Google Cloud Search hỗ trợ giải pháp VPC Service Controls để tăng cường bảo mật cho dữ liệu của bạn. VPC Service Controls cho phép bạn xác định một ranh giới dịch vụ xung quanh các tài nguyên của Google Cloud Platform để hạn chế dữ liệu và giúp giảm thiểu rủi ro rò rỉ dữ liệu.
Điều kiện tiên quyết
Trước khi bắt đầu, hãy cài đặt giao diện dòng lệnh gcloud.
Bật tính năng Kiểm soát dịch vụ VPC
Cách bật VPC Service Controls:
Lấy mã dự án và số dự án cho dự án Google Cloud Platform mà bạn muốn sử dụng. Để lấy mã và số dự án, hãy tham khảo phần Xác định dự án.
Sử dụng gcloud để tạo chính sách truy cập cho tổ chức của bạn trên Google Cloud Platform:
Tạo một chu vi dịch vụ có Cloud Search làm dịch vụ bị hạn chế bằng cách chạy lệnh gcloud sau:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMETrong trường hợp:
NAMElà tên của chu vi.TITLElà tiêu đề mà con người có thể đọc được của chu vi.PROJECTSlà danh sách gồm một hoặc nhiều số dự án được phân tách bằng dấu phẩy, mỗi số dự án đều có chuỗiprojects/ở phía trước. Sử dụng số dự án thu được ở bước 1. Ví dụ: nếu bạn có hai dự án là12345và67890, thì chế độ cài đặt của bạn sẽ là--resource=projects/12345, project/67890.Cờ này chỉ hỗ trợ số dự án, chứ không hỗ trợ tên hoặc mã dự án.RESTRICTED-SERVICESlà danh sách gồm một hoặc nhiều dịch vụ được phân tách bằng dấu phẩy. Sử dụngcloudsearch.googleapis.com.POLICY_NAMElà tên bằng số của chính sách truy cập của tổ chức mà bạn nhận được ở bước 2c.
Để biết thêm thông tin về cách tạo một phạm vi dịch vụ, hãy tham khảo bài viết Tạo phạm vi dịch vụ.
(không bắt buộc) Nếu bạn muốn áp dụng các hạn chế dựa trên IP hoặc khu vực, hãy tạo các cấp truy cập và thêm các cấp đó vào chu vi dịch vụ đã tạo ở bước 3:
- Để tạo cấp truy cập, hãy tham khảo phần Tạo cấp truy cập cơ bản. Để xem ví dụ về cách tạo điều kiện cấp độ truy cập chỉ cho phép truy cập từ một dải địa chỉ IP cụ thể (chẳng hạn như những địa chỉ IP trong mạng của công ty), hãy tham khảo bài viết Giới hạn quyền truy cập trên mạng của công ty.
- Sau khi tạo cấp truy cập, hãy thêm cấp truy cập đó vào ranh giới dịch vụ. Để biết hướng dẫn về cách thêm cấp truy cập vào một chu vi dịch vụ, hãy tham khảo bài viết Thêm cấp truy cập vào một chu vi hiện có. Thay đổi này có thể mất đến 30 phút để lan truyền và có hiệu lực.
Sử dụng Cloud Search Customer Service REST API để cập nhật chế độ cài đặt khách hàng bằng dự án được bảo vệ bằng phạm vi VPC Service Controls:
Lấy mã truy cập OAuth 2.0 từ Máy chủ uỷ quyền của Google. Để biết thông tin về cách lấy mã thông báo, hãy tham khảo bước 2 trong phần Sử dụng OAuth 2.0 để truy cập vào các API của Google. Khi lấy mã truy cập, hãy sử dụng một trong các phạm vi OAuth sau đây:
https://www.googleapis.com/auth/cloud_search.settings.indexing,https://www.googleapis.com/auth/cloud_search.settingshoặchttps://www.googleapis.com/auth/cloud_searchChạy lệnh curl sau đây để đặt dự án trong chế độ cài đặt VPC Service Controls trong phần Chế độ cài đặt của khách hàng trong Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedTrong trường hợp:
YOUR_ACCESS_TOKENlà mã truy cập OAuth 2.0 thu được ở bước 5a.PROJECT_IDlà mã dự án mà bạn nhận được ở bước 1.Nếu thành công, bạn sẽ nhận được phản hồi
200 OKkèm theo chế độ cài đặt khách hàng đã cập nhật.
Sau khi bạn hoàn tất thành công các bước trên, các hạn chế của VPC Service Controls (Kiểm soát dịch vụ bằng VPC) (như được xác định trong ranh giới dịch vụ) sẽ được áp dụng cho tất cả các API Google Cloud Search, các lượt tìm kiếm tại cloudsearch.google.com, cũng như việc xem và thay đổi cấu hình hoặc báo cáo bằng Bảng điều khiển dành cho quản trị viên. Các yêu cầu khác đối với Google Cloud Search API không tuân theo các cấp truy cập sẽ nhận được lỗi PERMISSION_DENIED “Request is prohibited by organization’s policy”.