このドキュメントでは、VPC Service Controls に適用される割り当てと上限について説明します。このドキュメントに示されている割り当てと上限は変更される場合があります。
割り当ての使用の計算は、自動適用モードとドライラン モードの使用の合計に基づいて行われます。たとえば、サービス境界が自動適用モードで 5 つのリソースを保護し、ドライラン モードで 7 つのリソースを保護している場合は、両方の合計(12)が、対応する上限と比較されます。また、個々のエントリはそれぞれが 1 つとしてカウントされます。これは、エントリがポリシー内のどこにあっても同様です。たとえば、1 つのプロジェクトが 1 つの通常の境界と 5 つのブリッジ境界に含まれている場合、6 つのインスタンスがすべてカウントされ、重複除去は行われません。
Google Cloud コンソールで割り当てを表示する
Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。
プロンプトが表示されたら、組織、フォルダ、またはプロジェクトを選択します。
[VPC Service Controls] ページで、割り当てを表示するアクセス ポリシーを選択します。
[View Quota] をクリックします。
[割り当て] ページには、特定のアクセス ポリシー内のすべてのサービス境界に累積的に適用される次のアクセス ポリシーの上限について、使用状況の指標が表示されます。
- サービス境界
- 保護対象リソース
- アクセスレベル
- 上り(内向き)属性と下り(外向き)属性の合計
サービス境界の上限
個々のサービス境界には、次の上限が適用されます。
| タイプ | 上限 | メモ |
|---|---|---|
| アクセスレベル | 500 | この上限はサービス境界内のアクセスレベルの参照数に適用されますが、これには、サービス境界に関連付けられた、上り(内向き)と下り(外向き)のルール内のアクセスレベルの参照は含まれません。 |
アクセス ポリシーの上限
次に示すアクセス ポリシーの上限は、1 つのアクセス ポリシー内のすべてのサービス境界に対して累積的に適用されます。
| タイプ | 上限 | メモ |
|---|---|---|
| サービス境界 | 10,000 | サービス境界ブリッジはこの上限にカウントされます。 |
| 保護対象リソース | 40,000 | 上り(内向き)と下り(外向き)のポリシー内でのみ参照されるプロジェクトは、この上限にはカウントされません。保護されたリソースを 10,000 個以下のリソースのバッチでのみポリシーに追加し、ポリシーの変更リクエストがタイムアウトしないようにします。30 秒待ってから、次のポリシー変更を行うことをおすすめします。 |
| 属性 | 6,000 | この上限では、上り(内向き)と下り(外向き)のルール内で指定されたすべての属性の数がカウントされます。属性の上限には、プロジェクト、VPC ネットワーク、アクセスレベル、メソッド セレクタ、ID が含まれます。メソッド、サービス、プロジェクトの属性内で値「*」が使用された場合、それに一致した具体的な対象の数が合計に含まれます。 |
| ID グループ | 1,000 | この上限は、上り(内向き)ルールと下り(外向き)ルールで構成された ID グループの数です。 |
| VPC ネットワーク | 500 | この上限では、自動適用モード、ドライラン モード、上り(内向き)ルールで参照される VPC ネットワークの数がカウントされます。 |
次に示すアクセス ポリシーの上限は、特定のアクセス ポリシー内のすべてのアクセスレベルに累積的に適用されます。
| タイプ | 上限 | メモ |
|---|---|---|
| VPC ネットワーク | 500 | この上限は、アクセスレベルで参照される VPC ネットワークの数に適用されます。 |
組織の上限
1 つの組織内のすべてのアクセス ポリシーには、次の上限が適用されます。
| タイプ | 上限 |
|---|---|
| 組織レベルのアクセス ポリシー | 1 |
| フォルダとプロジェクト スコープのアクセス ポリシー | 50 |
Access Context Manager の割り当てと上限
VPC Service Controls は Access Context Manager API を使用するため、Access Context Manager の割り当てと上限も適用されます。