VPC Service Controls で cron ジョブを保護する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

VPC Service Controls は、Google Cloud の機能で、データ漏洩を防ぐためのセキュアな境界を設定できます。このガイドでは、VPC Service Controls の境界に Cloud Scheduler ジョブを含める方法について説明します。

制限事項

Cloud Scheduler と VPC Service Controls の統合には、次の制限事項があります。

  • Pub/Sub ターゲットのみをサポート

互換性のあるターゲットを許可リストに登録する

(推奨)。VPC Service Controls と Cloud Scheduler の統合は Pub/Sub ターゲットを使用したジョブのみをサポートし、他のターゲットを持つジョブを試行するとエラーが発生します。他のターゲット(App Engine や HTTP など)を含むジョブが実行されないようにするため、組織のポリシー管理者は Google Cloud プロジェクト、フォルダ、組織のレベルで組織のポリシーを設定できます。組織のポリシーのレベルの詳細については、階層評価についてをご覧ください。

設定したポリシーは、過去にさかのぼって適用されることはありません。一般に、ポリシー値が更新されても、既存のジョブは影響を受けません。例外は、ターゲット タイプが後で更新される既存のジョブです。許可されるターゲット タイプのポリシーを更新した後、ジョブのターゲット タイプを更新すると、そのポリシーが適用されます。

デフォルトでは、ポリシーが設定されていない場合、すべてのターゲット タイプが許可されます。VPC Service Controls と互換性のあるターゲットのみを許可リストに登録するには、次の手順を行います。

  1. 次の Identity and Access Management(IAM)のロールがあることを確認します。

    • 組織ポリシー管理者roles.orgpolicy.policyAdmin)。組織のポリシーの作成に必要です。

  2. Google Cloud Console で、[組織のポリシー] に移動します。

    [組織のポリシー] に移動

  3. フィルタで、「ジョブに許可されるターゲット タイプ」と入力してこのポリシーを選択し、詳細ページに移動します。

  4. [Edit] アイコンをクリックします。

  5. [Rules] の下にある [Add rule] に移動し、次のようにフィールドに入力します。

    • ポリシーの値: Custom
    • ポリシータイプ: Allow
    • カスタム値: PUBSUB

  6. [完了] をクリックします。

  7. [保存] をクリックします。

必要な IAM ロールを追加する

必須。VPC Service Controls を使用するには、Cloud Scheduler サービス アカウントに Cloud Scheduler Service Agent の IAM ロールが必要です。プロジェクトに対して Cloud Scheduler サービス アカウントが自動的に作成されます。Cloud Scheduler サービス エージェントに IAM ロールがあることを確認する場合、またはこのロールを付与する場合は、次の手順に従います。

  1. Google Cloud Console で [IAM] に移動します。

    IAM に移動

  2. [Google 提供のロール付与を含みます] チェックボックスをオンにします。

  3. フィルタに「Cloud Scheduler Service Account」と入力し、このプリンシパルを選択します。

  4. Cloud Scheduler サービス アカウント プリンシパルの [役割] 列を確認します。次のロールが一覧表示される場合は、続行できます。

    • Cloud Scheduler サービス エージェント

    Cloud Scheduler サービス アカウントの役割が表示されていない場合は、[編集] アイコンをクリックして Cloud Scheduler Service Agent の役割を Cloud Scheduler サービス アカウント プリンシパルに付与します。

VPC Service Controls の境界を指定する

必須。既存の境界を使用するか、新しい境界を作成して、Pub/Sub ターゲットを持つ Cloud Scheduler ジョブを保護できます。どちらの方法でも、制限するサービスを指定できます。Cloud Scheduler API を指定します。

  • 既存の境界: 既存の VPC Service Controls 境界を更新して Cloud Scheduler を含めるには、サービス境界の更新の手順に従います。

  • 新しい境界: Cloud Scheduler の新しい境界を作成するには、サービス境界の作成の手順に従います。