このドキュメントでは、VPC Service Controls に適用される割り当てと上限について説明します。このドキュメントに示されている割り当てと上限は変更される場合があります。
割り当ての使用の計算は、自動適用モードとドライラン モードの使用の合計に基づいて行われます。たとえば、サービス境界が自動適用モードで 5 つのリソースを保護し、ドライラン モードで 7 つのリソースを保護している場合は、両方の合計(12)が、対応する上限と比較されます。また、個々のエントリはそれぞれが 1 つとしてカウントされます。これは、エントリがポリシー内のどこにあっても同様です。たとえば、1 つのプロジェクトが 1 つの通常の境界と 5 つのブリッジ境界に含まれている場合、6 つのインスタンスがすべてカウントされ、重複除去は行われません。
Google Cloud コンソールで割り当てを表示する
Google Cloud コンソールのナビゲーション メニューで [セキュリティ] をクリックし、続いて [VPC Service Controls] をクリックします。
プロンプトが表示されたら、組織、フォルダ、またはプロジェクトを選択します。
[VPC Service Controls] ページで、割り当てを表示するアクセス ポリシーを選択します。
[View Quota] をクリックします。
[割り当て] ページには、次のアクセス ポリシーの上限に対して使用状況の指標が表示されます。これらの上限は、特定のアクセス ポリシーのすべてのサービス境界に累積的に適用されます。
- サービス境界
- 保護対象リソース
- 上り(内向き)ルール
- 下り(外向き)ルール
- アクセスレベル
- 上り(内向き)属性と下り(外向き)属性の合計
サービス境界の上限
個々のサービス境界には、次の上限が適用されます。
| 種類 | 上限 | 注 |
|---|---|---|
| アクセスレベル | 100 | この上限はサービス境界内のアクセスレベルの参照数に適用されますが、上り(内向き)と下り(外向き)のルール内のアクセスレベルの参照には適用されません。アクセスレベルは、上り(内向き)と下り(外向き)のルール内でのみ使用することをおすすめします。 |
アクセス ポリシーの上限
次に示すアクセス ポリシーの上限は、1 つのアクセス ポリシー内のすべてのサービス境界に対して累積的に適用されます。
| 種類 | 上限 | 注 |
|---|---|---|
| サービス境界 | 10,000 | |
| 保護対象リソース | 40,000 | 上り(内向き)と下り(外向き)のポリシー内でのみ参照されるプロジェクトは、この上限にはカウントされません。 |
| 上り(内向き)ルール | 10,000 | |
| 下り(外向き)ルール | 10,000 | |
| 上り(内向き) / 下り(外向き)ルール | 4,000 | この上限では、上り(内向き)と下り(外向き)のルール内で指定されたすべての属性の数がカウントされます。属性の上限には、プロジェクト、VPC ネットワーク、アクセスレベル、メソッド セレクタ、ID が含まれます。メソッド、サービス、プロジェクトの属性内で値「*」が使用された場合、それに一致した具体的な対象の数が合計に含まれます。 |
| VPC ネットワーク | 500 | この上限では、自動適用モード、ドライラン モード、上り(内向き)ルールで参照される VPC ネットワークの数がカウントされます。 |
組織の上限
1 つの組織内のすべてのアクセス ポリシーには、次の上限が適用されます。
| 種類 | 上限 |
|---|---|
| 組織レベルのアクセス ポリシー | 1 |
| フォルダとプロジェクト スコープのアクセス ポリシー | 50 |
Access Context Manager の割り当てと上限
VPC Service Controls は Access Context Manager API を使用するため、Access Context Manager の割り当てと上限も適用されます。