Google Cloud Search از کنترلهای سرویس VPC برای افزایش امنیت دادههای شما پشتیبانی میکند. کنترلهای سرویس VPC به شما امکان میدهد محیط سرویس را در اطراف منابع پلتفرم Google Cloud تعریف کنید تا دادهها را محدود کرده و به کاهش خطرات استخراج داده کمک کند.
پیش نیازها
قبل از شروع، رابط خط فرمان gcloud را نصب کنید .
کنترل های سرویس VPC را فعال کنید
برای فعال کردن کنترل های سرویس VPC:
شناسه پروژه و شماره پروژه را برای پروژه Google Cloud Platform که میخواهید استفاده کنید، دریافت کنید. برای دریافت شناسه و شماره پروژه به شناسایی پروژه ها مراجعه کنید.
از gcloud برای ایجاد خطمشی دسترسی برای سازمان Google Cloud Platform خود استفاده کنید:
با اجرای دستور gcloud زیر، یک محیط سرویس با Cloud Search به عنوان یک سرویس محدود ایجاد کنید:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEجایی که:
-
NAMEنام محیط است. -
TITLEعنوان محیطی قابل خواندن برای انسان است. -
PROJECTSلیستی از یک یا چند شماره پروژه جدا شده با کاما است که قبل از هر کدامprojects/. از شماره های پروژه به دست آمده در مرحله 1 استفاده کنید. برای مثال، اگر دو پروژه دارید، پروژه12345و67890، تنظیمات شما--resource=projects/12345, project/67890خواهد بود. این پرچم فقط از شماره پروژه پشتیبانی می کند. از نام ها یا شناسه ها پشتیبانی نمی کند. -
RESTRICTED-SERVICESفهرستی از یک یا چند سرویس است که با کاما از هم جدا شده است. ازcloudsearch.googleapis.comاستفاده کنید. -
POLICY_NAMEنام عددی خط مشی دسترسی سازمان شما است که در مرحله 2c به دست آمده است.
برای اطلاعات بیشتر در مورد نحوه ایجاد یک محیط سرویس، به ایجاد یک محیط سرویس مراجعه کنید.
-
(اختیاری) اگر می خواهید محدودیت های مبتنی بر IP یا منطقه اعمال کنید، سطوح دسترسی ایجاد کنید و آنها را به محیط سرویس ایجاد شده در مرحله 3 اضافه کنید:
- برای ایجاد یک سطح دسترسی، به ایجاد یک سطح دسترسی پایه مراجعه کنید. برای مثالی در مورد نحوه ایجاد یک شرایط سطح دسترسی که فقط اجازه دسترسی از محدوده خاصی از آدرسهای IP را میدهد، مانند آدرسهای داخل یک شبکه شرکتی، به محدود کردن دسترسی در شبکه شرکتی مراجعه کنید.
- پس از ایجاد یک سطح دسترسی، آن را به محیط سرویس اضافه کنید. برای دستورالعملهای اضافه کردن سطح دسترسی به محیط سرویس، به افزودن سطح دسترسی به محیط موجود مراجعه کنید. انتشار و اعمال این تغییر ممکن است تا 30 دقیقه طول بکشد.
از Cloud Search Customer Service REST API برای بهروزرسانی تنظیمات مشتری با پروژه محافظتشده محیطی VPC Service Controls خود استفاده کنید:
یک نشانه دسترسی OAuth 2.0 را از سرور مجوز Google دریافت کنید. برای کسب اطلاعات در مورد دریافت رمز، به مرحله 2 استفاده از OAuth 2.0 برای دسترسی به Google API مراجعه کنید. هنگام دریافت رمز دسترسی، از یکی از حوزههای OAuth زیر استفاده کنید:
https://www.googleapis.com/auth/cloud_search.settings.indexing،https://www.googleapis.com/auth/cloud_search.settings، یاhttps://www.googleapis.com/auth/cloud_searchدستور curl زیر را برای تنظیم پروژه در تنظیمات VPC Service Controls در تنظیمات مشتری در Google Cloud Search اجرا کنید:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedجایی که:
-
YOUR_ACCESS_TOKENنشانه دسترسی OAuth 2.0 است که در مرحله 5a به دست آمده است. PROJECT_IDشناسه پروژه به دست آمده در مرحله 1 است.در صورت موفقیت آمیز بودن، باید یک پاسخ
200 OKهمراه با تنظیمات به روز شده مشتری دریافت کنید.
پس از انجام موفقیت آمیز مراحل فوق، محدودیتهای کنترلهای سرویس VPC، همانطور که در محیط سرویس تعریف شده است، برای همه APIهای Google Cloud Search، جستجوها در cloudsearch.google.com و مشاهده و تغییر پیکربندی یا گزارشها با استفاده از کنسول Admin اعمال میشوند. درخواستهای بیشتر به Google Cloud Search API که از سطوح دسترسی پیروی نمیکنند، خطای PERMISSION_DENIED “Request is prohibited by organization's policy” دریافت میکنند.