您不必为存储桶创建防火墙规则。您需要在存储区Using Cloud IAM with buckets上设置permisions。

  

在Google Cloud Platform Console中打开Cloud Storage浏览器。

     

点击与您想要的存储桶相关的下拉菜单   授予成员角色。

     

下拉菜单显示为位于最右端的三个垂直点   桶的行。

     

选择“编辑存储桶”权限。

     

在“添加成员”字段中，输入一个或多个需要的身份   访问您的存储桶。

     

添加成员对话框。

     

从“选择角色”下拉菜单中选择一个或多个角色。的   您选择的角色将显示在窗格中，并简要说明   他们授予的权限。

     

点击添加。

您可以将单个用户，组，域甚至整个公众作为成员添加。成员被分配了角色，这使成员可以更广泛地在Cloud Storage和GCP中执行操作。

您只能使Cloud Storage存储桶只能由某个服务帐户link访问。

  

服务帐户是一种特殊的Google帐户，旨在   代表需要进行身份验证并成为   被授权访问Google API link中的数据。

您不能将防火墙规则应用于单个存储桶。

  

防火墙规则是在网络级别定义的，仅适用于   创建它们的网络。

您的查询是已知的Feature Request，尚未在Cloud Storage上实现。为了允许在存储桶策略中将IP白名单加入AWS does it with S3 buckets，已请求并持续进行此操作。您可以为FR“加注星标”，以使其更具可见性，还可以将电子邮件添加到“ CC”列表中，以便获取更新。

作为解决方法，您可以请求访问权限以使用VPC服务控件。根据{{​​3}}，使用VPC服务控件，管理员可以在Google托管服务的资源周围定义安全范围，以控制与这些服务之间的通信。

云存储已包含在这些Google托管服务的受支持产品中，official documentation您可以找到其局限性。

您可以使用here授予从外围外部对服务外围中受保护的Google Cloud Platform（GCP）资源的受控访问权限。

访问级别定义了各种access levels，用于过滤对某些资源的请求。访问级别可以考虑各种标准，例如IP地址和用户身份。此外，它们是使用attributes创建和管理的。

Access Context Manager示例说明如何创建仅允许从指定IP地址范围进行访问的访问级别条件。

但是，需要考虑的是VPC服务控件在项目周围创建了一个“边界”，指定了一个“虚拟区域”，可以在其中应用Access Context Manager规则。指定IP地址的ACM规则将允许该IP地址访问该项目拥有的所有Cloud Storage Objects和所有其他受保护资源，这不是预期的结果。如This所述，您不能将IP地址规则应用于对象，只能应用于项目中的所有对象。

此外，您可以在here上找到有关Cloud Storage存储桶中的安全性和访问控制的有用链接。 Best Practices，您可以在托管静态网站时找到有关“共享文件”的提示。

最后，Here是Firebase托管而不是Cloud Storage，如another option所述。 here是一项Google托管服务，以安全，快速，免费和轻松的方式向用户提供静态Web内容。