VPC Service Controls は、Google Cloud リソースの周囲にデータ転送境界を作成するサービス境界を設定できる Google Cloud の機能です。VPC Service Controls を使用すると、データ漏洩のリスクを軽減するなど、App Hub リソースのセキュリティが強化されます。VPC Service Controls を使用すると、境界を越えるリクエストからアプリケーション、サービス、ワークロードを保護するサービス境界にプロジェクトを追加できます。
App Hub リソースは apphub.googleapis.com
API で公開されており、アプリケーション、サービス、ワークロードの作成や削除などのオペレーションを実行できます。この API サーフェスへの接続を制限することで、App Hub で VPC Service Controls を設定できます。
サービス境界を作成する際は、すべての App Hub リソースを保護することをおすすめします。
App Hub では、次のリソースタイプがサポートされています。
- アプリケーション
- 検出されたサービス
- 検出されたワークロード
- サービス
- サービス プロジェクトの接続(ホスト プロジェクトで管理されるアプリケーションの場合のみ)
- ワークロード
アプリ管理用フォルダ内のアプリ
フォルダでアプリケーション管理を有効にすると、次のアクションが発生します。
- Google は、管理プロジェクトと呼ばれるフォルダに Google が管理するプロジェクトを作成します。
- システムは、そのプロジェクトでアプリケーション管理に必要な API を有効にします。システムが有効にする API の一部は、アプリ管理に直接関連しています。残りの API は依存関係です。
管理プロジェクトをサービス境界に含める場合は、VPC Service Controls をサポートする有効な API を含めます。詳細については、サービス境界を作成するをご覧ください。
管理プロジェクトで有効になっている API
次の表に、管理プロジェクトで自動的に有効になる API を示します。プロダクトが VPC Service Controls をサポートしている場合は、リンク先のドキュメントで、制限事項や追加の構成要件などの詳細を確認してください。
アプリケーションの設計、構築、デプロイに関わる API
この表の API には、アプリケーションのビルド、アプリケーションのデプロイ、アプリケーション データの保存に使用される App Hub、Application Design Center、依存関係が含まれます。
アプリ対応フォルダを有効にして管理するには、Resource Manager が必要です。
API | VPC Service Controls のサポート |
---|---|
App Hub API(apphub.googleapis.com ) |
詳細 |
App Design Center API(designcenter.googleapis.com ) |
|
Artifact Registry API(artifactregistry.googleapis.com ) |
詳細 |
Cloud Asset API(cloudasset.googleapis.com ) |
詳細 |
Cloud Build API(cloudbuild.googleapis.com ) |
詳細 |
Cloud Resource Manager API(cloudresourcemanager.googleapis.com ) |
詳細 |
Infrastructure Manager API(config.googleapis.com ) |
詳細 |
Container Registry API(containerregistry.googleapis.com ) |
詳細 |
Identity and Access Management API(iam.googleapis.com ) |
詳細 |
IAM Service Account Credentials API(iamcredentials.googleapis.com ) |
詳細 |
Google Cloud Observability API
API | VPC Service Controls のサポート |
---|---|
Cloud Logging(logging.googleapis.com ) |
詳細 |
Cloud Monitoring(monitoring.googleapis.com ) |
詳細 |
Cloud Trace(cloudtrace.googleapis.com ) |
詳細 |
Google Cloud Observability の依存関係
Logging と Cloud Monitoring の一部の機能では、他のプロダクト API が必要です。
Dataform API と Dataplex API は BigQuery の依存関係です。
API | VPC Service Controls のサポート |
---|---|
BigQuery API(bigquery.googleapis.com ) |
詳細 |
Analytics Hub API(analyticshub.googleapis.com )(BigQuery 共有用の API) |
詳細 |
BigQuery Connection API(bigqueryconnection.googleapis.com ) |
詳細 |
BigQuery Data Policy API(bigquerydatapolicy.googleapis.com ) |
詳細 |
BigQuery Migration API(bigquerymigration.googleapis.com ) |
詳細 |
BigQuery Reservation API(bigqueryreservation.googleapis.com ) |
詳細 |
BigQuery Storage API(bigquerystorage.googleapis.com ) |
詳細 |
Dataform API(dataform.googleapis.com ) |
詳細 |
Dataplex API(dataplex.googleapis.com ) |
詳細 |
Cloud Functions API(cloudfunctions.googleapis.com ) |
詳細 |
Cloud Storage API(storage.googleapis.com ) |
詳細 |
Cloud Storage(storage-api.googleapis.com ) |
|
Cloud Storage JSON API(storage-component.googleapis.com ) |
|
Pub/Sub API(pubsub.googleapis.com ) |
詳細 |
リソースに関するリソースデータを提供する API
API | VPC Service Controls のサポート |
---|---|
Cloud Quotas API(cloudquotas.googleapis.com ) |
詳細 |
Service Health API(servicehealth.googleapis.com ) |
詳細 |
Gemini Cloud Assist
API | VPC Service Controls のサポート |
---|---|
Gemini for Google Cloud API(cloudaicompanion.googleapis.com ) |
詳細 |
ホスト プロジェクトで管理されるアプリケーション
アプリケーションを作成し、サービスとワークロードをアプリケーションに登録する前に、App Hub のホスト プロジェクトとサービス プロジェクトで VPC Service Controls を設定する必要があります。詳細については、サービス境界を作成するをご覧ください。
次のステップ
VPC Service Controls の詳細を確認する。概要とサポートされているプロダクトと制限事項をご覧ください。
VPC Service Controls を有効にするためのベスト プラクティスを確認する。VPC Service Controls の有効化に関するベスト プラクティスをご覧ください。
サービス境界を設計する際のベスト プラクティスを確認する。サービス境界の設計と構築をご覧ください。
サービス境界を設定するには、サービス境界を作成するをご覧ください。