割り当てと上限

このドキュメントでは、VPC Service Controls に適用される割り当てと上限について説明します。このドキュメントに示されている割り当てと上限は変更される場合があります。

割り当ての使用の計算は、自動適用モードとドライラン モードの使用の合計に基づいて行われます。たとえば、サービス境界が自動適用モードで 5 つのリソースを保護し、ドライラン モードで 7 つのリソースを保護している場合は、両方の合計(12)が、対応する上限と比較されます。また、個々のエントリはそれぞれが 1 つとしてカウントされます。これは、エントリがポリシー内のどこにあっても同様です。たとえば、1 つのプロジェクトが 1 つの通常の境界と 5 つのブリッジ境界に含まれている場合、6 つのインスタンスがすべてカウントされ、重複除去は行われません。

ただし、VPC Service Controls ではサービス境界の上限が異なる方法で計算されます。詳細については、このドキュメントのサービス境界の上限をご覧ください。

Google Cloud コンソールで割り当てを表示する

  1. Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] に移動

  2. プロンプトが表示されたら、組織、フォルダ、またはプロジェクトを選択します。

  3. [VPC Service Controls] ページで、割り当てを表示するアクセス ポリシーを選択します。

  4. [View Quota] をクリックします。

    [割り当て] ページには、特定のアクセス ポリシー内のすべてのサービス境界に累積的に適用される次のアクセス ポリシーの上限について、使用状況の指標が表示されます。

    • サービス境界
    • 保護対象リソース
    • アクセスレベル
    • 上り(内向き)属性と下り(外向き)属性の合計

サービス境界の上限

各サービス境界構成には、次の上限が適用されます。つまり、この上限は、境界のドライラン構成と適用構成に個別に適用されます。

タイプ 上限 メモ
属性 6,000 この上限は、上り(内向き)ルールと下り(外向き)ルールで指定された属性の合計数に適用されます。属性の上限には、これらのルール内のプロジェクト、VPC ネットワーク、アクセスレベル、メソッド セレクタ、ID への参照が含まれます。属性の合計数には、メソッド、サービス、プロジェクトの属性でワイルドカード文字 * が使用されている場合も含まれます。

属性の上限に関する考慮事項

VPC Service Controls では、次の上り(内向き)ルールと下り(外向き)ルールのフィールドの各エントリが 1 つの属性としてカウントされます。

ルールブロック フィールド
ingressFrom
  • sources
  • identities
ingressTo
  • resources
  • methodSelectors
egressFrom
  • sources
  • identities
egressTo
  • resources
  • methodSelectors
  • externalResources

これらのフィールドの詳細については、上り(内向き)ルールのリファレンス下り(外向き)ルールのリファレンスをご覧ください。

VPC Service Controls は、次のルールを考慮して、境界が属性の上限を超えているかどうかを確認します。

  • 上り(内向き)ルールと下り(外向き)ルールの各フィールドには複数のエントリを含めることができ、各エントリは上限にカウントされます。

    たとえば、egressFrom ルールブロックの identities フィールドにサービス アカウントとユーザー アカウントを指定すると、VPC Service Controls は上限に対して 2 つの属性をカウントします。

  • VPC Service Controls では、複数のルールで同じリソースを繰り返した場合でも、ルール内のリソースの出現は個別にカウントされます。

    たとえば、2 つの異なる上り(内向き)ルールまたは下り(外向き)ルール(rule-1rule-2)でプロジェクト project-1 を指定すると、VPC Service Controls は上限に対して 2 つの属性をカウントします。

  • 各サービス境界には、適用構成とドライラン構成を設定できます。VPC Service Controls は、構成ごとに属性の上限を個別に適用します。

    たとえば、境界の適用構成とドライラン構成の属性の合計数がそれぞれ 3,500 属性と 3,000 属性の場合、VPC Service Controls は境界が属性の上限内にあると見なします。

アクセス ポリシーの上限

次に示すアクセス ポリシーの上限は、1 つのアクセス ポリシー内のすべてのサービス境界に対して累積的に適用されます。

上限 メモ
サービス境界 10,000 サービス境界ブリッジはこの上限にカウントされます。
保護対象リソース 40,000 上り(内向き)と下り(外向き)のポリシー内でのみ参照されるプロジェクトは、この上限にはカウントされません。保護されたリソースを 10,000 個以下のリソースのバッチでのみポリシーに追加し、ポリシーの変更リクエストがタイムアウトしないようにします。次のポリシー変更を行う前に 30 秒待つことをおすすめします。
ID グループ 1,000 この上限は、上り(内向き)ルールと下り(外向き)ルールで構成された ID グループの数です。
VPC ネットワーク 500 この上限では、自動適用モード、ドライラン モード、上り(内向き)ルールで参照される VPC ネットワークの数がカウントされます。

次に示すアクセス ポリシーの上限は、特定のアクセス ポリシー内のすべてのアクセスレベルに累積的に適用されます。

上限 メモ
VPC ネットワーク 500 この上限は、アクセスレベルで参照される VPC ネットワークの数に適用されます。

組織の上限

1 つの組織内のすべてのアクセス ポリシーには、次の上限が適用されます。

上限
組織レベルのアクセス ポリシー 1
フォルダとプロジェクト スコープのアクセス ポリシー 50

Access Context Manager の割り当てと上限

VPC Service Controls は Access Context Manager API を使用するため、Access Context Manager の割り当てと上限も適用されます。