تحسين الأمان باستخدام عناصر التحكّم في خدمة VPC

يتوافق Google Cloud Search مع عناصر التحكّم في خدمة سحابة VPC لتعزيز أمان البيانات. تتيح لك عناصر التحكّم في خدمة سحابة VPC تحديد محيط خدمة حول موارد Google Cloud لتقييد البيانات والحدّ من مخاطر استخراجها.

المتطلبات الأساسية

قبل البدء، ثبِّت gcloud CLI.

تفعيل عناصر التحكّم في خدمة سحابة VPC

لتفعيل عناصر التحكّم في خدمة سحابة VPC، اتّبِع الخطوات التالية:

  1. احصل على أرقام تعريف المشاريع وأرقامها لمشروع Google Cloud الذي تريد استخدامه. اطّلِع على مقالة تحديد المشاريع.

  2. استخدِم gcloud لإنشاء سياسة وصول لمؤسستك على Google Cloud:

    1. الحصول على رقم تعريف مؤسستك
    2. إنشاء سياسة وصول
    3. الحصول على اسم سياسة الوصول

  3. أنشئ حيّز خدمة يتضمّن Cloud Search كخدمة مقيّدة:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    المكان:

    • NAME هو اسم المحيط.
    • TITLE هو عنوان المحيط.
    • PROJECTS هي قائمة قيم مفصولة بفاصلة بأرقام المشاريع، ويسبق كل رقم منها projects/. على سبيل المثال، --resources=projects/12345,projects/67890. لا تقبل هذه العلامة سوى أرقام المشاريع.
    • RESTRICTED-SERVICES هي قائمة قيم مفصولة بفاصلة. استخدِم cloudsearch.googleapis.com.
    • POLICY_NAME هو الاسم الرقمي لسياسة الوصول في مؤسستك.

    لمزيد من المعلومات، يُرجى الاطّلاع على إنشاء حيّز خدمة.

  4. (اختياري) لفرض قيود استنادًا إلى عناوين IP أو المناطق، أنشئ مستويات وصول وأضِفها إلى المحيط:

    1. لإنشاء مستوى وصول، يُرجى الاطّلاع على إنشاء مستوى وصول أساسي. للاطّلاع على مثال، يُرجى الرجوع إلى حصر الوصول على شبكة الشركة.
    2. أضِف مستوى الوصول إلى المحيط. اطّلِع على إضافة مستوى وصول إلى محيط حالي. قد تستغرق عملية النشر مدة تصل إلى 30 دقيقة.

  5. استخدِم واجهة Cloud Search Customer Service REST API لتعديل إعدادات العميل باستخدام مشروعك المحمي:

    1. الحصول على رمز دخول OAuth 2.0 راجِع مقالة استخدام بروتوكول OAuth 2.0 للوصول إلى Google APIs. استخدِم أحد النطاقات التالية:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. نفِّذ أمر curl التالي:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      استبدال YOUR_ACCESS_TOKEN وPROJECT_ID

يعرض التعديل الناجح استجابة 200 OK. تنطبق الآن قيود "عناصر التحكّم في خدمة سحابة VPC" على جميع واجهات برمجة التطبيقات في Cloud Search وعمليات البحث في cloudsearch.google.com وإعدادات "وحدة تحكّم المشرف" أو تقاريرها. تتلقّى الطلبات التي تخالف مستويات الوصول الخطأ PERMISSION_DENIED.