このドキュメントでは、Google Cloud の AI を活用したコラボレーターである Duet AI をサポートするように VPC Service Controls を構成する方法について説明します。この構成を完了するには、次の手順を行います。
組織のサービス境界を更新して、Duet AI を含めます。 このドキュメントは、組織レベルでサービス境界がすでに存在することを前提としています。サービス境界の詳細については、サービス境界の詳細と構成をご覧ください。
Duet AI へのアクセスを有効にしたプロジェクトで、制限付き VIP 範囲へのトラフィック以外の送信トラフィックをブロックするように VPC ネットワークを構成します。
準備
- Duet AI が Google Cloud ユーザー アカウントとプロジェクト用に設定されていることを確認します。
VPC Service Controls の設定と管理に必要な Identity and Access Management(IAM)のロールがあることを確認してください。
組織レベルで Duet AI の設定に使用できるサービス境界があることを確認します。このレベルでサービス境界がない場合は、サービス境界を作成できます。
サービス境界に Duet AI を追加する
VPC Service Controls を Duet AI で使用するには、組織レベルでサービス境界に Duet AI を追加します。サービス境界には、Duet AI で使用するすべてのサービスと、保護するほかの Google Cloud サービスを含める必要があります。
サービス境界に Duet AI を追加する手順は次のとおりです。
Google Cloud コンソールで、[VPC Service Controls] ページに移動します。
組織を選択する。
[VPC Service Controls] ページで、境界の名前をクリックします。
[リソースを追加] をクリックして、次の操作を行います。
Duet AI を有効にしたプロジェクトごとに、[リソースを追加] ペインで [プロジェクトを追加] をクリックし、次の操作を行います。
[プロジェクトを追加] ダイアログで、追加するプロジェクトを選択します。
共有 VPC を使用している場合は、ホスト プロジェクトとサービス プロジェクトをサービス境界に追加します。
[Add selected resources] をクリックします。追加されたプロジェクトが [プロジェクト] セクションに表示されます。
プロジェクト内の VPC ネットワークごとに、[リソースを追加] ペインで [VPC ネットワークを追加] をクリックし、次の操作を行います。
プロジェクトのリストで、VPC ネットワークを含むプロジェクトをクリックします。
[リソースを追加] ダイアログで、VPC ネットワークのチェックボックスをオンにします。
[Add selected resources] をクリックします。追加したネットワークが [VPC ネットワーク] セクションに表示されます。
[制限付きサービス] をクリックして、次の操作を行います。
[制限付きサービス] ペインで [サービスを追加] をクリックします。
[制限するサービスを指定] ダイアログで、境界内で保護するサービスとして [Duet AI] を選択します。
[n 個のサービスを追加] をクリックします。ここで、n は、前の手順で選択したサービスの数です。
省略可: デベロッパーが IDE の Cloud Code プラグインから境界内で Duet AI を使用する必要がある場合は、上り(内向き)ポリシーを構成します。
Duet AI の VPC Service Controls を有効にすると、境界外のマシン(会社のノートパソコンなど)から Cloud Code IDE 拡張機能を実行するなど、境界外からのアクセスがすべて拒否されます。したがって、Cloud Code プラグインで Duet AI を使用する場合は、上り(内向き)ポリシーを構成する必要があります。
[上り(内向き)ポリシー] をクリックします。
[上り(内向き)ルール] ペインで、[ルールの追加] をクリックします。
[API クライアントの属性から] で、アクセスが必要な境界の外部にあるソースを指定します。ソースとしてプロジェクト、アクセスレベル、VPC ネットワークを指定できます。
[Google Cloud リソース / サービスの属性へ] で、Duet AI のサービス名を指定します。
上り(内向き)ルールの属性のリストについては、上り(内向き)ルールのリファレンスをご覧ください。
省略可: 組織で Access Context Manager を使用していて、デベロッパーが境界の外部から保護されたリソースにアクセスできるようにする場合は、アクセスレベルを設定します。
[アクセスレベル] をクリックします。
[上り(内向き)ポリシー: アクセスレベル] ペインで、[アクセスレベルを選択] フィールドを選択します。
境界に適用するアクセスレベルのチェックボックスを選択します。
[保存] をクリックします。
これらの手順を完了すると、VPC Service Controls は、Duet AI API のすべての呼び出しが同じ境界内で発生しているかを確認します。
VPC ネットワークの構成
通常の googleapis.com
仮想 IP に送信されたリクエストが、制限付き仮想 IP(VIP)範囲、(199.36.153.4/30
)、(restricted.googleapis.com
)に自動的にルーティングされるように VPC ネットワークを構成する必要があります。ここで Duet AI サービスが提供されます。Cloud Code IDE 拡張機能の構成を変更する必要はありません。
プロジェクト内の各 VPC ネットワークで、制限付きの VIP 範囲へのトラフィック以外の送信トラフィックをブロックする手順は次のとおりです。
VPC ネットワーク リソースをホストするサブネットで限定公開の Google アクセスを有効にします。
ファイアウォール ルールの構成を行い、VPC ネットワークの外部へデータが送信されるのを防ぎます。
すべての送信トラフィックをブロックする下り(外向き)拒否ルールを作成します。
TCP ポート
443
で199.36.153.4/30
へのトラフィックを許可する、下り(外向き)許可ルールを作成します。先ほど作成した下り(外向き)拒否ルールよりも、下り(外向き)許可ルールに優先値が設定されていることを確認してください。これにより、制限付き VIP 範囲へのみ下り(外向き)が許可されます。
レスポンス ポリシーのルールを作成して、次の値で
*.googleapis.com
をrestricted.googleapis.com
に解決します。DNS 名:
*.googleapis.com.
ローカルデータ:
restricted.googleapis.com.
レコードタイプ:
A
TTL:
300
RR データ:
199.36.153.4|199.36.153.5|199.36.153.6|199.36.153.7
restricted.googleapis.com
の IP アドレス範囲は199.36.153.4/30
です。
これらの手順を完了すると、VPC ネットワーク内で発生したリクエストが VPC ネットワークを離れることができなくなり、サービス境界外への下り(外向き)通信を防ぎます。これらのリクエストは、VPC Service Controls をチェックする Google API とサービスにのみ到達するため、Google API を介したデータの引き出しが発生しません。
その他の構成
Duet AI で使用する Google Cloud プロダクトに応じて、次の点を考慮する必要があります。
境界に接続されたクライアント マシン。VPC Service Controls の境界内のマシンは、すべての Duet AI エクスペリエンスにアクセスできます。この境界は、外部ネットワークから承認済みの Cloud VPN または Cloud Interconnect に拡張することもできます。
境界外のクライアント マシン。クライアント マシンがサービス境界外にある場合は、制限付き Duet AI サービスへの制御されたアクセス権を付与することができます。
詳細については、保護されたリソースへの境界外部からのアクセスの許可をご覧ください。
企業ネットワークにアクセスレベルを作成する例については、企業ネットワークへのアクセスを制限するをご覧ください。
Duet AI で VPC Service Controls を使用する際の、制限事項を確認します。
Duet AI for Developers。VPC Service Controls を遵守するには、使用している IDE またはワークステーションがファイアウォール ポリシーを介して
https://www.google.com/tools/feedback/mobile
にアクセスできないことを確認してください。Cloud Workstations。Cloud Workstations を使用している場合は、VPC Service Controls と限定公開クラスタの構成の手順に沿って操作してください。
次のステップ
- Google Cloud のコンプライアンス サービスについては、コンプライアンス リソース センターをご覧ください。