VPC Service Controls を構成する

このページでは、AlloyDB と統合してデータとリソースを保護する Google Cloud 機能である VPC Service Controls の概要について説明します。

VPC Service Controls を使用すると、AlloyDB インスタンスからのデータ漏洩のリスクを軽減できます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護するサービス境界を作成できます。

VPC Service Controls、そのセキュリティ上のメリット、 Google Cloud プロダクト全体の機能の概要については、VPC Service Controls の概要をご覧ください。

始める前に

Google Cloud コンソールで、プロジェクトセレクタ ページに移動します。

プロジェクトセレクタに移動
Google Cloud プロジェクトを選択または作成します。
注: この手順で作成するリソースをそのまま保持する予定でない場合、既存のプロジェクトを選択するのではなく、新しいプロジェクトを作成してください。チュートリアルの終了後にそのプロジェクトを削除すれば、プロジェクトに関連するすべてのリソースを削除できます。
Google Cloud プロジェクトに対して課金が有効になっていることを確認します。詳しくは、プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
Compute Engine API を有効にします。
Compute Engine API を有効にする
Service Networking API を有効にします。
Service Networking API を有効にする
VPC Service Controls の設定と管理に使用するユーザーアカウントまたはサービスアカウントに Identity and Access Management（IAM）ロールを追加します。詳細については、VPC Service Controls の管理に必要な IAM のロールをご覧ください。
AlloyDB で VPC Service Controls を使用する際の制限事項を確認します。

VPC Service Controls を使用して AlloyDB サービスを保護する方法

始める前に、VPC Service Controls の概要と VPC Service Controls を使用する場合の AlloyDB の制限事項を確認してください。

AlloyDB プロジェクトに VPC Service Controls を構成するには、次の操作を行います。

サービス境界を作成して管理する。

まず、VPC サービス境界で保護する AlloyDB プロジェクトを選択し、サービス境界を作成して管理します。
アクセスレベルを作成して管理する

境界内の保護されたリソースに対する外部アクセスを許可するには、必要に応じてアクセスレベルを使用できます。アクセスレベルは、サービス境界外から保護されたリソースへのリクエストにのみ適用されます。アクセスレベルを使用して、保護されたリソースや VM に境界外のデータやサービスに対するアクセスを許可することはできません。

サービス境界の作成と管理

サービス境界を作成して管理する手順は次のとおりです。

VPC サービス境界で保護する AlloyDB プロジェクトを選択します。
サービス境界の作成の手順に沿って、サービス境界を作成します。
サービス境界にインスタンスを追加します。既存の AlloyDB インスタンスを境界に追加するには、サービス境界の更新の手順に沿って操作します。
API をサービス境界に追加します。AlloyDB からのデータ漏洩のリスクを軽減するには、AlloyDB API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API、Cloud KMS API を制限する必要があります。詳細については、access-context-manager perimeters update をご覧ください。

API を制限付きサービスとして追加するには:
コンソール
1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
  [VPC Service Controls] に移動
2. [VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
3. [編集] をクリックします。
4. [VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。
5. AlloyDB API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API、Cloud KMS API を追加します。
6. [保存] をクリックします。
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: 境界の ID または境界の完全修飾 ID。
- POLICY_ID: アクセスポリシーの ID。
高度な Query Insights を有効にした場合は、databaseinsights.googleapis.com API を制限付きサービスとしてサービス境界に追加します。
コンソール
1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
  [VPC Service Controls] に移動
2. [VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
3. [編集] をクリックします。
4. [VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。
5. databaseinsights.googleapis.com を追加します。
6. [保存] をクリックします。
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: 境界の ID または境界の完全修飾 ID。
- POLICY_ID: アクセスポリシーの ID。

アクセスレベルの作成と管理

アクセスレベルを作成して管理するには、境界の外部から保護されたリソースへのアクセスを許可するの手順に沿って操作します。