Auf dieser Seite wird beschrieben, wie Sie Regeln für die IP-Filterung von Bucket aktualisieren.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die Rolle „Storage-Administrator“ (roles/storage.admin) für den Bucket zuzuweisen, um die erforderlichen Berechtigungen zum Aktualisieren der IP-Filterregeln für einen Bucket zu erhalten. Diese Rolle enthält die Berechtigungen, die zum Aktualisieren von IP-Filterregeln für Buckets erforderlich sind.
Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
storage.buckets.updatestorage.buckets.setIpFilter
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen erhalten. Möglicherweise können Sie diese Berechtigungen auch mit anderen vordefinierten Rollen erhalten. Informationen dazu, welche Rollen mit welchen Berechtigungen verknüpft sind, finden Sie unter IAM-Rollen für Cloud Storage.
Eine Anleitung zum Zuweisen von Rollen für Projekte finden Sie unter Zugriff auf Projekte verwalten.
IP-Filterregeln für Bucket aktualisieren
Befehlszeile
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Erstellen Sie eine JSON-Datei, die Regeln für eingehende Anfragen definiert. Beispiele und Informationen zum Strukturieren der IP-Filterregeln für Bucket finden Sie unter Konfigurationen für die IP-Filterung von Bucket.
{ "mode": "Enabled", "publicNetworkSource": { "allowedIpCidrRanges": [RANGE_CIDR, ... ] }, "vpcNetworkSources": [ {"network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges": [RANGE_CIDR, ... ] }, ... ] }
Wobei:
modeist der Modus der IP-Filterkonfiguration. Gültige Werte sindEnabledundDisabled. Wenn dieser Wert festgelegt ist, werden IP-Filterregeln auf einen Bucket angewendet.EnabledAlle eingehenden Anfragen an den Bucket werden anhand dieser Regeln ausgewertet. WennDisabledfestgelegt ist, dürfen alle eingehenden Anfragen auf den Bucket zugreifen.RANGE_CIDRist ein IPv4- oder IPv6-Adressbereich eines öffentlichen Netzwerks, der auf den Bucket zugreifen darf. Sie können einen oder mehrere Adressbereiche als Liste eingeben.PROJECT_IDist die Projekt-ID, in der sich das VPC-Netzwerk (Virtual Private Cloud) befindet. Wenn Sie mehrere VPC-Netzwerke konfigurieren möchten, müssen Sie das Projekt angeben, in dem sich jedes Netzwerk befindet.NETWORK_NAMEist der Name des VPC-Netzwerk, das auf den Bucket zugreifen darf. Wenn Sie mehrere VPC-Netzwerke konfigurieren möchten, müssen Sie für jedes Netzwerk einen Namen angeben.
Führen Sie in Ihrer Entwicklungsumgebung den Befehl
gcloud alpha storage buckets updateaus, um die IP-Filterregeln für den Bucket zu aktualisieren:gcloud alpha storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE
Wobei:
BUCKET_NAMEist der Name des Buckets. Beispiel:my-bucket.IP_FILTER_CONFIG_FILEist die JSON-Datei, die Sie im vorherigen Schritt erstellt haben.
REST APIs
JSON API
Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header
Authorizationzu generieren.Erstellen Sie eine JSON-Datei mit den Einstellungen für den Bucket. Sie muss die Konfigurationsfelder
nameundipFilterfür den Bucket enthalten. Beispiele und Informationen zum Strukturieren der IP-Filterregeln für Bucket finden Sie unter Konfigurationen für die IP-Filterung von Bucket.{ "name": "BUCKET_NAME" "ipFilter": { "mode": "Enabled", "publicNetworkSource": { "allowedipCidrRanges": [RANGE_CIDR, ... ] }, "vpcNetworkSources": [ {"network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedipCidrRanges": [RANGE_CIDR, ... ] }, ... ] } }
Wobei:
modeist der Status der IP-Filterkonfiguration. Gültige Werte sindEnabledundDisabled. Wenn dieser Wert aufEnabledfestgelegt ist, werden IP-Filterregeln auf einen Bucket angewendet und alle eingehenden Anfragen an den Bucket werden anhand dieser Regeln ausgewertet. Wenn dieser Wert aufDisabledgesetzt ist, können alle eingehenden Anfragen ohne Prüfung auf den Bucket und seine Daten zugreifen.RANGE_CIDRist ein IPv4- oder IPv6-Adressbereich eines öffentlichen Netzwerks, der auf den Bucket zugreifen darf. Sie können einen oder mehrere Adressbereiche als Liste eingeben.PROJECT_IDist die Projekt-ID, in der sich das VPC-Netzwerk befindet. Wenn Sie mehrere VPC-Netzwerke konfigurieren möchten, müssen Sie das Projekt angeben, in dem sich jedes Netzwerk befindet.NETWORK_NAMEist der Name des VPC-Netzwerk, das auf den Bucket zugreifen darf. Wenn Sie mehrere VPC-Netzwerke konfigurieren möchten, müssen Sie für jedes Netzwerk einen Namen angeben.
Verwenden Sie
cURL, um die JSON API mit einer PATCH-Bucket-Anfrage aufzurufen:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b?project=PROJECT_IDENTIFIER&projection=full"
Wobei:
JSON_FILE_NAMEist der Name der JSON-Datei, die Sie im vorherigen Schritt erstellt haben.PROJECT_IDENTIFIERist die ID oder Nummer des Projekts, mit dem Ihr Bucket verknüpft ist. Beispiel:my-project
Nächste Schritte
Überzeugen Sie sich selbst
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit von Cloud Storage in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Cloud Storage kostenlos testen