יצירה או עדכון של כללים לסינון כתובות IP בקטגוריה קיימת

בדף הזה מוסבר איך ליצור או לעדכן כללים של סינון כתובות IP של קטגוריות בקטגוריה קיימת.

התפקידים הנדרשים

כדי לקבל את ההרשאות הנדרשות לעדכון כללי הסינון לפי כתובת IP בקטגוריה, צריך לבקש מהאדמין להקצות לכם את התפקיד 'אדמין לניהול אחסון' (roles/storage.admin) בקטגוריה. התפקיד הזה מכיל את ההרשאות שנדרשות לעדכון כללי סינון לפי כתובת IP של קטגוריות.

כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:

ההרשאות הנדרשות

  • storage.buckets.update
  • storage.buckets.setIpFilter

אפשר לקבל את ההרשאות האלה גם באמצעות תפקידים בהתאמה אישית. יכול להיות שאפשר לקבל את ההרשאות האלו גם עם תפקידים אחרים שהוגדרו מראש. במאמר תפקידי IAM ל-Cloud Storage מפורטים התפקידים השונים וההרשאות שמשויכות אליהם.

במאמר הגדרה וניהול של מדיניות IAM בקטגוריות מוסבר איך מקצים תפקידים לקטגוריות.

יצירה או עדכון של כללים לסינון כתובות IP בקטגוריה קיימת

המסוף

  1. במסוף Google Cloud , נכנסים לדף Buckets של Cloud Storage.

    כניסה לדף Buckets

  2. ברשימת הקטגוריות, לוחצים על שם הקטגוריה שרוצים לעדכן.

  3. בדף Bucket details, לוחצים על הכרטיסייה Configuration.

  4. בקטע Permissions, עוברים אל IP filtering. לאחר מכן, לוחצים על עריכת ההגדרה של סינון כתובות IP.

  5. בדף IP filtering, לוחצים על Configure.

  6. בחלון השכבה העליונה הגדרת סינון כתובות IP, משתמשים בתפריט הניווט המתאים בהתאם להגדרת סינון כתובות ה-IP שרוצים לציין. אחרי שמסיימים את השלבים בכל קטע, לוחצים על המשך כדי לעבור לשלב הבא.

כתובות IP ציבוריות

כדי לאפשר גישה מכתובות IP ציבוריות:

  1. לוחצים על אינטרנט ציבורי.

  2. בחלונית אינטרנט ציבורי שמופיעה, מציינים טווח אחד או יותר של כתובות IPv4 או טווחים של CIDR בפורמט IPv6 בשדה טווח כתובות IP מותרות. לדוגמה, 192.0.2.0/24 או 2001:db8::/32. אם מציינים רשומות לא תקינות, מוצגת הודעת שגיאה שמציינת אילו רשומות צריך לתקן.

רשתות VPC

כדי לאפשר גישה מרשתות VPC:

  1. לוחצים על רשתות VPC.

  2. בחלונית VPC networks שמופיעה, מבצעים את הפעולות הבאות לכל רשת:

    1. לוחצים על הוספת רשת VPC.
    2. בקטע New VPC network (רשת VPC חדשה), מציינים את הפרטים הבאים:
      • בשדה Project ID (מזהה הפרויקט), מזינים את מזהה הפרויקט.
      • בשדה שם הרשת, מזינים את שם הרשת.
      • בשדה Allowed IP range(s) (טווחים מותרים של כתובות IP), מזינים טווח אחד או יותר של כתובות IPv4 או IPv6 CIDR, לדוגמה, 192.0.2.0/24,‏ 2001:db8::‎/32. אם מציינים ערכים לא תקינים, מוצגת הודעת שגיאה שמציינת אילו ערכים צריך לתקן.
    3. לוחצים על סיום.

הגדרות נוספות

כדי לאפשר לסוכני שירות מהימנים Google Cloud ולרשתות VPC מארגונים אחרים לעקוף את ההגדרה של סינון ה-IP, צריך לבצע את הפעולות הבאות:

  1. לוחצים על הגדרות נוספות.

  2. בחלונית הגדרות נוספות שמופיעה, מבצעים את הפעולות הבאות:

  3. בקטע Google Cloud גישה של סוכן שירות, בוחרים באחד מלחצני הבחירה הבאים:

    • מתן גישה לסוכן שירות: מאפשר לשירותים כמו BigLake,‏ Storage Insights,‏ Vertex AI ו-BigQuery לעקוף את האימות של סינון כתובות ה-IP כשהם צריכים לגשת לדלי הזה. Google Cloud

    • דחיית הגישה של סוכני שירות: אוכפת את כללי הסינון לפי כתובת IP על סוכני שירות. Google Cloud

  4. בקטע (אופציונלי) גישה ל-VPC בין ארגונים, מבצעים אחת מהפעולות הבאות:

    • כדי לאפשר גישה מרשתות VPC שצוינו שנמצאות בארגונים שונים, לוחצים על המתג למצב Allow (אישור). Google Cloud

    • כדי לחסום גישה מרשתות VPC מחוץ ל Google Cloud ארגון, לוחצים על המתג כדי להעביר אותו למצב דחייה (מצב ברירת המחדל).

בדיקה

כדי לבדוק את ההגדרה של סינון לפי כתובת IP:

  1. בחלונית בדיקה שמופיעה, לוחצים על חץ ההרחבה לצד אינטרנט ציבורי או רשתות VPC כדי לבדוק את טווחי כתובות ה-IP או את ה-VPC שצוינו, ולאמת את ההגדרה של הגדרות נוספות.

  2. אם צריך לשנות הגדרה, לוחצים על הקודם כדי לחזור לשלבי ההגדרה הקודמים.

  3. אחרי שבודקים את כל ההגדרות, לוחצים על הפעלה כדי לשמור את ההגדרות של סינון כתובות ה-IP.

gcloud

  1. מוודאים שמותקנת אצלכם גרסה 526.0.0 או גרסה מתקדמת יותר של Google Cloud CLI:

    gcloud version | head -n1

  2. אם מותקנת אצלכם גרסה קודמת של ה-CLI של gcloud, צריך לעדכן את הגרסה:

    gcloud components update --version=526.0.0

  3. יוצרים קובץ JSON שמגדיר כללים לבקשות נכנסות. במאמר הגדרות של סינון לפי כתובת IP של דלי אפשר למצוא דוגמאות ומידע על האופן שבו צריך לבנות את הכללים של סינון לפי כתובת IP של דלי.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    כאשר:

    • MODE הוא המצב של הגדרת הסינון של כתובות ה-IP של הדלי. הערכים התקינים הם Enabled ו-Disabled. כשמגדירים את הערך Enabled, כללי סינון של כתובות IP חלים על קטגוריה. כל בקשה נכנסת לדלי נבדקת בהתאם לכללים האלה. אם מגדירים את הערך Disabled, כל הבקשות הנכנסות מקבלות גישה לקטגוריית האחסון.

    • RANGE_CIDR הוא טווח כתובות IPv4 או IPv6 של רשת ציבורית שיש לה הרשאה לגשת לקטגוריה. אפשר להזין טווח כתובות אחד או יותר כרשימה.

    • PROJECT_ID הוא מזהה הפרויקט שבו קיימת רשת הענן הווירטואלי הפרטי (VPC). כדי להגדיר כמה רשתות VPC, צריך לציין את הפרויקט שבו כל רשת ממוקמת.

    • NETWORK_NAME הוא השם של רשת ה-VPC שמורשית לגשת לקטגוריה. כדי להגדיר כמה רשתות VPC, צריך לציין שם לכל רשת.

    • ALLOW_CROSS_ORG_VPCS הוא ערך בוליאני שמציין אם לאפשר לרשתות VPC שמוגדרות ב-vpcNetworkSources להגיע מארגון אחר. השדה הזה הוא אופציונלי. אם הערך מוגדר כ-true, הבקשה מאפשרת רשתות VPC חוצות ארגונים. אם הערך הוא false, הבקשה מגבילה את רשתות ה-VPC לאותו ארגון כמו הקטגוריה. אם לא מציינים ערך, ערך ברירת המחדל הוא false. השדה הזה חל רק אם vpcNetworkSources לא ריק.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS הוא ערך בוליאני שמציין אם לאפשר לסוכני שירות לגשת לדלי, ללא קשר להגדרת מסנן ה-IP. אם הערך הוא true, שירותים אחרים יכולים להשתמש בסוכני שירות כדי לגשת לדלי בלי אימות מבוסס-IP. Google Cloud

  4. כדי לעדכן את כללי הסינון לפי כתובת IP של קטגוריית אחסון, מריצים את הפקודה gcloud storage buckets update בסביבת הפיתוח:

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    כאשר:

    • BUCKET_NAME הוא שם הקטגוריה. לדוגמה, my-bucket.
    • IP_FILTER_CONFIG_FILE הוא קובץ ה-JSON שיצרתם.

API ל-JSON

  1. התקנה והפעלה של ה-CLI של gcloud, שמאפשרות ליצור אסימון גישה לכותרת Authorization.

  2. יוצרים קובץ JSON עם ההגדרות של הקטגוריה, שחייבות לכלול את השדות name ו-ipFilter של הקטגוריה. דוגמאות ומידע על מבנה הכללים לסינון לפי כתובת IP בדלי זמינים במאמר בנושא הגדרות של סינון לפי כתובת IP בדלי.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    כאשר:

    • MODE הוא המצב של הגדרת מסנן ה-IP. הערכים התקינים הם Enabled ו-Disabled. כשמגדירים את האפשרות Enabled, כללי סינון של כתובות IP מוחלים על מאגר, וכל הבקשות הנכנסות למאגר נבדקות בהתאם לכללים האלה. אם הערך מוגדר כ-Disabled, כל הבקשות הנכנסות יכולות לגשת לדלי ולנתונים שלו בלי שמתבצעת הערכה.

    • RANGE_CIDR הוא טווח כתובות IPv4 או IPv6 של רשת ציבורית שמורשה לגשת לקטגוריה. אפשר להזין טווח כתובות אחד או יותר כרשימה.

    • PROJECT_ID הוא מזהה הפרויקט שבו קיימת רשת ה-VPC. כדי להגדיר כמה רשתות VPC, צריך לציין את הפרויקט שבו נמצאת כל רשת.

    • NETWORK_NAME הוא השם של רשת ה-VPC שמורשית לגשת לקטגוריה. כדי להגדיר כמה רשתות VPC, צריך לציין שם לכל רשת.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS הוא ערך בוליאני שמציין אם לאפשר לסוכני שירות לגשת לדלי, ללא קשר להגדרת מסנן ה-IP. אם הערך הוא true, שירותים אחרים יכולים להשתמש בסוכני שירות כדי לגשת לדלי בלי אימות מבוסס-IP. Google Cloud

    • ALLOW_CROSS_ORG_VPCS הוא ערך בוליאני שמציין אם לאפשר לרשתות VPC שמוגדרות ברשימה vpcNetworkSources להגיע מארגון אחר. השדה הזה הוא אופציונלי. אם הערך הוא true, הבקשה מאפשרת רשתות VPC חוצות ארגונים. אם הערך הוא false, הבקשה מגבילה את רשתות ה-VPC לאותו ארגון כמו הקטגוריה. אם לא מציינים ערך, ערך ברירת המחדל הוא false. השדה הזה חל רק אם vpcNetworkSources לא ריק.

  3. משתמשים ב-cURL כדי לשלוח קריאה ל-API בפורמט JSON באמצעות בקשת PATCH bucket:

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    כאשר:

    • JSON_FILE_NAME הוא השם של קובץ ה-JSON שיצרתם.
    • BUCKET_NAME הוא שם הקטגוריה.
    • PROJECT_ID הוא מזהה הפרויקט שאליו הקטגוריה משויכת. לדוגמה, my-project.

ניהול Google Cloud הגישה של סוכן שירות

כדי לעדכן את הגישה של סוכן השירות אחרי שמגדירים כללים לסינון כתובות IP בדלי:

המסוף

  1. במסוף Google Cloud , נכנסים לדף Buckets של Cloud Storage.

    כניסה לדף Buckets

  2. ברשימת הקטגוריות, לוחצים על שם הקטגוריה שרוצים לעדכן.

  3. בדף Bucket details, לוחצים על הכרטיסייה Configuration.

  4. בקטע Permissions, עוברים אל IP filtering. לאחר מכן, לוחצים על עריכת ההגדרה של סינון כתובות IP.

    מופיע הדף סינון לפי כתובת IP.

  5. בקטע Manage Google Cloud service agent access (ניהול גישה של סוכני שירות), מבצעים אחת מהפעולות הבאות:

    • כדי לתת לסוכני השירות גישה, צריך לבצע את הפעולות הבאות:

      1. לוחצים על מושבת כדי לשנות את ההגדרה ל מופעל.

      2. כדי לאשר שרוצים לאפשר גישה, מקלידים Enable בשדה הפעלה.

    • כדי לחסום את הגישה של סוכן שירות, מבצעים את השלבים הבאים:

      1. לוחצים על מופעל כדי לשנות את ההגדרה ל מושבת.

      2. כדי לאשר שרוצים לחסום את הגישה, מקלידים Disable בשדה השבתה.

    הודעת אישור תופיע כדי לאשר את השינוי.

gcloud

כדי לעדכן את הגישה של סוכן השירות לקטגוריה, משתמשים בפקודה gcloud storage buckets update ומגדירים את השדה allowAllServiceAgentAccess לערך true כדי לאפשר גישה או לערך false כדי לחסום גישה. הוראות מפורטות מופיעות במאמר בנושא יצירה או עדכון של כללי סינון לפי כתובת IP בדלי קיים.

API ל-JSON

כדי לעדכן את הגישה של סוכן השירות, אפשר להשתמש בבקשת PATCH כדי לעדכן את ההגדרה ipFilter של הקטגוריה. מגדירים את השדה allowAllServiceAgentAccess לערך true כדי לאשר גישה או לערך false כדי לחסום גישה. הוראות מפורטות מופיעות במאמר בנושא יצירה או עדכון של כללים לסינון כתובות IP בקטגוריה קיימת.

ניהול גישה בין ארגונים ל-VPC

כדי לעדכן את הגישה ל-VPC בין ארגונים אחרי שמגדירים כללי סינון של כתובות IP בקטגוריה, מבצעים את השלבים הבאים:

המסוף

  1. במסוף Google Cloud , נכנסים לדף Buckets של Cloud Storage.

    כניסה לדף Buckets

  2. ברשימת הקטגוריות, לוחצים על שם הקטגוריה שרוצים לעדכן.

  3. בדף Bucket details, לוחצים על הכרטיסייה Configuration.

  4. בקטע Permissions, עוברים אל IP filtering. לאחר מכן, לוחצים על עריכת ההגדרה של סינון כתובות IP.

    מופיע הדף IP filtering (סינון לפי כתובת IP).

  5. בקטע Manage cross-organization VPC access (ניהול גישת VPC בין ארגונים), מבצעים אחת מהפעולות הבאות:

    • כדי לאפשר גישה ל-VPC בין ארגונים, מבצעים את השלבים הבאים:

      1. לוחצים על מושבת כדי לשנות את ההגדרה ל מופעל.

      2. כדי לאשר שרוצים לאפשר גישה, מקלידים Enable בשדה הפעלה.

    • כדי לחסום גישה בין רשתות VPC בארגונים שונים, מבצעים את השלבים הבאים:

      1. לוחצים על מופעל כדי לשנות את ההגדרה ל מושבת.

      2. כדי לאשר שרוצים לחסום את הגישה, מקלידים Disable בשדה השבתה.

    הודעת אישור תופיע כדי לאשר את השינוי.

gcloud

כדי לעדכן את הגישה של ה-VPC בין ארגונים לקטגוריה, משתמשים בפקודה gcloud storage buckets update ומגדירים את השדה allowCrossOrgVpcs לערך true כדי לאפשר גישה או לערך false כדי לדחות גישה. הוראות מפורטות מופיעות במאמר יצירה או עדכון של כללי סינון לפי כתובת IP בקטגוריה קיימת.

API ל-JSON

כדי לעדכן את הגישה ל-VPC בין ארגונים, אפשר להשתמש בבקשת PATCH לעדכון ההגדרה של ipFilter עבור הדלי. מגדירים את השדה allowCrossOrgVpcs לערך true כדי לאפשר גישה או לערך false כדי לחסום גישה. הוראות מפורטות זמינות במאמר בנושא יצירה או עדכון של כללים לסינון לפי כתובת IP בקטגוריה קיימת.

המאמרים הבאים

נסו בעצמכם

אנחנו ממליצים למשתמשים חדשים ב-Google Cloud ליצור חשבון כדי שיוכלו להעריך את הביצועים של Cloud Storage בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300 $להרצה, לבדיקה ולפריסה של עומסי העבודה.

להתנסות ב-Cloud Storage בחינם