Cloud Storage バケットに保存された機密データへのアクセスを特定の VPC ネットワークからのみに制限したいと考えています。データが VPC 外部に漏洩しないようにするための最も適切な方法はどれですか?
- A. Cloud Armor でバケットへのアクセスをフィルタリングする
- B. VPC Service Controls でサービス境界を設定する
- C. バケットに IAM ポリシーで特定のサービスアカウントのみアクセスを許可する
- D. バケットを非公開にして HTTPS アクセスのみを許可する
解答と解説を見る
正解: B
VPC Service Controls(VPC-SC)を使うと、Cloud Storage・BigQuery などのマネージドサービスの周囲に「サービス境界」を設定できます。境界内のリソースへのアクセスは、指定した VPC ネットワーク内またはアクセスポリシーで許可したアクセスレベルからのみ可能になります。インターネット経由(VPC 外)からのアクセスは拒否されます。IAM ポリシーでのサービスアカウント制限はユーザー/アカウント単位の制御で、ネットワーク経路の制限はできません。バケットを非公開にするのは公開アクセスの防止ですが、VPC 外からの認証済みアクセスは防げません。Cloud Armor は HTTP(S) ロードバランサーへの保護で、Cloud Storage バケットへの直接アクセスには適用されません。
📚 関連サービスの解説: VPC ネットワーク