許容可能なリソース構成に関する予防制御

compute.disableNestedVirtualization

Compute Engine VM 上のネストされた仮想化が正しく構成されていないと、VM のモニタリング ツールやその他のセキュリティ ツールを回避されてしまう可能性があります。この制約により、ネストされた仮想化が作成されないようにします。

compute.disableSerialPortAccess

compute.instanceAdmin などの IAM ロールでは、SSH 認証鍵を使用したインスタンスのシリアルポートへの特権アクセスが許可されます。SSH 認証鍵が漏洩した場合、攻撃者がネットワークとファイアウォールの制御をバイパスしてシリアルポートにアクセスできてしまう可能性があります。この制約により、シリアルポートへのアクセスが防止されます。

compute.disableVpcExternalIpv6

外部 IPv6 サブネットが正しく構成されていないと、不正なインターネット アクセスにさらされる可能性があります。この制約により、外部 IPv6 サブネットの作成が防止されます。

compute.requireOsLogin

メタデータ内で SSH 認証鍵を設定するデフォルトの動作では、鍵が漏洩することで VM への不正なリモート アクセスが許可されてしまう可能性があります。この制約により、メタデータ ベースの SSH 認証鍵ではなく、OS Login の使用が強制されます。

compute.restrictProtocolForwardingCreationForTypes

外部 IP アドレスの VM プロトコル転送では、転送が正しく構成されていないと、不正なインターネット下り（外向き）トラフィックが発生する可能性があります。この制約により、内部アドレスに対してのみ VM プロトコル転送が許可されます。

compute.restrictXpnProjectLienRemoval

共有 VPC ホスト プロジェクトを削除すると、ネットワーキング リソースを使用するすべてのサービス プロジェクトが中断される可能性があります。この制約により、共有 VPC ホスト プロジェクトのプロジェクト リーエンの削除を防ぐことで、これらのプロジェクトの偶発的または悪意のある削除を防げます。

compute.setNewProjectDefaultToZonalDNSOnly

グローバル（プロジェクト全体）の内部 DNS の以前の設定は、サービスの可用性が低下するため推奨されません。この制約により、以前の設定を使用できなくなります。

compute.skipDefaultNetworkCreation

Compute Engine API を有効にしたすべての新しいプロジェクトでは、デフォルトの VPC ネットワークと制限の緩すぎるデフォルトの VPC ファイアウォール ルールが作成されます。この制約により、デフォルトのネットワークとデフォルトの VPC ファイアウォール ルールの作成がスキップされます。

compute.vmExternalIpAccess

デフォルトでは、VM は外部 IPv4 アドレスを使用して作成されますが、これは不正なインターネット アクセスにつながる可能性があります。この制約により、VM が使用できる外部 IP アドレスの空の許可リストが構成され、他の IP アドレスはすべて拒否されます。

essentialcontacts.allowedContactDomains

デフォルトでは、ドメインに関する通知を他の任意のドメインに送信するために重要な連絡先を構成できます。この制約により、承認されたドメイン内のメールアドレスのみを重要な連絡先の受信者として設定できるようになります。

iam.allowedPolicyMemberDomains

デフォルトでは、許可ポリシーは管理対象外のアカウントや外部組織に属するアカウントを含む、任意の Google アカウントに付与できます。この制約により、組織内の許可ポリシーはお客様のドメインの管理対象アカウントにのみ付与できるようになります。必要に応じて、追加のドメインを許可できます。

iam.automaticIamGrantsForDefaultServiceAccounts

デフォルトでは、デフォルトのサービス アカウントには制限の緩すぎるロールが自動的に付与されます。この制約により、デフォルトのサービス アカウントに IAM ロールが自動的に付与されなくなります。

iam.disableServiceAccountKeyCreation

サービス アカウント キーはリスクの高い永続的な認証情報であり、ほとんどの場合はサービス アカウント キーよりも安全な代替手段を使用できます。この制約により、サービス アカウント キーを作成できなくなります。

iam.disableServiceAccountKeyUpload

サービス アカウントの鍵マテリアルをアップロードすると、鍵マテリアルが漏洩した場合にリスクが高まる可能性があります。この制約により、サービス アカウント キーをアップロードできなくなります。

sql.restrictAuthorizedNetworks

Cloud SQL Auth Proxy を使用せずに承認済みネットワークを使用するようにインスタンスが構成されている場合、Cloud SQL インスタンスは未認証のインターネット アクセスにさらされる可能性があります。このポリシーにより、データベース アクセス用の承認済みネットワークの構成が禁止され、代わりに Cloud SQL Auth Proxy の使用が強制されます。

sql.restrictPublicIp

Cloud SQL インスタンスがパブリック IP アドレスを使用して作成されている場合、そのインスタンスは未認証のインターネット アクセスにさらされる可能性があります。この制約により、Cloud SQL インスタンスでパブリック IP アドレスを使用できなくなります。

storage.uniformBucketLevelAccess

デフォルトでは、Cloud Storage 内のオブジェクトには IAM ではなく以前のアクセス制御リスト（ACL）を使用してアクセスできます。そのため、構成が正しくないと、アクセス制御が一貫していなかったり、誤って公開されたりする可能性があります。以前の ACL アクセスは iam.allowedPolicyMemberDomains 制約による影響を受けません。この制約により、以前の ACL ではなく、IAM の均一なバケットレベルのアクセスを介してのみアクセスを構成できるようになります。

storage.publicAccessPrevention

Cloud Storage バケットは、正しく構成されていないと、未認証のインターネット アクセスにさらされる可能性があります。この制約により、allUsers と allAuthenticatedUsers へのアクセスを許可する ACL 権限と IAM 権限を付与できなくなります。