É possível permitir que usuários ou contas de serviço realizem determinadas operações em buckets sem restrições de filtragem de IP, mas ainda aplicar restrições a outras operações. Para isso, ignore as regras de filtragem de IP.
É fundamental ter uma maneira de recuperar o acesso ao bucket se você bloquear seu próprio endereço IP por engano. Isso pode acontecer pelos seguintes motivos:
Bloqueio de bucket: quando você adiciona acidentalmente uma regra que bloqueia seu próprio endereço IP ou o intervalo de IP de toda a rede.
Mudança inesperada de IP: em alguns casos, seu endereço IP pode mudar inesperadamente devido a alterações na rede, e você pode perder o acesso.
Para informações contextuais sobre a filtragem de IP do bucket, consulte Filtragem de IP do bucket.
Operações suportadas
Ao ignorar a filtragem de IP, as seguintes operações ficam isentas das restrições de filtragem de IP:
- Receber os metadados de um bucket (Bucket
GET) - Atualizar um bucket (
PATCHbucket) - Excluir um bucket (bucket
DELETE)
Ignorar regras de filtragem de IP do bucket
Para permitir que usuários ou contas de serviço específicos ignorem as restrições de filtragem de IP em um bucket, conceda a eles a permissão storage.buckets.exemptFromIpFilter usando uma função personalizada. Essa permissão exime o usuário ou a conta de serviço das regras de filtragem de IP para operações compatíveis no nível do bucket. Para isso, siga estas etapas:
Identifique o usuário ou a conta de serviço que precisa ignorar as restrições de filtragem de IP em buckets específicos.
Crie uma função personalizada.
Adicione a permissão
storage.buckets.exemptFromIpFilterà função.Conceda a função personalizada ao usuário ou à conta de serviço identificada no nível do projeto. Para informações sobre como conceder papéis, consulte Conceder um único papel.
Depois de conceder essas permissões aos usuários ou às contas de serviço, eles poderão realizar operações compatíveis sem restrições de filtragem de IP. Exigir permissões explícitas garante que o bypass das regras de filtragem de IP seja uma ação deliberada e autorizada, oferecendo controle granular sobre as exceções às regras.
Ignorar regras de filtragem de IP para agentes de serviço Cloud de Confiance by S3NS
Você pode permitir que os agentes de serviço do Cloud de Confiance by S3NS ignorem as regras de filtragem de IP do seu bucket. O agente de serviço e o bucket precisam estar no mesmo projeto.
Quando ativados, serviços como o Compute Engine ou o Cloud Run no projeto do bucket podem acessar o bucket livremente, independente dos endereços IP. Agentes de serviço de projetos diferentes não podem usar essa substituição. Se você precisar conceder acesso a serviços em outros projetos e manter as restrições baseadas em IP, use recursos como o VPC Service Controls ou as condições do IAM.
Para saber como permitir que os agentes de serviço do Cloud de Confiance by S3NS acessem seu bucket, consulte Gerenciar o acesso do agente de serviço.
Ignorar regras de filtragem de IP para redes VPC entre organizações
Você pode permitir que recursos de uma rede VPC de outra organização acessem o bucket sem restrições da sua configuração de filtragem de IP atual. Para informações sobre como permitir que redes VPC entre organizações acessem seu bucket, consulte Gerenciar o acesso à VPC entre organizações.