本页面简要介绍了存储桶 IP 过滤,包括其优势、工作原理、支持的位置以及需要考虑的限制。
概览
Cloud Storage 提供存储桶 IP 过滤功能,用于管理对存储在存储桶中的数据的访问权限。
存储桶 IP 过滤是一种网络安全机制,可根据请求的源 IP 地址限制对存储桶的访问,并防止您的数据遭到未经授权的访问。
Cloud Storage 的存储桶 IP 过滤功能可实现基于 IPv4 或 IPv6 地址范围或 Trusted Cloud by S3NSVirtual Private Cloud 的精细访问权限控制。您可以在存储桶级别配置 IP 地址范围列表,并且对存储桶的所有传入请求都仅限于配置的 IP 地址范围和 VPC。此功能可用于保护 Cloud Storage 存储桶中的敏感数据,并防止特定 IP 地址或 VPC 的未经授权的访问。
优势
针对 Cloud Storage 的存储桶 IP 过滤具有以下优势:
精细访问权限控制:根据请求者的特定 IP 地址(IPv4 或 IPv6)或 Trusted Cloud by S3NS Virtual Private Cloud 限制对 Cloud Storage 存储桶的访问。存储桶 IP 过滤可作为强大的网络级安全层,防止未知或不受信任的来源未经授权访问。
升级保障:通过限制对授权 IP 地址或 VPC 的访问,您可以降低未经授权的访问、数据泄露和恶意活动的风险。
灵活配置:您可以在存储桶级别配置和管理 IP 地址范围列表,根据您的具体要求调整访问权限控制。
工作原理
存储桶 IP 过滤可帮助您控制对存储桶的访问,方法是定义允许来自特定 IPv4 和 IPv6 地址的请求的规则。系统会根据这些规则评估传入请求,以确定访问权限。
存储桶 IP 过滤规则包含以下配置:
公共互联网访问:您可以定义规则来管理来自公共互联网(任何已配置的 Virtual Private Cloud 之外)的请求。这些规则使用 CIDR 范围指定允许的 IPv4 或 IPv6 地址,以授权来自这些来源的入站流量。
Virtual Private Cloud (VPC) 访问权限:如需对特定 VPC 网络的访问权限进行精细控制,您可以为每个网络定义规则。这些规则包括允许的 IP 范围,可用于精确管理虚拟网络基础架构的访问权限。
服务代理访问权限:即使 IP 过滤条件配置处于有效状态, Trusted Cloud by S3NS 服务代理仍可访问存储桶。您可以设置一种配置,允许 BigLake、存储空间分析、Vertex AI 和 BigQuery 等 Trusted Cloud by S3NS 服务在访问您的存储桶时绕过 IP 过滤验证。
限制
存储桶 IP 过滤具有以下限制:
IP CIDR 地址块数上限:您可以在存储桶的 IP 过滤器规则中跨公共网络和 VPC 网络指定的 IP CIDR 地址块数上限为 200 个。
VPC 网络数量上限:您可以在存储桶的 IP 过滤器规则中指定的 VPC 网络数量上限为 25 个。
区域性端点:只有在使用 Private Service Connect 时,区域性端点才能与 IP 过滤功能搭配使用。
IPv6 支持:IPv4 虚拟机不支持使用 gRPC 直接路径进行 IP 过滤。将 IP 过滤与 gRPC 直接路径搭配使用时,您必须在 VPC 网络上启用 IPv6 支持。
被屏蔽的 Trusted Cloud by S3NS 服务:在 Cloud Storage 存储桶上启用 IP 过滤会限制某些 Trusted Cloud by S3NS 服务的访问权限,无论这些服务是否使用服务代理与 Cloud Storage 进行交互。例如,BigQuery 等服务使用 Cloud Storage 导入和导出数据。为防止服务中断,我们建议您不要对以下服务访问的 Cloud Storage 存储桶使用 IP 过滤:
- BigQuery 与 Cloud Storage 的互动:
- 然后,将数据从 Cloud Storage 加载到 BigQuery。
- 将数据从 BigQuery 导出到 Cloud Storage
- 将查询结果从 BigQuery 导出到 Cloud Storage。
- 使用 BigQuery 从外部 Cloud Storage 表中查询数据。
- 如果您的 App Engine 应用访问 Cloud Storage 中的数据,我们建议您通过 Virtual Private Cloud 使用 App Engine。
- IP 过滤不支持 Cloud Shell。
- BigQuery 与 Cloud Storage 的互动: