Private Service Connect インターフェースのセキュリティを構成する

このページでは、プロデューサーネットワーク管理者が Private Service Connect インターフェースを使用する VPC ネットワークのセキュリティを管理する方法について説明します。

Private Service Connect インターフェースはコンシューマーの Private Service Connect ネットワークに存在するため、プロデューサー組織は、インターフェースに直接適用されるファイアウォールルールを制御しません。コンシューマーのワークロードがプロデューサーネットワーク内の VM へのトラフィックを開始できないようにする場合、または選択したコンシューマーワークロードのみがトラフィックを開始できるようにする場合、プロデューサー組織はインターフェースの VM のゲスト OS でセキュリティポリシーを定義する必要があります。

コンシューマーからプロデューサーへの上り（内向き）をブロックする

iptables を使用すると、コンシューマーネットワークからの上り（内向き）トラフィックをブロックし、プロデューサーネットワークからの下り（外向き）トラフィックを許可するように Private Service Connect インターフェースを構成できます。この構成を図 1 に示します。

**図 1.** Private Service Connect インターフェースを介した上り（内向き）のコンシューマートラフィックはブロックされますが、プロデューサーの下り（外向き）トラフィックは許可されます。

コンシューマーネットワークからの上り（内向き）トラフィックをブロックし、プロデューサーネットワークからの下り（外向き）トラフィックを許可するように Private Service Connect インターフェースを構成するには、次のようにします。

ファイアウォールルールが、Private Service Connect インターフェースの VM への上り（内向き）SSH 接続を許可するように構成されていることを確認します。
VM に接続します。
iptables コマンドをインストールします（使用できない場合）。
Private Service Connect インターフェースへのコンシューマの応答トラフィックを許可します。
```
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME
```
OS_INTERFACE_NAME は、Private Service Connect インターフェースのゲスト OS 名（ens5 など）に置き換えます。
Private Service Connect インターフェース経由でコンシューマーが開始するトラフィックをブロックします。
```
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
```

Private Service Connect インターフェースの作成をブロックする

Private Service Connect インターフェースを作成するには、ユーザーに compute.instances.pscInterfaceCreate Identity and Access Management（IAM）権限が必要です。この権限は、次のロールに含まれています。

Compute 管理者（roles/compute.admin）
Compute インスタンス管理者（v1）（roles/compute.instanceAdmin.v1）

これらのロールに関連付けられた権限を付与したユーザーが Private Service Connect インターフェースを作成できないようにするには、カスタムロールを作成してユーザーに割り当てます。必要な権限をロールに追加します。compute.instances.pscInterfaceCreate 権限は省略します。

次のステップ

Private Service Connect インターフェース接続のあるネットワークで宛先の重複を管理する。