VPC Service Controls を使用してサービス境界を設定する

Google Cloud コンソールで VPC Service Controls を使用してサービス境界を設定する方法について説明します。

準備

VPC Service Controls の管理に必要な Identity and Access Management(IAM)のロールが割り当てられているか確認することをおすすめします。

必要な IAM ロールが割り当てられてない場合、IAM ロールを付与する方法については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

VPC Service Controls の境界を設定する

以降のセクションでは、境界の詳細を指定し、保護するプロジェクトとサービスを追加し、境界を作成します。

VPC Service Controls の境界の詳細を追加する

  1. Google Cloud Console で、[VPC Service Controls] ページに移動します。

    [VPC Service Controls] に移動

  2. デフォルトのアクセス ポリシーを使用して新しい境界を作成するには、プロジェクト セレクタ メニューで組織を選択します。

  3. [VPC Service Controls] ページで、[新しい境界] をクリックします。

  4. [新しい VPC サービス境界] ページの [境界名] ボックスに「perimeter_storage_services」と入力します。

  5. [境界のタイプ] セクションと [構成タイプ] セクションはデフォルトの設定のままにします。

境界にプロジェクトを追加する

  1. 境界にプロジェクトを追加するには、[新しい VPC サービス境界] のナビゲーション メニューから [プロジェクト] をクリックします。
  2. [ADD PROJECTS] をクリックします。
  3. [プロジェクトの追加] ダイアログで、境界に追加するプロジェクトを選択し、[プロジェクトを追加] をクリックします。

  4. [完了] をクリックします。

境界内の BigQuery サービスと Cloud Storage サービスを保護する

  1. [新しい VPC サービス境界] のナビゲーション メニューで、[制限付きサービス] をクリックします。
  2. [サービスを追加] をクリックします。
  3. [制限するサービスの指定] ダイアログで、BigQuery API と Cloud Storage API のチェックボックスをオンにします。

    これらのサービスを見つけるには、フィルタクエリを使用します。

  4. [2 個のサービスを追加] をクリックします。

  5. 境界を作成するには、[新しい VPC サービス境界] のナビゲーション メニューから [境界を作成] をクリックします。

これで境界が作成されました。[VPC Service Controls] ページに境界が表示されます。境界が伝播されて有効になるまでに最大で 30 分かかります。変更が伝播されると、BigQuery サービスと Cloud Storage サービスへのアクセスは、境界に追加したプロジェクトのみに制限されます。

さらに、境界で保護されている BigQuery サービスと Cloud Storage サービスの Google Cloud コンソール インターフェースが、部分的または完全にアクセス不能になることがあります。

クリーンアップ

このページで使用したリソースについて、Google Cloud アカウントに課金されないようにするには、次の手順を行います。

  1. Google Cloud Console で、[VPC Service Controls] ページに移動します。

    [VPC Service Controls] に移動

  2. [VPC Service Controls] ページで、作成した境界に対応する行の [削除] ボタンをクリックします。

  3. ダイアログ ボックスで [削除] をクリックして、境界の削除を確認します。

次のステップ