Vous pouvez autoriser des utilisateurs ou des comptes de service à effectuer certaines opérations sur des buckets sans aucune restriction de filtrage par adresse IP, tout en appliquant des restrictions pour d'autres opérations. Pour ce faire, contournez les règles de filtrage par adresses IP.
Il est essentiel de pouvoir récupérer l'accès à votre bucket si vous bloquez par inadvertance votre propre adresse IP. Cela peut se produire pour les raisons suivantes :
Verrouillage de bucket : lorsque vous ajoutez accidentellement une règle qui bloque votre propre adresse IP ou la plage d'adresses IP de l'ensemble de votre réseau.
Changement d'adresse IP inattendu : dans certains cas, votre adresse IP peut changer de manière inattendue en raison de modifications du réseau, et vous pouvez vous retrouver bloqué.
Pour en savoir plus sur le filtrage par adresse IP au niveau des buckets, consultez Filtrage par adresse IP au niveau des buckets.
Opérations prises en charge
Lorsque vous contournez le filtrage par adresse IP, les opérations suivantes sont exemptées des restrictions de filtrage par adresse IP :
- Obtenir les métadonnées d'un bucket (
GETBucket) - Mettre à jour un bucket (
PATCHBucket) - Supprimer un bucket (
DELETEbucket)
Contourner les règles de filtrage par adresses IP du bucket
Pour permettre à des utilisateurs ou à des comptes de service spécifiques de contourner les restrictions de filtrage par adresse IP sur un bucket, accordez-leur l'autorisation storage.buckets.exemptFromIpFilter à l'aide d'un rôle personnalisé. Cette autorisation exempte l'utilisateur ou le compte de service des règles de filtrage par adresse IP pour les opérations au niveau du bucket compatibles. Pour ce faire, procédez comme suit :
Identifiez l'utilisateur ou le compte de service qui doit contourner les restrictions de filtrage par adresse IP sur des buckets spécifiques.
Créez un rôle personnalisé.
Ajoutez l'autorisation
storage.buckets.exemptFromIpFilterau rôle.Attribuez le rôle personnalisé à l'utilisateur ou au compte de service identifié au niveau du projet. Pour en savoir plus sur l'attribution de rôles, consultez Attribuer un rôle unique.
Une fois que vous avez accordé ces autorisations aux utilisateurs ou aux comptes de service, ils peuvent effectuer les opérations compatibles sans aucune restriction de filtrage par adresse IP. Exiger des autorisations explicites permet de s'assurer que le contournement des règles de filtrage par adresse IP est une action délibérée et autorisée, en offrant un contrôle précis sur les exceptions aux règles.
Contourner les règles de filtrage par adresse IP pour les agents de service Cloud de Confiance by S3NS
Vous pouvez autoriser les agents de service Cloud de Confiance by S3NS à contourner les règles de filtrage par adresse IP pour votre bucket. L'agent de service et le bucket doivent se trouver dans le même projet.
Lorsque cette option est activée, les services tels que Compute Engine ou Cloud Run dans le projet du bucket peuvent accéder librement au bucket, quelles que soient leurs adresses IP. Les agents de service de différents projets ne peuvent pas utiliser ce contournement. Si vous devez accorder l'accès à des services dans d'autres projets tout en conservant les restrictions basées sur les adresses IP, envisagez d'utiliser des fonctionnalités telles que VPC Service Controls ou les conditions IAM.
Pour savoir comment autoriser les agents de service Cloud de Confiance by S3NS à accéder à votre bucket, consultez Gérer l'accès des agents de service.
Contourner les règles de filtrage par adresses IP pour les réseaux VPC inter-organisations
Vous pouvez autoriser les ressources d'un réseau VPC d'une autre organisation à accéder au bucket sans restrictions à partir de votre configuration de filtrage par adresse IP existante. Pour savoir comment autoriser les réseaux VPC inter-organisations à accéder à votre bucket, consultez Gérer l'accès VPC inter-organisations.