上り（内向き）ルールと下り（外向き）ルールで ID グループとサードパーティ ID を構成する

Console

Google Cloud コンソールを使用してサービス境界の上り（内向き）ポリシーを更新する場合や、境界の作成時に上り（内向き）ポリシーを設定する場合は、ID グループを使用するように上り（内向き）ルールを構成できます。

1. Google Cloud コンソールで境界を作成するとき、または境界を編集するときに、[上り（内向き）ポリシー] を選択します。

2. Ingress ポリシーの [API クライアントの FROM 属性] ペインで、[ID] リストから [ID とグループを選択] を選択します。

3. [選択] をクリックします。

4. [ID を追加] ダイアログで、境界内のリソースへのアクセス権を付与する Google グループまたはサードパーティ ID（プレビュー）を指定します。ID グループを指定するには、IAM v1 API プリンシパル ID で指定されている形式を使用します。

   VPC Service Controls は、IAM v1 API プリンシパル ID の接頭辞 group、principal（プレビュー）、principalSet（プレビュー）で始まる v1 ID のみをサポートします。たとえば、principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 形式を使用してグループ内のすべての Workforce ID を指定するか、group:GROUP_NAME@googlegroups.com 形式を使用して Google グループを指定します。

5. [保存] をクリックします。

他の上り（内向き）ルール属性については、上り（内向き）ルールのリファレンスをご覧ください。

gcloud

JSON ファイルまたは YAML ファイルを使用して、ID グループを使用する上り（内向き）ルールを構成できます。次のサンプルでは、YAML 形式を使用します。

- ingressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER
    sources:
    - resource: RESOURCE
      *OR*
    - accessLevel: ACCESS_LEVEL
  ingressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER

次のように置き換えます。

• PRINCIPAL_IDENTIFIER: 境界内のリソースへのアクセス権を付与する Google グループまたはサードパーティ ID（プレビュー）を指定します。ID グループを指定するには、IAM v1 API プリンシパル ID で指定されている形式を使用します。

  VPC Service Controls は、IAM v1 API プリンシパル ID の接頭辞 group、principal（プレビュー）、principalSet（プレビュー）で始まる v1 ID のみをサポートします。たとえば、principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 形式を使用してグループ内のすべての Workforce ID を指定するか、group:GROUP_NAME@googlegroups.com 形式を使用して Google グループを指定します。

他の上り（内向き）ルール属性については、上り（内向き）ルールのリファレンスをご覧ください。

既存の上り（内向き）ルールを更新して ID グループを構成したら、サービス境界のルールポリシーを更新する必要があります。

gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml

次のように置き換えます。

• PERIMETER_ID: 更新するサービス境界の ID。
• RULE_POLICY: 変更した上り（内向き）ルール ファイルのパス。

詳細については、サービス境界の上り（内向き）ポリシーと下り（外向き）ポリシーの更新をご覧ください。

Console

Google Cloud コンソールを使用してサービス境界の下り（外向き）ポリシーを更新する場合、または境界の作成時に下り（外向き）ポリシーを設定する場合は、ID グループを使用するように下り（外向き）ルールを構成できます。

1. Google Cloud コンソールで境界を作成または編集する場合は、[下り（外向き）ポリシー] を選択します。

2. 下り（外向き）ポリシーの [API クライアントの FROM 属性] ペインで、[ID] リストから [ID とグループを選択] を選択します。

3. [選択] をクリックします。

4. [ID を追加] ダイアログで、境界外の指定リソースにアクセスできる Google グループまたはサードパーティ ID（プレビュー）を指定します。ID グループを指定するには、IAM v1 API プリンシパル ID で指定されている形式を使用します。

   VPC Service Controls は、IAM v1 API プリンシパル ID の接頭辞 group、principal（プレビュー）、principalSet（プレビュー）で始まる v1 ID のみをサポートします。たとえば、principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 形式を使用してグループ内のすべての Workforce ID を指定するか、group:GROUP_NAME@googlegroups.com 形式を使用して Google グループを指定します。

5. [保存] をクリックします。

他の下り（外向き）ルール属性については、下り（外向き）ルールのリファレンスをご覧ください。

gcloud

JSON ファイルまたは YAML ファイルを使用して、ID グループを使用する下り（外向き）ルールを構成できます。次のサンプルでは、YAML 形式を使用します。

- egressTo:
    operations:
    - serviceName: SERVICE_NAME
      methodSelectors:
      - method: METHOD_NAME
    resources:
    - projects/PROJECT_NUMBER
  egressFrom:
    identities:
    - PRINCIPAL_IDENTIFIER

次のように置き換えます。

• PRINCIPAL_IDENTIFIER: 境界外の指定されたリソースにアクセスできる Google グループまたはサードパーティ ID（プレビュー）を指定します。ID グループを指定するには、IAM v1 API プリンシパル ID で指定されている形式を使用します。

  VPC Service Controls は、IAM v1 API プリンシパル ID の接頭辞 group、principal（プレビュー）、principalSet（プレビュー）で始まる v1 ID のみをサポートします。たとえば、principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID 形式を使用してグループ内のすべての Workforce ID を指定するか、group:GROUP_NAME@googlegroups.com 形式を使用して Google グループを指定します。

他の下り（外向き）ルール属性については、下り（外向き）ルールのリファレンスをご覧ください。

既存の下り（外向き）ルールを更新して ID グループを構成したら、サービス境界のルールポリシーを更新する必要があります。

gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml

次のように置き換えます。

• PERIMETER_ID: 更新するサービス境界の ID。
• RULE_POLICY: 変更した下り（外向き）ルール ファイルのパス。

詳細については、サービス境界の上り（内向き）ポリシーと下り（外向き）ポリシーの更新をご覧ください。