上り(内向き)と下り(外向き)のポリシーの構成

このページでは、VPC Service Controls の境界に上り(内向き)と下り(外向き)のポリシーを構成する方法について説明します。

上り(内向き)と下り(外向き)のポリシーは、既存の境界に構成することも、境界の作成時に追加することもできます。

サービス境界の上り(内向き)と下り(外向き)のポリシーを更新する

Console

  1. Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] ページに移動

  2. 既存のサービス境界を選択します。

  3. [境界を編集] をクリックします。

  4. 左側のメニューで [上り(内向き)ポリシー] または [下り(外向き)ポリシー] をクリックします。

  5. API クライアントの From 属性Google Cloud リソース / サービスの To 属性を指定します。

    • 下り(外向き)ルールの属性の一覧については、下り(外向き)ルールのリファレンスをご覧ください。YAML 属性のリファレンスは、Google Cloud コンソールと同じ属性を記述しますが、Google Cloud コンソールではわずかに異なる名前が使用されます。

  6. [保存] をクリックします。

gcloud

境界ポリシーを更新するには、次のいずれかのコマンドを実行します。variables は、適切な値に置き換えます。

gcloud access-context-manager perimeters update PERIMETER_NAME --set-ingress-policies=INGRESS-FILENAME.yaml

gcloud access-context-manager perimeters update PERIMETER_NAME --set-egress-policies=EGRESS-FILENAME.yaml

次に例を示します。

gcloud access-context-manager perimeters update my-perimeter --set-ingress-policies=my-ingress-rule.yaml

境界の作成中に上り(内向き)と下り(外向き)のポリシーを設定する

Console

  1. Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] ページに移動

  2. [新しい境界] をクリックします。

  3. 左側のメニューで [上り(内向き)ポリシー] または [下り(外向き)ポリシー] をクリックします。

  4. [ルールの追加] をクリックします。

  5. API クライアントの From 属性Google Cloud リソース / サービスの To 属性を指定します。

    • 下り(外向き)ルールの属性の一覧については、下り(外向き)ルールのリファレンスをご覧ください。YAML 属性のリファレンスは、Google Cloud コンソールと同じ属性を記述しますが、Google Cloud コンソールではわずかに異なる名前が使用されます。

  6. [境界を作成] をクリックします。

gcloud

境界の作成中に次のコマンドを実行して、上り(内向き) / 下り(外向き)ポリシーを作成します。

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --ingress-policies=INGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

gcloud access-context-manager perimeters create PERIMETER_NAME --title=TITLE --egress-policies=-EGRESS-FILENAME.yaml --restricted-services=SERVICE --resources="projects/PROJECT"

次に例を示します。

gcloud access-context-manager perimeters create my-perimeter --title=perimeter-for-project-1 --ingress-policies=my-ingress-rule.yaml --restricted-services=storage.googelapis.com --resources="projects/myproject"