Cette page explique comment mettre à jour les règles de filtrage des adresses IP des buckets.
Rôles requis
Pour obtenir les autorisations requises pour mettre à jour les règles de filtrage des adresses IP d'un bucket, demandez à votre administrateur de vous accorder le rôle "Administrateur de l'espace de stockage" (roles/storage.admin) sur le bucket. Ce rôle contient les autorisations requises pour mettre à jour les règles de filtrage des adresses IP des buckets.
Pour afficher les autorisations exactes requises, développez la section Autorisations requises :
Autorisations requises
storage.buckets.updatestorage.buckets.setIpFilter
Vous pouvez également obtenir ces autorisations avec des rôles personnalisés. Vous pouvez également obtenir ces autorisations avec d'autres rôles prédéfinis. Pour connaître les rôles et les autorisations associées, consultez la page Rôles IAM pour Cloud Storage.
Pour savoir comment attribuer des rôles aux projets, consultez la page Gérer l'accès aux projets.
Mettre à jour les règles de filtrage des adresses IP des buckets
Ligne de commande
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Créez un fichier JSON qui définit des règles pour les requêtes entrantes. Pour obtenir des exemples et des informations sur la structuration des règles de filtrage des adresses IP des buckets, consultez Configurations de filtrage des adresses IP des buckets.
{ "mode": "Enabled", "publicNetworkSource": { "allowedIpCidrRanges": [RANGE_CIDR, ... ] }, "vpcNetworkSources": [ {"network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedIpCidrRanges": [RANGE_CIDR, ... ] }, ... ] }
Où :
modecorrespond au mode de configuration du filtre IP. Les valeurs valides sontEnabledetDisabled. Lorsque la valeur estEnabled, des règles de filtrage des adresses IP sont appliquées à un bucket. Toute requête entrante vers le bucket est évaluée par rapport à ces règles. Lorsque ce paramètre est défini surDisabled, toutes les requêtes entrantes sont autorisées à accéder au bucket.RANGE_CIDRest une plage d'adresses IPv4 ou IPv6 de réseau public autorisée à accéder au bucket. Vous pouvez saisir une ou plusieurs plages d'adresses sous forme de liste.PROJECT_IDcorrespond à l'ID du projet dans lequel se trouve le réseau cloud privé virtuel (VPC). Pour configurer plusieurs réseaux VPC, vous devez spécifier le projet dans lequel se trouve chaque réseau.NETWORK_NAMEcorrespond au nom du réseau VPC autorisé à accéder au bucket. Pour configurer plusieurs réseaux VPC, vous devez spécifier un nom pour chacun d'eux.
Pour mettre à jour les règles de filtrage des adresses IP du bucket, exécutez la commande
gcloud alpha storage buckets updatedans votre environnement de développement:gcloud alpha storage buckets update gs://BUCKET_NAME --ip-filter-file=IP_FILTER_CONFIG_FILE
Où :
BUCKET_NAMEest le nom du bucket. Exemple :my-bucketIP_FILTER_CONFIG_FILEcorrespond au fichier JSON créé à l'étape précédente.
API REST
API JSON
Vous devez installer et initialiser gcloud CLI, ce qui vous permet de générer un jeton d'accès pour l'en-tête
Authorization.Créez un fichier JSON contenant les paramètres du bucket, qui doit inclure les champs de configuration
nameetipFilterdu bucket. Pour obtenir des exemples et des informations sur la structuration des règles de filtrage des adresses IP des buckets, consultez Configurations de filtrage des adresses IP des buckets.{ "name": "BUCKET_NAME" "ipFilter": { "mode": "Enabled", "publicNetworkSource": { "allowedipCidrRanges": [RANGE_CIDR, ... ] }, "vpcNetworkSources": [ {"network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "allowedipCidrRanges": [RANGE_CIDR, ... ] }, ... ] } }
Où :
modeest l'état de la configuration du filtre IP. Les valeurs valides sontEnabledetDisabled. Lorsque la valeur estEnabled, des règles de filtrage des adresses IP sont appliquées à un bucket, et toutes les requêtes entrantes vers ce bucket sont évaluées par rapport à ces règles. Lorsque cette valeur est définie surDisabled, toutes les requêtes entrantes peuvent accéder au bucket et à ses données sans aucune évaluation.RANGE_CIDRest une plage d'adresses IPv4 ou IPv6 de réseau public autorisée à accéder au bucket. Vous pouvez saisir une ou plusieurs plages d'adresses sous forme de liste.PROJECT_IDcorrespond à l'ID du projet dans lequel se trouve le réseau VPC. Pour configurer plusieurs réseaux VPC, vous devez spécifier le projet dans lequel se trouve chaque réseau.NETWORK_NAMEcorrespond au nom du réseau VPC autorisé à accéder au bucket. Pour configurer plusieurs réseaux VPC, vous devez spécifier un nom pour chacun d'eux.
Exécutez
cURLpour appeler l'API JSON avec une requête PATCH bucket:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b?project=PROJECT_IDENTIFIER&projection=full"
Où :
JSON_FILE_NAMEcorrespond au nom du fichier JSON que vous avez créé à l'étape précédente.PROJECT_IDENTIFIERcorrespond à l'ID ou au numéro du projet auquel le bucket est associé. Exemple :my-project.
Étape suivante
- Listez les règles de filtrage des adresses IP des buckets.
- Désactivez les règles de filtrage des adresses IP des buckets.
Faites l'essai
Si vous débutez sur Google Cloud, créez un compte pour évaluer les performances de Cloud Storage en conditions réelles. Les nouveaux clients bénéficient également de 300 $ de crédits gratuits pour exécuter, tester et déployer des charges de travail.
Profiter d'un essai gratuit de Cloud Storage