割り当てと上限

このドキュメントでは、VPC Service Controls に適用される割り当てと上限について説明します。このドキュメントに示されている割り当てと上限は変更される場合があります。

割り当ての使用の計算は、自動適用モードとドライラン モードの使用の合計に基づいて行われます。たとえば、サービス境界が自動適用モードで 5 つのリソースを保護し、ドライラン モードで 7 つのリソースを保護している場合は、両方の合計(12)が、対応する上限と比較されます。また、個々のエントリはそれぞれが 1 つとしてカウントされます。これは、エントリがポリシー内のどこにあっても同様です。たとえば、1 つのプロジェクトが 1 つの通常の境界と 5 つのブリッジ境界に含まれている場合、6 つのインスタンスがすべてカウントされ、重複除去は行われません。

ただし、VPC Service Controls ではサービス境界の上限が異なる方法で計算されます。詳細については、このドキュメントのサービス境界の上限をご覧ください。

Trusted Cloud コンソールで割り当てを表示する

  1. Trusted Cloud コンソールのナビゲーション メニューで [セキュリティ]、[VPC Service Controls] の順にクリックします。

    [VPC Service Controls] に移動

  2. プロンプトが表示されたら、組織、フォルダ、またはプロジェクトを選択します。

  3. [VPC Service Controls] ページで、割り当てを表示するアクセス ポリシーを選択します。

  4. [View Quota] をクリックします。

    [割り当て] ページには、次のアクセス ポリシーの上限に対して使用状況の指標が表示されます。これらの上限は、特定のアクセス ポリシーのすべてのサービス境界に累積的に適用されます。

    • サービス境界
    • 保護対象リソース
    • アクセスレベル
    • 上り(内向き)属性と下り(外向き)属性の合計

サービス境界の上限

各サービス境界の構成には、次の上限が適用されます。この上限は、境界のドライラン構成と自動適用構成に個別に適用されます。

種類 上限
属性 6,000 この上限は、上り(内向き)ルールと下り(外向き)ルールで指定された属性の合計数に適用されます。属性の上限には、これらのルール内のプロジェクト、VPC ネットワーク、アクセスレベル、メソッド セレクタ、ID、ロールへの参照が含まれます。属性の合計数には、メソッド、サービス、プロジェクトの属性でワイルドカード文字 * が使用されている場合も含まれます。

属性の上限に関する考慮事項

VPC Service Controls では、次の上り(内向き)ルールと下り(外向き)ルールのフィールドの各エントリが 1 つの属性としてカウントされます。

ルールブロック フィールド
ingressFrom
  • sources
  • identities
ingressTo
  • resources
  • methodSelectors
  • roles
egressFrom
  • sources
  • identities
egressTo
  • resources
  • methodSelectors
  • externalResources
  • roles

これらのフィールドの詳細については、上り(内向き)ルールのリファレンス下り(外向き)ルールのリファレンスをご覧ください。

VPC Service Controls は、次のルールを考慮して、境界が属性の上限を超えているかどうかを確認します。

  • 上り(内向き)ルールと下り(外向き)ルールの各フィールドには複数のエントリを含めることができ、それぞれのエントリが上限にカウントされます。

    たとえば、egressFrom ルールブロックの identities フィールドにサービス アカウントとユーザー アカウントを指定すると、VPC Service Controls は上限に対して 2 つの属性をカウントします。

  • VPC Service Controls では、複数のルールで同じリソースを繰り返した場合でも、ルール内のリソースの出現は個別にカウントされます。

    たとえば、2 つの異なる上り(内向き)ルールまたは下り(外向き)ルール(rule-1rule-2)でプロジェクト project-1 を指定すると、VPC Service Controls は上限に対して 2 つの属性をカウントします。

  • 各サービス境界には、自動適用構成とドライラン構成を設定できます。VPC Service Controls は、構成ごとに属性の上限を個別に適用します。

    たとえば、境界の自動適用構成とドライラン構成の属性の合計数がそれぞれ 3,500 属性と 3,000 属性の場合、VPC Service Controls は境界が属性の上限内にあると見なします。

アクセス ポリシーの上限

次に示すアクセス ポリシーの上限は、1 つのアクセス ポリシー内のすべてのサービス境界に対して累積的に適用されます。

種類 上限
サービス境界 10,000 サービス境界ブリッジはこの上限にカウントされます
保護対象リソース 40,000 上り(内向き)と下り(外向き)のポリシー内でのみ参照されるプロジェクトは、この上限にはカウントされません。保護対象リソースを 10,000 個以下のリソースのバッチでのみポリシーに追加し、ポリシーの変更リクエストがタイムアウトしないようにします。次のポリシー変更を行う前に 30 秒待つことをおすすめします。
ID グループ 1,000 これは、上り(内向き)ルールと下り(外向き)ルールで構成された ID グループ数の上限です。
VPC ネットワーク 500 この上限では、自動適用モード、ドライラン モード、上り(内向き)ルールで参照される VPC ネットワークの数がカウントされます。
すべてのルールのタイトルの合計文字数 240,000 すべての上り(内向き)ルールと下り(外向き)ルールのタイトルの合計長がこの上限を超えないようにする必要があります。ルールのタイトルに含まれる空白文字もこの上限にカウントされます。ただし、タイトルを指定していないルールは、この上限にはカウントされません。

次に示すアクセス ポリシーの上限は、特定のアクセス ポリシー内のすべてのアクセスレベルに累積的に適用されます。

種類 上限
VPC ネットワーク 500 この上限は、アクセスレベルで参照される VPC ネットワークの数に適用されます。

組織の上限

1 つの組織内のすべてのアクセス ポリシーには、次の上限が適用されます。

種類 上限
組織レベルのアクセス ポリシー 1
フォルダとプロジェクト スコープのアクセス ポリシー 50

Access Context Manager の割り当てと上限

VPC Service Controls は Access Context Manager API を使用するため、Access Context Manager の割り当てと上限も適用されます。