VPC Service Controls は、リソースの周囲にデータ転送境界を作成する Google Cloud サービス境界を設定できる 機能です。 Google Cloud VPC Service Controls を使用すると、データ漏洩のリスクを軽減するなど、App Hub リソースのセキュリティが強化されます。VPC Service Controls を使用すると、境界を越えるリクエストからアプリケーション、サービス、ワークロードを保護するサービス境界にプロジェクトを追加できます。
App Hub リソースは apphub.googleapis.com API で公開されており、アプリケーション、サービス、ワークロードの作成や削除などのオペレーションを実行できます。この API サーフェスへの接続を制限することで、App Hub で VPC Service Controls を設定できます。
サービス境界を作成する際は、すべての App Hub リソースを保護することをおすすめします。
App Hub では、次のリソースタイプがサポートされています。
- アプリケーション
- 検出されたサービス
- 検出されたワークロード
- サービス
- サービス プロジェクトの接続(ホスト プロジェクトで管理されるアプリケーションのみ)
- ワークロード
管理プロジェクト内のアプリケーション
単一プロジェクトまたはフォルダレベル の境界に対して App Hub API を有効にすると、システムは 管理プロジェクトでアプリケーション管理に必要な API を有効にします。
管理プロジェクトを作成したら、アプリケーション中心の機能を提供する推奨 API を有効にすることもできます。
管理プロジェクトをサービス境界に含めるには、 作成または更新して、管理プロジェクトと有効な API が 境界に含められるようにします。
フォルダ境界内のアプリケーションの場合、VPC Service Controls の制限は、管理プロジェクト内の App Hub のインタラクションにのみ適用されます。App Hub は、プロジェクトが管理プロジェクトと同じ境界内にない場合でも、アプリケーション データを読み取り、アプリ対応フォルダのすべての子孫プロジェクトのサービスとワークロードを検出できます。
必要な API と推奨 API については、 必要な API と推奨 APIをご覧ください。
ホスト プロジェクトで管理されるアプリケーション
レガシー ホスト プロジェクトの場合、ホスト プロジェクトとサービス プロジェクトが同じ境界内にある場合にのみ、サービス プロジェクトを接続できます。以前にアタッチしたサービス プロジェクトを境界外に移動した場合、ホスト プロジェクトからサービス プロジェクトをデタッチするまで、サービス プロジェクトのリソースにアクセスできます。
次のステップ
VPC Service Controls の詳細を確認する。概要とサポートされているプロダクトと制限事項をご覧ください。
VPC Service Controls を有効にするためのベスト プラクティスを確認する。VPC Service Controls の有効化に関するベスト プラクティスをご覧ください。
サービス境界を設計する際のベスト プラクティスを確認する。サービス境界の設計と構築をご覧ください。
サービス境界を設定するには、サービス境界を作成するをご覧ください。