サービス境界の詳細と構成

このページでは、サービス境界について説明し、境界を構成する手順の概要も説明します。

サービス境界について

このセクションでは、サービス境界の機能の仕組みと、自動適用モードの境界とドライラン モードの境界の違いについて詳しく説明します。

サービス境界を組織レベルで指定すると、プロジェクト内の Google Cloud サービスを保護して、データの引き出しのリスクを軽減できます。サービス境界の利点については、VPC Service Controls の概要をご覧ください。

また、境界内でホストされている VPC ネットワーク内の VM など、境界内でアクセスできるサービスは、VPC のアクセス可能なサービス機能を使用して制限できます。

VPC Service Controls の境界は、自動適用モードまたはドライラン モードで構成できます。自動適用モードの境界とドライラン モードの境界のどちらも、構成手順は同じです。ドライラン モードの境界は、境界が適用されているかのように違反をロギングしますが、制限されたサービスへのアクセスは阻止されません。

自動適用モード

自動適用モードは、サービス境界のデフォルト モードです。サービス境界が適用されると、境界外部のポリシーに違反するリクエスト(制限されたサービスへの境界外部からのリクエストなど)が拒否されます。

自動適用モードの境界は、制限されたサービスの境界を境界構成に適用することで、Google Cloud リソースを保護します。制限されたサービスへの API リクエストは、境界で必要な上り(内向き)ルールと下り(外向き)ルールの条件を満たさない限り、境界を通過しません。自動適用境界では、盗まれた認証情報、構成の誤り、プロジェクトへのアクセス権を持つ悪意のある内部関係者など、データの引き出しのリスクから保護できます。

ドライラン モード

ドライラン モードでは、境界ポリシーに違反するリクエストは拒否されず、ログに記録されます。ドライランのサービス境界は、リソースへのアクセスを妨げることなく、境界構成のテストや、サービスの使用状況のモニタリングに使用されます。一般的なユースケースの一部を次に示します。

  • 既存のサービス境界を変更した場合の影響を判断する。

  • 新しいサービス境界を追加した場合の影響をプレビューする。

  • 制限されたサービスへのサービス境界外からのリクエストをモニタリングする。たとえば、特定のサービスへのリクエストの送信元や、組織内の予期しないサービスの使用を特定します。

  • 本番環境に類似した開発環境で境界アーキテクチャを作成する。本番環境に変更を送信する前に、サービス境界に起因する問題を特定して軽減できます。

詳しくは、ドライラン モードをご覧ください。

サービス境界の構成

VPC Service Controls は、Google Cloud Console、gcloud コマンドライン ツールAccess Context Manager API を使用して構成できます。

次の大まかな手順に沿って VPC Service Controls を構成できます。

  1. gcloud コマンドライン ツールまたは Access Context Manager API でサービス境界の作成を行う場合は、アクセス ポリシーを作成します。

  2. サービス境界で Google マネージド リソースを保護する

  3. VPC でアクセス可能なサービスを設定して、境界内でのサービスの使用方法の制限を追加します(省略可)。

  4. VPC ネットワークからのプライベート接続を設定します(省略可)。

  5. 上り(内向き)ルールを使用して、サービス境界の外部からのコンテキストアウェア アクセスを許可します(省略可)。

  6. 上り(内向き)ルールと下り(外向き)ルールを使用して安全なデータ交換を構成します(省略可)。

アクセス ポリシーを作成する

アクセス ポリシーにより、組織に作成したサービス境界とアクセスレベルを収集します。1 つの組織に設定できるアクセス ポリシーは 1 つだけです。

Cloud Console の [VPC Service Controls] ページでサービス境界の作成と管理を行う場合、アクセス ポリシーを作成する必要はありません。

一方、gcloud コマンドライン ツールまたは Access Context Manager API でサービス境界の作成と構成を行う場合は、最初にアクセス ポリシーを作成する必要があります。

Access Context Manager とアクセス ポリシーの詳細については、Access Context Manager の概要をご覧ください。

サービス境界で Google マネージド リソースを保護する

サービス境界は、組織内のプロジェクトで使用されるサービスを保護するために使用します。保護するプロジェクトとサービスを特定したら、1 つ以上のサービス境界を作成します

サービス境界の機能と、VPC Service Controls で保護できるサービスについては、VPC Service Controls の概要をご覧ください。

VPC Service Controls で保護する場合、一部のサービスには制限があります。サービス境界の設定後にプロジェクトで問題が発生した場合は、トラブルシューティングをご覧ください。

VPC のアクセス可能なサービスを設定する

境界で VPC のアクセス可能なサービスを有効にすると、境界内のネットワーク エンドポイントからのアクセスは、指定した一連のサービスに制限されます。

境界内のアクセスを特定の一連のサービスのみに限定する方法については、VPC のアクセス可能なサービスをご覧ください。

VPC ネットワークからのプライベート接続を設定する

サービス境界によって保護されている VPC ネットワークとオンプレミス ホストにセキュリティ機能を追加する場合は、限定公開の Google アクセスの使用をおすすめします。詳細については、オンプレミス ネットワークからのプライベート接続をご覧ください。

プライベート接続の構成については、Google API およびサービスへのプライベート接続を設定するをご覧ください。

Google Cloud リソースへのアクセスを VPC ネットワークからのプライベート アクセスのみに制限すると、Cloud Console や Cloud Monitoring コンソールなどのインターフェースを使用したアクセスが拒否されます。制限されたリソースを使用して、サービス境界または境界ブリッジを共有する VPC ネットワークから、gcloud コマンドライン ツールまたは API クライアントを引き続き使用できます。

上り(内向き)ルールを使用して、サービス境界の外部からのコンテキストアウェア アクセスを許可する

クライアント属性に基づいて、境界によって制限されたリソースへのコンテキストアウェア アクセスを許可できます。ID タイプ(サービス アカウントまたはユーザー)、ID、デバイスデータ、ネットワーク送信元(IP アドレスまたは VPC ネットワーク)などのクライアント属性を指定できます。

たとえば、IPv4 と IPv6 アドレスの範囲に基づいて境界内のリソースへのインターネット アクセスを許可するように上り(内向き)ルールを設定できます。上り(内向き)ルールを使用してコンテキストアウェア アクセスを設定する方法については、コンテキストアウェア アクセスをご覧ください。

上り(内向き)ルールと下り(外向き)ルールを使用して安全なデータ交換を構成する

プロジェクトは 1 つのサービス境界にのみ含めることができます。境界を越えた通信を許可するには、上り(内向き)ルールと下り(外向き)ルールを設定します。たとえば、複数の境界のプロジェクトが別の境界でログを共有できるように上り(内向き)ルールと下り(外向き)ルールを指定できます。安全なデータ交換のユースケースの詳細については、安全なデータ交換をご覧ください。