Cette page présente le filtrage des adresses IP des buckets, y compris ses avantages, son fonctionnement, les emplacements compatibles et les limites à prendre en compte.
Présentation
Cloud Storage propose le filtrage des adresses IP des buckets pour gérer l'accès aux données stockées dans les buckets.
Le filtrage des adresses IP des buckets est un mécanisme de sécurité réseau qui limite l'accès à un bucket en fonction de l'adresse IP source de la requête et protège vos données contre tout accès non autorisé.
La fonctionnalité de filtrage des adresses IP des buckets pour Cloud Storage permet un contrôle des accès précis basé sur des plages d'adresses IPv4 ou IPv6, ou sur le Google Cloudcloud privé virtuel. Vous pouvez configurer une liste de plages d'adresses IP au niveau du bucket. Toutes les requêtes entrantes adressées au bucket sont alors limitées aux plages d'adresses IP et aux VPC configurés. Cette fonctionnalité permet de sécuriser les données sensibles dans les buckets Cloud Storage et d'empêcher tout accès non autorisé à partir d'adresses IP ou de VPC spécifiques.
Avantages
Le filtrage des adresses IP au niveau des buckets pour Cloud Storage offre les avantages suivants :
Contrôle des accès précis : limitez l'accès à vos buckets Cloud Storage en fonction de l'adresse IP spécifique (IPv4 ou IPv6) ou du cloud privé virtuel du demandeur. Google Cloud Le filtrage des adresses IP des buckets agit comme une couche de sécurité réseau robuste, empêchant l'accès non autorisé à partir de sources inconnues ou non fiables.
Sécurité renforcée : en limitant l'accès aux adresses IP ou aux VPC autorisés, vous pouvez réduire les risques d'accès non autorisé, de violation des données et d'activité malveillante.
Configuration flexible : vous pouvez configurer et gérer des listes de plages d'adresses IP au niveau du bucket, en adaptant le contrôle des accès à vos besoins spécifiques.
Fonctionnement
Le filtrage des adresses IP des buckets vous aide à contrôler l'accès à vos buckets en définissant des règles qui autorisent les requêtes provenant d'adresses IPv4 et IPv6 spécifiques. Les requêtes entrantes sont évaluées par rapport à ces règles pour déterminer les autorisations d'accès.
Une règle de filtrage des adresses IP de bucket inclut les configurations suivantes :
Accès à l'Internet public : vous pouvez définir des règles pour gérer les requêtes provenant de l'Internet public (en dehors de tout cloud privé virtuel configuré). Ces règles spécifient les adresses IPv4 ou IPv6 autorisées à l'aide de plages CIDR, ce qui autorise le trafic entrant provenant de ces sources.
Accès au cloud privé virtuel (VPC) : pour contrôler précisément l'accès depuis des réseaux VPC spécifiques, vous pouvez définir des règles pour chaque réseau. Ces règles incluent les plages d'adresses IP autorisées, ce qui permet de gérer précisément l'accès à partir de votre infrastructure de réseau virtuel.
Accès des agents de service : les agents de service Google Cloud conservent l'accès aux buckets, même avec une configuration de filtre d'adresse IP active. Vous pouvez configurer un paramètre qui permet aux services Google Cloud , tels que BigLake, Storage Insights, Vertex AI et BigQuery, de contourner la validation du filtre d'adresses IP lorsqu'ils accèdent à vos buckets.
Limites
Le filtrage des adresses IP au niveau des buckets présente les limites suivantes :
Nombre maximal de blocs CIDR d'adresses IP : vous pouvez spécifier un maximum de 200 blocs CIDR d'adresses IP sur les réseaux publics et VPC dans la règle de filtrage des adresses IP pour un bucket.
Nombre maximal de réseaux VPC : vous pouvez spécifier un maximum de 25 réseaux VPC dans les règles de filtrage des adresses IP pour un bucket.
Points de terminaison régionaux : les points de terminaison régionaux ne fonctionnent avec le filtrage des adresses IP que lorsque vous utilisez Private Service Connect.
Compatibilité avec IPv6 : le filtrage IP avec le chemin direct gRPC n'est pas compatible avec une VM IPv4. Lorsque vous utilisez le filtrage d'adresses IP avec le chemin direct gRPC, vous devez activer la compatibilité IPv6 sur le réseau VPC.
Services Google Cloud bloqués : l'activation du filtrage des adresses IP sur les buckets Cloud Storage limite l'accès à certains services Google Cloud , qu'ils utilisent ou non un agent de service pour interagir avec Cloud Storage. Par exemple, des services tels que BigQuery utilisent Cloud Storage pour importer et exporter des données. Pour éviter toute interruption de service, nous vous recommandons de ne pas utiliser le filtrage des adresses IP sur les buckets Cloud Storage auxquels accèdent les services suivants :
- Interactions BigQuery avec Cloud Storage :
- Chargez des données de Cloud Storage vers BigQuery.
- Exporter les données d'une table de BigQuery vers Cloud Storage
- Exportez les résultats de la requête de BigQuery vers Cloud Storage.
- Interrogez une table Cloud Storage externe avec BigQuery.
- Si vos applications App Engine accèdent à des données dans Cloud Storage, nous vous recommandons d'utiliser App Engine via un réseau VPC (Virtual Private Cloud).
- Le filtrage des adresses IP n'est pas compatible avec Cloud Shell.
- Interactions BigQuery avec Cloud Storage :
Étapes suivantes
- Créez des règles de filtrage d'adresses IP sur un bucket.
- Mettez à jour les règles de filtrage des adresses IP sur un bucket.
- Lister les règles de filtrage des adresses IP sur un bucket
- Désactivez les règles de filtrage des adresses IP sur un bucket.
- Contourner les règles de filtrage des adresses IP sur un bucket
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud Storage en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Profiter d'un essai gratuit de Cloud Storage