GCP アカウントの設定

GCP アカウントのレベルに応じて、完全なコストと使用量の情報を入力するように VMware Aria Cost を構成できます。

gcloud を使用したプロジェクト レベルでの GCP アカウント

VMware Aria Cost には、請求アカウント内のすべてのプロジェクトへのアクセス権がプロジェクト レベルで付与されます。

  1. プロジェクト ID の特定
  2. BigQuery のデータセットの作成
  3. BigQuery API の有効化
  4. すべてのプロジェクトの API の有効化
  5. サービス アカウントの作成とサービス アカウント キーのダウンロード
  6. すべてのプロジェクトでのすべての IAM メンバーの作成
  7. Google コンソールでの BigQuery の有効化
  8. 請求アカウントの構成

詳細な手順については、以下の「gcloud を使用したプロジェクト レベルでの GCP アカウントの構成」セクションを参照してください。

プロジェクト レベルの GCP アカウント

  1. サービス アカウントの作成
  2. すべてのプロジェクトへの IAM メンバーとしてのサービス アカウントの割り当て
  3. BigQuery の有効化
  4. すべてのプロジェクトの API の有効化
  5. 自動請求アカウントの構成

次の場合に使用:

  • この VMware Aria Cost アカウントに組織内のすべてのプロジェクトへのアクセス権を許可したくない。
  • すべてのプロジェクトに対して同じレベルの資産アクセス権を VMware Aria Cost に付与することは避けたい。
  • セキュリティについて懸念しており、GCP プロジェクトへのアクセス権をより高い管理レベルで VMware Aria Cost に付与したい。

詳細な手順については、以下の「プロジェクト レベルでの GCP アカウントの構成」セクションを参照してください。

gcloud を使用した組織レベルでの GCP アカウント

VMware Aria Cost には、請求アカウント内のすべてのプロジェクトへのアクセス権が組織レベルで付与されます。

  1. プロジェクト ID と組織 ID の特定
  2. カスタム ロールの作成
  3. BigQuery のデータセットの作成
  4. すべてのプロジェクトの API の有効化
  5. BigQuery API の有効化
  6. サービス アカウントとサービス アカウント キーの作成
  7. サービス アカウント キーのダウンロード
  8. サービス アカウントへのカスタム ロールの割り当て
  9. 組織レベルでの IAM メンバーの作成
  10. Google コンソールで BigQuery を有効にします
  11. 請求アカウントの構成

詳細な手順については、以下の「gcloud を使用した組織レベルでの GCP アカウントの構成」セクションを参照してください。

組織レベルの GCP アカウント

  1. カスタム ロールの作成
  2. サービス アカウントの作成
  3. IAM メンバーとしてのサービス アカウントの割り当て
  4. すべてのプロジェクトの API の有効化
  5. BigQuery API の有効化
  6. 自動請求アカウントの構成

次の場合に使用:

  • メンテナンスを容易にしたい
  • プロジェクトを新たに作成するたびに新しいカスタム ロールまたは IAM メンバーを作成せずに済むようにしたい。
  • VMware Aria Cost で新しいサービスのサポートが追加されたときに組織レベルのロールのみを更新すれば済むようにしたい。

詳細な手順については、以下の「組織レベルでの GCP アカウントの構成」セクションを参照してください。

GCP のロールと権限

次の表に、GCP で VMware Aria Cost powered by CloudHealth の構成に必要な権限を示します。

VMware Aria Cost の構成 必要な権限
BigQuery エクスポートの有効化 請求アカウント管理者または請求アカウント コスト マネージャ
BigQuery エクスポート構成の表示 請求アカウント管理者、請求アカウント コスト マネージャ、または請求閲覧者
組織レベルでの IAM メンバーと IAM ロールの作成 組織管理者
すべてのプロジェクトでの API の有効化 プロジェクト所有者(組織レベル)

GCP のカスタム ロール

Google IAM ロール

VMware Aria Cost プラットフォームを使用して Google Cloud を構成する場合は、Google コンソールでサービス アカウントを作成し、サービス アカウントに IAM ロールを割り当てる必要があります。

次の 2 つのロールのいずれかを割り当てることができます。

  • カスタム:組織レベルでクラウドを構成している場合、またはプロジェクト レベルでクラウドを構成していて、VMware Aria Cost でアクセスできる権限と資産をカスタマイズしたい場合、カスタム ロールを作成して割り当てます
  • エディタ:プロジェクト レベルでクラウドを構成し、デフォルト ロールのメンテナンスの容易さというメリットを利用する場合は、デフォルトのエディタ ロールを割り当てます。

たとえば、セキュリティに懸念がある場合は、VMware Aria Cost に特定の資産へのアクセスのみを許可するカスタム ロールを作成できます。

必須のカスタム ロール API と権限

カスタム ロールには、特定の資産に対して少なくとも次の権限が含まれている必要があります。

  • 権限がない場合、VMware Aria Cost は、コストを節約するためのレポートや推奨事項を提供することができません。
  • gcloud コマンド を使用してカスタム ロールを構成する場合は、最小限の権限を持つカスタム ロール の YAML ファイルをダウンロードし、必要に応じてファイルを編集します。

BigQuery コスト データの場合

フィールド 詳細
必要な IAM 権限 resourcemanager.projects.get, bigquery.datasets.get, bigquery.jobs.create, bigquery.tables.get, bigquery.tables.getData
必要な API bigquery-json.googleapis.comcloudresourcemanager.googleapis.com
権限が必要なレポート 請求書履歴レポートコスト履歴レポート
収集頻度 12 時間ごと:請求書のコスト履歴、請求書のメタデータ履歴、コスト履歴、コスト(パーティション別)、コスト履歴メタデータ。24 時間ごと:SKU 検出

GCE ディスクの場合

フィールド 詳細
必要な IAM 権限 compute.disks.get, compute.disks.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
オプションの IAM 権限 compute.disks.delete - GCE ディスクを削除するため。
必要な API compute.googleapis.com
権限が必要なレポート GCE ディスクの資産レポート
収集頻度 15 分ごと

GCE イメージの場合

フィールド 詳細
必要な IAM 権限 compute.images.get, compute.images.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
必要な API compute.googleapis.com
権限が必要なレポート GCE イメージの資産レポート
収集頻度 15 分ごと

GCE インスタンスの場合

フィールド 詳細
必要な IAM 権限 compute.instances.get, compute.instances.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
必要な API compute.googleapis.com
権限が必要なレポート GCE の資産レポート、GCE の適正サイジング レポート、接続されたディスクの資産レポート
収集頻度 15 分ごと

GCE スナップショットの場合

フィールド 詳細
必要な IAM 権限 compute.snapshots.get, compute.snapshots.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
オプションの IAM 権限 compute.snapshots.delete - GCE スナップショットを削除するため。
必要な API compute.googleapis.com
権限が必要なレポート GCE スナップショットの資産レポート
収集頻度 15 分ごと

GCE 静的 IP アドレスの場合

フィールド 詳細
必要な IAM 権限 compute.addresses.list, compute.projects.get, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
オプションの IAM 権限 compute.addresses.delete - 未接続の固定 IP アドレスを解放するため。
必要な API compute.googleapis.com
権限が必要なレポート GCE 静的 IP アドレスの資産レポート
収集頻度 15 分ごと

GCS バケットの場合

フィールド 詳細
必要な IAM 権限 storage.buckets.get, storage.buckets.list
必要な API storage-component.googleapis.com
権限が必要なレポート GCS バケットの資産レポート
収集頻度 15 分ごと

Dataproc クラスタの場合

フィールド 詳細
必要な IAM 権限 dataproc.clusters.list, compute.regions.get, compute.regions.list, compute.zones.get, compute.zones.list
必要な API dataproc.googleapis.com
権限が必要なレポート Dataproc クラスタの資産レポート
収集頻度 4 時間ごと

GKE クラスタの場合

フィールド 詳細
必要な IAM 権限 container.clusters.list
必要な API container.googleapis.com
権限が必要なレポート GKE クラスタの資産レポート
収集頻度 15 分ごと

GCE の適正サイジングに関する推奨事項

フィールド 詳細
必要な IAM 権限 recommender.computeInstanceMachineTypeRecommendations.get, recommender.computeInstanceMachineTypeRecommendations.list, recommender.computeInstanceMachineTypeRecommendations.update, recommender.locations.get, recommender.locations.list
必要な API recommender.googleapis.com
権限が必要なレポート GCE の適正サイジング レポート
収集頻度 12 時間ごと

プロジェクトの健全性ステータスの場合

フィールド 詳細
必要な IAM 権限 resourcemanager.projects.get
必要な API cloudresourcemanager.googleapis.com
収集頻度 プロジェクト テスト アクセス(プロジェクト認証情報の検証)- 4 時間ごと

接続されたディスクの場合

フィールド 詳細
必要な IAM 権限 compute.disks.getcompute.disks.list
必要な API compute.googleapis.com
権限が必要なレポート 接続されたディスクの資産レポート
収集頻度 15 分ごと

ゾーンの場合

フィールド 詳細
必要な IAM 権限 compute.zones.getcompute.zones.list
必要な API compute.googleapis.com
権限が必要なレポート ゾーンの資産レポート
収集頻度 15 分ごと

マシン タイプの場合

フィールド 詳細
必要な IAM 権限 compute.instances.getcompute.instances.list
必要な API compute.googleapis.com
権限が必要なレポート マシン タイプの資産レポート
収集頻度 24 時間ごと

ディスク タイプの場合

フィールド 詳細
必要な IAM 権限 compute.disks.getcompute.disks.list
必要な API compute.googleapis.com
権限が必要なレポート ディスク タイプの資産レポート
収集頻度 24 時間ごと

リージョンの場合

フィールド 詳細
必要な IAM 権限 compute.regions.getcompute.regions.list
必要な API compute.googleapis.com
権限が必要なレポート リージョンの資産レポート
収集頻度 24 時間ごと

gcloud を使用したプロジェクト レベルでの GCP アカウントの構成

概要:プロジェクト レベルでカスタム ロール(またはデフォルトのエディタ ロールを使用)と IAM メンバーを作成し、ロールと IAM メンバーをサービス アカウントに割り当てます。同一のロールと IAM メンバーが自動的に作成され、請求アカウントのすべてのプロジェクトに割り当てられます。新しいプロジェクトが請求アカウントに追加された場合は、新しいプロジェクトにロールと IAM メンバーを手動で割り当てる必要があります。

次の場合に使用:

  • この VMware Aria Cost アカウントに組織内のすべてのプロジェクトへのアクセス権を許可したくない。
  • すべてのプロジェクトに対して同じレベルの資産アクセス権を VMware Aria Cost に付与することは避けたい。
  • セキュリティについて懸念しており、GCP アカウントへのアクセス権をより高い管理レベルで VMware Aria Cost に付与したい。

gcloud での GCP アカウントの構成 gcloud コマンドライン インターフェイス (CLI) は、Google Cloud Platform の主要な CLI です。Google Portal インターフェイスの代わりにこの CLI を使用すると、VMware Aria Cost プラットフォーム内で請求アカウントをプログラムによって構成できます。gcloud を使用するには、Google コンソールで Cloud Shell を使用するか、Google Cloud SDK をダウンロードしてインストールします。

手順 1:プロジェクト ID の特定

gcloud CLI を使用して GCP 請求アカウントを設定するには、この請求アカウントに割り当てられたプロジェクトのプロジェクト ID が必要になります。構成が完了すると、請求アカウントに割り当てられているすべてのプロジェクトが VMware Aria Cost プラットフォームに取り込まれます。

BigQuery をすでに有効にしている場合は、BigQuery データセットを含むプロジェクトを使用します。それ以外の場合は、請求アカウントに割り当てられている任意のプロジェクトを使用できます。

請求データが失われないようにするには、削除しないプロジェクトのプロジェクト ID を使用します。

プロジェクト ID は Google Cloud コンソールのダッシュボードの プロジェクト情報 ペインにあります。

手順 2:BigQuery のデータセットの作成

Google コンソールで BigQuery をすでに有効にしている場合は、この手順をスキップしてください。

gcloud CLI で次のコマンドを入力して、後で BigQuery を有効にするときに使用するデータセットを作成します。* project ID をプロジェクト ID に置き換えます。* dataset name をデータセットの名前に置き換えます。

    ```
    bq mk project id:dataset name
    ```

手順 3:gcloud CLI を使用したすべてのプロジェクトの API の有効化

次のコマンドを gcloud CLI で入力し、VMware Aria Cost でプロジェクトのコストとタグ付け情報を収集できるようにします。このコマンドで、次の API が有効になります。

* Google Compute Engine API
* Google Cloud Storage API
* Google Cloud Resource Manager API
* Google Cloud Storage JSON API
* Recommender API
* Kubernetes Engine API
* Dataproc API
* BigQuery API (See Step 4)

```
    for project in $(gcloud projects list --format="value(projectId)")
    do
    if [[ $(gcloud beta billing projects describe $project --format="value(billingEnabled)") = "True" ]];
        then
        echo "ProjectId: $project - Enabling APIs..."
        gcloud services enable compute.googleapis.com \
        cloudresourcemanager.googleapis.com \
        storage-component.googleapis.com \
        recommender.googleapis.com \
        container.googleapis.com \
        dataproc.googleapis.com \
        --project $project
        fi;
    done
```

> This gcloud command only enables the APIs for existing projects. If you create new projects in the future, you must manually enable the above APIs for the new projects.

手順 4:BigQuery API の有効化

gcloud CLI で次のコマンドを入力し、VMware Aria Cost が BigQuery データセットからデータを収集できるようにします。project ID をプロジェクト ID に置き換えます。

```
gcloud services enable bigquery-json.googleapis.com --project project id
```

手順 5:gcloud CLI を使用したサービス アカウントの作成

gcloud CLI で次のコマンドを入力して、サービス アカウントを作成します。

gcloud iam service-accounts create service account name --project project id
  • project ID をプロジェクト ID に置き換えます。
  • service account name を新しいサービス アカウントの名前に置き換えます。

手順 6:gcloud CLI を使用したサービス アカウント キーの作成

gcloud CLI で次のコマンドを入力して、新しく作成したサービス アカウントのプライベート キーを作成し、インスタンスの $HOME ディレクトリにキーを保存します。

gcloud iam service-accounts keys create \
--iam-account <insert service account name>@<insert project id>.iam.gserviceaccount.com <insert private key name>.json
  • <insert project ID> をプロジェクト ID に置き換えます。
  • <insert service account name> をサービス アカウントの名前に置き換えます。
  • <insert private key name> を新しいプライベート キーの名前に置き換えます。

手順 7:サービス アカウント キーのダウンロード

gcloud CLI に次のコマンドを入力して、サービス アカウント キーをローカル マシンにダウンロードします。private key name をプライベート キーの名前に置き換えます。cloudshell download private key name.json

手順 8:サービス アカウントへのロールの割り当て

クラウドの設定に応じて、エディタ ロールを使用するか、カスタム ロールを作成するかを選択できます。VMware Aria Cost ではカスタム ロールの使用を推奨していますが、メンテンナンスを容易にするために、自動化された設定でエディタ ロールを使用することができます。

カスタム ロールを作成する場合は、カスタム ロールの作成 トピックを参照してください。

次のコマンドを入力して、優先するロールをサービス アカウントに割り当てます。

  • service account name をサービス アカウントの名前に置き換えます。
  • project ID をプロジェクト ID に置き換えます。
  • role path を指定したロールのファイル パスに置き換えます。
  • roles/editor(エディタ ロールの場合)

  • projects/project id/roles/custom role name>(カスタム ロールの場合)

    gcloud projects add-iam-policy-binding project id --member serviceAccount: service account name>@ project id.iam.gserviceaccount.com \
--role role path

手順 9:すべてのプロジェクトでのすべての IAM メンバーの作成

手順 8 の優先ロールを使用して IAM メンバーを作成します。

  • service account name をサービス アカウントの名前に置き換えます。
  • project ID をプロジェクト ID に置き換えます。

  • role path を指定したロールのファイル パスに置き換えます。

    • roles/editor(エディタ ロールの場合)
    • projects/project id>/roles/custom role name(カスタム ロールの場合)
     for project in  $(gcloud projects list --format="value(projectId)")
  do
 echo "ProjectId:  $project"
 gcloud config set project $project
 gcloud projects add-iam-policy-binding $project --member user:service account name>@project id>.iam.gserviceaccount.com \
 --member serviceAccount:service account name>@project id>.iam.gserviceaccount.com \
 --role role path>  --project $project
 done

手順 10:Google コンソールでの BigQuery の有効化

BigQuery を有効にするには、Google コンソールを使用する必要があります。

- 前述の手順で作成したデータセットを BigQuery のデータセットとして使用します。Google コンソールで BigQuery をすでに有効にしている場合は、この手順をスキップしてください。

手順 11:VMware Aria Cost での請求アカウントの構成

  1. VMware Aria Cost プラットフォームにログインし、左側のメニューから セットアップ > アカウント > GCP 請求 の順に選択します。次に アカウントの追加 をクリックします。
  2. 請求アカウント、BigQuery、課金データのエクスポート、およびサービス アカウント情報をフォームに入力します。必要に応じて、この情報は Google Cloud コンソール で確認できます。
  3. サービス アカウント セクションで ファイルの選択 を選択し、JSON プライベート キーをアップロードします。JSON キーを使用する場合、VMware Aria Costは JSON キーのプロジェクト ID が認証情報を添付するプロジェクトの ID と一致することを確認します。
  4. さまざまなサービス アカウントを使用して請求明細を収集する場合は、この請求アカウントにリンクされているプロジェクトで別のサービス アカウントを有効にする(オプション) チェックボックスをオンにします。ファイルの選択 を選択し、派生プロジェクトの JSON プライベート キーをアップロードします。このオプションは、請求データ収集と資産メタデータ収集に異なるサービス アカウントを使用する場合に使用します。
  5. アカウントを保存 をクリックします。

VMware Aria Cost は、新しい Google サービス アカウントと派生プロジェクトを 4 時間ごとに検証します。セットアップ > アカウント > GCP プロジェクト に移動して、派生プロジェクトを表示できます。VMware Aria Cost プラットフォームで有効にしたプロジェクトのステータスは、「未構成」から「グリーン」、「イエロー」、「レッド」、「待機中」に変わります。各ステータスが表す内容の詳細については、Google Project の状態を参照してください。

新しく構成された GCP 請求アカウントは自動的にオンボーディングされ、48 時間以内に VMware Aria Cost プラットフォームにコスト データが表示されます。

プロジェクト レベルでの GCP アカウントの構成

概要:プロジェクト レベルでカスタム ロール(またはデフォルトのエディタ ロールを使用)と IAM メンバーを作成し、ロールと IAM メンバーをサービス アカウントに割り当てます。同一のロールと IAM メンバーが自動的に作成され、請求アカウントのすべてのプロジェクトに割り当てられます。新しいプロジェクトが請求アカウントに追加された場合は、新しいプロジェクトにロールと IAM メンバーを手動で割り当てる必要があります。

Google コンソールでの GCP アカウントの構成 Google コンソールを使用して GCP アカウントを構成できます。新しい Google Cloud ユーザーの場合、または gcloud に不慣れなユーザーの場合は、VMware Aria Cost では Google コンソールの使用を推奨しています。

手順 1:サービス アカウントの作成

  1. TextEdit またはメモ帳などのテキスト ドキュメントを開き、VMware Aria Cost プラットフォームで指定する必要がある特定のパラメータを保存します。
  2. Google Cloud コンソールにログインし、VMware Aria Cost に追加する請求アカウントに割り当てられているプロジェクトを選択します。VMware Aria Cost は選択したプロジェクトを使用して Google 請求アカウントに接続しています。今後削除される可能性があるプロジェクトは選択しないでください。
  3. 左側のメニューで 請求 に移動し、プロジェクトに関連付けられている請求アカウントを開いて、アカウント管理 をクリックします。英数字の請求アカウント ID をテキスト ドキュメントにコピーします。
  4. 左側のメニューで、IAM と管理 > サービス アカウント の順にクリックします。
  5. サービス アカウント ページで、サービス アカウントの作成 をクリックします。
  6. アカウントに名前を付け、ロール ドロップダウンからロールを選択します。
    • カスタム ロール(推奨):VMware Aria Cost で課金データに関するレポートを作成するための権限を使用してカスタム ロールを作成します。
    • プロジェクト > エディタ:メンテナンスを容易にするために、エディタ ロールを使用します。
  7. @ サフィックスを含む完全なサービス アカウント ID をテキスト ドキュメントにコピーします。
  8. 新しいプライベート キーの提供 を選択します。次に、キー タイプとして JSON を選択し、作成 をクリックします。鍵がコンピュータにダウンロードされます。
  9. ダウンロードしたファイルを開きます。プライベート キーをテキスト ドキュメントにコピーします。

チェックポイント:この時点で、以下の情報がテキスト ドキュメントに記載されています。

  • 請求アカウント ID
  • サービス アカウント ID
  • プライベート キー

手順 2:すべてのプロジェクトへの IAM メンバーとしてのサービス アカウントの割り当て

すべての派生プロジェクトでこのプロセスを繰り返します。

  1. 請求アカウントにリンクされているプロジェクトに切り替えます。
  2. 左側のメニューで [IAM] を選択し、IAM を追加 をクリックします。
  3. メンバー フィールドに、作成したサービス アカウントの ID を貼り付けます。ロール ドロップダウンから プロジェクト > エディタ の順に選択します。追加 をクリックします。

手順 3:VMware Aria Cost を使用した BigQuery の有効化

VMware Aria Cost では、BigQuery データに適切にアクセスしてレポートを作成するため、特定の権限を持つサービス アカウント ロールを有効にする必要があります。それらの権限は、Google Console のデフォルトの閲覧者ロールには含まれていません。サービス アカウントに閲覧者ロールが割り当てられている場合は、VMware Aria Cost で BigQuery データを表示することができないため、サービス アカウント ロールをカスタム ロールに変更する必要があります。

BigQuery は、Google のエンタープライズ データ ウェアハウスです。BigQuery は、ユーザーのデータセットに関する詳細情報を含む請求データを提供します。カスタム レポートに使用すると、日次 CSV エクスポートを使用する場合よりも簡単にレポートを作成することができます。

VMware Aria Cost プラットフォームで BigQuery を有効にするには、BigQuery を Google コンソールの請求書エクスポートで有効にする必要があります。そのためには、次の手順を完了します。

  1. Google Cloud コンソールで、現在の請求アカウントに関連するプロジェクトに切り替えます。プロジェクト情報 セクションから プロジェクト ID をコピーし、テキスト ドキュメントに貼り付けます。
  2. 左側のメニューで 請求 を選択し、請求アカウントを選択します。
  3. 左側のメニューから 請求書のエクスポート を選択します。データセット名 をコピーして、テキスト ドキュメントに貼り付けます。

VMware Aria Cost への 請求書のエクスポート を有効にしたら、GCP BigQuery テーブルが空でないことを確認します。テーブルにコスト データが含まれているかどうかを確認するには、左側のナビゲーションで BigQuery テーブル名をクリックし、プレビュー タブを選択します。GCP アカウントを正しく構成するには、GCP BigQuery テーブルにコスト データを含める必要があります。

VMware Aria Cost プラットフォームでは、標準の使用量コスト詳細な使用量コスト のどちらも有効にできます。データベース テーブル名 gcp_billing_export_v1_billing account ID を使用する [標準] オプションが、デフォルトで選択されています。[詳細] オプションを有効にする場合は、API を使用してデータベース テーブル名を gcp_billing_export_resource_v1_BILLING_ACCOUNT_ID に更新する必要があります。[詳細] テーブルにはフィールドを追加できますが、VMware Aria Cost はリソース テーブルから追加した新しいデータについてはレポートを作成しないことに注意してください。

手順 4:すべてのプロジェクトの API の有効化

VMware Aria Cost がコストとタグ付け情報を収集することを許可する API を有効にします。

  1. Google Cloud コンソールで、請求アカウントに関連付けられているプロジェクトを選択します。左側のメニューから、API とサービス > ダッシュボード を選択します。
  2. 次の API を検索して見つけます。次に、各 API のランディング ページで、API とサービスの有効化 をクリックします。
    • Compute Engine API
    • Cloud Billing API
    • Cloud Storage API
    • Cloud Resource Manager API
    • Google Cloud Storage JSON API
    • BigQuery API
    • Recommender API
    • Kubernetes Engine API
    • Cloud Dataproc API
  3. すべてのプロジェクトに対して手順 1 ~ 3 を繰り返します。

手順 5:VMware Aria Cost での自動請求アカウントの構成

請求アカウントのみを構成する必要があります。VMware Aria Cost は、コストが発生した請求アカウントに関連付けられているすべての派生プロジェクトを検出します。

  1. VMware Aria Cost プラットフォームにログインし、左側のメニューから セットアップ > アカウント > GCP 請求 の順に選択します。次に アカウントの追加 をクリックします。
  2. テキスト ドキュメントのすべての情報を該当するフィールドに入力します。
  3. サービス アカウント セクションで ファイルの選択 を選択し、JSON プライベート キーをアップロードします。JSON キーを使用する場合、VMware Aria Costは JSON キーのプロジェクト ID が認証情報を添付するプロジェクトの ID と一致することを確認します。
  4. さまざまなサービス アカウントを使用して請求明細を収集する場合は、この請求アカウントにリンクされているプロジェクトで別のサービス アカウントを有効にする(オプション) チェックボックスをオンにします。ファイルの選択 を選択し、派生プロジェクトの JSON プライベート キーをアップロードします。このオプションは、請求データ収集と資産メタデータ収集に異なるサービス アカウントを使用する場合に使用します。
  5. アカウントを保存 をクリックします。

VMware Aria Cost は、新しい Google サービス アカウントと派生プロジェクトを 4 時間ごとに検証します。セットアップ > アカウント > GCP プロジェクト に移動して、派生プロジェクトを表示できます。VMware Aria Cost プラットフォームで有効にしたプロジェクトのステータスは、「未構成」から「グリーン」、「イエロー」、「レッド」、「待機中」に変わります。

新しく構成された GCP 請求アカウントは自動的にオンボーディングされ、48 時間以内に VMware Aria Cost プラットフォームにコスト データが表示されます。

gcloud を使用した組織レベルでの GCP アカウントの構成

概要:組織レベルでカスタム ロールと IAM メンバーを作成し、ロールと IAM メンバーをサービス アカウントに割り当てます。新しいプロジェクトを請求アカウントに追加すると、自動的に組織レベルのロールと IAM メンバーが新しいプロジェクトに継承されます。

所有者ロールをすでに作成しているか、デフォルトのエディタ ロールにすべての権限がある場合でも、組織レベルの設定用に新しいカスタム ロールを作成する必要があります。

次の場合に使用:

  • メンテナンスを容易にしたい
  • プロジェクトを新たに作成するたびに新しいカスタム ロールまたは IAM メンバーを作成せずに済むようにしたい。
  • VMware Aria Cost で新しいサービスのサポートが追加されたときに組織レベルのロールのみを更新すれば済むようにしたい。

gcloud での GCP アカウントの構成 gcloud コマンドライン インターフェイス (CLI) は、Google Cloud Platform の主要な CLI です。Google Portal インターフェイスの代わりにこの CLI を使用すると、VMware Aria Cost プラットフォーム内で請求アカウントをプログラムによって構成できます。gcloud を使用するには、Google コンソールで Cloud Shell を使用するか、Google Cloud SDK をダウンロードしてインストールします。

手順 1:プロジェクト ID と組織 ID の特定 (gcloud)

gcloud CLI を使用して GCP 請求アカウントを構成するには、その請求アカウントに割り当てられたプロジェクトのプロジェクト ID と組織 ID が必要です。構成が完了すると、請求アカウントに割り当てられているすべてのプロジェクトが VMware Aria Cost プラットフォームに取り込まれます。

BigQuery をすでに有効にしている場合は、BigQuery データセットを含むプロジェクトを使用します。それ以外の場合は、請求アカウントに割り当てられている任意のプロジェクトを使用できます。

請求データが失われないようにするには、削除しないプロジェクトのプロジェクト ID を使用します。

プロジェクト ID は Google Cloud コンソールのダッシュボードの プロジェクト情報 ペインにあります。

組織 ID は、Google コンソールの IAM と管理 > リソースの管理 にあります。

手順 2:カスタム ロールの作成 (gcloud)

次のコマンドを入力して、組織レベルで VMware Aria Cost が必要とする権限を持つカスタム ロールを作成します。* org id を組織の ID に置き換えます。* custom role name を新しいカスタム ロールの名前に置き換えます。

    ```
    gcloud iam roles create custom role name> --organization org id \
        --title custom role name --description \
            "Used to collect VMware Aria Cost Billing and Usage data" --permissions \
            resourcemanager.projects.get,compute.disks.get,compute.disks.list,compute.images.get,compute.images.list,compute.instances.get,compute.instances.list,compute.projects.get,compute.regions.get,compute.regions.list,storage.buckets.get,storage.buckets.list,bigquery.datasets.get,bigquery.jobs.create,dataproc.clusters.list,compute.addresses.list,container.clusters.list,bigquery.tables.get,bigquery.tables.getData,compute.snapshots.get,compute.snapshots.list,compute.zones.get,compute.zones.list,recommender.computeInstanceMachineTypeRecommendations.get,recommender.computeInstanceMachineTypeRecommendations.list,recommender.computeInstanceMachineTypeRecommendations.update,recommender.locations.get,recommender.locations.list \
            --stage GA
    ```

手順 3:BigQuery のデータセットの作成 (gcloud)

Google コンソールで BigQuery をすでに有効にしている場合は、この手順をスキップしてください。

gcloud CLI で次のコマンドを入力して、後で BigQuery を有効にするときに使用するデータセットを作成します。

  • project ID をプロジェクト ID に置き換えます。
  • dataset name をデータセットの名前に置き換えます。
    bq mk project id:dataset name

手順 4:すべてのプロジェクトの API の有効化 (gcloud)

次のコマンドを gcloud CLI で入力し、VMware Aria Cost でプロジェクトのコストとタグ付け情報を収集できるようにします。このコマンドで、次の API が有効になります。

  • Google Compute Engine API
  • Google Cloud Storage API
  • Google Cloud Resource Manager API
  • Google Cloud Storage JSON API
  • Recommender API
  • Kubernetes Engine API
  • Dataproc API
  • BigQuery API(手順 5 を参照)
for project in $(gcloud projects list --format="value(projectId)")
do
if [[ $(gcloud beta billing projects describe $project --format="value(billingEnabled)") = "True" ]];
then
echo "ProjectId: $project - Enabling APIs..."
gcloud services enable compute.googleapis.com \
cloudresourcemanager.googleapis.com \
storage-component.googleapis.com \
recommender.googleapis.com \
container.googleapis.com \
dataproc.googleapis.com \
--project $project
fi;
done

この gcloud コマンドで有効にするのは、既存プロジェクトの API のみです。今後新しいプロジェクトを作成する場合、その新しいプロジェクトでは、上記の API を手動で有効にする必要があります。プラットフォームが GCP からデータを収集して処理し、コストを算出するには、約 32 時間かかります。

手順 5:BigQuery API の有効化 (gcloud)

gcloud CLI で次のコマンドを入力し、VMware Aria Cost が BigQuery データセットからデータを収集できるようにします。project ID をプロジェクト ID に置き換えます。

gcloud services enable bigquery-json.googleapis.com --project project id

手順 6:サービス アカウントの作成 (gcloud)

gcloud CLI で次のコマンドを入力して、サービス アカウントを作成します。

  • project ID をプロジェクト ID に置き換えます。

  • service account name を新しいサービス アカウントの名前に置き換えます。

    gcloud iam service-accounts create service account name --project project id

手順 7:サービス アカウント キーの作成 (gcloud)

gcloud CLI で次のコマンドを入力して、新しく作成したサービス アカウントのプライベート キーを作成し、インスタンスの $HOME ディレクトリにキーを保存します。

  • project ID をプロジェクト ID に置き換えます。
  • service account name をサービス アカウントの名前に置き換えます。

  • private key name を新しいプライベート キーの名前に置き換えます。

    gcloud iam service-accounts keys create \
--iam-account service account name@project id>.iam.gserviceaccount.com private key name.json

手順 8:サービス アカウント キーのダウンロード (gcloud)

gcloud CLI に次のコマンドを入力して、サービス アカウント キーをローカル マシンにダウンロードします。private key name をプライベート キーの名前に置き換えます。

```
cloudshell download private key name.json
```

手順 9:サービス アカウントへのカスタム ロールの割り当て (gcloud)

次のコマンドを入力して、手順 2 で作成したカスタム ロールをサービス アカウントに割り当てます。

  • service account name をサービス アカウントの名前に置き換えます。
  • project ID をプロジェクト ID に置き換えます。
  • org id を組織 ID に置き換えます。

  • custom role name をカスタム ロールの名前に置き換えます。

    gcloud projects add-iam-policy-binding project id --member serviceAccount:service account name>@project id.iam.gserviceaccount.com \
--role organizations/org id>/roles/custom role name

手順 10:組織レベルでの IAM メンバーの作成 (gcloud)

手順 2 で作成したカスタム ロールを使用して、組織の IAM メンバーを作成します。

  • service account name をサービス アカウントの名前に置き換えます。
  • org id を組織の ID に置き換えます。
  • project ID をプロジェクト ID に置き換えます。

  • custom role name を新しいカスタム ロールの名前に置き換えます。

    gcloud organizations add-iam-policy-binding org id --member user:service account name>@project id.iam.gserviceaccount.com \
--member serviceAccount:service account name@project id.iam.gserviceaccount.com \
--role organizations/org id/roles/custom role name

手順 11:Google コンソールでの BigQuery の有効化 (gcloud)

BigQuery を有効にするには、Google コンソールを使用する必要があります。

以前に作成したデータセットを BigQuery のデータセットとして使用します。Google コンソールで BigQuery をすでに有効にしている場合は、この手順をスキップしてください。

手順 12:VMware Aria Cost での請求アカウントの構成 (gcloud)

請求アカウントのみを構成する必要があります。VMware Aria Cost は、コストが発生した請求アカウントに関連付けられているすべての派生プロジェクトを検出します。

  1. VMware Aria Cost プラットフォームにログインし、左側のメニューから セットアップ > アカウント > GCP 請求 の順に選択します。次に アカウントの追加 をクリックします。
  2. 請求アカウント、BigQuery、課金データのエクスポート、およびサービス アカウント情報をフォームに入力します。必要に応じて、この情報は Google Cloud コンソール で確認できます。
  3. サービス アカウント セクションで ファイルの選択 を選択し、JSON プライベート キーをアップロードします。JSON キーを使用する場合、VMware Aria Costは JSON キーのプロジェクト ID が認証情報を添付するプロジェクトの ID と一致することを確認します。
  4. さまざまなサービス アカウントを使用して請求明細を収集する場合は、この請求アカウントにリンクされているプロジェクトで別のサービス アカウントを有効にする(オプション) チェックボックスをオンにします。ファイルの選択 を選択し、JSON プライベート キーをアップロードします。このオプションは、請求データ収集と資産メタデータ収集に異なるサービス アカウントを使用する場合に使用します。
  5. アカウントを保存 をクリックします。

VMware Aria Cost は、新しい Google サービス アカウントと派生プロジェクトを 4 時間ごとに検証します。セットアップ > アカウント > GCP プロジェクト に移動して、派生プロジェクトを表示できます。VMware Aria Cost プラットフォームで有効にしたプロジェクトのステータスは、「未構成」から「グリーン」、「イエロー」、「レッド」、「待機中」に変わります。

新しく構成された GCP 請求アカウントは自動的にオンボーディングされ、48 時間以内に VMware Aria Cost プラットフォームにコスト データが表示されます。

組織レベルでの GCP アカウントの構成

メリット:VMware Aria Cost には、請求アカウント内のすべてのプロジェクトへのアクセス権が組織レベルで付与されます。概要:組織レベルでカスタム ロールと IAM メンバーを作成し、ロールと IAM メンバーをサービス アカウントに割り当てます。新しいプロジェクトを請求アカウントに追加すると、自動的に組織レベルのロールと IAM メンバーが新しいプロジェクトに継承されます。

所有者ロールをすでに作成しているか、デフォルトのエディタ ロールにすべての権限がある場合でも、組織レベルの設定用に新しいカスタム ロールを作成する必要があります。

Google コンソールでの GCP アカウントの構成

Google コンソールを使用して、GCP アカウントを構成できます。新しい Google Cloud ユーザーの場合、または gcloud に不慣れなユーザーの場合は、VMware Aria Cost では Google コンソールの使用を推奨しています。

手順 1:カスタム ロールの作成

後でサービス アカウント 2w に割り当てることができるカスタム ロールを Google コンソールで作成します。

  1. Google コンソール にログインし、請求アカウントに関連付けられている組織を選択します。
  2. 左側のメニューで、IAM と管理 > ロール の順に移動し、ロールの作成 を選択します。
  3. タイトル フィールドで、カスタム ロールに一意の名前を付けます。
  4. アクセス許可の追加 を選択します。
  5. 最小限の権限を持つカスタム ロール YAML ファイルをダウンロードします。少なくとも YAML ファイルで指定された権限を選択します。これらの権限がない場合、VMware Aria Cost は、コストを節約するためのレポートや推奨事項を提供することができません。必要に応じて、上記のリスト以外の追加の権限を割り当てることができます。
  6. 追加 をクリックします。
  7. 作成 をクリックします。

手順 2:サービス アカウントの作成

  1. TextEdit またはメモ帳などのテキスト ドキュメントを開き、VMware Aria Cost プラットフォームで指定する必要がある特定のパラメータを保存します。
  2. Google Cloud コンソールにログインし、VMware Aria Cost に追加する請求アカウントに割り当てられているプロジェクトを選択します。VMware Aria Cost は選択したプロジェクトを使用して Google 請求アカウントに接続しています。今後削除される可能性があるプロジェクトは選択しないでください。
  3. 左側のメニューで 請求 に移動し、プロジェクトに関連付けられている請求アカウントを開いて、アカウント管理 をクリックします。請求アカウント ID をテキスト ドキュメントにコピーします。
  4. 左側のメニューで、IAM と管理 > サービス アカウント の順にクリックします。
  5. サービス アカウント ページで、サービス アカウントの作成 をクリックします。
  6. サービス アカウントの詳細 セクションで、サービス アカウント に名前を付け、説明を追加して、作成して続行 をクリックします。
  7. このサービス アカウントにプロジェクトへのアクセスを許可する セクションで、ロール ドロップダウンから作成したカスタム ロールを選択し、続行 をクリックします。
  8. 完了 をクリックして、サービス アカウントの作成を終了します。新しく作成されたアカウントは、サービス アカウント ページに表示されます。
  9. 新しく作成したサービス アカウントの完全なメール アドレスを見つけて、@suffix を含めてコピーします。このサービス アカウント ID をテキスト ドキュメントにコピーします。
  10. 操作 列で、その他のオプション アイコンをクリックし、鍵を管理 を選択します。
  11. 鍵を追加 > 新しい鍵を作成 をクリックします。
  12. VMware Aria Cost は JSON キー タイプのみをサポートします。作成 をクリックします。鍵がコンピュータにダウンロードされます。

チェックポイント:この時点で、以下の情報がテキスト ドキュメントに記載されています。

  • 請求アカウント ID
  • サービス アカウント ID
  • プライベート キー

手順 3:組織への IAM メンバーとしてのサービス アカウントの割り当て

  1. 請求アカウントに関連付けられている組織を選択します。
  2. 左側のメニューで、IAM と管理 を選択し、追加 をクリックします。
  3. メンバー フィールドに、作成したサービス アカウントの ID を貼り付けます。ロール ドロップダウンから、作成したカスタム ロールを選択します。追加 をクリックします。

手順 4:すべてのプロジェクトの API の有効化

VMware Aria Cost がコストとタグ付け情報を収集することを許可する API を有効にします。

  1. Google Cloud コンソールで、請求アカウントに関連付けられているプロジェクトを選択します。左側のメニューから、API とサービス > ダッシュボード を選択します。
  2. 次の API を検索して見つけます。次に、各 API のランディング ページで、API とサービスの有効化 をクリックします。
    • Compute Engine API
    • Cloud Billing API
    • Cloud Storage API
    • Cloud Resource Manager API
    • Google Cloud Storage JSON API
    • BigQuery API
    • Recommender API
    • Kubernetes Engine API
    • Cloud Dataproc API
  3. すべてのプロジェクトに対して手順 1 ~ 3 を繰り返します。

手順 5:VMware Aria Cost を使用した BigQuery の有効化

VMware Aria Cost では、BigQuery データに適切にアクセスしてレポートを作成するため、特定の権限を持つサービス アカウント ロールを有効にする必要があります。それらの権限は、Google Console のデフォルトの閲覧者ロールには含まれていません。サービス アカウントに閲覧者ロールが割り当てられている場合は、VMware Aria Cost で BigQuery データを表示することができないため、サービス アカウント ロールをカスタム ロールに変更する必要があります。

BigQuery は、Google のエンタープライズ データ ウェアハウスです。BigQuery は、ユーザーのデータセットに関する詳細情報を含む請求データを提供します。カスタム レポートに使用すると、日次 CSV エクスポートを使用する場合よりも簡単にレポートを作成することができます。

VMware Aria Cost プラットフォームで BigQuery を有効にするには、BigQuery を Google コンソールの請求書エクスポートで有効にする必要があります。そのためには、次の手順を完了します。

  1. Google Cloud コンソールで、現在の請求アカウントに関連するプロジェクトに切り替えます。プロジェクト情報 セクションから プロジェクト ID をコピーし、テキスト ドキュメントに貼り付けます。
  2. 左側のメニューで 請求 を選択し、請求アカウントを選択します。
  3. 左側のメニューから 請求書のエクスポート を選択します。データセット名 をコピーして、テキスト ドキュメントに貼り付けます。

VMware Aria Cost への 請求書のエクスポート を有効にしたら、GCP BigQuery テーブルが空でないことを確認します。テーブルにコスト データが含まれているかどうかを確認するには、左側のナビゲーションで BigQuery テーブル名をクリックし、プレビュー タブを選択します。GCP アカウントを正しく構成するには、GCP BigQuery テーブルにコスト データを含める必要があります。

VMware Aria Cost プラットフォームでは、標準の使用量コスト詳細な使用量コスト のどちらも有効にできます。データベース テーブル名 gcp_billing_export_v1_billing account ID を使用する [標準] オプションが、デフォルトで選択されています。[詳細] オプションを有効にする場合は、API を使用してデータベース テーブル名を gcp_billing_export_resource_v1_BILLING_ACCOUNT_ID に更新する必要があります。[詳細] テーブルにはフィールドを追加できますが、VMware Aria Cost はリソース テーブルから追加した新しいデータについてはレポートを作成しないことに注意してください。

手順 6:VMware Aria Cost での自動請求アカウントの構成

請求アカウントのみを構成する必要があります。VMware Aria Cost は、コストが発生した請求アカウントに関連付けられているすべての派生プロジェクトを検出します。

  1. VMware Aria Cost プラットフォームにログインし、左側のメニューから セットアップ > アカウント > GCP 請求 の順に選択します。次に アカウントの追加 をクリックします。
  2. テキスト ドキュメントのすべての情報を該当するフィールドに入力します。
  3. サービス アカウント セクションで ファイルの選択 を選択し、JSON プライベート キーをアップロードします。JSON キーを使用する場合、VMware Aria Costは JSON キーのプロジェクト ID が認証情報を添付するプロジェクトの ID と一致することを確認します。
  4. さまざまなサービス アカウントを使用して請求明細を収集する場合は、この請求アカウントにリンクされているプロジェクトで別のサービス アカウントを有効にする(オプション) チェックボックスをオンにします。ファイルの選択 を選択し、派生プロジェクトの JSON プライベート キーをアップロードします。このオプションは、請求データ収集と資産メタデータ収集に異なるサービス アカウントを使用する場合に使用します。
  5. アカウントを保存 をクリックします。

VMware Aria Cost は、新しい Google サービス アカウントと派生プロジェクトを 4 時間ごとに検証します。セットアップ > アカウント > GCP プロジェクト に移動して、派生プロジェクトを表示できます。VMware Aria Cost プラットフォームで有効にしたプロジェクトのステータスは、「未構成」から「グリーン」、「イエロー」、「レッド」、「待機中」に変わります。

新しく構成された GCP 請求アカウントは自動的にオンボーディングされ、48 時間以内に VMware Aria Cost プラットフォームにコスト データが表示されます。

check-circle-line exclamation-circle-line close-line
Scroll to top icon