Application Integration でサポートされているコネクタをご覧ください。

Application Integration 用の VPC Service Controls の設定

VPC Service Controls では、Application Integration Google Cloud サービスの周囲にセキュリティ境界を定義できます。サービスのセキュリティ境界を使用すると、VPC 内にデータをとどめ、データ漏洩のリスクを軽減できます。VPC Service Controls に精通していない場合は、次の情報を確認することをおすすめします。

• VPC Service Controls の概要
• サービス境界の詳細と構成
• VPC Service Controls へのアクセス権を付与する

このドキュメントでは、Application Integration サービスに VPC Service Controls の境界を設定する方法について説明します。境界を設定したら、Application Integration サービスにアクセス可能な Google Cloud サービスと、Application Integration サービス（integrations.googleapis.com）がアクセスできるサービスを逆に決定する下り（外向き）ポリシーと上り（内向き）ポリシーを構成できます。

準備

サービス境界の構成に必要な権限があることを確認します。 VPC Service Controls の構成に必要な IAM ロールの一覧を表示するには、VPC Service Controls のドキュメントの IAM を使用したアクセス制御をご覧ください。

VPC サービス境界を作成する

VPC サービス境界を作成するには、Google Cloud console、gcloud コマンド、または accessPolicies.servicePerimeters.create API を使用します。 詳細については、サービス境界を作成するをご覧ください。gcloud コマンドを使用してユーザーにアクセスを許可する VPC Service Controls の境界を作成するには、次のコマンドを実行します。

gcloud access-context-manager perimeters create  \
    --title=PERIMETER_TITLE \
    --resources=projects/PROJECT_ID \
    --restricted-services=integrations.googleapis.com \

次のように置き換えます。

• PERIMETER_TITLE: VPC Service Controls の境界の名前
• PROJECT_ID: VPC Service Controls の境界を追加するプロジェクト

上記のコマンドが完了するまでに時間がかかります。VPC Service Controls の境界は、Application Integration サービスを使用しているときに、プロジェクトのインテグレーション サービスを制限します。

任意の IP アドレス、サービス アカウント、またはユーザーが Application Integration を使用できるようにするには、上り（内向き）ルールと下り（外向き）ルールを使用します。VPC Service Controls は、上り（内向き）ルールと下り（外向き）ルールを使用して、サービス境界で保護されたリソースとクライアントに関するアクセスを可能にします。

既存のサービス境界に下り（外向き）ポリシーを追加する

既存のサービス境界に下り（外向き）ポリシーを追加するには、gcloud access-context-manager perimeters update コマンドを使用します。たとえば、次のコマンドは、vpcsc-egress.yaml ファイルで定義された下り（外向き）ポリシーを integrationPerimeter という名前の既存のサービス境界に追加します。

gcloud access-context-manager perimeters update integrationPerimeter
    --set-egress-policies=vpcsc-egress.yaml

下り（外向き）ポリシーと同様に、上り（内向き）ポリシーを定義することもできます。上り（内向き）ルールの指定の詳細については、上り（内向き）ルールのリファレンスをご覧ください。

境界を確認する

境界を確認するには、gcloud access-context-manager perimeters describe PERIMETER_NAME コマンドを使用します。たとえば、次のコマンドは境界 integrationPerimeter を記述します。

gcloud access-context-manager perimeters describe integrationPerimeter

サービス境界の管理の詳細については、サービス境界の管理をご覧ください。

考慮事項

Application Integration サービスで VPC サービス境界を有効にしている場合、統合で次のタスクは使用できません。

• Apps Script タスク
• REST エンドポイントの呼び出しタスク
• Cloud Functions の関数タスク

次のステップ

VPC Service Controls でデータをどのように保護するか確認する。