Google Cloudを組織（企業）で運用する時のベストプラクティス × 健康の環境分離戦略 #まるクラ勉強会

組織（企業で）Google Cloudを運用する時の基礎をベストプラクティスに沿ってご紹介！    2024年5月15日    アライアンス事業部　エンジニアグループ    筋肉とGoogle Cloudの架け橋ニキ
  1

目次 1. Google Cloud の利用に必要なもの 2. Google アカウントの作成/管理の推奨事項 3. Google
Cloud 組織リソースの作成 4. Google Cloud の権限管理の推奨事項 5. Google Cloud 環境分離の推奨事項 6. 組織を作成する際の Tips 7. Cloud Identity と Google Workspaceを統合する 8. 健康（筋肉と運動）の環境分離（最後3分くらい...）

自己紹介 • アライアンス事業部エンジニアグループ • Google Cloudのリセール周りを担当 • 趣味：筋トレ、野良猫探索、格闘技  •
クラウド資格  ◦ Google Cloud10個、Azure8,9個、AWS1 個  • Google Cloud トップエンジニア 2024  • トレーナー歴4年  ◦ マジ筋トレ歴6年以上  ◦ NSCA CSCS 

目次「筋肉 IT」で検索してください

筋肉と健康を組織するそもそも健康の環境分離とは？ • Mental ◦ 心の健康 • Physical ◦ 己の肉体的健康
• Social ◦ 人間関係に対する幸福

Google Cloud を利用するには？

Google Cloudを使用するには何が必要? ❏ Google アカウント • Googleサービスにログインするためのユーザー ID。Gmail、Google カレンダー、YouTubeなどの無料サービスも利用可能。そのサービスの
1つとしてGoogle Cloudでも利用する • [email protected]（無料ユーザー） • [email protected]（有料ユーザー、一部違うが） ❏ プロジェクト（AWSでいうとAWSアカウント） • Google Cloudに固有のリソース（データ分析, VM, ストレージ）を作成する箱 ❏ 請求先アカウント • クレジットカードを登録して使用できるリソースを増やすために作成（必須だが、クレジットカードが無くてもGCPの登録はできる）

請求先アカウント

請求先アカウント ❏ 請求先アカウント • Googleと直契約の支払い用のアカウント ❏ 請求先サブアカウント • リセラー（CM）を挟んだ支払い用のアカウント

請求先アカウント 1：1 請求先アカウント

Google アカウントの作成/管理のベストプラクティス

企業でGoogleアカウントを作成する Google アカウントの作成 • Cloud Identity or Google Workspace（GWS）を利用してユーザーを作成/管理する ◦
これによりGoogle Cloudの組織を利用してプロジェクトを管理することができます。 ◦ Cloud Identity とはGoogle アカウントを管理できるIDPです。 ◦ Google Workspace とはGoogleのSaaSサービスを有料で使用できプラットフォームです。必要最小限のアカウントを作成する • アカウントを1つ以上共存させない（1アカウント/1ユーザーの原則） ◦ Cloud IdentityやGWSにより、パスワードポリシー、シングルサインオン、2 段階認証プロセスの設定をすべてのユーザーに一貫して適用することができます。これにより、脆弱なGoogleアカウントを軽減することができます。

企業でGoogleアカウントを作成するテスト用のアカウントを作成する • Cloud IdentityやGWSで設定を適応する際にテストアカウント使用する。 ◦ ポリシー設定を適用する範囲をテストアカウントで検証して、問題がなければ本番アカウントに適用させます。たとえば、データの地理的な保管場所という設定の範囲を一度、ステージング用のテストアカウントで問題ないことを確認します。
その後、ユーザー別、グループ別、組織部門別にその設定を適応させることで、設定ミスによるリスクを最小限に抑えることができます。また、テストアカウントでは管理者が変更を確認できるように数人のテストユーザーを割り当てますが、一般ユーザーにはアクセスを許可しないなどの対応も必要です。

企業でGoogleアカウントを作成するポリシーの適応本番アカウントテストアカウント ① ②

企業でGoogleアカウントを作成する会社ドメインで登録しているGoogle アカウントを移行して、企業でGoogleアカウントを管理する • 従業員が企業ドメインを使用して個人的のアカウント（一般ユーザー向けアカウントという）としてGoogleサービスにアクセスしている場合、その企業ドメインで登録している個人アカウントを移行することが推奨されます。一般ユーザー向けアカウントは作成者個人が所有/管理しています。したがって、これらのアカウントの構成、セキュリティ、ライフサイクルを管理することはで
きません。一般ユーザー向けアカウントのリスクについてはこちらをご覧ください。

Google Cloud 組織リソースの作成

組織をGoogle Cloud で作成する Google Cloudで組織を作成することにより、プロジェクトを一元的に管理する • Cloud IdentityやGWSを作成したあとにGoogle Cloudで組織を作成します。 ◦
組織を作成することにより、フォルダを作成してプロジェクトを各部門や環境ごとにまとめて管理することが可能となります。 ◦ 組織、フォルダ単位でGoogle Cloud内の権限を適応することにより権限を用途ごとに一元管理することが可能です。

組織をGoogle Cloud で作成する

組織をGoogle Cloud で作成するポリシーの割り当て • ポリシーを組織/フォルダ/プロジェクト/リソース（一部のみ） NWの編集者ロール（権限）の場合「roles/compute.networkAdmin」ポリシーは上から下へ継承される

ポリシーとはなんぞや？ • エンティティ＋ロール（権限の集合体）＝ポリシー(ロールバインディング) エンティティ→ユーザー、グループ、サービスアカウント、ドメイン組織をGoogle Cloud で作成する

組織をGoogle Cloud で作成する組織の全体像【ドメイン-組織→フォルダ→プロジェクト→リソース】 • ドメインと組織は１：１ • フォルダは組織配下に作成し、主に部門ごとに分ける用途などに使用する（フォルダを入れ子にすることは可能である）
• フォルダ配下にプロジェクトを作成する、プロジェクトは各環境ごとに作成するのがよい（開発プロジェクト、運用プロジェクト、検証プロジェクト…etc） ※Google Cloudドキュメントから抜粋 @classmethod.jp 1：1

組織をGoogle Cloud で作成する Google Cloudで組織を運用する • サブドメインで組織を作成することも可能です。 ◦ classmethod.jp（ドメイン） →
alive.classmethod.jp（サブドメイン） • Cloud Identity or Google Workspaceに登録することで組織を作成できます。 • 組織間は移行をすることが可能です。 ◦ 基本的に本番環境での組織は1会社あたり1つで運用することを意識する。 ◦ A組織 → B組織にプロジェクトを移行する。 • 組織ポリシーのテストが必要な場合には、テスト用のフォルダ、テスト用のプロジェクトを切り出してステージング環境にて対応する。 • 組織ポリシーを適応させて、環境を一元管理する。

Google Cloud 権限管理のベストプラクティス

Google Cloud 内での権限管理最小権限の原則を適応させて権限を管理する • 最小権限の原則とは権限の範囲を絞ってユーザーにロールを付与する原則 • 基本ロールは本番環境では使用しない ◦ 権限の範囲が大きすぎるため、本番環境には適していません。
• 事前定義ロールとカスタムロールを使用する ◦ 事前定義ロールを使用することで、最小権限に応じて付与することができます ◦ 事前定義ロールよりさらに権限を絞りたい場合にはカスタムロールを作成して、付与することができます。 ※カスタムロールは必要な場合に作成するようにして下さい。（管理が煩雑になる可能性があります） Google グループの利用 • 同じロールを使用するユーザーはまとめてGoogle グループに入れて、権限を付与することで管理を最小限にすることができます。

Google Cloud 内での権限管理 Google グループA Google グループB Google グループC roles/owner
roles/bigquery.dataEditor bigquery.datasets.create 基本ロール事前定義ロールカスタムロール

Google Cloud 内での権限管理 ※ テストは本番環境での推奨がされていない

環境分離のベストプラクティス

組織でGoogle Cloud プロジェクトを管理するプロジェクトの分離 • Google Cloud プロジェクトは環境ごとに分けて使用することが推奨されています ◦ フォルダ単位からさらにアプリケーション単位で権限を分離することができます。
◦ プロジェクト単位でコストを分離することができます。 ◦ デプロイメントプロセスを環境間で独立させることで、開発、テスト、ステージング、本番といった各環境でのリリース管理が容易になります。

Google Cloud Identity

Google Cloud Cloud Identity（IDP） Google Cloud Cloud Identity • Google
Cloudを使用する際にはオプションとして提供 ◦ 組織を使用する際には必須 Cloud Identity

Google Cloud Cloud Identity（IDP） ❏ GCPで組織を作成する際に必須なリソース ❏ 所持しているドメインと紐づけを行う（@classmethod.jp..etc） ❏ セキュリティ機能の有効化に必須
セキュリティ要素

Google Cloud Cloud Identity（IDP） Google Cloud Cloud Identity 組織ドメイン
@classmethod.jp

アカウントを統合する

アカウントを統合する Google アカウントの統合 • GWSを利用している場合、Cloud Identiyを後から作成して、統合することができる。また、必要に応じて特定のユーザーにのみGoogle Workspaceのライセンスを新規に割り当てることも可能。 •
料金がネックになる場合にはCloud Identity Freeを選定することも可能。相互に統合が可能

アカウントを統合する

健康の環境分離を考える

健康の環境分離とはそもそも健康の環境分離とは、運動と筋トレの効果を分割して考えること • Mental ◦ 心の健康 • Physical ◦ 己の肉体的健康
• Social ◦ 人間関係に対する幸福

Mental × 筋トレ/運動筋トレと運動によるメンタルへの影響参考文献：National Library of Medicine、MEDICINE & SCIENCE
IN SPORTS • ホルモンの分泌 ◦ 運動はセロトニンやエンドルフィンのような「幸せホルモン」の分泌を促進し、気分を高める効果があります。 • ストレス軽減 ◦ 運動はストレスホルモンであるコルチゾールのレベルを下げることができます。 • 自己効力感の向上 ◦ 定期的な運動は自己効力感を高め、自己評価にプラスの影響を与えることができます。 • 睡眠の質の改善 ◦ 運動は睡眠の質を向上させることが知られており、良い睡眠はメンタルヘルスに不可欠です。（メラトニンの分泌）

Physical × 筋トレ/運動筋トレと運動による身体への影響 • 筋肥大と筋力の向上 ◦ 筋トレは筋繊維の微細な損傷を引き起こし、修復過程で筋肉が成長する（筋肥大）ことを促します。また、テストステロンや成長ホルモンなどのホルモンの分泌が増加し、筋肉の成長と修復を助けます。
• 骨密度の向上 ◦ 定期的な運動は骨を強化し、骨密度を高めることができます。これは、特に高齢者において骨粗しょう症のリスクを減少させる効果があります。 • 心血管機能の改善 ◦ 有酸素運動は心臓の効率を高め、血圧を下げる効果があります。これにより、心臓病や脳卒中のリスクが減少します。参考文献：J-Stage 性ホルモンと骨格筋、NSCA CSCS（トレーナー資格）

Physical × 筋トレ/運動筋肉を大きくするということ IS

Social × 筋トレ/運動筋トレと運動による社会性への影響 • コミュニケーションの促進（社内/外） ◦ 大胸筋ぴくぴくがアイスブレイク代わりになります。 ◦ 会話のタネになる
→ 仕事 or 趣味の話...etc　様々な話に発展可能になります。 ◦ 筋肉の人 → 顔の順で覚えられる • メンタル&フィジカル向上により自己肯定感が向上し、周りも巻き込んで良い雰囲気を作ることができる。 ◦ 笑顔、ハキハキ喋る、ポジティブザミーを具現化できます。参考文献：室井靖成（私）

おわり

Q&A 筋トレ/運動もしQ&Aがあれば、筋トレと健康のみにします

Google Cloudを組織（企業）で運用する時のベストプラクティス × 健康の環境分離戦略 #まるクラ勉強会

Google Cloudを組織（企業）で運用する時のベストプラクティス × 健康の環境分離戦略 #まるクラ勉強会

More Decks by yasu

Other Decks in Technology

Featured

Transcript