เพิ่มความปลอดภัยด้วยการควบคุมบริการ VPC

Google Cloud Search รองรับการควบคุมบริการ VPC เพื่อเพิ่มความปลอดภัยให้กับข้อมูลของคุณ การควบคุมบริการ VPC ช่วยให้คุณกําหนดขอบเขตบริการรอบทรัพยากร Google Cloud Platform เพื่อจํากัดข้อมูลและช่วยบรรเทาความเสี่ยงในการลักลอบนำข้อมูลออกได้

ข้อกำหนดเบื้องต้น

ก่อนเริ่มต้น ให้ติดตั้งอินเทอร์เฟซบรรทัดคำสั่ง gcloud

เปิดใช้การควบคุมบริการ VPC

วิธีเปิดใช้การควบคุมบริการ VPC

1. รับรหัสและหมายเลขโปรเจ็กต์สำหรับโปรเจ็กต์ Google Cloud Platform ที่ต้องการใช้ หากต้องการดูรหัสและหมายเลขโปรเจ็กต์ โปรดดูหัวข้อการระบุโปรเจ็กต์

2. ใช้ gcloud เพื่อสร้างนโยบายการเข้าถึงสำหรับองค์กร Google Cloud Platform โดยทำดังนี้

   1. ดูรหัสองค์กร
   2. สร้างนโยบายการเข้าถึง
   3. ดูชื่อนโยบายการเข้าถึง

3. สร้างขอบเขตบริการที่มี Cloud Search เป็นบริการที่ถูกจํากัดโดยเรียกใช้คําสั่ง gcloud ต่อไปนี้

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   สถานที่:

   • NAME คือชื่อของขอบเขต
   • TITLE คือชื่อขอบเขตที่มนุษย์อ่านได้
   • PROJECTS คือรายการหมายเลขโปรเจ็กต์อย่างน้อย 1 รายการที่คั่นด้วยคอมมา โดยแต่ละรายการจะมีสตริง projects/ อยู่ข้างหน้า ใช้หมายเลขโปรเจ็กต์ที่ได้ในขั้นตอนที่ 1 ตัวอย่างเช่น หากคุณมีโปรเจ็กต์ 2 โปรเจ็กต์ ได้แก่ โปรเจ็กต์ 12345 และ 67890 การตั้งค่าของคุณจะเป็น --resource=projects/12345, project/67890 FLAG นี้รองรับเฉพาะหมายเลขโปรเจ็กต์เท่านั้น ไม่รองรับชื่อหรือรหัส
   • RESTRICTED-SERVICES คือรายการบริการอย่างน้อย 1 รายการที่คั่นด้วยคอมมา ใช้ cloudsearch.googleapis.com
   • POLICY_NAME คือชื่อตัวเลขของนโยบายการเข้าถึงขององค์กรที่ได้มาในขั้นตอนที่ 2ค

   ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีสร้างขอบเขตบริการได้ที่หัวข้อการสร้างขอบเขตบริการ

4. (ไม่บังคับ) หากต้องการใช้การจํากัดตาม IP หรือภูมิภาค ให้สร้างระดับการเข้าถึงและเพิ่มลงในขอบเขตบริการที่สร้างไว้ในขั้นตอนที่ 3 ดังนี้

   1. หากต้องการสร้างระดับการเข้าถึง โปรดดูหัวข้อการสร้างระดับการเข้าถึงพื้นฐาน ดูตัวอย่างวิธีสร้างเงื่อนไขระดับการเข้าถึงที่อนุญาตการเข้าถึงจากช่วงที่อยู่ IP ที่เฉพาะเจาะจงเท่านั้น เช่น ที่อยู่ภายในเครือข่ายของบริษัทได้ที่หัวข้อจำกัดการเข้าถึงในเครือข่ายของบริษัท
   2. หลังจากสร้างระดับการเข้าถึงแล้ว ให้เพิ่มระดับนั้นลงในขอบเขตบริการ ดูวิธีการเพิ่มระดับการเข้าถึงในขอบเขตบริการได้ที่หัวข้อการเพิ่มระดับการเข้าถึงในขอบเขตที่มีอยู่ การเปลี่ยนแปลงนี้อาจใช้เวลาถึง 30 นาทีจึงจะมีผล

5. ใช้ Cloud Search Customer Service REST API เพื่ออัปเดตการตั้งค่าของลูกค้าด้วยโปรเจ็กต์ที่ได้รับการปกป้องด้วยขอบเขตการควบคุมบริการ VPC ดังนี้

1. รับโทเค็นการเข้าถึง OAuth 2.0 จากเซิร์ฟเวอร์การให้สิทธิ์ของ Google ดูข้อมูลเกี่ยวกับการรับโทเค็นได้ที่ขั้นตอนที่ 2 ของหัวข้อการใช้ OAuth 2.0 เพื่อเข้าถึง Google API เมื่อรับโทเค็นการเข้าถึง ให้ใช้ขอบเขต OAuth อย่างใดอย่างหนึ่งต่อไปนี้ https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, หรือ https://www.googleapis.com/auth/cloud_search

2. เรียกใช้คําสั่ง curl ต่อไปนี้เพื่อตั้งค่าโปรเจ็กต์ในการตั้งค่าการควบคุมบริการ VPC ในส่วนการตั้งค่าลูกค้าใน Google Cloud Search

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   สถานที่:

• YOUR_ACCESS_TOKEN คือโทเค็นการเข้าถึง OAuth 2.0 ที่ได้ในขั้นตอนที่ 5ก

• PROJECT_ID คือรหัสโปรเจ็กต์ที่ได้ในขั้นตอนที่ 1

  หากดำเนินการสำเร็จ คุณจะได้รับคําตอบ 200 OK พร้อมการตั้งค่าลูกค้าที่อัปเดตแล้ว

หลังจากทำตามขั้นตอนข้างต้นเรียบร้อยแล้ว ข้อจำกัดของการควบคุมบริการ VPC ตามที่กำหนดไว้ในขอบเขตบริการจะมีผลกับ Google Cloud Search API ทั้งหมด การค้นหาที่ cloudsearch.google.com และการดูและเปลี่ยนแปลงการกำหนดค่าหรือรายงานโดยใช้คอนโซลผู้ดูแลระบบ คำขอเพิ่มเติมไปยัง Google Cloud Search API ที่ไม่เป็นไปตามระดับการเข้าถึงจะได้รับข้อผิดพลาดPERMISSION_DENIED “Request is prohibited by organization’s policy”