VPC Service Controls を使うと、Google Cloud リソースのサービス境界を定義して、データのセキュリティを強化できます。このサービス境界により、境界を越えるデータの移動が制限され、データの引き出しのリスクが軽減されます。
前提条件
この記事では、次のことを前提としています。
- Ads Data Hub アカウントに管理者プロジェクトを指定している。
- サービス アカウントを更新して、
gcp-sa-adsdatahub.iam.gserviceaccount.comを含むメールアドレスに変更している。この作業がお済みでない場合、または作業が必要かどうかご不明な場合は、Ads Data Hub サポートにお問い合わせください。 - お客様のアカウントを VPC Service Controls 向けに設定するよう Ads Data Hub サポートに依頼している。
VPC Service Controls を有効にする
VPC Service Controls のセットアップがお済みでない場合は、VPC Service Controls のクイックスタートをご覧ください。このクイックスタートでは、VPC Service Controls の初期設定について説明されています。初期設定が完了したら、次の手順を行います。
Ads Data Hub 固有の設定
- VPC Service Controls コンソールに移動し、既存のサービス境界を選択します。
- 境界内で保護するプロジェクトを追加します。管理者プロジェクトと、Ads Data Hub へのデータの入出力のために使用するプロジェクトを含める必要があります。
- Ads Data Hub と BigQuery を境界内の制限付きサービスとして追加します。
- VPC Service Controls では、境界内のすべてのサービスを制限することがすすめられています。
制限事項
Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、ユーザー提供データ マッチング、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub を制限付きサービスとして追加する場合、これらの機能については、機能性を維持するため VPC Service Controls のポリシーの適用対象外となります。
依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls では、境界にすべてのサービスを含めること(「すべてのサービスを制限する」こと)が推奨されています。
2 階層型の Ads Data Hub アカウント構造をご利用のお客様(子会社がある代理店など)は、すべての管理者プロジェクトを同じ境界内に設定する必要があります。また、管理が煩雑になることを避けるため、2 階層型のアカウント構造を使用するお客様は、管理者プロジェクトを同一の Google Cloud 組織内に作成することをおすすめします。