يتيح Google Cloud Search عناصر التحكّم في خدمة سحابة VPC لتعزيز أمان بياناتك. تتيح لك عناصر التحكّم في سحابة VPC تحديد حيز الخدمة حول موارد Google Cloud Platform لتقييد البيانات والمساعدة في الحد من مخاطر استخراج البيانات.
المتطلبات الأساسية
قبل البدء، عليك تثبيت واجهة سطر أوامر gcloud.
تفعيل عناصر التحكّم في خدمة سحابة VPC
لتفعيل عناصر التحكّم في خدمة سحابة VPC:
احصل على أرقام تعريف المشروع وأرقام مشاريعه لمشروع Google Cloud Platform الذي تريد استخدامه. للحصول على أرقام تعريف المشروعات وأرقامها، ارجع إلى تحديد المشروعات.
استخدم gcloud لإنشاء سياسة وصول لمؤسستك في Google Cloud Platform:
يمكنك إنشاء حيّز خدمة باستخدام Cloud Search كخدمة مقيّدة عن طريق تشغيل أمر gcloud التالي:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEالمكان:
NAMEهو اسم المحيط.TITLEهو عنوان المحيط الذي يمكن لشخص عادي قراءته.PROJECTSهي قائمة مفصولة بفواصل تضمّ رقم مشروع واحد أو أكثر، وتسبقه السلسلةprojects/. استخدم أرقام المشروع التي تم الحصول عليها في الخطوة 1. على سبيل المثال، إذا كان لديك مشروعان، المشروع "12345" و"67890"، سيكون الإعداد هو "--resource=projects/12345, project/67890". وهذه العلامة تتيح استخدام أرقام المشاريع فقط، ولا تتيح استخدام الأسماء أو أرقام التعريف.- تضم القائمة
RESTRICTED-SERVICESخدمة واحدة أو أكثر مفصولة بفواصل. استخدام حساب "cloudsearch.googleapis.com". POLICY_NAMEهو الاسم الرقمي لسياسة الوصول الخاصة بمؤسستك التي تم الحصول عليها في الخطوة 2(ج).
ولمزيد من المعلومات عن كيفية إنشاء حيّز الخدمة، يمكنك الاطّلاع على إنشاء حيّز الخدمة.
(اختياري) إذا كنت تريد تطبيق عنوان IP أو قيود مستندة إلى منطقة، أنشئ مستويات وصول وأضِفها إلى محيط الخدمة الذي تم إنشاؤه في الخطوة 3:
- لإنشاء مستوى وصول، راجِع إنشاء مستوى وصول أساسي. للاطّلاع على مثال عن كيفية إنشاء شرط مستوى الوصول الذي لا يسمح بالوصول إلا من نطاق محدّد من عناوين IP، مثل العناوين داخل شبكة شركة، يمكنك الرجوع إلى تقييد الوصول على شبكة شركة.
- بعد إنشاء مستوى وصول، أضِفه إلى محيط الخدمة. للحصول على تعليمات عن إضافة مستوى وصول إلى محيط الخدمة، راجِع المقالة إضافة مستوى وصول إلى محيط حالي. قد يستغرق نشر هذا التغيير وتفعيله ما يصل إلى 30 دقيقة.
يمكنك استخدام واجهة برمجة التطبيقات REST API في Cloud Search لتعديل إعدادات العميل من خلال تنفيذ مشروعك المحمي على عناصر التحكّم في خدمة سحابة VPC:
يمكنك الحصول على رمز دخول OAuth 2.0 من خادم تفويض Google. لمزيد من المعلومات حول الحصول على الرمز المميّز، يُرجى الرجوع إلى الخطوة الثانية من استخدام OAuth 2.0 للوصول إلى Google APIs. عند الحصول على رمز الدخول، استخدِم أحد نطاقات OAuth التالية:
https://www.googleapis.com/auth/cloud_search.settings.indexingأوhttps://www.googleapis.com/auth/cloud_search.settingsأوhttps://www.googleapis.com/auth/cloud_searchشغِّل أمر curl التالي لضبط المشروع في إعدادات عناصر التحكّم في خدمة سحابة VPC ضمن "إعدادات العميل" في Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedالمكان:
YOUR_ACCESS_TOKENهو رمز دخول OAuth 2.0 الذي تم الحصول عليه في الخطوة 5(أ).PROJECT_IDهو رقم تعريف المشروع الذي تم الحصول عليه في الخطوة 1.في حال إتمام الإجراء، من المفترَض أن يصلك ردّ من
200 OKمصحوبًا بإعدادات العميل المعدَّلة.
بعد إكمال الخطوات المذكورة أعلاه بنجاح، يتم تطبيق قيود عناصر التحكّم في خدمة سحابة VPC، كما هو محدَّد في محيط الخدمة، على جميع واجهات برمجة تطبيقات Google Cloud Search وعمليات البحث في cloudsearch.google.com وعرض الإعدادات أو التقارير وتغييرها باستخدام وحدة تحكُّم المشرف. في حال عدم اتّباع مستويات وصول أخرى، يتم إرسال رسالة الخطأ PERMISSION_DENIED “Request is prohibited by organization’s policy” مرة أخرى إلى الطلبات الإضافية المرسَلة إلى Google Cloud Search API والتي لا تتبع مستويات الوصول.