עקיפת כללי סינון לפי כתובת IP של מאגר

אתם יכולים לאפשר למשתמשים או לחשבונות שירות לבצע פעולות מסוימות בדליים ללא הגבלות של סינון לפי כתובת IP, ועדיין לאכוף הגבלות על פעולות אחרות. כדי לעשות את זה, צריך לעקוף את הכללים של סינון כתובות IP.

חשוב מאוד שתהיה לכם דרך לקבל גישה מחדש לדלי אם חסמתם בטעות את כתובת ה-IP שלכם. יכולות להיות לכך כמה סיבות:

• נעילת מאגר: כשמוסיפים בטעות כלל שחוסם את כתובת ה-IP שלכם או את טווח כתובות ה-IP של כל הרשת שלכם.

• שינוי לא צפוי בכתובת ה-IP: במקרים מסוימים, כתובת ה-IP עשויה להשתנות באופן לא צפוי בגלל שינויים ברשת, ואולי לא תהיה לכם גישה לחשבון.

מידע נוסף על סינון כתובות IP של קטגוריות זמין במאמר סינון כתובות IP של קטגוריות.

פעולות נתמכות

כשעוקפים את סינון כתובות ה-IP, הפעולות הבאות לא כפופות להגבלות של סינון כתובות ה-IP:

• אחזור מטא-נתונים של קטגוריה (GET Bucket)
• עדכון של קטגוריה (PATCH Bucket)
• מחיקת קטגוריה (DELETE Bucket)

עקיפת כללי סינון לפי כתובת IP של מאגר

כדי לאפשר למשתמשים או לחשבונות שירות ספציפיים לעקוף את ההגבלות של סינון כתובות IP בדלי, צריך להעניק להם את ההרשאה storage.buckets.exemptFromIpFilter באמצעות תפקיד בהתאמה אישית. ההרשאה הזו פוטרת את המשתמש או את חשבון השירות מכללי סינון כתובות IP לפעולות נתמכות ברמת הדלי. כדי לעשות זאת, צריך לבצע את השלבים הבאים:

1. מאתרים את המשתמש או חשבון השירות שצריך לעקוף את ההגבלות של סינון כתובות ה-IP בדליים ספציפיים.

2. יוצרים תפקיד בהתאמה אישית.

3. מוסיפים את ההרשאה storage.buckets.exemptFromIpFilter לתפקיד.

4. מקצים את התפקיד המותאם אישית למשתמש או לחשבון השירות שזוהו ברמת הפרויקט. במאמר הקצאת תפקיד יחיד מוסבר איך מקצים תפקידים.

אחרי שתעניקו למשתמשים או לחשבונות השירות את ההרשאות האלה, הם יוכלו לבצע פעולות נתמכות ללא הגבלות של סינון לפי כתובת IP. הדרישה להרשאות מפורשות מבטיחה שמעקף של כללי סינון לפי כתובת IP הוא פעולה מכוונת ומאושרת, כי היא מאפשרת שליטה מפורטת בחריגים לכללים.

עקיפה של כללי סינון לפי כתובת IP עבור Google Cloud סוכני שירות

בנוסף לעקיפה שמבוססת על IAM, אפשר גם לאפשר לכל Google Cloud סוכני השירות לעקוף את כללי הסינון של כתובות ה-IP בקטגוריה.

כשהתכונה הזו מופעלת, שירותים כמו Compute Engine, פונקציות Cloud Run או Cloud Composer יכולים לגשת לקטגוריה באמצעות סוכני השירות שלהם, גם אם כתובות ה-IP המקוריות שלהם לא מופיעות באופן מפורש בטווח כתובות ה-IP המותרות. לפעמים צריך לעקוף את כללי הסינון לפי כתובת IP כדי שהשירותים יפעלו בצורה תקינה ויוכלו ליצור אינטראקציה עם הדלי. במאמר ניהול הגישה של סוכני שירות מוסבר איך מאפשרים לסוכני שירות לגשת לדלי. Google Cloud

עקיפת כללי סינון לפי כתובת IP ברשתות VPC חוצות ארגון

אתם יכולים לאפשר למשאבים מרשת VPC של ארגון אחר לגשת לקטגוריה ללא הגבלות מהגדרת סינון ה-IP הקיימת שלכם. מידע על מתן גישה לקטגוריה מרשתות VPC בארגונים אחרים זמין במאמר ניהול גישה ל-VPC בארגונים שונים.

המאמרים הבאים

• השבתה של כללי סינון לפי כתובת IP בקטגוריה.
• קבלת כללי סינון לפי כתובת IP בקטגוריה
• List bucket IP filtering rules.