É possível permitir que usuários ou contas de serviço realizem determinadas operações em buckets sem restrições de filtragem de IP, mas ainda aplicando restrições para outras operações. Para fazer isso, ignore as regras de filtragem de IP.
É fundamental ter uma maneira de recuperar o acesso ao bucket se você bloquear seu próprio endereço IP por engano. Isso pode acontecer pelos seguintes motivos:
Bloqueio de bucket: quando você adiciona acidentalmente uma regra que bloqueia seu próprio endereço IP ou o intervalo de IP de toda a rede.
Mudança inesperada de IP: em alguns casos, seu endereço IP pode mudar inesperadamente devido a mudanças na rede, e você pode ficar bloqueado.
Para informações básicas sobre a filtragem de IP de buckets, consulte Filtragem de IP de buckets.
Operações suportadas
Ao ignorar a filtragem de IP, as seguintes operações são isentas das restrições de filtragem de IP:
- Receber os metadados de um bucket (
GETBucket) - Atualizar um bucket (
PATCHBucket) - Excluir um bucket (
DELETEBucket)
Ignorar regras de filtragem de IP de buckets
Para permitir que usuários ou contas de serviço específicos ignorem as restrições de filtragem de IP em um bucket, conceda a permissão storage.buckets.exemptFromIpFilter usando uma função personalizada. Essa permissão isenta o usuário ou a conta de serviço das regras de filtragem de IP para operações compatíveis no nível do bucket. Para fazer isso, siga estas etapas:
Identifique o usuário ou a conta de serviço que precisa ignorar as restrições de filtragem de IP em buckets específicos.
Crie uma função personalizada.
Adicione a permissão
storage.buckets.exemptFromIpFilterao papel.Conceda a função personalizada ao usuário ou à conta de serviço identificada no nível do projeto. Para mais informações sobre como conceder papéis, consulte Conceder um único papel.
Depois de conceder essas permissões aos usuários ou contas de serviço, eles poderão realizar operações compatíveis sem restrições de filtragem de IP. Exigir permissões explícitas garante que a ignorância das regras de filtragem de IP seja uma ação deliberada e autorizada, fornecendo controle granular sobre as exceções às regras.
Ignorar regras de filtragem de IP para Google Cloud agentes de serviço
É possível permitir que Google Cloud agentes de serviço ignorem as regras de filtragem de IP do seu bucket. O agente de serviço e o bucket precisam estar no mesmo projeto.
Quando ativados, os serviços, como o Compute Engine ou o Cloud Run, no projeto do bucket podem acessar o bucket livremente, independentemente dos endereços IP. Os agentes de serviço de projetos diferentes não podem usar essa ignorância. Se você precisar conceder acesso a serviços em outros projetos, mantendo as restrições baseadas em IP, considere usar recursos como o VPC Service Controls ou condições do IAM.
Para informações sobre como permitir que Google Cloud agentes de serviço acessem seu bucket, consulte Gerenciar o acesso de agente de serviço de serviço.
Ignorar regras de filtragem de IP para redes VPC entre organizações
É possível permitir que recursos de uma rede VPC de outra organização acessem o bucket sem restrições da configuração de filtragem de IP atual. Para informações sobre como permitir que redes VPC entre organizações acessem seu bucket, consulte Gerenciar o acesso à VPC entre organizações.
A seguir
- Desativar as regras de filtragem de IP em um bucket.
- Receber regras de filtragem de IP em um bucket.
- Listar regras de filtragem de IP de buckets.