يتوافق Google Cloud Search مع عناصر التحكّم في خدمة VPC لتعزيز أمان بياناتك. تتيح لك عناصر التحكّم في سحابة VPC تحديد محيط خدمة حول موارد Google Cloud Platform لتقييد البيانات والمساعدة في الحدّ من مخاطر استخراج البيانات.
المتطلبات الأساسية
قبل البدء، ثبِّت واجهة سطر أوامر gcloud.
تفعيل عناصر التحكّم في خدمة VPC
لتفعيل عناصر التحكّم في خدمة VPC، اتّبِع الخطوات التالية:
احصل على معرّفات المشاريع وأرقامها لمشروع Google Cloud Platform الذي تريد استخدامه. للحصول على أرقام وأرقام تعريف المشاريع، يُرجى الرجوع إلى تحديد المشاريع.
استخدِم gcloud لإنشاء سياسة وصول لمؤسستك على Google Cloud Platform:
أنشئ محيط خدمة باستخدام Cloud Search كخدمة مفروض عليها قيود من خلال تنفيذ الأمر gcloud التالي:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEالمكان:
NAMEهو اسم المحيط.TITLEهو عنوان المحيط السهل القراءة.PROJECTSهي قائمة مفصولة بفواصل تتضمّن رقم مشروع واحدًا أو أكثر، ويسبق كل رقم السلسلةprojects/. استخدِم أرقام المشاريع التي تم الحصول عليها في الخطوة 1. على سبيل المثال، إذا كان لديك مشروعان، المشروع12345و67890، سيكون الإعداد هو--resource=projects/12345, project/67890.لا تتيح هذه العلامة سوى استخدام أرقام المشاريع، ولا تتيح استخدام الأسماء أو أرقام التعريف.RESTRICTED-SERVICESهي قائمة مفصولة بفواصل لخدمة واحدة أو أكثر. استخدِمcloudsearch.googleapis.com.POLICY_NAMEهو الاسم الرقمي لسياسة الوصول في مؤسستك الذي تم الحصول عليه في الخطوة 2(ج).
لمزيد من المعلومات حول كيفية إنشاء حدود خدمة، يُرجى الرجوع إلى مقالة إنشاء حدود خدمة.
(اختياري) إذا كنت تريد تطبيق قيود مستندة إلى عنوان IP أو المنطقة، أنشئ مستويات وصول وأضفها إلى نطاق الخدمة الذي تم إنشاؤه في الخطوة 3:
- لإنشاء مستوى وصول، يُرجى الرجوع إلى مقالة إنشاء مستوى وصول أساسي. للحصول على مثال على كيفية إنشاء شرط مستوى وصول لا يسمح إلا بالوصول من نطاق معيّن من عناوين IP، مثل العناوين ضمن شبكة شركة، يُرجى الاطّلاع على مقالة حصر الوصول إلى شبكة شركة.
- بعد إنشاء مستوى وصول، أضِفه إلى حدود الخدمة. للحصول على تعليمات حول إضافة مستوى وصول إلى حدود الخدمة، يُرجى الاطّلاع على مقالة إضافة مستوى وصول إلى حدود خدمة حالية. قد يستغرق تنفيذ هذا التغيير ما يصل إلى 30 دقيقة.
استخدِم واجهة برمجة التطبيقات REST API لخدمة العملاء في Cloud Search لتعديل إعدادات العميل باستخدام مشروعك المحمي بمحيط عناصر التحكّم في خدمة سحابة VPC:
الحصول على رمز مميّز للوصول إلى OAuth 2.0 من "خادم مصادقة Google" للحصول على معلومات عن الحصول على الرمز المميّز، يُرجى الرجوع إلى الخطوة 2 من مقالة استخدام بروتوكول OAuth 2.0 للوصول إلى Google APIs. عند الحصول على رمز الوصول، استخدِم أحد نطاقات OAuth التالية:
https://www.googleapis.com/auth/cloud_search.settings.indexingأوhttps://www.googleapis.com/auth/cloud_search.settingsأوhttps://www.googleapis.com/auth/cloud_searchنفِّذ الأمر curl التالي لضبط المشروع في إعدادات VPC Service Controls ضمن إعدادات "إعدادات العميل" في Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedالمكان:
YOUR_ACCESS_TOKENهو رمز الدخول عبر OAuth 2.0 الذي تم الحصول عليه في الخطوة 5(أ).PROJECT_IDهو رقم تعريف المشروع الذي تم الحصول عليه في الخطوة 1.إذا كانت الاستجابة ناجحة، من المفترض أن يصلك ردّ
200 OKمصحوبًا بإعدادات العميل المعدَّلة.
بعد إكمال الخطوات أعلاه بنجاح، يتم تطبيق قيود عناصر التحكّم في خدمة "سحابة VPC"، كما هو محدّد في نطاق الخدمة، على جميع واجهات برمجة التطبيقات في "بحث Google Cloud"، والعمليات البحثية في cloudsearch.google.com، وعرض الإعدادات أو التقارير وتعديلها باستخدام "وحدة تحكّم المشرف". تتلقّى الطلبات الإضافية التي يتم إرسالها إلى واجهة برمجة التطبيقات Google Cloud Search API والتي لا تلتزم بمستويات الوصول خطأ
PERMISSION_DENIED “Request is prohibited by organization’s policy”.