とことんDevOps | 日本仮想化技術が提供するDevOps技術情報メディア

DevOpsに関連する技術情報を幅広く提供していきます。

日本仮想化技術がお届けするとことんDevOpsでは、DevOpsに関する技術情報や、日々のDevOps業務の中での検証結果など、DevOpsのお役立ち情報をお届けします。
主なテーマ: DevOps、CI/CD、アジャイル開発、コンテナ開発など
各種SNSのフォローもよろしくお願いいたします。

GCPのフォルダ作成でハマった

最近GCPを触る機会を頂いたので、今まで自分ではやってこなかったリソース管理周りを勉強中です。
GCPにはリソース階層というものがあるらしく?組織直下のフォルダで色々まとめて、各環境ごとにプロジェクトを生やしていくといいみたいですね。

完全に理解しました。

cloud.google.com

フォルダを作成してみる

何はともあれ、今フォルダが1つもない状態なので、1つ作ってみたいと思います。
リソースの管理 > フォルダを作成と進み、フォルダの作成場所を選択すると

f:id:tnktmak:20220215160553p:plain

resourcemanager.folders.create権限が足りないようです。
私には組織の管理者のロールがアタッチされいるので、え、どういうこと・・・

とりあえずドキュメントを読む

cloud.google.com

ヒント: 組織全体のフォルダを管理するには、フォルダ管理者のロールが必要です。このロールを使用すると、フォルダに対する IAM 権限(作成、編集、削除、移動、変更)とフォルダ間でのプロジェクトの移動権限がユーザーに付与されます。

結構上の方にちゃんと書いてありました。フォルダ管理者のロールをアタッチするといいようです。
IAM > 自分のアカウント右の鉛筆マークからロールの追加を行います。

f:id:tnktmak:20220215162101p:plain

最後に保存を押すとフォルダの作成ができるようになっていると思います。

そもそも組織の管理者ロールって

名前的に最強の権限をもっているのかなっと思っていたのですが、そうでもないようです。 ロールから割り当てられた権限を確認してみると14個しか権限がついていませんでした。

f:id:tnktmak:20220215162420p:plain

まとめ

っということで、まずはIAMやロール周りからちゃんと把握した方がよさそうです。IAMのベストプラクティス的には最小限の権限を付与することになっているので、組織の管理者には、組織を管理するのに必要な権限だけが付与されていたのでしょう。

ちなみにですが、ロール画面の確認にはiam.roles.list権限が必要です。組織の管理者だけだとロールも見れないので、同じようなところで躓いている方は、編集者かRole Viewerロールをアタッチしてロールを確認できるようにするといいと思います。