このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。
サポート対象サービス
VPC Service Controls がサポートするプロダクトは次のとおりです。
| サポート対象サービス | |||||
|---|---|---|---|---|---|
AI Platform のトレーニング |
|
||||
AI Platform ノートブック |
|
||||
Anthos Service Mesh |
|
||||
BigQuery |
|
||||
Cloud Bigtable |
|
||||
Cloud Data Fusion |
|
||||
Compute Engine |
|
||||
データフロー |
|
||||
Dataproc |
|
||||
Cloud Data Loss Prevention |
|
||||
Cloud Functions |
|
||||
Cloud Key Management Service |
|
||||
Microsoft Active Directory のマネージド サービス |
|
||||
シークレット マネージャー |
|
||||
Pub/Sub |
|
||||
Cloud Spanner |
|
||||
クラウド ストレージ |
|
||||
Cloud SQL |
|
||||
Video Intelligence API |
|
||||
Cloud Vision API |
|
||||
Container Registry |
|
||||
Google Kubernetes Engine |
|
||||
Resource Manager |
|
||||
Cloud Logging |
|
||||
Cloud Monitoring |
|
||||
Cloud Profiler |
|
||||
Cloud Trace |
|
||||
Cloud TPU |
|
||||
Natural Language API |
|
||||
Cloud Asset API |
|
||||
テキスト読み上げ |
|
||||
翻訳 |
|
||||
Cloud Healthcare API |
|
||||
詳しくは、サポートされているサービスとサポートされていないサービスをご覧ください。
API とサービス境界
VPC Service Controls にサポートされているプロダクトすべてに、サービス境界によって保護されるサービスがあるわけではありません。次の API のみを境界で保護できます。
| API とサービス アドレス | |
|---|---|
| AI Platform Training and Prediction API | ml.googleapis.com |
| BigQuery API | bigquery.googleapis.com |
| Cloud Bigtable API | bigtable.googleapis.com |
| Cloud Asset Inventory API | cloudasset.googleapis.com |
| Cloud Data Fusion API | datafusion.googleapis.com |
| Dataflow API | dataflow.googleapis.com |
| Dataproc API | dataproc.googleapis.com |
| Cloud Data Loss Prevention API | dlp.googleapis.com |
| Cloud Functions API | cloudfunctions.googleapis.com |
| Cloud Key Management Service API | cloudkms.googleapis.com |
| シークレット マネージャー API | secretmanager.googleapis.com |
| Cloud Natural Language API | language.googleapis.com |
| Managed Service for Microsoft Active Directory API | managedidentities.googleapis.com |
| Pub/Sub API | pubsub.googleapis.com |
| Cloud Service Mesh Certificate Authority API | meshca.googleapis.com |
| Cloud Spanner API | spanner.googleapis.com |
| Cloud Storage API | storage.googleapis.com |
| Cloud SQL API | sqladmin.googleapis.com |
| Cloud Vision API | vision.googleapis.com |
| Container Registry API | containerregistry.googleapis.com |
| Google Kubernetes Engine API | container.googleapis.com |
| GKE Connect API | gkeconnect.googleapis.com |
| GKE Hub API | gkehub.googleapis.com |
| Resource Manager API | cloudresourcemanager.googleapis.com |
| Cloud Logging API | logging.googleapis.com |
| Cloud Monitoring API | monitoring.googleapis.com |
| Cloud Profiler API | profiler.googleapis.com |
| Text-to-Speech API | texttospeech.googleapis.com |
| Cloud Translation API | translate.googleapis.com |
| Cloud Trace API | cloudtrace.googleapis.com |
| Cloud TPU API | tpu.googleapis.com |
| Video Intelligence API | videointelligence.googleapis.com |
| Cloud Healthcare API | healthcare.googleapis.com |
サポートされていないサービス
サポートされていないサービスを gcloud コマンドライン ツールまたは Access Context Manager API で制限しようとするとエラーが発生します。
サポートされているサービスのデータに対するプロジェクト間のアクセスは、VPC Service Controls によってブロックされます。 また、制限付き VIP を使用して、サポートされていないサービスを呼び出すワークロードをブロックできます。
既知の制限事項
このセクションでは、VPC Service Controls の使用時に検出される特定の Google Cloud サービス、プロダクト、インターフェースに関する既知の制限事項について説明します。
VPC Service Controls に関する問題の解決方法については、トラブルシューティングをご覧ください。
AI Platform のトレーニング
AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training API と Prediction API(
ml.googleapis.com) - Pub/Sub API(
pubsub.googleapis.com) - Cloud Storage API(
storage.googleapis.com) - Google Kubernetes Engine API(
container.googleapis.com) - Container Registry API(
containerregistry.googleapis.com) - Cloud Logging API(
logging.googleapis.com)
詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。
- AI Platform Training API と Prediction API(
AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。
AI Platform Prediction ではなく AI Platform Training のみを保護することで、AI Platform Training と Prediction API を保護します。ただし、一部の AI Platform Prediction 機能は無効になっています。
AI Platform ノートブック
VPC Service Controls サービス境界内で AI Platform Notebook を使用するには、次のドメインを制限付き VIP に指定するよう複数の DNS エントリを追加または構成します。
- *.notebooks.googleapis.com
- *.datalab.cloud.google.com
- *.notebooks.cloud.google.com
- *.notebooks.googleusercontent.com
App Engine
App Engine(標準環境とフレキシブル環境の両方)は、VPC Service Controls ではサポートされません。サービス境界に App Engine プロジェクトを含めないでください。
ただし、サービス境界の外側のプロジェクトで作成された App Engine アプリは、保護されたサービス境界内に対するデータの読み取りと書き込みを行うことができます。アプリが保護されたサービスのデータにアクセスできるようにするには、プロジェクトの App Engine サービス アカウントを含むアクセスレベルを作成します。App Engine をサービス境界内で使用することはできません。
BigQuery
VPC Service Controls では、サービス境界で保護されている BigQuery リソースを別の組織にコピーすることはできません。アクセスレベルでは組織間でコピーすることはできません。
保護された BigQuery リソースを別の組織にコピーするには、データセットを CSV ファイルなどでダウンロードし、そのファイルを別の組織にアップロードします。
BigQuery Data Transfer Service は、次のサービスでのみサポートされます。
- キャンペーン マネージャー
- Google アド マネージャー
- Google 広告
- Google Cloud Storage
- Google Merchant Center
- Google Play
- YouTube
BigQuery の従来のウェブ UI はサポートされていません。BigQuery の従来のウェブ UI から、サービス境界で保護されている BigQuery インスタンスにアクセスできません。
BigQuery 用のサードパーティ ODBC ドライバを制限付き VIP で使用することはできません。
サービスが複数のリソースに対するアクセスを内部的に処理するので、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。
サービス・アカウントを使用してサービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内で実行する必要があります。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行し、VPC Service Controls によってクエリが拒否されます。
クライアント ライブラリ
制限付き VIP を使用したアクセスに対して、すべてのサポート対象サービス用の Java および Python クライアント ライブラリが完全にサポートされています。他の言語のサポートはアルファ版段階で、テストのみの目的で使用する必要があります。
クライアントでは、2018 年 11 月 1 日以降に更新されたクライアント ライブラリを使用する必要があります。
クライアントでは、2018 年 11 月 1 日以降に更新されたサービス アカウントキーまたは OAuth2 クライアント メタデータを使用する必要があります。トークン エンドポイントを使用している古いクライアントは、新しい鍵マテリアル / クライアント メタデータで指定されているエンドポイントに変更する必要があります。
クラウドのお支払いとご請求
- サービス境界で保護されているプロジェクトの Cloud Storage バケットまたは BigQuery インスタンスへのエクスポートを Cloud Billing に許可する場合は、境界のアクセスレベルに、エクスポートを構成しているユーザーを一時的に追加する必要があります。
Cloud Build
Cloud Build は、VPC Service Controls ではサポートされていません。サービス境界内では Cloud Build を使用しないでください。
ただし、サービス境界の外側のプロジェクトで作成された Cloud Build は、保護されたサービス境界内に対するデータの読み取りと書き込みを行うことができます。Cloud Build が保護されたサービスのデータにアクセスできるようにするには、プロジェクトの Cloud Build サービス アカウントを含むアクセスレベルを作成します。Cloud Build をサービス境界内で使用することはできません。
Cloud Composer
Cloud Composer は、VPC Service Controls ではサポートされていません。サービス境界内で Cloud Composer を使用しないでください。
Cloud Composer がサービス境界内のリソースにアクセスできるようにするには、サービス境界外のプロジェクトで Cloud Composer を有効にします。次に、Cloud Composer 環境のサービス アカウントからのリクエストを許可する境界にアクセスレベルを作成して適用します。
書き換える
VPC Service Controls インスタンスをプライベート IP アドレスで作成した場合は、VPC Service Controls を使用してさらに保護を強化できます。Google Cloud プロジェクトで、サービス境界内に VPC Service Controls のプライベート インスタンスを作成します。プライベート インスタンス内では、インスタンスと一緒にパッケージ化されたプラグインは、サービス境界によって適用される制限事項に従います。
VPC Service Controls パイプラインは、Dataproc クラスタで実行されます。サービス境界内で起動された Dataproc クラスタを保護するには、クラスタで内部プライベート IP アドレスのみを使用し(パブリック IP アドレスは使用しない)、VPC Service Controls インスタンスと同じプライベート VPC ネットワークにクラスタを配置する必要があります。プライベート IP アドレスを使用する VPC Service Controls インスタンスは、VPC Service Controls パイプラインの実行時に、内部プライベート IP アドレスを使用する Dataproc クラスタをデフォルトで作成します。
VPC Service Controls でサポートされていない Google Cloud API を使用するプラグインは使用しないでください。このようなプラグインを使用すると、VPC Service Controls によって API 呼び出しがブロックされ、パイプラインのプレビューと実行に失敗します。
Dataflow
- カスタム BIND と
restricted.googleapis.comVIP を Dataflow に使用することはできません。Dataflow の DNS 解決をカスタマイズできないためです。 すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。
Dataproc
Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。
Cloud Dataproc コンポーネント ゲートウェイは、VPC Service Controls でサポートされません。
Cloud Functions
Cloud Functions では、Cloud Build を使用してソースコードを実行可能なコンテナに構築します。サービス境界内で Cloud Functions を使用するには、サービス境界での Cloud Build サービス アカウントのアクセスレベルを構成する必要があります。
npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM 役割を信頼できないデベロッパーに付与しないでください。
Firebase Realtime Database または Firebase Crashlytics のトリガーの場合、Firebase Realtime Database や Firebase Crashlytics の変更によってトリガーされる関数を、デプロイされているサービス境界外の異なるプロジェクトにデプロイできます。これらの 2 つのトリガーの抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM 役割を信頼できないデベロッパーに付与しないでください。
Pub/Sub
- サービス境界の前に作成された Pub/Sub プッシュ サブスクリプションはブロックされません。
Cloud Shell
- Cloud Shell はサポートされていません。サービス境界外として扱われ、VPC Service Controls で保護されたデータへのアクセスが拒否されます。
クラウド ストレージ
Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。
リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。
サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含むアクセスレベルを作成する必要があります。
監査ログレコードの
resourceNameフィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります。監査ログレコードの
methodNameの値が常に正しいとは限りません。Cloud Storage 監査ログレコードをmethodNameでフィルタリングしないようにしてください。アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。
新しいプロジェクトで最初に
gsutilを使用する場合、storage-api.googleapis.comサービスを有効にする指示があるかもしれません。storage-api.googleapis.comを直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutilオペレーションも保護されます。
Compute Engine
現在、サービス境界を使用して Compute Engine API を保護することはできません。
サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、境界のアクセスレベルに、イメージを作成しているユーザーを一時的に追加する必要があります。
サービス境界内での Compute Engine での Kubernetes の使用は、VPC Service Controls ではサポートされていません。
Container Registry
googleapis.comドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Container Registry を構成する必要があります。Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界に関係なくすべてのプロジェクトで使用できます。
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
- mirror.gcr.io
いずれの場合も、これらのリポジトリのリージョン版も利用できます。
Google Cloud Console
Cloud Console はインターネット経由でのみアクセスできるため、サービス境界外として扱われます。サービス境界を適用すると、保護されているサービスの Cloud Console インターフェースが一部または完全にアクセス不能になる場合があります。たとえば、Logging を境界で保護した場合、Cloud Console の Logging インターフェースにはアクセスできません。
Cloud Console から保護されたリソースへのアクセスを許可するには、保護された API で Cloud Console を使用するユーザーのマシンを含むパブリック IP 範囲のアクセスレベルを作成する必要があります。たとえば、プライベート ネットワークの NAT ゲートウェイのパブリック IP 範囲をアクセスレベルに追加し、そのアクセスレベルをサービス境界に割り当てることができます。
特定のユーザーのみに Cloud Console の境界へのアクセスを制限する場合は、ユーザーをアクセスレベルに追加することもできます。その場合、指定されたユーザーのみが Cloud Console にアクセスできます。
Resource Manager
- 保護される Resource Manager API メソッドは v1
project.setIAMPolicyと v1beta1project.setIAMPolicyです。
Cloud Logging
ログのエクスポート シンク(
includeChildrenがtrueのフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。Cloud IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。Cloud IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。
サービス境界で保護されているリソースに組織またはフォルダのログ エクスポートを設定するには、そのログシンクのサービス アカウントをアクセスレベルに追加して、宛先のサービス境界に割り当てる必要があります。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。
詳しくは、以下のページをご覧ください。
Cloud Monitoring
通知チャネル、アラート ポリシー、カスタム指標を併用すると、データやメタデータを抽出できます。現在、Monitoring のユーザーは組織外のエンティティ、たとえば「baduser@badcompany.com」を指す通知チャネルを設定できます。その後、通知チャネルを使用するカスタム指標と対応するアラート ポリシーが設定されます。その結果、カスタム指標を操作することで、VPC Service Controls 境界の外部の baduser@badcompany.com に機密データを漏洩させ、アラートをトリガーし、アラート呼び出し通知を送信できます。
Google Cloud Console の Monitoring は VPC Service Controls をサポートしていますが、従来の Cloud Monitoring コンソールの VPC Service Controls は完全にサポートされていません。
Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。
GKE ポッドは VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。
指標をクエリする際にワークスペースワークスペースの VPC Service Controls の境界のみがホスト プロジェクト個人の周囲ではなくモニタリング プロジェクトワークスペース内の
プロジェクトを追加できるのはモニタリング プロジェクト既存のワークスペースそのプロジェクトがワークスペースと同じ VPC Service Controls 境界にある場合ホスト プロジェクト 。
Cloud Asset API
- Cloud Asset API をフォルダや組織レベルで呼び出すと、フォルダや組織に属するサービス境界内のプロジェクトからのデータにもアクセスできます。Cloud IAM を使用して、Cloud Asset Inventory の権限をフォルダや組織レベルで管理することをおすすめします。
Cloud SQL
サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスのパブリック IP アクセスを制限するには、組織ポリシーの制約を使用する必要があります。
Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットからの読み取りと書き込みのみを実行できます。外部サーバー移行フローで、Cloud Storage バケットを同じサービス境界に追加する必要があります。CMEK のキーフローを作成する際は、使用したリソースと同じサービス境界でキーを作成する必要があります。注: バックアップからインスタンスを復元する場合、ターゲット インスタンスはバックアップと同じサービス境界に存在する必要があります。
Cloud Healthcare API
Cloud Healthcare API がサービス境界によって保護されている場合、FHIR ストアから BigQuery にはエクスポートできません。