VPC Service Controls は Google Cloud の機能で、データ漏洩を防ぐためのサービス境界を設定できます。
Developer Connect の VPC Service Controls は、外部のソースコード管理システムへのデータ漏洩を防ぎません。このガイドでは、カスタム組織ポリシーを使用してこれらのシナリオをブロックするのに役立つ追加の制御について説明します。SCMS
VPC Service Controls の使用方法については、VPC Service Controls を使用してサービス境界を設定するをご覧ください。
開発者が接続を作成できる対象を制限するカスタム組織ポリシーを作成します。
特定の Service Directory リソースを介してのみ接続を作成および更新できるようにするカスタム組織のポリシーを作成します。
始める前に
このガイドのコマンドラインの例を使用するには、Google Cloud CLI をインストールして構成します。
必要なロール
カスタムの組織のポリシーを作成または編集するために必要な権限を取得するには、組織のリソースに対する組織ポリシー管理者 (roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。
チームが接続を作成できる SCMS を制限する制約を作成する
SCMS へのデータ引き出しの可能性を軽減する方法の 1 つは、接続を許可する SCMS を制限することです。1 つ以上の指定された SCMS への接続を許可するカスタム組織のポリシーを作成できます。
次の組織のポリシーは、リポジトリ接続を制限して、GitHub Enterprise への接続のみを許可します。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.githubEnterpriseConfig.hostUri=="https://github.mycompany.net"
actionType: ALLOW
displayName: Connection GitHub Enterprise Host Constraint
description: |
Allows creation/update of Developer Connect connections only to GitHub Enterprise host github.mycompany.net
Service Directory 経由の接続を必須にする制約を作成する
指定された Service Directory エンドポイントへの接続のみを許可するカスタム組織のポリシーを作成することで、データ漏洩の可能性を軽減できます。
次の組織のポリシーでは、特定の Service Directory エンドポイントへの接続のみが許可されます。
name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- developerconnect.googleapis.com/Connection
methodTypes:
- CREATE
- UPDATE
condition: |
resource.gitlabEnterpriseConfig.serviceDirectoryConfig.service=="projects/my-project/locations/us-central1/namespaces/ns/services/myendpoint"
actionType: ALLOW
displayName: Connection GitLab Enterprise Service Directory endpoint
description: |
Allows creation/update of Developer Connect connections only through a specific Service Directory resource
次のステップ
カスタム組織のポリシーの作成について詳しくは、こちらをご覧ください。
VPC Service Controls の詳細を確認する。
Service Directory の詳細については、こちらをご覧ください。