您可以允許使用者或服務帳戶對 bucket 執行特定作業,而不受任何 IP 篩選限制,同時對其他作業強制執行限制。方法是略過 IP 篩選規則。
萬一不慎封鎖自己的 IP 位址,請務必保留取回 Bucket 存取權的方法。可能原因如下:
儲存空間鎖定:不小心新增的規則封鎖了自己的 IP 位址或整個網路的 IP 範圍。
IP 位址發生非預期的變更:有時 IP 位址可能會因網路變更而發生非預期的變更,導致您無法登入。
如需 bucket IP 過濾功能的背景資訊,請參閱「Bucket IP 過濾功能」。
支援的作業
略過 IP 過濾功能後,下列作業將不受 IP 過濾限制:
- 取得值區的中繼資料 (
GETBucket) - 更新 bucket (
PATCHBucket) - 刪除 bucket (
DELETEBucket)
略過 bucket IP 篩選規則
如要允許特定使用者或服務帳戶略過 bucket 的 IP 篩選限制,請使用自訂角色授予 storage.buckets.exemptFromIpFilter 權限。這項權限可讓使用者或服務帳戶免受支援的 bucket 層級作業 IP 篩選規則限制。如要這麼做,請完成下列步驟:
找出需要略過特定 bucket IP 篩選限制的使用者或服務帳戶。
建立自訂角色。
將
storage.buckets.exemptFromIpFilter權限新增至角色。在專案層級將自訂角色授予已識別的使用者或服務帳戶。如要瞭解如何授予角色,請參閱「授予單一角色」。
授予使用者或服務帳戶這些權限後,他們就能執行支援的操作,不受任何 IP 篩選限制。明確要求權限可確保略過 IP 篩選規則是經過授權的刻意動作,並提供精細的規則例外狀況控制權。
略過 Google Cloud 服務代理程式的 IP 過濾規則
您可以允許 Google Cloud 服務代理略過 bucket 的 IP 過濾規則。服務代理程式和 bucket 必須位於相同專案。
啟用後,bucket 專案中的 Compute Engine 或 Cloud Run 等服務,無論 IP 位址為何,都能自由存取 bucket。不同專案的服務專員無法使用這項略過功能。 如要在維持 IP 限制的同時,授予其他專案中服務的存取權,請考慮使用 VPC Service Controls 或 IAM 條件等功能。
如要瞭解如何允許 Google Cloud 服務代理存取您的 bucket,請參閱「管理服務代理存取權」。
略過跨組織虛擬私有雲網路的 IP 過濾規則
您可以允許其他機構的虛擬私有雲網路資源存取 bucket,不受現有 IP 過濾設定的限制。如要瞭解如何允許跨組織虛擬私有雲網路存取您的值區,請參閱「管理跨組織虛擬私有雲存取權」。