Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC Service Controls を使用する

VPC Service Controls は、データの引き出しを防ぐためのサービス境界を設定できる Google Cloud 機能です。

Developer Connect の VPC Service Controls は、外部のソースコード管理システムへの引き出しを防ぐことはできません。このガイドでは、カスタム組織ポリシーを使用して、このようなシナリオをブロックする追加の制御について説明します。 SCMS

VPC Service Controls の使用方法については、VPC Service Controls を使用してサービス境界を設定するをご覧ください。

作成するカスタム組織ポリシーは、デベロッパーが接続を作成できる対象を制限します。
作成デベロッパーが特定の Service Directory リソースを介してのみ接続を作成および更新できるようにするカスタム組織ポリシーを作成します。

始める前に

このガイドのコマンドラインの例を使用するには、 Google Cloud CLI をインストールして構成します。

必要なロール

カスタム組織ポリシーを作成または編集するために必要な権限を取得するには、組織のリソースに対する組織ポリシー管理者（roles/orgpolicy.policyAdmin）の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

チームが接続を作成できる SCMS を制限する制約を作成する

SCMS へのデータの引き出しの可能性を軽減する方法の 1 つは、接続を許可する SCMS を制限することです。1 つ以上の指定された SCMS への接続を許可するカスタム組織ポリシーを作成できます。

次の組織ポリシーでは、リポジトリ接続を制限して、GitHub Enterprise への接続のみを許可します。

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
  Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net

Service Directory を介した接続を必須とする制約を作成する

指定された Service Directory エンドポイントへの接続のみを許可するカスタム組織ポリシーを作成することで、データの引き出しの可能性を軽減できます。

次の組織ポリシーでは、特定の Service Directory エンドポイントへの接続のみを許可します。

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
  resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
  Allows creation/update of Developer Connect connections only through a specific Service Directory resource

次のステップ

詳細を確認するカスタム組織ポリシーの作成について。
VPC Service Controls の詳細を確認する。
Service Directory の詳細を確認する。