ユーザーまたはサービス アカウントが IP フィルタリングの制限を受けずにバケットに対して特定のオペレーションを実行できるようにしながら、他のオペレーションには引き続き制限を適用できます。これを行うには、IP フィルタリング ルールをバイパスします。
誤って自分の IP アドレスをブロックした場合に、バケットに再びアクセスできるようにすることが重要です。その理由は次のとおりです。
バケットのロックアウト: 自分の IP アドレスまたはネットワーク全体の IP 範囲をブロックするルールを誤って追加した場合。
予期しない IP の変更: ネットワークの変更により IP アドレスが予期せず変更され、ロックアウトされることがあります。
バケット IP フィルタリングの背景情報については、バケット IP フィルタリングをご覧ください。
サポートされているオペレーション
IP フィルタリングをバイパスすると、次のオペレーションが IP フィルタリング制限から除外されます。
- バケットのメタデータの取得(
GETバケット) - バケットの更新(
PATCHバケット) - バケットの削除(
DELETEバケット)
バケット IP フィルタリング ルールをバイパスする
特定のユーザーまたはサービス アカウントがバケットの IP フィルタリング制限をバイパスできるようにするには、カスタムロールを使用して storage.buckets.exemptFromIpFilter 権限を付与します。この権限により、ユーザーまたはサービス アカウントは、サポートされているバケットレベルのオペレーションの IP フィルタリング ルールから除外されます。手順は次のとおりです。
特定のバケットの IP フィルタリング制限をバイパスする必要があるユーザーまたはサービス アカウントを特定します。
カスタムロールを作成します。
ロールに
storage.buckets.exemptFromIpFilter権限を追加します。特定したユーザーまたはサービス アカウントに、プロジェクト レベルでカスタムロールを付与します。ロールの付与の詳細については、単一のロールを付与するをご覧ください。
ユーザーまたはサービス アカウントにこれらの権限を付与すると、IP フィルタリングによる制限を受けずに、サポートされているオペレーションを実行できます。明示的な権限を要求することで、ルールの例外をきめ細かく制御し、IP フィルタリング ルールの回避を意図的で承認されたアクションとして担保できます。
Cloud de Confiance by S3NS サービス エージェントの IP フィルタリング ルールを回避する
IAM ベースの回避に加えて、すべての Cloud de Confiance サービス エージェントでバケットの IP フィルタリング ルールを回避できます。
有効にすると、Compute Engine、Cloud Run functions、Cloud Composer などのサービスで、送信元 IP アドレスが許可された IP 範囲に明示的にリストされていない場合でも、サービス エージェントを使用してバケットにアクセスできます。サービスが正しく機能するため、およびバケットとやり取りするために、IP フィルタリング ルールの回避が必要になる場合があります。 Cloud de Confiance by S3NS サービス エージェントによるバケットへのアクセスを許可する方法については、サービス エージェントのアクセス権を管理するをご覧ください。
組織間 VPC ネットワークの IP フィルタリング ルールを回避する
既存の IP フィルタリング構成による制限を受けずに、別の組織の VPC ネットワークのリソースによるバケットへのアクセスを許可できます。組織間の VPC ネットワークによるバケットへのアクセスを許可する方法については、組織間 VPC アクセスを管理するをご覧ください。