Créer ou mettre à jour des règles de filtrage d'adresses IP sur un bucket existant

Cette page explique comment créer ou mettre à jour les règles de filtrage par adresse IP sur un bucket existant.

Rôles requis

Pour obtenir les autorisations requises pour mettre à jour les règles de filtrage par adresse IP sur un bucket, demandez à votre administrateur de vous accorder le rôle Administrateur Storage (roles/storage.admin) sur le bucket. Ce rôle contient les autorisations requises pour mettre à jour les règles de filtrage par adresse IP des buckets.

Pour afficher les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

  • storage.buckets.update
  • storage.buckets.setIpFilter

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés. Vous pouvez aussi obtenir ces autorisations avec d'autres rôles prédéfinis. Pour savoir quels rôles sont associés à quelles autorisations, consultez Rôles IAM pour Cloud Storage.

Pour en savoir plus sur l'attribution de rôles sur des buckets, consultez la page Définir et gérer des stratégies IAM sur des buckets.

Créer ou mettre à jour des règles de filtrage par adresse IP sur un bucket existant

Console

  1. Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.

    Accéder à la page Buckets

  2. Dans la liste des buckets, cliquez sur le nom du bucket que vous souhaitez mettre à jour.

  3. Sur la page Informations sur le bucket, cliquez sur l'onglet Configuration.

  4. Dans la section Autorisations, accédez à Filtrage des adresses IP. Cliquez ensuite sur  Modifier la configuration du filtrage par adresse IP.

  5. Sur la page Filtrage par adresse IP, cliquez sur Configurer.

  6. Dans la fenêtre pop-up Configurer le filtrage par adresse IP, utilisez le menu de navigation approprié en fonction de la configuration de filtrage par adresse IP que vous souhaitez spécifier. Après avoir suivi les étapes de chaque section, cliquez sur Continuer pour passer à l'étape suivante.

Adresses IP publiques

Pour autoriser l'accès depuis des adresses IP publiques, procédez comme suit :

  1. Cliquez sur Internet public.

  2. Dans le volet Internet public qui s'affiche, spécifiez une ou plusieurs plages d'adresses IPv4 ou plages CIDR IPv6 dans le champ Plage(s) d'adresses IP autorisée(s). Par exemple, 192.0.2.0/24 ou 2001:db8::/32. Si vous spécifiez des entrées incorrectes, un message d'erreur indique celles qui doivent être corrigées.

Réseaux VPC

Pour autoriser l'accès à partir de réseaux VPC, procédez comme suit :

  1. Cliquez sur Réseau(x) VPC.

  2. Dans le volet Réseaux VPC qui s'affiche, procédez comme suit pour chaque réseau :

    1. Cliquez sur Ajouter un réseau VPC.
    2. Dans la section Nouveau réseau VPC, spécifiez les informations suivantes :
      • Dans le champ ID du projet, saisissez l'ID de votre projet.
      • Dans le champ Nom du réseau, saisissez le nom de votre réseau.
      • Dans le champ Plage(s) d'adresses IP autorisées, saisissez une ou plusieurs plages CIDR IPv4 ou IPv6 (par exemple, 192.0.2.0/24, 2001:db8::/32). Si vous spécifiez des entrées incorrectes, un message d'erreur indique celles qui doivent être corrigées.
    3. Cliquez sur OK.

Paramètres supplémentaires

Pour autoriser les agents de service Google Cloud et les réseaux VPC approuvés provenant d'autres organisations à contourner votre configuration de filtrage par adresse IP, procédez comme suit :

  1. Cliquez sur Paramètres supplémentaires.

  2. Dans le volet Paramètres supplémentaires qui s'affiche, procédez comme suit :

  3. Dans la section Accès de l'agent de serviceGoogle Cloud , sélectionnez l'une des cases d'option suivantes :

    • Autoriser l'accès de l'agent de service : permet aux services Google Cloud , tels que BigLake, Storage Insights, Vertex AI et BigQuery, de contourner la validation du filtrage par adresse IP lorsqu'ils doivent accéder à ce bucket.

    • Refuser l'accès de l'agent de service : applique les règles de filtrage par adresse IP pour les agents de service Google Cloud .

  4. Dans la section (Facultatif) Accès VPC inter-organisations, procédez comme suit :

    • Pour autoriser l'accès à partir de réseaux VPC spécifiés qui sont situés dans différentes organisations Google Cloud , cliquez sur le bouton pour le mettre sur la position Autoriser.

    • Pour bloquer l'accès depuis des réseaux VPC extérieurs à votre organisation Google Cloud , cliquez sur le bouton pour le mettre sur la position Refuser (état par défaut).

Vérification

Pour vérifier la configuration du filtrage par adresse IP, procédez comme suit :

  1. Dans le volet Examiner qui s'affiche, cliquez sur la flèche d'expansion  à côté de Internet public ou Réseau(x) VPC pour examiner les plages d'adresses IP ou le VPC spécifiés, et vérifier la configuration des Paramètres supplémentaires.

  2. Si vous devez modifier un paramètre, cliquez sur Retour pour revenir aux étapes de configuration précédentes.

  3. Après avoir vérifié toutes les configurations, cliquez sur Activer pour enregistrer la configuration du filtrage par adresse IP.

gcloud

  1. Vérifiez que la version 526.0.0 (ou ultérieure) de la Google Cloud CLI est installée :

    gcloud version | head -n1

  2. Si vous avez installé une version antérieure de la gcloud CLI, mettez-la à jour :

    gcloud components update --version=526.0.0

  3. Créez un fichier JSON qui définit les règles pour les requêtes entrantes. Pour obtenir des exemples et des informations sur la façon de structurer les règles de filtrage par adresse IP d'un bucket, consultez Configurations de filtrage par adresses IP pour les buckets.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    Où :

    • MODE correspond au mode de configuration du filtrage par adresse IP du bucket. Les valeurs valides sont Enabled et Disabled. Lorsque la valeur est définie sur Enabled, les règles de filtrage par adresse IP sont appliquées à un bucket. Toute requête entrante vers le bucket est évaluée vis-à-vis de ces règles. Lorsque la valeur est définie sur Disabled, toutes les requêtes entrantes sont autorisées à accéder au bucket.

    • RANGE_CIDR est une plage d'adresses IPv4 ou IPv6 de réseau public autorisée à accéder au bucket. Vous pouvez indiquer une ou plusieurs plages d'adresses sous forme de liste.

    • PROJECT_ID est l'ID du projet dans lequel se trouve le réseau de cloud privé virtuel (VPC). Pour configurer plusieurs réseaux VPC, vous devez spécifier le projet dans lequel se trouve chaque réseau.

    • NETWORK_NAME correspond au nom du réseau VPC autorisé à accéder au bucket. Pour configurer plusieurs réseaux VPC, vous devez spécifier un nom pour chacun d'eux.

    • ALLOW_CROSS_ORG_VPCS est une valeur booléenne qui indique s'il faut autoriser les réseaux VPC définis dans vpcNetworkSources à provenir d'une autre organisation. Ce champ est facultatif. Si la valeur est définie sur true, la requête autorise les réseaux VPC interorganisationnels. Si la valeur est définie sur false, la requête limite les réseaux VPC à la même organisation que le bucket. Si aucune valeur n'est spécifiée, la valeur par défaut false est utilisée. Ce champ ne s'applique que si vpcNetworkSources n'est pas vide.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS est une valeur booléenne qui indique s'il faut autoriser les agents de service à accéder au bucket, quelle que soit la configuration du filtrage par adresse IP. Si la valeur est true, d'autres services Google Cloud peuvent utiliser des agents de service pour accéder au bucket sans validation basée sur l'adresse IP.

  4. Pour mettre à jour les règles de filtrage par adresse IP du bucket, exécutez la commande gcloud storage buckets update dans votre environnement de développement :

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    Où :

    • BUCKET_NAME est le nom du bucket. Par exemple, my-bucket.
    • IP_FILTER_CONFIG_FILE correspond au fichier JSON que vous avez créé.

API JSON

  1. Vous devez installer et initialiser la gcloud CLI afin de générer un jeton d'accès pour l'en-tête Authorization.

  2. Créez un fichier JSON contenant les paramètres du bucket, en incluant les champs de configuration name et ipFilter pour le bucket. Pour obtenir des exemples et des informations sur la façon de structurer les règles de filtrage par adresse IP d'un bucket, consultez Configurations de filtrage par adresses IP pour les buckets.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    Où :

    • MODE correspond à l'état de la configuration du filtrage par adresse IP. Les valeurs valides sont Enabled et Disabled. Lorsque ce paramètre est défini sur Enabled, les règles de filtrage par adresse IP sont appliquées à un bucket, et toutes les requêtes entrantes adressées à ce bucket sont évaluées vis-à-vis de ces règles. Lorsque la valeur est définie sur Disabled, toutes les requêtes entrantes peuvent accéder au bucket et à ses données sans aucune évaluation.

    • RANGE_CIDR est une plage d'adresses IPv4 ou IPv6 de réseau public autorisée à accéder au bucket. Vous pouvez indiquer une ou plusieurs plages d'adresses sous forme de liste.

    • PROJECT_ID est l'ID du projet dans lequel se trouve le réseau VPC. Pour configurer plusieurs réseaux VPC, vous devez spécifier le projet dans lequel se trouve chaque réseau.

    • NETWORK_NAME correspond au nom du réseau VPC autorisé à accéder au bucket. Pour configurer plusieurs réseaux VPC, vous devez spécifier un nom pour chacun d'eux.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS est une valeur booléenne qui indique s'il faut autoriser les agents de service à accéder au bucket, quelle que soit la configuration du filtrage par adresse IP. Si la valeur est true, d'autres services Google Cloud peuvent utiliser des agents de service pour accéder au bucket sans validation basée sur l'adresse IP.

    • ALLOW_CROSS_ORG_VPCS est une valeur booléenne qui indique s'il faut autoriser les réseaux VPC définis dans la liste vpcNetworkSources à provenir d'une autre organisation. Ce champ est facultatif. Si la valeur est définie sur true, la requête autorise les réseaux VPC interorganisationnels. Si la valeur est définie sur false, la requête limite les réseaux VPC à la même organisation que le bucket. Si aucune valeur n'est spécifiée, la valeur par défaut est false. Ce champ ne s'applique que si vpcNetworkSources n'est pas vide.

  3. Utilisez cURL pour appeler l'API JSON avec une requête PATCH bucket :

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    Où :

    • JSON_FILE_NAME correspond au nom du fichier JSON que vous avez créé.
    • BUCKET_NAME est le nom du bucket.
    • PROJECT_ID correspond à l'ID du projet auquel le bucket est associé. Exemple : my-project.

Gérer l'accès de l'agent de service Google Cloud

Pour mettre à jour l'accès de l'agent de service après avoir configuré des règles de filtrage par adresse IP sur votre bucket, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.

    Accéder à la page Buckets

  2. Dans la liste des buckets, cliquez sur le nom du bucket que vous souhaitez mettre à jour.

  3. Sur la page Informations sur le bucket, cliquez sur l'onglet Configuration.

  4. Dans la section Autorisations, accédez à Filtrage par adresse IP. Cliquez ensuite sur  Modifier la configuration du filtrage par adresse IP.

    La page Filtrage par adresse IP s'affiche.

  5. Dans la section Gérer l'accès de l'agent de service Google Cloud , effectuez l'une des opérations suivantes :

    • Pour autoriser l'accès de l'agent de service, procédez comme suit :

      1. Cliquez sur  Désactivé pour définir le paramètre sur  Activé.

      2. Pour confirmer l'autorisation de l'accès, saisissez Enable dans le champ Activer.

    • Pour refuser l'accès de l'agent de service, procédez comme suit :

      1. Cliquez sur  Activé pour définir le paramètre sur  Désactivé.

      2. Pour confirmer le refus de l'accès, saisissez Disable dans le champ Désactiver.

    Un message de notification confirme la modification.

gcloud

Pour modifier l'accès de l'agent de service à votre bucket, utilisez la commande gcloud storage buckets update et définissez le champ allowAllServiceAgentAccess sur true pour autoriser l'accès ou sur false pour le refuser. Pour obtenir des instructions détaillées, consultez Créer ou mettre à jour des règles de filtrage par adresse IP sur un bucket existant.

API JSON

Pour mettre à jour l'accès de l'agent de service, vous pouvez utiliser une requête PATCH afin de mettre à jour la configuration ipFilter du bucket. Définissez le champ allowAllServiceAgentAccess sur true pour autoriser l'accès ou sur false pour le refuser. Pour obtenir des instructions détaillées, consultez Créer ou mettre à jour des règles de filtrage par adresse IP sur un bucket existant.

Gérer l'accès VPC inter-organisations

Pour mettre à jour l'accès VPC inter-organisations après avoir configuré des règles de filtrage par adresse IP sur votre bucket, procédez comme suit :

Console

  1. Dans la console Google Cloud , accédez à la page Buckets de Cloud Storage.

    Accéder à la page Buckets

  2. Dans la liste des buckets, cliquez sur le nom du bucket que vous souhaitez mettre à jour.

  3. Sur la page Informations sur le bucket, cliquez sur l'onglet Configuration.

  4. Dans la section Autorisations, accédez à Filtrage par adresse IP. Cliquez ensuite sur  Modifier la configuration du filtrage par adresse IP.

    La page Filtrage par adresse IP s'affiche.

  5. Dans la section Gérer l'accès VPC inter-organisations, effectuez l'une des opérations suivantes :

    • Pour autoriser l'accès VPC inter-organisations, procédez comme suit :

      1. Cliquez sur  Désactivé pour définir le paramètre sur  Activé.

      2. Pour confirmer l'autorisation de l'accès, saisissez Enable dans le champ Activer.

    • Pour refuser l'accès VPC inter-organisations, procédez comme suit :

      1. Cliquez sur  Activé pour définir le paramètre sur  Désactivé.

      2. Pour confirmer le refus de l'accès, saisissez Disable dans le champ Désactiver.

    Un message de notification confirme la modification.

gcloud

Pour mettre à jour l'accès VPC inter-organisations sur votre bucket, utilisez la commande gcloud storage buckets update et définissez le champ allowCrossOrgVpcs sur true pour autoriser l'accès ou sur false pour le refuser. Pour obtenir des instructions détaillées, consultez Créer ou mettre à jour des règles de filtrage par adresse IP sur un bucket existant.

API JSON

Pour mettre à jour l'accès VPC inter-organisations, vous pouvez utiliser une requête PATCH afin de mettre à jour la configuration ipFilter du bucket. Définissez le champ allowCrossOrgVpcs sur true pour autoriser l'accès ou sur false pour le refuser. Pour obtenir des instructions détaillées, consultez Créer ou mettre à jour des règles de filtrage par adresse IP sur un bucket existant.

Étapes suivantes

Faites l'essai

Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud Storage en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits offerts pour exécuter, tester et déployer des charges de travail.

Profiter d'un essai gratuit de Cloud Storage