Cette page explique comment créer ou mettre à jour les règles de filtrage des adresses IP du bucket sur un bucket existant.
Rôles requis
Pour obtenir les autorisations requises pour mettre à jour les règles de filtrage des adresses IP d'un bucket, demandez à votre administrateur de vous accorder le rôle "Administrateur de l'espace de stockage" (roles/storage.admin
) sur le bucket. Ce rôle contient les autorisations requises pour mettre à jour les règles de filtrage des adresses IP des buckets.
Pour afficher les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
storage.buckets.update
storage.buckets.setIpFilter
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés. Vous pouvez également obtenir ces autorisations avec d'autres rôles prédéfinis. Pour connaître les rôles et les autorisations associées, consultez la page Rôles IAM pour Cloud Storage.
Pour savoir comment attribuer des rôles aux projets, consultez la page Gérer l'accès aux projets.
Créer ou mettre à jour des règles de filtrage des adresses IP sur un bucket existant
Ligne de commande
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Créez un fichier JSON qui définit des règles pour les requêtes entrantes. Pour obtenir des exemples et des informations sur la structuration des règles de filtrage des adresses IP des buckets, consultez la section Configurations de filtrage des adresses IP des buckets.
{ "mode": "Enabled", "publicNetworkSource": { "allowedIpCidrRanges": [RANGE_CIDR, ... ] }, "vpcNetworkSources": [ {"network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges": [RANGE_CIDR, ... ] }, ... ] }
Où :
mode
correspond au mode de configuration du filtre IP. Les valeurs valides sontEnabled
etDisabled
. Lorsque la valeur estEnabled
, des règles de filtrage des adresses IP sont appliquées à un bucket. Toute requête entrante vers le bucket est évaluée par rapport à ces règles. Lorsque la valeur estDisabled
, toutes les requêtes entrantes sont autorisées à accéder au bucket.RANGE_CIDR
est une plage d'adresses IPv4 ou IPv6 de réseau public autorisée à accéder au bucket. Vous pouvez saisir une ou plusieurs plages d'adresses sous forme de liste.PROJECT_ID
correspond à l'ID du projet dans lequel se trouve le réseau de cloud privé virtuel (VPC). Pour configurer plusieurs réseaux VPC, vous devez spécifier le projet dans lequel se trouve chaque réseau.NETWORK_NAME
est le nom du réseau VPC autorisé à accéder au bucket. Pour configurer plusieurs réseaux VPC, vous devez spécifier un nom pour chacun d'eux.
Pour mettre à jour les règles de filtrage des adresses IP des buckets, exécutez la commande
gcloud alpha storage buckets update
dans votre environnement de développement:gcloud alpha storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE
Où :
BUCKET_NAME
est le nom du bucket. Exemple :my-bucket
IP_FILTER_CONFIG_FILE
correspond au fichier JSON créé à l'étape précédente.
API REST
API JSON
Vous devez installer et initialiser gcloud CLI, ce qui vous permet de générer un jeton d'accès pour l'en-tête
Authorization
.Créez un fichier JSON contenant les paramètres du bucket, qui doit inclure les champs de configuration
name
etipFilter
du bucket. Pour obtenir des exemples et des informations sur la structuration des règles de filtrage des adresses IP des buckets, consultez Configurations de filtrage des adresses IP des buckets.{ "ipFilter": { "mode": "Enabled", "publicNetworkSource": { "allowedipCidrRanges": [RANGE_CIDR, ... ] }, "vpcNetworkSources": [ {"network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedipCidrRanges": [RANGE_CIDR, ... ] }, ... ] } }
Où :
mode
est l'état de la configuration du filtre IP. Les valeurs valides sontEnabled
etDisabled
. Lorsque la valeur estEnabled
, des règles de filtrage des adresses IP sont appliquées à un bucket, et toutes les requêtes entrantes vers ce bucket sont évaluées par rapport à ces règles. Lorsque la valeur estDisabled
, toutes les requêtes entrantes peuvent accéder au bucket et à ses données sans aucune évaluation.RANGE_CIDR
est une plage d'adresses IPv4 ou IPv6 de réseau public autorisée à accéder au bucket. Vous pouvez saisir une ou plusieurs plages d'adresses sous forme de liste.PROJECT_ID
correspond à l'ID du projet dans lequel se trouve le réseau VPC. Pour configurer plusieurs réseaux VPC, vous devez spécifier le projet dans lequel se trouve chaque réseau.NETWORK_NAME
est le nom du réseau VPC autorisé à accéder au bucket. Pour configurer plusieurs réseaux VPC, vous devez spécifier un nom pour chacun d'eux.
Exécutez
cURL
pour appeler l'API JSON avec une requête PATCH bucket:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_IDENTIFIER&projection=full"
Où :
JSON_FILE_NAME
correspond au nom du fichier JSON que vous avez créé à l'étape précédente.BUCKET_NAME
est le nom du bucket.PROJECT_IDENTIFIER
correspond à l'ID ou au numéro du projet auquel le bucket est associé. Exemple :my-project
.
Étape suivante
- Listez les règles de filtrage des adresses IP du bucket.
- Désactivez les règles de filtrage des adresses IP des buckets.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud Storage en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Profiter d'un essai gratuit de Cloud Storage