このページでは、組織内アクセス制限の概要とその仕組みについて説明します。
組織内アクセス制限機能を使用すると、フィッシングやインサイダー攻撃によるデータの引き出しを防ぐことができます。組織内の管理対象デバイスの場合、組織内アクセス制限機能により、承認された Google Cloud 組織内のリソースにのみアクセスが許可されます。
組織内アクセス制限の仕組み
Google Cloud では、Identity and Access Management によってリソースへのアクセスを管理します。管理者は、Identity and Access Management ポリシーを使用して、組織内のリソースにアクセスできるユーザーを管理します。組織では、従業員のアクセスを許可された Google Cloud 組織内のリソースだけに制限する必要があります。Google Cloud を管理する Google Cloud 管理者と、下り(外向き)プロキシを構成する下り(外向き)プロキシ管理者は、連携して組織内アクセス制限を設定します。
次の図では、組織内アクセス制限を適用するためのさまざまなコンポーネントの仕組みを示します。
アーキテクチャ図には、次のコンポーネントが示されています。
管理対象デバイス: 会社の組織のポリシーによって管理されるデバイス。組織の従業員は、管理対象のデバイスを使用して組織のリソースにアクセスします。
下り(外向き)プロキシ: 下り(外向き)プロキシ管理者は、管理対象デバイスから送信されたリクエストに組織内アクセス制限ヘッダーを追加するようにプロキシを構成します。このプロキシ構成は、未承認の Google Cloud 組織の Google Cloud リソースにユーザーがアクセスできないようにします。
Google Cloud: Google Cloud の組織内アクセス制限機能は、組織内アクセス制限ヘッダーに対するすべてのリクエストを検査し、アクセスされる組織に基づいてリクエストを許可または拒否します。
一般的なユースケース
一般的な組織内アクセス制限のユースケースは次のとおりです。
従業員が他の組織ではなく Google Cloud 組織内のリソースのみにアクセスできるように、組織の従業員へのアクセスを制限します。
従業員に Cloud Storage リソースからの読み取りを許可しますが、従業員のアクセスは Google Cloud 組織内のリソースのみに制限します。
Google Cloud 組織に加えて、従業員が、ベンダーの Google Cloud 組織にアクセスできるようにする。
これらのユースケースを実装するには、Google Cloud を管理する Google Cloud 管理者と、下り(外向き)プロキシを構成する下り(外向き)プロキシ管理者の関与が必要です。
次のステップ
- 組織内アクセス制限の構成について学ぶ。
- 組織内アクセス制限でサポートされているサービスについて学ぶ。