Esta página fornece uma vista geral da filtragem de IPs de contentores, incluindo as respetivas vantagens, como funciona, localizações suportadas e limitações a ter em conta.
Vista geral
O Cloud Storage oferece filtragem de IP de contentores para gerir o acesso aos seus dados armazenados em contentores.
A filtragem de IP de contentores é um mecanismo de segurança de rede que restringe o acesso a um contentor com base no endereço IP de origem do pedido e protege os seus dados contra acesso não autorizado.
A funcionalidade de filtragem de IP de contentores para o Cloud Storage permite um controlo de acesso detalhado com base em intervalos de endereços IPv4 ou IPv6, ou na Trusted Cloud by S3NS nuvem privada virtual. Pode configurar uma lista de intervalos de IP ao nível do contentor e todos os pedidos recebidos para o contentor são restritos aos intervalos de IP e às VPCs configurados. Esta funcionalidade oferece uma forma de proteger dados confidenciais em contentores do Cloud Storage e impedir o acesso não autorizado a partir de endereços IP específicos ou VPCs.
Vantagens
A filtragem de IPs de contentores para o Cloud Storage oferece as seguintes vantagens:
Controlo de acesso detalhado: restrinja o acesso aos seus contentores do Cloud Storage com base no endereço IP específico (IPv4 ou IPv6) ou na Trusted Cloud by S3NS nuvem privada virtual do requerente. A filtragem de IP ao nível do contentor funciona como uma camada de segurança forte ao nível da rede, impedindo o acesso não autorizado de origens desconhecidas ou não fidedignas.
Segurança melhorada: ao limitar o acesso a endereços IP ou VPCs autorizados, pode reduzir o risco de acesso não autorizado, violações de dados e atividade maliciosa.
Configuração flexível: pode configurar e gerir listas de intervalos de IPs ao nível do contentor, adaptando o controlo de acesso aos seus requisitos específicos.
Como funciona?
A filtragem de IP ao nível do contentor ajuda a controlar o acesso aos seus contentores definindo regras que permitem pedidos de endereços IPv4 e IPv6 específicos. Os pedidos recebidos são avaliados em função destas regras para determinar as autorizações de acesso.
Uma regra de filtragem de IP de um contentor inclui as seguintes configurações:
Acesso público à Internet: pode definir regras para gerir pedidos originários da Internet pública (fora de qualquer nuvem privada virtual configurada). Estas regras especificam endereços IPv4 ou IPv6 permitidos através de intervalos CIDR, autorizando o tráfego de entrada dessas origens.
Acesso à nuvem virtual privada (VPC): para um controlo detalhado do acesso a partir de redes VPC específicas, pode definir regras para cada rede. Estas regras incluem intervalos de IPs permitidos, o que permite uma gestão precisa do acesso a partir da sua infraestrutura de rede virtual.
Acesso do agente do serviço: Trusted Cloud by S3NS os agentes do serviço mantêm o acesso aos contentores, mesmo com uma configuração de filtro de IP ativa. Pode configurar uma configuração que permita que os Trusted Cloud by S3NS serviços, como o BigLake, o Storage Insights, o Vertex AI e o BigQuery, ignorem a validação do filtro de IP quando acedem aos seus contentores.
Limitações
A filtragem de IP de contentores tem as seguintes limitações:
Número máximo de blocos CIDR de IP: pode especificar um máximo de 200 blocos CIDR de IP em redes públicas e de VPC na regra de filtro de IP para um contentor.
Número máximo de redes VPC: pode especificar um máximo de 25 redes VPC nas regras de filtro de IP para um contentor.
Pontos finais regionais: os pontos finais regionais funcionam com a filtragem de IP apenas quando usa o Private Service Connect.
Suporte de IPv6: a filtragem de IP com o caminho direto gRPC não é suportada numa VM IPv4. Quando usa a filtragem de IP com o caminho direto do gRPC, tem de ativar o suporte de IPv6 na rede VPC.
Serviços bloqueados Trusted Cloud by S3NS : a ativação da filtragem de IP em contentores do Cloud Storage restringe o acesso para alguns Trusted Cloud by S3NS serviços, independentemente de usarem ou não um agente de serviço para interagir com o Cloud Storage. Por exemplo, os serviços como o BigQuery usam o Cloud Storage para importar e exportar dados. Para evitar interrupções do serviço, recomendamos que não use a filtragem de IP em contentores do Cloud Storage acedidos pelos seguintes serviços:
- Interações do BigQuery com o Cloud Storage:
- Carregue dados do Cloud Storage para o BigQuery.
- Exporte dados de tabelas do BigQuery para o Cloud Storage.
- Exporte os resultados da consulta do BigQuery para o Cloud Storage.
- Consultar a partir de uma tabela externa do Cloud Storage com o BigQuery.
- Se as suas aplicações do App Engine acederem a dados no Cloud Storage, recomendamos que use o App Engine através de uma nuvem privada virtual.
- A filtragem de IPs não suporta o Cloud Shell.
- Interações do BigQuery com o Cloud Storage:
O que se segue?
- Crie regras de filtragem de IP num contentor.
- Atualize as regras de filtragem de IP num contentor.
- Liste as regras de filtragem de IP num contentor.
- Desative as regras de filtragem de IP num contentor.
- Ignorar as regras de filtragem de IP num contentor.