Membuat atau memperbarui aturan pemfilteran IP di bucket yang ada

Halaman ini menjelaskan cara membuat atau memperbarui aturan pemfilteran IP bucket pada bucket yang ada.

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna memperbarui aturan pemfilteran IP di bucket, minta administrator Anda untuk memberi Anda peran Storage Admin (roles/storage.admin) di bucket tersebut. Peran ini berisi izin yang diperlukan untuk memperbarui aturan pemfilteran IP bucket.

Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

  • storage.buckets.update
  • storage.buckets.setIpFilter

Anda juga bisa mendapatkan izin ini dengan peran khusus. Anda mungkin juga bisa mendapatkan izin ini dengan peran bawaan lainnya. Untuk mengetahui peran mana yang terkait dengan izin apa, lihat Peran IAM untuk Cloud Storage.

Untuk mengetahui petunjuk tentang cara memberikan peran untuk bucket, lihat Menetapkan dan mengelola kebijakan IAM pada bucket.

Membuat atau memperbarui aturan pemfilteran IP di bucket yang ada

Konsol

  1. Di konsol Google Cloud , buka halaman Bucket Cloud Storage.

    Buka Bucket

  2. Dalam daftar bucket, klik nama bucket yang ingin Anda update.

  3. Di halaman Detail bucket, klik tab Konfigurasi.

  4. Di bagian Permissions, buka IP filtering. Kemudian, klik Edit IP filtering configuration.

  5. Di halaman Pemfilteran IP, klik Konfigurasi.

  6. Di jendela overlay Konfigurasi pemfilteran IP, bergantung pada konfigurasi pemfilteran IP yang ingin Anda tentukan, gunakan menu navigasi yang sesuai. Setelah menyelesaikan langkah-langkah di setiap bagian, klik Lanjutkan untuk melanjutkan ke langkah berikutnya.

Alamat IP publik

Untuk mengizinkan akses dari alamat IP publik, lakukan hal berikut:

  1. Klik Internet publik.

  2. Di panel Public internet yang muncul, tentukan satu atau beberapa rentang alamat IPv4 atau rentang CIDR IPv6 di kolom Allowed IP range(s). Misalnya, 192.0.2.0/24 atau 2001:db8::/32. Jika Anda menentukan entri yang tidak valid, pesan error akan menunjukkan entri mana yang perlu dikoreksi.

Jaringan VPC

Untuk mengizinkan akses dari jaringan VPC, lakukan hal berikut:

  1. Klik VPC network(s).

  2. Di panel VPC networks yang muncul, lakukan hal berikut untuk setiap jaringan:

    1. Klik Add VPC network.
    2. Di bagian New VPC network, tentukan informasi berikut:
      • Di kolom Project ID, masukkan ID project Anda.
      • Di kolom Network name, masukkan nama jaringan Anda.
      • Di kolom Rentang IP yang diizinkan, masukkan satu atau beberapa rentang CIDR IPv4 atau IPv6, misalnya, 192.0.2.0/24, 2001:db8::/32. Jika Anda memasukkan entri yang tidak valid, pesan error akan menunjukkan entri mana yang perlu diperbaiki.
    3. Klik Done.

Setelan tambahan

Untuk mengizinkan agen layanan dan jaringan VPC tepercaya dari organisasi lain melewati konfigurasi pemfilteran IP Anda, lakukan hal berikut: Google Cloud

  1. Klik Setelan tambahan.

  2. Di panel Additional settings yang muncul, lakukan hal berikut:

  3. Di bagian Google Cloud akses agen layanan, pilih salah satu tombol pilihan berikut:

    • Izinkan akses agen layanan: Mengaktifkan layanan Google Cloud seperti BigLake, Storage Insights, Vertex AI, dan BigQuery untuk melewati validasi pemfilteran IP saat perlu mengakses bucket ini.

    • Menolak akses agen layanan: Menerapkan aturan filter IP untuk agen layanan Google Cloud .

  4. Di bagian (Opsional) Akses VPC lintas organisasi, lakukan salah satu hal berikut:

    • Untuk mengizinkan akses dari jaringan VPC tertentu yang berada di organisasi Google Cloud lain, klik tombol ke posisi Izinkan.

    • Untuk memblokir akses dari jaringan VPC di luar Google Cloud organisasi Anda, klik tombol untuk memindahkan ke posisi Tolak (status default).

Ulasan

Untuk meninjau konfigurasi pemfilteran IP, lakukan hal berikut:

  1. Di panel Tinjau yang muncul, klik panah peluas di samping Internet publik atau Jaringan VPC untuk meninjau rentang IP atau VPC yang ditentukan dan memverifikasi konfigurasi Setelan tambahan.

  2. Jika Anda perlu mengubah setelan, klik Kembali untuk kembali ke langkah-langkah konfigurasi sebelumnya.

  3. Setelah meninjau semua konfigurasi, klik Aktifkan untuk menyimpan konfigurasi pemfilteran IP.

gcloud

  1. Verifikasi bahwa Anda telah menginstal Google Cloud CLI versi 526.0.0 atau yang lebih baru:

    gcloud version | head -n1

  2. Jika Anda telah menginstal gcloud CLI versi sebelumnya, update versinya:

    gcloud components update --version=526.0.0

  3. Buat file JSON yang menentukan aturan untuk permintaan masuk. Untuk contoh dan informasi tentang cara menyusun aturan pemfilteran IP bucket, lihat Konfigurasi pemfilteran IP bucket.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    Dengan:

    • MODE adalah mode konfigurasi pemfilteran IP bucket. Nilai yang valid adalah Enabled dan Disabled. Jika disetel ke Enabled, aturan pemfilteran IP diterapkan ke bucket. Setiap permintaan masuk ke bucket dievaluasi berdasarkan aturan ini. Jika ditetapkan ke Disabled, semua permintaan masuk diizinkan untuk mengakses bucket.

    • RANGE_CIDR adalah rentang alamat IPv4 atau IPv6 jaringan publik yang diizinkan untuk mengakses bucket. Anda dapat memasukkan satu atau beberapa rentang alamat sebagai daftar.

    • PROJECT_ID adalah project ID tempat jaringan Virtual Private Cloud (VPC) berada. Untuk mengonfigurasi beberapa jaringan VPC, Anda perlu menentukan project tempat setiap jaringan berada.

    • NETWORK_NAME adalah nama jaringan VPC yang diizinkan untuk mengakses bucket. Untuk mengonfigurasi beberapa jaringan VPC, Anda perlu menentukan nama untuk setiap jaringan.

    • ALLOW_CROSS_ORG_VPCS adalah nilai boolean yang menunjukkan apakah akan mengizinkan jaringan VPC yang ditentukan dalam vpcNetworkSources untuk berasal dari organisasi yang berbeda. Kolom ini bersifat opsional. Jika disetel ke true, permintaan mengizinkan jaringan VPC lintas organisasi. Jika disetel ke false, permintaan membatasi jaringan VPC ke organisasi yang sama dengan bucket. Jika tidak ditentukan, nilai defaultnya adalah false. Kolom ini hanya berlaku jika vpcNetworkSources tidak kosong.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS adalah nilai boolean yang menunjukkan apakah akan mengizinkan agen layanan mengakses bucket, terlepas dari konfigurasi filter IP. Jika nilainya adalah true, layanan Google Cloud lain dapat menggunakan agen layanan untuk mengakses bucket tanpa validasi berbasis IP.

  4. Untuk memperbarui aturan pemfilteran IP bucket, jalankan perintah gcloud storage buckets update di lingkungan pengembangan Anda:

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    Dengan:

    • BUCKET_NAME adalah nama bucket Anda. Contoh, my-bucket.
    • IP_FILTER_CONFIG_FILE adalah file JSON yang Anda buat.

JSON API

  1. Instal dan lakukan inisialisasigcloud CLI, yang memungkinkan Anda membuat token akses untuk header Authorization.

  2. Buat file JSON yang berisi setelan untuk bucket, yang harus menyertakan kolom konfigurasi name dan ipFilter untuk bucket. Untuk contoh dan informasi tentang cara menyusun aturan pemfilteran IP bucket, lihat Konfigurasi pemfilteran IP bucket.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    Dengan:

    • MODE adalah status konfigurasi filter IP. Nilai yang valid adalah Enabled dan Disabled. Jika disetel ke Enabled, aturan pemfilteran IP diterapkan ke bucket dan semua permintaan masuk ke bucket dievaluasi berdasarkan aturan ini. Jika disetel ke Disabled, semua permintaan masuk dapat mengakses bucket dan datanya tanpa evaluasi apa pun.

    • RANGE_CIDR adalah rentang alamat IPv4 atau IPv6 jaringan publik yang diizinkan untuk mengakses bucket. Anda dapat memasukkan satu atau beberapa rentang alamat sebagai daftar.

    • PROJECT_ID adalah project ID tempat jaringan VPC berada. Untuk mengonfigurasi beberapa jaringan VPC, Anda perlu menentukan project tempat setiap jaringan berada.

    • NETWORK_NAME adalah nama jaringan VPC yang diizinkan untuk mengakses bucket. Untuk mengonfigurasi beberapa jaringan VPC, Anda harus menentukan nama untuk setiap jaringan.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS adalah nilai boolean yang menunjukkan apakah akan mengizinkan agen layanan untuk mengakses bucket, terlepas dari konfigurasi filter IP. Jika nilainya adalah true, layanan Google Cloud lain dapat menggunakan agen layanan untuk mengakses bucket tanpa validasi berbasis IP.

    • ALLOW_CROSS_ORG_VPCS adalah nilai boolean yang menunjukkan apakah akan mengizinkan jaringan VPC yang ditentukan dalam daftar vpcNetworkSources berasal dari organisasi yang berbeda. Kolom ini bersifat opsional. Jika disetel ke true, permintaan mengizinkan jaringan VPC lintas organisasi. Jika disetel ke false, permintaan membatasi jaringan VPC ke organisasi yang sama dengan bucket. Jika tidak ditentukan, nilai defaultnya adalah false. Kolom ini hanya berlaku jika vpcNetworkSources tidak kosong.

  3. Gunakan cURL untuk memanggil JSON API dengan permintaan PATCH bucket:

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    Dengan:

    • JSON_FILE_NAME adalah nama file JSON yang Anda buat.
    • BUCKET_NAME adalah nama bucket Anda.
    • PROJECT_ID adalah ID project yang dikaitkan dengan bucket Anda. Contoh, my-project.

Mengelola akses agen layanan Google Cloud

Untuk memperbarui akses agen layanan setelah Anda mengonfigurasi aturan pemfilteran IP di bucket, selesaikan langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Bucket Cloud Storage.

    Buka Bucket

  2. Dalam daftar bucket, klik nama bucket yang ingin Anda update.

  3. Di halaman Detail bucket, klik tab Konfigurasi.

  4. Di bagian Permissions, buka IP filtering. Kemudian, klik Edit IP filtering configuration.

    Halaman IP filtering akan muncul.

  5. Di bagian Kelola akses agen layanan Google Cloud , lakukan salah satu hal berikut:

    • Untuk mengizinkan akses agen layanan, selesaikan langkah-langkah berikut:

      1. Klik Nonaktif untuk mengubah setelan menjadi Aktif.

      2. Untuk mengonfirmasi bahwa Anda ingin mengizinkan akses, ketik Enable di kolom Aktifkan.

    • Untuk menolak akses agen layanan, selesaikan langkah-langkah berikut:

      1. Klik Diaktifkan untuk mengubah setelan menjadi Dinonaktifkan.

      2. Untuk mengonfirmasi bahwa Anda ingin menolak akses, ketik Disable di kolom Nonaktifkan.

    Pesan notifikasi akan mengonfirmasi perubahan.

gcloud

Untuk memperbarui akses agen layanan ke bucket Anda, gunakan perintah gcloud storage buckets update dan tetapkan kolom allowAllServiceAgentAccess ke true untuk mengizinkan akses atau false untuk menolak akses. Untuk petunjuk mendetail, lihat Membuat atau memperbarui aturan pemfilteran IP di bucket yang ada.

JSON API

Untuk memperbarui akses agen layanan, Anda dapat menggunakan permintaan PATCH untuk memperbarui konfigurasi ipFilter bucket. Tetapkan kolom allowAllServiceAgentAccess ke true untuk mengizinkan akses atau false untuk menolak akses. Untuk mengetahui petunjuk mendetail, lihat Membuat atau memperbarui aturan pemfilteran IP di bucket yang ada.

Mengelola akses VPC lintas organisasi

Untuk memperbarui akses VPC lintas organisasi setelah Anda mengonfigurasi aturan pemfilteran IP di bucket Anda, selesaikan langkah-langkah berikut:

Konsol

  1. Di konsol Google Cloud , buka halaman Bucket Cloud Storage.

    Buka Bucket

  2. Dalam daftar bucket, klik nama bucket yang ingin Anda update.

  3. Di halaman Detail bucket, klik tab Konfigurasi.

  4. Di bagian Permissions, buka IP filtering. Kemudian, klik Edit IP filtering configuration.

    Halaman IP filtering akan muncul.

  5. Di bagian Manage cross-organization VPC access, lakukan salah satu hal berikut:

    • Untuk mengizinkan akses VPC lintas organisasi, selesaikan langkah-langkah berikut:

      1. Klik Nonaktif untuk mengubah setelan menjadi Aktif.

      2. Untuk mengonfirmasi bahwa Anda ingin mengizinkan akses, ketik Enable di kolom Aktifkan.

    • Untuk menolak akses VPC lintas organisasi, selesaikan langkah-langkah berikut:

      1. Klik Diaktifkan untuk mengubah setelan menjadi Dinonaktifkan.

      2. Untuk mengonfirmasi bahwa Anda ingin menolak akses, ketik Disable di kolom Nonaktifkan.

    Pesan notifikasi akan mengonfirmasi perubahan.

gcloud

Untuk memperbarui akses VPC lintas organisasi bagi bucket Anda, gunakan perintah gcloud storage buckets update dan tetapkan kolom allowCrossOrgVpcs ke true untuk mengizinkan akses atau false untuk menolak akses. Untuk mengetahui petunjuk mendetail, lihat Membuat atau memperbarui aturan pemfilteran IP di bucket yang ada.

JSON API

Untuk memperbarui akses VPC lintas organisasi, Anda dapat menggunakan permintaan PATCH untuk memperbarui konfigurasi ipFilter bucket. Tetapkan kolom allowCrossOrgVpcs ke true untuk mengizinkan akses atau false untuk menolak akses. Untuk mengetahui petunjuk mendetail, lihat Membuat atau memperbarui aturan pemfilteran IP di bucket yang ada.

Langkah berikutnya

Coba sendiri

Jika Anda baru menggunakan Google Cloud, buat akun untuk mengevaluasi performa Cloud Storage dalam skenario dunia nyata. Pelanggan baru juga akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload.

Coba Cloud Storage gratis