Creare o aggiornare regole di filtro IP in un bucket esistente

Questa pagina descrive come creare o aggiornare le regole di filtro IP del bucket su un bucket esistente.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per aggiornare le regole di filtro IP su un bucket, chiedi all'amministratore di concederti il ruolo Storage Admin (roles/storage.admin) sul bucket. Questo ruolo contiene le autorizzazioni necessarie per aggiornare le regole di filtro IP del bucket.

Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:

Autorizzazioni obbligatorie

  • storage.buckets.update
  • storage.buckets.setIpFilter

Puoi anche ottenere queste autorizzazioni con ruoli personalizzati. Potresti anche ottenere queste autorizzazioni con altri ruoli predefiniti. Per vedere quali ruoli sono associati a quali autorizzazioni, consulta Ruoli IAM per Cloud Storage.

Per istruzioni sulla concessione dei ruoli per i bucket, consulta Impostare e gestire le policy IAM sui bucket.

Creare o aggiornare le regole di filtro IP su un bucket esistente

Console

  1. Nella Google Cloud console, vai alla pagina Bucket in Cloud Storage.

    Vai a Bucket

  2. Nell'elenco dei bucket, fai clic sul nome del bucket che vuoi aggiornare.

  3. Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.

  4. Nella sezione Autorizzazioni, vai a Filtro IP. Quindi, fai clic su Modifica configurazione filtro IP.

  5. Nella pagina Filtro IP, fai clic su Configura.

  6. Nella finestra di overlay Configura filtro IP , utilizza il menu di navigazione appropriato a seconda della configurazione del filtro IP che vuoi specificare. Dopo aver completato i passaggi in ogni sezione, fai clic su Continua per passare al passaggio successivo.

Indirizzi IP pubblici

Per consentire l'accesso dagli indirizzi IP pubblici:

  1. Fai clic su Internet pubblico.

  2. Nel riquadro Internet pubblico visualizzato, specifica uno o più intervalli di indirizzi IPv4 o intervalli CIDR IPv6 nel campo Intervalli IP consentiti. Ad esempio, 192.0.2.0/24 o 2001:db8::/32. Se specifichi voci non valide, un messaggio di errore indica quali voci devono essere corrette.

Reti VPC

Per consentire l'accesso dalle reti VPC:

  1. Fai clic su Reti VPC.

  2. Nel riquadro Reti VPC visualizzato, segui questi passaggi per ogni rete:

    1. Fai clic su Aggiungi rete VPC.
    2. Nella sezione Nuova rete VPC, specifica le seguenti informazioni:
      • Nel campo ID progetto, inserisci l'ID progetto.
      • Nel campo Nome rete, inserisci il nome della rete.
      • Nel campo Intervalli IP consentiti , inserisci uno o più intervalli CIDR IPv4 o IPv6, ad esempio 192.0.2.0/24, 2001:db8::/32`. Se specifichi voci non valide, un messaggio di errore indica quali voci devono essere corrette.
    3. Fai clic su Fine.

Impostazioni aggiuntive

Per consentire ai service agent attendibili Google Cloud e alle reti VPC di altre organizzazioni di ignorare la configurazione del filtro IP:

  1. Fai clic su Impostazioni aggiuntive.

  2. Nel riquadro Impostazioni aggiuntive visualizzato:

  3. Nella sezione Google Cloud Accesso del service agent, seleziona uno dei seguenti pulsanti di opzione:

    • Consenti l'accesso del service agent: consente ai Google Cloud servizi come BigLake, Storage Insights, Vertex AI e BigQuery di ignorare la convalida del filtro IP quando devono accedere a questo bucket.

    • Nega l'accesso del service agent: applica le regole del filtro IP ai Google Cloud service agent.

  4. Nella sezione (Facoltativo) Accesso VPC tra organizzazioni, esegui una delle seguenti operazioni:

    • Per consentire l'accesso dalle reti VPC specificate situate in diverse Google Cloud organizzazioni, fai clic sul pulsante di attivazione/disattivazione per impostarlo su Consenti.

    • Per bloccare l'accesso dalle reti VPC esterne alla tua Google Cloud organizzazione, fai clic sul pulsante di attivazione/disattivazione per impostarlo su Nega (stato predefinito).

Rivedi

Per esaminare la configurazione del filtro IP:

  1. Nel riquadro Rivedi visualizzato, fai clic sulla freccia di espansione accanto a Internet pubblico o Reti VPC per esaminare gli intervalli IP o i VPC specificati e verificare la configurazione delle Impostazioni aggiuntive.

  2. Se devi modificare un'impostazione, fai clic su Indietro per tornare ai passaggi di configurazione precedenti.

  3. Dopo aver esaminato tutte le configurazioni, fai clic su Attiva per salvare la configurazione del filtro IP.

gcloud

  1. Verifica di aver installato Google Cloud CLI versione 526.0.0 o successive:

    gcloud version | head -n1

  2. Se hai installato una versione precedente di gcloud CLI, aggiornala:

    gcloud components update --version=526.0.0

  3. Crea un file JSON che definisce le regole per le richieste in entrata. Per esempi e informazioni su come strutturare le regole di filtro IP del bucket, consulta Configurazioni del filtro IP del bucket.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    Dove:

    • MODE è la modalità della configurazione del filtro IP del bucket. I valori validi sono Enabled e Disabled. Se impostato su Enabled, le regole di filtro IP vengono applicate a un bucket. Qualsiasi richiesta in entrata a al bucket viene valutata in base a queste regole. Se impostato su Disabled, tutte le richieste in entrata possono accedere al bucket.

    • RANGE_CIDR è un intervallo di indirizzi IPv4 o IPv6 di rete pubblica autorizzato ad accedere al bucket. Puoi inserire uno o più intervalli di indirizzi come elenco.

    • PROJECT_ID è l'ID progetto in cui esiste la rete Virtual Private Cloud (VPC). Per configurare più reti VPC, devi specificare il progetto in cui si trova ogni rete.

    • NETWORK_NAME è il nome della rete VPC autorizzata ad accedere al bucket. Per configurare più reti VPC, devi specificare un nome per ogni rete.

    • ALLOW_CROSS_ORG_VPCS è un valore booleano che indica se consentire alle reti VPC definite in vpcNetworkSources di provenire da un'organizzazione diversa. Questo campo è facoltativo. Se impostato su true, la richiesta consente le reti VPC tra organizzazioni. Se impostato su false, la richiesta limita le reti VPC alla stessa organizzazione del bucket. Se non specificato, il valore predefinito è false. Questo campo si applica solo se vpcNetworkSources non è vuoto.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS è un valore booleano che indica se consentire ai service agent di accedere al bucket, indipendentemente dalla configurazione del filtro IP. Se il valore è true, altri Google Cloud servizi possono utilizzare i service agent per accedere al bucket senza convalida basata su IP.

  4. Per aggiornare le regole di filtro IP del bucket, esegui il gcloud storage buckets update comando nel tuo ambiente di sviluppo:

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    Dove:

    • BUCKET_NAME è il nome del tuo bucket. Ad esempio, my-bucket.
    • IP_FILTER_CONFIG_FILE è il file JSON che hai creato.

API JSON

  1. Assicurati di aver installato e inizializzato gcloud CLI installato e inizializzato, che ti consente di generare un token di accesso per l'intestazione Authorization.

  2. Crea un file JSON contenente le impostazioni del bucket, che deve includere i campi di configurazione name e ipFilter per il bucket. Per esempi e informazioni su come strutturare le regole di filtro IP del bucket, consulta Configurazioni del filtro IP del bucket.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    Dove:

    • MODE è lo stato della configurazione del filtro IP. I valori validi sono Enabled e Disabled. Se impostato su Enabled, le regole di filtro IP vengono applicate a un bucket e tutte le richieste in entrata al bucket vengono valutate in base a queste regole. Se impostato su Disabled, tutte le richieste in entrata possono accedere al bucket e ai relativi dati senza alcuna valutazione.

    • RANGE_CIDR è un intervallo di indirizzi IPv4 o IPv6 di rete pubblica autorizzato ad accedere al bucket. Puoi inserire uno o più intervalli di indirizzi come elenco.

    • PROJECT_ID è l'ID progetto in cui esiste la rete VPC. Per configurare più reti VPC, devi specificare il progetto in cui si trova ogni rete.

    • NETWORK_NAME è il nome della rete VPC autorizzata ad accedere al bucket. Per configurare più reti VPC, devi specificare un nome per ogni rete.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS è un valore booleano che indica se consentire ai service agent di accedere al bucket, indipendentemente dalla configurazione del filtro IP. Se il valore è true, altri Google Cloud servizi possono utilizzare i service agent per accedere al bucket senza convalida basata su IP.

    • ALLOW_CROSS_ORG_VPCS è un valore booleano che indica se consentire alle reti VPC definite nell'elenco vpcNetworkSources di provenire da un'organizzazione diversa. Questo campo è facoltativo. Se impostato su true, la richiesta consente le reti VPC tra organizzazioni. Se impostato su false, la richiesta limita le reti VPC alla stessa organizzazione del bucket. Se non specificato, il valore predefinito è false. Questo campo si applica solo se vpcNetworkSources non è vuoto.

  3. Utilizza cURL per chiamare l'API JSON con una richiesta PATCH bucket:

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    Dove:

    • JSON_FILE_NAME è il nome del file JSON che hai creato.
    • BUCKET_NAME è il nome del tuo bucket.
    • PROJECT_ID è l'ID del progetto a cui è associato il bucket. Ad esempio, my-project.

Gestire l'accesso del Google Cloud service agent

Per aggiornare l'accesso del service agent dopo aver configurato le regole di filtro IP sul bucket:

Console

  1. Nella Google Cloud console, vai alla pagina Bucket in Cloud Storage.

    Vai a Bucket

  2. Nell'elenco dei bucket, fai clic sul nome del bucket che vuoi aggiornare.

  3. Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.

  4. Nella sezione Autorizzazioni, vai a Filtro IP. Quindi, fai clic su Modifica configurazione filtro IP.

    Viene visualizzata la pagina Filtro IP.

  5. Nella sezione Gestisci Google Cloud l'accesso del service agent, esegui una delle seguenti operazioni:

    • Per consentire l'accesso del service agent:

      1. Fai clic su Disattivato per modificare l'impostazione in Attivato.

      2. Per confermare che vuoi consentire l'accesso, digita Enable nel campo Attiva.

    • Per negare l'accesso del service agent:

      1. Fai clic su Attivato per modificare l'impostazione in Disattivato.

      2. Per confermare che vuoi negare l'accesso, digita Disable nel campo Disattiva.

    Un messaggio di notifica conferma la modifica.

gcloud

Per aggiornare l'accesso del service agent per il bucket, utilizza il comando gcloud storage buckets update e imposta il campo allowAllServiceAgentAccess su true per consentire l'accesso o su false per negarlo. Per istruzioni dettagliate, consulta Creare o aggiornare le regole di filtro IP su un bucket esistente.

API JSON

Per aggiornare l'accesso del service agent, puoi utilizzare una richiesta PATCH per aggiornare la configurazione ipFilter del bucket. Imposta il campo allowAllServiceAgentAccess su true per consentire l'accesso o su false per negarlo. Per istruzioni dettagliate, consulta Creare o aggiornare le regole di filtro IP su un bucket esistente.

Gestire l'accesso VPC tra organizzazioni

Per aggiornare l'accesso VPC tra organizzazioni dopo aver configurato le regole di filtro IP sul bucket:

Console

  1. Nella Google Cloud console, vai alla pagina Bucket in Cloud Storage.

    Vai a Bucket

  2. Nell'elenco dei bucket, fai clic sul nome del bucket che vuoi aggiornare.

  3. Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.

  4. Nella sezione Autorizzazioni, vai a Filtro IP. Quindi, fai clic su Modifica configurazione filtro IP.

    Viene visualizzata la pagina Filtro IP.

  5. Nella sezione Gestisci l'accesso VPC tra organizzazioni, esegui una delle seguenti operazioni:

    • Per consentire l'accesso VPC tra organizzazioni:

      1. Fai clic su Disattivato per modificare l'impostazione in Attivato.

      2. Per confermare che vuoi consentire l'accesso, digita Enable nel campo Attiva.

    • Per negare l'accesso VPC tra organizzazioni:

      1. Fai clic su Attivato per modificare l'impostazione in Disattivato.

      2. Per confermare che vuoi negare l'accesso, digita Disable nel campo Disattiva.

    Un messaggio di notifica conferma la modifica.

gcloud

Per aggiornare l'accesso VPC tra organizzazioni per il bucket, utilizza il comando gcloud storage buckets update e imposta il campo allowCrossOrgVpcs su true per consentire l'accesso o su false per negarlo. Per istruzioni dettagliate, consulta Creare o aggiornare le regole di filtro IP su un bucket esistente.

API JSON

Per aggiornare l'accesso VPC tra organizzazioni, puoi utilizzare una richiesta PATCH per aggiornare la configurazione ipFilter del bucket. Imposta il campo allowCrossOrgVpcs su true per consentire l'accesso o su false per negarlo. Per istruzioni dettagliate, consulta Creare o aggiornare le regole di filtro IP su un bucket esistente.

Passaggi successivi

Provalo

Se non conosci Google Cloud, crea un account per valutare le prestazioni di Cloud Storage in scenari reali. I nuovi clienti ricevono anche 300 $di crediti senza costi per l'esecuzione, il test e il deployment dei workload.

Prova Cloud Storage senza costi