IP-Filterregeln für Bucket umgehen

Sie können Nutzern oder Dienstkonten erlauben, bestimmte Vorgänge für Buckets ohne Einschränkungen durch die IP-Filterung auszuführen, während für andere Vorgänge weiterhin Einschränkungen gelten. Dazu umgehen Sie IP-Filterregeln.

Es ist wichtig, dass Sie wieder Zugriff auf Ihren Bucket erhalten können, falls Sie versehentlich Ihre eigene IP-Adresse blockieren. Das kann folgende Gründe haben:

  • Bucket-Sperrung: Wenn Sie versehentlich eine Regel hinzufügen, die Ihre eigene IP-Adresse oder den IP-Bereich Ihres gesamten Netzwerks blockiert.

  • Unerwartete IP-Adressänderung: In einigen Fällen kann sich Ihre IP-Adresse aufgrund von Netzwerkänderungen unerwartet ändern. In diesem Fall werden Sie möglicherweise ausgesperrt.

Hintergrundinformationen zur IP-Filterung für Buckets finden Sie unter IP-Filterung für Buckets.

Unterstützte Vorgänge

Wenn Sie die IP-Filterung umgehen, sind die folgenden Vorgänge von den Einschränkungen der IP-Filterung ausgenommen:

Bucket-IP-Filterregeln umgehen

Wenn Sie bestimmten Nutzern oder Dienstkonten erlauben möchten, IP-Filterbeschränkungen für einen Bucket zu umgehen, weisen Sie ihnen mit einer benutzerdefinierten Rolle die Berechtigung storage.buckets.exemptFromIpFilter zu. Mit dieser Berechtigung werden Nutzer oder Dienstkonten von IP-Filterregeln für unterstützte Vorgänge auf Bucket-Ebene ausgenommen. Führen Sie dazu die folgenden Schritte aus:

  1. Ermitteln Sie den Nutzer oder das Dienstkonto, das die Einschränkungen der IP-Filterung für bestimmte Buckets umgehen muss.

  2. Benutzerdefinierte Rolle erstellen

  3. Fügen Sie der Rolle die Berechtigung storage.buckets.exemptFromIpFilter hinzu.

  4. Weisen Sie dem ermittelten Nutzer oder Dienstkonto die benutzerdefinierte Rolle auf Projektebene zu. Informationen zum Zuweisen von Rollen finden Sie unter Einzelne Rolle zuweisen.

Nachdem Sie den Nutzern oder Dienstkonten diese Berechtigungen gewährt haben, können sie unterstützte Vorgänge ohne Einschränkungen durch IP-Filterung ausführen. Durch die Anforderung expliziter Berechtigungen wird sichergestellt, dass das Umgehen von IP-Filterregeln eine bewusste und autorisierte Aktion ist, da eine detaillierte Kontrolle über die Ausnahmen von den Regeln möglich ist.

IP-Filterregeln für Google Cloud Service-Agents umgehen

Sie können Google Cloud -Service-Agents erlauben, IP-Filterregeln für Ihren Bucket zu umgehen. Der Dienst-Agent und der Bucket müssen sich im selben Projekt befinden.

Wenn diese Option aktiviert ist, können Dienste wie Compute Engine oder Cloud Run im Projekt des Buckets unabhängig von ihren IP-Adressen frei auf den Bucket zugreifen. Dienst-Agents aus verschiedenen Projekten können diesen Bypass nicht verwenden. Wenn Sie Zugriff auf Dienste in anderen Projekten gewähren und gleichzeitig IP-basierte Einschränkungen beibehalten möchten, sollten Sie Funktionen wie VPC Service Controls oder IAM-Bedingungen verwenden.

Informationen dazu, wie Sie Google Cloud Dienst-Agents den Zugriff auf Ihren Bucket erlauben, finden Sie unter Zugriff von Dienst-Agents verwalten.

IP-Filterregeln für organisationsübergreifende VPC-Netzwerke umgehen

Sie können Ressourcen aus dem VPC-Netzwerk einer anderen Organisation ohne Einschränkungen über Ihre vorhandene IP-Filterkonfiguration auf den Bucket zugreifen lassen. Informationen dazu, wie Sie organisationsübergreifenden VPC-Netzwerken den Zugriff auf Ihren Bucket erlauben, finden Sie unter Organisationsübergreifenden VPC-Zugriff verwalten.

Nächste Schritte