ユーザーまたはサービス アカウントが IP フィルタリングの制限を受けずにバケットに対して特定のオペレーションを実行できるようにしながら、他のオペレーションには引き続き制限を適用できます。これを行うには、IP フィルタリング ルールをバイパスします。
誤って自分の IP アドレスをブロックした場合に、バケットに再びアクセスできるようにすることが重要です。その理由は次のとおりです。
バケットのロックアウト: 自分の IP アドレスまたはネットワーク全体の IP 範囲をブロックするルールを誤って追加した場合。
予期しない IP の変更: ネットワークの変更により IP アドレスが予期せず変更され、ロックアウトされることがあります。
バケット IP フィルタリングの背景情報については、バケット IP フィルタリングをご覧ください。
サポートされているオペレーション
IP フィルタリングをバイパスすると、次のオペレーションが IP フィルタリング制限から除外されます。
- バケットのメタデータの取得(
GETバケット) - バケットの更新(
PATCHバケット) - バケットの削除(
DELETEバケット)
バケット IP フィルタリング ルールをバイパスする
特定のユーザーまたはサービス アカウントがバケットの IP フィルタリング制限をバイパスできるようにするには、カスタムロールを使用して storage.buckets.exemptFromIpFilter 権限を付与します。この権限により、ユーザーまたはサービス アカウントは、サポートされているバケットレベルのオペレーションの IP フィルタリング ルールから除外されます。手順は次のとおりです。
特定のバケットの IP フィルタリング制限をバイパスする必要があるユーザーまたはサービス アカウントを特定します。
カスタムロールを作成します。
ロールに
storage.buckets.exemptFromIpFilter権限を追加します。特定したユーザーまたはサービス アカウントに、プロジェクト レベルでカスタムロールを付与します。ロールの付与の詳細については、単一のロールを付与するをご覧ください。
ユーザーまたはサービス アカウントにこれらの権限を付与すると、IP フィルタリングによる制限を受けずに、サポートされているオペレーションを実行できます。明示的な権限を要求することで、ルールの例外をきめ細かく制御し、IP フィルタリング ルールの回避を意図的で承認されたアクションとして担保できます。
Google Cloud サービス エージェントの IP フィルタリング ルールを回避する
IAM ベースの回避に加えて、すべての Google Cloud サービス エージェントでバケットの IP フィルタリング ルールを回避できます。
有効にすると、Compute Engine、Cloud Run functions、Cloud Composer などのサービスで、送信元 IP アドレスが許可された IP 範囲に明示的にリストされていない場合でも、サービス エージェントを使用してバケットにアクセスできます。サービスが正しく機能するため、およびバケットとやり取りするために、IP フィルタリング ルールの回避が必要になる場合があります。 Google Cloud サービス エージェントによるバケットへのアクセスを許可する方法については、サービス エージェントのアクセス権を管理するをご覧ください。
組織間 VPC ネットワークの IP フィルタリング ルールを回避する
既存の IP フィルタリング構成による制限を受けずに、別の組織の VPC ネットワークのリソースによるバケットへのアクセスを許可できます。組織間の VPC ネットワークによるバケットへのアクセスを許可する方法については、組織間 VPC アクセスを管理するをご覧ください。