このページでは、バケット IP フィルタリング(そのメリット、仕組み、サポートされているロケーション、考慮すべき制限事項など)の概要について説明します。
概要
Cloud Storage には、バケットに保存されているデータへのアクセスを管理するためのバケット IP フィルタリングが用意されています。
バケット IP フィルタリングは、リクエストの送信元 IP アドレスに基づいてバケットへのアクセスを制限し、不正アクセスからデータを保護するネットワーク セキュリティ メカニズムです。
Cloud Storage のバケット IP フィルタリング機能を使用すると、IPv4 または IPv6 アドレス範囲、または Google Cloud Virtual Private Cloud に基づいてきめ細かいアクセス制御を実現できます。IP 範囲のリストをバケットレベルで構成できます。バケットへのすべての受信リクエストは、構成された IP 範囲と VPC に制限されます。この機能を使用すると、Cloud Storage バケット内の機密データを保護し、特定の IP アドレスまたは VPC からの不正アクセスを防ぐことができます。
利点
Cloud Storage のバケット IP フィルタリングには、次の利点があります。
きめ細かいアクセス制御: リクエスト元の特定の IP アドレス(IPv4 または IPv6)または Google Cloud Virtual Private Cloud に基づいて、Cloud Storage バケットへのアクセスを制限します。バケット IP フィルタリングは、強力なネットワーク レベルのセキュリティ レイヤとして機能し、不明なソースまたは信頼できないソースからの不正アクセスを防ぎます。
セキュリティの強化: 承認済みの IP アドレスまたは VPC へのアクセスを制限することで、不正アクセス、データ侵害、悪意のあるアクティビティのリスクを軽減できます。
柔軟な構成: IP 範囲のリストをバケットレベルで構成して管理し、アクセス制御を特定の要件に合わせて調整できます。
仕組み
バケット IP フィルタリングを使用すると、特定の IPv4 アドレスと IPv6 アドレスからのリクエストを許可するルールを定義することで、バケットへのアクセスを制御できます。受信リクエストはこれらのルールに対して評価され、アクセス権が決定されます。
バケット IP フィルタリング ルールには、次の構成が含まれます。
公共のインターネットへのアクセス: 公共のインターネット(構成された Virtual Private Cloud の外部)から発信されたリクエストを管理するルールを定義できます。これらのルールでは、CIDR 範囲を使用して許可される IPv4 または IPv6 アドレスを指定し、それらの送信元からのインバウンド トラフィックを承認します。
Virtual Private Cloud(VPC)アクセス: 特定の VPC ネットワークからのアクセスをきめ細かく制御するには、ネットワークごとにルールを定義します。これらのルールには許可された IP 範囲が含まれており、仮想ネットワーク インフラストラクチャからのアクセスを正確に管理できます。
サポートされているロケーション
バケット IP フィルタリングは、次のロケーションで使用できます。
asia-south1asia-south2asia-southeast1asia-southeast2asia-east1asia-east2europe-west1europe-west2us-central1us-east1us-east4us-west1
制限事項
バケット IP フィルタリングには次の制限があります。
パブリック IP アドレスの最大数: バケットの IP フィルタ ルールで指定できるパブリック IP アドレスは最大 200 個です。
プライベート IP アドレスの最大数: バケットの IP フィルタルールで指定できるプライベート IP アドレス(または VPC ネットワーク)は最大 25 個です。
デュアルリージョンのサポート: デュアルリージョン バケットでは IP フィルタリングはサポートされていません。
ブロックされた Google Cloud サービス: Cloud Storage バケットで IP フィルタリングを有効にすると、サービス エージェントを使用して Cloud Storage を操作するかどうかにかかわらず、一部の Google Cloud サービスのアクセスが制限されます。たとえば、BigQuery などのサービスは、データのインポートとエクスポートに Cloud Storage を使用します。サービスの中断を防ぐため、次のサービスがアクセスする Cloud Storage バケットで IP フィルタリングを使用しないことをおすすめします。
- BigQuery と Cloud Storage の相互作用:
- Cloud Storage から BigQuery にデータを読み込む。
- BigQuery から Cloud Storage にテーブルデータをエクスポートする。
- BigQuery から Cloud Storage にクエリ結果をエクスポートする。
- BigQuery を使用して外部 Cloud Storage テーブルからクエリを実行する。
- BigLake の Cloud Storage テーブルから構造化データをクエリする。
- BigLake の Cloud Storage テーブルから非構造化データをクエリする。
- App Engine アプリケーションが Cloud Storage のデータにアクセスする場合は、Virtual Private Cloud を介して App Engine を使用することをおすすめします。
- Storage Insights。
- Vertex AI モデル アーティファクトを操作する場合は、Cloud Storage をマウントされたファイル システムとして使用することをおすすめします。
- BigQuery と Cloud Storage の相互作用:
次のステップ
- バケットに IP フィルタリング ルールを作成する。
- バケットの IP フィルタリング ルールを更新する。
- バケットの IP フィルタリング ルールを一覧表示する。
- バケットで IP フィルタリング ルールを無効にする。
- バケットの IP フィルタリング ルールをバイパスする。
使ってみる
Google Cloud を初めて使用する場合は、アカウントを作成して、実際のシナリオでの Cloud Storage のパフォーマンスを評価してください。新規のお客様には、ワークロードの実行、テスト、デプロイができる無料クレジット $300 分を差し上げます。
Cloud Storage を無料で試す