Apigee Integration 用の VPC Service Controls の設定

VPC Service Controls を使用すると、Apigee Integration の Google Cloud サービスの周囲にセキュリティ境界を定義できます。サービスの周囲にセキュリティ境界を設けることで、VPC 内のデータを制限し、データ漏洩のリスクを軽減できます。VPC Service Controls に精通していない場合は、次の情報を確認することをおすすめします。

• VPC Service Controls の概要
• サービス境界の詳細と構成
• VPC Service Controls へのアクセス権を付与する

このドキュメントでは、Apigee Integration サービスに対して VPC Service Controls の境界を設定する方法について説明します。境界を設定すると、他のどの Google Cloud サービスが Apigee Integration サービス（integrations.googleapis.com）にアクセスできるか、また逆に Apigee Integration サービスがどのサービスにアクセスできるかを決定する下り（外向き）ポリシーと上り（内向き）ポリシーを構成できます。

始める前に

サービス境界の構成に必要な権限があることを確認します。 VPC Service Controls の構成に必要な IAM ロールの一覧を表示するには、VPC Service Controls のドキュメントの IAM を使用したアクセス制御をご覧ください。

VPC サービス境界を作成する

VPC サービス境界を作成するには、Google Cloud console、gcloud コマンド、または accessPolicies.servicePerimeters.create API のいずれかを使用します。詳細については、サービス境界を作成するをご覧ください。

例: VPC サービス境界を作成して下り（外向き）ポリシーを構成する

この例では、gcloud コマンドを使用して VPC サービス境界を作成し、下り（外向き）ポリシーを構成する方法を示します。この例の下り（外向き）ポリシーでは、特定のプロジェクトのリソースのみを使用するように統合を制限します。

下り（外向き）ポリシーを使用して VPC サービス境界を作成する手順は、次のとおりです。

1. デフォルトのアクセス ポリシーを設定します。

   アクセス ポリシーは、アクセスレベルとサービス境界用の組織全体のコンテナです。デフォルトのアクセス ポリシーの設定、またはアクセス ポリシー名の取得については、アクセス ポリシーの管理をご覧ください。

2. 次の下り（外向き）ルールが含まれる新しい下り（外向き）ポリシー ファイルを vpcsc-egress.yaml という名前で作成します。

   - egressTo:
       operations:
       # service for which the egress policy should be applied
       - serviceName: integrations.googleapis.com
         methodSelectors:
         # methods in the service for which the egress policy should be applied
         # * denotes all the methods
         - method: "*"
       resources:
         # resources which the service methods can access
         - projects/test-vpcsc-egress-project
     egressFrom:
       # identities which can call the service methods
       identityType: ANY_IDENTITY
   

   サンプルの下り（外向き）ルールでは、integrations.googleapis.com サービスのすべてのメソッドに、境界の外にある test-vpcsc-egress-project のリソースへのアクセスだけが許可されます。下り（外向き）ルールの指定の詳細については、下り（外向き）ルールのリファレンスをご覧ください。

3. 下り（外向き）ファイルを使用して新しい VPC サービス境界を作成します。

   次のコマンドは、integrationPerimeter という名前の VPC サービス境界を作成します。

   gcloud access-context-manager perimeters create integrationPerimeter \
       --title="Integration Perimeter" \
       --resources=projects/12345 \
       --restricted-services=integrations.googleapis.com \
       --egress-policies=vpcsc-egress.yaml
   

   このコマンドは、プロジェクト番号 12345 を持つプロジェクトを含む integrationPerimeter という名前の新しい境界を作成し、integrations.googleapis.com API を制限して、vpcsc-egress.yaml ファイルで定義された下り（外向き）ポリシーを追加します。

既存のサービス境界に下り（外向き）ポリシーを追加する

既存のサービス境界に下り（外向き）ポリシーを追加するには、gcloud access-context-manager perimeters update コマンドを使用します。たとえば、次のコマンドは、vpcsc-egress.yaml ファイルで定義された下り（外向き）ポリシーを integrationPerimeter という名前の既存のサービス境界に追加します。

gcloud access-context-manager perimeters update integrationPerimeter
    --set-egress-policies=vpcsc-egress.yaml

下り（外向き）ポリシーと同様に、上り（内向き）ポリシーを定義することもできます。上り（内向き）ルールの指定の詳細については、上り（内向き）ルールのリファレンスをご覧ください。

境界を確認する

境界を確認するには、gcloud access-context-manager perimeters describe PERIMETER_NAME コマンドを使用します。たとえば、次のコマンドは境界 integrationPerimeter を記述します。

gcloud access-context-manager perimeters describe integrationPerimeter

サービス境界の管理の詳細については、サービス境界の管理をご覧ください。

考慮事項

Apigee Integration サービスで VPC サービス境界を有効にしている場合、統合で次のタスクは使用できません。

• Apps Script タスク
• REST エンドポイントの呼び出しタスク
• Cloud Functions の関数タスク

次のステップ

VPC Service Controls でデータをどのように保護するか確認する。