Crear o actualizar reglas de filtrado de IP en un segmento

En esta página se describe cómo crear o actualizar las reglas de filtrado por IP de un contenedor en un contenedor ya creado.

Roles obligatorios

Para obtener los permisos necesarios para actualizar las reglas de filtrado por IP de un segmento, pide a tu administrador que te conceda el rol Administrador de almacenamiento (roles/storage.admin) en el segmento. Este rol contiene los permisos necesarios para actualizar las reglas de filtrado por IP de un segmento.

Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

  • storage.buckets.update
  • storage.buckets.setIpFilter

También puedes obtener estos permisos con roles personalizados. También puedes obtener estos permisos con otros roles predefinidos. Para ver qué roles están asociados a qué permisos, consulta Roles de gestión de identidades y accesos de Cloud Storage.

Para obtener instrucciones sobre cómo conceder roles a los segmentos, consulta Definir y gestionar políticas de IAM en segmentos.

Crear o actualizar reglas de filtrado de IP en un segmento

Consola

  1. En la Google Cloud consola, ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  2. En la lista de segmentos, haz clic en el nombre del segmento que quieras actualizar.

  3. En la página Detalles del segmento, haga clic en la pestaña Configuración.

  4. En la sección Permisos, vaya a Filtrado por IP. A continuación, haz clic en Editar configuración de filtrado por IP.

  5. En la página Filtrado por IP, haga clic en Configurar.

  6. En la ventana superpuesta Configurar el filtrado por IP, utilice el menú de navegación adecuado en función de la configuración de filtrado por IP que quiera especificar. Después de completar los pasos de cada sección, haga clic en Continuar para pasar al siguiente.

Direcciones IP públicas

Para permitir el acceso desde direcciones IP públicas, sigue estos pasos:

  1. Haz clic en Internet público.

  2. En el panel Internet público que aparece, especifica uno o varios intervalos de direcciones IPv4 o intervalos CIDR IPv6 en el campo Intervalos de IPs permitidos. Por ejemplo, 192.0.2.0/24 o 2001:db8::/32. Si especificas entradas no válidas, aparecerá un mensaje de error que indica qué entradas deben corregirse.

Redes de VPC

Para permitir el acceso desde redes de VPC, haz lo siguiente:

  1. Haz clic en Redes de VPC.

  2. En el panel Redes de VPC que aparece, haz lo siguiente en cada red:

    1. Haz clic en Añadir red de VPC.
    2. En la sección Nueva red de VPC, especifica la siguiente información:
      • En el campo ID del proyecto, introduce el ID del proyecto.
      • En el campo Nombre de la red, introduce el nombre de tu red.
      • En el campo Intervalos de IPs permitidas, introduzca uno o varios intervalos CIDR IPv4 o IPv6. Por ejemplo, 192.0.2.0/24, 2001:db8::/32`. Si especifica entradas no válidas, se mostrará un mensaje de error que indica qué entradas deben corregirse.
    3. Haz clic en Listo.

Configuración adicional

Para permitir que los agentes de servicio y las redes de VPC de otras organizaciones de confianza omitan la configuración de filtrado de IP, haz lo siguiente: Google Cloud

  1. Haz clic en Configuración adicional.

  2. En el panel Ajustes adicionales que aparece, haz lo siguiente:

  3. En la sección Google Cloud Acceso del agente de asistencia, selecciona uno de los siguientes botones de radio:

    • Permitir el acceso del agente de servicio: permite que servicios como BigLake, Storage Insights, Vertex AI y BigQuery omitan la validación del filtrado por IP cuando necesiten acceder a este cubo. Google Cloud

    • Denegar acceso a agentes de servicio: aplica las reglas de filtro de IP a los agentes de servicio de Google Cloud .

  4. En la sección (Opcional) Acceso a VPC entre organizaciones, haga una de las siguientes acciones:

    • Para permitir el acceso desde redes VPC especificadas que se encuentren en diferentes Google Cloud organizaciones, haz clic en el interruptor para que esté en la posición Permitir.

    • Para bloquear el acceso desde redes de VPC que no pertenezcan a tu Google Cloud organización, haz clic en el interruptor para que esté en la posición Denegar (estado predeterminado).

Revisar

Para revisar la configuración del filtrado por IP, siga estos pasos:

  1. En el panel Revisar que aparece, haz clic en la flecha de expansión situada junto a Internet público o Redes de VPC para revisar los intervalos de IP o la VPC especificados y verificar la configuración de Ajustes adicionales.

  2. Si necesitas modificar un ajuste, haz clic en Atrás para volver a los pasos de configuración anteriores.

  3. Después de revisar todas las configuraciones, haz clic en Habilitar para guardar la configuración del filtrado por IP.

gcloud

  1. Verifica que tienes instalada la versión 526.0.0 o una posterior de Google Cloud CLI:

    gcloud version | head -n1

  2. Si tienes instalada una versión anterior de la CLI de gcloud, actualízala:

    gcloud components update --version=526.0.0

  3. Crea un archivo JSON que defina las reglas de las solicitudes entrantes. Para ver ejemplos e información sobre cómo estructurar las reglas de filtrado por IP de los contenedores, consulta Configuraciones de filtrado por IP de los contenedores.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    Donde:

    • MODE es el modo de la configuración de filtrado de IP del segmento. Los valores válidos son Enabled y Disabled. Si se define como Enabled, las reglas de filtrado de IP se aplican a un contenedor. Cualquier solicitud entrante al contenedor se evalúa en función de estas reglas. Si se le asigna el valor Disabled, todas las solicitudes entrantes podrán acceder al contenedor.

    • RANGE_CIDR es un intervalo de direcciones IPv4 o IPv6 de una red pública que tiene permiso para acceder al segmento. Puedes introducir uno o varios intervalos de direcciones en forma de lista.

    • PROJECT_ID es el ID del proyecto en el que se encuentra la red de nube privada virtual (VPC). Para configurar varias redes de VPC, debes especificar el proyecto en el que se encuentra cada red.

    • NETWORK_NAME es el nombre de la red de VPC que tiene permiso para acceder al bucket. Para configurar varias redes de VPC, debes especificar un nombre para cada red.

    • ALLOW_CROSS_ORG_VPCS es un valor booleano que indica si se permiten las redes de VPC definidas en vpcNetworkSources que proceden de otra organización. Este campo es opcional. Si se define como true, la solicitud permite redes de VPC entre organizaciones. Si se define como false, la solicitud restringe las redes de VPC a la misma organización que el cubo. Si no se especifica ningún valor, se utiliza false de forma predeterminada. Este campo solo se aplica si vpcNetworkSources no está vacío.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS es un valor booleano que indica si se permite que los agentes de servicio accedan al segmento, independientemente de la configuración del filtro de IP. Si el valor es true, otros Google Cloud servicios pueden usar agentes de servicio para acceder al segmento sin validación basada en IP.

  4. Para actualizar las reglas de filtrado por IP de un segmento, ejecuta el comando gcloud storage buckets update en tu entorno de desarrollo:

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    Donde:

    • BUCKET_NAME es el nombre de tu segmento. Por ejemplo, my-bucket.
    • IP_FILTER_CONFIG_FILE es el archivo JSON que has creado.

API JSON

  1. Tener gcloud CLI instalado e inicializado, lo que te permite generar un token de acceso para el encabezado Authorization.

  2. Crea un archivo JSON que contenga los ajustes del segmento, que debe incluir los campos de configuración name y ipFilter del segmento. Para ver ejemplos e información sobre cómo estructurar las reglas de filtrado por IP de los contenedores, consulta Configuraciones de filtrado por IP de los contenedores.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    Donde:

    • MODE es el estado de la configuración del filtro de IP. Los valores válidos son Enabled y Disabled. Si se define como Enabled, las reglas de filtrado de IP se aplican a un contenedor y todas las solicitudes entrantes al contenedor se evalúan en función de estas reglas. Si se define como Disabled, todas las solicitudes entrantes podrán acceder al contenedor y a sus datos sin ninguna evaluación.

    • RANGE_CIDR es un intervalo de direcciones IPv4 o IPv6 de una red pública que tiene permiso para acceder al segmento. Puedes introducir uno o varios intervalos de direcciones en forma de lista.

    • PROJECT_ID es el ID del proyecto en el que se encuentra la red de VPC. Para configurar varias redes de VPC, debes especificar el proyecto en el que se encuentra cada red.

    • NETWORK_NAME es el nombre de la red de VPC que tiene permiso para acceder al contenedor. Para configurar varias redes de VPC, debes especificar un nombre para cada red.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS es un valor booleano que indica si se permite que los agentes de servicio accedan al bucket, independientemente de la configuración del filtro de IP. Si el valor es true, otros Google Cloud servicios pueden usar agentes de servicio para acceder al segmento sin validación basada en IP.

    • ALLOW_CROSS_ORG_VPCS es un valor booleano que indica si se permite que las redes de VPC definidas en la lista vpcNetworkSources procedan de otra organización. Este campo es opcional. Si se define como true, la solicitud permite redes de VPC entre organizaciones. Si se define como false, la solicitud restringe las redes de VPC a la misma organización que el cubo. Si no se especifica ningún valor, se utiliza false de forma predeterminada. Este campo solo se aplica si vpcNetworkSources no está vacío.

  3. Usa cURL para llamar a la API JSON con una solicitud PATCH bucket:

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    Donde:

    • JSON_FILE_NAME es el nombre del archivo JSON que has creado.
    • BUCKET_NAME es el nombre de tu segmento.
    • PROJECT_ID es el ID del proyecto al que está asociado tu contenedor. Por ejemplo, my-project.

Gestionar el acceso de los agentes de servicio Google Cloud

Para actualizar el acceso del agente de servicio después de configurar las reglas de filtrado de IP en tu cubo, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  2. En la lista de segmentos, haz clic en el nombre del segmento que quieras actualizar.

  3. En la página Detalles del segmento, haga clic en la pestaña Configuración.

  4. En la sección Permisos, vaya a Filtrado por IP. A continuación, haz clic en Editar configuración de filtrado por IP.

    Se mostrará la página Filtrado por IP.

  5. En la sección Gestionar Google Cloud acceso de agente de servicio, haga una de las siguientes acciones:

    • Para permitir el acceso a los agentes del servicio, sigue estos pasos:

      1. Haz clic en Inhabilitado para cambiar el ajuste a Habilitado.

      2. Para confirmar que quieres permitir el acceso, escribe Enable en el campo Habilitar.

    • Para denegar el acceso a los agentes del servicio, sigue estos pasos:

      1. Haz clic en Habilitado para cambiar el ajuste a Inhabilitado.

      2. Para confirmar que quieres denegar el acceso, escribe Disable en el campo Inhabilitar.

    Aparecerá una notificación para confirmar el cambio.

gcloud

Para actualizar el acceso del agente de servicio a tu contenedor, usa el comando gcloud storage buckets update y asigna al campo allowAllServiceAgentAccess el valor true para permitir el acceso o false para denegarlo. Para obtener instrucciones detalladas, consulta Crear o actualizar reglas de filtrado por IP en un bucket.

API JSON

Para actualizar el acceso del agente de servicio, puedes usar una solicitud PATCH para actualizar la configuración ipFilter del bucket. Asigna el valor true al campo allowAllServiceAgentAccess para permitir el acceso o false para denegarlo. Para obtener instrucciones detalladas, consulte Crear o actualizar reglas de filtrado por IP en un contenedor.

Gestionar el acceso a VPC entre organizaciones

Para actualizar el acceso a la VPC entre organizaciones después de configurar las reglas de filtrado de IP en tu cubo, sigue estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Segmentos de Cloud Storage.

    Ir a Contenedores

  2. En la lista de segmentos, haz clic en el nombre del segmento que quieras actualizar.

  3. En la página Detalles del segmento, haga clic en la pestaña Configuración.

  4. En la sección Permisos, vaya a Filtrado por IP. A continuación, haz clic en Editar configuración de filtrado por IP.

    Se mostrará la página Filtrado por IP.

  5. En la sección Gestionar el acceso a la VPC entre organizaciones, haga una de las siguientes acciones:

    • Para permitir el acceso a la VPC entre organizaciones, sigue estos pasos:

      1. Haz clic en Inhabilitado para cambiar el ajuste a Habilitado.

      2. Para confirmar que quieres permitir el acceso, escribe Enable en el campo Habilitar.

    • Para denegar el acceso a la VPC entre organizaciones, sigue estos pasos:

      1. Haz clic en Habilitado para cambiar el ajuste a Inhabilitado.

      2. Para confirmar que quieres denegar el acceso, escribe Disable en el campo Inhabilitar.

    Aparecerá una notificación para confirmar el cambio.

gcloud

Para actualizar el acceso a la VPC entre organizaciones de tu cubo, usa el comando gcloud storage buckets update y asigna al campo allowCrossOrgVpcs el valor true para permitir el acceso o false para denegarlo. Para obtener instrucciones detalladas, consulta Crear o actualizar reglas de filtrado por IP en un cubo ya creado.

API JSON

Para actualizar el acceso a la VPC entre organizaciones, puedes usar una solicitud PATCH para actualizar la configuración de ipFilter del segmento. Asigna el valor true al campo allowCrossOrgVpcs para permitir el acceso o false para denegarlo. Para obtener instrucciones detalladas, consulta Crear o actualizar reglas de filtrado por IP en un bucket.

Siguientes pasos

Pruébalo

Si es la primera vez que utilizas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud Storage en situaciones reales. Los nuevos clientes también reciben 300 USD en crédito gratuito para ejecutar, probar y desplegar cargas de trabajo.

Probar Cloud Storage gratis