VPC Service Controls を使用すると、Apigee Integration の Google Cloud サービスの周囲にセキュリティ境界を定義できます。サービスの周囲にセキュリティ境界を設けることで、VPC 内のデータを制限し、データ漏洩のリスクを軽減できます。VPC Service Controls に精通していない場合は、次の情報を確認することをおすすめします。
このドキュメントでは、Apigee Integration サービスに対して VPC Service Controls の境界を設定する方法について説明します。境界を設定すると、他のどの Google Cloud サービスが Apigee Integration サービス(integrations.googleapis.com)にアクセスできるか、また逆に Apigee Integration サービスがどのサービスにアクセスできるかを決定する下り(外向き)ポリシーと上り(内向き)ポリシーを構成できます。
始める前に
サービス境界の構成に必要な権限があることを確認します。 VPC Service Controls の構成に必要な IAM ロールの一覧を表示するには、VPC Service Controls のドキュメントの IAM を使用したアクセス制御をご覧ください。
VPC サービス境界を作成する
VPC サービス境界を作成するには、Google Cloud console
、gcloud
コマンド、または accessPolicies.servicePerimeters.create API のいずれかを使用します。詳細については、サービス境界を作成するをご覧ください。
例: VPC サービス境界を作成して下り(外向き)ポリシーを構成する
この例では、gcloud
コマンドを使用して VPC サービス境界を作成し、下り(外向き)ポリシーを構成する方法を示します。この例の下り(外向き)ポリシーでは、特定のプロジェクトのリソースのみを使用するように統合を制限します。
下り(外向き)ポリシーを使用して VPC サービス境界を作成する手順は、次のとおりです。
- デフォルトのアクセス ポリシーを設定します。
アクセス ポリシーは、アクセスレベルとサービス境界用の組織全体のコンテナです。デフォルトのアクセス ポリシーの設定、またはアクセス ポリシー名の取得については、アクセス ポリシーの管理をご覧ください。
- 次の下り(外向き)ルールが含まれる新しい下り(外向き)ポリシー ファイルを
vpcsc-egress.yaml
という名前で作成します。- egressTo: operations: # service for which the egress policy should be applied - serviceName: integrations.googleapis.com methodSelectors: # methods in the service for which the egress policy should be applied # * denotes all the methods - method: "*" resources: # resources which the service methods can access - projects/test-vpcsc-egress-project egressFrom: # identities which can call the service methods identityType: ANY_IDENTITY
サンプルの下り(外向き)ルールでは、
integrations.googleapis.com
サービスのすべてのメソッドに、境界の外にあるtest-vpcsc-egress-project
のリソースへのアクセスだけが許可されます。下り(外向き)ルールの指定の詳細については、下り(外向き)ルールのリファレンスをご覧ください。 - 下り(外向き)ファイルを使用して新しい VPC サービス境界を作成します。
次のコマンドは、integrationPerimeter という名前の VPC サービス境界を作成します。
gcloud access-context-manager perimeters create integrationPerimeter \ --title="Integration Perimeter" \ --resources=projects/12345 \ --restricted-services=integrations.googleapis.com \ --egress-policies=vpcsc-egress.yaml
このコマンドは、プロジェクト番号
12345
を持つプロジェクトを含むintegrationPerimeter
という名前の新しい境界を作成し、integrations.googleapis.com
API を制限して、vpcsc-egress.yaml
ファイルで定義された下り(外向き)ポリシーを追加します。
既存のサービス境界に下り(外向き)ポリシーを追加する
既存のサービス境界に下り(外向き)ポリシーを追加するには、gcloud access-context-manager perimeters update コマンドを使用します。たとえば、次のコマンドは、vpcsc-egress.yaml
ファイルで定義された下り(外向き)ポリシーを integrationPerimeter
という名前の既存のサービス境界に追加します。
gcloud access-context-manager perimeters update integrationPerimeter --set-egress-policies=vpcsc-egress.yaml
下り(外向き)ポリシーと同様に、上り(内向き)ポリシーを定義することもできます。上り(内向き)ルールの指定の詳細については、上り(内向き)ルールのリファレンスをご覧ください。
境界を確認する
境界を確認するには、gcloud access-context-manager perimeters describe PERIMETER_NAME コマンドを使用します。たとえば、次のコマンドは境界 integrationPerimeter
を記述します。
gcloud access-context-manager perimeters describe integrationPerimeter
サービス境界の管理の詳細については、サービス境界の管理をご覧ください。
考慮事項
Apigee Integration サービスで VPC サービス境界を有効にしている場合、統合で次のタスクは使用できません。