Private Service Connect インターフェースのセキュリティを構成する

このページでは、プロデューサー ネットワーク管理者が Private Service Connect インターフェースを使用する VPC ネットワークのセキュリティを管理する方法について説明します。

Private Service Connect インターフェースはコンシューマーの Private Service Connect ネットワークに存在するため、プロデューサー組織は、インターフェースに直接適用されるファイアウォール ルールを制御しません。コンシューマーのワークロードがプロデューサー ネットワーク内の VM へのトラフィックを開始できないようにする場合、または選択したコンシューマー ワークロードのみがトラフィックを開始できるようにする場合、プロデューサー組織はインターフェースの VM のゲスト OS でセキュリティ ポリシーを定義する必要があります。

コンシューマーからプロデューサーへの上り(内向き)をブロックする

iptables を使用すると、コンシューマー ネットワークからの上り(内向き)トラフィックをブロックし、プロデューサー ネットワークからの下り(外向き)トラフィックを許可するように Private Service Connect インターフェースを構成できます。この構成を図 1 に示します。

Private Service Connect インターフェースを介した上り(内向き)のコンシューマー トラフィックはブロックされますが、プロデューサーの下り(外向き)トラフィックは許可されます(クリックして拡大)。

コンシューマー ネットワークからの上り(内向き)トラフィックをブロックし、プロデューサー ネットワークからの下り(外向き)トラフィックを許可するように Private Service Connect インターフェースを構成するには、次のようにします。

  1. ファイアウォール ルールが、Private Service Connect インターフェースの VM への上り(内向き)SSH 接続を許可するように構成されていることを確認します。

  2. VM に接続します。

  3. iptables コマンドをインストールします(使用できない場合)。

  4. Private Service Connect インターフェースへのコンシューマーの応答トラフィックを許可します。

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME

    OS_INTERFACE_NAME は、Private Service Connect インターフェースのゲスト OS 名に置き換えます。

  5. Private Service Connect インターフェース経由でコンシューマーが開始するトラフィックをブロックします。

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME

Private Service Connect インターフェースの作成をブロックする

Private Service Connect インターフェースを作成するには、ユーザーに compute.instances.pscInterfaceCreate Identity and Access Management(IAM)権限が必要です。この権限は、次のロールに含まれています。

これらのロールに関連付けられた権限を付与したユーザーが Private Service Connect インターフェースを作成できないようにするには、カスタムロールを作成してユーザーに割り当てます。必要な権限をロールに追加します。compute.instances.pscInterfaceCreate 権限は省略します。

次のステップ