基于 IP 地址的 Google Storage 访问

Question

有没有办法根据来自的 IP 地址授予对 Google Cloud Storage 存储桶的访问权限。

在 Amazon s3 上，您可以像这样在访问策略中进行设置：

"Condition" :  {
       "IpAddress" : {
          "aws:SourceIp" : ["192.168.176.0/24","192.168.143.0/24"]
      }
}

我不想使用签名的网址。

Answer 1

此页面上的更新答案仅部分正确，不应推荐用于云存储对象的访问控制用例。

访问上下文管理器 (ACM) 定义了允许访问的规则（例如 IP 地址）。

VPC Service Controls 围绕项目创建一个“孤岛”，并且可以附加 ACM 规则。这些规则是“入口”规则而不是“出口”规则，这意味着“该 IP 上的任何人都可以使用正确的 IAM 权限进入项目中的所有资源”。

指定 IP 地址的 ACM 规则将允许该 IP 地址访问该项目拥有的所有云存储对象和所有其他受保护资源。这通常不是预期的结果。您不能将 IP 地址规则应用于对象，只能应用于项目中的所有对象。 VPC 服务控制旨在防止数据从项目中泄露出去，而不是允许不受信任的匿名用户访问项目的资源。

Answer 2

更新：现在可以使用VPC Service Controls

---

不，目前不可能。

目前有一个Feature request 可以通过 IP 地址限制谷歌云存储桶。

Answer 3

VPC 服务控制 [1] 允许用户围绕 Google Cloud Platform 资源（例如 Cloud Storage 存储桶（和其他一些））定义安全边界，以限制 VPC 中的数据并帮助降低数据泄露风险。

[1]https://cloud.google.com/vpc-service-controls/

Answer 4

我最近代表客户使用 VPC Service Controls 来尝试完成此操作。您不能使用 VPC Service Controls 将单个存储桶上的 IP 地址列入白名单。 Jterrace 是对的。今天没有这样的解决方案。但是，使用 VPC Service Controls，您可以在给定项目中围绕整个 Google Cloud Storage (GCS) 服务绘制服务边界，然后将访问级别应用于项目中的服务边界以允许 IP 地址/IP 地址范围访问服务（和其中的资源）。这意味着在项目中创建的任何新存储桶都将在服务边界内创建，因此受到应用于边界的访问级别的监管。因此，您可能希望这是该项目中唯一的存储桶。

请注意，服务边界仅影响您指定的服务。它不能保护整个项目。

开发者权限：

• Access Context Manager
• VPC Service Controls

完成此操作的步骤：

1. 在您选择的项目中使用 VPC Service Controls create a service perimeter 围绕整个 Google Cloud Storage 服务
2. 使用 Access Context Manager 到 create access levels 获取您想要列入白名单的 IP 地址以及有权访问该服务的用户/组
3. 上一步创建的Apply these access levels to the service perimeter（此更改需要30分钟才能生效）

注意：如果可能的话，最佳做法是使用服务帐号或用户/组 ACL 提供对存储桶的访问权限。我知道并非总是如此。