サービス境界内のネットワークからアクセスできるサービスを定義するには、VPC のアクセス可能なサービス機能を使用します。VPC でアクセス可能なサービス機能は、サービス境界内のネットワーク エンドポイントからアクセス可能なサービスのセットを制限します。
VPC のアクセス可能なサービス機能は、VPC ネットワーク エンドポイントから Google API へのトラフィックにのみ適用されます。サービス境界とは異なり、VPC のアクセス可能なサービス機能は、ある Google API から別の Google API への通信や、Google Cloud サービスの実装に使用するテナンシー ユニットのネットワークには適用されません。
境界に VPC のアクセス可能なサービスを構成する場合は、RESTRICTED-SERVICES
値を含めて、個々のサービスのリストを指定すると、境界によって保護されるすべてのサービスが自動的に含められます。
目的のサービスへのアクセスを完全に制限するには、次のことを行う必要があります。
境界を構成して、アクセス可能にするサービスと同じセットを保護します。
境界内の VPC が制限付き VIP を使用するように構成します。
レイヤ 3 ファイアウォールを使用します。
例: Cloud Storage にのみアクセスできる VPC ネットワーク
my-authorized-compute-project
と my-authorized-gcs-project
の 2 つのプロジェクトを含むサービス境界 my-authorized-perimeter
があるとします。この境界は Cloud Storage サービスを保護します。
my-authorized-gcs-project
は、Cloud Storage、Bigtable など、さまざまなサービスを使用します。my-authorized-compute-project
は VPC ネットワークをホストします。
2 つのプロジェクトは境界を共有しているため、my-authorized-compute-project
の VPC ネットワークは、境界がサービスを保護しているかどうかにかかわらず、my-authorized-gcs-project
内のサービスのリソースにアクセスできます。ただし、VPC ネットワークが my-authorized-gcs-project
内の Cloud Storage リソースにのみアクセスできるようにする必要があります。
VPC ネットワーク内の VM の認証情報が盗まれた場合、攻撃者がその VM を使用して my-authorized-gcs-project
内の使用可能なサービスからデータを流出させることが懸念されます。
制限付き VIP を使用するように VPC ネットワークが構成済みです。これにより、VPC ネットワークからのアクセスは、VPC Service Controls でサポートされている API のみに制限されます。残念ながら、VPC ネットワークが my-authorized-gcs-project
内の Bigtable リソースなどのサポートされているサービスにアクセスすることは防止できません。
VPC ネットワークのアクセスをストレージ サービスに限定するには、VPC のアクセス可能なサービスを有効にし、許可するサービスとして storage.googleapis.com
を設定します。
gcloud access-context-manager perimeters update my-authorized-perimeter \
--enable-vpc-accessible-services \
--add-vpc-allowed-services=storage.googleapis.com
完了しました。my-authorized-compute-project
の VPC ネットワークがアクセスできるのは、Cloud Storage サービスのリソースのみに制限されました。この制限は、今後境界に追加されるプロジェクトと VPC ネットワークにも適用されます。