您可以允許使用者或服務帳戶對 bucket 執行特定作業,而不受任何 IP 篩選限制,同時對其他作業強制執行限制。方法是略過 IP 篩選規則。
萬一不慎封鎖自己的 IP 位址,請務必保留取回 Bucket 存取權的方法。可能原因如下:
儲存空間鎖定:不小心新增的規則封鎖了自己的 IP 位址或整個網路的 IP 範圍。
IP 位址非預期變更:有時 IP 位址可能會因網路變更而意外變更,導致您無法登入。
如需 bucket IP 過濾功能的背景資訊,請參閱「Bucket IP 過濾功能」。
支援的作業
略過 IP 過濾功能後,下列作業將不受 IP 過濾限制:
- 取得值區的中繼資料 (
GETBucket) - 更新 bucket (
PATCHBucket) - 刪除 bucket (
DELETEBucket)
略過 bucket IP 篩選規則
如要允許特定使用者或服務帳戶略過 bucket 的 IP 篩選限制,請使用自訂角色授予 storage.buckets.exemptFromIpFilter 權限。這項權限可讓使用者或服務帳戶免受支援的 bucket 層級作業 IP 篩選規則限制。如要這樣做,請完成下列步驟:
找出需要略過特定 bucket IP 篩選限制的使用者或服務帳戶。
建立自訂角色。
將
storage.buckets.exemptFromIpFilter權限新增至角色。在專案層級將自訂角色授予已識別的使用者或服務帳戶。如要瞭解如何授予角色,請參閱「授予單一角色」。
授予使用者或服務帳戶這些權限後,他們就能執行支援的操作,不受任何 IP 篩選限制。要求明確權限可確保略過 IP 篩選規則是經過授權的刻意動作,並提供精細的規則例外狀況控制權。
略過 Google Cloud 服務代理程式的 IP 過濾規則
除了以 IAM 為基礎的略過方式,您也可以允許所有 Google Cloud 服務 Google Cloud 代理程式略過 bucket 的 IP 過濾規則。
啟用之後,即使來源 IP 位址未明確列於允許的 IP 範圍,Compute Engine、Cloud Run 函式或 Cloud Composer 等服務也能使用服務代理程式存取 bucket。服務通常必須略過 IP 篩選規則,才能正常運作並與儲存空間互動。如要瞭解如何允許服務專員存取您的 bucket,請參閱「管理服務專員存取權」。 Google Cloud
略過跨組織虛擬私有雲網路的 IP 過濾規則
您可以允許其他機構的 VPC 網路資源存取 bucket,不受現有 IP 過濾設定的限制。如要瞭解如何允許跨組織虛擬私有雲網路存取您的 bucket,請參閱「管理跨組織虛擬私有雲存取權」。