ドライラン構成の管理

このページでは、サービス境界のドライラン構成を管理する方法について説明します。サービス境界の管理については、サービス境界の管理をご覧ください。

始める前に

ドライラン構成の適用

サービス境界のドライラン構成が完成したら、その構成を適用できます。ドライラン構成が適用されると、境界の現在の構成(存在する場合)が置き換えられます。境界に適用済みのバージョンが存在しない場合は、その境界で最初に適用される構成としてドライラン構成が使用されます。

サービス境界の更新後、変更が反映されて有効になるまでに 30 分ほどかかる場合があります。

Console

  1. Google Cloud Console のナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] ページに移動

  2. [VPC Service Controls] ページの上部にある [ドライラン モード] をクリックします。

  3. サービス境界のリストで、適用するサービス境界の名前をクリックします。

  4. [VPC のサービス境界の詳細] ページの [ドライラン構成] セクションで、[適用] をクリックします。

  5. 既存の適用された構成を上書きするか確認するよう求められたら、[適用] をクリックします。

gcloud

gcloud コマンドライン ツールを使用して、個々の境界およびすべての境界に同時にドライラン構成を適用できます。

1 つのドライラン構成を適用する

単一の境界に対してドライラン構成を適用するには、dry-run enforce コマンドを使用します。

gcloud access-context-manager perimeters dry-run enforce PERIMETER_NAME \
  [--policy=POLICY_NAME]

ここで

  • PERIMETER_NAME は、詳細を表示するサービス境界の名前です。

  • POLICY_NAME は組織のアクセス ポリシーの名前です。この値は、デフォルトのアクセス ポリシーを設定していない場合にのみ必要です。

すべてのドライラン構成を適用する

すべての境界のドライラン構成を適用するには、dry-run enforce-all コマンドを使用します。

gcloud access-context-manager perimeters dry-run enforce-all \
  [--etag=ETAG]
  [--policy=POLICY_NAME]

ここで

  • PERIMETER_NAME は、詳細を表示するサービス境界の名前です。

  • ETAG は、組織のアクセス ポリシーのターゲット バージョンを表す文字列です。etag を含めない場合、enforce-all オペレーションは組織のアクセス ポリシーの最新バージョンを対象とします。

    アクセス ポリシーの最新の etag を取得するには、list アクセス ポリシーをご覧ください。

  • POLICY_NAME は組織のアクセス ポリシーの名前です。この値は、デフォルトのアクセス ポリシーを設定していない場合にのみ必要です。

API

すべての境界にドライラン構成を適用するには、accessPolicies.servicePerimeters.commit を呼び出します。

ドライランの構成の更新

ドライラン構成を更新するときは、サービスのリスト、プロジェクト、VPC のアクセス可能なサービスなど、境界の機能を変更できます。

サービス境界の更新後、変更が反映されて有効になるまでに 30 分ほどかかる場合があります。

Console

  1. Google Cloud Console のナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。

    [VPC Service Controls] ページに移動

  2. [VPC Service Controls] ページの上部にある [ドライラン モード] をクリックします。

  3. サービス境界のリストで、編集するサービス境界の名前をクリックします。

  4. [VPC のサービス境界の詳細] ページの [ドライラン構成] セクションで、[編集] をクリックします。

  5. [VPC サービス境界の編集] ページで、サービス境界のドライラン構成を変更します。

  6. [保存] をクリックします。

gcloud

境界に新しいプロジェクトを追加するには、追加するリソースを指定して dry-run update コマンドを実行します。

gcloud access-context-manager perimeters dry-run update PERIMETER_NAME \
  --add-resources=PROJECTS \
  [--policy=POLICY_NAME]

ここで

  • PERIMETER_NAME は、詳細を表示するサービス境界の名前です。

  • PROJECTS は、1 つ以上のプロジェクト ID を含むカンマ区切りのリストです。たとえば、projects/100712 や、projects/100712,projects/233130 です。

  • POLICY_NAME は組織のアクセス ポリシーの名前です。この値は、デフォルトのアクセス ポリシーを設定していない場合にのみ必要です。

制限付きサービスのリストを更新するには、dry-run update コマンドを使用して、追加するサービスをカンマ区切りリストとして指定します。

gcloud access-context-manager perimeters dry-run update PERIMETER_ID \
  --add-restricted-services=SERVICES \
  [--policy=POLICY_NAME]

ここで

  • PERIMETER_NAME は、詳細を表示するサービス境界の名前です。

  • SERVICES は、1 つ以上のサービスを含むカンマ区切りのリストです。たとえば、storage.googleapis.com や、storage.googleapis.com,bigquery.googleapis.com です。

  • POLICY_NAME は組織のアクセス ポリシーの名前です。この値は、デフォルトのアクセス ポリシーを設定していない場合にのみ必要です。