このページでは、VPC Service Controls を使用して、サービス境界で Managed Lustre インスタンスを保護する方法について説明します。
VPC Service Controls はデータの引き出しを防止し、インスタンスにセキュリティ保護のレイヤを追加します。VPC Service Controls についてのさらに詳しい内容は、 VPC Service Controls の 概要をご覧ください。
Managed Lustre API がサービス境界で保護されるようになると、境界外のクライアントから送られてくる Managed Lustre API リクエストは、適切なアクセスレベル ルールを備えている必要があります。
VPC Service Controls を使用して Google Cloud Managed Lustre インスタンスを保護する
Managed Lustre API をサービス境界に追加します。サービス境界にサービスを追加する手順については、 サービス境界を更新するをご覧ください。
顧客管理の暗号鍵(CMEK)で VPC Service Controls を使用する
VPC Service Controls 境界内に CMEK で保護された Managed Lustre インスタンスを作成する場合、Cloud KMS 鍵は次のいずれかである必要があります。
- 同じ VPC Service Controls 境界内にある。
- 下り(外向き)ルールを使用してアクセスできる。
CMEK で保護されたインスタンスと Cloud KMS 鍵が同じ境界内にある場合は、追加の構成は必要ありません。
Cloud KMS 鍵が 境界外にある場合は、次のルールを VPC Service Controls 境界に追加します。
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
プレースホルダを次のように置き換えます。
- CONSUMER_PROJECT_NUMBER は、CMEK で保護された Managed Lustre インスタンスを含むプロジェクトのプロジェクト番号です。
- KMS_PROJECT_NUMBER は、 Cloud Key Management Service 鍵を含むプロジェクトのプロジェクト番号です。
プロジェクト番号を確認する方法を ご覧ください。
Managed Lustre インスタンスに対する VPC Service Controls の制限事項
Managed Lustre で VPC Service Controls を使用する場合、次の制限が適用されます。
- 共有 VPC と VPC Service Controls の両方を使用する場合、ネットワークを含むホスト プロジェクトと、Managed Lustre インスタンスを含むサービス プロジェクトは、両方とも同じ境界内にある必要があります。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できなくなる可能性があります。