このガイドでは、VPC Service Controls 境界で Private Service Connect Secure Source Manager を使用して、データの引き出しを防ぐ方法について説明します。
このガイドは、機密データ損失のリスクを軽減したいネットワーク管理者、セキュリティ アーキテクト、クラウド運用担当者を対象としています。
始める前に
必要なロール
VPC Service Controls 境界で Secure Source Manager を構成するために必要な権限を取得するには、組織に対する次の IAM ロールを付与するよう管理者に依頼してください。
-
Access Context Manager 管理者のロール (
roles/accesscontextmanager.policyAdmin) -
プロジェクト作成者 (
roles/resourcemanager.projectCreator)
ベスト プラクティス
VPC Service Controls を不用意に有効にすると、既存のアプリケーションで問題が生じ、停止する可能性があります。有効化は慎重に計画し、時間をかけてデータの収集、テストの実施、違反ログの分析を行うことをおすすめします。VPC Service Controls オペレーション チームとアプリケーション チームの関係者がこのタスクを実行できる状態であることを確認してください。
ベスト プラクティスの詳細については、VPC Service Controls を有効にするためのベスト プラクティスをご覧ください。
プロジェクトを境界に追加する
Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
[VPC Service Controls] ページで、プロジェクトの保護に使用する境界を選択します。
[VPC Service Control の適用済み構成の詳細] ページの [保護するリソース] セクションで、[編集] をクリックします。
[保護するリソース] をクリックして、プロジェクト ID を追加します。
[保存] をクリックします。
Secure Source Manager を制限付きサービスとして追加する
Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
[VPC Service Controls] ページで、プロジェクトを追加した境界を選択します。
[VPC Service Control の適用済み構成の詳細] ページの [制限付きサービス] セクションで、[編集] をクリックします。
[サービスを追加] をクリックします。
[制限するサービスを指定] ダイアログで、Secure Source Manager の横にあるチェックボックスをオンにします。フィルタ クエリを使用して、リスト内の Secure Source Manager を見つけることができます。
[保存] をクリックします。
サービス境界の更新後、変更が反映されて有効になるまでに 30 分ほどかかる場合があります。この間、境界が次のエラー メッセージを含むリクエストをブロックする場合があります。
Error 403: Request is prohibited by organization's policy.
次のステップ
- Private Service Connect の詳細を確認する。
- 外部 IP アドレスを持たない VM への接続の詳細を確認する。