VPC Service Controls を使用すると、Google マネージド サービスからのデータの不正コピーや転送のリスクを軽減できます。
VPC Service Controls を使用すると、Google マネージド サービスのリソースにサービス境界を構成し、境界をまたがるデータの移動を制御できます。
サービス境界を作成する
サービス境界を作成するには、VPC Service Controls ガイドに従ってサービス境界を作成します。
サービス境界を設計するときに、次のサービスを含めます。
- Migration Center API(
migrationcenter.googleapis.com) - Cloud Storage API(
storage.googleapis.com) - Resource Manager API(
cloudresourcemanager.googleapis.com) - Cloud Logging API(
logging.googleapis.com)
上り(内向き)データ転送ルールでトラフィックを許可する
デフォルトでは、サービス境界は境界外のサービスからのインバウンド データ転送を防ぐように設計されています。データ インポートを使用して境界外からデータをアップロードする場合、またはディスカバリー クライアントを使用してインフラストラクチャ データを収集する場合は、これを許可するようにデータアクセス ルールを構成します。
データ インポートを有効にする
データ インポートを有効にするには、次の構文を使用してインバウンド データ転送ルールを指定します。
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.buckets.testIamPermissions
- method: google.storage.objects.create
resources:
- projects/PROJECT_ID
以下を置き換えます。
SERVICE_ACCOUNT: Migration Center にデータをアップロードするために使用するプロダクトごと、プロジェクトごとのサービス アカウント。service-PROJECT_NUMBER@gcp-sa-migcenter.iam.gserviceaccount.com.形式を使用します。ここで、
PROJECT_NUMBERは、Migration Center API を有効にしたGoogle Cloud プロジェクトの固有識別子です。プロジェクト番号の詳細については、プロジェクトの識別をご覧ください。PROJECT_ID: データをアップロードする境界内のプロジェクトの ID。
署名付き URL で ANY_SERVICE_ACCOUNT と ANY_USER_ACCOUNT の ID タイプを使用することはできません。詳しくは、境界の外部から保護されたリソースへのアクセスを許可するをご覧ください。
ディスカバリー クライアントでデータ収集を有効にする
ディスカバリー クライアントでデータ収集を有効にするには、次の構文でインバウンド データ転送ルールを指定します。
- ingressFrom:
identities:
- serviceAccount: SERVICE_ACCOUNT
sources:
- accessLevel: \"*\"
- ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: \"*\"
resources:
- projects/PROJECT_ID
以下を置き換えます。
SERVICE_ACCOUNT: ディスカバリ クライアントの作成に使用したサービス アカウント。詳細については、ディスカバリー クライアントのインストール プロセスをご覧ください。PROJECT_ID: データをアップロードする境界内のプロジェクトの ID。