VPC Service Control
from Cloud VPC
VPC Service Controls の概要  |  Google Cloud
サービス境界を定義し、必要な 通信・API だけ通すのを許可する
境界はデフォルトでブロック
上り(内向き): 境界外から、内へのアクセス
下り(外向き): 教会内から外の Google Cloud リソース (インターネットやサードパーティはブロックされない)
1プロジェクトあたり境界は1つだけ
egressTo で serviceName を指定したり、egressFrom で identityType を設定したり
特定のプロジェクト間だけで Cloud Storage を参照可能にするとか
用語集 - VPC Service Controls の概要  |  Google Cloud
用語集よい
サービス境界の詳細と構成  |  VPC Service Controls  |  Google Cloud
Google API とサービスへのプライベート接続の設定  |  VPC Service Controls  |  Google Cloud
egressTo と egressFrom の違い
上り(内向き)と下り(外向き)のルール  |  VPC Service Controls  |  Google Cloud
To = Google Cloud サービスやリソースを指定
From = クライアント属性、ANY_IDENTITY は任意のユーザやSA
境界ブリッジ
ブリッジを使用して境界を越えて共有する  |  VPC Service Controls  |  Google Cloud
サービス境界同士で通信する口を定義する
同じ組織内だけ
👉 Cloud VPC Peering は組織超えれる
ドライランモード
サービス境界のドライラン モード  |  VPC Service Controls  |  Google Cloud
構成変更前の確認
ログに記録されるもの
境界の適用済みの構成によってリクエストが拒否されていない。
リクエストが、境界のドライラン構成に違反している。