このドキュメントでは、Data Engineering Agent をサポートするように VPC Service Controls を構成する方法について説明します。VPC Service Controls を Data Engineering Agent とともに使用すると、データの引き出しのリスクを軽減できます。
VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
制限事項
- Gemini Data Analytics(
geminidataanalytics.googleapis.com)、Dataform(dataform.googleapis.com)、BigQuery(bigquery.googleapis.com)、Knowledge Catalog(dataplex.googleapis.com)、Cloud Storage(storage.googleapis.com)はすべて、同じ VPC Service Controls サービス境界内で制限する必要があります。 - VPC Service Controls 境界内の Dataform に適用される制限は、Gemini Data Analytics を使用する場合にも適用されます。
これには、
dataform.restrictGitRemotes組織のポリシーを設定する必要があります。詳細については、制限事項をご覧ください。
セキュリティ上の考慮事項
Gemini Data Analytics 用に VPC Service Controls 境界を設定する場合は、Dataform サービス エージェントやカスタム サービス アカウントなど、サービス エージェントとアカウントに付与された権限を確認して、セキュリティ アーキテクチャとの整合性を確保します。これらのアカウントに付与された権限によって、境界内のリソースへのアクセス権が決まります。
始める前に
- Gemini Data Analytics を使用するユーザーまたはサービス アカウントに必要な IAM 権限があることを確認します。必要な権限
geminidataanalytics.locations.useDataEngineeringAgentを含むロールroles/geminidataanalytics.dataAgentStatelessUserを付与できます。 VPC Service Controls 境界内から呼び出しが行われる場合でも、Gemini Data Analytics API とのやり取りにはこれらの IAM ロールが必要です。 - VPC Service Controls サービス境界を構成する前に、
dataform.restrictGitRemotes組織のポリシーを設定する必要があります。このポリシーにより、Gemini Data Analytics を介して Dataform 機能を使用するときに、VPC Service Controls がチェックを適用します。詳細については、リモート リポジトリを制限するをご覧ください。
API を有効にする
Gemini Data Analytics、Dataform、BigQuery の各 API を有効にします。
API を有効にするために必要なロール
API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。
必要なロール
VPC Service Controls サービス境界の構成に必要な権限を取得するには、プロジェクトに対するAccess Context Manager 編集者 (roles/accesscontextmanager.policyEditor)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。
必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。
VPC Service Controls の権限の詳細については、IAM によるアクセス制御 をご覧ください。
VPC Service Controls を構成する
新しいサービス境界を作成する場合は、 次の API を同じサービス境界に含める必要があります。
geminidataanalytics.googleapis.comdataform.googleapis.combigquery.googleapis.comdataplex.googleapis.comstorage.googleapis.com
既存のサービスがある場合は、同じサービス境界内に必要な 3 つの API を含めるようにサービス境界を更新 できます。
次のステップ
- VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
- Dataform での VPC Service Controls の統合の詳細については、Dataform 用に VPC Service Controls を構成するをご覧ください。
- BigQuery での VPC Service Controls の統合の詳細については、BigQuery の VPC Service Controls をご覧ください。
- 組織のポリシー サービスの詳細については、組織のポリシー サービスの概要をご覧ください。