルは、冗長性と追加のスループットのために構成します。

13. [保存] をクリックします。

14. ピア ネットワークに接続する他の VPC ネットワークに対して、前述の手順を繰り返します。

デプロイ後

Trusted Cloud by S3NS の設定構成をデプロイしたら、次の手順でネットワーク接続が完了していることを確認します。

1. ピア ネットワーク管理者と連携して、ピア ネットワークをハイブリッド接続設定に合わせます。デプロイ後、ピア ネットワークに固有の次のような手順が提示されます。

   • トンネルの設定。
   • ファイアウォールの設定。
   • IKE の設定。

2. 作成したネットワーク接続を検証します。たとえば、Network Intelligence Center を使用してネットワーク間の接続を確認できます。詳細については、接続テストの概要をご覧ください。

3. ビジネスニーズでより堅牢な接続が必要な場合は、Cloud Interconnect を使用します。詳細については、Network Connectivity プロダクトの選択をご覧ください。

次のステップ

構成をデプロイする。構成には、階層とアクセス、ロギング、ネットワーク、ハイブリッド接続の設定が含まれます。

Trusted Cloud by S3NS の設定プロセスを完了すると、次のタスクの設定が Terraform 構成ファイルにコンパイルされます。

• 階層とアクセス
• セキュリティ
• 一元的なロギングとモニタリング
• VPC ネットワーク
• ハイブリッド接続

設定を適用するには、選択内容を確認してデプロイ方法を選択します。

このタスクを行うユーザー

[ユーザーとグループ] タスクで作成した gcp-organization-admins@YOUR_DOMAIN グループのユーザー。

このタスクの内容

構成ファイルをデプロイして設定を適用します。

このタスクをおすすめする理由

選択した設定を適用するには、構成ファイルをデプロイする必要があります。

始める前に

次のタスクを完了する必要があります。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。
• [課金] タスクで請求先アカウントを作成またはリンクします。
• [階層とアクセス] タスクで階層を設定し、アクセス権を割り当てます。

推奨されるタスクは次のとおりです。

• [セキュリティ] タスクで料金なしのサービスを設定して、セキュリティ ポスチャーを強化します。
• [一元化されたロギングとモニタリング] タスクで、ログデータを 1 か所に統合し、1 つのプロジェクトからすべてのプロジェクトをモニタリングします。
• [VPC ネットワーク] タスクで初期ネットワークを構成します。
• [ハイブリッド接続] タスクで、ピア ネットワークを Trusted Cloud by S3NS に接続します。

構成の詳細を確認する

構成の設定が完了していることを確認するには、次の手順で操作します。

1. ユーザーとグループのタスクで作成した gcp-organization-admins@YOUR_DOMAIN グループのユーザーとして Trusted Cloud コンソールにログインします。

2. ページ上部の [選択元] プルダウン リストから組織を選択します。

3. [Trusted Cloud by S3NS の設定 / デプロイまたはダウンロード] に移動します。

   [デプロイまたはダウンロード] に移動

4. 選択した構成設定を確認します。次の各タブをクリックして、設定を確認します。

   • リソースの階層とアクセス
   • セキュリティ
   • ロギングとモニタリング
   • VPC ネットワーク
   • ハイブリッド接続

構成をデプロイする

構成の詳細を確認したら、次のいずれかのオプションを使用します。

• コンソールから直接デプロイする: 既存の Terraform デプロイ ワークフローがなく、シンプルなデプロイ方法が必要な場合は、このオプションを使用します。この方法でデプロイできるのは 1 回だけです。

• Terraform ファイルをダウンロードしてデプロイする: Terraform デプロイ ワークフローを使用してリソース管理を自動化する場合は、このオプションを使用します。この方法は複数回使用できます。

次のいずれかのオプションを使用してデプロイします。

次のステップ

サポートプランを選択します。

このタスクでは、会社のニーズに合ったサポートプランを選択します。

このタスクを行うユーザー

[ユーザーとグループ] タスクで作成した gcp-organization-admins@YOUR_DOMAIN グループのユーザー。

このタスクの内容

会社のニーズに基づいてサポートプランを選択してください。

このタスクをおすすめする理由

プレミアム サポートプランでは、 Trusted Cloudのエキスパートのサポートを受けて問題をすばやく解決できるビジネス クリティカルなサポートを提供します。

サポート オプションを選択します

次のリソースにアクセスできる無料のベーシック サポートが自動的に提供されます。

• ドキュメント
• コミュニティ サポートとディスカッション
• 請求に関する問題のサポート

企業のお客様の場合は、プレミアム サポートにご登録いただくことをおすすめします。プレミアム サポートでは、Google サポート エンジニアから直接テクニカル サポートを受けることができます。サポートプランを比較するには、Trusted Cloud by S3NS カスタマーケアをご覧ください。

始める前に

次の作業を行います。

• [組織] タスクで、特権管理者ユーザーと組織を作成します。
• [ユーザーとグループ] タスクで、ユーザーの追加とグループの作成を行います。
• [管理者権限] タスクでグループに IAM ロールを割り当てます。

サポートを有効にする

サポート オプションを選択します。

1. サポートプランを確認して選択します。詳細については、Trusted Cloud by S3NS カスタマーケアをご覧ください。

2. ユーザーとグループのタスクで作成した gcp-organization-admins@<your-domain>.com グループのユーザーとして Trusted Cloud コンソールにログインします。

3. [Trusted Cloud by S3NS の設定 / サポート] に移動します。

   [サポート] に移動

4. タスクの詳細を確認し、[サポート サービスを表示] をクリックしてサポート オプションを選択します。

5. サポート オプションを設定したら、[Trusted Cloud by S3NS の設定 / サポート] ページに戻り、[タスクを完了としてマーク] をクリックします。

次のステップ

Trusted Cloud by S3NS の設定が完了し、初期設定の拡張、ビルド済みソリューションのデプロイ、既存のワークフローの移行を行う準備が整いました。詳細については、初期設定を拡張してビルドを開始するをご覧ください。