サービス境界でリポジトリを保護する

VPC Service Controls を使用すると、Google マネージド サービスから不正なデータ転送やコピーが行われるリスクを軽減できます。

VPC Service Controls を使用すると、Google マネージド サービスのリソースにセキュリティ境界を構成し、境界をまたがるデータの移動を制御できます。

VPC Service Controls での Artifact Registry の使用

サービス境界内のプロジェクトで Artifact Registry と Google Kubernetes Engine の限定公開クラスタを使用している場合は、サービス境界内のコンテナ イメージにも Google 提供のイメージにもアクセスできます。

mirror.gcr.io に格納されているキャッシュ保存済みの Docker Hub イメージは、mirror.gcr.io をホストする Artifact Registry Docker キャッシュへの下り(外向き)トラフィックを許可する下り(外向き)ルールが追加されていない限り、サービス境界には含まれません。

サービス境界内で mirror.gcr.io を使用するには、次の下り(外向き)ルールを追加します。

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

上り(内向き)ルールと下り(外向き)ルールの詳細については、上り(内向き)ルールと下り(外向き)ルールをご覧ください。

Artifact Registry にアクセスするには、デフォルトの Google API とサービス ドメインの IP アドレスまたは次の特別な IP アドレスを使用します。

  • 199.36.153.4/30restricted.googleapis.com
  • 199.36.153.8/30private.googleapis.com

これらのオプションの詳細については、限定公開の Google アクセスの構成をご覧ください。199.36.153.4/30restricted.googleapis.com)を使用する構成の例については、仮想 IP を使用したレジストリ アクセスのドキュメントをご覧ください。

Artifact Registry にアクセスする必要がある Google Cloud サービスが、Binary Authorization、Artifact Analysis、ランタイム環境(Google Kubernetes Engine や Cloud Run)が含まれるサービス境界内にもあることを確認します。各サービスの詳細については、サポート対象のサービスのリストをご覧ください。

Artifact Registry をサービス境界に追加する一般的な手順については、サービス境界の作成をご覧ください。

VPC Service Controls での Artifact Analysis の使用

Artifact Analysis を境界に追加する方法については、サービス境界での Artifact Analysis の保護をご覧ください。