App Hub での VPC Service Controls の使用

VPC Service Controls は、Google Cloud リソースの周囲にデータ転送境界を作成するサービス境界を設定できる Google Cloud の機能です。VPC Service Controls を使用すると、データ漏洩のリスクを軽減するなど、App Hub リソースのセキュリティが強化されます。VPC Service Controls を使用すると、境界を越えるリクエストからアプリケーション、サービス、ワークロードを保護するサービス境界にプロジェクトを追加できます。

App Hub リソースは apphub.googleapis.com API で公開されており、アプリケーション、サービス、ワークロードの作成や削除などのオペレーションを実行できます。この API サーフェスへの接続を制限することで、App Hub で VPC Service Controls を設定できます。

サービス境界を作成する際は、すべての App Hub リソースを保護することをおすすめします。

App Hub では、次のリソースタイプがサポートされています。

• アプリケーション
• 検出されたサービス
• 検出されたワークロード
• サービス
• サービス プロジェクトの接続（ホスト プロジェクトで管理されるアプリケーションの場合のみ）
• ワークロード

アプリ管理用フォルダ内のアプリ

フォルダでアプリケーション管理を有効にすると、次のアクションが発生します。

1. Google は、管理プロジェクトと呼ばれるフォルダに Google が管理するプロジェクトを作成します。
2. システムは、そのプロジェクトでアプリケーション管理に必要な API を有効にします。システムが有効にする API の一部は、アプリ管理に直接関連しています。残りの API は依存関係です。

管理プロジェクトをサービス境界に含める場合は、VPC Service Controls をサポートする有効な API を含めます。詳細については、サービス境界を作成するをご覧ください。

管理プロジェクトで有効になっている API

次の表に、管理プロジェクトで自動的に有効になる API を示します。プロダクトが VPC Service Controls をサポートしている場合は、リンク先のドキュメントで、制限事項や追加の構成要件などの詳細を確認してください。

アプリケーションの設計、構築、デプロイに関わる API

この表の API には、アプリケーションのビルド、アプリケーションのデプロイ、アプリケーション データの保存に使用される App Hub、Application Design Center、依存関係が含まれます。

アプリ対応フォルダを有効にして管理するには、Resource Manager が必要です。

API	VPC Service Controls のサポート
App Hub API（apphub.googleapis.com）	詳細
App Design Center API（designcenter.googleapis.com）
Artifact Registry API（artifactregistry.googleapis.com）	詳細
Cloud Asset API（cloudasset.googleapis.com）	詳細
Cloud Build API（cloudbuild.googleapis.com）	詳細
Cloud Resource Manager API（cloudresourcemanager.googleapis.com）	詳細
Infrastructure Manager API（config.googleapis.com）	詳細
Container Registry API（containerregistry.googleapis.com）	詳細
Identity and Access Management API（iam.googleapis.com）	詳細
IAM Service Account Credentials API（iamcredentials.googleapis.com）	詳細

Google Cloud Observability API

API	VPC Service Controls のサポート
Cloud Logging（logging.googleapis.com）	詳細
Cloud Monitoring（monitoring.googleapis.com）	詳細
Cloud Trace（cloudtrace.googleapis.com）	詳細

Google Cloud Observability の依存関係

Logging と Cloud Monitoring の一部の機能では、他のプロダクト API が必要です。

Dataform API と Dataplex API は BigQuery の依存関係です。

API	VPC Service Controls のサポート
BigQuery API（bigquery.googleapis.com）	詳細
Analytics Hub API（analyticshub.googleapis.com） （BigQuery 共有用の API）	詳細
BigQuery Connection API（bigqueryconnection.googleapis.com）	詳細
BigQuery Data Policy API（bigquerydatapolicy.googleapis.com）	詳細
BigQuery Migration API（bigquerymigration.googleapis.com）	詳細
BigQuery Reservation API（bigqueryreservation.googleapis.com）	詳細
BigQuery Storage API（bigquerystorage.googleapis.com）	詳細
Dataform API（dataform.googleapis.com）	詳細
Dataplex API（dataplex.googleapis.com）	詳細
Cloud Functions API（cloudfunctions.googleapis.com）	詳細
Cloud Storage API（storage.googleapis.com）	詳細
Cloud Storage（storage-api.googleapis.com）
Cloud Storage JSON API（storage-component.googleapis.com）
Pub/Sub API（pubsub.googleapis.com）	詳細

リソースに関するリソースデータを提供する API

API	VPC Service Controls のサポート
Cloud Quotas API（cloudquotas.googleapis.com）	詳細
Service Health API（servicehealth.googleapis.com）	詳細

Gemini Cloud Assist

API	VPC Service Controls のサポート
Gemini for Google Cloud API（cloudaicompanion.googleapis.com）	詳細

ホスト プロジェクトで管理されるアプリケーション

アプリケーションを作成し、サービスとワークロードをアプリケーションに登録する前に、App Hub のホスト プロジェクトとサービス プロジェクトで VPC Service Controls を設定する必要があります。詳細については、サービス境界を作成するをご覧ください。

次のステップ

• VPC Service Controls の詳細を確認する。概要とサポートされているプロダクトと制限事項をご覧ください。

• VPC Service Controls を有効にするためのベスト プラクティスを確認する。VPC Service Controls の有効化に関するベスト プラクティスをご覧ください。

• サービス境界を設計する際のベスト プラクティスを確認する。サービス境界の設計と構築をご覧ください。

• サービス境界を設定するには、サービス境界を作成するをご覧ください。