VPC Service Controls を使用すると、Google Cloud サービスからデータが漏洩するリスクを軽減する能力を向上できます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護するサービス境界を作成できます。
Looker(Google Cloud コア)サービスを VPC Service Controls サービス境界に追加するには、サービス境界の作成ドキュメント ページのサービス境界の作成方法に関する手順に沿って、[制限するサービスの指定] ダイアログで [Looker(Google Cloud Core)] を選択します。VPC Service Controls の使用方法については、VPC Service Controls の概要ドキュメント ページをご覧ください。
VPC Service Controls は、次の 2 つの条件を満たす Looker(Google Cloud コア)インスタンスをサポートしています。
- インスタンスのエディションは、Enterprise または Embed にする必要がある。
- インスタンスのネットワーク構成では、プライベート IP のみを使用する必要がある。
必要なロール
VPC Service Controls の設定に必要な IAM ロールについては、VPC Service Controls のドキュメントの IAM によるアクセス制御ページをご覧ください。
デフォルト ルートの削除
Looker(Google Cloud コア)インスタンスが VPC Service Controls の境界内または VPC Service Controls の境界内のプロジェクト内に作成されている場合は、インターネットへのデフォルト ルートを削除する必要があります。
インターネットへのデフォルト ルートを削除するには、次のいずれかのオプションを選択します。
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=NETWORK --service=servicenetworking.googleapis.com
NETWORK は、Looker(Google Cloud コア)インスタンスの VPC ネットワークに置き換えます。
詳細については、gcloud services vpc-peerings enable-vpc-service-controls のドキュメントのページをご覧ください。
REST
HTTP メソッドと URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
JSON 本文のリクエスト:
{
"consumerNetwork": NETWORK
}
NETWORK は、Looker(Google Cloud コア)インスタンスの VPC ネットワークに置き換えます。
詳細については、Method: services.enableVpcServiceControls のドキュメントのページをご覧ください。
VPC Service Controls の境界外のリソースまたはサービスへの接続
別の Google Cloud リソースまたはサービスに接続するには、リソースが存在するプロジェクトが VPC Service Controls の境界外にある場合、上り(内向き)ルールと下り(外向き)ルールを設定する必要がある場合があります。
他の外部リソースへのアクセスについては、Looker(Google Cloud コア)によるプライベート IP ネットワーキング ドキュメント ページで、接続するリソースの種類に応じた手順をご覧ください。
境界への CMEK 鍵の追加
顧客管理の暗号鍵(CMEK)で有効になっている Looker(Google Cloud コア)インスタンスが、別の Google Cloud プロジェクトで Cloud KMS 鍵でホストされている場合があります。このシナリオでは、VPC Service Controls を有効にするときに、KMS 鍵ホスティング プロジェクトをセキュリティ境界に追加する必要があります。