Google Cloud Search obsługuje Ustawienia usługi VPC, aby zwiększyć bezpieczeństwo Twoich danych. Ustawienia usługi VPC umożliwiają zdefiniowanie granicy usługi wokół zasobów Google Cloud Platform, aby ograniczyć dostęp do danych i zmniejszyć ryzyko wydobycia danych.
Wymagania wstępne
Zanim zaczniesz, zainstaluj interfejs wiersza poleceń gcloud.
Włączanie Ustawień usługi VPC
Aby włączyć Ustawienia usługi VPC:
Uzyskaj identyfikatory i numery projektów Google Cloud Platform, których chcesz użyć. Aby uzyskać identyfikatory i numery projektów, przeczytaj artykuł Identyfikowanie projektów.
Utwórz za pomocą gcloud zasadę dostępu dla organizacji w Google Cloud Platform:
Utwórz granicę usługi z Cloud Search jako usługą z ograniczeniami, uruchamiając to polecenie gcloud:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEGdzie:
NAMEto nazwa granicy.TITLEto zrozumiały dla człowieka tytuł granicy.PROJECTSto rozdzielana przecinkami lista zawierająca co najmniej 1 numer projektu, z którym każdy jest poprzedzony ciągiemprojects/. Użyj numerów projektów uzyskanych w kroku 1. Jeśli na przykład masz 2 projekty,12345i67890, ustawienie będzie wyglądać tak:--resource=projects/12345, project/67890.Ten parametr obsługuje tylko numery projektów; nie obsługuje nazw ani identyfikatorów.RESTRICTED-SERVICESto oddzielona przecinkami lista zawierająca co najmniej 1 usługę. Użyj kontacloudsearch.googleapis.com.POLICY_NAMEto numeryczna nazwa polityki dostępu organizacji uzyskana w kroku 2c.
Więcej informacji o tworzeniu granicy usługi znajdziesz w artykule Tworzenie granicy usługi.
(Opcjonalnie) Jeśli chcesz zastosować ograniczenia na podstawie adresu IP lub regionu, utwórz poziomy dostępu i dodaj je do obszaru usługi utworzonego w kroku 3:
- Aby utworzyć poziom dostępu, zapoznaj się z artykułem Tworzenie podstawowego poziomu dostępu. Przykład utworzenia warunku poziomu dostępu, który zezwala na dostęp tylko z określonego zakresu adresów IP, np. z sieci firmowej, znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.
- Po utworzeniu poziomu dostępu dodaj go do granicy usług. Instrukcje dotyczące dodawania poziomu dostępu do granicy usługi znajdziesz w artykule Dodawanie poziomu dostępu do istniejącej granicy. Rozpowszechnienie i zastosowanie tej zmiany może potrwać do 30 minut.
Aby zaktualizować ustawienia klienta w projekcie chronionym przez granicę usług VPC, użyj interfejsu Cloud Search REST API:
Uzyskaj token dostępu OAuth 2.0 z serwera autoryzacji Google. Informacje o uzyskiwaniu tokena znajdziesz w kroku 2 w artykule Używanie protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google. Uzyskując token dostępu, użyj jednego z tych zakresów protokołu OAuth:
https://www.googleapis.com/auth/cloud_search.settings.indexing,https://www.googleapis.com/auth/cloud_search.settingslubhttps://www.googleapis.com/auth/cloud_searchAby ustawić projekt w ustawieniach Ustawień usługi VPC w sekcji Ustawienia klienta w Google Cloud Search, uruchom to polecenie curl:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedGdzie:
YOUR_ACCESS_TOKENto token dostępu OAuth 2.0 uzyskany w kroku 5a.PROJECT_IDto identyfikator projektu uzyskany w kroku 1.Jeśli operacja się powiedzie, otrzymasz odpowiedź
200 OKz aktualnymi ustawieniami klienta.
Gdy wykonasz powyższe czynności, ograniczenia Ustawień usługi VPC określone w granicach usług zostaną zastosowane do wszystkich interfejsów Google Cloud Search API, wyszukiwania na stronie cloudsearch.google.com oraz wyświetlania i zmieniania konfiguracji lub raportów w konsoli administracyjnej. Kolejne żądania do interfejsu Google Cloud Search API, które nie są zgodne z poziomami dostępu, powodują błąd PERMISSION_DENIED “Request is prohibited by organization’s policy”.