Filtragem de IP do bucket

Esta página oferece uma visão geral da filtragem de IP de buckets, incluindo os benefícios, o funcionamento, os locais com suporte e as limitações a serem consideradas.

Visão geral

O Cloud Storage oferece filtragem de IP de buckets para gerenciar o acesso aos dados armazenados em buckets.

A filtragem de IP de buckets é um mecanismo de segurança de rede que restringe o acesso a um bucket com base no endereço IP de origem da solicitação e protege os dados contra acesso não autorizado.

O recurso de filtragem de IP de buckets do Cloud Storage permite o controle de acesso refinado com base em intervalos de endereços IPv4 ou IPv6 ou na Cloud de Confiance by S3NS nuvem privada virtual. É possível configurar uma lista de intervalos de IP no nível do bucket, e todas as solicitações recebidas para o bucket são restritas aos intervalos de IP e VPCs configurados. Esse recurso oferece uma maneira de proteger dados sensíveis em buckets do Cloud Storage e evitar o acesso não autorizado de endereços IP ou VPCs específicos.

Benefícios

A filtragem de IP de buckets do Cloud Storage oferece os seguintes benefícios:

• Controle de acesso refinado: restrinja o acesso aos buckets do Cloud Storage com base no endereço IP específico (IPv4 ou IPv6) ou na Cloud de Confiance by S3NS nuvem privada virtual do solicitante. A filtragem de IP de buckets atua como uma camada de segurança de rede forte, impedindo o acesso não autorizado de fontes desconhecidas ou não confiáveis.

• Segurança aprimorada: ao limitar o acesso a endereços IP ou VPCs autorizados, é possível reduzir o risco de acesso não autorizado, violações de dados e atividades maliciosas.

• Configuração flexível: é possível configurar e gerenciar listas de intervalos de IP no nível do bucket, adaptando o controle de acesso aos seus requisitos específicos.

Configurações de filtragem de IP

A filtragem de IP de buckets ajuda a controlar o acesso aos buckets definindo regras que permitem solicitações de endereços IPv4 e IPv6 específicos. As solicitações recebidas são avaliadas com base nessas regras para determinar as permissões de acesso.

Ao configurar a filtragem de IP, você define regras com base nas seguintes configurações:

• Acesso público à Internet: é possível definir regras para gerenciar solicitações originadas da Internet pública (fora de qualquer nuvem privada virtual configurada). Essas regras especificam endereços IPv4 ou IPv6 permitidos usando intervalos CIDR, autorizando o tráfego de entrada dessas fontes.

• Acesso à nuvem privada virtual (VPC): para ter controle granular sobre o acesso de redes VPC específicas, é possível definir regras para cada rede. Essas regras incluem intervalos de IP permitidos, permitindo o gerenciamento preciso do acesso da infraestrutura de rede virtual.

• Acesso do agente de serviço: Cloud de Confiance by S3NS os agentes de serviço mantêm o acesso aos buckets, mesmo com uma configuração de filtragem de IP ativa. É possível configurar um sistema que permita que serviços como o Google Cloud Lakehouse, o Storage Insights, a Agent Platform e o BigQuery ignorem a validação do filtro de IP ao acessar seus buckets. Cloud de Confiance by S3NS

• Acesso à VPC entre organizações: para compartilhar dados com segurança com redes VPC confiáveis localizadas em diferentes Cloud de Confiance organizações, é possível definir regras para permitir o acesso delas ao seu bucket.

Limitações

A filtragem de IP de buckets tem as seguintes limitações:

• Número máximo de blocos CIDR de IP: é possível especificar um máximo de 200 blocos CIDR de IP em redes públicas e VPC na regra de filtro de IP para um bucket.

• Número máximo de redes VPC: é possível especificar um máximo de 25 redes VPC nas regras de filtro de IP para um bucket.

• Endpoints regionais: os endpoints regionais funcionam com a filtragem de IP somente quando você usa o Private Service Connect.

• Suporte a IPv6: a filtragem de IP com caminho direto gRPC não é indisponível com uma VM IPv4. Ao usar a filtragem de IP com caminho direto gRPC, é necessário ativar o suporte a IPv6 em a rede VPC.

• Serviços Cloud de Confiance by S3NS bloqueados: a ativação da filtragem de IP em buckets do Cloud Storage restringe o acesso a alguns Cloud de Confiance by S3NS serviços, independentemente de eles usarem um agente de serviço para interagir com o Cloud Storage. Por exemplo, serviços como o BigQuery usam o Cloud Storage para importar e exportar dados. Para evitar interrupções de serviço, recomendamos não usar a filtragem de IP em buckets do Cloud Storage acessados pelos seguintes serviços:

  • Interações do BigQuery com o Cloud Storage:
    • Carregar dados do Cloud Storage para o BigQuery.
    • Exportar dados de tabelas do BigQuery para o Cloud Storage.
    • Exportar resultados de consultas do BigQuery para o Cloud Storage.
    • Consultar uma tabela externa do Cloud Storage com o BigQuery.
  • Se os aplicativos do App Engine acessarem dados no Cloud Storage, recomendamos usar o App Engine por meio de uma nuvem privada virtual.
  • A filtragem de IP não oferece suporte ao Cloud Shell.

A seguir

• Criar regras de filtragem de IP em um bucket.
• Atualizar as regras de filtragem de IP em um bucket.
• Listar as regras de filtragem de IP em um bucket.
• Desativar as regras de filtragem de IP em um bucket.
• Ignorar as regras de filtragem de IP em um bucket.