Puedes permitir que los usuarios o las cuentas de servicio realicen ciertas operaciones en buckets sin ninguna restricción de filtrado de IP, pero, al mismo tiempo, aplicar restricciones para otras operaciones. Para ello, omite las reglas de filtrado de IP.
Es fundamental tener una forma de recuperar el acceso a tu bucket si bloqueas tu propia dirección IP de forma involuntaria. Esto puede suceder por los siguientes motivos:
Bloqueo de bucket: Cuando agregas accidentalmente una regla que bloquea tu propia dirección IP o el rango de IP de toda tu red.
Cambio de IP inesperado: En algunos casos, tu dirección IP puede cambiar de forma inesperada debido a cambios en la red, y es posible que te quedes sin acceso.
Para obtener información general sobre el filtrado de IP de bucket, consulta Filtrado de IP de buckets.
Operaciones admitidas
Cuando omites el filtrado de IP, las siguientes operaciones están exentas de las restricciones de filtrado de IP:
- Obtener los metadatos de un bucket (
GETBucket) - Actualizar un bucket (
PATCHBucket) - Borrar un bucket (
DELETEBucket)
Cómo omitir las reglas de filtrado de IP de bucket
Para permitir que usuarios o cuentas de servicio específicos omitan las restricciones de filtrado de IP en un bucket, otórgales el permiso storage.buckets.exemptFromIpFilter con un rol personalizado. Este permiso exime al usuario o a la cuenta de servicio de las reglas de filtrado de IP para las operaciones admitidas a nivel del bucket. Para ello, completa los siguientes pasos:
Identifica al usuario o a la cuenta de servicio que necesita omitir las restricciones de filtrado de IP en buckets específicos.
Crea un rol personalizado.
Agrega el permiso
storage.buckets.exemptFromIpFilteral rol.Otorga el rol personalizado al usuario o a la cuenta de servicio identificados a nivel del proyecto. Para obtener información sobre cómo otorgar roles, consulta Otorga un solo rol.
Después de otorgarles estos permisos a los usuarios o a las cuentas de servicio, podrán realizar operaciones admitidas sin ninguna restricción de filtrado de IP. Requerir permisos explícitos garantiza que omitir las reglas de filtrado de IP sea una acción deliberada y autorizada, ya que proporciona un control detallado sobre las excepciones a las reglas.
Cómo omitir las reglas de filtrado de IP para los Cloud de Confiance by S3NS agentes de servicio
Puedes permitir que los Cloud de Confiance by S3NS agentes de servicio omitan las reglas de filtrado de IP para tu bucket. El agente de servicio y el bucket deben estar en el mismo proyecto.
Cuando se habilitan, los servicios como Compute Engine o Cloud Run dentro del proyecto del bucket pueden acceder al bucket libremente, independientemente de sus direcciones IP. Los agentes de servicio de diferentes proyectos no pueden usar esta omisión. Si necesitas otorgar acceso a servicios en otros proyectos y, al mismo tiempo, mantener las restricciones basadas en IP, considera usar funciones como los Controles del servicio de VPC o las condiciones de IAM.
Para obtener información sobre cómo permitir que los Cloud de Confiance by S3NS agentes de servicio accedan a tu bucket, consulta Administra el acceso de los agentes de servicio.
Cómo omitir las reglas de filtrado de IP para redes de VPC entre organizaciones
Puedes permitir que los recursos de la red de VPC de una organización diferente accedan al bucket sin restricciones de tu configuración de filtrado de IP existente. Para obtener información sobre cómo permitir que las redes de VPC entre organizaciones accedan a tu bucket, consulta Administra el acceso a VPC entre organizaciones.