Bucket-IP-Filterung

Auf dieser Seite finden Sie einen Überblick über das IP-Filtern von Buckets, einschließlich der Vorteile, der Funktionsweise, der unterstützten Standorte und der zu berücksichtigenden Einschränkungen.

Übersicht

Cloud Storage bietet IP-Filterung für Buckets, um den Zugriff auf Ihre in Buckets gespeicherten Daten zu verwalten.

Die Bucket-IP-Filterung ist ein Netzwerk-Sicherheitsmechanismus, der den Zugriff auf einen Bucket anhand der Quell-IP-Adresse der Anfrage einschränkt und Ihre Daten vor unbefugtem Zugriff schützt.

Mit der Funktion zum Filtern von Bucket-IP-Adressen für Cloud Storage lässt sich eine detaillierte Zugriffssteuerung auf der Grundlage von IPv4- oder IPv6-Adressbereichen oder der Trusted Cloud by S3NSVirtual Private Cloud ermöglichen. Sie können eine Liste von IP-Bereichen auf Bucket-Ebene konfigurieren. Alle eingehenden Anfragen an den Bucket sind auf die konfigurierten IP-Bereiche und VPCs beschränkt. Mit dieser Funktion können Sie vertrauliche Daten in Cloud Storage-Buckets schützen und unbefugten Zugriff von bestimmten IP-Adressen oder VPCs verhindern.

Vorteile

Die Bucket-IP-Filterung für Cloud Storage bietet die folgenden Vorteile:

• Feingranulare Zugriffssteuerung: Beschränken Sie den Zugriff auf Ihre Cloud Storage-Buckets basierend auf der spezifischen IP-Adresse (IPv4 oder IPv6) oder der Trusted Cloud by S3NS Virtual Private Cloud des Anfragenden. Die Bucket-IP-Filterung dient als starke Sicherheitsstufe auf Netzwerkebene und verhindert unbefugten Zugriff aus unbekannten oder nicht vertrauenswürdigen Quellen.

• Erhöhte Sicherheit: Wenn Sie den Zugriff auf autorisierte IP-Adressen oder VPCs beschränken, können Sie das Risiko von unbefugtem Zugriff, Datenpannen und böswilligen Aktivitäten verringern.

• Flexible Konfiguration: Sie können Listen von IP-Bereichen auf Bucket-Ebene konfigurieren und verwalten und so die Zugriffssteuerung an Ihre spezifischen Anforderungen anpassen.

Funktionsweise

Mit der Bucket-IP-Filterung können Sie den Zugriff auf Ihre Buckets steuern, indem Sie Regeln definieren, die Anfragen von bestimmten IPv4- und IPv6-Adressen zulassen. Eingehende Anfragen werden anhand dieser Regeln ausgewertet, um die Zugriffsberechtigungen zu bestimmen.

Eine Bucket-IP-Filterregel umfasst die folgenden Konfigurationen:

• Öffentlicher Internetzugriff: Sie können Regeln definieren, um Anfragen aus dem öffentlichen Internet (außerhalb einer konfigurierten Virtual Private Cloud) zu verwalten. In diesen Regeln werden zulässige IPv4- oder IPv6-Adressen mithilfe von CIDR-Bereichen angegeben, wodurch eingehender Traffic von diesen Quellen autorisiert wird.

• VPC-Zugriff (Virtual Private Cloud): Wenn Sie den Zugriff aus bestimmten VPC-Netzwerken detailliert steuern möchten, können Sie Regeln für jedes Netzwerk definieren. Diese Regeln umfassen zulässige IP-Bereiche und ermöglichen eine präzise Verwaltung des Zugriffs über Ihre virtuelle Netzwerkinfrastruktur.

• Zugriff durch Dienst-Agents: Trusted Cloud by S3NS Dienst-Agents behalten den Zugriff auf Buckets bei, auch wenn eine aktive IP-Filterkonfiguration vorhanden ist. Sie können eine Konfiguration einrichten, mit der Trusted Cloud by S3NS -Dienste wie BigLake, Storage Insights, Vertex AI und BigQuery die IP-Filtervalidierung umgehen können, wenn sie auf Ihre Buckets zugreifen.

Beschränkungen

Für das IP-Filtern von Buckets gelten die folgenden Einschränkungen:

• Maximale Anzahl von IP-CIDR-Blöcken: Sie können in der IP-Filterregel für einen Bucket maximal 200 IP-CIDR-Blöcke für öffentliche und VPC-Netzwerke angeben.

• Maximale Anzahl von VPC-Netzwerken: Sie können in den IP-Filterregeln für einen Bucket maximal 25 VPC-Netzwerke angeben.

• Regionale Endpunkte: Regionale Endpunkte funktionieren mit IP-Filterung nur, wenn Sie Private Service Connect verwenden.

• IPv6-Unterstützung: IP-Filterung mit gRPC-Direktpfad wird auf einer IPv4-VM nicht unterstützt. Wenn Sie die IP-Filterung mit dem direkten gRPC-Pfad verwenden, müssen Sie die IPv6-Unterstützung im VPC-Netzwerk aktivieren.

• Blockierte Trusted Cloud by S3NS Dienste: Wenn Sie die IP-Filterung für Cloud Storage-Buckets aktivieren, wird der Zugriff für einige Trusted Cloud by S3NS Dienste eingeschränkt, unabhängig davon, ob sie einen Dienst-Agent für die Interaktion mit Cloud Storage verwenden. Dienste wie BigQuery verwenden Cloud Storage beispielsweise zum Importieren und Exportieren von Daten. Um Dienstunterbrechungen zu vermeiden, empfehlen wir, die IP-Filterung für Cloud Storage-Buckets, auf die von den folgenden Diensten zugegriffen wird, nicht zu verwenden:

  • BigQuery-Interaktionen mit Cloud Storage:
    • Daten aus Cloud Storage in BigQuery laden
    • Tabellendaten aus BigQuery nach Cloud Storage exportieren
    • Abfrageergebnisse aus BigQuery nach Cloud Storage exportieren.
    • Abfragen von einer externen Cloud Storage-Tabelle mit BigQuery
  • Wenn Ihre App Engine-Anwendungen auf Daten in Cloud Storage zugreifen, empfehlen wir, App Engine über eine Virtual Private Cloud zu verwenden.
  • IP-Filterung wird in Cloud Shell nicht unterstützt.

Nächste Schritte

• IP-Filterregeln für einen Bucket erstellen
• IP-Filterregeln für einen Bucket aktualisieren
• IP-Filterregeln für einen Bucket auflisten
• IP-Filterregeln für einen Bucket deaktivieren
• IP-Filterregeln für einen Bucket umgehen