Nesta página, descrevemos como criar ou atualizar as regras de filtragem de IP do bucket em um bucket atual.
Funções exigidas
Para receber as permissões necessárias para atualizar as regras de filtragem de IP em um bucket, peça ao administrador para conceder a você o papel de Administrador do Storage (roles/storage.admin) no bucket. Esse papel contém as permissões necessárias para atualizar as regras de filtragem de IP do bucket.
Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
storage.buckets.updatestorage.buckets.setIpFilter
Também é possível receber essas permissões com funções personalizadas. Também é possível conseguir essas permissões com outros papéis predefinidos. Para conferir quais papéis estão associados a quais permissões, consulte Papéis do IAM para o Cloud Storage.
Para instruções sobre como conceder papéis para buckets, consulte Definir e gerenciar políticas do IAM em buckets.
Criar ou atualizar regras de filtragem de IP em um bucket
Console
No console do Google Cloud , acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome do bucket que você quer atualizar.
Na página Detalhes do bucket, clique na guia Configuração.
Na seção Permissões, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.
Na página Filtragem de IP, clique em Configurar.
Na janela de sobreposição Configurar filtragem de IP, dependendo da configuração que você quer especificar, use o menu de navegação adequado. Depois de concluir as etapas em cada seção, clique em Continuar para passar para a próxima etapa.
Endereços IP públicos
Para permitir o acesso de endereços IP públicos, faça o seguinte:
Clique em Internet pública.
No painel Internet pública que aparece, especifique um ou mais intervalos de endereços IPv4 ou intervalos CIDR IPv6 no campo Intervalos de IP permitidos. Por exemplo,
192.0.2.0/24ou2001:db8::/32. Se você especificar entradas inválidas, uma mensagem de erro vai indicar quais delas precisam ser corrigidas.
Redes VPC
Para permitir o acesso de redes VPC, faça o seguinte:
Clique em Redes VPC.
No painel Redes VPC que aparece, faça o seguinte para cada rede:
- Clique em Adicionar rede VPC.
- Na seção Nova rede VPC, especifique as seguintes informações:
- No campo ID do projeto, insira o ID do projeto.
- No campo Nome da rede, insira o nome da sua rede.
- No campo Intervalos de IP permitidos, insira um ou mais intervalos CIDR IPv4 ou IPv6, por exemplo,
192.0.2.0/24, 2001:db8::/32. Se você especificar entradas inválidas, uma mensagem de erro vai indicar quais entradas precisam de correção.
- Clique em Concluído.
Configurações avançadas
Para permitir que agentes de serviço Google Cloud confiáveis e redes VPC de outras organizações ignorem sua configuração de filtragem de IP, faça o seguinte:
Clique em Configurações adicionais.
No painel Configurações adicionais que aparece, faça o seguinte:
Na seção Acesso do agente de serviçoGoogle Cloud , selecione um dos seguintes botões de opção:
Permitir acesso do agente de serviço: permite que os serviços do Google Cloud , como o BigLake, o Storage Insights, a Vertex AI e o BigQuery, ignorem a validação de filtragem de IP quando precisarem acessar esse bucket.
Negar o acesso do agente de serviço: aplica as regras de filtragem de IP para agentes de serviço do Google Cloud .
Na seção (Opcional) Acesso à VPC entre organizações, faça uma destas ações:
Para permitir o acesso de redes VPC especificadas localizadas em diferentes organizações do Google Cloud , clique na chave para a posição Permitir.
Para bloquear o acesso de redes VPC fora da sua organização Google Cloud , clique na chave para a posição Negar (estado padrão).
Revisão
Para analisar a configuração de filtragem de IP, faça o seguinte:
No painel Revisar que aparece, clique na seta de expansão ao lado de Internet pública ou Redes VPC para revisar os intervalos de IP ou a VPC especificados e verificar a configuração de Configurações adicionais.
Se precisar modificar uma configuração, clique em Voltar para retornar às etapas de configuração anteriores.
Depois de revisar todas as configurações, clique em Ativar para salvar a configuração de filtragem de IP.
gcloud
Verifique se você tem a versão 526.0.0 ou mais recente da Google Cloud CLI instalada:
gcloud version | head -n1Se você tiver uma versão anterior da CLI gcloud instalada, atualize-a:
gcloud components update --version=526.0.0Crie um arquivo JSON que defina regras para solicitações recebidas. Para exemplos e informações sobre como estruturar as regras de filtragem de IP do bucket, consulte Configurações de filtragem de IP do bucket.
{ "mode":"MODE", "publicNetworkSource":{ "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "vpcNetworkSources":[ { "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "..." ], "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS, "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS }
Em que:
MODEé o modo da configuração de filtragem de IP do bucket. Os valores válidos sãoEnabledeDisabled. Quando definido comoEnabled, as regras de filtragem de IP são aplicadas a um bucket. Qualquer solicitação recebida para o bucket é avaliada em relação a essas regras. Quando definido comoDisabled, todas as solicitações recebidas podem acessar o bucket.RANGE_CIDRé um intervalo de endereços IPv4 ou IPv6 de rede pública que tem permissão para acessar o bucket. É possível inserir um ou vários intervalos de endereços como uma lista.PROJECT_IDé o ID do projeto em que a rede de nuvem privada virtual (VPC) existe. Para configurar várias redes VPC, especifique o projeto em que cada rede está localizada.NETWORK_NAMEé o nome da rede VPC que tem permissão para acessar o bucket. Para configurar várias redes VPC, especifique um nome para cada uma.ALLOW_CROSS_ORG_VPCSé um valor booleano que indica se as redes VPC definidas emvpcNetworkSourcespodem ser originadas de uma organização diferente. Este campo é opcional. Se definido comotrue, a solicitação permitirá redes VPC entre organizações. Se definido comofalse, a solicitação restringe as redes VPC à mesma organização do bucket. Se não for especificado, o valor padrão seráfalse. Esse campo só é aplicado sevpcNetworkSourcesnão estiver vazio.ALLOW_ALL_SERVICE_AGENT_ACCESSé um valor booleano que indica se os agentes de serviço podem acessar o bucket, independente da configuração de filtro de IP. Se o valor fortrue, outros serviços Google Cloud poderão usar agentes de serviço para acessar o bucket sem validação baseada em IP.
Para atualizar as regras de filtragem de IP do bucket, execute o comando
gcloud storage buckets updateno ambiente de desenvolvimento:gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE
Em que:
BUCKET_NAMEé o nome do bucket. Por exemplo,my-bucket.IP_FILTER_CONFIG_FILEé o arquivo JSON que você criou.
API JSON
Ter CLI gcloud instalada e inicializada, o que permite gerar um token de acesso para o cabeçalho
Authorization.Crie um arquivo JSON com as configurações do bucket, que precisa incluir os campos de configuração
nameeipFilterpara o bucket. Para exemplos e informações sobre como estruturar as regras de filtragem de IP do bucket, consulte Configurações de filtragem de IP do bucket.{ "ipFilter":{ "mode":"MODE", "publicNetworkSource":{ "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "vpcNetworkSources":[ { "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges":[ "RANGE_CIDR", "..." ] }, "..." ], "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS, "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS } }
Em que:
MODEé o estado da configuração de filtragem de IP. Os valores válidos são:EnabledeDisabled. Quando definido comoEnabled, as regras de filtragem de IP são aplicadas a um bucket, e todas as solicitações recebidas para ele são avaliadas com base nessas regras. Quando definido comoDisabled, todas as solicitações recebidas podem acessar o bucket e os dados dele sem avaliação.RANGE_CIDRé um intervalo de endereços IPv4 ou IPv6 de rede pública que tem permissão para acessar o bucket. É possível inserir um ou vários intervalos de endereços como uma lista.PROJECT_IDé o ID do projeto em que a rede VPC existe. Para configurar várias redes VPC, especifique o projeto em que cada rede está localizada.NETWORK_NAMEé o nome da rede VPC que tem permissão para acessar o bucket. Para configurar várias redes VPC, especifique um nome para cada uma.ALLOW_ALL_SERVICE_AGENT_ACCESSé um valor booleano que indica se os agentes de serviço podem acessar o bucket, independente da configuração do filtro de IP. Se o valor fortrue, outros serviços Google Cloud poderão usar agentes de serviço para acessar o bucket sem validação baseada em IP.ALLOW_CROSS_ORG_VPCSé um valor booleano que indica se as redes VPC definidas na listavpcNetworkSourcespodem ser originadas de uma organização diferente. Este campo é opcional. Se definido comotrue, a solicitação permitirá redes VPC entre organizações. Se definido comofalse, a solicitação restringe as redes VPC à mesma organização do bucket. Se não for especificado, o valor padrão seráfalse. Esse campo só é aplicado sevpcNetworkSourcesnão estiver vazio.
Use
cURLpara chamar a API JSON com uma solicitação PATCH bucket:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"
Em que:
JSON_FILE_NAMEé o nome do arquivo JSON criado.BUCKET_NAMEé o nome do bucket.PROJECT_IDé o ID do projeto ao qual o bucket está associado. Por exemplo,my-project.
Gerenciar o acesso do Google Cloud agente de serviço
Para atualizar o acesso do agente de serviço depois de configurar regras de filtragem de IP no seu bucket, siga estas etapas:
Console
No console do Google Cloud , acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome do bucket que você quer atualizar.
Na página Detalhes do bucket, clique na guia Configuração.
Na seção Permissões, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.
A página Filtragem de IP é exibida.
Na seção Gerenciar acesso do agente de serviço Google Cloud , faça o seguinte:
Para permitir o acesso do agente de serviço, siga estas etapas:
Clique em Desativado para mudar a configuração para Ativado.
Para confirmar que você quer permitir o acesso, digite
Enableno campo Ativar.
Para negar o acesso do agente de serviço, siga estas etapas:
Clique em Ativado para mudar a configuração para Desativado.
Para confirmar que você quer negar o acesso, digite
Disableno campo Desativar.
Uma mensagem de notificação confirma a mudança.
gcloud
Para atualizar o acesso do agente de serviço ao bucket, use o comando gcloud storage
buckets update e defina o campo allowAllServiceAgentAccess como
true para permitir o acesso ou false para negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP em um bucket atual.
API JSON
Para atualizar o acesso do agente de serviço, use uma solicitação PATCH para atualizar a
configuração ipFilter do bucket. Defina o campo
allowAllServiceAgentAccess como true para permitir o acesso ou false para
negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP em um bucket atual.
Gerencie o acesso à VPC entre organizações
Para atualizar o acesso à VPC entre organizações depois de configurar regras de filtragem de IP no bucket, siga estas etapas:
Console
No console do Google Cloud , acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome do bucket que você quer atualizar.
Na página Detalhes do bucket, clique na guia Configuração.
Na seção Permissões, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.
A página Filtragem de IP é exibida.
Na seção Gerenciar o acesso à VPC entre organizações, faça o seguinte:
Para permitir o acesso à VPC entre organizações, siga estas etapas:
Clique em Desativado para mudar a configuração para Ativado.
Para confirmar que você quer permitir o acesso, digite
Enableno campo Ativar.
Para negar o acesso à VPC entre organizações, siga estas etapas:
Clique em Ativado para mudar a configuração para Desativado.
Para confirmar que você quer negar o acesso, digite
Disableno campo Desativar.
Uma mensagem de notificação confirma a mudança.
gcloud
Para atualizar o acesso à VPC entre organizações para seu bucket, use
o comando gcloud storage buckets update e defina o campo allowCrossOrgVpcs
como true para permitir o acesso ou false para negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP em um bucket atual.
API JSON
Para atualizar o acesso à VPC entre organizações, use uma
solicitação PATCH para atualizar a configuração ipFilter do bucket. Defina o campo allowCrossOrgVpcs como true para permitir o acesso ou false para negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP
em um bucket atual.
A seguir
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud Storage em situações reais. Clientes novos recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Faça uma avaliação gratuita do Cloud Storage