はじめに
2024年11月14日にCloud Storage に IP アドレスでのフィルタ制限ができる機能 Bucket IP filtering がプレビューでリリースされました。
概要
今回のプレビューリリースにより、Cloud Storage へバケット単位で、IP フィルタリング設定を行うことが可能です。内容としては許可対象の IP アドレスを登録する形となり、パブリック IP アドレス及び、VPC 内のプライベート IP アドレスでの制限を行うことが可能です。以降に試した内容を記載します。
詳細
注意事項
設定を誤るとバケットへのアクセスができなくなりますので注意してください。 また制限事項の記載もあるので、特に制限が多く記載された BigQuery に関連する Cloud Storage を対象とする場合、実施前に確認をおすすめします。
手順
- Cloud Storage バケットを作成します。※今回のプレビュー段階では東京リージョンでは対象外となります。今回リリース対象はこちらの Supported locations をご確認ください。
- 静的ページを対象バケットへ配置します。
- Bucket IP filtering で利用する json ファイルを作成します。Create bucket IP filtering rulesにて、どのような形で記載すればよいか、参考にしました。
{
"mode": "Enabled",
"publicNetworkSource":
{
"allowedIpCidrRanges":
["IPアドレス/32","IPアドレス/32"]
}
}
- バケットをすでに作成していますので、Update bucket IP filtering rulesにある手順にて更新処理として設定適用します。
gcloud alpha storage buckets update gs://対象バケット --ip-filter-file=./フィルタ設定.json
- HTTPアクセスで実施したところ以下のような状態となり、ipfilter が効いていそうです。
許可
未許可
まとめ
現時点ではプレビューではありますが、今回のアップデートにより容易な設定で、バケットに対して Google Cloud 上の パブリック及びプライベート IP アドレスからのアクセスのみとして、フィルタリングをすることが可能になりました。Cloud Storage へアクセスするパターンの一部として、ただ単純なアクセスを行いましたが、Load Balancer 経由で公開した場合、公開バケットへの Load Balancer 経由しない直接アクセスが防げるのか、など利用が想定されるアーキテクチャのケースでまた試してみたいと思います。
