Criar ou atualizar regras de filtragem de IP em um bucket

Esta página descreve como criar ou atualizar as regras de filtragem de IP de um bucket.

Funções exigidas

Para ter as permissões necessárias para atualizar as regras de filtragem de IP em um bucket, peça ao administrador para conceder a você o papel de Administrador do Storage (roles/storage.admin) no bucket. Esse papel contém as permissões necessárias para atualizar as regras de filtragem de IP do bucket.

Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

  • storage.buckets.update
  • storage.buckets.setIpFilter

Também é possível receber essas permissões com funções personalizadas. Você também pode receber essas permissões com outros papéis predefinidos. Para conferir quais papéis estão associados a quais permissões, consulte Papéis do IAM para o Cloud Storage.

Para instruções sobre como conceder papéis para buckets, consulte Definir e gerenciar políticas do IAM em buckets.

Criar ou atualizar regras de filtragem de IP em um bucket

Console

  1. No Cloud de Confiance console, acesse a página Buckets do Cloud Storage.

    Acessar buckets

  2. Na lista de buckets, clique no nome do bucket que você quer atualizar.

  3. Na página Detalhes do bucket, clique na guia Configuração.

  4. Na seção Permissões, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.

  5. Na página Filtragem de IP, clique em Configurar.

  6. Na janela de sobreposição Configurar filtragem de IP, dependendo da configuração de filtragem de IP que você quer especificar, use o menu de navegação apropriado. Depois de concluir as etapas em cada seção, clique em Continuar para passar para a próxima etapa.

Endereços IP públicos

Para permitir o acesso de endereços IP públicos, faça o seguinte:

  1. Clique em Internet pública.

  2. No painel Internet pública que aparece, especifique um ou mais intervalos de endereços IPv4 ou intervalos CIDR IPv6 no campo Intervalos de IP permitidos. Por exemplo, 192.0.2.0/24 ou 2001:db8::/32. Se você especificar entradas inválidas, uma mensagem de erro vai indicar quais entradas precisam de correção.

Redes VPC

Para permitir o acesso de redes VPC, faça o seguinte:

  1. Clique em Redes VPC.

  2. No painel Redes VPC que aparece, faça o seguinte para cada rede:

    1. Clique em Adicionar rede VPC.
    2. Na seção Nova rede VPC, especifique as seguintes informações:
      • No campo ID do projeto, insira o ID do projeto.
      • No campo Nome da rede, insira o nome da rede.
      • No campo Intervalos de IP permitidos, insira um ou mais intervalos CIDR IPv4 ou IPv6, por exemplo, 192.0.2.0/24, 2001:db8::/32`. Se você especificar entradas inválidas, uma mensagem de erro vai indicar quais entradas precisam de correção.
    3. Clique em Concluído.

Configurações avançadas

Para permitir que agentes de serviço confiáveis e redes VPC de outras organizações ignorem a configuração de filtragem de IP, faça o seguinte: Cloud de Confiance

  1. Clique em Configurações avançadas.

  2. No painel Configurações avançadas que aparece, faça o seguinte:

  3. Na seção Cloud de Confiance Acesso do agente de serviço, selecione um destes botões de opção:

    • Permitir acesso do agente de serviço: permite que Cloud de Confiance serviços como o BigLake, o Storage Insights, a Vertex AI e o BigQuery ignorem a validação de filtragem de IP quando precisarem acessar esse bucket.

    • Negar acesso do agente de serviço: aplica as regras de filtro de IP para Cloud de Confiance agentes de serviço.

  4. Na seção (Opcional) Acesso à VPC entre organizações, faça uma destas ações:

    • Para permitir o acesso de redes VPC especificadas localizadas em diferentes Cloud de Confiance organizações, clique no botão para a posição Permitir.

    • Para bloquear o acesso de redes VPC fora da sua Cloud de Confiance organização, clique no botão para a posição Negar (estado padrão).

Revisão

Para revisar a configuração de filtragem de IP, faça o seguinte:

  1. No painel Revisão que aparece, clique na seta do expansor ao lado de Internet pública ou Redes VPC para revisar os intervalos de IP ou VPC especificados e verificar a configuração de Configurações avançadas.

  2. Se você precisar modificar uma configuração, clique em Voltar para retornar às etapas de configuração anteriores.

  3. Depois de revisar todas as configurações, clique em Ativar para salvar a configuração de filtragem de IP.

gcloud

  1. Verifique se você tem a versão 526.0.0 ou mais recente da Google Cloud CLI instalada:

    gcloud version | head -n1

  2. Se você tiver uma versão anterior da CLI gcloud instalada, atualize a versão:

    gcloud components update --version=526.0.0

  3. Crie um arquivo JSON que defina regras para solicitações recebidas. Para exemplos e informações sobre como estruturar as regras de filtragem de IP do bucket, consulte Configurações de filtragem de IP do bucket.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    Em que:

    • MODE é o modo da configuração de filtragem de IP do bucket. Os valores válidos são Enabled e Disabled. Quando definido como Enabled, as regras de filtragem de IP são aplicadas a um bucket. Qualquer solicitação recebida para o bucket é avaliada em relação a essas regras. Quando definido como Disabled, todas as solicitações recebidas podem acessar o bucket.

    • RANGE_CIDR é um intervalo de endereços IPv4 ou IPv6 de rede pública que tem permissão para acessar o bucket. É possível inserir um ou vários intervalos de endereços como uma lista.

    • PROJECT_ID é o ID do projeto em que a rede da nuvem privada virtual (VPC) existe. Para configurar várias redes VPC, é necessário especificar o projeto em que cada rede está localizada.

    • NETWORK_NAME é o nome da rede VPC que tem permissão para acessar o bucket. Para configurar várias redes VPC, é necessário especificar um nome para cada rede.

    • ALLOW_CROSS_ORG_VPCS é um valor booleano que indica se as redes VPC definidas em vpcNetworkSources podem ser originadas de uma organização diferente. Este campo é opcional. Se definido como true, a solicitação permite redes VPC entre organizações. Se definido como false, a solicitação restringe as redes VPC à mesma organização do bucket. Se não for especificado, o valor padrão será false. Esse campo só será aplicado se vpcNetworkSources não estiver vazio.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS é um valor booleano que indica se os agentes de serviço podem acessar o bucket, independentemente da configuração do filtro de IP. Se o valor for true, outros Cloud de Confiance serviços poderão usar agentes de serviço para acessar o bucket sem validação baseada em IP.

  4. Para atualizar as regras de filtragem de IP do bucket, execute o gcloud storage buckets update comando no ambiente de desenvolvimento:

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    Em que:

    • BUCKET_NAME é o nome do bucket. Por exemplo, my-bucket.
    • IP_FILTER_CONFIG_FILE é o arquivo JSON que você criou.

API JSON

  1. Tenha a CLI gcloud instalada e inicializada, o que permite gerar um token de acesso para o cabeçalho Authorization.

  2. Crie um arquivo JSON com as configurações do bucket, que precisa incluir os campos de configuração name e ipFilter para o bucket. Para exemplos e informações sobre como estruturar as regras de filtragem de IP do bucket, consulte Configurações de filtragem de IP do bucket.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    Em que:

    • MODE é o estado da configuração do filtro de IP. Os valores válidos são Enabled e Disabled. Quando definido como Enabled, as regras de filtragem de IP são aplicadas a um bucket e todas as solicitações recebidas para o bucket são avaliadas em relação a essas regras. Quando definido como Disabled, todas as solicitações recebidas podem acessar o bucket e os dados dele sem nenhuma avaliação.

    • RANGE_CIDR é um intervalo de endereços IPv4 ou IPv6 de rede pública que tem permissão para acessar o bucket. É possível inserir um ou vários intervalos de endereços como uma lista.

    • PROJECT_ID é o ID do projeto em que a rede VPC existe. Para configurar várias redes VPC, é necessário especificar o projeto em que cada rede está localizada.

    • NETWORK_NAME é o nome da rede VPC que tem permissão para acessar o bucket. Para configurar várias redes VPC, é necessário especificar um nome para cada rede.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS é um valor booleano que indica se os agentes de serviço podem acessar o bucket, independentemente da configuração do filtro de IP. Se o valor for true, outros Cloud de Confiance serviços poderão usar agentes de serviço para acessar o bucket sem validação baseada em IP.

    • ALLOW_CROSS_ORG_VPCS é um valor booleano que indica se as redes VPC definidas na lista vpcNetworkSources podem ser originadas de uma organização diferente. Este campo é opcional. Se definido como true, a solicitação permite redes VPC entre organizações. Se definido como false, a solicitação restringe as redes VPC à mesma organização do bucket. Se não for especificado, o valor padrão será false. Esse campo só será aplicado se vpcNetworkSources não estiver vazio.

  3. Use cURL para chamar a API JSON com uma solicitação de bucket PATCH:

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.s3nsapis.fr/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    Em que:

    • JSON_FILE_NAME é o nome do arquivo JSON que você criou.
    • BUCKET_NAME é o nome do bucket.
    • PROJECT_ID é o ID do projeto ao qual o bucket está associado. Por exemplo, my-project.

Gerenciar o acesso do agente de serviço Cloud de Confiance

Para atualizar o acesso do agente de serviço depois de configurar as regras de filtragem de IP no bucket, siga estas etapas:

Console

  1. No Cloud de Confiance console, acesse a página Buckets do Cloud Storage.

    Acessar buckets

  2. Na lista de buckets, clique no nome do bucket que você quer atualizar.

  3. Na página Detalhes do bucket, clique na guia Configuração.

  4. Na seção Permissões, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.

    A página Filtragem de IP aparece.

  5. Na seção Gerenciar Cloud de Confiance acesso do agente de serviço, faça uma destas ações:

    • Para permitir o acesso do agente de serviço, siga estas etapas:

      1. Clique em Desativado para mudar a configuração para Ativado.

      2. Para confirmar que você quer permitir o acesso, digite Enable no campo Ativar.

    • Para negar o acesso do agente de serviço, siga estas etapas:

      1. Clique em Ativado para mudar a configuração para Desativado.

      2. Para confirmar que você quer negar o acesso, digite Disable no campo Desativar.

    Uma mensagem de notificação confirma a mudança.

gcloud

Para atualizar o acesso do agente de serviço para o bucket, use o gcloud storage buckets update comando e defina o campo allowAllServiceAgentAccess como either true para permitir o acesso ou false para negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP em um bucket.

API JSON

Para atualizar o acesso do agente de serviço, use uma solicitação PATCH para atualizar a configuração ipFilter do bucket. Defina o campo allowAllServiceAgentAccess como true para permitir o acesso ou false para negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP em um bucket existente.

Gerenciar o acesso à VPC entre organizações

Para atualizar o acesso à VPC entre organizações depois de configurar as regras de filtragem de IP no bucket, siga estas etapas:

Console

  1. No Cloud de Confiance console, acesse a página Buckets do Cloud Storage.

    Acessar buckets

  2. Na lista de buckets, clique no nome do bucket que você quer atualizar.

  3. Na página Detalhes do bucket, clique na guia Configuração.

  4. Na seção Permissões, navegue até Filtragem de IP. Em seguida, clique em Editar configuração de filtragem de IP.

    A página Filtragem de IP aparece.

  5. Na seção Gerenciar o acesso à VPC entre organizações, faça uma destas ações:

    • Para permitir o acesso à VPC entre organizações, siga estas etapas:

      1. Clique em Desativado para mudar a configuração para Ativado.

      2. Para confirmar que você quer permitir o acesso, digite Enable no campo Ativar.

    • Para negar o acesso à VPC entre organizações, siga estas etapas:

      1. Clique em Ativado para mudar a configuração para Desativado.

      2. Para confirmar que você quer negar o acesso, digite Disable no campo Desativar.

    Uma mensagem de notificação confirma a mudança.

gcloud

Para atualizar o acesso à VPC entre organizações para o bucket, use o comando gcloud storage buckets update e defina o campo allowCrossOrgVpcs como true para permitir o acesso ou false para negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP em um bucket existente.

API JSON

Para atualizar o acesso à VPC entre organizações, use uma solicitação PATCH para atualizar a configuração ipFilter do bucket. Defina o campo allowCrossOrgVpcs como true para permitir o acesso ou false para negar o acesso. Para instruções detalhadas, consulte Criar ou atualizar regras de filtragem de IP em um bucket.

A seguir