Contourner les règles de filtrage par adresses IP du bucket

Vous pouvez autoriser des utilisateurs ou des comptes de service à effectuer certaines opérations sur des buckets sans aucune restriction de filtrage par adresse IP, tout en appliquant des restrictions pour d'autres opérations. Pour ce faire, vous contournez les règles de filtrage par adresse IP.

Il est essentiel de pouvoir récupérer l'accès à votre bucket si vous bloquez par inadvertance votre propre adresse IP. Cela peut se produire pour les raisons suivantes :

  • Verrouillage du bucket : lorsque vous ajoutez accidentellement une règle qui bloque votre propre adresse IP ou la plage d'adresses IP de l'ensemble de votre réseau.

  • Modification inattendue de l'adresse IP : dans certains cas, votre adresse IP peut changer de manière inattendue en raison de modifications du réseau, et vous pouvez vous retrouver bloqué.

Pour en savoir plus sur le filtrage par adresse IP au niveau des buckets, consultez Filtrage par adresse IP au niveau des buckets.

Opérations prises en charge

Lorsque vous contournez le filtrage par adresse IP, les opérations suivantes sont exemptées des restrictions de filtrage par adresse IP :

Contourner les règles de filtrage par adresses IP du bucket

Pour permettre à des utilisateurs ou à des comptes de service spécifiques de contourner les restrictions de filtrage par adresse IP sur un bucket, accordez-leur l'autorisation storage.buckets.exemptFromIpFilter à l'aide d'un rôle personnalisé. Cette autorisation exempte l'utilisateur ou le compte de service des règles de filtrage par adresse IP pour les opérations au niveau du bucket prises en charge. Pour ce faire, procédez comme suit :

  1. Identifiez l'utilisateur ou le compte de service qui doit contourner les restrictions de filtrage par adresse IP sur des buckets spécifiques.

  2. Créez un rôle personnalisé.

  3. Ajoutez l'autorisation storage.buckets.exemptFromIpFilter au rôle.

  4. Accordez le rôle personnalisé à l'utilisateur ou au compte de service identifié au niveau du projet. Pour en savoir plus sur l'attribution de rôles, consultez Attribuer un seul rôle.

Une fois que vous avez accordé ces autorisations aux utilisateurs ou aux comptes de service, ils peuvent effectuer des opérations prises en charge sans aucune restriction de filtrage par adresse IP. L'exigence d'autorisations explicites garantit que le contournement des règles de filtrage par adresse IP est une action délibérée et autorisée en offrant un contrôle précis sur les exceptions aux règles.

Contourner les règles de filtrage par adresse IP pour les Google Cloud agents de service

Vous pouvez autoriser les Google Cloud agents de service à contourner les règles de filtrage par adresse IP pour votre bucket. L'agent de service et le bucket doivent se trouver dans le même projet.

Lorsque cette option est activée, les services tels que Compute Engine ou Cloud Run dans le projet du bucket peuvent accéder librement au bucket, quelles que soient leurs adresses IP. Les agents de service d'autres projets ne peuvent pas utiliser ce contournement. Si vous devez accorder l'accès à des services dans d'autres projets tout en conservant les restrictions basées sur l'adresse IP, envisagez d'utiliser des fonctionnalités telles que VPC Service Controls ou les conditions IAM.

Pour savoir comment autoriser les Google Cloud agents de service à accéder à votre bucket, consultez Gérer l'accès des agents de service.

Contourner les règles de filtrage par adresse IP pour les réseaux VPC inter-organisations

Vous pouvez autoriser les ressources d'un réseau VPC d'une autre organisation à accéder au bucket sans les restrictions de votre configuration de filtrage par adresse IP existante. Pour savoir comment autoriser les réseaux VPC inter-organisations à accéder à votre bucket, consultez Gérer l'accès VPC inter-organisations.

Étape suivante