Anda dapat mengizinkan pengguna atau akun layanan untuk melakukan operasi tertentu pada bucket tanpa batasan pemfilteran IP, sekaligus tetap menerapkan batasan untuk operasi lainnya. Untuk melakukannya, Anda melewati aturan pemfilteran IP.
Anda harus memiliki cara untuk mendapatkan kembali akses ke bucket jika Anda secara tidak sengaja memblokir alamat IP Anda sendiri. Hal ini dapat terjadi karena alasan berikut:
Penguncian bucket: Saat Anda secara tidak sengaja menambahkan aturan yang memblokir alamat IP Anda sendiri atau rentang IP seluruh jaringan Anda.
Perubahan IP yang tidak terduga: Terkadang, alamat IP Anda dapat berubah secara tidak terduga karena perubahan jaringan, dan Anda mungkin tidak dapat mengakses akun Anda.
Untuk mengetahui informasi latar belakang tentang pemfilteran IP bucket, lihat Pemfilteran IP bucket.
Operasi yang didukung
Jika Anda melewati pemfilteran IP, operasi berikut akan dikecualikan dari batasan pemfilteran IP:
- Mendapatkan metadata bucket (Bucket
GET) - Memperbarui bucket (Bucket
PATCH) - Menghapus bucket (
DELETEBucket)
Mengabaikan aturan pemfilteran IP bucket
Untuk mengizinkan pengguna atau akun layanan tertentu melewati batasan pemfilteran IP di bucket, beri mereka izin storage.buckets.exemptFromIpFilter menggunakan peran kustom. Izin ini mengecualikan pengguna atau akun layanan dari aturan pemfilteran IP untuk operasi tingkat bucket yang didukung. Untuk melakukannya, selesaikan langkah-langkah berikut:
Identifikasi pengguna atau akun layanan yang perlu melewati batasan pemfilteran IP di bucket tertentu.
Buat peran khusus.
Tambahkan izin
storage.buckets.exemptFromIpFilterke peran.Berikan peran khusus kepada pengguna atau akun layanan yang teridentifikasi di tingkat project. Untuk mengetahui informasi tentang cara memberikan peran, lihat Memberikan satu peran.
Setelah Anda memberikan izin ini kepada pengguna atau akun layanan, mereka dapat melakukan operasi yang didukung tanpa batasan pemfilteran IP. Dengan mewajibkan izin eksplisit, aturan pemfilteran IP tidak dapat dilewati kecuali jika pengguna secara sengaja dan sah melakukannya. Hal ini memberikan kontrol terperinci atas pengecualian pada aturan.
Mengabaikan aturan pemfilteran IP untuk agen layanan Google Cloud
Selain pengabaian berbasis IAM, Anda juga dapat mengizinkan semua agen layanan Google Cloud untuk mengabaikan aturan pemfilteran IP untuk bucket Anda.
Jika diaktifkan, layanan seperti Compute Engine, fungsi Cloud Run, atau Cloud Composer dapat mengakses bucket menggunakan agen layanannya, meskipun alamat IP asalnya tidak tercantum secara eksplisit dalam rentang IP yang diizinkan. Melewati aturan pemfilteran IP sering kali diperlukan agar layanan berfungsi dengan benar dan berinteraksi dengan bucket Anda. Untuk mengetahui informasi tentang cara mengizinkan Google Cloud agen layanan mengakses bucket Anda, lihat Mengelola akses agen layanan.
Melewati aturan pemfilteran IP untuk jaringan VPC lintas organisasi
Anda dapat mengizinkan resource dari jaringan VPC organisasi lain mengakses bucket tanpa batasan dari konfigurasi pemfilteran IP yang ada. Untuk mengetahui informasi tentang cara mengizinkan jaringan VPC lintas organisasi mengakses bucket Anda, lihat Mengelola akses VPC lintas organisasi.
Langkah berikutnya
- Menonaktifkan aturan pemfilteran IP di bucket.
- Mendapatkan aturan pemfilteran IP pada bucket.
- Mencantumkan aturan pemfilteran IP bucket.