在現有值區中建立或更新 IP 篩選規則

本頁說明如何建立或更新現有 bucket 的bucket IP 篩選規則。

必要的角色

如要取得更新 bucket IP 篩選規則所需的權限,請要求管理員授予 bucket 的 Storage 管理員 (roles/storage.admin) 角色。這個角色具備更新值區 IP 篩選規則所需的權限。

如要查看確切的必要權限,請展開「Required permissions」(必要權限) 部分:

所需權限

  • storage.buckets.update
  • storage.buckets.setIpFilter

您也可以透過自訂角色取得這些權限。您或許還可透過其他預先定義的角色取得這些權限。如要查看哪些角色與哪些權限相關聯,請參閱「Cloud Storage 的 IAM 角色」。

如需授予值區角色的操作說明,請參閱「設定及管理值區的身分與存取權管理政策」。

在現有值區中建立或更新 IP 篩選規則

控制台

  1. 在 Cloud de Confiance 控制台,前往「Cloud Storage bucket」頁面。

    前往「Buckets」(值區) 頁面

  2. 在值區清單中,按一下要更新的值區名稱。

  3. 在「Bucket details」(值區詳細資料) 頁面上,按一下「Configuration」(設定) 分頁標籤。

  4. 在「權限」部分中,前往「IP 篩選」。然後按一下 「編輯 IP 過濾設定」

  5. 在「IP 過濾」頁面上,按一下「設定」圖示

  6. 在「設定 IP 過濾功能」疊加視窗中,視要指定的 IP 過濾設定而定,使用適當的導覽選單。完成每個部分的步驟後,按一下「繼續」即可前往下一個步驟。

公開 IP 位址

如要允許從公開 IP 位址存取,請按照下列步驟操作:

  1. 按一下「公用網際網路」

  2. 在隨即顯示的「Public internet」(公開網際網路) 窗格中,於「Allowed IP range(s)」(允許的 IP 範圍) 欄位中指定一或多個 IPv4 位址範圍或 IPv6 CIDR 範圍。例如 192.0.2.0/242001:db8::/32。如果指定無效項目,錯誤訊息會指出需要修正的項目。

虛擬私有雲網路

如要允許從虛擬私有雲網路存取,請按照下列步驟操作:

  1. 按一下「虛擬私有雲網路」。

  2. 在隨即顯示的「虛擬私有雲網路」窗格中,針對每個網路執行下列操作:

    1. 按一下「新增虛擬私有雲網路」
    2. 在「New VPC network」(新的虛擬私有雲網路) 區段中,指定下列資訊:
      • 在「Project ID」欄位中,輸入專案 ID。
      • 在「Network name」(網路名稱) 欄位中,輸入網路名稱。
      • 在「允許的 IP 範圍」欄位中,輸入一或多個 IPv4 或 IPv6 CIDR 範圍,例如 192.0.2.0/24、2001:db8::/32。如果指定無效項目,錯誤訊息會指出需要修正的項目。
    3. 按一下 [完成]

額外設定

如要允許其他機構的受信任 Cloud de Confiance 服務代理程式和虛擬私有雲網路略過 IP 過濾設定,請按照下列步驟操作:

  1. 按一下「其他設定」

  2. 在隨即顯示的「其他設定」窗格中,執行下列操作:

  3. 在「服務專員存取權」Cloud de Confiance 部分,選取下列其中一個單選按鈕:

    • 允許服務代理存取:啟用 Cloud de Confiance 這項設定後,BigLake、儲存空間分析、Vertex AI 和 BigQuery 等服務在存取這個 bucket 時,會省略 IP 過濾驗證程序。

    • 拒絕服務代理存取權:強制執行服務代理的 IP 過濾規則。 Cloud de Confiance

  4. 在「(Optional) Cross-organization VPC access」(選用) 跨組織虛擬私有雲存取權部分,執行下列其中一項操作:

    • 如要允許不同 Cloud de Confiance 機構中特定虛擬私有雲網路存取,請將切換鈕點選至「允許」位置。

    • 如要禁止從貴機構以外的虛擬私有雲網路存取資料,請點選切換鈕,將其設為「拒絕」 (預設狀態)。 Cloud de Confiance

查看

如要查看 IP 過濾設定,請按照下列步驟操作:

  1. 在隨即顯示的「檢閱」窗格中,按一下「公開網際網路」或「虛擬私有雲網路」旁的 展開箭頭,即可檢閱指定的 IP 範圍或虛擬私有雲,並驗證「其他設定」設定。

  2. 如要修改設定,請按一下「返回」,返回上一個設定步驟。

  3. 檢查所有設定後,按一下「啟用」即可儲存 IP 篩選設定。

gcloud

  1. 確認您已安裝 Google Cloud CLI 526.0.0 以上版本:

    gcloud version | head -n1

  2. 如果您安裝的是舊版 gcloud CLI,請更新版本:

    gcloud components update --version=526.0.0

  3. 建立 JSON 檔案,定義傳入要求的規則。如需 bucket IP 過濾規則的結構範例和相關資訊,請參閱「Bucket IP 過濾設定」。

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    其中:

    • MODE 是 bucket IP 過濾設定的模式。有效值為 EnabledDisabled。設為 Enabled 時,系統會將 IP 過濾規則套用至 bucket。系統會根據這些規則評估傳送至 bucket 的所有要求。如果設為 Disabled,所有傳入要求都能存取 bucket。

    • RANGE_CIDR 是允許存取 bucket 的公開網路 IPv4 或 IPv6 位址範圍。您可以輸入一或多個地址範圍做為清單。

    • PROJECT_ID 是虛擬私有雲 (VPC) 網路所在的專案 ID。如要設定多個虛擬私有雲網路,您需要指定每個網路所在的專案。

    • NETWORK_NAME 是允許存取值區的 VPC 網路名稱。如要設定多個虛擬私有雲網路,請為每個網路指定名稱。

    • ALLOW_CROSS_ORG_VPCS 是布林值,表示是否允許在 vpcNetworkSources 中定義的虛擬私有雲網路來自不同機構。這是選填欄位。如果設為 true,要求允許跨組織虛擬私有雲網路。如果設為 false,要求會將虛擬私有雲網路限制為與儲存空間相同的機構。如未指定,則預設值為 false。只有在 vpcNetworkSources 不為空白時,這個欄位才會生效。

    • ALLOW_ALL_SERVICE_AGENT_ACCESS 是布林值,表示是否允許服務代理程式存取 bucket,無論 IP 篩選器設定為何。如果值為 true,其他 Cloud de Confiance 服務可以使用服務代理存取 bucket,不必進行 IP 驗證。

  4. 如要更新 bucket IP 過濾規則,請在開發環境中執行 gcloud storage buckets update 指令:

    gcloud storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    其中:

    • BUCKET_NAME 是值區的名稱。例如:my-bucket
    • IP_FILTER_CONFIG_FILE 是您建立的 JSON 檔案。

JSON API

  1. 安裝並初始化 gcloud CLI,以便為 Authorization 標頭產生存取權杖。

  2. 建立包含 bucket 設定的 JSON 檔案,其中必須包含 bucket 的 nameipFilter 設定欄位。如需範例和如何建構 bucket IP 過濾規則的相關資訊,請參閱「 Bucket IP 過濾設定」。

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    其中:

    • MODE 是 IP 過濾設定的狀態。有效值為 EnabledDisabled。設為 Enabled 時,系統會將 IP 篩選規則套用至 bucket,並根據這些規則評估 bucket 的所有傳入要求。設為 Disabled 時,所有傳入的要求都能存取儲存空間及其資料,不必經過任何評估。

    • RANGE_CIDR 是允許存取 bucket 的公開網路 IPv4 或 IPv6 位址範圍。您可以輸入一或多個地址範圍做為清單。

    • PROJECT_ID 是虛擬私有雲網路所在的專案 ID。如要設定多個虛擬私有雲網路,您必須指定每個網路所在的專案。

    • NETWORK_NAME 是允許存取值區的 VPC 網路名稱。如要設定多個 VPC 網路,您必須為每個網路指定名稱。

    • ALLOW_ALL_SERVICE_AGENT_ACCESS 是布林值,表示是否允許服務代理程式存取 bucket,無論 IP 篩選器設定為何。如果值為 true,其他 Cloud de Confiance 服務可以使用服務代理存取 bucket,不必進行 IP 驗證。

    • ALLOW_CROSS_ORG_VPCS 是布林值,表示是否允許 vpcNetworkSources 清單中定義的虛擬私有雲網路來自不同機構。這是選填欄位。如果設為 true,要求會允許跨組織的虛擬私有雲網路。如果設為 false,要求會將虛擬私有雲網路限制為與該水桶相同的機構。如未指定,則預設值為 false。只有在 vpcNetworkSources 不為空白時,這個欄位才會生效。

  3. 使用 cURL 透過 PATCH bucket 要求呼叫 JSON API

    curl -X PATCH --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.s3nsapis.fr/storage/v1/b/BUCKET_NAME?project=PROJECT_ID"

    其中:

    • JSON_FILE_NAME 是您建立的 JSON 檔案名稱。
    • BUCKET_NAME 是值區名稱。
    • PROJECT_ID 是與值區建立關聯的專案 ID。例如:my-project

管理 Cloud de Confiance 服務代理存取權

在 Bucket 上設定 IP 篩選規則後,如要更新服務代理程式存取權,請完成下列步驟:

控制台

  1. 在 Cloud de Confiance 控制台,前往「Cloud Storage bucket」頁面。

    前往「Buckets」(值區) 頁面

  2. 在值區清單中,按一下要更新的值區名稱。

  3. 在「Bucket details」(值區詳細資料) 頁面上,按一下「Configuration」(設定) 分頁標籤。

  4. 在「權限」部分中,前往「IP 篩選」。然後按一下 「編輯 IP 過濾設定」

    系統隨即會顯示「IP 篩選」頁面。

  5. 在「管理服務代理人存取權」 Cloud de Confiance 部分,執行下列任一操作:

    • 如要允許服務專員存取,請完成下列步驟:

      1. 按一下「已停用」,將設定變更為「已啟用」

      2. 如要確認允許存取,請在「啟用」欄位中輸入 Enable

    • 如要拒絕服務專員存取權,請完成下列步驟:

      1. 按一下「已啟用」,將設定變更為「已停用」

      2. 如要確認拒絕存取,請在「停用」欄位中輸入 Disable

    系統會顯示通知訊息,確認變更。

gcloud

如要更新 bucket 的服務代理程式存取權,請使用 gcloud storage buckets update 指令,並將 allowAllServiceAgentAccess 欄位設為 true (允許存取) 或 false (拒絕存取)。如需詳細操作說明,請參閱「在現有 bucket 中建立或更新 IP 篩選規則」。

JSON API

如要更新服務代理程式存取權,可以使用 PATCH 要求更新 bucket 的 ipFilter 設定。將 allowAllServiceAgentAccess 欄位設為 true 即可允許存取,設為 false 則會拒絕存取。如需詳細操作說明,請參閱在現有值區中建立或更新 IP 過濾規則

管理跨組織虛擬私有雲存取權

在 bucket 上設定 IP 過濾規則後,如要更新跨組織虛擬私有雲存取權,請完成下列步驟:

控制台

  1. 在 Cloud de Confiance 控制台,前往「Cloud Storage bucket」頁面。

    前往「Buckets」(值區) 頁面

  2. 在值區清單中,按一下要更新的值區名稱。

  3. 在「Bucket details」(值區詳細資料) 頁面上,按一下「Configuration」(設定) 分頁標籤。

  4. 在「權限」部分中,前往「IP 篩選」。然後按一下 「編輯 IP 過濾設定」

    系統隨即會顯示「IP 篩選」頁面。

  5. 在「管理跨組織虛擬私有雲存取權」部分,執行下列任一操作:

    • 如要允許跨組織虛擬私有雲存取權,請完成下列步驟:

      1. 按一下「已停用」,將設定變更為「已啟用」

      2. 如要確認允許存取,請在「啟用」欄位中輸入 Enable

    • 如要拒絕跨組織虛擬私有雲存取權,請完成下列步驟:

      1. 按一下「已啟用」,將設定變更為「已停用」

      2. 如要確認拒絕存取,請在「停用」欄位中輸入 Disable

    系統會顯示通知訊息,確認變更。

gcloud

如要更新 bucket 的跨組織虛擬私有雲存取權,請使用 gcloud storage buckets update 指令,並將 allowCrossOrgVpcs 欄位設為 true (允許存取) 或 false (拒絕存取)。如需詳細操作說明,請參閱「在現有 bucket 上建立或更新 IP 過濾規則」。

JSON API

如要更新跨組織虛擬私有雲存取權,可以使用 PATCH 要求更新 bucket 的 ipFilter 設定。將 allowCrossOrgVpcs 欄位設為 true 即可允許存取,設為 false 則會拒絕存取。如需詳細操作說明,請參閱在現有值區中建立或更新 IP 篩選規則

後續步驟