Gemini 用に VPC Service Controls を構成する

このドキュメントでは、Google Cloud の AI を活用したコラボレーターである Gemini for Google Cloud をサポートするように VPC Service Controls を構成する方法について説明します。この構成を完了するには、次の操作を行います。

1. Gemini を含めるために、組織のサービス境界を更新します。このドキュメントでは、組織レベルでサービス境界がすでに存在することを前提としています。サービス境界の詳細については、サービス境界の詳細と構成をご覧ください。

2. Gemini へのアクセスを有効にしたプロジェクトで、制限付きの VIP 範囲へのトラフィックを除く送信トラフィックをブロックするように VPC ネットワークを構成します。

始める前に

1. Gemini Code Assist が Google Cloud ユーザー アカウントとプロジェクト用に設定されていることを確認します。

2. VPC Service Controls の設定と管理に必要な Identity and Access Management（IAM）ロールがあることを確認します。

3. Gemini の設定に使用できる組織レベルでサービス境界があることを確認します。このレベルでサービス境界がない場合は、サービス境界を作成できます。

Gemini をサービス境界に追加する

VPC Service Controls を Gemini で使用するには、組織レベルでサービス境界に Gemini を追加します。サービス境界には、Gemini で使用するすべてのサービスと、保護するほかの Google Cloud サービスを含める必要があります。

Gemini をサービス境界に追加する手順は次のとおりです。

1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

   [VPC Service Controls] に移動

2. 組織を選択する。

3. [VPC Service Controls] ページで、境界の名称をクリックします。

4. [リソースを追加] をクリックして、次の操作を行います。

   1. Gemini を有効にしたプロジェクトごとに、[リソースを追加] ペインで [プロジェクトを追加] をクリックしてから、次の操作を行います。

   2. [プロジェクトを追加] ダイアログで、追加するプロジェクトを選択します。

      共有 VPC を使用している場合は、ホスト プロジェクトとサービス プロジェクトをサービス境界に追加します。

   3. [Add selected resources] をクリックします。追加されたプロジェクトが [プロジェクト] セクションに表示されます。

   4. プロジェクト内の VPC ネットワークごとに、[リソースを追加] ペインで [VPC ネットワークを追加] をクリックし、次の操作を行います。

   5. プロジェクトのリストで、VPC ネットワークを含むプロジェクトをクリックします。

   6. [リソースを追加] ダイアログで、VPC ネットワークのチェックボックスをオンにします。

   7. [Add selected resources] をクリックします。追加したネットワークが [VPC ネットワーク] セクションに表示されます。

5. [制限付きサービス] をクリックし、次の操作を行います。

   1. [制限付きサービス] ペインで [サービスを追加] をクリックします。

   2. [制限するサービスを指定] ダイアログで、境界内で保護するサービスとして [Gemini for Google Cloud API] と [Gemini Code Assist API] を選択します。

   1. [n 個のサービスを追加] をクリックします。ここで、n は、前の手順で選択したサービスの数です。

6. 省略可: 開発者が IDE の Cloud Code プラグインから境界内で Gemini を使用できるようにする場合は、上り（内向き）ポリシーを構成する必要があります。

   Gemini 用の VPC Service Controls を有効にすると、境界外のマシン（会社のノートパソコンなど）から Gemini Code Assist IDE 拡張機能を実行するなど、境界外からのアクセスがすべて拒否されます。したがって、Gemini を Gemini Code Assist プラグインとともに使用するには、これらの手順が必要になります。

   1. [上り（内向き）ポリシー] をクリックします。

   2. [上り（内向き）ルール] ペインで、[ルールの追加] をクリックします。

   3. [API クライアントの属性から] で、アクセスを必要とする境界外部のソースを指定します。ソースとしてプロジェクト、アクセスレベル、VPC ネットワークを指定できます。

   4. [Google Cloud リソース/サービスの属性へ] で、Gemini のサービス名と Gemini Code Assist API を指定します。

   上り（内向き）ルールの属性のリストについては、上り（内向き）ルールのリファレンスをご覧ください。

7. 省略可: 組織で Access Context Manager を使用していて、境界の外部から保護されたリソースへのアクセスをデベロッパーに許可する場合は、アクセスレベルを設定します。

   1. [アクセスレベル] をクリックします。

   2. [上り（内向き）ポリシー: アクセスレベル] ペインで、[アクセスレベルを選択] フィールドを選択します。

   3. 境界に適用するアクセスレベルのチェックボックスを選択します。

8. [保存] をクリックします。

これらの手順を完了すると、VPC Service Controls は Gemini for Google Cloud API に対するすべての呼び出しを調べて、これらが同じ境界内から発信されていることを確認します。

VPC ネットワークの構成

通常の googleapis.com 仮想 IP に送信されたリクエストが、制限付き仮想 IP（VIP）範囲、（199.36.153.4/30）、（restricted.googleapis.com）に自動的にルーティングされるように VPC ネットワークを構成する必要があります。ここで Gemini サービスが提供されます。Gemini Code Assist IDE 拡張機能の構成を変更する必要はありません。

プロジェクト内の各 VPC ネットワークで、制限付きの VIP 範囲へのトラフィック以外の送信トラフィックをブロックする手順は次のとおりです。

1. VPC ネットワーク リソースをホストするサブネットで限定公開の Google アクセスを有効にします。

2. ファイアウォール ルールの構成を行い、VPC ネットワークの外部へデータが送信されるのを防ぎます。

   1. すべての送信トラフィックをブロックする下り（外向き）拒否ルールを作成します。
   1. TCP ポート 443 で 199.36.153.4/30 へのトラフィックを許可する、下り（外向き）許可ルールを作成します。作成した下り（外向き）拒否ルールよりも前に、下り（外向き）許可ルールの優先度が設定されていることを確認します。これにより、制限付き VIP 範囲へのみ下り（外向き）が許可されます。

3. Cloud DNS レスポンス ポリシーを作成します。

4. 次の値を使用して、*.googleapis.com を restricted.googleapis.com に解決するレスポンス ポリシーのルールを作成します。

   • DNS 名: *.googleapis.com.

   • ローカルデータ: restricted.googleapis.com.

   • レコードタイプ: A

   • TTL: 300

   • RR データ: 199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7

   restricted.googleapis.com の IP アドレス範囲は 199.36.153.4/30 です。

これらの手順を完了すると、VPC ネットワーク内から発信されたリクエストは VPC ネットワークを離れることができなくなり、サービス境界外への下り（外向き）通信を防ぐことができます。これらのリクエストは、VPC Service Controls をチェックする Google API とサービスにのみ到達できるため、Google API を介したデータの引き出しを防ぐことができます。

その他の構成

Gemini で使用する Google Cloud プロダクトに応じて、次の点に留意する必要があります。

• 境界に接続されたクライアント マシン。VPC Service Controls 境界内のマシンは、すべての Gemini エクスペリエンスにアクセスできます。また、外部ネットワークから承認済みの Cloud VPN または Cloud Interconnect に境界を拡張することもできます。

• 境界外のクライアント マシン。クライアント マシンがサービス境界外にある場合は、制限付き Gemini サービスへの制御されたアクセス権を付与することができます。

  • 詳細については、保護されたリソースへの境界外部からのアクセスの許可をご覧ください。

  • 企業ネットワークでアクセスレベルを作成する方法の例については、企業ネットワークでアクセスを制限するをご覧ください。

  • Gemini で VPC Service Controls を使用する際の制限事項を確認します。

• Gemini Code Assist。VPC Service Controls を遵守するために、使用している IDE またはワークステーションがファイアウォール ポリシーを介して https://www.google.com/tools/feedback/mobile にアクセスできないことを確認します。

• Cloud Workstations。Cloud Workstations を使用している場合は、VPC Service Controls と限定公開クラスタを構成するの手順に沿って操作します。

次のステップ

• Google Cloud のコンプライアンス サービスについては、コンプライアンス リソース センターをご覧ください。