G-gen の min です。Looker Studio でデータソースに対する認証にサービスアカウントを使っているとき、VPC Service Controls による IP アドレス制限がどのように適用されるかを検証しました。
概要
当記事では、Looker Studio でデータソースに対する認証にサービスアカウントを使っているとき、VPC Service Controls(以下、VPC SC)による接続元 IP アドレス制限がどのように適用されるかを検証しました。
検証の結果、VPC SC 環境下では、Looker Studio からデータソースへの認証にサービスアカウントを使っている場合でも、VPC SC による IP アドレス制限が適用され、許可した接続元 IP アドレス以外からはデータにアクセスできないことが確認できました。
以下は、検証環境のイメージ図です。
Looker Studio での VPC SC による IP アドレス制限については、以下の記事も参考にしてください。
環境構築
サービスアカウントの作成
Looker Studio から、サービスアカウントを使ってデータソースに認証させます。
サービスアカウント作成と IAM ロール付与の手順は、以下の記事の「パターン2」の項をご参照ください。
VPC SC の設定
VPC Service Controls 境界を以下のように設定します。
VPC SC の内向きルールは、以下のように設定します。
- サービスアカウント
looker-studio-sa@<プロジェクト ID>.iam.gserviceaccount.comを ID として設定します。 - 「ソース」のアクセスレベルで、許可する IP アドレスを設定します。
動作確認
許可された IP アドレスからレポートを表示した場合、データが表示されることを確認しました。
許可されていない IP アドレスからレポートを表示すると、Service Control のエラーが表示され、データは表示されません。 なお、VPC SC の適用を確認するには、データの更新など、Looker Studio から BigQuery に対してクエリが発行される操作を実行してください。
組織の VPC Service Controls では、このコンポーネントで使用されているデータセットへのアクセスを禁止しています。
監査ログで接続元 IP アドレスを確認すると、接続元 IP アドレスである CallerIP には、検証で使用した自宅の IP アドレスが表示されていました。
監査ログの詳細については、以下の記事も参照してください。
- 参考 : Google Cloudの監査ログの長期保管とアクセス監査を考える - G-gen Tech Blog - (1)ログフォーマットの把握
- 参考 : Cloud Audit Logsを解説。Google Cloud(GCP)の証跡管理 - G-gen Tech Blog
注意点
Looker Studio のスケジュール配信機能を使用する場合は注意が必要です。配信メールは受信できますが、データは表示されません。
これは、Looker Studio のスケジュール配信では、IP アドレス情報が VPC SC に渡されないためです。
佐々木 愛美 (min) (記事一覧)
クラウドソリューション部 データアナリティクス課。2024年7月 G-gen にジョイン。G-gen 最南端、沖縄県在住。最近覚えた島言葉は、「マヤー(猫)」。
