VPC Service Controls Dashboard の設定と確認方法

2025/09/18に公開されました。
2025/09/18に更新されました。

7月末にGAとなったVPC Service Controls Dashboard を設定から見ていきます。

Table of contents

author: yamasaki-h

はじめに

インフラチームのyamasaki-hです。
今回は2025年7月にGAとなったVPC Service Controls Dashboardの設定から内容まで確認していきます。

ダッシュボードの設定

VPC SCダッシュボードを利用するにはまずログルーターの設定が必要です。
設定するにあたりログルーターを設定するプロジェクトに対する以下の権限が必要です。

  • Logging管理者

VPC SC画面上部の「違反ダッシュボード」からダッシュボード画面を開きます。
vpc-sc
初回はログルーターの設定画面が表示されます。
ログを保管するプロジェクトとログバケットを選択してください。
ログバケットについてはこの画面で作成可能です。
log-setting
「ログルーターシンクを作成」ボタンをクリックすると数分間ログルーター作成中の表示があった後、ダッシュボード画面が表示されます。
dashboard-1

ログルーター設定の注意点

ログルーターを設定するプロジェクトがVPC SCによって保護されている場合、以下の通り許可設定を行う必要があります。

  • ログルーターシンクサービスアカウントへの上り許可(Cloud Logging API)
  • ダッシュボードを利用するユーザーへの上り許可(Cloud Logging API)

ダッシュボードを利用するユーザーにログルーターを設定したプロジェクトへの上り許可がない場合はエラーが表示され、ダッシュボードを利用できません。
dashboard-error

ダッシュボード画面

ダッシュボード画面は主に違反のリストと違反数の統計に分かれています。
ログルーターを設定する前のエラーについては表示されないため注意してください。
また、ダッシュボード画面の表示にはログルーターを設定したプロジェクトに対する以下の権限が必要です。

  • ログ表示アクセス者
  • VPC Service Controlsトラブルシューティング閲覧者

違反

違反のリストでは以下の項目を確認できます。

  • タイムスタンプ
  • トークンのトラブルシューティング
  • プリンシパル
  • プリンシパルIP
  • アクセス ポリシー
  • サービス境界
  • リソース
  • サービス
  • メソッド
  • テストを実行
  • トラフィックの方向

トークンのトラブルシューティング、アクセスポリシー、サービス境界はリンクになっておりそれぞれ違反分析ツール(2025/9/17現在プレビュー)、アクセスポリシーの設定画面、サービス境界の詳細画面に遷移します。

dashboard-violation

ドライラン実行時にこちらから直接エラーの修正や違反の分析ができるため、VPC SCエラーへの対応がより楽になるでしょう。

違反数

違反数では違反数をグラフで確認できたり各カテゴリ別に違反数上位の原因を確認できます。

violation-count-1
violation-count-2

こちらは本番運用時の違反の分析などに使えそうです。

違反分析ツール(2025/9/17現在プレビュー)

違反分析ツールはVPC SCのエラー原因などを確認できるツールです。
利用するには以下のAPIの有効化とIAM権限が必要です。

API

  • Policy Troubleshooter API

IAM権限

  • 組織レベルでのAccess Context Manager読み取りロール
  • ダッシュボードにてログルーターを設定したプロジェクトでのログビューアロール

また、ダッシュボードでログルーターを設定したプロジェクトにVPC SC境界が設定されている場合、アクセスレベルを利用して違反分析ツール利用者への許可設定を行う必要があります。

違反の詳細欄にて分析対象の違反の対象となっているユーザーやIPアドレスなどを確認できます。
また、違反の評価欄について違反当時ではなく現在の境界の状態での評価(許可、拒否)が表示されます。これにより、境界の修正がこの違反にどう影響するかをすぐに確認できます。

troubleshooter

おわりに

今回はVPC Service Controlsのダッシュボードの設定方法と内容について確認しました。
VPC Service Controlsはセキュリティを担保するうえで非常に重要な役割を持ちますが、設定や運用が非常に難しいです。
ダッシュボードを利用することで設定や運用が楽になれば幸いです。

また、VPC Service Controlsについて9/25(木) 11:00〜実際のコンソール画面を用いて詳しく解説させていただきますので以下よりお気軽にお申し込みください。

seminar

https://peatix.com/event/4564997/view?utm_source=blog&utm_medium=referral&utm_campaign=seminar_introduction

参考URL

違反ダッシュボードを設定して表示する
VPC Service Controls 違反アナライザを使用してアクセス拒否イベントを診断する

※本記事は、ジーアイクラウド株式会社の見解を述べたものであり、必要な調査・検討は行っているものの必ずしもその正確性や真実性を保証するものではありません。

※リンクを利用する際には、必ず出典がGIC dryaki-blogであることを明記してください。
リンクの利用によりトラブルが発生した場合、リンクを設置した方ご自身の責任で対応してください。
ジーアイクラウド株式会社はユーザーによるリンクの利用につき、如何なる責任を負うものではありません。

前の記事へ
【パート2】AIによるパラメータシートから単体テスト仕様書を自動生成
次の記事へ
グッバイ、Starlinkの一時停止。または僕は如何にして心配するのを止めてStarlinkを使い続けると決めたか