ユーザー ドメインの制限を使用して Gemini Code Assist へのネットワーク アクセスを制御する

このドキュメントでは、ユーザーのドメインに基づいて Gemini Code Assist へのアクセスを制限するようにネットワークを構成する手順について説明します。この機能により、組織はネットワーク内のどのユーザーが Gemini Code Assist を使用できるかを制御できるため、セキュリティを強化し、不正アクセスを防止できます。

概要

中間者（PITM）プロキシ アプローチを使用してユーザー ドメインの制限を適用するように Gemini Code Assist を構成できます。これには、Gemini Code Assist に対して行われたリクエストにカスタム HTTP ヘッダー X-GeminiCodeAssist-Allowed-Domains を挿入する必要があります。このヘッダーには、許可されたドメインのリストが指定されます。Gemini Code Assist バックエンドは、認証されたドメインが、許可されたドメインのいずれかに一致するユーザーからのリクエストのみを処理します。

IDE でプロキシを構成する

IDE でプロキシを構成する手順は次のとおりです。

PITM プロキシを構成する

PITM プロキシを構成する手順は次のとおりです。

1. ネットワークで HTTPS トラフィックをインターセプトして変更できる PITM プロキシが使用されていることを確認します。

2. Gemini Code Assist エンドポイント（https://cloudcode-pa.googleapis.com）へのすべての送信リクエストをインターセプトするようにプロキシを構成します。Gemini Code Assist エンドポイントを指定するときに、ワイルドカード（*）を使用しないでください。

3. 各リクエストに X-GeminiCodeAssist-Allowed-Domains ヘッダーを挿入するようにプロキシを構成します。ヘッダーには、許可されたドメインのカンマ区切りリストを含める必要があります（例: example.com、yourcompany.net）。ドメイン名はカンマ区切りで指定し、@ 記号を含めないでください。

   ヘッダーが 1 つ以上の有効なドメインに解決されない場合、制限は適用されません。たとえば、空のヘッダーでは制限は適用されません。 domain は有効なドメイン名ではないため、制限は適用されません。

ユーザーがヘッダーリストに含まれていないドメインから Gemini Code Assist にアクセスしようとすると、管理者がドメインでの Gemini Code Assist の使用を制限していることを知らせるメッセージが表示されます。

SSL/TLS インターセプション

プロキシで HTTPS トラフィックを復号してヘッダーを挿入する必要がある場合は、SSL/TLS インターセプション用に構成されていることを確認します。通常は以下が含まれます。

• プロキシの証明書を生成する。

• ユーザーのデバイスにプロキシの証明書をインストールして信頼を確立し、証明書エラーを回避する。

ヘッダーの検証

• Gemini Code Assist は、X-GeminiCodeAssist-Allowed-Domains ヘッダーを自動的に検証し、制限を適用します。

• ヘッダーが 1 つ以上の有効なドメインに解決されない場合、検証は実行されません。

• ユーザーの認証に関連付けられているドメインが許可リストにない場合、リクエストは拒否されます。たとえば、ユーザーが Gmail アカウントでログインし、許可リストに example.com のみが含まれている場合、リクエストは拒否されます。

次のステップ

一般ユーザー向けアカウントからのサービス利用を防ぐ方法について詳しくは、一般ユーザー向けアカウントからのサービス利用を防ぐをご覧ください。