En esta página, se proporciona una descripción general del filtrado de IP de bucket, incluidos sus beneficios, cómo funciona, las ubicaciones admitidas y las limitaciones que se deben tener en cuenta.
Descripción general
Cloud Storage ofrece filtrado de IP de bucket para administrar el acceso a los datos almacenados en buckets.
El filtrado de IP del bucket es un mecanismo de seguridad de red que restringe el acceso a un bucket según la dirección IP de origen de la solicitud y protege tus datos del acceso no autorizado.
La función de filtrado de IP de bucket para Cloud Storage permite un control de acceso detallado basado en rangos de direcciones IPv4 o IPv6, o en la Google Cloudnube privada virtual. Puedes configurar una lista de rangos de IP a nivel del bucket, y todas las solicitudes entrantes al bucket se restringirán a los rangos de IP y las VPC configurados. Esta función proporciona una forma de proteger los datos sensibles en los buckets de Cloud Storage y evitar el acceso no autorizado desde direcciones IP o VPC específicas.
Beneficios
El filtrado de IP de buckets para Cloud Storage ofrece los siguientes beneficios:
Control de acceso detallado: Restringe el acceso a tus buckets de Cloud Storage según la dirección IP específica (IPv4 o IPv6) o la Google Cloud nube privada virtual del solicitante. El filtrado de IP del bucket actúa como una sólida capa de seguridad a nivel de la red, ya que impide el acceso no autorizado desde fuentes desconocidas o que no son de confianza.
Seguridad mejorada: Si limitas el acceso a las direcciones IP o las VPC autorizadas, puedes reducir el riesgo de acceso no autorizado, violaciones de la seguridad de los datos y actividades maliciosas.
Configuración flexible: Puedes configurar y administrar listas de rangos de IP a nivel del bucket, lo que te permite adaptar el control de acceso a tus requisitos específicos.
¿Cómo funciona?
El filtrado de IP del bucket te ayuda a controlar el acceso a tus buckets definiendo reglas que permiten solicitudes de direcciones IPv4 e IPv6 específicas. Las solicitudes entrantes se evalúan en función de estas reglas para determinar los permisos de acceso.
Una regla de filtrado por IP del bucket incluye las siguientes configuraciones:
Acceso a Internet público: Puedes definir reglas para administrar las solicitudes que se originan en Internet público (fuera de cualquier nube privada virtual configurada). Estas reglas especifican las direcciones IPv4 o IPv6 permitidas con rangos de CIDR, lo que autoriza el tráfico entrante desde esas fuentes.
Acceso a la nube privada virtual (VPC): Para tener un control detallado sobre el acceso desde redes de VPC específicas, puedes definir reglas para cada red. Estas reglas incluyen rangos de IP permitidos, lo que permite una administración precisa del acceso desde tu infraestructura de red virtual.
Acceso de agentes de servicio:Los agentes de servicio de Google Cloud conservan el acceso a los buckets, incluso con una configuración de filtro de IP activa. Puedes configurar una configuración que permita que los servicios de Google Cloud , como BigLake, Storage Insights, Vertex AI y BigQuery, omitan la validación del filtro de IP cuando accedan a tus buckets.
Limitaciones
El filtrado de IP de buckets tiene las siguientes limitaciones:
Cantidad máxima de bloques CIDR de IP: Puedes especificar un máximo de 200 bloques CIDR de IP en las redes públicas y de VPC en la regla de filtro de IP para un bucket.
Cantidad máxima de redes de VPC: Puedes especificar un máximo de 25 redes de VPC en las reglas de filtro de IP para un bucket.
Extremos regionales: Los extremos regionales solo funcionan con el filtrado de IP cuando usas Private Service Connect.
Compatibilidad con IPv6: El filtrado de IP con la ruta directa de gRPC no se admite en una VM IPv4. Cuando usas el filtrado de IP con la ruta directa de gRPC, debes habilitar la compatibilidad con IPv6 en la red de VPC.
Servicios Google Cloud bloqueados: Habilitar el filtrado de IP en los buckets de Cloud Storage restringe el acceso a algunos servicios Google Cloud , independientemente de si usan un agente de servicio para interactuar con Cloud Storage. Por ejemplo, servicios como BigQuery usan Cloud Storage para importar y exportar datos. Para evitar interrupciones en el servicio, te recomendamos que no uses el filtrado de IP en los buckets de Cloud Storage a los que acceden los siguientes servicios:
- Interacciones de BigQuery con Cloud Storage:
- Carga datos de Cloud Storage en BigQuery.
- Exporta datos de tablas de BigQuery a Cloud Storage.
- Exporta los resultados de la consulta de BigQuery a Cloud Storage.
- Realiza consultas desde una tabla externa de Cloud Storage con BigQuery.
- Si tus aplicaciones de App Engine acceden a datos en Cloud Storage, te recomendamos que uses App Engine a través de una nube privada virtual.
- El filtrado de IP no es compatible con Cloud Shell.
- Interacciones de BigQuery con Cloud Storage:
¿Qué sigue?
- Crea reglas de filtrado de IP en un bucket.
- Actualiza las reglas de filtrado de IP en un bucket.
- Enumera las reglas de filtrado de IP en un bucket.
- Inhabilita las reglas de filtrado de IP en un bucket.
- Eludir las reglas de filtrado de IP en un bucket
Pruébalo tú mismo
Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud Storage en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.
Probar Cloud Storage gratis