VPC のアクセス可能なサービス

サービス境界内のネットワークからアクセスできるサービスを定義するには、VPC のアクセス可能なサービスの機能を使用します。VPC でアクセス可能なサービスの機能は、サービス境界内のネットワーク エンドポイントからアクセス可能なサービスのセットを制限します。

VPC のアクセス可能なサービスの機能は、VPC ネットワーク エンドポイントから Google API へのトラフィックにのみ適用されます。サービス境界とは異なり、VPC のアクセス可能なサービスの機能は、1 つの Google API から別の Google API への通信や、Google Cloud サービスの実装に使用するテナンシー ユニットのネットワークには適用されません。

境界に VPC のアクセス可能なサービスを構成する場合は、RESTRICTED-SERVICES 値を含めて、個々のサービスのリストを指定すると、境界によって保護されるすべてのサービスが自動的に含められます。

想定されるサービスへのアクセスを完全に制限するには、次の操作を行う必要があります。

  • アクセスを許可するサービスのセットを保護するように境界を構成します。

  • 制限付き VIP を使用するように、境界内の VPC を構成します。

  • レイヤ 3 ファイアウォールを使用します。

例: Cloud Storage にのみアクセスできる VPC ネットワーク

my-authorized-compute-projectmy-authorized-gcs-project の 2 つのプロジェクトを含むサービス境界 my-authorized-perimeter があるとします。境界は Cloud Storage サービスを保護します。

my-authorized-gcs-project は、Cloud Storage、Cloud Bigtable など、さまざまなサービスを使用します。 my-authorized-compute-project は VPC ネットワークをホストします。

2 つのプロジェクトは境界を共有しているため、my-authorized-compute-project の VPC ネットワークは、境界がサービスを保護しているかどうかにかかわらず、my-authorized-gcs-project のサービスのリソースにアクセスできます。ただし、VPC ネットワークが my-authorized-gcs-project 内の Cloud Storage リソースにのみアクセスできるようにする必要があります。

VPC ネットワーク内の VM の認証情報が盗用されている場合、攻撃者はその VM を使用して my-authorized-gcs-project 内の使用可能なサービスからデータを流出させることができるという懸念があります。

制限付き VIP を使用するように VPC ネットワークをすでに構成しており、VIP は、VPC ネットワークからのアクセスを、VPC Service Controls でサポートされている API に限定します。残念ながら、これにより、VPC ネットワークが my-authorized-gcs-project の Bigtable リソースなど、サポートされているサービスにアクセスできなくなります。

VPC ネットワークのアクセスをストレージ サービスに限定するには、VPC のアクセス可能なサービスを有効にし、許可するサービスとして storage.googleapis.com を設定します。

gcloud access-context-manager perimeters update my-authorized-perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=storage.googleapis.com

成功です。my-authorized-compute-project の VPC ネットワークが、Cloud Storage サービスのリソースだけにアクセスされるようになりました。この制限は、後で境界に追加するすべてのプロジェクトと VPC ネットワークにも適用されます。

次のステップ