يتيح Google Cloud Search عناصر التحكّم في خدمة VPC لتعزيز أمان بياناتك. تتيح لك عناصر التحكّم في سحابة VPC تحديد محيط خدمة حول موارد Google Cloud Platform لتقييد البيانات والمساعدة في الحدّ من مخاطر استخراج البيانات.
المتطلبات الأساسية
قبل البدء، ثبِّت واجهة سطر أوامر gcloud.
تفعيل عناصر التحكّم في خدمة VPC
لتفعيل عناصر التحكّم في خدمة VPC، اتّبِع الخطوات التالية:
احصل على معرّفات المشاريع وأرقامها لمشروع Google Cloud Platform الذي تريد استخدامه. للحصول على أرقام وأرقام تعريف المشاريع، يُرجى الرجوع إلى تحديد المشاريع.
استخدِم gcloud لإنشاء سياسة وصول لمؤسستك على Google Cloud Platform:
أنشئ محيط خدمة باستخدام Cloud Search كخدمة مفروض عليها قيود من خلال تنفيذ الأمر gcloud التالي:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEالمكان:
NAMEهو اسم المحيط.TITLEهو عنوان المحيط السهل القراءة.PROJECTSهي قائمة مفصولة بفواصل تضمّ رقم مشروع واحدًا أو أكثر، مسبوقة بالسلسلةprojects/. استخدِم أرقام المشاريع التي تم الحصول عليها في الخطوة 1. على سبيل المثال، إذا كان لديك مشروعان، المشروع12345و67890، سيكون الإعداد هو--resource=projects/12345, project/67890.لا تتيح هذه العلامة سوى استخدام أرقام المشاريع، ولا تتيح استخدام الأسماء أو أرقام التعريف.RESTRICTED-SERVICESهي قائمة مفصولة بفواصل لخدمة واحدة أو أكثر. استخدِمcloudsearch.googleapis.com.POLICY_NAMEهو الاسم الرقمي لسياسة الوصول في مؤسستك التي تم الحصول عليها في الخطوة 2 (ج).
لمزيد من المعلومات حول كيفية إنشاء حدود خدمة، يُرجى الرجوع إلى مقالة إنشاء حدود خدمة.
(اختياري) إذا كنت تريد تطبيق قيود مستندة إلى عنوان IP أو المنطقة، أنشئ مستويات وصول وأضفها إلى نطاق الخدمة الذي تم إنشاؤه في الخطوة 3:
- لإنشاء مستوى وصول، يُرجى الرجوع إلى مقالة إنشاء مستوى وصول أساسي. للحصول على مثال على كيفية إنشاء شرط مستوى وصول لا يسمح بالوصول إلا من نطاق محدّد من عناوين IP، مثل العناوين ضمن شبكة شركة، يُرجى الاطّلاع على مقالة حصر الوصول إلى شبكة شركة.
- بعد إنشاء مستوى وصول، أضِفه إلى حدود الخدمة. للحصول على تعليمات حول إضافة مستوى وصول إلى حدود الخدمة، يُرجى الاطّلاع على مقالة إضافة مستوى وصول إلى حدود خدمة حالية. قد يستغرق تنفيذ هذا التغيير ما يصل إلى 30 دقيقة.
استخدِم واجهة برمجة التطبيقات REST API لخدمة العملاء في Cloud Search لتعديل إعدادات العميل باستخدام مشروعك المحمي بمحيط عناصر التحكّم في خدمة سحابة VPC:
الحصول على رمز مميّز للوصول إلى OAuth 2.0 من "خادم مصادقة Google" لمزيد من المعلومات حول الحصول على الرمز المميز، راجع الخطوة 2 من استخدام OAuth 2.0 للوصول إلى Google APIs. عند الحصول على رمز الوصول، استخدِم أحد نطاقات OAuth التالية:
https://www.googleapis.com/auth/cloud_search.settings.indexingأوhttps://www.googleapis.com/auth/cloud_search.settingsأوhttps://www.googleapis.com/auth/cloud_searchنفِّذ الأمر curl التالي لضبط المشروع في إعدادات VPC Service Controls ضمن إعدادات "إعدادات العميل" في Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedالمكان:
YOUR_ACCESS_TOKENهو رمز الدخول عبر OAuth 2.0 الذي تم الحصول عليه في الخطوة 5(أ).PROJECT_IDهو رقم تعريف المشروع الذي تم الحصول عليه في الخطوة 1.إذا كانت الاستجابة ناجحة، من المفترض أن يصلك ردّ
200 OKمصحوبًا بإعدادات العميل المعدَّلة.
بعد إكمال الخطوات أعلاه بنجاح، يتم تطبيق قيود عناصر التحكّم في خدمة سحابة VPC،
على النحو المحدّد في محيط الخدمة، على جميع واجهات برمجة تطبيقات Google
Cloud Search وعمليات البحث على cloudsearch.google.com وعرض
الإعدادات أو التقارير وتغييرها باستخدام "وحدة تحكّم المشرف". تتلقّى الطلبات الإضافية التي يتم إرسالها إلى واجهة برمجة التطبيقات Google Cloud Search API والتي لا تلتزم بمستويات الوصول خطأ
PERMISSION_DENIED “Request is prohibited by organization’s policy”.