您可以允许用户或服务账号在没有任何 IP 过滤限制的情况下对存储桶执行某些操作,同时仍对其他操作强制执行限制。为此,您需要绕过 IP 过滤规则。
如果您不小心阻止了自己的 IP 地址,那么您必须有办法重新获得对存储桶的访问权限。阻止自己的 IP 地址这种情况可能存在以下原因:
存储桶锁定:如果您不小心添加了阻止您自己的 IP 地址或整个网络的 IP 范围的规则。
意外更改 IP 地址:在某些情况下,您的 IP 地址可能会因网络更改而意外更改,并且您可能会发现自己已无法访问。
如需了解存储桶 IP 过滤的背景信息,请参阅存储桶 IP 过滤。
支持的操作
绕过 IP 过滤时,以下操作不受 IP 过滤限制的约束:
- 获取存储桶的元数据(
GET存储桶) - 更新存储桶(
PATCH存储桶) - 删除存储桶(
DELETE存储桶)
绕过存储桶 IP 过滤规则
如需让特定用户或服务账号绕过对存储桶的 IP 过滤限制,请使用自定义角色向其授予 storage.buckets.exemptFromIpFilter 权限。此权限可使用户或服务账号在执行受支持的存储桶级操作时不受 IP 过滤规则的约束。为此,请完成以下步骤:
确定哪些用户或服务账号需要绕过对特定存储桶的 IP 过滤限制。
创建自定义角色。
为该角色添加
storage.buckets.exemptFromIpFilter权限。在项目级别向所确定的用户或服务账号授予自定义角色。如需了解如何授予角色,请参阅授予单个角色。
向用户或服务账号授予这些权限后,他们可以在没有任何 IP 过滤限制的情况下执行受支持的操作。要求明确的权限可通过对规则的例外情况提供精细控制,确保绕过 IP 过滤规则是经过授权的审慎行为。
为 Google Cloud 服务代理绕过 IP 过滤规则
除了基于 IAM 的绕过方式之外,您还可以允许所有 Google Cloud 服务代理绕过存储桶的 IP 过滤规则。
启用此选项后,即使 Compute Engine、Cloud Run functions 或 Cloud Composer 等服务的来源 IP 地址未明确列在您允许的 IP 范围中,这些服务也可以使用其服务代理访问存储桶。绕过 IP 过滤规则通常是服务正常运行并与存储桶交互所必需的。如需了解如何允许 Google Cloud 服务代理访问存储桶,请参阅管理服务代理访问权限。
绕过跨组织 VPC 网络的 IP 过滤规则
您可以允许其他组织的 VPC 网络中的资源访问存储桶,而不会受现有 IP 过滤配置的限制。如需了解如何允许跨组织 VPC 网络访问存储桶,请参阅管理跨组织 VPC 访问权限。