VPC Service Controls を使用すると、Google Cloud サービスからデータが漏洩するリスクを軽減する能力を向上できます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護するサービス境界を作成できます。
Looker(Google Cloud コア)サービスを VPC Service Controls サービス境界に追加するには、サービス境界の作成ドキュメント ページのサービス境界の作成方法に関する手順に沿って、[制限するサービスの指定] ダイアログで [Looker(Google Cloud Core)] を選択します。VPC Service Controls の使用方法については、VPC Service Controls の概要ドキュメント ページをご覧ください。
VPC Service Controls は、次の 2 つの条件を満たす Looker(Google Cloud コア)インスタンスをサポートしています。
- インスタンスのエディションは、Enterprise または Embed にする必要がある。
- インスタンスのネットワーク構成では、プライベート IP のみを使用する必要がある。
デフォルト ルートの削除
Looker(Google Cloud コア)インスタンスが VPC Service Controls の境界内または VPC Service Controls の境界内のプロジェクト内に作成されている場合は、次のコマンドを実行してインターネットへのデフォルト ルートを削除します。
gcloud
gcloud services vpc-peerings enable-vpc-service-controls --network=network --service=servicenetworking.googleapis.com
詳細については、gcloud services vpc-peerings enable-vpc-service-controls のドキュメントのページをご覧ください。
REST
HTTP メソッドと URL:
PATCH https://servicenetworking.googleapis.com/v1/{parent=services/*}:enableVpcServiceControls
JSON 本文のリクエスト:
{
"consumerNetwork": network
}
詳細については、Method: services.enableVpcServiceControls のドキュメントのページをご覧ください。
外部サービスへの接続
境界内の Looker(Google Cloud コア)インスタンスを外部リソースに接続するには、プライベート IP Looker(Google Cloud コア)インスタンスを構成するドキュメント ページの接続先のリソースの種類に応じた手順に従います。
境界に CMEK 鍵を追加する
顧客管理の暗号鍵(CMEK)で有効になっている Looker(Google Cloud コア)インスタンスが、別の Google Cloud プロジェクトで Cloud KMS 鍵でホストされている場合があります。このシナリオでは、VPC Service Controls を有効にするときに、KMS 鍵ホスティング プロジェクトをセキュリティ境界に追加する必要があります。