Cómo omitir las reglas de filtrado de IP del bucket

Puedes permitir que los usuarios o las cuentas de servicio realicen ciertas operaciones en los buckets sin restricciones de filtrado de IP, y, al mismo tiempo, aplicar restricciones para otras operaciones. Para ello, debes omitir las reglas de filtrado de IP.

Es fundamental tener una forma de recuperar el acceso a tu bucket si bloqueas tu propia dirección IP por accidente. Esto puede suceder por los siguientes motivos:

• Bloqueo de buckets: Cuando agregas accidentalmente una regla que bloquea tu propia dirección IP o el rango de IP de toda tu red.

• Cambio inesperado de IP: En algunos casos, tu dirección IP puede cambiar de forma inesperada debido a cambios en la red, y es posible que no puedas acceder a tu cuenta.

Para obtener información general sobre el filtrado de IP de bucket, consulta Filtrado de IP de buckets.

Operaciones admitidas

Cuando eludes el filtrado de IP, las siguientes operaciones están exentas de las restricciones de filtrado de IP:

• Obtener los metadatos de un bucket (GET Bucket)
• Actualiza un bucket (PATCH Bucket)
• Cómo borrar un bucket (DELETE Bucket)

Cómo omitir las reglas de filtrado de IP del bucket

Para permitir que usuarios o cuentas de servicio específicos omitan las restricciones de filtrado de IP en un bucket, otórgales el permiso storage.buckets.exemptFromIpFilter con un rol personalizado. Este permiso exime al usuario o a la cuenta de servicio de las reglas de filtrado de IP para las operaciones admitidas a nivel del bucket. Para ello, completa los siguientes pasos:

1. Identifica el usuario o la cuenta de servicio que debe omitir las restricciones de filtrado de IP en buckets específicos.

2. Crea un rol personalizado.

3. Agrega el permiso storage.buckets.exemptFromIpFilter al rol.

4. Otorga el rol personalizado al usuario o la cuenta de servicio identificados a nivel del proyecto. Para obtener información sobre cómo otorgar roles, consulta Otorga un solo rol.

Después de otorgar estos permisos a los usuarios o las cuentas de servicio, podrán realizar operaciones compatibles sin restricciones de filtrado de IP. Exigir permisos explícitos garantiza que omitir las reglas de filtrado de IP sea una acción deliberada y autorizada, ya que proporciona un control detallado sobre las excepciones a las reglas.

Cómo omitir las reglas de filtrado de IP para los agentes de servicio Google Cloud

Además de la omisión basada en IAM, también puedes permitir que todos los agentes de servicio de Google Cloud omitan las reglas de filtrado de IP para tu bucket.

Cuando se habilita, los servicios como Compute Engine, las funciones de Cloud Run o Cloud Composer pueden acceder al bucket con sus agentes de servicio, incluso si sus direcciones IP de origen no se encuentran explícitamente en tus rangos de IP permitidos. A menudo, es necesario omitir las reglas de filtrado de IP para que los servicios funcionen correctamente y puedan interactuar con tu bucket. Para obtener información sobre cómo permitir que los agentes de servicio de Google Cloud accedan a tu bucket, consulta Administra el acceso de los agentes de servicio.

Cómo omitir las reglas de filtrado de IP para las redes de VPC entre organizaciones

Puedes permitir que los recursos de la red de VPC de otra organización accedan al bucket sin restricciones de tu configuración de filtrado de IP existente. Para obtener información sobre cómo permitir que las redes de VPC entre organizaciones accedan a tu bucket, consulta Administra el acceso a VPC entre organizaciones.

¿Qué sigue?

• Inhabilita las reglas de filtrado de IP en un bucket.
• Obtén reglas de filtrado de IP en un bucket.
• Enumera las reglas de filtrado de IP del bucket.