IP-Filterung für Buckets

Auf dieser Seite finden Sie einen Überblick über das IP-Filtern von Buckets, einschließlich der Vorteile, der Funktionsweise, der unterstützten Standorte und der zu berücksichtigenden Einschränkungen.

Übersicht

Cloud Storage bietet die IP-Filterung für Buckets, um den Zugriff auf Ihre in Buckets gespeicherten Daten zu verwalten.

Die IP-Filterung für Buckets ist ein Netzwerksicherheitsmechanismus, der den Zugriff auf einen Bucket anhand der Quell-IP-Adresse der Anfrage einschränkt und Ihre Daten vor unbefugtem Zugriff schützt.

Mit der Funktion zur IP-Filterung für Cloud Storage-Buckets können Sie den Zugriff auf der Grundlage von IPv4- oder IPv6-Adressbereichen oder der Cloud de Confiance by S3NSVirtual Private Cloud detailliert steuern. Sie können eine Liste mit IP-Bereichen auf Bucket-Ebene konfigurieren. Alle eingehenden Anfragen an den Bucket werden auf die konfigurierten IP-Bereiche und VPCs beschränkt. Mit dieser Funktion können Sie vertrauliche Daten in Cloud Storage-Buckets schützen und unbefugten Zugriff von bestimmten IP-Adressen oder VPCs verhindern.

Vorteile

Die Bucket-IP-Filterung für Cloud Storage bietet die folgenden Vorteile:

• Feingranulare Zugriffssteuerung: Beschränken Sie den Zugriff auf Ihre Cloud Storage-Buckets basierend auf der spezifischen IP-Adresse (IPv4 oder IPv6) oder Cloud de Confiance by S3NS Virtual Private Cloud des Anfragenden. Die IP-Filterung für Buckets bietet eine starke Sicherheitsebene auf Netzwerkebene, da unbefugter Zugriff aus unbekannten oder nicht vertrauenswürdigen Quellen verhindert wird.

• Erhöhte Sicherheit: Wenn Sie den Zugriff auf autorisierte IP-Adressen oder VPCs beschränken, können Sie das Risiko von unbefugtem Zugriff, Datenpannen und schädlichen Aktivitäten verringern.

• Flexible Konfiguration: Sie können Listen von IP-Bereichen auf Bucket-Ebene konfigurieren und verwalten und so die Zugriffssteuerung an Ihre spezifischen Anforderungen anpassen.

Konfigurationen der IP-Filterung

Mit der Bucket-IP-Filterung können Sie den Zugriff auf Ihre Buckets steuern, indem Sie Regeln definieren, die Anfragen von bestimmten IPv4- und IPv6-Adressen zulassen. Eingehende Anfragen werden anhand dieser Regeln ausgewertet, um die Zugriffsberechtigungen zu ermitteln.

Wenn Sie die IP-Filterung konfigurieren, definieren Sie Regeln basierend auf den folgenden Einstellungen:

• Öffentlicher Internetzugriff: Sie können Regeln definieren, um Anfragen aus dem öffentlichen Internet (außerhalb einer konfigurierten Virtual Private Cloud) zu verwalten. In diesen Regeln werden zulässige IPv4- oder IPv6-Adressen mithilfe von CIDR-Bereichen angegeben, um eingehenden Traffic von diesen Quellen zu autorisieren.

• VPC-Zugriff (Virtual Private Cloud): Für eine detaillierte Kontrolle des Zugriffs aus bestimmten VPC-Netzwerken können Sie Regeln für jedes Netzwerk definieren. Diese Regeln umfassen zulässige IP-Bereiche und ermöglichen eine präzise Verwaltung des Zugriffs über Ihre virtuelle Netzwerkinfrastruktur.

• Zugriff von Dienst-Agents: Cloud de Confiance by S3NS Dienst-Agents behalten den Zugriff auf Buckets bei, auch wenn eine aktive IP-Filterkonfiguration vorhanden ist. Sie können eine Konfiguration einrichten, die es Cloud de Confiance by S3NS -Diensten wie BigLake, Storage Insights, Vertex AI und BigQuery ermöglicht, die IP-Filtervalidierung beim Zugriff auf Ihre Buckets zu umgehen.

• Organisationsübergreifender VPC-Zugriff: Wenn Sie Daten sicher mit vertrauenswürdigen VPC-Netzwerken in verschiedenenCloud de Confiance Organisationen teilen möchten, können Sie Regeln definieren, um den Zugriff auf Ihren Bucket zu erlauben.

Beschränkungen

Für die Bucket-IP-Filterung gelten die folgenden Einschränkungen:

• Maximale Anzahl von IP-CIDR-Blöcken: Sie können in der IP-Filterregel für einen Bucket maximal 200 IP-CIDR-Blöcke für öffentliche und VPC-Netzwerke angeben.

• Maximale Anzahl von VPC-Netzwerken: Sie können in den IP-Filterregeln für einen Bucket maximal 25 VPC-Netzwerke angeben.

• Regionale Endpunkte: Regionale Endpunkte funktionieren mit IP-Filterung nur, wenn Sie Private Service Connect verwenden.

• IPv6-Unterstützung: IP-Filterung mit gRPC-Direktpfad wird auf einer IPv4-VM nicht unterstützt. Wenn Sie die IP-Filterung mit dem direkten gRPC-Pfad verwenden, müssen Sie die IPv6-Unterstützung im VPC-Netzwerk aktivieren.

• Blockierte Cloud de Confiance by S3NS Dienste: Wenn Sie die IP-Filterung für Cloud Storage-Buckets aktivieren, wird der Zugriff für einige Cloud de Confiance by S3NS Dienste eingeschränkt, unabhängig davon, ob sie einen Dienst-Agenten für die Interaktion mit Cloud Storage verwenden. Dienste wie BigQuery verwenden Cloud Storage beispielsweise zum Importieren und Exportieren von Daten. Um Dienstunterbrechungen zu vermeiden, empfehlen wir, für Cloud Storage-Buckets, auf die von den folgenden Diensten zugegriffen wird, keine IP-Filterung zu verwenden:

  • BigQuery-Interaktionen mit Cloud Storage:
    • Daten aus Cloud Storage in BigQuery laden
    • Tabellendaten aus BigQuery nach Cloud Storage exportieren.
    • Abfrageergebnisse aus BigQuery nach Cloud Storage exportieren
    • Abfragen einer externen Cloud Storage-Tabelle mit BigQuery
  • Wenn Ihre App Engine-Anwendungen auf Daten in Cloud Storage zugreifen, empfehlen wir, App Engine über eine Virtual Private Cloud zu verwenden.
  • IP-Filterung wird in Cloud Shell nicht unterstützt.

Nächste Schritte

• IP-Filterregeln für einen Bucket erstellen
• IP-Filterregeln für einen Bucket aktualisieren
• IP-Filterregeln für einen Bucket auflisten
• IP-Filterregeln für einen Bucket deaktivieren
• IP-Filterregeln für einen Bucket umgehen