アクセンチュア株式会社テクノロジーコンサルティング本部金融サービスグループ プリンシパル・ディレクターの青柳雅之です。これより複数回にわたり、Google Cloud のランディング ゾーンの設計をベースに、複数の金融機関向けにGoogle Cloudの基盤を構築した際の設計のポイントを紹介していきます。ランディング ゾーンの設計においては、組織・VPC・API・端末・ユーザーごとに多層的なアクセス制御を設けることが重要です。
アクセス可能な組織の制御
ユーザーの要求:会社端末から会社の組織のプロジェクトのみにアクセスさせ個人アカウントの組織のプロジェクトにはアクセスさせない
会社の端末からブラウザを起動し、Google Cloudにコンソールにアクセスする際、何も対策しない場合は、会社の端末から個人のGoogle Cloudのアカウントで個人の組織のプロジェクトにアクセスできてしまいます。その結果、会社の資産がその個人の組織のプロジェクトにアップロードされてしまう可能性があります。
Proxy Serverへのヘッダーの追加
これを避けるには、次のような実装をオンプレミスのProxy Serverに行います。
Google Cloud環境では、オンプレミスのProxy Serverを活用し、アクセス可能なGoogle Cloud組織IDをリクエストヘッダーに追加することで、特定の組織以外へのアクセスを制限できます。これにより、社内環境からのみ安全にGoogle Cloudへアクセスできる仕組みを実現します。Proxy Serverでヘッダーに設定されていない組織はGoogle Cloud側でアクセス拒否されるため、複数組織を利用する場合は追加設定が必要です。
この実装ではGoogle Cloud側は何の設定もいらず、Proxy Server側のみに設定が必要です。
詳細な実装は以下に記載があります。
参考:https://cloud.google.com/resource-manager/docs/organization-restrictions/configure-organization-restrictions?hl=ja1
アクセンチュア株式会社に所属する社員有志による運営です。アクセンチュアの社員による様々な発信をまとめています。なお、投稿内容は社員個人の見解であり、所属する組織を代表するものではありません。
Discussion