Google Cloud Storage を Access Context Manager で IP アドレス制限をしてみた

Cloud Identity Free Edition の環境で Google Cloud Storage を Access Context Manager で IP アドレス制限をしてみました。

「 Access Context Manager 」から「アクセスレベルを作成」をクリックします。

「アクセスレベルのタイトル」を入力します。 「条件を満たした場合に返す値」は TRUE のままです。※条件を満たした場合ブロックされます。 「 IP サブネットワーク」に自身のパブリック IP アドレスを CIDR 形式で入力します。 「保存」をクリックします。

Access Context Manager は以下のような表示になります。

「 VPC Service Controls 」で「新しい境界」をクリックします。

「 Details 」で「境界のタイトル」を入力します。

「 Resources to project 」で「 ADD RESOURCES 」をクリックします。

Google Cloud のプロジェクトを選択し、「 ADD SELECTED RESOURCES 」をクリックします。

選択したプロジェクトが表示されます。

「 Restricted Services 」で「サービスを追加」をクリックします。

「 Google Cloud Storage API 」を選択し、「 GOOGLE CLOUD STORAGE API を追加」をクリックします。

「 Google Cloud Storage API 」が追加されました。

「 Access Levels 」で「アクセスレベルを選択します」をクリックし、先ほど Access Context Manager で作成した「 myip 」を選択し、「 OK 」をクリックします。

「 myip 」が選択されました。 「境界を作成」をクリックします。

境界が作成されました。

バケット一覧を表示すると、エラーが表示され参照できません。

gcloud CLI でもバケットは参照できず、以下のように 403 エラーが帰ってきます。

$ gcloud storage ls
ERROR: (gcloud.storage.ls) HTTPError 403: Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier: JBCghgJe3QaxABq7CVMME1qITJe3Dfd51xwOM1xPxAy7lzWA_5iU

Access Context Manager で「編集」をクリックします。

「条件を満たした場合に返す値」を「 FALSE 」に変更します。 「保存」をクリックします。

バケット一覧を表示する事ができました。

gcloud CLI でもバケットが参照できるようになりました。

$ gcloud storage ls
gs://mnrsdev/

※参考サイト

• https://support.google.com/cloudidentity/answer/7389973?hl=ja
• https://cloud.google.com/access-context-manager/docs/overview?hl=ja

ブログを読んで頂きありがとうございます。誰かの何かの参考になれば幸いです。