VPC Service Controls を使用すると、Google Cloud リソースを囲む境界線となる境界を作成できます。その後、サポートされるサービスに境界外からアクセスできないようにするセキュリティ ポリシーを定義できます。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
VPC Service Controls を使用して、次の Policy Intelligence API を保護できます。
- Policy Troubleshooter API
- Policy Simulator API
Policy Troubleshooter API の保護を支援する
VPC Service Controls を使用してポリシーのトラブルシューティングを保護できます。
Policy Troubleshooter API を境界で制限する場合、リクエストに関連するすべてのリソースが同じ境界内にある場合にのみ、プリンシパルが IAM 許可ポリシーをトラブルシューティングできます。トラブルシューティング リクエストには、通常、次に示す 2 つのリソースが含まれます。
アクセス権のトラブルシューティングを行うリソース。 このリソースは任意の型を指定できます。このリソースは、IAM ポリシーのトラブルシューティングで明示的に指定します。
アクセスのトラブルシューティングに使用するリソース。 このリソースは、プロジェクト、フォルダ、または組織である必要があります。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、
x-goog-user-projectヘッダーを使用してこのリソースを指定します。このリソースは、アクセス権のトラブルシューティングを行うリソースと同じにすることもできますが、必ずしも同じである必要はありません。
これらのリソースが同じ境界内にない場合、リクエストは失敗します。
VPC Service Controls と Policy Troubleshooter の仕組みの詳細については、VPC Service Controls でサポートされるプロダクトの表への Policy Troubleshooter のエントリをご覧ください。
Policy Simulator API の保護を支援する
Policy Simulator API を境界で制限する場合、シミュレーションに関連する特定のリソースが同じ境界内にある場合にのみ、プリンシパルが許可ポリシーをシミュレートできます。シミュレーションには、いくつかのリソースが含まれます。
許可ポリシーをシミュレーションするリソース。このリソースは、ターゲット リソースとも呼ばれます。Google Cloud コンソールでは、これは許可ポリシーを編集するリソースです。gcloud CLI と REST API では、許可ポリシーをシミュレートするときに、このリソースを明示的に指定します。
シミュレーションを作成して実行するプロジェクト、フォルダ、または組織。このリソースは、ホストリソースとも呼ばれます。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、
x-goog-user-projectヘッダーを使用してこのリソースを指定します。このリソースは、ターゲット リソースと同じリソースを指定できますが、必ずしも同じである必要はありません。
シミュレーションでアクセスログを提供するリソース。シミュレーションでは、シミュレーションのアクセスログを提供するリソースが必ず 1 つあります。このリソースは、ターゲットのリソースタイプによって異なります。
- プロジェクトまたは組織の許可ポリシーをシミュレートする場合は、Policy Simulator が対象のプロジェクトまたは組織のアクセスログを取得します。
- 別の種類のリソースに対して許可ポリシーをシミュレートする場合は、Policy Simulator が対象のリソースの親プロジェクトまたは組織のアクセスログを取得します。
- 複数のリソースの許可ポリシーを一度にシミュレートする場合、Policy Simulator は、リソースに最も近い共通のプロジェクトまたは組織のアクセスログを取得します。
サポートされているすべてのリソース(関連する許可ポリシー)Policy Simulator は、シミュレーションを実行するときに、ターゲット リソースの祖先リソースと子孫リソースの許可ポリシーを含めて、ユーザーのアクセス権に影響を与える可能性のあるすべての許可ポリシーを考慮します。その結果、これらの祖先と子孫リソースはシミュレーションにも関与します。
ターゲット リソースとホストリソースが同じ境界内にない場合、リクエストは失敗します。
ターゲット リソースとシミュレーションのアクセスログを提供するリソースが同じ境界内にない場合、リクエストは失敗します。
ターゲット リソースと、関連する許可ポリシーでサポートされているリソースが同じ境界内にない場合、リクエストは成功しますが、結果は不完全になる可能性があります。たとえば、境界内のプロジェクトのポリシーをシミュレートする場合、組織は常に VPC Service Controls 境界の外部にあるため、結果にはプロジェクトの親組織の許可ポリシーは含まれません。完全な結果を得るには、境界の上り(内向き)ルールと下り(外向き)ルールを構成します。
VPC Service Controls と Policy Simulator の仕組みの詳細については、VPC Service Controls でサポートされるプロダクトの表への Policy Simulator のエントリをご覧ください。
次のステップ
- サービス境界の作成方法を学習する。