このページは Cloud Translation API によって翻訳されました。

VPC Service Controls を構成する
コレクションでコンテンツを整理必要に応じて、コンテンツの保存と分類を行います。

このページでは、AlloyDB と統合してデータとリソースを保護する機能である VPC Service Controls の概要について説明します。 Google Cloud

VPC Service Controls を使用すると、AlloyDB インスタンスからのデータ漏洩のリスクを軽減できます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護するサービス境界を作成できます。

VPC Service Controls、そのセキュリティ上のメリット、 Google Cloud プロダクト全体の機能の概要については、VPC Service Controls の概要をご覧ください。

始める前に

Google Cloud コンソールで [プロジェクトセレクタ] ページに移動します。

プロジェクトセレクタに移動
プロジェクトを選択するか、 Google Cloud プロジェクトを作成します。
注: この手順で作成するリソースをそのまま保持する予定でない場合、既存のプロジェクトを選択するのではなく、新しいプロジェクトを作成してください。チュートリアルの終了後にそのプロジェクトを削除すれば、プロジェクトに関連するすべてのリソースを削除できます。
Google Cloud プロジェクトに対して課金が有効になっていることを確認します。詳しくは、プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
Compute Engine API を有効にします。
Compute Engine API を有効にする
Service Networking API を有効にします。
Service Networking API を有効にする
VPC Service Controls の設定と管理に使用するユーザーアカウントまたはサービスアカウントに Identity and Access Management（IAM）ロールを追加します。詳細については、 VPC Service Controls の管理に必要な IAM のロールをご覧ください。
AlloyDB で VPC Service Controls を使用する際の制限事項を確認します。

VPC Service Controls を使用して AlloyDB サービスを保護する方法

始める前に、VPC Service Controls の概要と VPC Service Controls を使用する場合の AlloyDB の制限事項を確認してください。

AlloyDB プロジェクトの VPC Service Controls の構成には、次の手順が含まれます。

サービス境界を作成、管理する。

まず、VPC サービス境界で保護する AlloyDB プロジェクトを選択し、サービス境界を作成して管理します。
アクセスレベルを作成、管理する。

境界内の保護されたリソースへの外部アクセスを許可するには、必要に応じてアクセスレベルを使用できます。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、保護されたリソースや VM に境界外のデータやサービスにアクセスする権限を与えることはできません。

サービス境界を作成して管理する

サービス境界を作成して管理する手順は次のとおりです。

VPC サービス境界で保護する AlloyDB プロジェクトを選択します。
サービス境界の作成の手順に沿って、サービス境界を作成します。
サービス境界にインスタンスを追加します。既存の AlloyDB インスタンスを境界に追加するには、サービス境界の更新の手順に沿って操作します。
API をサービス境界に追加します。AlloyDB からデータが抜き出されるリスクを軽減するには、AlloyDB API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API、Cloud KMS API を制限する必要があります。詳細については、access-context-manager perimeters update をご覧ください。

API を制限付きサービスとして追加するには:
Console
1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
  [VPC Service Controls] に移動
2. [VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
3. [編集] をクリックします。
4. [VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。
5. AlloyDB API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API、Cloud KMS API を追加。
6. [保存] をクリックします。
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: 境界の ID または境界の完全修飾 ID。
- POLICY_ID: アクセスポリシーの ID。
拡張クエリ分析情報を有効にした場合は、databaseinsights.googleapis.com API を制限付きサービスとしてサービス境界に追加します。
Console
1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
  [VPC Service Controls] に移動
2. [VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
3. [編集] をクリックします。
4. [VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。
5. databaseinsights.googleapis.com を追加します。
6. [保存] をクリックします。
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: 境界の ID または境界の完全修飾 ID。
- POLICY_ID: アクセスポリシーの ID。

アクセスレベルを作成、管理する

アクセスレベルを作成して管理するには、境界の外部から保護されたリソースへのアクセスを許可するの手順に沿って操作します。