VPC のアクセス可能なサービス

サービス境界内のネットワークからアクセスできるサービスを定義するには、VPC のアクセス可能なサービス機能を使用します。VPC でアクセス可能なサービス機能は、サービス境界内のネットワーク エンドポイントからアクセス可能なサービスのセットを制限します。

VPC のアクセス可能なサービス機能は、VPC ネットワーク エンドポイントから Google API へのトラフィックにのみ適用されます。サービス境界とは異なり、VPC のアクセス可能なサービス機能は、ある Google API から別の Google API への通信や、Google Cloud サービスの実装に使用するテナンシー ユニットのネットワークには適用されません。

境界に VPC のアクセス可能なサービスを構成する場合は、RESTRICTED-SERVICES 値を含めて、個々のサービスのリストを指定すると、境界によって保護されるすべてのサービスが自動的に含められます。

目的のサービスへのアクセスを完全に制限するには、次のことを行う必要があります。

  • 境界を構成して、アクセス可能にするサービスと同じセットを保護します。

  • 境界内の VPC が制限付き VIP を使用するように構成します。

  • レイヤ 3 ファイアウォールを使用します。

例: Cloud Storage にのみアクセスできる VPC ネットワーク

my-authorized-compute-projectmy-authorized-gcs-project の 2 つのプロジェクトを含むサービス境界 my-authorized-perimeter があるとします。この境界は Cloud Storage サービスを保護します。

my-authorized-gcs-project は、Cloud Storage、Cloud Bigtable など、さまざまなサービスを使用します。my-authorized-compute-project は VPC ネットワークをホストします。

2 つのプロジェクトは境界を共有しているため、my-authorized-compute-project の VPC ネットワークは、境界がサービスを保護しているかどうかにかかわらず、my-authorized-gcs-project 内のサービスのリソースにアクセスできます。ただし、VPC ネットワークが my-authorized-gcs-project 内の Cloud Storage リソースにのみアクセスできるようにする必要があります。

VPC ネットワーク内の VM の認証情報が盗まれた場合、攻撃者がその VM を使用して my-authorized-gcs-project 内の使用可能なサービスからデータを流出させることが懸念されます。

制限付き VIP を使用するように VPC ネットワークが構成済みです。これにより、VPC ネットワークからのアクセスは、VPC Service Controls でサポートされている API のみに制限されます。残念ながら、VPC ネットワークが my-authorized-gcs-project 内の Cloud Bigtable リソースなど、サポートされているサービスにアクセスすることは防止できません。

VPC ネットワークのアクセスをストレージ サービスに限定するには、VPC のアクセス可能なサービスを有効にし、許可するサービスとして storage.googleapis.com を設定します。

gcloud access-context-manager perimeters update my-authorized-perimeter \
  --enable-vpc-accessible-services \
  --add-vpc-allowed-services=storage.googleapis.com

完成しました。my-authorized-compute-project の VPC ネットワークがアクセスできるのは、Cloud Storage サービスのリソースのみに制限されました。この制限は、今後境界に追加されるプロジェクトと VPC ネットワークにも適用されます。

次のステップ