VPC Service Controls を使用した証明書ベースのアクセスを適用する

プロジェクト内の Google Cloud サービスを保護し、データの漏洩のリスクを軽減するために、組織、フォルダ、プロジェクト レベルで VPC Service Controls サービス境界を指定できます。サービス境界を適用すると、上り(内向き)ポリシーと、保護するサービスとリソースをきめ細かく制御できます。

サービス境界の利点については、VPC Service Controls の概要をご覧ください。

サービス境界に CBA 上り(内向き)ポリシーを適用する

CBA アクセスレベルをサービス境界に適用すると、境界で保護されたリソースへのアクセスの許可は信頼できるデバイスからのみ行えるようになります。CBA アクセスレベルの作成の詳細については、証明書ベースのアクセス用のアクセスレベルを作成するをご覧ください。

次の図は、CBA アクセスレベルをサービス境界に関連付けることで、不明なデバイスから Cloud Storage の機密データへのアクセスを制限する基本的な例を示しています。

CBA アクセスレベルをサービス境界に関連付けてアクセスを制限する

CBA 上り(内向き)ポリシーをサービス境界に適用する手順は次のとおりです。

  1. Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックして、[VPC Service Controls] をクリックします。

    [VPC Service Controls] ページに移動

  2. [VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。

  3. [VPC サービス境界の編集] ページで、[アクセスレベル] をクリックします。

  4. [アクセスレベルを選択します] で、CBA アクセスレベルを選択します。

  5. [保存] をクリックします。