VPC Service Controls を使用すると、Google マネージド サービスからのデータの不正コピーや転送のリスクを軽減できます。
VPC Service Controls を使用すると、Google マネージド サービスのリソースにサービス境界を構成し、境界をまたがるデータの移動を制御できます。
サービス境界を作成する
サービス境界を作成するには、VPC Service Controls ガイドに従ってサービス境界を作成します。
サービス境界を設計するときは、次のサービスを含めます。
- Migration Center API(
migrationcenter.googleapis.com
) - RMA API(
rapidmigrationassessment.googleapis.com
) - Cloud Storage API(
storage.googleapis.com
) - Resource Manager API(
cloudresourcemanager.googleapis.com
) - Cloud Logging API(
logging.googleapis.com
)
受信データ転送ルールでトラフィックを許可する
デフォルトでは、サービス境界は境界外のサービスからの受信データ転送を防止するように設計されています。データ インポートを使用して境界外からデータをアップロードする場合や、ディスカバリー クライアントを使用してインフラストラクチャ データを収集する場合は、これを許可するようにデータアクセス ルールを構成します。
データ インポートを有効にする
データのインポートを有効にするには、次の構文を使用して受信データ転送ルールを指定します。
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
以下を置き換えます。
SERVICE_ACCOUNT
: Migration Center にデータをアップロードするために使用するプロダクトごと、プロジェクトごとのサービス アカウント。service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.
形式を使用します。ここで、
PROJECT_NUMBER
は、Migration Center API を有効にした Google Cloud プロジェクトの固有識別子です。プロジェクト番号の詳細については、プロジェクトの識別をご覧ください。PROJECT_ID
: データをアップロードする境界内のプロジェクトの ID。
署名付き URL で ANY_SERVICE_ACCOUNT
と ANY_USER_ACCOUNT
の ID タイプを使用することはできません。詳しくは、境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。
ディスカバリー クライアントでデータ収集を有効にする
ディスカバリー クライアントでのデータ収集を有効にするには、次の構文で受信データ転送ルールを指定します。
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
以下を置き換えます。
SERVICE_ACCOUNT
: ディスカバリー クライアントの作成に使用したサービス アカウント。詳細については、ディスカバリー クライアントのインストール プロセスをご覧ください。PROJECT_ID
: データをアップロードする境界内のプロジェクトの ID。
制限事項
サービス境界を有効にする場合、次の制限が適用されます。
StratoZone
StratoZone は VPC Service Controls に準拠していません。サービス境界の作成後に StratoZone と Migration Center のインテグレーションを有効にしようとすると、エラーが発生します。
ただし、サービス境界を作成する前に StratoZone のインテグレーションを有効にした場合、StratoZone およびすでに収集されたデータには引き続きアクセスできますが、移行センターから StratoZone に新しいデータが送信されることはありません。