Gemini 用に VPC Service Controls を構成する

このドキュメントでは、Google Cloud の AI を活用したコラボレーターである Gemini for Google Cloud をサポートするように VPC Service Controls を構成する方法について説明します。この構成を完了するには、次の手順を行います。

Gemini を含めるために、組織のサービス境界を更新します。このドキュメントでは、組織レベルでサービス境界がすでに存在することを前提としています。サービス境界について詳しくは、サービス境界の詳細と構成をご覧ください。
Gemini へのアクセスを有効にしたプロジェクトでは、制限付きの VIP 範囲へのトラフィックを除く送信トラフィックをブロックするように VPC ネットワークを構成します。

始める前に

Gemini が Google Cloud ユーザーアカウントとプロジェクト用に設定されていることを確認します。
VPC Service Controls の設定と管理に必要な Identity and Access Management（IAM）ロールがあることを確認します。
Gemini の設定に使用できる組織レベルでサービス境界があることを確認します。このレベルでサービス境界がない場合は、サービス境界を作成できます。

Gemini をサービス境界に追加する

Gemini で VPC Service Controls を使用するには、Gemini を組織レベルでサービス境界に追加します。サービス境界には、Gemini で使用するすべてのサービスと、保護するほかの Google Cloud サービスを含める必要があります。

Gemini をサービス境界に追加する手順は次のとおりです。

Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

[VPC Service Controls] に移動
組織を選択する。
[VPC Service Controls] ページで、境界の名称をクリックします。
[リソースを追加] をクリックして、次の操作を行います。
1. Gemini を有効にしたプロジェクトごとに、[リソースを追加] ペインで [プロジェクトを追加] をクリックしてから、次の操作を行います。
  1. [プロジェクトを追加] ダイアログで、追加するプロジェクトを選択します。
    
    共有 VPC を使用する場合は、ホストプロジェクトとサービスプロジェクトをサービス境界に追加します。
  2. [Add selected resources] をクリックします。追加されたプロジェクトが [プロジェクト] セクションに表示されます。
2. プロジェクト内の VPC ネットワークごとに、[リソースを追加] ペインで [VPC ネットワークを追加] をクリックし、次の操作を行います。
  1. プロジェクトのリストで、VPC ネットワークを含むプロジェクトをクリックします。
  2. [リソースを追加] ダイアログで、VPC ネットワークのチェックボックスをオンにします。
  3. [Add selected resources] をクリックします。追加したネットワークが [VPC ネットワーク] セクションに表示されます。
[制限付きサービス] をクリックし、次の操作を行います。
1. [制限付きサービス] ペインで [サービスを追加] をクリックします。
2. [制限するサービスを指定] ダイアログで、境界内で保護するサービスとして [Cloud AI Companion API] を選択します。
  
  注: Google Cloud サービスからデータが引き出されるリスクを軽減するため、境界を作成するときはすべてのサービスを制限することをおすすめします。
3. [n 個のサービスを追加] をクリックします。ここで、n は、前の手順で選択したサービスの数です。
省略可：開発者が IDE の Cloud Code プラグインから境界内で Gemini を使用できるようにする場合、[制限付きサービス] リストに Cloud Code API を追加し、上り（内向き）ポリシーを構成する必要があります。

Gemini 用の VPC Service Controls を有効にすると、境界外のマシン（会社のノートパソコンなど）から Cloud Code IDE 拡張機能を実行するなど、境界外からのアクセスがすべて拒否されます。したがって、Gemini を Cloud Code プラグインとともに使用するには、これらの手順が必要になります。
1. [制限付きサービス] ペインで [サービスを追加] をクリックします。
2. [制限するサービスを指定] ダイアログで、境界内で保護するサービスとして [Cloud Code API] を選択します。
3. [n 個のサービスを追加] をクリックします。ここで、n は、前の手順で選択したサービスの数です。
4. [上り（内向き）ポリシー] をクリックします。
5. [上り（内向き）ルール] ペインで、[ルールの追加] をクリックします。
6. [API クライアントの属性から] で、アクセスを必要とする境界外部のソースを指定します。ソースとしてプロジェクト、アクセスレベル、VPC ネットワークを指定できます。
7. [Google Cloud リソース / サービスの属性へ] で、Gemini のサービス名と Cloud Code API を指定します。
  
  上り（内向き）ルールの属性のリストについては、上り（内向き）ルールのリファレンスをご覧ください。
省略可: 組織で Access Context Manager を使用していて、境界の外部から保護されたリソースへのアクセスをデベロッパーに許可する場合は、アクセスレベルを設定します。
1. [アクセスレベル] をクリックします。
2. [上り（内向き）ポリシー: アクセスレベル] ペインで、[アクセスレベルを選択] フィールドを選択します。
3. 境界に適用するアクセスレベルのチェックボックスを選択します。
[保存] をクリックします。

これらの手順を完了すると、VPC Service Controls は Cloud AI Companion API に対するすべての呼び出しを調べて、これらが同じ境界内から発信されていることを確認します。

VPC ネットワークの構成

通常の googleapis.com 仮想 IP に送信されたリクエストが、制限付き仮想 IP（VIP）範囲、（199.36.153.4/30）、（restricted.googleapis.com）に自動的にルーティングされるように VPC ネットワークを構成する必要があります。ここで Gemini サービスが提供されます。Cloud Code IDE 拡張機能の構成を変更する必要はありません。

プロジェクト内の各 VPC ネットワークで、制限付きの VIP 範囲へのトラフィック以外の送信トラフィックをブロックする手順は次のとおりです。

VPC ネットワークリソースをホストするサブネットで限定公開の Google アクセスを有効にします。
ファイアウォールルールの構成を行い、VPC ネットワークの外部へデータが送信されるのを防ぎます。

注意: ファイアウォールルールを正しく構成しないと、サービスがデータの引き出しに対して脆弱になります。
1. すべての送信トラフィックをブロックする下り（外向き）拒否ルールを作成します。
  
  注: すべての下り（外向き）を拒否するファイアウォールルールの優先度が 1000 以降であることを確認します。それ以外の場合は、サーバーレス VPC アクセスコネクタからサービスへのトラフィックがブロックされます。
2. TCP ポート 443 で 199.36.153.4/30 へのトラフィックを許可する、下り（外向き）許可ルールを作成します。下り（外向き）許可ルールには、先ほど作成した下り（外向き）拒否ルールよりも優先する優先度を設定します。これにより、制限付き VIP 範囲への下り（外向き）のみが許可されます。
Cloud DNS のレスポンスポリシーを作成します。
レスポンスポリシーのルールを作成して、次の値を使用して *.googleapis.com を restricted.googleapis.com に解決します。
- DNS 名: *.googleapis.com.
- ローカルデータ: restricted.googleapis.com.
- レコードタイプ: A
- TTL: 300
- RR データ：199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
  
  restricted.googleapis.com の IP アドレス範囲は 199.36.153.4/30 です。

これらの手順を完了すると、VPC ネットワーク内から発信されたリクエストは VPC ネットワークを離れることができず、サービス境界外への下り（外向き）通信を防ぎます。これらのリクエストは、VPC Service Controls をチェックする Google API とサービスにのみ到達できるため、Google API を介したデータの引き出しが防止されます。

その他の構成

Gemini で使用する Google Cloud プロダクトに応じて、次の点に留意する必要があります。

境界に接続されたクライアントマシン。VPC Service Controls の境界内にあるマシンは、すべての Gemini エクスペリエンスにアクセスできます。また、外部ネットワークから承認済みの Cloud VPN または Cloud Interconnect に境界を拡張することもできます。
境界外のクライアントマシン。クライアントマシンがサービス境界外にある場合は、制限付き Gemini サービスへの制御されたアクセス権を付与することができます。
- 詳細については、保護されたリソースへの境界外部からのアクセスの許可をご覧ください。
- 企業ネットワークでアクセスレベルを作成する方法の例については、企業ネットワークでアクセスを制限するをご覧ください。
- Gemini で VPC Service Controls を使用する場合の制限事項を確認します。
Gemini Code Assist。VPC Service Controls を遵守するために、使用している IDE またはワークステーションがファイアウォールポリシーを介して https://www.google.com/tools/feedback/mobile にアクセスできないことを確認します。
Cloud Workstations。Cloud Workstations を使用する場合は、VPC Service Controls と限定公開クラスタの構成の手順に従ってください。

次のステップ

Google Cloud のコンプライアンスサービスについては、コンプライアンスリソースセンターをご覧ください。