VPC Service Controls を使用すると、Google マネージド サービスから不正なデータ転送やコピーが行われるリスクを軽減できます。
VPC Service Controls を使用すると、Google マネージド サービスのリソースにセキュリティ境界を構成し、境界をまたがるデータの移動を制御できます。
VPC Service Controls での Artifact Registry の使用
サービス境界内のプロジェクトで Artifact Registry と Google Kubernetes Engine の限定公開クラスタを使用している場合は、サービス境界内のコンテナ イメージにも Google 提供のイメージにもアクセスできます。
mirror.gcr.io に格納されているキャッシュ保存済みの Docker Hub イメージは、mirror.gcr.io をホストする Artifact Registry Docker キャッシュへの下り(外向き)トラフィックを許可する下り(外向き)ルールが追加されていない限り、サービス境界には含まれません。
サービス境界内で mirror.gcr.io を使用するには、次の下り(外向き)ルールを追加します。
- egressTo:
operations:
- serviceName: artifactregistry.googleapis.com
methodSelectors:
- method: artifactregistry.googleapis.com/DockerRead
resources:
- projects/342927644502
egressFrom:
identityType: ANY_IDENTITY
上り(内向き)ルールと下り(外向き)ルールの詳細については、上り(内向き)ルールと下り(外向き)ルールをご覧ください。
Artifact Registry には、デフォルトの Google API とサービス ドメインの IP アドレスを使用するか、次の特別な IP アドレスを使用してアクセスできます。
199.36.153.4/30(restricted.googleapis.com)199.36.153.8/30(private.googleapis.com)
これらのオプションの詳細については、限定公開の Google アクセスの構成をご覧ください。199.36.153.4/30(restricted.googleapis.com)を使用する構成の例については、仮想 IP を使用したレジストリ アクセスのドキュメントをご覧ください。
Artifact Registry にアクセスする必要がある Google Cloud サービスが、Binary Authorization、Artifact Analysis、ランタイム環境(Google Kubernetes Engine や Cloud Run)が含まれるサービス境界内にもあることを確認します。各サービスの詳細については、サポート対象のサービスのリストをご覧ください。
Artifact Registry をサービス境界に追加する一般的な手順については、サービス境界の作成をご覧ください。
VPC Service Controls での Artifact Analysis の使用
Artifact Analysis を境界に追加する方法については、サービス境界での Artifact Analysis の保護をご覧ください。