Google Cloud Search hỗ trợ giải pháp VPC Service Controls để tăng cường bảo mật dữ liệu. VPC Service Controls cho phép bạn xác định phạm vi dịch vụ xung quanh các tài nguyên Google Cloud Platform để ràng buộc dữ liệu và giúp giảm thiểu rủi ro đánh cắp dữ liệu.
Điều kiện tiên quyết
Trước khi bắt đầu, hãy cài đặt giao diện dòng lệnh gcloud.
Bật VPC Service Controls
Cách bật VPC Service Controls:
Lấy mã dự án và số dự án cho dự án Google Cloud Platform bạn muốn sử dụng. Để lấy mã và số dự án, hãy tham khảo phần Xác định dự án.
Hãy sử dụng gcloud để tạo chính sách truy cập cho tổ chức Google Cloud Platform của bạn:
Tạo phạm vi dịch vụ với Cloud Search dưới dạng dịch vụ bị hạn chế bằng cách chạy lệnh gcloud sau đây:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMETrong trường hợp:
NAMElà tên của chu vi.TITLElà tiêu đề mà con người có thể đọc được của chu vi.PROJECTSlà một danh sách được phân tách bằng dấu phẩy gồm một hoặc nhiều số dự án, bắt đầu bằng chuỗiprojects/. Sử dụng các số dự án thu được ở bước 1. Ví dụ: nếu bạn có 2 dự án, dự án12345và67890, chế độ cài đặt của bạn sẽ là--resource=projects/12345, project/67890.Cờ này chỉ hỗ trợ số dự án chứ không hỗ trợ tên hoặc mã nhận dạng.RESTRICTED-SERVICESlà danh sách được phân tách bằng dấu phẩy gồm một hoặc nhiều dịch vụ. Sử dụng tài khoảncloudsearch.googleapis.com.POLICY_NAMElà tên dạng số của chính sách truy cập mà tổ chức của bạn đã nhận được ở bước 2c.
Để biết thêm thông tin về cách tạo phạm vi dịch vụ, hãy tham khảo bài viết Tạo phạm vi dịch vụ.
(không bắt buộc) Nếu bạn muốn áp dụng các quy tắc hạn chế theo IP hoặc khu vực, hãy tạo các cấp truy cập và thêm các cấp truy cập đó vào phạm vi dịch vụ đã tạo ở bước 3:
- Để tạo một cấp truy cập, hãy tham khảo bài viết Tạo cấp truy cập cơ bản. Để xem ví dụ về cách tạo một điều kiện cấp truy cập chỉ cho phép truy cập từ một dải địa chỉ IP cụ thể, chẳng hạn như các địa chỉ IP trong mạng công ty, hãy tham khảo bài viết Giới hạn quyền truy cập trên mạng công ty.
- Sau khi bạn tạo một cấp truy cập, hãy thêm cấp truy cập đó vào phạm vi dịch vụ. Để biết hướng dẫn về cách thêm cấp truy cập vào phạm vi dịch vụ, hãy tham khảo phần Thêm cấp truy cập vào phạm vi hiện có. Thay đổi này có thể mất tối đa 30 phút để thay đổi có hiệu lực.
Sử dụng API REST dịch vụ khách hàng của Cloud Search để cập nhật chế độ cài đặt khách hàng bằng dự án được bảo vệ theo phạm vi của VPC Service Controls:
Lấy mã truy cập OAuth 2.0 từ Máy chủ Uỷ quyền của Google. Để biết thông tin về cách lấy mã thông báo, hãy tham khảo bước 2 của bài viết Sử dụng OAuth 2.0 để truy cập API của Google. Khi lấy mã truy cập, hãy sử dụng một trong các phạm vi OAuth sau:
https://www.googleapis.com/auth/cloud_search.settings.indexing,https://www.googleapis.com/auth/cloud_search.settingshoặchttps://www.googleapis.com/auth/cloud_searchChạy lệnh curl sau đây để thiết lập dự án trong phần cài đặt VPC Service Controls trong phần Customer settings (Cài đặt khách hàng) trong Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedTrong trường hợp:
YOUR_ACCESS_TOKENlà mã truy cập OAuth 2.0 lấy được ở bước 5a.PROJECT_IDlà mã dự án thu được ở bước 1.Nếu thành công, bạn sẽ nhận được phản hồi
200 OKkèm theo các chế độ cài đặt khách hàng đã cập nhật.
Sau khi hoàn tất các bước trên, các hạn chế của VPC Service Controls, như xác định trong phạm vi dịch vụ, sẽ được áp dụng cho tất cả các API Google Cloud Search, tìm kiếm tại cloudsearch.google.com cũng như xem và thay đổi cấu hình hoặc báo cáo bằng Bảng điều khiển dành cho quản trị viên. Các yêu cầu tiếp theo đến API Google Cloud Search không tuân theo các cấp truy cập sẽ nhận được lỗi PERMISSION_DENIED “Request is prohibited by organization’s policy”.