Vous pouvez autoriser des utilisateurs ou des comptes de service à effectuer certaines opérations sur des buckets sans aucune restriction de filtrage d'adresse IP, tout en appliquant des restrictions pour d'autres opérations. Pour ce faire, vous devez contourner les règles de filtrage des adresses IP.
Il est essentiel de pouvoir récupérer l'accès à votre bucket si vous bloquez par inadvertance votre propre adresse IP. Cela peut se produire pour les raisons suivantes :
Verrouillage du bucket : lorsque vous ajoutez accidentellement une règle qui bloque votre propre adresse IP ou la plage d'adresses IP de l'ensemble de votre réseau.
Modification inattendue de l'adresse IP : dans certains cas, votre adresse IP peut changer de manière inattendue en raison de modifications du réseau, et vous pouvez vous retrouver bloqué.
Pour obtenir des informations générales sur le filtrage des adresses IP des buckets, consultez Filtrage des adresses IP des buckets.
Opérations compatibles
Lorsque vous contournez le filtrage des adresses IP, les opérations suivantes sont exemptées des restrictions de filtrage des adresses IP :
- Obtenir les métadonnées d'un bucket (
GETBucket) - Mettre à jour un bucket (
PATCHBucket) - Supprimer un bucket (
DELETEBucket)
Contourner les règles de filtrage par adresses IP du bucket
Pour permettre à des utilisateurs ou à des comptes de service spécifiques de contourner les restrictions de filtrage des adresses IP sur un bucket, accordez-leur l'autorisation storage.buckets.exemptFromIpFilter à l'aide d'un rôle personnalisé. Cette autorisation exempte l'utilisateur ou le compte de service des règles de filtrage des adresses IP pour les opérations au niveau du bucket compatibles. Pour ce faire, procédez comme suit :
Identifiez l'utilisateur ou le compte de service qui doit contourner les restrictions de filtrage des adresses IP sur des buckets spécifiques.
Créez un rôle personnalisé.
Ajoutez l'autorisation
storage.buckets.exemptFromIpFilterau rôle.Attribuez le rôle personnalisé à l'utilisateur ou au compte de service identifié au niveau du projet. Pour en savoir plus sur l'attribution de rôles, consultez Attribuer un rôle unique.
Une fois que vous avez accordé ces autorisations aux utilisateurs ou aux comptes de service, ils peuvent effectuer les opérations compatibles sans aucune restriction de filtrage d'adresse IP. Exiger des autorisations explicites permet de s'assurer que le contournement des règles de filtrage des adresses IP est une action délibérée et autorisée, en offrant un contrôle précis sur les exceptions aux règles.
Ignorer les règles de filtrage des adresses IP pour les agents de service Google Cloud
En plus du contournement basé sur IAM, vous pouvez également autoriser tous les agents de service Google Cloud à contourner les règles de filtrage par adresse IP pour votre bucket.
Lorsque cette option est activée, des services tels que Compute Engine, les fonctions Cloud Run ou Cloud Composer peuvent accéder au bucket à l'aide de leurs agents de service, même si leurs adresses IP d'origine ne figurent pas explicitement dans vos plages d'adresses IP autorisées. Il est souvent nécessaire de contourner les règles de filtrage par adresse IP pour que les services fonctionnent correctement et interagissent avec votre bucket. Pour savoir comment autoriser les agents de service Google Cloud à accéder à votre bucket, consultez Gérer l'accès des agents de service.
Contourner les règles de filtrage des adresses IP pour les réseaux VPC inter-organisations
Vous pouvez autoriser les ressources d'un réseau VPC d'une autre organisation à accéder au bucket sans restrictions à partir de votre configuration de filtrage d'adresse IP existante. Pour savoir comment autoriser les réseaux VPC inter-organisations à accéder à votre bucket, consultez Gérer l'accès VPC inter-organisations.
Étapes suivantes
- Désactivez les règles de filtrage des adresses IP sur un bucket.
- Obtenez les règles de filtrage des adresses IP sur un bucket.
- Listez les règles de filtrage par adresse IP d'un bucket.