Bucket-IP-Filterung

Auf dieser Seite finden Sie einen Überblick über das IP-Filtern von Buckets, einschließlich der Vorteile, der Funktionsweise, der unterstützten Standorte und der zu berücksichtigenden Einschränkungen.

Übersicht

Cloud Storage bietet IP-Filterung für Buckets, um den Zugriff auf Ihre in Buckets gespeicherten Daten zu verwalten.

Die Bucket-IP-Filterung ist ein Netzwerk-Sicherheitsmechanismus, der den Zugriff auf einen Bucket anhand der Quell-IP-Adresse der Anfrage einschränkt und Ihre Daten vor unbefugtem Zugriff schützt.

Mit der Funktion zum Filtern von Bucket-IP-Adressen für Cloud Storage lässt sich eine detaillierte Zugriffssteuerung auf der Grundlage von IPv4- oder IPv6-Adressbereichen oder der Google CloudVirtual Private Cloud ermöglichen. Sie können eine Liste von IP-Bereichen auf Bucket-Ebene konfigurieren. Alle eingehenden Anfragen an den Bucket sind auf die konfigurierten IP-Bereiche und VPCs beschränkt. Mit dieser Funktion können Sie vertrauliche Daten in Cloud Storage-Buckets schützen und unbefugten Zugriff von bestimmten IP-Adressen oder VPCs verhindern.

Vorteile

Die Bucket-IP-Filterung für Cloud Storage bietet die folgenden Vorteile:

• Feingranulare Zugriffssteuerung: Beschränken Sie den Zugriff auf Ihre Cloud Storage-Buckets basierend auf der spezifischen IP-Adresse (IPv4 oder IPv6) oder der Google Cloud Virtual Private Cloud des Anfragenden. Die Bucket-IP-Filterung dient als starke Sicherheitsstufe auf Netzwerkebene und verhindert unbefugten Zugriff aus unbekannten oder nicht vertrauenswürdigen Quellen.

• Erhöhte Sicherheit: Wenn Sie den Zugriff auf autorisierte IP-Adressen oder VPCs beschränken, können Sie das Risiko von unbefugtem Zugriff, Datenpannen und böswilligen Aktivitäten verringern.

• Flexible Konfiguration: Sie können Listen von IP-Bereichen auf Bucket-Ebene konfigurieren und verwalten und so die Zugriffssteuerung an Ihre spezifischen Anforderungen anpassen.

Funktionsweise

Mit der Bucket-IP-Filterung können Sie den Zugriff auf Ihre Buckets steuern, indem Sie Regeln definieren, die Anfragen von bestimmten IPv4- und IPv6-Adressen zulassen. Eingehende Anfragen werden anhand dieser Regeln ausgewertet, um die Zugriffsberechtigungen zu bestimmen.

Eine Bucket-IP-Filterregel umfasst die folgenden Konfigurationen:

• Öffentlicher Internetzugriff: Sie können Regeln definieren, um Anfragen aus dem öffentlichen Internet (außerhalb einer konfigurierten Virtual Private Cloud) zu verwalten. In diesen Regeln werden zulässige IPv4- oder IPv6-Adressen mithilfe von CIDR-Bereichen angegeben, wodurch eingehender Traffic von diesen Quellen autorisiert wird.

• VPC-Zugriff (Virtual Private Cloud): Wenn Sie den Zugriff aus bestimmten VPC-Netzwerken detailliert steuern möchten, können Sie Regeln für jedes Netzwerk definieren. Diese Regeln umfassen zulässige IP-Bereiche und ermöglichen eine präzise Verwaltung des Zugriffs über Ihre virtuelle Netzwerkinfrastruktur.

• Zugriff durch Dienst-Agents: Google Cloud Dienst-Agents behalten den Zugriff auf Buckets bei, auch wenn eine aktive IP-Filterkonfiguration vorhanden ist. Sie können eine Konfiguration einrichten, mit der Google Cloud -Dienste wie BigLake, Storage Insights, Vertex AI und BigQuery die IP-Filtervalidierung umgehen können, wenn sie auf Ihre Buckets zugreifen.

Beschränkungen

Für das IP-Filtern von Buckets gelten die folgenden Einschränkungen:

• Maximale Anzahl von IP-CIDR-Blöcken: Sie können in der IP-Filterregel für einen Bucket maximal 200 IP-CIDR-Blöcke für öffentliche und VPC-Netzwerke angeben.

• Maximale Anzahl von VPC-Netzwerken: Sie können in den IP-Filterregeln für einen Bucket maximal 25 VPC-Netzwerke angeben.

• Regionale Endpunkte: Regionale Endpunkte funktionieren mit IP-Filterung nur, wenn Sie Private Service Connect verwenden.

• IPv6-Unterstützung: IP-Filterung mit gRPC-Direktpfad wird auf einer IPv4-VM nicht unterstützt. Wenn Sie die IP-Filterung mit dem direkten gRPC-Pfad verwenden, müssen Sie die IPv6-Unterstützung im VPC-Netzwerk aktivieren.

• Blockierte Google Cloud Dienste: Wenn Sie die IP-Filterung für Cloud Storage-Buckets aktivieren, wird der Zugriff für einige Google Cloud Dienste eingeschränkt, unabhängig davon, ob sie einen Dienst-Agent für die Interaktion mit Cloud Storage verwenden. Dienste wie BigQuery verwenden Cloud Storage beispielsweise zum Importieren und Exportieren von Daten. Um Dienstunterbrechungen zu vermeiden, empfehlen wir, die IP-Filterung für Cloud Storage-Buckets, auf die von den folgenden Diensten zugegriffen wird, nicht zu verwenden:

  • BigQuery-Interaktionen mit Cloud Storage:
    • Daten aus Cloud Storage in BigQuery laden
    • Tabellendaten aus BigQuery nach Cloud Storage exportieren
    • Abfrageergebnisse aus BigQuery nach Cloud Storage exportieren.
    • Abfragen von einer externen Cloud Storage-Tabelle mit BigQuery
  • Wenn Ihre App Engine-Anwendungen auf Daten in Cloud Storage zugreifen, empfehlen wir, App Engine über eine Virtual Private Cloud zu verwenden.
  • IP-Filterung wird in Cloud Shell nicht unterstützt.

Nächste Schritte

• IP-Filterregeln für einen Bucket erstellen
• IP-Filterregeln für einen Bucket aktualisieren
• IP-Filterregeln für einen Bucket auflisten
• IP-Filterregeln für einen Bucket deaktivieren
• IP-Filterregeln für einen Bucket umgehen

Überzeugen Sie sich selbst

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit von Cloud Storage in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Cloud Storage kostenlos testen