このページでは、データがユーザーのサイトとクラウド プロバイダの間、または AML AI のコンテキストで 2 つのサービス間を移動する際に、データがどのように保護されるかを説明します。
- AML AI で使用されるサービスを含む内部の Google サービスは通常、ALTS を使用します。 ALTS は概念的に mTLS と類似していますが、Google のデータセンター環境用に最適化されています。場合によっては、TLS が使用されます。
- virtualservices.googleapis.com(AML AI エンドポイント)への外部通信では、Google Front End(GFE)に対して TLS を使用します。GFE は、すべての TLS 接続が正しい証明書で終端し、すべてのベスト プラクティスが適用されることを保証します。GFE と financeservices.googleapis.com 間のトラフィックは内部にあり、ALTS で暗号化されます。
- Google Cloud 上の VM から GFE へのトラフィックは TLS で暗号化されます。デフォルトでは、このトラフィックは外部 IP アドレスを使用しますが、限定公開の Google アクセスを使用して内部 IP アドレスを使用できます。
- mTLS は BeyondCorp Enterprise を使用して構成できます。VPC-SC アクセスレベルを構成する必要があるため、AML AI の VPC-SC のドキュメントをご覧ください。mTLS 固有のエンドポイント(financeservices.mtls.googleapis.com)を使用する必要があります。
詳しくは、Google Cloud での転送データの暗号化をご覧ください。