Ignorar regras de filtragem de IP do bucket

É possível permitir que usuários ou contas de serviço realizem determinadas operações em buckets sem restrições de filtragem de IP, mas ainda aplicar restrições a outras operações. Para isso, ignore as regras de filtragem de IP.

É fundamental ter uma maneira de recuperar o acesso ao bucket se você bloquear seu próprio endereço IP por engano. Isso pode acontecer pelos seguintes motivos:

• Bloqueio de bucket: quando você adiciona acidentalmente uma regra que bloqueia seu próprio endereço IP ou o intervalo de IP de toda a rede.

• Mudança inesperada de IP: em alguns casos, seu endereço IP pode mudar inesperadamente devido a alterações na rede, e você pode perder o acesso.

Para informações contextuais sobre a filtragem de IP do bucket, consulte Filtragem de IP do bucket.

Operações suportadas

Ao ignorar a filtragem de IP, as seguintes operações ficam isentas das restrições de filtragem de IP:

• Receber os metadados de um bucket (GET Bucket)
• Atualizar um bucket (PATCH Bucket)
• Excluir um bucket (bucket DELETE)

Ignorar regras de filtragem de IP do bucket

Para permitir que usuários ou contas de serviço específicos ignorem as restrições de filtragem de IP em um bucket, conceda a eles a permissão storage.buckets.exemptFromIpFilter usando um papel personalizado. Essa permissão exime o usuário ou a conta de serviço das regras de filtragem de IP para operações compatíveis no nível do bucket. Para isso, siga estas etapas:

1. Identifique o usuário ou a conta de serviço que precisa ignorar as restrições de filtragem de IP em buckets específicos.

2. Crie uma função personalizada.

3. Adicione a permissão storage.buckets.exemptFromIpFilter à função.

4. Conceda o papel personalizado ao usuário ou à conta de serviço identificada no nível do projeto. Para informações sobre como conceder papéis, consulte Conceder um único papel.

Depois de conceder essas permissões aos usuários ou contas de serviço, eles poderão realizar operações compatíveis sem restrições de filtragem de IP. Exigir permissões explícitas garante que a violação das regras de filtragem de IP seja uma ação deliberada e autorizada, oferecendo controle granular sobre as exceções às regras.

Ignorar regras de filtragem de IP para agentes de serviço Google Cloud

Além da substituição baseada no IAM, você também pode permitir que todos os agentes de serviço Google Cloud substituam as regras de filtragem de IP do seu bucket.

Quando ativados, serviços como Compute Engine, funções do Cloud Run ou Cloud Composer podem acessar o bucket usando os agentes de serviço, mesmo que os endereços IP de origem não estejam explicitamente listados nos intervalos de IP permitidos. Ignorar as regras de filtragem de IP geralmente é necessário para que os serviços funcionem corretamente e interajam com seu bucket. Para saber como permitir que os agentes de serviço do Google Cloud acessem seu bucket, consulte Gerenciar o acesso do agente de serviço.

Ignorar regras de filtragem de IP para redes VPC entre organizações

Você pode permitir que recursos de uma rede VPC de outra organização acessem o bucket sem restrições da sua configuração de filtragem de IP atual. Para informações sobre como permitir que redes VPC entre organizações acessem seu bucket, consulte Gerenciar o acesso à VPC entre organizações.

A seguir

• Desativar regras de filtragem de IP em um bucket.
• Receber regras de filtragem de IP em um bucket.
• Listar regras de filtragem de IP do bucket.