最近GCPを触る機会を頂いたので、今まで自分ではやってこなかったリソース管理周りを勉強中です。
GCPにはリソース階層というものがあるらしく?組織直下のフォルダで色々まとめて、各環境ごとにプロジェクトを生やしていくといいみたいですね。
完全に理解しました。
フォルダを作成してみる
何はともあれ、今フォルダが1つもない状態なので、1つ作ってみたいと思います。
リソースの管理 > フォルダを作成と進み、フォルダの作成場所を選択すると
resourcemanager.folders.create権限が足りないようです。
私には組織の管理者のロールがアタッチされいるので、え、どういうこと・・・
とりあえずドキュメントを読む
ヒント: 組織全体のフォルダを管理するには、フォルダ管理者のロールが必要です。このロールを使用すると、フォルダに対する IAM 権限(作成、編集、削除、移動、変更)とフォルダ間でのプロジェクトの移動権限がユーザーに付与されます。
結構上の方にちゃんと書いてありました。フォルダ管理者のロールをアタッチするといいようです。
IAM > 自分のアカウント右の鉛筆マークからロールの追加を行います。
最後に保存を押すとフォルダの作成ができるようになっていると思います。
そもそも組織の管理者ロールって
名前的に最強の権限をもっているのかなっと思っていたのですが、そうでもないようです。 ロールから割り当てられた権限を確認してみると14個しか権限がついていませんでした。
まとめ
っということで、まずはIAMやロール周りからちゃんと把握した方がよさそうです。IAMのベストプラクティス的には最小限の権限を付与することになっているので、組織の管理者には、組織を管理するのに必要な権限だけが付与されていたのでしょう。
ちなみにですが、ロール画面の確認にはiam.roles.list権限が必要です。組織の管理者だけだとロールも見れないので、同じようなところで躓いている方は、編集者かRole Viewerロールをアタッチしてロールを確認できるようにするといいと思います。
