Google Cloud Search obsługuje Ustawienia usługi VPC, co zwiększa bezpieczeństwo danych. Ustawienia usługi VPC pozwalają określić granicę usług wokół zasobów Google Cloud Platform, aby ograniczyć ryzyko związane z wydobyciem danych.
Wymagania wstępne
Zanim zaczniesz, zainstaluj interfejs wiersza poleceń gcloud.
Włączanie Ustawień usługi VPC
Aby włączyć Ustawienia usługi VPC:
Uzyskaj identyfikatory i numery projektów Google Cloud Platform, których chcesz użyć. Aby uzyskać identyfikatory i numery projektów, zapoznaj się z sekcją Identyfikowanie projektów.
Utwórz zasadę dostępu dla organizacji Google Cloud Platform za pomocą gcloud:
Utwórz granicę usług z Cloud Search jako usługą z ograniczonym dostępem, uruchamiając to polecenie gcloud:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAME
Gdzie:
NAME
to nazwa granicy.TITLE
to zrozumiały dla człowieka tytuł granicy.PROJECTS
to rozdzielana przecinkami lista zawierająca co najmniej 1 numer projektu, każdy poprzedzony ciągiemprojects/
. Użyj numerów projektów uzyskanych w kroku 1. Jeśli na przykład masz 2 projekty –12345
i67890
, ustawienie będzie miało wartość--resource=projects/12345, project/67890
.Ta flaga obsługuje tylko numery projektów, a nie nazwy ani identyfikatory.RESTRICTED-SERVICES
to rozdzielona przecinkami lista co najmniej 1 usługi. Użyj kontacloudsearch.googleapis.com
.POLICY_NAME
to liczbowa nazwa zasady dostępu organizacji, którą udało się uzyskać w kroku 2c.
Więcej informacji na temat tworzenia granicy usług znajdziesz w artykule Tworzenie granicy usług.
(opcjonalnie) Jeśli chcesz zastosować ograniczenia dotyczące adresu IP lub regionu, utwórz poziomy dostępu i dodaj je do granicy usług utworzonej w kroku 3:
- Informacje o tym, jak utworzyć poziom dostępu, znajdziesz w artykule Tworzenie podstawowego poziomu dostępu. Przykład tworzenia warunku poziomu dostępu zezwalającego na dostęp tylko z określonego zakresu adresów IP, np. adresów w sieci firmowej, znajdziesz w sekcji Ograniczanie dostępu w sieci firmowej.
- Po utworzeniu poziomu dostępu dodaj go do granicy usług. Instrukcje dodawania poziomu dostępu do granicy usług znajdziesz w sekcji Dodawanie poziomu dostępu do istniejącej granicy. Rozpowszechnienie i zastosowanie tej zmiany może potrwać do 30 minut.
Użyj interfejsu API typu REST usługi klienta Cloud Search, aby zaktualizować ustawienia klienta za pomocą projektu chronionego granicami Ustawień usługi VPC:
Uzyskaj token dostępu OAuth 2.0 z serwera autoryzacji Google. Informacje na temat uzyskiwania tokena znajdziesz w kroku 2 w artykule o uzyskiwaniu dostępu do interfejsów API Google za pomocą OAuth 2.0. Podczas uzyskiwania tokena dostępu użyj jednego z tych zakresów OAuth:
https://www.googleapis.com/auth/cloud_search.settings.indexing
,https://www.googleapis.com/auth/cloud_search.settings
lubhttps://www.googleapis.com/auth/cloud_search
Uruchom to polecenie curl, aby skonfigurować projekt w Ustawieniach usługi VPC w Ustawieniach klienta w Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressed
Gdzie:
YOUR_ACCESS_TOKEN
to token dostępu OAuth 2.0 uzyskany w kroku 5a.PROJECT_ID
to identyfikator projektu uzyskany w kroku 1.Jeśli operacja się uda, otrzymasz odpowiedź
200 OK
wraz ze zaktualizowanymi ustawieniami klienta.
Gdy wykonasz opisane powyżej czynności, ograniczenia dotyczące Ustawień usługi VPC (zgodnie z definicją w granicach usług) będą stosowane do wszystkich interfejsów Google Cloud Search API, wyszukiwania w cloudsearch.google.com
oraz wyświetlania i zmieniania konfiguracji i raportów w konsoli administracyjnej. Kolejne żądania wysyłane do interfejsu Google Cloud Search API, które nie są zgodne z poziomami dostępu, powodują wystąpienie błędu PERMISSION_DENIED “Request is prohibited by organization’s policy”
.