ACE#2(setup-cloud)
ある大企業が Google Cloud で複数の部門・複数の開発環境を運用する予定です。本番・ステージング・開発を部門ごとに分け、ポリシーを階層的に適用したいと考えています。リソース階層をどのように設計すべきですか?
正解:C
正解の根拠
Google Cloud のリソース階層は Organization → Folder → Project → リソース の順で構成され、Folder を多層化することで部門と環境の双方を表現できます。IAM ポリシーや組織ポリシーは上位から下位へ継承されるため、部門 Folder で共通権限、環境 Folder で固有ポリシーを設定すれば運用負荷を抑えられます。
サービス比較
| 項目 | Folder 階層化 | ラベルのみで管理 |
|---|---|---|
| ポリシー継承 | 自動的に継承 | 継承なし |
| 分離度 | 強い | 弱い |
| 監査の容易さ | 容易 | 困難 |
不正解の理由
- A: 並列配置はポリシー継承の利点を活かせず、管理対象が膨大になり統制が困難になります。
- B: Folder はプロジェクトの子要素にはできず、階層構造として逆転しているため不可です。
- D: 単一プロジェクト内でラベル区別する方式では IAM 分離も予算分離も達成できません。
コメント