VPC Service Controls を使用すると、Google Cloud リソースを囲む境界線となる境界を作成できます。その後、サポートされるサービスに境界外からアクセスできないようにするセキュリティ ポリシーを定義できます。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
VPC Service Controls を使用すると、次の Policy Intelligence API を保護できます。
- Policy Troubleshooter API
- Policy Simulator API
Policy Troubleshooter API の保護を支援する
VPC Service Controls を使用してポリシーのトラブルシューティングを保護できます。
Policy Troubleshooter API を境界で制限する場合、プリンシパルは、リクエスト内のすべてのリソースが同じ境界内にある場合にのみ IAM ポリシーのトラブルシューティングを行うことができます。通常、トラブルシューティング リクエストには 2 つのリソースが含まれます。
アクセス権のトラブルシューティングを行うリソース。 このリソースは任意の型を指定できます。このリソースは、IAM ポリシーのトラブルシューティング時に明示的に指定します。
アクセスのトラブルシューティングに使用するリソース。 このリソースは、プロジェクト、フォルダ、または組織である必要があります。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推定されます。REST API では、
x-goog-user-projectヘッダーを使用してこのリソースを指定します。このリソースは、アクセス権のトラブルシューティングを行うリソースと同じリソースを指定できますが、必ずしも同じである必要はありません。
これらのリソースが同じ境界内にない場合、リクエストは失敗します。
VPC Service Controls と Policy Troubleshooter の仕組みの詳細については、VPC Service Controls でサポートされるプロダクトの表への Policy Troubleshooter のエントリをご覧ください。
Policy Simulator API の保護を支援する
Policy Simulator API を境界で制限する場合、プリンシパルはシミュレーションに含まれる特定のリソースが同じ境界内にある場合にのみ許可ポリシーをシミュレートできます。シミュレーションには、いくつかのリソースが関係します。
許可ポリシーをシミュレーションするリソース。このリソースは、ターゲット リソースとも呼ばれます。Google Cloud コンソールでは、これは許可ポリシーを編集するリソースです。gcloud CLI と REST API では、許可ポリシーをシミュレートするときに、このリソースを明示的に指定します。
シミュレーションを作成して実行するプロジェクト、フォルダ、または組織。このリソースは、ホストリソースとも呼ばれます。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、
x-goog-user-projectヘッダーを使用してこのリソースを指定します。このリソースは、ターゲット リソースと同じリソースにすることもできますが、必ずしも同じである必要はありません。
シミュレーションでアクセスログを提供するリソース。シミュレーションには、シミュレーションのアクセスログを提供する 1 つのリソースが常に存在します。このリソースは、ターゲット リソースタイプによって異なります。
- プロジェクトまたは組織の許可ポリシーをシミュレートする場合は、Policy Simulator が対象のプロジェクトまたは組織のアクセスログを取得します。
- 別の種類のリソースに対して許可ポリシーをシミュレートする場合は、Policy Simulator が対象のリソースの親プロジェクトまたは組織のアクセスログを取得します。
- 複数のリソースの許可ポリシーを一度にシミュレートする場合、Policy Simulator は、リソースに最も近い共通のプロジェクトまたは組織のアクセスログを取得します。
サポートされているすべてのリソース(関連する許可ポリシー)Policy Simulator は、シミュレーションを実行するときに、ターゲット リソースの祖先リソースと子孫リソースの許可ポリシーを含めて、ユーザーのアクセス権に影響を与える可能性のあるすべての許可ポリシーを考慮します。そのため、これらの祖先リソースと子孫リソースもシミュレーションに関与します。
ターゲット リソースとホストリソースが同じ境界内にない場合、リクエストは失敗します。
ターゲット リソースとシミュレーションへのアクセス ログを提供するリソースが同じ境界内にない場合、リクエストは失敗します。
ターゲット リソースと、関連する許可ポリシーでサポートされているリソースの一部が同じ境界内にない場合、リクエストは成功しますが、結果は不完全になる可能性があります。たとえば、境界内のプロジェクトのポリシーをシミュレートする場合、組織は常に VPC Service Controls 境界の外部にあるため、結果にはプロジェクトの親組織の許可ポリシーは含まれません。完全な結果を得るには、境界の上り(内向き)ルールと下り(外向き)ルールを構成します。
VPC Service Controls と Policy Simulator の仕組みの詳細については、VPC Service Controls でサポートされるプロダクトの表への Policy Simulator のエントリをご覧ください。
次のステップ
- サービス境界の作成方法を学習する。