サービス境界を使用してデータを保護する

VPC Service Controls を使用すると、Google マネージド サービスからのデータの不正コピーや転送のリスクを軽減できます。

VPC Service Controls を使用すると、Google マネージド サービスのリソースにサービス境界を構成し、境界をまたがるデータの移動を制御できます。

サービス境界を作成する

サービス境界を作成するには、VPC Service Controls ガイドに従ってサービス境界を作成します。

サービス境界を設計するときは、次のサービスを含めます。

  • Migration Center API(migrationcenter.googleapis.com
  • RMA API(rapidmigrationassessment.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Resource Manager API(cloudresourcemanager.googleapis.com
  • Cloud Logging API(logging.googleapis.com

受信データ転送ルールでトラフィックを許可する

デフォルトでは、サービス境界は境界外のサービスからの受信データ転送を防止するように設計されています。データ インポートを使用して境界外からデータをアップロードする場合や、ディスカバリー クライアントを使用してインフラストラクチャ データを収集する場合は、これを許可するようにデータアクセス ルールを構成します。

データ インポートを有効にする

データのインポートを有効にするには、次の構文を使用して受信データ転送ルールを指定します。

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: google.storage.buckets.testIamPermissions
      - method: google.storage.objects.create
    resources:
    - projects/PROJECT_ID

以下を置き換えます。

  • SERVICE_ACCOUNT: Migration Center にデータをアップロードするために使用するプロダクトごと、プロジェクトごとのサービス アカウント。service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com. 形式を使用します。

    ここで、PROJECT_NUMBER は、Migration Center API を有効にした Google Cloud プロジェクトの固有識別子です。プロジェクト番号の詳細については、プロジェクトの識別をご覧ください。

  • PROJECT_ID: データをアップロードする境界内のプロジェクトの ID。

署名付き URL で ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT の ID タイプを使用することはできません。詳しくは、境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。

ディスカバリー クライアントでデータ収集を有効にする

ディスカバリー クライアントでのデータ収集を有効にするには、次の構文で受信データ転送ルールを指定します。

- ingressFrom:
    identities:
    - serviceAccount: SERVICE_ACCOUNT
    sources:
    - accessLevel: \"*\"
- ingressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECT_ID

以下を置き換えます。

制限事項

サービス境界を有効にする場合、次の制限が適用されます。

StratoZone

StratoZone は VPC Service Controls に準拠していません。サービス境界の作成後に StratoZone と Migration Center のインテグレーションを有効にしようとすると、エラーが発生します。

ただし、サービス境界を作成する前に StratoZone のインテグレーションを有効にした場合、StratoZone およびすでに収集されたデータには引き続きアクセスできますが、移行センターから StratoZone に新しいデータが送信されることはありません。