GSP1036

概要

このラボでは、Chrome Enterprise Premium と Identity-Aware Proxy（IAP）TCP 転送を使用して、外部 IP アドレスを持たない（インターネットから直接アクセスできない）VM インスタンスに管理者権限でアクセスできるようにする方法を学びます。

学習内容

• Google Cloud プロジェクトで IAP TCP 転送を有効にする
• Linux インスタンスと Windows インスタンスへの接続をテストする
• BCE に必要なファイアウォール ルールを構成する
• IAP TCP 転送の使用権限を付与する
• SSH 接続と RDP 接続を使用したトンネリングのデモを行う

設定と要件

[ラボを開始] ボタンをクリックする前に

こちらの説明をお読みください。ラボには時間制限があり、一時停止することはできません。タイマーは、Google Cloud のリソースを利用できる時間を示しており、[ラボを開始] をクリックするとスタートします。

このハンズオンラボでは、シミュレーションやデモ環境ではなく実際のクラウド環境を使って、ラボのアクティビティを行います。そのため、ラボの受講中に Google Cloud にログインおよびアクセスするための、新しい一時的な認証情報が提供されます。

このラボを完了するためには、下記が必要です。

• 標準的なインターネット ブラウザ（Chrome を推奨）

注: このラボの実行には、シークレット モード（推奨）またはシークレット ブラウジング ウィンドウを使用してください。これにより、個人アカウントと受講者アカウント間の競合を防ぎ、個人アカウントに追加料金が発生しないようにすることができます。

• ラボを完了するための時間（開始後は一時停止できません）

注: このラボでは、受講者アカウントのみを使用してください。別の Google Cloud アカウントを使用すると、そのアカウントに料金が発生する可能性があります。

ラボを開始して Google Cloud コンソールにログインする方法

1. [ラボを開始] ボタンをクリックします。ラボの料金をお支払いいただく必要がある場合は、表示されるダイアログでお支払い方法を選択してください。 左側の [ラボの詳細] ペインには、以下が表示されます。

   • [Google Cloud コンソールを開く] ボタン
   • 残り時間
   • このラボで使用する必要がある一時的な認証情報
   • このラボを行うために必要なその他の情報（ある場合）

2. [Google Cloud コンソールを開く] をクリックします（Chrome ブラウザを使用している場合は、右クリックして [シークレット ウィンドウで開く] を選択します）。

   ラボでリソースがスピンアップし、別のタブで [ログイン] ページが表示されます。

   ヒント: タブをそれぞれ別のウィンドウで開き、並べて表示しておきましょう。

   注: [アカウントの選択] ダイアログが表示されたら、[別のアカウントを使用] をクリックします。

3. 必要に応じて、下のユーザー名をコピーして、[ログイン] ダイアログに貼り付けます。

   {{{user_0.username | "Username"}}}

   [ラボの詳細] ペインでもユーザー名を確認できます。

4. [次へ] をクリックします。

5. 以下のパスワードをコピーして、[ようこそ] ダイアログに貼り付けます。

   {{{user_0.password | "Password"}}}

   [ラボの詳細] ペインでもパスワードを確認できます。

6. [次へ] をクリックします。

   重要: ラボで提供された認証情報を使用する必要があります。Google Cloud アカウントの認証情報は使用しないでください。 注: このラボでご自身の Google Cloud アカウントを使用すると、追加料金が発生する場合があります。

7. その後次のように進みます。

   • 利用規約に同意してください。
   • 一時的なアカウントなので、復元オプションや 2 要素認証プロセスは設定しないでください。
   • 無料トライアルには登録しないでください。

その後、このタブで Google Cloud コンソールが開きます。

注: Google Cloud のプロダクトやサービスにアクセスするには、ナビゲーション メニューをクリックするか、[検索] フィールドにサービス名またはプロダクト名を入力します。

Windows インスタンスへの接続とテストに使用するため、RDP クライアントがプリインストールされている必要があります。

タスク 1. Google Cloud プロジェクトで IAP TCP 転送を有効にする

1. ナビゲーション メニューを開き、[API とサービス] > [ライブラリ] を選択します。

2. 「IAP」を検索し、[Cloud Identity-Aware Proxy API] を選択します。

3. [有効にする] をクリックします。

タスク 2. Linux インスタンスと Windows インスタンスを作成する

このラボのために次の 3 つのインスタンスを作成します。 - デモ用の 2 つのインスタンス（Linux と Windows） - 接続テスト用の 1 つのインスタンス（Windows）

Linux インスタンス

1. ナビゲーション メニューから、[Compute Engine] > [VM インスタンス] を選択します。

2. [インスタンスを作成] をクリックします。

3. [マシンの構成] を参照します。

   以下の値を選択します。

   • 名前: linux-iap
   • ゾーン:

4. [ネットワーキング] をクリックします。

   [ネットワーク インターフェース] で、デフォルトのネットワークのプルダウンをクリックして編集します。[外部 IPv4 アドレス] を [なし] に変更します。

5. [完了] をクリックします。

   

6. 次に [作成] をクリックします。以降はこの VM を linux-iap と呼びます。

Windows インスタンス

1. [インスタンスを作成] をクリックしてWindows デモ用 VM を作成します。

2. [マシンの構成] を参照します。

   以下の値を選択します。

   • 名前: windows-iap
   • ゾーン:

3. [OS とストレージ] セクションをクリックします。

   [変更] をクリックしてブートディスクの構成を開始し、次の値を選択します。

   • [公開イメージ] > [オペレーティング システム] > [Windows Server]
   • [バージョン] > [Windows Server 2016 Datacenter]

   

   [選択] をクリックします。

4. [ネットワーキング] をクリックします。

   [ネットワーク インターフェース] で、デフォルトのネットワークのプルダウンをクリックして編集します。[外部 IPv4 アドレス] を [なし] に変更します。[完了] をクリックします。

5. 次に [作成] をクリックします。以降はこの VM を windows-iap と呼びます。

6. [インスタンスを作成] をクリックして、Windows 接続テスト用 VM を作成します。

7. [マシンの構成] を参照します。

   以下の値を選択します。

   • 名前: windows-connectivity
   • ゾーン:

8. [OS とストレージ] セクションをクリックし、[変更] をクリックします。

   OS について、[カスタム イメージ] タブで次のように設定します。

   • [イメージのソース プロジェクト]: Qwiklabs Resources
   • [イメージ]: iap-desktop-v001

   [選択] をクリックします。

9. [セキュリティ] をクリックします。

   [アクセス スコープ] セクションで、[すべての Cloud API に完全アクセス権を許可] を選択します。

   このインスタンスの外部 IP は無効にしないでください。

10. 次に [作成] をクリックします。以降はこの VM を windows-connectivity と呼びます。

3 つのインスタンスがすべて作成されているか確認する

タスク 3. Linux インスタンスと Windows インスタンスへの接続をテストする

1. インスタンスを作成したら、linux-iap と windows-iap へのアクセスをテストして、外部 IP がない VM にはアクセスできないことを確認します。

2. linux-iap の [SSH] ボタンをクリックしてこのマシンに接続し、次のようなメッセージが表示されることを確認します。

   

注: 外部 IPv4 が [なし] に設定されている場合でも、VM リストページで [SSH] ボタンがクリック可能として表示されることがあります。インスタンス名をクリックし、詳細ページの [SSH] ボタンにカーソルを合わせると、「このインスタンスには外部 IP アドレスがありません。」というメッセージが表示され、インスタンスに外部 IP がないことを確認できます。

4. windows-iap の [RDP] ボタンをクリックして、次のようなメッセージが表示されることを確認します。

   

以降の手順で IAP を構成して使用すると、外部 IP を持たないインスタンスに接続できるようになります。

タスク 4. BCE に必要なファイアウォール ルールを構成する

1. ナビゲーション メニューを開いて [VPC ネットワーク] > [ファイアウォール] を選択し、[ファイアウォール ルールを作成] をクリックします。

2. 以下の設定を構成します。

項目	設定
名前	allow-ingress-from-iap
トラフィックの方向	上り
ターゲット	ネットワーク上のすべてのインスタンス
ソースフィルタ	IPv4 範囲
送信元 IPv4 範囲	35.235.240.0/20
プロトコルとポート	[TCP] を選択して「22, 3389」と入力し、SSH と RDP の両方を許可

3. [作成] をクリックしてファイアウォール ルールを作成します。

適切なファイアウォール ルールが作成されていることを確認する。

タスク 5. IAP TCP 転送の使用権限を付与する

次の手順に沿って、iap.tunnelResourceAccessor ロールを VM ごとに構成します。

1. ナビゲーション メニューを開いて [セキュリティ] > [Identity-Aware Proxy] を選択し、[SSH と TCP のリソース] タブに切り替えます（HTTPS セクションに表示される Oauth 同意画面のエラーは無視してかまいません）。
2. linux-iap および windows-iap の各 VM インスタンスを選択します。
3. [プリンシパルを追加] をクリックし、windows-connectivity VM に関連付けられているサービス アカウントを入力します。-compute@developer.gserviceaccount.com のような形式になっているはずです。
4. ロールに [Cloud IAP] > [IAP で保護されたトンネル ユーザー] を選択します。
5. [保存] をクリックします。
6. ページの右上にある「S」アイコンをクリックしてプロフィールを開き、受講者アカウントのメールアドレスをコピーします。
7. 再び [プリンシパルを追加] をクリックして、受講者アカウントを追加します。
8. 受講者アカウントを入力します。この値は [ラボの詳細] ペインからコピーすることもできます。
9. ロールに [Cloud IAP] > [IAP で保護されたトンネル ユーザー] を選択します。
10. [保存] をクリックします。

IAP で保護されたトンネル ユーザーのロールにより、windows-connectivity インスタンスが IAP を使用してリソースに接続できるようになります。受講者アカウントを追加することで、このステップが正しく行われたことを確認できます。

サービス アカウントの IAM ロールが設定されていることを確認する。

タスク 6. IAP Desktop を使用して Windows インスタンスと Linux インスタンスに接続する

IAP Desktop を使用すると、Windows デスクトップを持つインスタンスからグラフィカル ユーザー インターフェースを使用してインスタンスに接続できます。IAP Desktop の詳細については、このツールのダウンロードをホストしている GitHub リポジトリをご覧ください。

IAP Desktop を使用してこのラボのインスタンスに接続するには:

1. RDP ファイルをダウンロードして windows-connectivity インスタンスに RDP 接続します。[Compute Engine] > [VM インスタンス] ページに移動します。Compute Engine ランディング ページで、windows-connectivity インスタンスの横にあるプルダウン矢印を選択して RDP ファイルをダウンロードします。

2. その RDP ファイルを開いて Remote Desktop Protocol でインスタンスに接続します。プロンプトが表示されたら、以下の認証情報を使用してインスタンスに接続します。

   • ユーザー名: student
   • パスワード: Learn123!

3. windows-connectivity インスタンスに接続したら、インスタンスのデスクトップで IAP Desktop アプリケーションを見つけて開きます。

4. アプリケーションが開いたら、[Google でログイン] ボタンをクリックしてログインします。IAP Desktop の認証には、ラボコンソールに表示されているユーザー名とパスワードを使用します。続行するかどうかを確認するメッセージが表示されたら、[続行]、[許可] の順にクリックします。

5. 認証後に IAP Desktop で Compute Engine インスタンスに接続するにはプロジェクトを追加する必要があります。ラボ インスタンスに関連付けられているラボ プロジェクトを選択します。

6. IAP Desktop アプリケーションで windows-iap インスタンスをダブルクリックして、このインスタンスにログインします。

7. 初めて IAP Desktop からこのインスタンスに接続する際に、インスタンスの認証情報の入力を求められることがあります。初めてこのインスタンスにログインする際には [新しい認証情報を生成] を選択します。

8. [Generate logon credentials] ポップアップで [OK] をクリックします。

9. 認証情報を作成すると、windows-iap インスタンスのデスクトップが表示されて、エンドユーザーとして利用できるようになります。

タスク 7. SSH 接続と RDP 接続を使用したトンネリングのデモを行う

1. RDP クライアントを使用して RDP インスタンスへの接続をテストします。これを行うのは、ローカルで IAP トンネルを使用してインスタンスに接続する必要があるからです。

2. [Compute Engine] > [VM インスタンス] ページに移動します。

3. windows-connectivity インスタンスのプルダウン矢印をクリックして、[Windows パスワードを設定] を選択します。パスワードをコピーして保存します。

4. 次に、接続の横にあるプルダウン矢印をクリックして [RDP ファイルをダウンロード] を選択します。その RDP ファイルをクライアントで開き、パスワードを入力します。

5. windows-connectivity インスタンスに接続したら、Google Cloud SDK Shell を開きます。

   

6. コマンドラインで次のコマンドを入力して、linux-iap インスタンスに接続できるか確認します。

   gcloud compute ssh linux-iap

   続行とゾーン選択のプロンプトが表示されたら Y キーを押します。

   このインスタンスの正しいゾーンが選択されていることを確認してください。

7. 次に、PuTTY のセキュリティ通知を受け入れます。

外部 IP アドレスが見つからなかったため IAP トンネリングを使用する、という内容のメッセージが表示されるはずです。

8. PuTTY の設定を更新して、ローカルでトンネル接続を許可します。PuTTY ウィンドウの左上をクリックして [設定の変更] を選択します。

   

9. ローカルポートで他のホストからの接続を受け入れるために、[Local ports accept connections from other hosts] チェックボックスをオンにします。

   

10. PuTTY セッションを閉じて [適用] をクリックします。次のコマンドを使用して、VM インスタンスの RDP ポートへの暗号化されたトンネルを作成します。

    gcloud compute start-iap-tunnel windows-iap 3389 --local-host-port=localhost:0 --zone={{{ project_0.default_zone | Zone }}}

    「Listening on port [XXX]」というメッセージが表示されたら、トンネルのポート番号をコピーします。

11. Google Cloud コンソールに戻り、[Compute Engine] > [VM インスタンス] ページに移動します。

12. windows-iap インスタンスのパスワードを設定してコピーします。

    RDP セッションに戻ります。

13. gcloud を実行したままにして、Microsoft Windows リモート デスクトップ接続アプリを開きます。

14. トンネル エンドポイントを入力します。endpoint には、先ほどコピーしたトンネルのポート番号を使用します。

    • localhost:endpoint
    

15. [接続] をクリックします。

    先ほどコピーした認証情報を入力します。windows-iap インスタンスに RDP 接続できます。

    プロンプトが表示されたら、[はい] をクリックします。

    

インスタンスに外部 IP アドレスがなくても IAP を使用してアクセスできました。 IAP を有効にした SA で VM にアクセスできることを確認する

これで完了です。これで、IAP を使用して両方のインスタンスに接続できました。

お疲れさまでした

ここでは、BeyondCorp Enterprise（BCE）と Identity-Aware Proxy（IAP）TCP 転送の使用方法を学ぶために、IP アドレスを持たない windows-iap と linux-iap という 2 つの VM をデプロイし、IAP トンネルを構成して、windows-connectivity という 3 つ目の VM から両方のインスタンスにアクセスしました。

次のステップと詳細情報

• BeyondCorp Enterprise（BCE）とゼロトラスト セキュリティ モデルの詳細については、こちらの Cloud ドキュメント サイトをご覧ください。

Google Cloud トレーニングと認定資格

Google Cloud トレーニングと認定資格を通して、Google Cloud 技術を最大限に活用できるようになります。必要な技術スキルとベスト プラクティスについて取り扱うクラスでは、学習を継続的に進めることができます。トレーニングは基礎レベルから上級レベルまであり、オンデマンド、ライブ、バーチャル参加など、多忙なスケジュールにも対応できるオプションが用意されています。認定資格を取得することで、Google Cloud テクノロジーに関するスキルと知識を証明できます。

マニュアルの最終更新日: 2025 年 7 月 18 日

ラボの最終テスト日: 2025 年 7 月 18 日

Copyright 2026 Google LLC. All rights reserved. Google および Google のロゴは Google LLC の商標です。その他すべての企業名および商品名はそれぞれ各社の商標または登録商標です。