Crea o actualiza reglas de filtrado de IP en un bucket existente

En esta página, se describe cómo crear o actualizar las reglas de filtrado por IP del bucket en un bucket existente.

Roles obligatorios

Para obtener los permisos necesarios para actualizar las reglas de filtrado de IP en un bucket, pídele a tu administrador que te otorgue el rol de administrador de almacenamiento (roles/storage.admin) en el bucket. Este rol contiene los permisos necesarios para actualizar las reglas de filtrado por IP del bucket.

Para ver los permisos exactos que son necesarios, expande la sección Permisos necesarios:

Permisos necesarios

  • storage.buckets.update
  • storage.buckets.setIpFilter

También puedes obtener estos permisos con roles personalizados. También puedes obtener estos permisos con otros roles predefinidos. Para ver qué roles están asociados con qué permisos, consulta Roles de IAM para Cloud Storage.

Para obtener instrucciones sobre cómo otorgar roles a los buckets, consulta Configura y administra políticas de IAM en buckets.

Crea o actualiza reglas de filtrado de IP en un bucket existente

Console

  1. En la Google Cloud consola, ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. En la lista de buckets, haz clic en el nombre del bucket que deseas actualizar.

  3. En la página de detalles del bucket haz clic en la pestaña Configuración.

  4. En la sección Permisos, navega a Filtrado de IP. Luego, haz clic en Editar la configuración del filtrado de IP.

  5. En la página Filtrado de IP, haz clic en Configurar.

  6. En la ventana superpuesta Configurar el filtrado de IP, según la configuración del filtrado de IP que desees especificar, usa el menú de navegación adecuado. Después de completar los pasos de cada sección, haz clic en Continuar para avanzar al siguiente paso.

Direcciones IP públicas

Para permitir el acceso desde direcciones IP públicas, haz lo siguiente:

  1. Haz clic en Internet público.

  2. En el panel Internet pública que aparece, especifica uno o más rangos de direcciones IPv4 o rangos CIDR de IPv6 en el campo Rangos de IP permitidos. Por ejemplo, 192.0.2.0/24 o 2001:db8::/32. Si especificas entradas no válidas, un mensaje de error indicará qué entradas deben corregirse.

Redes de VPC

Para permitir el acceso desde redes de VPC, haz lo siguiente:

  1. Haz clic en Redes de VPC.

  2. En el panel Redes de VPC que aparece, haz lo siguiente para cada red:

    1. Haz clic en Agregar red de VPC.
    2. En la sección Red de VPC nueva, especifica la siguiente información:
      • En el campo ID del proyecto, ingresa tu ID del proyecto.
      • En el campo Nombre de la red, ingresa el nombre de tu red.
      • En el campo Rangos de IP permitidos, ingresa uno o más rangos de CIDR IPv4 o IPv6, por ejemplo, 192.0.2.0/24, 2001:db8::/32. Si especificas entradas no válidas, un mensaje de error indicará qué entradas deben corregirse.
    3. Haz clic en Listo.

Configuración adicional

Para permitir que los agentes de servicio Google Cloud de confianza y las redes de VPC de otras organizaciones omitan tu configuración de filtrado de IP, haz lo siguiente:

  1. Haz clic en Configuración adicional.

  2. En el panel Configuración adicional que aparece, haz lo siguiente:

  3. En la sección Google Cloud Acceso del agente de servicio, selecciona uno de los siguientes botones de selección:

    • Permitir acceso al agente de servicio: Habilita los servicios Google Cloud como BigLake, Storage Insights, Vertex AI y BigQuery para que omitan la validación de filtrado de IP cuando necesiten acceder a este bucket.

    • Denegar acceso al agente de servicio: Aplica las reglas del filtro de IP para los agentes de servicio de Google Cloud .

  4. En la sección (Opcional) Acceso a VPC entre organizaciones, realiza una de las siguientes acciones:

    • Para permitir el acceso desde redes de VPC especificadas ubicadas en diferentes Google Cloud organizaciones, haz clic en el botón de activación para colocarlo en la posición de Permitir.

    • Para bloquear el acceso desde redes de VPC fuera de tu organización Google Cloud , haz clic en el botón de activación para colocarlo en la posición Denegar (estado predeterminado).

Revisar

Para revisar la configuración del filtrado de IP, haz lo siguiente:

  1. En el panel Revisar que aparece, haz clic en la flecha de expansión junto a Internet pública o Redes de VPC para revisar los rangos de IP o la VPC especificados y verificar la configuración de Configuración adicional.

  2. Si necesitas modificar un parámetro de configuración, haz clic en Atrás para volver a los pasos de configuración anteriores.

  3. Después de revisar todos los parámetros de configuración, haz clic en Habilitar para guardar la configuración del filtrado de IP.

gcloud

  1. Verifica que tengas instalada la versión 526.0.0 o posterior de Google Cloud CLI:

    gcloud version | head -n1

  2. Si tienes instalada una versión anterior de gcloud CLI, actualízala:

    gcloud components update --version=526.0.0

  3. Crea un archivo JSON que defina reglas para las solicitudes entrantes. Para obtener ejemplos e información sobre cómo estructurar las reglas de filtrado de IP del bucket, consulta Configuraciones de filtrado de IP del bucket.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    Aquí:

    • MODE es el modo de configuración del filtrado de IP del bucket. Los valores válidos son Enabled y Disabled. Cuando se establece en Enabled, se aplican reglas de filtrado de IP a un bucket. Cualquier solicitud entrante al bucket se evalúa según estas reglas. Cuando se establece en Disabled, se permite que todas las solicitudes entrantes accedan al bucket.

    • RANGE_CIDR es un rango de direcciones IPv4 o IPv6 de red pública al que se le permite acceder al bucket. Puedes ingresar uno o varios rangos de direcciones como una lista.

    • PROJECT_ID es el ID del proyecto en el que existe la red de nube privada virtual (VPC). Para configurar varias redes de VPC, debes especificar el proyecto en el que se encuentra cada red.

    • NETWORK_NAME es el nombre de la red de VPC que tiene permiso para acceder al bucket. Para configurar varias redes de VPC, debes especificar un nombre para cada red.

    • ALLOW_CROSS_ORG_VPCS es un valor booleano que indica si se deben permitir las redes de VPC definidas en vpcNetworkSources para que se originen en una organización diferente. Este campo es opcional. Si se configura como true, la solicitud permite redes de VPC entre organizaciones. Si se establece en false, la solicitud restringe las redes de VPC a la misma organización que el bucket. Si no se especifica, el valor predeterminado es false. Este campo solo se aplica si vpcNetworkSources no está vacío.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS es un valor booleano que indica si se debe permitir que los agentes de servicio accedan al bucket, independientemente de la configuración del filtro de IP. Si el valor es true, otros servicios de Google Cloud pueden usar agentes de servicio para acceder al bucket sin validación basada en IP.

  4. Para actualizar las reglas de filtrado por IP del bucket, ejecuta el comando gcloud storage buckets update en tu entorno de desarrollo:

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    Aquí:

    • BUCKET_NAME es el nombre de tu depósito. Por ejemplo, my-bucket
    • IP_FILTER_CONFIG_FILE es el archivo JSON que creaste.

API de JSON

  1. Tener la gcloud CLI instalada e inicializada, lo que te permite generar un token de acceso para el encabezado Authorization.

  2. Crea un archivo JSON que contenga la configuración del bucket, que debe incluir los campos de configuración name y ipFilter para el bucket. Para ver ejemplos y obtener información sobre cómo estructurar las reglas de filtrado de IP del bucket, consulta Configuraciones de filtrado de IP del bucket.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    Aquí:

    • MODE es el estado de la configuración del filtro de IP. Los valores válidos son Enabled y Disabled. Cuando se establece en Enabled, las reglas de filtrado de IP se aplican a un bucket y todas las solicitudes entrantes al bucket se evalúan según estas reglas. Cuando se configura como Disabled, todas las solicitudes entrantes pueden acceder al bucket y a sus datos sin ninguna evaluación.

    • RANGE_CIDR es un rango de direcciones IPv4 o IPv6 de red pública al que se le permite acceder al bucket. Puedes ingresar uno o varios rangos de direcciones como una lista.

    • PROJECT_ID es el ID del proyecto en el que existe la red de VPC. Para configurar varias redes de VPC, debes especificar el proyecto en el que se encuentra cada red.

    • NETWORK_NAME es el nombre de la red de VPC que tiene permiso para acceder al bucket. Para configurar varias redes de VPC, debes especificar un nombre para cada red.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS es un valor booleano que indica si se permite que los agentes de servicio accedan al bucket, independientemente de la configuración del filtro de IP. Si el valor es true, otros servicios de Google Cloud pueden usar agentes de servicio para acceder al bucket sin validación basada en IP.

    • ALLOW_CROSS_ORG_VPCS es un valor booleano que indica si se deben permitir las redes de VPC definidas en la lista vpcNetworkSources para que se originen en una organización diferente. Este campo es opcional. Si se configura como true, la solicitud permite redes de VPC entre organizaciones. Si se configura como false, la solicitud restringe las redes de VPC a la misma organización que el bucket. Si no se especifica, el valor predeterminado es false. Este campo solo se aplica si vpcNetworkSources no está vacío.

  3. Usa cURL para llamar a la API de JSON con una solicitud de bucket de PATCH:

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    Aquí:

    • JSON_FILE_NAME es el nombre del archivo JSON que creaste.
    • BUCKET_NAME es el nombre de tu depósito.
    • PROJECT_ID es el ID del proyecto con el que se asocia tu bucket. Por ejemplo, my-project.

Administra Google Cloud el acceso del agente de servicio

Para actualizar el acceso del agente de servicio después de configurar las reglas de filtrado de IP en tu bucket, completa los siguientes pasos:

Console

  1. En la Google Cloud consola, ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. En la lista de buckets, haz clic en el nombre del bucket que deseas actualizar.

  3. En la página de detalles del bucket haz clic en la pestaña Configuración.

  4. En la sección Permisos, navega a Filtrado de IP. Luego, haz clic en Editar la configuración del filtrado de IP.

    Aparecerá la página Filtro de IP.

  5. En la sección Administrar Google Cloud el acceso del agente de servicio, realiza una de las siguientes acciones:

    • Para permitir el acceso del agente de servicio, completa los siguientes pasos:

      1. Haz clic en Inhabilitado para cambiar el parámetro de configuración a Habilitado.

      2. Para confirmar que deseas permitir el acceso, escribe Enable en el campo Habilitar.

    • Para rechazar el acceso del agente de servicio, completa los siguientes pasos:

      1. Haz clic en Habilitado para cambiar el parámetro de configuración a Inhabilitado.

      2. Para confirmar que deseas rechazar el acceso, escribe Disable en el campo Inhabilitar.

    Un mensaje de notificación confirma el cambio.

gcloud

Para actualizar el acceso del agente de servicio a tu bucket, usa el comando gcloud storage buckets update y configura el campo allowAllServiceAgentAccess como true para permitir el acceso o false para denegarlo. Para obtener instrucciones detalladas, consulta Cómo crear o actualizar reglas de filtrado de IP en un bucket existente.

API de JSON

Para actualizar el acceso del agente de servicio, puedes usar una solicitud PATCH para actualizar la configuración de ipFilter del bucket. Establece el campo allowAllServiceAgentAccess en true para permitir el acceso o en false para denegarlo. Para obtener instrucciones detalladas, consulta Cómo crear o actualizar reglas de filtrado de IP en un bucket existente.

Administrar el acceso a VPC entre organizaciones

Para actualizar el acceso de VPC entre organizaciones después de configurar las reglas de filtrado de IP en tu bucket, completa los siguientes pasos:

Console

  1. En la Google Cloud consola, ve a la página Buckets de Cloud Storage.

    Ir a Buckets

  2. En la lista de buckets, haz clic en el nombre del bucket que deseas actualizar.

  3. En la página de detalles del bucket haz clic en la pestaña Configuración.

  4. En la sección Permisos, navega a Filtrado de IP. Luego, haz clic en Editar la configuración del filtrado de IP.

    Aparecerá la página Filtro de IP.

  5. En la sección Administrar el acceso a VPC entre organizaciones, realiza una de las siguientes acciones:

    • Para permitir el acceso a la VPC entre organizaciones, completa los siguientes pasos:

      1. Haz clic en Inhabilitado para cambiar el parámetro de configuración a Habilitado.

      2. Para confirmar que deseas permitir el acceso, escribe Enable en el campo Habilitar.

    • Para rechazar el acceso a la VPC entre organizaciones, completa los siguientes pasos:

      1. Haz clic en Habilitado para cambiar el parámetro de configuración a Inhabilitado.

      2. Para confirmar que deseas rechazar el acceso, escribe Disable en el campo Inhabilitar.

    Un mensaje de notificación confirma el cambio.

gcloud

Para actualizar el acceso a la VPC entre organizaciones para tu bucket, usa el comando gcloud storage buckets update y configura el campo allowCrossOrgVpcs como true para permitir el acceso o false para denegarlo. Para obtener instrucciones detalladas, consulta Cómo crear o actualizar reglas de filtrado de IP en un bucket existente.

API de JSON

Para actualizar el acceso a la VPC entre organizaciones, puedes usar una solicitud PATCH para actualizar la configuración de ipFilter del bucket. Configura el campo allowCrossOrgVpcs en true para permitir el acceso o en false para denegarlo. Para obtener instrucciones detalladas, consulta Cómo crear o actualizar reglas de filtrado de IP en un bucket existente.

¿Qué sigue?

Pruébalo tú mismo

Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud Storage en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar e implementar cargas de trabajo.

Probar Cloud Storage gratis