サービス境界を使用してデータを保護する

VPC Service Controls を使用すると、Google マネージド サービスからのデータの不正コピーや転送のリスクを軽減できます。

VPC Service Controls を使用すると、Google マネージド サービスのリソースにサービス境界を構成し、境界をまたがるデータの移動を制御できます。

サービス境界を作成する

サービス境界を作成するには、VPC Service Controls ガイドに従ってサービス境界を作成します。

サービス境界を設計する場合は、次のサービスを含めます。

• Migration Center API（migrationcenter.googleapis.com）
• RMA API（rapidmigrationassessment.googleapis.com）
• Cloud Storage API（storage.googleapis.com）
• Resource Manager API（cloudresourcemanager.googleapis.com）
• Cloud Logging API（logging.googleapis.com）

受信データ転送ルールでトラフィックを許可する

デフォルトでは、サービス境界は境界外のサービスからの受信データ転送を防ぐように設計されています。データ インポートを使用して境界外からデータをアップロードする場合や、ディスカバリー クライアントを使用してインフラストラクチャ データを収集する場合は、データ アクセス ルールを構成してこれを許可します。

データ インポートを有効にする

データのインポートを有効にするには、次の構文を使用して、受信データ転送ルールを指定します。

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

次のように置き換えます。

• SERVICE_ACCOUNT: 移行センターにデータをアップロードするために使用する、プロダクトごと、プロジェクトごとのサービス アカウント。形式は service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com. です。

  ここで、PROJECT_NUMBER は、Migration Center API を有効にした Google Cloud プロジェクトの一意の識別子です。プロジェクト番号の詳細については、プロジェクトの識別をご覧ください。

• PROJECT_ID: データをアップロードする境界内のプロジェクトの ID。

署名付き URL で ANY_SERVICE_ACCOUNT と ANY_USER_ACCOUNT の ID タイプを使用することはできません。詳しくは、境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。

ディスカバリー クライアントでデータ収集を有効にする

ディスカバリー クライアントでデータ収集を有効にするには、次の構文で受信データ転送ルールを指定します。

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

次のように置き換えます。

• SERVICE_ACCOUNT: ディスカバリー クライアントの作成に使用したサービス アカウント。詳細については、ディスカバリー クライアントのインストール プロセスをご覧ください。

• PROJECT_ID: データをアップロードする境界内のプロジェクトの ID。

制限事項

サービス境界を有効にする場合は、次の制限事項が適用されます。

StratoZone

StratoZone は VPC Service Controls に準拠していません。サービス境界の作成後に StratoZone と移行センターのインテグレーションを有効にしようとすると、エラーが発生します。

ただし、サービス境界を作成する前に StratoZone のインテグレーションを有効にした場合、StratoZone およびすでに収集されたデータには引き続きアクセスできますが、移行センターから StratoZone に新しいデータが送信されることはありません。

レポートのエクスポート

詳細な料金レポートのエクスポートはサービス境界でサポートされていません。