Esta página descreve como criar ou atualizar as regras de filtragem de IP do bucket num bucket existente.
Funções necessárias
Para receber as autorizações necessárias para atualizar as regras de filtragem de IP num contentor,
peça ao seu administrador para lhe conceder a função de administrador do armazenamento (roles/storage.admin)
no contentor. Esta função contém as autorizações necessárias para atualizar as regras de filtragem de IP do contentor.
Para ver as autorizações exatas necessárias, expanda a secção Autorizações necessárias:
Autorizações necessárias
storage.buckets.updatestorage.buckets.setIpFilter
Também pode obter estas autorizações com funções personalizadas. Também pode conseguir estas autorizações com outras funções predefinidas. Para ver que funções estão associadas a que autorizações, consulte o artigo Funções de IAM para o Cloud Storage.
Para ver instruções sobre como conceder funções para contentores, consulte o artigo Defina e faça a gestão de políticas de IAM em contentores.
Crie ou atualize regras de filtragem de IP num contentor existente
Consola
Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.
Na lista de contentores, clique no nome do contentor que quer atualizar.
Na página Detalhes do contentor, clique no separador Configuração.
Na secção Autorizações, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.
Na página Filtragem de IPs, clique em Configurar.
Na janela de sobreposição Configurar filtragem de IP, consoante a configuração de filtragem de IP que quer especificar, use o menu de navegação adequado. Após concluir os passos em cada secção, clique em Continuar para avançar para o passo seguinte.
Endereços IP públicos
Para permitir o acesso a partir de endereços IP públicos, faça o seguinte:
Clique em Internet pública.
No painel Internet pública apresentado, especifique um ou mais intervalos de endereços IPv4 ou intervalos CIDR IPv6 no campo Intervalos de IP permitidos. Por exemplo,
192.0.2.0/24ou2001:db8::/32. Se especificar entradas inválidas, é apresentada uma mensagem de erro a indicar que entradas precisam de correção.
Redes da VPC
Para permitir o acesso a partir de redes de VPC, faça o seguinte:
Clique em Redes de VPC.
No painel Redes VPC apresentado, faça o seguinte para cada rede:
- Clique em Adicionar rede de VPC.
- Na secção Nova rede de VPC, especifique as seguintes informações:
- No campo ID do projeto, introduza o ID do projeto.
- No campo Nome da rede, introduza o nome da sua rede.
- No campo Intervalos de IP permitidos, introduza um ou mais intervalos CIDR IPv4 ou IPv6, por exemplo,
192.0.2.0/24, 2001:db8::/32`. Se especificar entradas inválidas, é apresentada uma mensagem de erro a indicar que entradas têm de ser corrigidas.
- Clique em Concluído.
Definições adicionais
Para permitir que os agentes de serviço Google Cloud fidedignos e as redes VPC de outras organizações ignorem a sua configuração de filtragem de IP, faça o seguinte:
Clique em Definições adicionais.
No painel Definições adicionais apresentado, faça o seguinte:
Na secção Google Cloud Acesso do agente de serviços, selecione um dos seguintes botões de opção:
Permitir acesso do agente de serviço: permite que os Google Cloud serviços, como o BigLake, o Storage Insights, o Vertex AI e o BigQuery, ignorem a validação da filtragem de IP quando precisarem de aceder a este contentor.
Recusar acesso de agentes de serviços: aplica as regras de filtro de IP aos Google Cloud agentes de serviços.
Na secção (Opcional) Acesso VPC entre organizações, faça uma das seguintes ações:
Para permitir o acesso a partir de redes VPC especificadas localizadas em diferentes Google Cloud organizações, clique no botão para a posição Permitir.
Para bloquear o acesso de redes da VPC fora da sua Google Cloud organização, clique no botão para a posição Recusar (estado predefinido).
Rever
Para rever a configuração da filtragem de IP, faça o seguinte:
No painel Rever apresentado, clique na seta de expansão junto a Internet pública ou Redes VPC para rever os intervalos de IP ou a VPC especificados e validar a configuração das Definições adicionais.
Se precisar de modificar uma definição, clique em Anterior para voltar aos passos de configuração anteriores.
Depois de rever todas as configurações, clique em Ativar para guardar a configuração de filtragem de IP.
gcloud
Verifique se tem a versão 526.0.0 ou posterior da CLI Google Cloud instalada:
gcloud version | head -n1Se tiver uma versão anterior da CLI gcloud instalada, atualize a versão:
gcloud components update --version=526.0.0Crie um ficheiro JSON que defina regras para pedidos recebidos. Para ver exemplos e informações sobre como estruturar as regras de filtragem de IP do contentor, consulte o artigo Configurações de filtragem de IP do contentor.
{ "mode":"MODE", "publicNetworkSource":{ "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "vpcNetworkSources":[ { "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "..." ], "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS, "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS }
Onde:
MODEé o modo da configuração de filtragem de IP do bucket. Os valores válidos sãoEnabledeDisabled. Quando definido comoEnabled, as regras de filtragem de IP são aplicadas a um contentor. Todos os pedidos recebidos para o contentor são avaliados em função destas regras. Quando definido comoDisabled, todos os pedidos recebidos têm permissão para aceder ao contentor.RANGE_CIDRé um intervalo de endereços IPv4 ou IPv6 de rede pública que tem autorização para aceder ao contentor. Pode introduzir um ou vários intervalos de endereços como uma lista.PROJECT_IDé o ID do projeto onde a rede da nuvem virtual privada (VPC) existe. Para configurar várias redes VPC, tem de especificar o projeto onde cada rede está localizada.NETWORK_NAMEé o nome da rede VPC que tem autorização para aceder ao contentor. Para configurar várias redes VPC, tem de especificar um nome para cada rede.ALLOW_CROSS_ORG_VPCSé um valor booleano que indica se permite que as redes VPC definidas emvpcNetworkSourcestenham origem numa organização diferente. Este campo é opcional. Se estiver definido comotrue, o pedido permite redes VPC entre organizações. Se estiver definido comofalse, o pedido restringe as redes VPC à mesma organização que o contentor. Se não for especificado, o valor predefinido éfalse. Este campo só se aplica sevpcNetworkSourcesnão estiver vazio.ALLOW_ALL_SERVICE_AGENT_ACCESSé um valor booleano que indica se os agentes de serviço devem ter acesso ao contentor, independentemente da configuração do filtro de IP. Se o valor fortrue, outros serviços podem usar agentes de serviço para aceder ao contentor sem validação baseada em IP. Google Cloud
Para atualizar as regras de filtragem de IP do contentor, execute o comando
gcloud storage buckets updateno seu ambiente de desenvolvimento:gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE
Onde:
BUCKET_NAMEé o nome do seu contentor. Por exemplo,my-bucket.IP_FILTER_CONFIG_FILEé o ficheiro JSON que criou.
API JSON
Ter a CLI gcloud instalada e inicializada, o que lhe permite gerar um token de acesso para o cabeçalho
Authorization.Crie um ficheiro JSON que contenha as definições do contentor, que tem de incluir os campos de configuração
nameeipFilterpara o contentor. Para ver exemplos e informações sobre como estruturar as regras de filtragem de IP do contentor, consulte o artigo Configurações de filtragem de IP do contentor.{ "ipFilter":{ "mode":"MODE", "publicNetworkSource":{ "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "vpcNetworkSources":[ { "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "..." ], "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS, "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS } }
Onde:
MODEé o estado da configuração do filtro de IP. Os valores válidos sãoEnabledeDisabled. Quando definido comoEnabled, as regras de filtragem de IP são aplicadas a um contentor, e todos os pedidos recebidos para o contentor são avaliados em função destas regras. Quando definido comoDisabled, todos os pedidos recebidos podem aceder ao contentor e aos respetivos dados sem qualquer avaliação.RANGE_CIDRé um intervalo de endereços IPv4 ou IPv6 de rede pública que tem autorização para aceder ao contentor. Pode introduzir um ou vários intervalos de endereços como uma lista.PROJECT_IDé o ID do projeto onde a rede VPC existe. Para configurar várias redes VPC, tem de especificar o projeto onde cada rede está localizada.NETWORK_NAMEé o nome da rede VPC que tem autorização para aceder ao contentor. Para configurar várias redes VPC, tem de especificar um nome para cada rede.ALLOW_ALL_SERVICE_AGENT_ACCESSé um valor booleano que indica se deve permitir que os agentes de serviço acedam ao contentor, independentemente da configuração do filtro de IP. Se o valor fortrue, outros Google Cloud serviços podem usar agentes de serviço para aceder ao contentor sem validação baseada em IP.ALLOW_CROSS_ORG_VPCSé um valor booleano que indica se as redes VPC definidas na listavpcNetworkSourcespodem ter origem numa organização diferente. Este campo é opcional. Se estiver definido comotrue, o pedido permite redes VPC entre organizações. Se estiver definido comofalse, o pedido restringe as redes VPC à mesma organização que o contentor. Se não for especificado, o valor predefinido éfalse. Este campo só se aplica sevpcNetworkSourcesnão estiver vazio.
Use
cURLpara chamar a API JSON com um pedido PATCH bucket:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"
Onde:
JSON_FILE_NAMEé o nome do ficheiro JSON que criou.BUCKET_NAMEé o nome do seu contentor.PROJECT_IDé o ID do projeto ao qual o seu contentor está associado. Por exemplo,my-project.
Faça a gestão do Google Cloud acesso do agente de serviço
Para atualizar o acesso do agente de serviço depois de configurar as regras de filtragem de IP no seu contentor, conclua os seguintes passos:
Consola
Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.
Na lista de contentores, clique no nome do contentor que quer atualizar.
Na página Detalhes do contentor, clique no separador Configuração.
Na secção Autorizações, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.
É apresentada a página Filtragem de IPs.
Na secção Gerir Google Cloud o acesso do agente de serviço, faça uma das seguintes ações:
Para permitir o acesso do agente de serviço, conclua os seguintes passos:
Clique em Desativado para alterar a definição para Ativado.
Para confirmar que quer permitir o acesso, escreva
Enableno campo Ativar.
Para recusar o acesso do agente de serviços, conclua os seguintes passos:
Clique em Ativado para alterar a definição para Desativado.
Para confirmar que quer negar o acesso, escreva
Disableno campo Desativar.
É apresentada uma mensagem de notificação a confirmar a alteração.
gcloud
Para atualizar o acesso do agente de serviço ao seu contentor, use o comando gcloud storage
buckets update e defina o campo allowAllServiceAgentAccess como true para permitir o acesso ou false para negar o acesso. Para ver instruções detalhadas, consulte o artigo Crie ou atualize regras de filtragem de IP num contentor existente.
API JSON
Para atualizar o acesso do agente de serviço, pode usar um pedido PATCH para atualizar a configuração ipFilter do contentor. Defina o campo allowAllServiceAgentAccess como true para permitir o acesso ou false para negar o acesso. Para ver instruções detalhadas, consulte o artigo Crie ou atualize regras de filtragem de IP num contentor existente.
Faça a gestão do acesso à VPC entre organizações
Para atualizar o acesso VPC entre organizações depois de configurar as regras de filtragem de IP no seu contentor, conclua os seguintes passos:
Consola
Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.
Na lista de contentores, clique no nome do contentor que quer atualizar.
Na página Detalhes do contentor, clique no separador Configuração.
Na secção Autorizações, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.
É apresentada a página Filtragem de IPs.
Na secção Gerir acesso VPC entre organizações, faça uma das seguintes ações:
Para permitir o acesso VPC entre organizações, conclua os passos seguintes:
Clique em Desativado para alterar a definição para Ativado.
Para confirmar que quer permitir o acesso, escreva
Enableno campo Ativar.
Para negar o acesso à VPC entre organizações, conclua os seguintes passos:
Clique em Ativado para alterar a definição para Desativado.
Para confirmar que quer negar o acesso, escreva
Disableno campo Desativar.
É apresentada uma mensagem de notificação a confirmar a alteração.
gcloud
Para atualizar o acesso VPC entre organizações para o seu contentor, use o comando gcloud storage buckets update e defina o campo allowCrossOrgVpcs como true para permitir o acesso ou false para negar o acesso. Para ver instruções detalhadas, consulte o artigo Crie ou atualize regras de filtragem de IP num
contentor existente.
API JSON
Para atualizar o acesso VPC entre organizações, pode usar um pedido PATCH para atualizar a configuração ipFilter do contentor. Defina o campo allowCrossOrgVpcs como true para permitir o acesso ou false para negar o acesso. Para ver instruções detalhadas, consulte o artigo Crie ou atualize regras de filtragem de IP
num contentor existente.
O que se segue?
- Liste as regras de filtragem de IP do contentor.
- Desative as regras de filtragem de IP de contentores.
Experimente
Se está a usar o Google Cloud pela primeira vez, crie uma conta para avaliar o desempenho do Cloud Storage em cenários reais. Os novos clientes também recebem 300 USD em créditos gratuitos para executar, testar e implementar cargas de trabalho.
Experimente o Cloud Storage gratuitamente