Apigee Integration 用の VPC Service Controls の設定

VPC Service Controls を使用すると、Apigee Integration の Google Cloud サービスの周囲にセキュリティ境界を定義できます。サービスの周囲にセキュリティ境界を設けることで、VPC 内のデータを制限し、データ漏洩のリスクを軽減できます。VPC Service Controls に精通していない場合は、次の情報を確認することをおすすめします。

• VPC Service Controls の概要
• サービス境界の詳細と構成
• VPC Service Controls へのアクセス権を付与する

このドキュメントでは、Apigee Integration サービスに対して VPC Service Controls の境界を設定する方法について説明します。境界を設定すると、他のどの Google Cloud サービスが Apigee Integration サービス（integrations.googleapis.com）にアクセスできるか、また逆に Apigee Integration サービスがどのサービスにアクセスできるかを決定する下り（外向き）ポリシーと上り（内向き）ポリシーを構成できます。

始める前に

サービス境界の構成に必要な権限があることを確認します。 VPC Service Controls の構成に必要な IAM ロールの一覧を表示するには、VPC Service Controls のドキュメントの IAM を使用したアクセス制御をご覧ください。

VPC サービス境界を作成する

VPC サービス境界を作成するには、Google Cloud console、gcloud コマンド、または accessPolicies.servicePerimeters.create API を使用します。詳細については、サービス境界を作成するをご覧ください。gcloud コマンドによって VPC Service Controls の境界を作成してユーザーにアクセス権を付与するには、次のコマンドを実行します。

gcloud access-context-manager perimeters create  \
    --title=PERIMETER_TITLE \
    --resources=projects/PROJECT_ID \
    --restricted-services=integrations.googleapis.com \

次の部分を置き換えてください。

• PERIMETER_TITLE: VPC Service Controls の境界の名前
• PROJECT_ID: VPC Service Controls の境界を追加するプロジェクト

上記のコマンドは完了するまでしばらく時間がかかります。VPC Service Controls の境界は、Apigee Integration サービスを使用しているときにプロジェクトの統合サービスを制限します。

任意の IP アドレス、サービス アカウント、またはユーザーが Apigee Integration を使用できるようにするには、上り（内向き）ルールと下り（外向き）ルールを使用します。VPC Service Controls は、上り（内向き）ルールと下り（外向き）ルールを使用して、サービス境界で保護されたリソースとクライアントに関するアクセスを可能にします。

既存のサービス境界に下り（外向き）ポリシーを追加する

既存のサービス境界に下り（外向き）ポリシーを追加するには、gcloud access-context-manager perimeters update コマンドを使用します。たとえば、次のコマンドは、vpcsc-egress.yaml ファイルで定義された下り（外向き）ポリシーを integrationPerimeter という名前の既存のサービス境界に追加します。

gcloud access-context-manager perimeters update integrationPerimeter
    --set-egress-policies=vpcsc-egress.yaml

下り（外向き）ポリシーと同様に、上り（内向き）ポリシーを定義することもできます。上り（内向き）ルールの指定の詳細については、上り（内向き）ルールのリファレンスをご覧ください。

境界を確認する

境界を確認するには、gcloud access-context-manager perimeters describe PERIMETER_NAME コマンドを使用します。たとえば、次のコマンドは境界 integrationPerimeter を記述します。

gcloud access-context-manager perimeters describe integrationPerimeter

サービス境界の管理の詳細については、サービス境界の管理をご覧ください。

考慮事項

Apigee Integration サービスで VPC サービス境界を有効にしている場合、統合で次のタスクは使用できません。

• Apps Script タスク
• REST エンドポイントの呼び出しタスク
• Cloud Functions の関数タスク

次のステップ

VPC Service Controls でデータをどのように保護するか確認する。