【ふわっとわかる Google Cloud】VPC Service Controls(VPCSC)とは?

API

「世の中には難しいことが多い!」と感じることが多い私が、様々な用語を、初学者向けにわかりやすく全力で解説します。

解説する用語

VPC Service Controlsについて解説をします。VPC Service ControlsはVPCSCとも呼びます。筆者自身、組織に適用されたVPCSCに何度苦しめられたことか、、ということを思い出しながら解説をしていきます。

VPC Service Controlsとは

VPC Service Controlsとは、仮想的な境界を用いて、Google Cloud APIへのアクセスを保護することが出来るGoogle Cloudのサービスです。

そういわれてもよく分からないという方はぜひ読み進めてください。

詳細に説明するよ

VPC Service Controlsを詳細に説明をしていきます。VPC Service Controlsを理解するために必要なことを一つ一つ解説していきますので、知っている場合は適宜読み飛ばしてください。

Google Cloudのプロジェクトとは

Google Cloudは「リソース」を「プロジェクト」という単位で管理していきます。

リソースとは、Google Cloudで構築をしたサービスの構成要素のことです。

例えば、Google Cloudでは仮想サーバーを提供するCompute Engineやデータベースサーバーを提供するCloud SQLなどのサービスがあります。

Compute EngineCloud SQLなど、Google Cloudで構成された要素のことをリソースと呼びます。

プロジェクトとはリソースを管理する最小単位のことです。

Google Cloudでは、プロジェクトという単位でリソースを管理します。Google Cloudを使用する場合はプロジェクトを作成し、プロジェクトの中にリソースを作成していきます。

Google Cloud APIとは?

Google Cloud APIとはGoogle Cloudを使用するためのAPIのことです。Google CloudはAPIを呼び出して使用します。

例えば、Google Cloudには、Cloud Storageというサービスがあります。Cloud Storageはファイルなどのデータを保存することが出来るストレージサービスです。

ユーザーは「ファイルをアップロード」ボタンを押して、Cloud Storageにファイルをアップロードします。以下は実際の操作画面です。

ユーザーは意識しませんが、このような操作をする際に裏ではGoogle CloudのAPIが呼ばれています。

とにかく「Google Cloudを使用する際にはAPIが呼ばれているんだな~」と理解していただければと思います。

VPC Service Controlsとは

VPC Service Controls(VPCSC)とは、仮想的な境界を引くことで、Google CloudのAPIへのアクセスを制御することが出来る設定のことです。ここで言う「仮想的な境界」とは、「実際に境界はないんだけど境界っぽい感じになっているから境界って表現しているよ」ということです。

そういわれてもピンとこないかと思いますので、具体的に見ていきましょう。

例えば、プロジェクトにVPCSCを設定するとしましょう。以下の図のように、プロジェクトに境界が引かれます。

境界が引かれたので、以下のようにアクセス制限がかけられます。

  1. 境界の外からアクセスができなくなる
  2. 境界内部のリソースは境界の外にアクセスすることができなくなる
  3. 境界内部でのアクセスはすることができる

境界を引いたことで、Cloud StorageやBigqueryなどにあるデータが外部に流出するリスクを減らすことが出来ますね。

境界を引くためのリソースを指定することも可能です。以下では、Cloud Storageにのみ境界を引いています。

このように、VPCSCを使用することで、不正なアクセスからGoogle Cloudのリソースを守ることが出来ます。また、外部へのデータ漏洩のリスクも軽減することが出来ます。

境界を通るためのルールを決めることが出来る

ユーザーはVPCSCで作成した境界を通るためのルールを決めることが出来ます。ルールはプロジェクトへの内向きと外向きの通信でそれぞれ設定することが出来ます

境界を通るためのアクセスレベルを設定できる

アクセスレベルの設定をすることが出来ます。アクセスレベルとは、境界内部へのアクセスをどのレベルで許可するのかという設定です。以下でどのようなレベルで設定できるのかを説明します。

IPアドレスによってアクセス制限をする

送信元のIPアドレスによってアクセス制限をすることが出来ます。許可できるのはパブリックなIPアドレスのみになります。パブリックなIPアドレスとは、だれでもインターネットを使用して接続することが出来るIPアドレスのことです。

IDに応じてアクセス制限をする

送信元のサービスアカウントなどのIDによってアクセス制限をすることが出来ます。サービスアカウントとは、人間だけでなく、システムも使用することが出来るアカウントのことです。

デバイス属性に応じてアクセス制限をする

送信元のデバイスによってアクセス制限をすることが出来ます。WindowsやMac、ChromeなどOSレベルで制限することが可能です。なんだか争いが起こりそうですね。。

まとめ

VPC Service Controls(VPCSC)とは、仮想的な境界を用いて、Google Cloud APIへのアクセスを保護することが出来る、Google Cloudのサービスです。VPCSCを使用することで、セキュリティを向上させることが出来ます。

参考

VPC Service Controls の概要  |  Google Cloud
cloud.google.com

本サイトでの注意事項

本サイトではなんとなく理解することを目的としているため正確性に欠ける表現があります。より正確な情報を詳しく知りたい場合は公式ドキュメントを参照ください。

スポンサーリンク
タイトルとURLをコピーしました