אתם יכולים לאפשר למשתמשים או לחשבונות שירות לבצע פעולות מסוימות בדליים ללא הגבלות של סינון לפי כתובת IP, ועדיין לאכוף הגבלות על פעולות אחרות. כדי לעשות את זה, צריך לעקוף את הכללים של סינון כתובות IP.
חשוב מאוד שתהיה לכם דרך לקבל גישה מחדש לדלי אם חסמתם בטעות את כתובת ה-IP שלכם. יכולות להיות לכך כמה סיבות:
נעילת מאגר: כשמוסיפים בטעות כלל שחוסם את כתובת ה-IP שלכם או את טווח כתובות ה-IP של כל הרשת שלכם.
שינוי לא צפוי בכתובת ה-IP: במקרים מסוימים, כתובת ה-IP עשויה להשתנות באופן לא צפוי בגלל שינויים ברשת, ואולי לא תהיה לכם גישה לחשבון.
מידע נוסף על סינון כתובות IP בקטגוריות זמין במאמר סינון כתובות IP בקטגוריות.
פעולות נתמכות
כשעוקפים את סינון כתובות ה-IP, הפעולות הבאות פטורות מההגבלות של סינון כתובות ה-IP:
- אחזור מטא-נתונים של קטגוריה (
GETBucket) - עדכון של קטגוריה (
PATCHBucket) - מחיקת קטגוריה (
DELETEBucket)
עקיפת כללי סינון לפי כתובת IP של מאגר
כדי לאפשר למשתמשים או לחשבונות שירות ספציפיים לעקוף את ההגבלות של סינון כתובות IP בדלי, צריך להעניק להם את ההרשאה storage.buckets.exemptFromIpFilter באמצעות תפקיד בהתאמה אישית. ההרשאה הזו פוטרת את המשתמש או את חשבון השירות מכללי סינון כתובות IP לפעולות נתמכות ברמת הדלי. כדי לעשות זאת, צריך לבצע את השלבים הבאים:
מאתרים את המשתמש או חשבון השירות שצריך לעקוף את ההגבלות של סינון כתובות ה-IP בדליים ספציפיים.
יוצרים תפקיד בהתאמה אישית.
מוסיפים את ההרשאה
storage.buckets.exemptFromIpFilterלתפקיד.מקצים את התפקיד המותאם אישית למשתמש או לחשבון השירות שזוהו ברמת הפרויקט. במאמר הקצאת תפקיד יחיד מוסבר איך מקצים תפקידים.
אחרי שתעניקו למשתמשים או לחשבונות השירות את ההרשאות האלה, הם יוכלו לבצע פעולות נתמכות ללא הגבלות של סינון לפי כתובת IP. הדרישה להרשאות מפורשות מבטיחה שמעקף של כללי סינון לפי כתובת IP הוא פעולה מכוונת ומאושרת, כי היא מאפשרת שליטה מפורטת בחריגים לכללים.
עקיפה של כללי סינון לפי כתובת IP עבור Cloud de Confiance by S3NS סוכני שירות
אתם יכולים לאפשר לסוכני שירות של Cloud de Confiance by S3NS לעקוף את כללי הסינון לפי כתובת IP עבור הדלי שלכם. סוכן השירות וקטגוריית הנתונים צריכים להיות באותו פרויקט.
כשהאפשרות הזו מופעלת, שירותים כמו Compute Engine או Cloud Run בפרויקט של הקטגוריה יכולים לגשת לקטגוריה באופן חופשי, ללא קשר לכתובות ה-IP שלהם. סוכני שירות מפרויקטים שונים לא יכולים להשתמש במעקף הזה. אם אתם צריכים להעניק גישה לשירותים בפרויקטים אחרים תוך שמירה על הגבלות מבוססות-IP, כדאי להשתמש בתכונות כמו VPC Service Controls או תנאים של IAM.
במאמר ניהול הגישה של סוכני שירות מוסבר איך מאפשרים לסוכני שירות לגשת לדלי. Cloud de Confiance by S3NS
עקיפת כללי סינון IP ברשתות VPC חוצות ארגון
אתם יכולים לאפשר למשאבים מרשת VPC של ארגון אחר לגשת לקטגוריה ללא הגבלות מהגדרת סינון ה-IP הקיימת שלכם. מידע על מתן גישה לקטגוריה מרשתות VPC בארגונים אחרים זמין במאמר ניהול גישה ל-VPC בארגונים שונים.