19334

2024-08-16 Incoming

Google colab enterpriseへのアクセス制限(弊社ネットワークからのみアクセスを許容・データのダウンロードも弊社ネットワークのみ可)を実施したいのですが、方法および設定要領が記載されているサイトを教えてください。

2024-08-19 Sent

東京海上ディーアール 大塚 様

いつもお世話になっております、株式会社G-genサポートの高井です。 お問い合わせいただきありがとうございます。

お問い合わせいただいた内容につきまして、現在弊社にて内容を確認しております。 お待たせしており恐れ入りますが、ご案内まで少々お時間いただけますと幸いです。

引き続きよろしくお願いいたします。

2024-08-20 Sent

東京海上ディーアール 大塚 様

お世話になっております、株式会社G-genサポートの高井です。 ご案内にお時間いただいており恐れ入ります。

google colab enterpriseへのアクセス制限(弊社ネットワークからのみアクセスを許容・データのダウンロードも弊社ネットワークのみ可)を実施したいのですが、方法および設定要領が記載されているサイトを教えてください。

上記につきまして、当サポートにて確認・検証を試みておりますが実装に時間がかかっている状況となります。 そのため 現在 Google サポートに連携し手順の確認を実施しております。

お待たせしており恐れ入りますが、進捗確認次第ご連絡させていただきます。

引き続きよろしくお願いいたします。

2024-08-26 Sent

東京海上ディーアール 大塚 様

お世話になっております、株式会社G-genサポートの高井です。

ご案内にお時間いただいており恐れ入ります。 本件につきまして Google サポートと連携を実施し調査を実施中となりますが、日本語チームにて該当する知見を持ち合わせていない状況のため、欧米チームと連携し対応を実施しております。 そのため、ご案内に通常よりもお時間をいただく可能性が高いことをご理解いただけますと幸いです。

お待たせしており申し訳ございませんが、進捗確認次第ご連絡させていただきます。

2024-09-02 Sent

引東京海上ディーアール 大塚 様

お世話になっております、株式会社G-genサポートの高井です。 ご案内にお時間いただいており恐れ入ります。

本件につきましては VPC Service Control[1] を用いることで実現可能な想定でございますが、具体的な手順の確認に時間を要しております。 恐れ入りますが、もう少々ご案内までお待ちいただけますと幸いです。

[1] Use VPC Service Controls (Colab Enterprise 公式ドキュメント) https://cloud.google.com/colab/docs/service-controls

引き続きよろしくお願いいたします。

2024-09-06

東京海上ディーアール 大塚 様

お世話になっております、株式会社G-genサポートの高井です。 ご案内にお時間いただいており恐れ入ります。 お待たせしておりましたご質問について、下記に回答いたします。

google colab enterpriseへのアクセス制限(弊社ネットワークからのみアクセスを許容・データのダウンロードも弊社ネットワークのみ可)を実施したいのですが、方法および設定要領が記載されているサイトを教えてください。

先日に途中経過としてご案内した通り、こちらは VPC Service Control を用いることで実現可能でございます。 詳細な手順を下記に記載いたしますので、ご確認くださいませ。

  1. アクセス ポリシー(アクセス制限の対象となるプロジェクトまたはフォルダ指定)を構成する

    1. 対象プロジェクトまたはフォルダを指定した状態で Access Context Manager 画面を開く

    2. アクセス レベルが見つからない旨のメッセージの下部に「アクセスポリシーを管理」ボタンが表示されるので押下

    3. 自動的に Google Cloud 組織全体の選択となり、アクセスポリシーを対象のプロジェクトやフォルダを選択し作成する

  2. アクセスレベル(許可する IP アドレス帯以外からのアクセスのブロック指定)を Access Context Manager にて作成[1]

    1. 再度、対象プロジェクトまたはフォルダを指定した状態で Access Context Manager 画面を開く

    2. アクセスレベル(手順 1-3 で作成したアクセスポリシーに紐付く)を作成するダイアログを開く

    3. 御社のグローバル IP アドレス帯を CIDR 表記で記載し、ホワイトリスト方式であるため「条件を満たした場合に返す値」で TRUE を選択し作成

  3. VPC Service Controls 境界の作成[2]

    1. 同じ「セキュリティ」セクションのサイドバーより VPC Service Controls 画面に遷移する

    2. VPC Service Control ポリシーが手順 1-3 で作成したポリシーであることを確認し、ドライラン モードにて新規境界を作成

      1. 「保護するリソース」で対象のプロジェクトまたはフォルダを選択

      2. 「制限付きサービス」で "Dataform API", "Vertex AI API" を選択

      3. 「VPC のアクセス可能なサービス」は "すべてのサービス" を選択

      4. 「アクセスレベル」で手順 2-3 にて作成したアクセスレベルを指定

      5. 「上り(内向き)ポリシー」「下り(外向き)ポリシー」はルールを作成せずに境界を作成

  4. ドライランの確認と境界の適用

    1. ドライランが機能していることを確認するため、アクセスが許可されていない IP アドレスから Colab Enterprise の画面にアクセス(ドライラン モードのため実際に制限はされません)

    2. Cloud Logging 画面にて対象プロジェクトまたはフォルダを指定した状態でクエリ resource.type="audited_resource" severity=ERROR protoPayload.metadata.dryRun=true を実行し、エラーログとして検出されていることを確認

    3. 再度 VPC Service Control の画面へ戻り、ドライラン境界を適用する

[1] ベーシック アクセスレベルを作成する - ベーシック アクセスレベルの作成 (Access Context Manager 公式ドキュメント) https://cloud.google.com/access-context-manager/docs/create-basic-access-level?hl=ja#create_a_basic_access_level

[2] Create a service perimeter - Use VPC Service Controls (Colab Enterprise 公式英語ドキュメント) https://cloud.google.com/colab/docs/service-controls#create-service-perimeter

ご質問いただいております内容への回答は以上となりますが、認識の相違ある場合や不明点などありましたらお知らせくださいませ。 引き続きどうぞよろしくお願いいたします。