GCSバケットへのアクセスに対してip制限を設定する機能ができたので試してみる。dbt docsのhtmlをホスティングして、アクセスしてみた。現状はpre-GAの機能である
手順としては公開バケットを作成、ip制限の設定をし、dbt docs generateしてhtmlファイルの閲覧ができるか確認を
環境
- dbt: 1.9.0
- gcloud SDK: 517.0.0
- gcloud alpha 2025.03.29
実装
terraform定義
実際のipアドレスにはPCのグローバルipアドレスを設定している。ファイル中では適当な値にしている
null_resource、知らなかったけどclaudeが教えてくれた
resource "google_storage_bucket" "dbt_docs_bucket" {
name = "dbt-docs"
location = "us-central1" // ap-northeast-1は対象外 // var.region
storage_class = "STANDARD"
force_destroy = true
labels = {
managed_by = "terraform"
}
website {
main_page_suffix = "static_index.html"
}
}
resource "google_storage_bucket_iam_member" "member" {
provider = google
bucket = google_storage_bucket.dbt_docs_bucket.name
role = "roles/storage.objectViewer"
member = "allUsers"
}
resource "null_resource" "gcs_ip_filter" {
provisioner "local-exec" {
command = <<EOT
set -e
echo '{
"mode": "Enabled",
"publicNetworkSource": {
"allowedIpCidrRanges": [
"210.0.0.0/24"
]
}
}' > ip_filter.json
gcloud alpha storage buckets update gs://${google_storage_bucket.dbt_docs_bucket.name} --ip-filter-file=ip_filter.json
rm ip_filter.json
EOT
}
depends_on = [google_storage_bucket.dbt_docs_bucket]
}
一応providerのファイルも
terraform {
required_providers {
google = {
source = "hashicorp/google"
version = "~> 5.0"
}
}
}
provider "google" {
project = var.project_id
region = var.region
}
variable "project_id" {
type = string
default = "project_id"
}
variable "region" {
type = string
default = "asia-northeast1"
}terraform applygcloud alpha storage buckets describe gs://dbt-docs --format="default(ip_filter_config)"
ip_filter_config:
mode: Enabled
publicNetworkSource:
allowedIpCidrRanges:
- "210.0.0.0/24"
dbt docs
dbtプロジェクトはすでにあるものを使う。コマンドを実行すると単一の静的ファイルstatic_index.htmlがtargetディレクトリ以下に生成される
生成、uploadのコマンドは以下
dbt docs generate --static
gloud storage cp ./target/static_index.html gs://dbt-docs/エンドポイント。コンソールから、GCSオブジェクトのオーバーフローメニュー(︙)より公開URLをコピーした値
https://storage.googleapis.com/dbt-docs/static_index.htmlアクセスできる場合は表示される
cloud shellから取得するとアクセス拒否されることを確認。エラーメッセージがちゃんとしている
There is an IP filtering condition that is preventing access to the resource
# Welcome to Cloud Shell! Type "help" to get started.
# Use `gcloud config set project [PROJECT_ID]` to change to a different project.
# y@cloudshell:~ (free)$ curl -XGET https://storage.googleapis.com/dbt-docs/static_index.html
# <?xml version='1.0' encoding='UTF-8'?><Error><Code>AccessDenied</Code><Message>Access denied.</Message><Details>There is an IP filtering condition that is preventing access to the resource.</Deta
注意点として、ipフィルターを設定するとIPアドレス以外での実行はコンソールやcloud経由でも受け付けなくなる。IAM権限よりも強い?らしい。つまりバケットの編集や更新ができなくなる
また、
allUsers公開アクセス インターネットに公開
ip制限がIAM roleよりも先に及ぶこと、コンソールからip制限の設定が確認できないなど、現時点で少し使いづらい部分はあるが、社内外に公開したい場合などには便利そう
参考
- https://cloud.google.com/storage/docs/ip-filtering-overview?hl=ja
- https://www.beginswithdata.com/2024/12/02/gcs-buckets-ip-filter/
- https://zenn.dev/cloud_ace/articles/64fb1a89afe8fc