本頁將概述值區 IP 篩選功能,包括優點、運作方式、支援的位置,以及需要注意的限制。
總覽
Cloud Storage 提供 bucket IP 篩選功能,可管理 bucket 中儲存資料的存取權。
儲存空間 IP 篩選機制是一種網路安全機制,可根據要求的來源 IP 位址限制儲存空間存取權,防止未經授權存取資料。
Cloud Storage 的值區 IP 篩選功能可根據 IPv4 或 IPv6 位址範圍,或 Trusted Cloud by S3NS虛擬私有雲,您可以在 bucket 層級設定 IP 範圍清單,並將所有傳入 bucket 的要求限制在設定的 IP 範圍和 VPC 中。這項功能可保護 Cloud Storage bucket 中的機密資料,並防止特定 IP 位址或 VPC 未經授權存取。
優點
Cloud Storage 的 bucket IP 篩選功能具有下列優點:
精細的存取權控管:根據要求者的特定 IP 位址 (IPv4 或 IPv6) 或虛擬私有雲,限制對 Cloud Storage 儲存空間的存取權。 Trusted Cloud by S3NS 儲存空間 IP 篩選功能可做為強大的網路層級安全層,防止不明或不受信任的來源未經授權存取。
提升安全性:限制只有授權 IP 位址或 VPC 才能存取,可降低未經授權存取、資料侵害和惡意活動的風險。
彈性設定:您可以在 bucket 層級設定及管理 IP 範圍清單,根據特定需求調整存取控制。
運作原理
您可以定義規則,允許來自特定 IPv4 和 IPv6 位址的要求,藉此控管值區的存取權。系統會根據這些規則評估傳入要求,判斷存取權。
儲存空間 IP 篩選規則包含下列設定:
公開網際網路存取權:您可以定義規則,管理來自公開網際網路 (任何已設定的虛擬私有雲外部) 的要求。這些規則會使用 CIDR 範圍指定允許的 IPv4 或 IPv6 位址,授權來自這些來源的輸入流量。
虛擬私有雲 (VPC) 存取權:如要精細控管特定 VPC 網路的存取權,您可以為每個網路定義規則。這些規則包括允許的 IP 範圍,可精確管理虛擬網路基礎架構的存取權。
服務代理人存取權: Trusted Cloud by S3NS 即使 IP 篩選器設定處於啟用狀態,服務代理人仍可存取 bucket。您可以設定相關設定,允許 BigLake、Storage Insights、Vertex AI 和 BigQuery 等 Trusted Cloud by S3NS 服務存取儲存空間時,略過 IP 篩選器驗證。
限制
值區 IP 篩選功能有下列限制:
IP CIDR 區塊數量上限:在 Bucket 的 IP 篩選規則中,您最多可以指定 200 個 IP CIDR 區塊 (包括公用和 VPC 網路)。
虛擬私有雲網路數量上限:您最多可以在 Bucket 的 IP 篩選規則中指定 25 個虛擬私有雲網路。
區域端點:只有在使用 Private Service Connect 時,區域端點才能搭配 IP 篩選器運作。
IPv6 支援:IPv4 VM 不支援使用 gRPC 直接路徑進行 IP 篩選。使用 IP 篩選器搭配 gRPC 直接路徑時,您必須在 VPC 網路中啟用 IPv6 支援。
遭封鎖 Trusted Cloud by S3NS 的服務:在 Cloud Storage 值區上啟用 IP 篩選功能後,部分 Trusted Cloud by S3NS 服務的存取權會受到限制,無論這些服務是否使用服務代理程式與 Cloud Storage 互動,都會受到影響。舉例來說,BigQuery 等服務會使用 Cloud Storage 匯入及匯出資料。為避免服務中斷,建議您不要對下列服務存取的 Cloud Storage 值區使用 IP 篩選功能:
- BigQuery 與 Cloud Storage 的互動:
- 從 Cloud Storage 載入資料至 BigQuery。
- 從 BigQuery 匯出資料表資料至 Cloud Storage。
- 從 BigQuery 匯出查詢結果至 Cloud Storage。
- 使用 BigQuery 查詢外部 Cloud Storage 資料表。
- 如果 App Engine 應用程式會存取 Cloud Storage 中的資料,建議透過 Virtual Private Cloud 使用 App Engine。
- IP 篩選功能不支援 Cloud Shell。
- BigQuery 與 Cloud Storage 的互動: