ユーザーまたはサービス アカウントが IP フィルタリングの制限を受けずにバケットに対して特定のオペレーションを実行できるようにしながら、他のオペレーションには引き続き制限を適用できます。これを行うには、IP フィルタリング ルールをバイパスします。
誤って自分の IP アドレスをブロックした場合に、バケットに再びアクセスできるようにすることが重要です。その理由は次のとおりです。
バケットのロックアウト: 自分の IP アドレスまたはネットワーク全体の IP 範囲をブロックするルールを誤って追加した場合。
予期しない IP の変更: ネットワークの変更により IP アドレスが予期せず変更され、ロックアウトされることがあります。
バケット IP フィルタリングの背景情報については、バケット IP フィルタリングをご覧ください。
サポートされているオペレーション
IP フィルタリングをバイパスすると、次のオペレーションが IP フィルタリング制限から除外されます。
- バケットのメタデータの取得(
GETバケット) - バケットの更新(
PATCHバケット) - バケットの削除(
DELETEバケット)
バケット IP フィルタリング ルールをバイパスする
特定のユーザーまたはサービス アカウントがバケットの IP フィルタリング制限をバイパスできるようにするには、カスタムロールを使用して storage.buckets.exemptFromIpFilter 権限を付与します。この権限により、ユーザーまたはサービス アカウントは、サポートされているバケットレベルのオペレーションの IP フィルタリング ルールから除外されます。手順は次のとおりです。
特定のバケットの IP フィルタリング制限をバイパスする必要があるユーザーまたはサービス アカウントを特定します。
カスタムロールを作成します。
ロールに
storage.buckets.exemptFromIpFilter権限を追加します。特定したユーザーまたはサービス アカウントに、プロジェクト レベルでカスタムロールを付与します。ロールの付与の詳細については、単一のロールを付与するをご覧ください。
ユーザーまたはサービス アカウントにこれらの権限を付与すると、IP フィルタリングの制限を受けずにサポートされているオペレーションを実行できます。明示的な権限を要求することで、ルールの例外をきめ細かく制御し、IP フィルタリング ルールのバイパスが意図的で承認されたアクションであることを確認できます。