[組織ポリシー]新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限するポリシーを試してみた

[組織ポリシー]新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限するポリシーを試してみた

「新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限する」というポリシーを試してみました。本ポリシーを設定すると何ができるのか。何がメリットなのかを考えてみました。
Clock Icon2024.07.09 15:40

概要

新しいVertex AI Workbench のノートブックとインスタンスでパブリックIPアクセスを制限するという組織ポリシーがあります。パブリックIPアクセス、という単語がなんとも悩ましいのですがこれはおそらくVertex AIインスタンスに対してパブリックIP(外部IP)を設定しないということなんじゃないかと思いました。以下は組織ポリシーのリファレンスからの引用です。

組織ポリシー名 内容 制約
新しいVertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限する このブール型制約を適用すると、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP から Vertex AI Workbench のノートブックとインスタンスにアクセスできます。 constraints/ainotebooks.restrictPublicIp

とっても悩ましい説明だったので、本記事では該当ポリシーを設定するとどうなるのかを調べてみました。

前提条件

  • 組織ポリシーを操作できるロールを所持していること(組織の管理者など)
  • 組織が作成されていること
  • プロジェクトに対して組織ポリシーを設定する(親のポリシーをオーバーライドする)

※組織ポリシーの設定は環境によっては重大な影響を引き起こす可能性があるので十分検討・検証の上実施してください。

結論

まずは結論から申しますと、本ポリシー新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限するはインスタンス作成時にパブリックIP(外部IP)を割り当てられないようにするポリシーです。
本ポリシーを設定すると下記の通りVertex AIインスタンス作成時に設定項目である外部IPアドレスの割り当て項目が非活性となりチェックボックスを押下できなくなります。
スクリーンショット 2024-07-09 23.46.16

メリット

インスタンス作成時にデフォルトでは外部IPを割り当てるようにチェックされているので、意図せず外部IPを設定してしまうということを防げます。また、Google Cloudプロジェクト作成時に作成されるdefaultネットワークのようなインターネットからVPC内のインスタンスにアクセス可能なネットワークに、外部IPを設定したインスタンスを作成してしまうとインターネットからアクセスできる状態になってしまうという危険性もあります(FWやVPCの設定によります)。外部IPを設定しないように制御することで、こうした危険性を排除することができるのが本ポリシーのメリットでもあります。

それでは実際に組織ポリシーを設定していきます。

設定方法

組織ポリシーの設定

IAMと管理から組織ポリシーを選択して、画面真ん中あたりのフィルタ欄にconstraints/ainotebooks.restrictPublicIpと入力します。
スクリーンショット 2024-07-09 23.53.05

Restrict public IP access on new Vertex AI Workbench notebooks and instancesという名称が表示されるのでクリックします。本ポリシーはデフォルトでは未適用となっているので以下のようになっているはずです。
スクリーンショット 2024-07-09 23.56.15

それではポリシーを管理を押下して、ポリシーを編集します。
設定する項目と値は以下となります。

項目名 概要
ポリシーのソース 親のポリシーをオーバーライドする 親のポリシーを上書きする
ルール オン パブリックIP(外部IP)を設定できないようにする

スクリーンショット 2024-07-09 23.59.03

ルールに関してはルールの追加を押下して追加します。上記の設定をしたら、ポリシーを設定を押下してください。

Vertex AI インスタンスを作成する画面で確認

Vertex AI Workbenchのインスタンス新規作成から、設定を進めてネットワーキングの項目を見ると外部IPアドレスを割り当てがグレーアウトしているのが確認できます(最初にお見せしたものと同一ですが・・・)
スクリーンショット 2024-07-09 23.46.16

本ポリシー設定前は以下のようにグレーアウトしておらずチェックボックスを押下することが出来ました。またデフォルトでは外部IPアドレスを割り当てにチェックが入っていました。
スクリーンショット 2024-07-10 0.10.30

まとめ

本組織ポリシー新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限するを適用すると、インスタンス作成時にVertex AIインスタンスに対してパブリックIP(外部IP)を設定されないように制御することができました。
インスタンスを意図せず公開してしまうことがないよう、ワークロードによっては本ポリシーを設定することを検討してもよいのではないかと思います。ただし、インスタンスのイメージによっては限定公開のGoogleアクセスやVPCピアリング、Cloud NATなどを設定しておかないとインスタンスをプロビジョニングできないということがありますのでご自身の環境に応じて事前設定が必要になる場合があります。
本ポリシーの設定に悩んでいる方のお力になれたら幸甚に存じます。それではまた。ナマステ。

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.