あなたの会社では Google Cloud の特定のサービス(Cloud Storage と BigQuery)へのアクセスを会社の管理する特定のデバイスからのみに制限したいと考えています。最も適切な方法はどれですか?
- A. IAM Conditions に時間帯条件を追加して業務時間外のアクセスを禁止する
- B. Cloud Armor ポリシーで会社のオフィス IP のみを許可する
- C. VPC Service Controls のアクセスレベルで会社所有デバイスの IP 範囲を設定して制限する
- D. Cloud SQL Auth Proxy を使ってデバイス認証を行う
解答と解説を見る
正解: C
VPC Service Controls のアクセスレベル(Access Levels)では、送信元 IP アドレス・デバイスポリシー(会社管理デバイスかどうかなど)を条件として設定できます。アクセスレベルを VPC Service Controls の境界ポリシーに組み込むことで、指定条件を満たすアクセスのみ Cloud Storage・BigQuery などのサービスへのアクセスを許可できます。Cloud Armor は HTTP(S) ロードバランサーのトラフィックフィルタリングで、直接の Cloud Storage/BigQuery API アクセスには適用されません。IAM Conditions の時間帯制限はデバイス識別とは別の条件で、デバイスの管理状態を確認する機能はありません。Cloud SQL Auth Proxy は Cloud SQL 専用の接続プロキシです。
📚 関連サービスの解説: VPC ネットワーク