Cloud Run サービスを外部に公開していますが、特定の社内 IP アドレス範囲(203.0.113.0/24)からのみアクセスを許可したいと考えています。最も適切な方法はどれですか?
- A. Cloud Armor のセキュリティポリシーで許可する送信元 IP を設定し、ロードバランサーにアタッチする
- B. VPC ファイアウォールルールで特定 IP からのアクセスのみを許可する
- C. Cloud Run サービスの IAM で allUsers への権限を削除する
- D. Cloud Run のサービス設定で ingress を "internal" に変更する
解答と解説を見る
正解: A
Cloud Armor のセキュリティポリシーでは、許可/拒否する送信元 IP・IP レンジを細かく設定できます。Global External HTTP(S) Load Balancer の前段に設定することで、特定の IP レンジのみからのアクセスを許可し、それ以外を拒否できます。IAM で allUsers への権限削除だけでは IP ベースのアクセス制限はできません(認証は要求されますが、IP 制限ではない)。Cloud Run の ingress を internal にすると VPC 内部や Cloud Load Balancing からのみアクセス可能になりますが、特定の外部 IP を許可する細かい制御はできません。VPC ファイアウォールルールは GCE などのインスタンスレベルのトラフィック制御であり、サーバーレスの Cloud Run には直接適用できません。