Questa pagina descrive come creare o aggiornare le regole di filtraggio IP dei bucket in un bucket esistente.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per aggiornare le regole di filtro IP su un bucket, chiedi all'amministratore di concederti il ruolo Amministratore Storage (roles/storage.admin) sul bucket. Questo ruolo contiene le autorizzazioni necessarie per aggiornare le regole di filtro IP del bucket.
Per vedere quali sono esattamente le autorizzazioni richieste, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
storage.buckets.updatestorage.buckets.setIpFilter
Puoi anche ottenere queste autorizzazioni con ruoli personalizzati. Potresti anche riuscire a ottenere queste autorizzazioni con altri ruoli predefiniti. Per vedere quali ruoli sono associati a quali autorizzazioni, consulta la pagina Ruoli IAM per Cloud Storage.
Per istruzioni sulla concessione dei ruoli per i bucket, consulta Impostare e gestire le policy IAM sui bucket.
Creare o aggiornare regole di filtro IP in un bucket esistente
Console
Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da aggiornare.
Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.
Nella sezione Autorizzazioni, vai a Filtro IP. Poi, fai clic su Modifica configurazione filtro IP.
Nella pagina Filtro IP, fai clic su Configura.
Nella finestra di overlay Configura filtro IP, a seconda della configurazione del filtro IP che vuoi specificare, utilizza il menu di navigazione appropriato. Dopo aver completato i passaggi in ogni sezione, fai clic su Continua per procedere al passaggio successivo.
Indirizzi IP pubblici
Per consentire l'accesso dagli indirizzi IP pubblici:
Fai clic su Internet pubblico.
Nel riquadro Internet pubblico visualizzato, specifica uno o più intervalli di indirizzi IPv4 o intervalli CIDR IPv6 nel campo Intervalli IP consentiti. Ad esempio,
192.0.2.0/24o2001:db8::/32. Se specifichi voci non valide, un messaggio di errore indica quali voci devono essere corrette.
Reti VPC
Per consentire l'accesso dalle reti VPC:
Fai clic su Reti VPC.
Nel riquadro Reti VPC visualizzato, segui questi passaggi per ogni rete:
- Fai clic su Aggiungi rete VPC.
- Nella sezione Nuova rete VPC, specifica le seguenti informazioni:
- Nel campo ID progetto, inserisci l'ID progetto.
- Nel campo Nome rete, inserisci il nome della rete.
- Nel campo Intervalli IP consentiti, inserisci uno o più intervalli CIDR IPv4 o IPv6, ad esempio
192.0.2.0/24, 2001:db8::/32. Se specifichi voci non valide, un messaggio di errore indica quali voci devono essere corrette.
- Fai clic su Fine.
Impostazioni aggiuntive
Per consentire agli agenti di servizio e alle reti VPC attendibili Google Cloud di altre organizzazioni di ignorare la configurazione del filtro IP, procedi nel seguente modo:
Fai clic su Impostazioni aggiuntive.
Nel riquadro Impostazioni aggiuntive visualizzato, segui questi passaggi:
Nella sezione Google Cloud Accesso dell'agente di servizio, seleziona uno dei seguenti pulsanti di opzione:
Consenti l'accesso al service agent: consente ai servizi Google Cloud come BigLake, Storage Insights, Vertex AI e BigQuery di ignorare la convalida del filtro IP quando devono accedere a questo bucket.
Nega l'accesso del service agent: applica le regole del filtro IP per i service agent. Google Cloud
Nella sezione (Facoltativo) Accesso VPC tra organizzazioni, esegui una delle seguenti operazioni:
Per consentire l'accesso da reti VPC specificate situate in diverse organizzazioni, fai clic sul pulsante di attivazione/disattivazione per impostarlo sulla posizione Consenti. Google Cloud
Per bloccare l'accesso dalle reti VPC esterne alla tua Google Cloud organizzazione, fai clic sul pulsante di attivazione/disattivazione per impostarlo sulla posizione Nega (stato predefinito).
Rivedi
Per esaminare la configurazione del filtro IP:
Nel riquadro Revisione visualizzato, fai clic sulla freccia di espansione accanto a Internet pubblico o Reti VPC per esaminare gli intervalli IP o il VPC specificati e verificare la configurazione delle Impostazioni aggiuntive.
Se devi modificare un'impostazione, fai clic su Indietro per tornare ai passaggi di configurazione precedenti.
Dopo aver esaminato tutte le configurazioni, fai clic su Attiva per salvare la configurazione del filtro IP.
gcloud
Verifica di aver installato Google Cloud CLI versione 526.0.0 o successive:
gcloud version | head -n1Se hai installato una versione precedente di gcloud CLI, aggiornala:
gcloud components update --version=526.0.0Crea un file JSON che definisca le regole per le richieste in entrata. Per esempi e informazioni su come strutturare le regole di filtro IP del bucket, consulta Configurazioni del filtro IP del bucket.
{ "mode":"MODE", "publicNetworkSource":{ "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "vpcNetworkSources":[ { "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "..." ], "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS, "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS }
Dove:
MODEè la modalità della configurazione del filtro IP del bucket. I valori validi sonoEnabledeDisabled. Se impostato suEnabled, le regole di filtro IP vengono applicate a un bucket. Qualsiasi richiesta in entrata al bucket viene valutata in base a queste regole. Se impostato suDisabled, tutte le richieste in entrata possono accedere al bucket.RANGE_CIDRè un intervallo di indirizzi IPv4 o IPv6 di rete pubblica autorizzato ad accedere al bucket. Puoi inserire uno o più intervalli di indirizzi come elenco.PROJECT_IDè l'ID progetto in cui esiste la rete Virtual Private Cloud (VPC). Per configurare più reti VPC, devi specificare il progetto in cui si trova ciascuna rete.NETWORK_NAMEè il nome della rete VPC autorizzata ad accedere al bucket. Per configurare più reti VPC, devi specificare un nome per ciascuna rete.ALLOW_CROSS_ORG_VPCSè un valore booleano che indica se consentire alle reti VPC definite invpcNetworkSourcesdi provenire da un'organizzazione diversa. Questo campo è facoltativo. Se impostato sutrue, la richiesta consente reti VPC tra organizzazioni. Se impostato sufalse, la richiesta limita le reti VPC alla stessa organizzazione del bucket. Se non è specificato, il valore predefinito èfalse. Questo campo viene applicato solo sevpcNetworkSourcesnon è vuoto.ALLOW_ALL_SERVICE_AGENT_ACCESSè un valore booleano che indica se consentire agli agenti di servizio di accedere al bucket, indipendentemente dalla configurazione del filtro IP. Se il valore ètrue, altri servizi Google Cloud possono utilizzare agenti di servizio per accedere al bucket senza la convalida basata sull'IP.
Per aggiornare le regole di filtro IP del bucket, esegui il comando
gcloud storage buckets updatenel tuo ambiente di sviluppo:gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE
Dove:
BUCKET_NAMEè il nome del tuo bucket. Ad esempio,my-bucket.IP_FILTER_CONFIG_FILEè il file JSON che hai creato.
API JSON
Avere gcloud CLI installato e inizializzato, il che ti consente di generare un token di accesso per l'intestazione
Authorization.Crea un file JSON contenente le impostazioni del bucket, che deve includere i campi di configurazione
nameeipFilterper il bucket. Per esempi e informazioni su come strutturare le regole di filtro IP dei bucket, consulta Configurazioni del filtro IP dei bucket.{ "ipFilter":{ "mode":"MODE", "publicNetworkSource":{ "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "vpcNetworkSources":[ { "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "..." ], "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS, "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS } }
Dove:
MODEè lo stato della configurazione del filtro IP. I valori validi sonoEnabledeDisabled. Se impostato suEnabled, le regole di filtro IP vengono applicate a un bucket e tutte le richieste in entrata al bucket vengono valutate in base a queste regole. Se impostato suDisabled, tutte le richieste in entrata possono accedere al bucket e ai relativi dati senza alcuna valutazione.RANGE_CIDRè un intervallo di indirizzi IPv4 o IPv6 di rete pubblica autorizzato ad accedere al bucket. Puoi inserire uno o più intervalli di indirizzi come elenco.PROJECT_IDè l'ID progetto in cui esiste la rete VPC. Per configurare più reti VPC, devi specificare il progetto in cui si trova ciascuna rete.NETWORK_NAMEè il nome della rete VPC autorizzata ad accedere al bucket. Per configurare più reti VPC, devi specificare un nome per ciascuna rete.ALLOW_ALL_SERVICE_AGENT_ACCESSè un valore booleano che indica se consentire agli agenti di servizio di accedere al bucket, indipendentemente dalla configurazione del filtro IP. Se il valore ètrue, altri servizi Google Cloud possono utilizzare agenti di servizio per accedere al bucket senza la convalida basata su IP.ALLOW_CROSS_ORG_VPCSè un valore booleano che indica se consentire alle reti VPC definite nell'elencovpcNetworkSourcesdi provenire da un'organizzazione diversa. Questo campo è facoltativo. Se impostato sutrue, la richiesta consente reti VPC tra organizzazioni. Se impostato sufalse, la richiesta limita le reti VPC alla stessa organizzazione del bucket. Se non è specificato, il valore predefinito èfalse. Questo campo viene applicato solo sevpcNetworkSourcesnon è vuoto.
Utilizza
cURLper chiamare l'API JSON con una richiesta PATCH bucket:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"
Dove:
JSON_FILE_NAMEè il nome del file JSON che hai creato.BUCKET_NAMEè il nome del tuo bucket.PROJECT_IDè l'ID del progetto a cui è associato il bucket. Ad esempio,my-project.
Gestisci l'accesso del service agent Google Cloud
Per aggiornare l'accesso dell'agente di servizio dopo aver configurato le regole di filtro IP sul bucket, completa i seguenti passaggi:
Console
Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da aggiornare.
Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.
Nella sezione Autorizzazioni, vai a Filtro IP. Poi, fai clic su Modifica configurazione filtro IP.
Viene visualizzata la pagina Filtro IP.
Nella sezione Gestisci Google Cloud l'accesso dell'agente di servizio, esegui una delle seguenti operazioni:
Per consentire l'accesso all'agente del servizio, completa i seguenti passaggi:
Fai clic su Disattivato per impostare l'opzione su Attivato.
Per confermare che vuoi consentire l'accesso, digita
Enablenel campo Attiva.
Per negare l'accesso all'agente di servizio, completa i seguenti passaggi:
Fai clic su Attivata per impostare l'impostazione su Disattivata.
Per confermare che vuoi negare l'accesso, digita
Disablenel campo Disattiva.
Un messaggio di notifica conferma la modifica.
gcloud
Per aggiornare l'accesso dell'agente di servizio per il bucket, utilizza il comando gcloud storage
buckets update e imposta il campo allowAllServiceAgentAccess su
true per consentire l'accesso o false per negarlo. Per istruzioni
dettagliate, vedi Creare o aggiornare regole di filtro IP in un bucket
esistente.
API JSON
Per aggiornare l'accesso dell'agente di servizio, puoi utilizzare una richiesta PATCH per aggiornare la configurazione ipFilter per il bucket. Imposta il campo
allowAllServiceAgentAccess su true per consentire l'accesso o su false per
negarlo. Per istruzioni dettagliate, vedi Creare o aggiornare regole di filtro IP
in un bucket esistente.
Gestisci l'accesso VPC tra organizzazioni
Per aggiornare l'accesso VPC tra organizzazioni dopo aver configurato le regole di filtro IP sul bucket, completa i seguenti passaggi:
Console
Nella console Google Cloud , vai alla pagina Bucket in Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da aggiornare.
Nella pagina Dettagli bucket, fai clic sulla scheda Configurazione.
Nella sezione Autorizzazioni, vai a Filtro IP. Poi, fai clic su Modifica configurazione filtro IP.
Viene visualizzata la pagina Filtro IP.
Nella sezione Gestisci l'accesso VPC tra organizzazioni, esegui una delle seguenti operazioni:
Per consentire l'accesso VPC tra organizzazioni, completa i seguenti passaggi:
Fai clic su Disattivato per impostare l'opzione su Attivato.
Per confermare che vuoi consentire l'accesso, digita
Enablenel campo Attiva.
Per negare l'accesso VPC tra organizzazioni, completa i seguenti passaggi:
Fai clic su Attivata per impostare l'impostazione su Disattivata.
Per confermare che vuoi negare l'accesso, digita
Disablenel campo Disattiva.
Un messaggio di notifica conferma la modifica.
gcloud
Per aggiornare l'accesso VPC tra organizzazioni per il tuo bucket, utilizza
il comando gcloud storage buckets update e imposta il campo allowCrossOrgVpcs
su true per consentire l'accesso o su false per negarlo. Per
istruzioni dettagliate, vedi Creare o aggiornare regole di filtro IP in un
bucket esistente.
API JSON
Per aggiornare l'accesso VPC tra organizzazioni, puoi utilizzare una
richiesta PATCH per aggiornare la configurazione ipFilter per il bucket. Imposta
il campo allowCrossOrgVpcs su true per consentire l'accesso o su false per negarlo. Per istruzioni dettagliate, vedi Creare o aggiornare regole di filtro IP
in un bucket esistente.
Passaggi successivi
Provalo
Se non conosci Google Cloud, crea un account per valutare le prestazioni di Cloud Storage in scenari reali. I nuovi clienti ricevono anche 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload.
Prova Cloud Storage gratuitamente