Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

エージェントとアプリケーションの制御

このドキュメントでは、でワークロードを実行する際のエージェントとアプリケーションのベストプラクティスとガイドラインについて説明します。 Google Cloud

アーティファクトの脆弱性スキャンを構成する

Google コントロール ID	AR-CO-6.2
実装	必須
説明	Artifact Analysis などのツールを使用して、Artifact Registry 内のイメージとパッケージの脆弱性をスキャンします。サードパーティのスキャンツールを使用する場合は、これらのツールを正しくデプロイして、Artifact Registry でイメージとパッケージの脆弱性をスキャンする必要があります。
対象プロダクト	Artifact Registry Artifact Analysis
パス	`serviceusage.getservice`
演算子	`=`
値	`containerscanning.googleapis.com`
関連する NIST-800-53 コントロール	RA-5 SI-5 SA-5 SR-8 CA-7
関連する CRI プロファイルコントロール	ID-RA-1.1 ID-RA-1.2 ID-RA-3.1 ID-RA-3.2 ID-RA-3.3 PR.IP-7.1 PR.IP-8.1 PR.IP-12.1 PR.IP-12.2 PR.IP-12.3 PR.IP-12.4 DE.CM-8.1 DE.CM-8.2 DE.DP-4.1 DE-DP-4.2 DE-DP-5.1 RS.CO-3.1 RS.CO-3.2 RS.CO-5.2 RS.CO-5.3 RS.AN-5.1 RS.AN-5.2 RS-AN-5.3 RS.MI-3.1 RS-MI-3.2
関連情報	Artifact Analysis と脆弱性スキャン

許可されたプライベートプールを定義する

Google コントロール ID	CBD-CO-6.1
実装	必須
説明	`cloudbuild.allowedWorkerPools` リスト型制約を使用すると、組織、フォルダ、プロジェクト内で使用できる許可されたプライベートプールを定義できます。ワーカープールの許可リストまたは拒否リストを定義するには、次のいずれかの形式を使用します。 `under:organizations/ORGANIZATION_ID` `under:folders/FOLDER_ID` `under:projects/PROJECT_ID` `projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID`
対象プロダクト	組織ポリシーサービス Cloud Build
パス	`constraints/cloudbuild.allowedWorkerPools`
演算子	`=`
型	文字列
関連する NIST-800-53 コントロール	AC-3 AC-5 AC-6 AC-12 AC-17 AC-20
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
関連情報	プライベートプールの使用を強制適用する

ビルドトリガーを呼び出すことができる外部サービスを定義する

Google コントロール ID	CBD-CO-6.2
実装	必須
説明	`cloudbuild.allowedIntegrations` 制約により、どの外部サービス（GitHub など）がビルドトリガーを呼び出すことができるかを定義します。たとえば、ビルドトリガーが GitHub リポジトリの変更をリッスンしていて、この制約で GitHub が拒否されている場合、トリガーは実行されません。組織またはプロジェクトで、任意の数の許可値または拒否値を指定できます。
対象プロダクト	組織ポリシーサービス Cloud Build
パス	`constraints/cloudbuild.allowedIntegrations`
演算子	`=`
型	リスト
関連する NIST-800-53 コントロール	AC-3 AC-12 AC-17 AC-20
関連する CRI プロファイルコントロール	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
関連情報	組織のポリシーに基づくゲートビルド

アーティファクトのクリーンアップポリシーを作成する

Google コントロール ID	AR-CO-6.1
実装	ユースケースに基づく推奨
説明	クリーンアップポリシーは、アーティファクトの多くのバージョンを保存していて、本番環境にリリースする特定のバージョンのみを保持する必要がある場合に便利です。アーティファクトの削除と保持に別々のクリーンアップポリシーを作成します。
対象プロダクト	Artifact Registry
関連する NIST-800-53 コントロール	SI-12
関連する CRI プロファイルコントロール	PR.IP-2.1 PR.IP-2.2 PR.IP-2.3
関連情報	クリーンアップポリシーを構成する

次のステップ

セキュリティに関するその他のGoogle Cloud ベストプラクティスとガイドラインを確認する。

特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。

最終更新日 2026-05-21 UTC。