このページでは、VPC Service Controls を使用してサービス境界で Managed Lustre インスタンスを保護する方法について説明します。
VPC Service Controls はデータの引き出しを防止し、インスタンスにセキュリティ保護のレイヤを追加します。VPC Service Controls についてのさらに詳しい内容は、VPC Service Controls の概要をご覧ください。
サービス境界によって Managed Lustre API が保護されるようになると、境界外のクライアントから送られてくる Managed Lustre API リクエストは、適切なアクセスレベル ルールを備えている必要があります。
VPC Service Controls を使用した Google Cloud Managed Lustre インスタンスの保護
Managed Lustre API をサービス境界に追加します。サービス境界にサービスを追加する手順については、サービス境界を更新するをご覧ください。
顧客管理の暗号鍵(CMEK)で VPC Service Controls を使用する
VPC Service Controls の境界内に CMEK で保護された Managed Lustre インスタンスを作成する場合、Cloud KMS 鍵は次のいずれかである必要があります。
- 同じ VPC Service Controls 境界内。
- 下り(外向き)ルールでアクセス可能。
CMEK で保護されたインスタンスと Cloud KMS 鍵が同じ境界内にある場合、追加の構成は必要ありません。
Cloud KMS 鍵が境界外にある場合は、VPC Service Controls の境界に次のルールを追加します。
{
"egressFrom": {
"identityType": "ANY_SERVICE_ACCOUNT",
"sourceRestriction": "SOURCE_RESTRICTION_ENABLED",
"sources": [
{
"resource": "projects/CONSUMER_PROJECT_NUMBER"
}
]
},
"egressTo": {
"operations": [
{
"methodSelectors": [{"method": "*"}],
"serviceName": "cloudkms.googleapis.com"
}
],
"resources": [
"projects/KMS_PROJECT_NUMBER"
]
}
}
プレースホルダを次のように置き換えます。
- CONSUMER_PROJECT_NUMBER は、CMEK で保護された Managed Lustre インスタンスを含むプロジェクトのプロジェクト番号です。
- KMS_PROJECT_NUMBER は、Cloud Key Management Service 鍵を含むプロジェクトのプロジェクト番号です。
プロジェクト番号を確認する方法をご覧ください。
マネージド Lustre インスタンスに対する VPC Service Controls の制限事項
Managed Lustre で VPC Service Controls を使用する場合、次の制限が適用されます。
- 共有 VPC と VPC Service Controls の両方を使用する場合、ネットワークを含むホスト プロジェクトと Managed Lustre インスタンスを含むサービス プロジェクトの両方が同じ境界内にある必要があります。ホスト プロジェクトとサービス プロジェクトを境界で分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスの作成が妨げられる可能性があります。