VPC Service Controls を使用した Google Cloud Search データに関するセキュリティ上の境界の作成
2021年4月29日木曜日
この記事は 4 月 21 日に英語版ブログに掲載された記事を翻訳したものです。
Google Cloud Search で、VPC Service Controls(VPC-SC)(英語) がサポートされることになりました。これらを使って制御することで、Google Cloud Search リソースに関するサービス境界を定義し、以下のようなコンテキスト属性に基づいてアクセスを許可するポリシーを作成できるようになります。
- IP アドレス: 元のリクエストの IP アドレスに基づいて、アクセスレベルを設定できます。
- デバイスの種類とオペレーティング システム: オペレーティング システムとバージョンを含むユーザーのデバイスに基づいて、アクセスレベルを設定できます。
- ユーザーの ID: ユーザーの ID に基づいて、アクセスレベルを設定できます。
この方法には、次のようなメリットがあります。
- 境界内のリソースにアクセスできるのは、承認済みの VPC ネットワークを使用するユーザーのみです。
- 境界内のリソースにアクセスできるクライアントは、境界外のリソースにはアクセスできません。
- 境界外の承認されていないリソースに、データをコピーすることはできません。
- 境界内のリソースへのインターネットからのアクセスは、許可リストに登録された IPv4 範囲と IPv6 範囲の IP アドレスを使用した場合のみ可能です。
詳しくは、VPC Service Controls の概要 (英語) をご覧ください。
管理者とエンドユーザー
データ セキュリティはすべての企業で最優先されるべき事項です。VPC Service Controls を使用すれば、Google Cloud Search のフルマネージド ドキュメント インデックス登録機能と検索機能を使用する際に、パブリック ネットワークからの機密データへのアクセスを制限できます。
このマネージド サービスを使用して、クラウド リソースとハイブリッド VPC ネットワークの間で限定公開の通信を構成 (英語) できます。オンプレミス ネットワークから Google Cloud Search に保存されたデータにセキュリティの境界を拡大することにより、Cloud Search のインデックス登録と機密データを安全に使用できます。
- 管理者: この機能はデフォルトで無効になっていますが、ドメイン単位で有効にすることができます。VPC Service Controls のクイックスタート ガイドで、Google Cloud Console で VPC Service Controls を使用してサービス境界を設定する方法 (英語) をご確認ください。
- エンドユーザー: この機能にエンドユーザー向けの設定はありません。
- 即時リリース / 計画的リリースを利用しているドメイン: 2021 年 4 月 21 日より、完全に展開(1~3 日で機能が実装されます)
- Google Cloud Search、Google Workspace Enterprise Plus をご利用のお客様
- Google Workspace Essentials、Business Starter、Business Standard、Business Plus、Enterprise Essentials、Enterprise Standard、Education Fundamentals、Education Plus、Frontline、Nonprofits、および G Suite Basic、Business をご利用のお客様は対象外