Puoi consentire a utenti o service account di eseguire determinate operazioni sui bucket senza restrizioni di filtro IP, applicando comunque restrizioni per altre operazioni. Per farlo, ignora le regole di filtro IP.
È fondamentale avere un modo per recuperare l'accesso al bucket se blocchi inavvertitamente il tuo indirizzo IP. Ciò può accadere per i seguenti motivi:
Blocco del bucket: quando aggiungi accidentalmente una regola che blocca il tuo indirizzo IP o l'intervallo IP dell'intera rete.
Modifica imprevista dell'IP: in alcuni casi, il tuo indirizzo IP potrebbe cambiare in modo imprevisto a causa di modifiche alla rete e potresti non riuscire ad accedere.
Per informazioni di base sul filtro IP dei bucket, consulta Filtro IP dei bucket.
Operazioni supportate
Quando esegui il bypass del filtro IP, le seguenti operazioni sono esenti dalle limitazioni del filtro IP:
- Recupero dei metadati di un bucket (
GETBucket) - Aggiornamento di un bucket (bucket
PATCH) - Eliminazione di un bucket (
DELETEBucket)
Ignora le regole di filtro IP del bucket
Per consentire a utenti o service account specifici di ignorare le limitazioni del filtro IP
su un bucket, concedi l'autorizzazione storage.buckets.exemptFromIpFilter
utilizzando un ruolo personalizzato. Questa autorizzazione esenta l'utente o il account di servizio dalle regole di filtro IP per le operazioni a livello di bucket supportate. Per farlo, segui questa procedura.
Identifica l'utente o l'account di servizio che deve ignorare le limitazioni del filtro IP su bucket specifici.
Crea un ruolo personalizzato.
Aggiungi l'autorizzazione
storage.buckets.exemptFromIpFilteral ruolo.Concedi il ruolo personalizzato all'utente o al account di servizio identificato a livello di progetto. Per informazioni sulla concessione dei ruoli, consulta Concedi un singolo ruolo.
Dopo aver concesso queste autorizzazioni agli utenti o agli account di servizio, questi possono eseguire le operazioni supportate senza restrizioni di filtraggio IP. Richiedere autorizzazioni esplicite garantisce che l'elusione delle regole di filtro IP sia un'azione deliberata e autorizzata, fornendo un controllo granulare sulle eccezioni alle regole.
Ignora le regole di filtro IP per gli Google Cloud agenti di servizio
Oltre al bypass basato su IAM, puoi anche consentire a tutti gli agenti di servizio Google Cloud di bypassare le regole di filtro IP per il tuo bucket.
Se abilitati, servizi come Compute Engine, Cloud Run Functions o Cloud Composer possono accedere al bucket utilizzando i propri service agent, anche se i loro indirizzi IP di origine non sono elencati esplicitamente negli intervalli IP consentiti. L'aggiramento delle regole di filtro IP è spesso necessario per il corretto funzionamento dei servizi e per l'interazione con il bucket. Per informazioni su come consentire Google Cloud agli agenti di servizio di accedere al tuo bucket, vedi Gestire l'accesso degli agenti di servizio.
Ignorare le regole di filtro IP per le reti VPC tra organizzazioni
Puoi consentire alle risorse della rete VPC di un'altra organizzazione di accedere al bucket senza limitazioni dalla configurazione del filtro IP esistente. Per informazioni su come consentire alle reti VPC tra organizzazioni di accedere al tuo bucket, consulta Gestisci l'accesso VPC tra organizzazioni.
Passaggi successivi
- Disattiva le regole di filtro IP su un bucket.
- Recupera le regole di filtro IP su un bucket.
- Elenca le regole di filtro IP del bucket.