Crea o actualiza reglas de filtrado de IP en un bucket existente

En esta página, se describe cómo crear o actualizar las reglas de filtrado por IP del bucket en un bucket existente.

Roles obligatorios

Para obtener los permisos necesarios para actualizar las reglas de filtrado de IP en un bucket, pídele a tu administrador que te otorgue el rol de administrador de almacenamiento (roles/storage.admin) en el bucket. Este rol contiene los permisos necesarios para actualizar las reglas de filtrado por IP del bucket.

Para ver los permisos exactos que son necesarios, expande la sección Permisos necesarios:

Permisos necesarios

  • storage.buckets.update
  • storage.buckets.setIpFilter

También puedes obtener estos permisos con roles personalizados. También puedes obtener estos permisos con otros roles predefinidos. Para ver qué roles están asociados con qué permisos, consulta Roles de IAM para Cloud Storage.

Si deseas obtener instrucciones para otorgar roles a proyectos, consulta Administra el acceso a los proyectos.

Crea o actualiza reglas de filtrado de IP en un bucket existente

gcloud

  1. Verifica que tengas instalada la versión 526.0.0 o posterior de Google Cloud CLI:

    gcloud version | head -n1

  2. Si tienes instalada una versión anterior de gcloud CLI, actualízala:

    gcloud components update --version=526.0.0

  3. Crea un archivo JSON que defina reglas para las solicitudes entrantes. Para obtener ejemplos e información sobre cómo estructurar las reglas de filtrado de IP del bucket, consulta Configuraciones de filtrado de IP del bucket.

        {
      "mode":"MODE",
      "publicNetworkSource":{
          "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
          ]
      },
      "vpcNetworkSources":[
          {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
                "RANGE_CIDR",
                "..."
            ]
          },
          "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
    }

    Aquí:

    • MODE es el modo de configuración del filtrado de IP del bucket. Los valores válidos son Enabled y Disabled. Cuando se establece en Enabled, se aplican reglas de filtrado de IP a un bucket. Todas las solicitudes entrantes al bucket se evalúan en función de estas reglas. Cuando se establece en Disabled, se permite que todas las solicitudes entrantes accedan al bucket.

    • RANGE_CIDR es un rango de direcciones IPv4 o IPv6 de red pública al que se le permite acceder al bucket. Puedes ingresar uno o varios rangos de direcciones como una lista.

    • PROJECT_ID es el ID del proyecto en el que existe la red de nube privada virtual (VPC). Para configurar varias redes de VPC, debes especificar el proyecto en el que se encuentra cada red.

    • NETWORK_NAME es el nombre de la red de VPC que tiene permiso para acceder al bucket. Para configurar varias redes de VPC, debes especificar un nombre para cada red.

    • ALLOW_CROSS_ORG_VPCS es un valor booleano que indica si se deben permitir las redes de VPC definidas en vpcNetworkSources para que se originen en una organización diferente. Este campo es opcional. Si se configura como true, la solicitud permite redes de VPC entre organizaciones. Si se configura como false, la solicitud restringe las redes de VPC a la misma organización que el bucket. Si no se especifica, el valor predeterminado es false. Este campo solo se aplica si vpcNetworkSources no está vacío.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS es un valor booleano que indica si se debe permitir que los agentes de servicio accedan al bucket, independientemente de la configuración del filtro de IP. Si el valor es true, otros servicios de Google Cloud pueden usar agentes de servicio para acceder al bucket sin validación basada en IP.

  4. Para actualizar las reglas de filtrado por IP del bucket, ejecuta el comando gcloud alpha storage buckets update en tu entorno de desarrollo:

    gcloud alpha storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE

    Aquí:

    • BUCKET_NAME es el nombre de tu depósito. Por ejemplo, my-bucket
    • IP_FILTER_CONFIG_FILE es el archivo JSON que creaste en el paso anterior.

API de REST

API de JSON

  1. Tener la gcloud CLI instalada e inicializada, lo que te permite generar un token de acceso para el encabezado Authorization.

  2. Crea un archivo JSON que contenga la configuración del bucket, que debe incluir los campos de configuración name y ipFilter para el bucket. Para ver ejemplos y obtener información sobre cómo estructurar las reglas de filtrado por IP del bucket, consulta Configuraciones de filtrado por IP del bucket.

    {
  "ipFilter":{
      "mode":"MODE",
      "publicNetworkSource":{
        "allowedIpCidrRanges":[
            "RANGE_CIDR",
            "..."
        ]
      },
      "vpcNetworkSources":[
        {
            "network":"projects/PROJECT_ID/global/networks/NETWORK_NAME",
            "allowedIpCidrRanges":[
              "RANGE_CIDR",
              "..."
            ]
        },
        "..."
      ],
      "allowCrossOrgVpcs": ALLOW_CROSS_ORG_VPCS,
      "allowAllServiceAgentAccess": ALLOW_ALL_SERVICE_AGENT_ACCESS
  }
}

    Aquí:

    • MODE es el estado de la configuración del filtro de IP. Los valores válidos son Enabled y Disabled. Cuando se establece en Enabled, las reglas de filtrado de IP se aplican a un bucket y todas las solicitudes entrantes al bucket se evalúan según estas reglas. Cuando se configura como Disabled, todas las solicitudes entrantes pueden acceder al bucket y a sus datos sin ninguna evaluación.

    • RANGE_CIDR es un rango de direcciones IPv4 o IPv6 de red pública al que se le permite acceder al bucket. Puedes ingresar uno o varios rangos de direcciones como una lista.

    • PROJECT_ID es el ID del proyecto en el que existe la red de VPC. Para configurar varias redes de VPC, debes especificar el proyecto en el que se encuentra cada red.

    • NETWORK_NAME es el nombre de la red de VPC que tiene permiso para acceder al bucket. Para configurar varias redes de VPC, debes especificar un nombre para cada red.

    • ALLOW_ALL_SERVICE_AGENT_ACCESS es un valor booleano que indica si se permite que los agentes de servicio accedan al bucket, independientemente de la configuración del filtro de IP. Si el valor es true, otros servicios de Google Cloud pueden usar agentes de servicio para acceder al bucket sin validación basada en IP.

    • ALLOW_CROSS_ORG_VPCS es un valor booleano que indica si se permiten redes de VPC definidas en la lista vpcNetworkSources que provienen de una organización diferente. Este campo es opcional. Si se configura como true, la solicitud permite redes de VPC entre organizaciones. Si se configura como false, la solicitud restringe las redes de VPC a la misma organización que el bucket. Si no se especifica, el valor predeterminado es false. Este campo solo se aplica si vpcNetworkSources no está vacío.

  3. Usa cURL para llamar a la API de JSON con una solicitud de bucket de PATCH:

    curl -X PATCH --data-binary @JSON_FILE_NAME \
 -H "Authorization: Bearer $(gcloud auth print-access-token)" \
 -H "Content-Type: application/json" \
 "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?project=PROJECT_IDENTIFIER"

    Aquí:

    • JSON_FILE_NAME es el nombre del archivo JSON que creaste en el paso anterior.
    • BUCKET_NAME es el nombre de tu depósito.
    • PROJECT_IDENTIFIER es el ID o el número del proyecto con el que se asocia tu bucket. Por ejemplo, my-project.

¿Qué sigue?

Pruébalo tú mismo

Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud Storage en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Probar Cloud Storage gratis