Nesta página, você encontra uma visão geral da filtragem de IP do bucket, incluindo os benefícios, o funcionamento, os locais compatíveis e as limitações a serem consideradas.
Visão geral
O Cloud Storage oferece filtragem de IP de bucket para gerenciar o acesso aos dados armazenados em buckets.
A filtragem de IP do bucket é um mecanismo de segurança de rede que restringe o acesso a um bucket com base no endereço IP de origem da solicitação e protege seus dados contra acesso não autorizado.
O recurso de filtragem de IP do bucket para o Cloud Storage permite um controle de acesso refinado com base em intervalos de endereços IPv4 ou IPv6 ou na nuvem privada virtual Google Cloud. É possível configurar uma lista de intervalos de IP no nível do bucket. Todas as solicitações recebidas para o bucket são restritas aos intervalos de IP e às VPCs configuradas. Esse recurso oferece uma maneira de proteger dados sensíveis em buckets do Cloud Storage e impedir o acesso não autorizado de endereços IP ou VPCs específicos.
Vantagens
A filtragem de IP do bucket para o Cloud Storage oferece os seguintes benefícios:
Controle de acesso refinado: restrinja o acesso aos seus buckets do Cloud Storage com base no endereço IP específico (IPv4 ou IPv6) ou na Google Cloud nuvem privada virtual do solicitante. A filtragem de IP do bucket atua como uma camada de segurança forte no nível da rede, impedindo o acesso não autorizado de fontes desconhecidas ou não confiáveis.
Segurança aprimorada: ao limitar o acesso a endereços IP ou VPCs autorizados, você reduz o risco de acesso não autorizado, violações de dados e atividades maliciosas.
Configuração flexível: é possível configurar e gerenciar listas de intervalos de IP no nível do bucket, adaptando o controle de acesso aos seus requisitos específicos.
Como funciona?
A filtragem de IP do bucket ajuda a controlar o acesso aos seus buckets definindo regras que permitem solicitações de endereços IPv4 e IPv6 específicos. As solicitações recebidas são avaliadas em relação a essas regras para determinar as permissões de acesso.
Uma regra de filtragem de IP do bucket inclui as seguintes configurações:
Acesso à Internet pública: é possível definir regras para gerenciar solicitações originadas da Internet pública (fora de qualquer nuvem privada virtual configurada). Essas regras especificam endereços IPv4 ou IPv6 permitidos usando intervalos CIDR, autorizando o tráfego de entrada dessas origens.
Acesso à nuvem privada virtual (VPC): para ter controle granular sobre o acesso de redes VPC específicas, defina regras para cada rede. Essas regras incluem intervalos de IP permitidos, permitindo o gerenciamento preciso do acesso da sua infraestrutura de rede virtual.
Acesso do agente de serviço:os agentes de serviço do Google Cloud mantêm o acesso aos buckets, mesmo com uma configuração de filtro de IP ativa. É possível configurar uma configuração que permita que serviços do Google Cloud , como BigLake, Storage Insights, Vertex AI e BigQuery, ignorem a validação do filtro de IP ao acessar seus buckets.
Limitações
A filtragem de IP do bucket tem as seguintes limitações:
Número máximo de blocos CIDR de IP: é possível especificar um máximo de 200 blocos CIDR de IP em redes públicas e de VPC na regra de filtro de IP de um bucket.
Número máximo de redes VPC: é possível especificar um máximo de 25 redes VPC nas regras de filtro de IP de um bucket.
Endpoints regionais: os endpoints regionais funcionam com filtragem de IP somente quando você usa o Private Service Connect.
Suporte a IPv6: a filtragem de IP com caminho direto do gRPC não é compatível com uma VM IPv4. Ao usar a filtragem de IP com o caminho direto do gRPC, é necessário ativar o suporte a IPv6 na rede VPC.
Serviços Google Cloud bloqueados: ao ativar a filtragem de IP em buckets do Cloud Storage, o acesso a alguns serviços Google Cloud é restrito, independentemente de usarem um agente de serviço para interagir com o Cloud Storage. Por exemplo, serviços como o BigQuery usam o Cloud Storage para importar e exportar dados. Para evitar interrupções no serviço, recomendamos não usar a filtragem de IP em buckets do Cloud Storage acessados pelos seguintes serviços:
- Interações do BigQuery com o Cloud Storage:
- Carregue dados do Cloud Storage para o BigQuery.
- Exporte dados de tabela do BigQuery para o Cloud Storage.
- Exporte os resultados da consulta do BigQuery para o Cloud Storage.
- Consulte uma tabela externa do Cloud Storage com o BigQuery.
- Se os aplicativos do App Engine acessarem dados no Cloud Storage, recomendamos usar o App Engine em uma nuvem privada virtual.
- A filtragem de IP não é compatível com o Cloud Shell.
- Interações do BigQuery com o Cloud Storage:
A seguir
- Criar regras de filtragem de IP em um bucket.
- Atualize as regras de filtragem de IP em um bucket.
- Liste as regras de filtragem de IP em um bucket.
- Desative as regras de filtragem de IP em um bucket.
- Ignorar as regras de filtragem de IP em um bucket.
Faça um teste
Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho do Cloud Storage em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.
Faça uma avaliação gratuita do Cloud Storage