プロジェクト内の Google Cloud サービスを保護し、データの漏洩のリスクを軽減するために、組織、フォルダ、プロジェクト レベルで VPC Service Controls サービス境界を指定できます。サービス境界を適用すると、上り(内向き)ポリシーだけでなく、保護するサービスやリソースもきめ細かく制御できます。
サービス境界の利点については、VPC Service Controls の概要をご覧ください。
サービス境界への CBA Ingress ポリシーの適用
サービス境界に CBA アクセスレベルを適用すると、信頼できるデバイスからのみ、境界で保護されたリソースへのアクセスを許可できます。CBA アクセスレベルの作成の詳細については、証明書ベースのアクセス用のアクセスレベルを作成するをご覧ください。
次の図は、CBA アクセスレベルをサービス境界に関連付けることによって、不明なデバイスからの Cloud Storage 機密データへのアクセスを制限する基本的な例を示しています。
CBA Ingress ポリシーをサービス境界に適用するには、次の手順を実行します。
Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックして、[VPC Service Controls] をクリックします。
[VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
[VPC サービス境界の編集] ページで、[アクセスレベル] をクリックします。
[アクセスレベルを選択します] で、CBA アクセスレベルを選択します。
[保存] をクリックします。