VPC Service Controls を構成する

このページでは、データとリソースを保護する Google Cloud 機能である VPC Service Controls を使用して Database Center を構成する方法について説明します。

VPC Service Controls を使用すると、Database Center インスタンスからのデータ漏洩のリスクを軽減できます。VPC Service Controls を使用すると、明示的に指定したサービスのリソースとデータを保護するサービス境界を作成できます。

VPC Service Controls、そのセキュリティ上のメリット、サポートされているプロダクト全体の機能の概要については、VPC Service Controls の概要をご覧ください。

始める前に

始める前に、VPC Service Controls の概要VPC Service Controls を使用する場合の Database Center の制限事項を確認してください。次に、次の手順で、VPC Service Controls を使用するための適切な権限があることを確認します。

  1. Google Cloud コンソールで、[プロジェクトの選択] ページに移動します。

    プロジェクト セレクタに移動

  2. Google Cloud プロジェクトを選択または作成します。
  3. Google Cloud プロジェクトに対して課金が有効になっていることを確認します。詳しくは、プロジェクトで課金が有効になっているかどうかを確認する方法をご覧ください。
  4. Compute Engine API を有効にします。

    Compute Engine API を有効にする

  5. Service Networking API を有効にします。

    Service Networking API を有効にする

  6. VPC Service Controls の設定と管理に使用するユーザー アカウントまたはサービス アカウントに Identity and Access Management(IAM)ロールを追加します。詳細については、VPC Service Controls の管理に必要な IAM のロールをご覧ください。
  7. Database Center で VPC Service Controls を使用する際の 制限事項を確認します。

VPC Service Controls を使用して Database Center サービスを保護する方法

Database Center プロジェクトに VPC Service Controls を構成するには、次の操作を行います。

  1. サービス境界を作成して管理する

    まず、サービス境界で保護する Database Center プロジェクトを選択し、サービス境界を作成して管理します。

  2. アクセスレベルを作成して管理する

    境界内の保護されたリソースへの外部アクセスを許可するには、必要に応じてアクセスレベルを使用できます。アクセスレベルは、サービス境界外からの保護されたリソースに対するリクエストのみに適用されます。アクセスレベルを使用して、保護されたリソースや VM に境界外のデータやサービスにアクセスする権限を与えることはできません。

サービス境界の作成と管理

サービス境界を作成して管理する手順は次のとおりです。

  1. サービス境界で保護する Database Center プロジェクトを選択します。

  2. サービス境界の作成の手順に沿って、サービス境界を作成します。

  3. サービス境界にインスタンスを追加します。既存の Database Center インスタンスを境界に追加するには、サービス境界の更新の手順に沿って操作します。

  4. API をサービス境界に追加します。Database Center からのデータ漏洩のリスクを軽減するには、Database Center API、Compute Engine API、Cloud Storage API、Container Registry API、Certificate Authority Service API、Cloud KMS API を制限する必要があります。詳細については、access-context-manager perimeters update をご覧ください。

    API を制限付きサービスとして追加する手順は次のとおりです。

    コンソール

    1. Google Cloud コンソールで、[VPC Service Controls] ページに移動します。

      [VPC Service Controls] に移動

    2. [VPC Service Controls] ページのテーブルで、変更するサービス境界の名前をクリックします。
    3. [編集] をクリックします。
    4. [VPC サービス境界の編集] ページで、[サービスを追加] をクリックします。
    5. [データベース センター](databasecenter.googleapis.com)を選択します。
    6. [保存] をクリックします。

    gcloud

    gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databasecenter.googleapis.com
    • PERIMETER_ID: 境界の ID または境界の完全修飾 ID。
    • POLICY_ID: アクセス ポリシーの ID。

アクセスレベルの作成と管理

アクセスレベルを作成して管理するには、境界の外部から保護されたリソースへのアクセスを許可するの手順に沿って操作します。