本页面简要介绍了存储桶 IP 过滤功能,包括其优势、工作原理、支持的位置以及需要注意的限制。
概览
Cloud Storage 提供存储桶 IP 过滤功能,用于管理对存储桶中数据的访问权限。
存储桶 IP 过滤是一种网络安全机制,可根据请求的来源 IP 地址限制对存储桶的访问,并保护您的数据免遭未经授权的访问。
Cloud Storage 的存储桶 IP 过滤功能支持根据 IPv4 或 IPv6 地址范围或 Google Cloud Virtual Private Cloud 实现精细的访问权限控制。您可以在存储桶一级配置 IP 地址范围列表,这样,对存储桶的所有传入请求都将限制为来自配置的 IP 地址范围和 VPC。借助此功能,您可以保护 Cloud Storage 存储分区中的敏感数据,并防止来自特定 IP 地址或 VPC 的未经授权的访问。
优势
Cloud Storage 的存储分区 IP 过滤功能具有以下优势:
精细访问权限控制:根据请求者的特定 IP 地址 (IPv4 或 IPv6) 或 Google Cloud Virtual Private Cloud 限制对 Cloud Storage 存储分区的访问权限。存储分区 IP 过滤可作为强大的网络级安全层,防止来自未知或不可信来源的未经授权的访问。
增强安全性:通过限制对已获授权 IP 地址或 VPC 的访问权限,您可以降低未经授权的访问、数据泄露和恶意活动的风险。
灵活配置:您可以在存储桶一级配置和管理 IP 地址范围列表,根据您的具体要求量身定制访问权限控制。
工作原理
存储分区 IP 过滤功能可帮助您通过定义允许来自特定 IPv4 和 IPv6 地址的请求的规则来控制对存储分区的访问。系统会根据这些规则评估传入请求,以确定访问权限。
存储桶 IP 过滤规则包含以下配置:
公共互联网访问:您可以定义规则来管理来自公共互联网(任何已配置的虚拟私有云之外)的请求。这些规则使用 CIDR 范围指定允许的 IPv4 或 IPv6 地址,授权来自这些来源的传入流量。
虚拟私有云 (VPC) 访问权限:如需对来自特定 VPC 网络的访问进行精细控制,您可以为每个网络定义规则。这些规则包含允许的 IP 地址范围,可精确管理来自虚拟网络基础架构的访问。
支持的位置
存储分区 IP 过滤功能在以下位置可用:
asia-south1asia-south2asia-southeast1asia-southeast2asia-east1asia-east2europe-west1europe-west2us-central1us-east1us-east4us-west1
限制
存储分区 IP 过滤功能存在以下限制:
公共 IP 地址数量上限:您最多可以在存储桶的 IP 过滤器规则中指定 200 个公共 IP 地址。
专用 IP 地址的数量上限:您可以在存储桶的 IP 过滤器规则中指定的专用 IP 地址(或 VPC 网络)的数量上限为 25 个。
双区域支持:双区域存储分区不支持 IP 过滤。
被屏蔽的 Google Cloud 服务:在 Cloud Storage 存储分区上启用 IP 过滤会限制某些 Google Cloud 服务的访问权限,无论这些服务是否使用服务代理与 Cloud Storage 交互。例如,BigQuery 等服务使用 Cloud Storage 来导入和导出数据。为防止服务中断,我们建议不要对以下服务访问的 Cloud Storage 存储分区使用 IP 过滤:
- BigQuery 与 Cloud Storage 的互动:
- 将数据从 Cloud Storage 加载到 BigQuery。
- 将表数据从 BigQuery 导出到 Cloud Storage。
- 将 BigQuery 中的查询结果导出到 Cloud Storage。
- 使用 BigQuery 从外部 Cloud Storage 表中查询数据。
- 从 BigLake Cloud Storage 表中查询结构化数据
- 查询 BigLake Cloud Storage 表中的非结构化数据。
- 如果您的 App Engine 应用访问 Cloud Storage 中的数据,我们建议您通过虚拟私有云使用 App Engine。
- 存储空间分析。
- 在处理 Vertex AI 模型工件时,我们建议您将 Cloud Storage 用作已装载的文件系统。
- BigQuery 与 Cloud Storage 的互动:
后续步骤
自行试用
如果您是 Google Cloud 新手,请创建一个账号来评估 Cloud Storage 在实际场景中的表现。新客户还可获享 $300 赠金,用于运行、测试和部署工作负载。
免费试用 Cloud Storage