VPC Service Controls は、Google Cloud リソースの周囲にデータ転送境界を作成するサービス境界を設定できる Google Cloud の機能です。VPC Service Controls を使用すると、データ漏洩のリスクを軽減するなど、App Hub リソースのセキュリティが強化されます。VPC Service Controls を使用すると、境界を越えるリクエストからアプリケーション、サービス、ワークロードを保護するサービス境界にプロジェクトを追加できます。
App Hub リソースは apphub.googleapis.com API で公開されており、アプリケーション、サービス、ワークロードの作成や削除などのオペレーションを実行できます。App Hub で VPC Service Controls を設定するには、接続をこの API サーフェスに制限します。
サービス境界を作成する際は、すべての App Hub リソースを保護することをおすすめします。
App Hub では、次のリソースタイプがサポートされています。
- アプリケーション
- 検出されたサービス
- 検出されたワークロード
- サービス
- サービス プロジェクトの接続(ホスト プロジェクトで管理されるアプリケーションの場合のみ)
- ワークロード
アプリ対応フォルダ内のアプリ
フォルダレベルの境界を設定すると、次のアクションが発生します。
- フォルダ内の Google Cloud プロジェクトは、管理プロジェクトとして構成されます。
- システムは、そのプロジェクトでアプリケーション管理に必要な API を有効にします。
管理プロジェクトの作成後に、アプリケーション中心の機能を提供する推奨 API を有効にすることもできます。
管理プロジェクトをサービス境界に含めるには、管理プロジェクトと有効な API が境界に含まれるように、サービス境界を作成または更新します。
必須 API と推奨 API については、必須 API と推奨 API をご覧ください。
ホスト プロジェクトで管理されるアプリケーション
アプリケーションを作成し、サービスとワークロードをアプリケーションに登録する前に、ホスト プロジェクトとサービス プロジェクトで VPC Service Controls を設定する必要があります。詳細については、サービス境界を作成するをご覧ください。
次のステップ
VPC Service Controls の詳細を確認する。概要とサポートされているプロダクトと制限事項をご覧ください。
VPC Service Controls を有効にするためのベスト プラクティスを確認する。VPC Service Controls の有効化に関するベスト プラクティスをご覧ください。
サービス境界を設計する際のベスト プラクティスを確認する。サービス境界の設計と構築をご覧ください。
サービス境界を設定するには、サービス境界を作成するをご覧ください。