Google Cloud Search obsługuje Ustawienia usługi VPC, aby zwiększyć bezpieczeństwo Twoich danych. Ustawienia usługi VPC umożliwiają zdefiniowanie granicy usługi wokół zasobów Google Cloud Platform, aby ograniczyć dostęp do danych i zmniejszyć ryzyko wydobycia danych.
Wymagania wstępne
Zanim zaczniesz, zainstaluj interfejs wiersza poleceń gcloud.
Włączanie Ustawień usługi VPC
Aby włączyć Ustawienia usługi VPC:
Uzyskaj identyfikatory i numery projektów Google Cloud Platform, których chcesz użyć. Aby uzyskać identyfikatory i numery projektów, przeczytaj artykuł o identyfikowaniu projektów.
Użyj gcloud, aby utworzyć zasadę dostępu dla organizacji Google Cloud Platform:
Utwórz granicę usług z Cloud Search jako usługą z ograniczeniami, uruchamiając to polecenie gcloud:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAME
Gdzie:
NAME
to nazwa granicy.TITLE
to czytelna dla użytkownika nazwa perymetru.PROJECTS
to rozdzielona przecinkami lista co najmniej 1 numeru projektu, z których każdy poprzedzony jest ciągiem znakówprojects/
. Użyj numerów projektów uzyskanych w kroku 1. Jeśli na przykład masz 2 projekty,12345
i67890
, ustawienie będzie wyglądać tak:--resource=projects/12345, project/67890
.Ten parametr obsługuje tylko numery projektów; nie obsługuje nazw ani identyfikatorów.RESTRICTED-SERVICES
to lista co najmniej 1 usługi rozdzielona przecinkami. Użyjcloudsearch.googleapis.com
.POLICY_NAME
to numeryczna nazwa polityki dostępu organizacji uzyskana w kroku 2c.
Więcej informacji o tworzeniu granicy usługi znajdziesz w artykule Tworzenie granicy usługi.
(Opcjonalnie) Jeśli chcesz zastosować ograniczenia na podstawie adresu IP lub regionu, utwórz poziomy dostępu i dodaj je do obszaru usługi utworzonego w kroku 3:
- Aby utworzyć poziom dostępu, zapoznaj się z artykułem Tworzenie podstawowego poziomu dostępu. Przykład utworzenia warunku poziomu dostępu, który zezwala na dostęp tylko z określonego zakresu adresów IP, np. z sieci firmowej, znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.
- Po utworzeniu poziomu dostępu dodaj go do granicy usługi. Instrukcje dotyczące dodawania poziomu dostępu do granicy usługi znajdziesz w artykule Dodawanie poziomu dostępu do istniejącej granicy. Rozpowszechnienie i wprowadzenie w życie tej zmiany może potrwać do 30 minut.
Aby zaktualizować ustawienia klienta w projekcie chronionym przez granicę usług VPC, użyj interfejsu Cloud Search REST API:
Uzyskaj token dostępu OAuth 2.0 z serwera autoryzacji Google. Informacje o uzyskiwaniu tokena znajdziesz w kroku 2 w artykule Używanie protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google. Podczas uzyskiwania tokena dostępu użyj jednego z tych zakresów OAuth:
https://www.googleapis.com/auth/cloud_search.settings.indexing
,https://www.googleapis.com/auth/cloud_search.settings
lubhttps://www.googleapis.com/auth/cloud_search
Aby ustawić projekt w ustawieniach Ustawień usługi VPC w sekcji Ustawienia klienta w Google Cloud Search, uruchom to polecenie curl:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressed
Gdzie:
YOUR_ACCESS_TOKEN
to token dostępu OAuth 2.0 uzyskany w kroku 5a.PROJECT_ID
to identyfikator projektu uzyskany w kroku 1.Jeśli operacja się powiedzie, otrzymasz odpowiedź
200 OK
z aktualnymi ustawieniami klienta.
Po wykonaniu powyższych czynności ograniczenia Ustawień usługi VPC zgodnie z definicją w granicy usługi są stosowane do wszystkich interfejsów API wyszukiwania Google Cloud, wyszukiwań w cloudsearch.google.com
oraz wyświetlania i zmiany konfiguracji lub raportów za pomocą konsoli administracyjnej. Kolejne żądania do interfejsu Google Cloud Search API, które nie są zgodne z poziomami dostępu, powodują błądPERMISSION_DENIED “Request is prohibited by organization’s policy”
.