VPC Hizmet Kontrolleri ile güvenliği artırma

Google Cloud Search, verilerinizin güvenliğini artırmak için VPC Hizmet Kontrolleri'ni destekler. VPC Hizmet Kontrolleri, verileri sınırlandırmak ve veri hırsızlığı risklerini azaltmaya yardımcı olmak için Google Cloud Platform kaynakları etrafında bir hizmet çevresi tanımlamanıza olanak tanır.

Ön koşullar

Başlamadan önce gcloud komut satırı arayüzünü yükleyin.

VPC Hizmet Kontrolleri'ni etkinleştirme

VPC Hizmet Kontrolleri'ni etkinleştirmek için:

1. Kullanmak istediğiniz Google Cloud Platform projesi için proje kimliklerini ve proje numaralarını edinin. Proje kimliklerini ve numaralarını öğrenmek için Projeleri belirleme bölümünü inceleyin.

2. Google Cloud Platform kuruluşunuz için bir erişim politikası oluşturmak üzere gcloud'u kullanın:

   1. Kuruluş kimliğinizi alın.
   2. Erişim politikası oluşturun.
   3. Erişim politikanızın adını öğrenin.

3. Aşağıdaki gcloud komutunu çalıştırarak Cloud Search'ü kısıtlanmış hizmet olarak kullanarak hizmet çevresi oluşturun:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Burada:

   • NAME, çevrenin adıdır.
   • TITLE, çevrenin kullanıcılar tarafından okunabilen başlığıdır.
   • PROJECTS, her biri projects/ dizesiyle başlayan bir veya daha fazla proje numarasının virgülle ayrılmış listesidir. 1. adımda elde ettiğiniz proje numaralarını kullanın. Örneğin, 12345 ve 67890 adlı iki projeniz varsa ayarınız --resource=projects/12345, project/67890 olur .Bu işaret yalnızca proje numaralarını destekler, adları veya kimlikleri desteklemez.
   • RESTRICTED-SERVICES, bir veya daha fazla hizmetin virgülle ayrılmış listesidir. cloudsearch.googleapis.com hesabını kullan.
   • POLICY_NAME, kuruluşunuzun 2c adımında elde edilen erişim politikasının sayısal adıdır.

   Hizmet çevresi oluşturma hakkında daha fazla bilgi için Hizmet çevresi oluşturma bölümüne bakın.

4. (İsteğe bağlı) IP veya bölge tabanlı kısıtlamalar uygulamak istiyorsanız erişim düzeyleri oluşturun ve bunları 3. adımda oluşturulan hizmet çevresine ekleyin:

   1. Erişim düzeyi oluşturmak için Temel erişim düzeyi oluşturma bölümünü inceleyin. Yalnızca belirli bir IP adresi aralığından (ör. şirket ağındakiler) erişime izin veren erişim düzeyi koşulunun nasıl oluşturulacağıyla ilgili bir örnek için Kurumsal ağda erişimi sınırlama bölümüne bakın.
   2. Bir erişim düzeyi oluşturduktan sonra, bunu hizmet çevresine ekleyin. Hizmet çevresine erişim düzeyi ekleme talimatları için Mevcut bir çevreye erişim düzeyi ekleme bölümüne bakın. Bu değişikliğin geçerli hale gelmesi ve geçerli olması 30 dakika kadar sürebilir.

5. Müşteri ayarlarını VPC Hizmet Kontrolleri çevre korumalı projenizle güncellemek için Cloud Search Müşteri Hizmetleri REST API'sini kullanın:

1. Google Yetkilendirme Sunucusu'ndan bir OAuth 2.0 erişim jetonu alın. Jetonu alma hakkında bilgi edinmek için Google API'lerine Erişmek için OAuth 2.0'ı Kullanma başlıklı makalenin 2. adımına bakın. Erişim jetonunu alırken aşağıdaki OAuth kapsamlarından birini kullanın: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings veya https://www.googleapis.com/auth/cloud_search

2. Projeyi Google Cloud Search'te Müşteri ayarları altındaki VPC Hizmet Kontrolleri ayarlarında ayarlamak için şu curl komutunu çalıştırın:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Burada:

• YOUR_ACCESS_TOKEN, adım 5a'da alınan OAuth 2.0 erişim jetonudur.

• PROJECT_ID, 1. adımda elde edilen proje kimliğidir.

  İnceleme başarılı olursa güncellenmiş müşteri ayarlarıyla birlikte 200 OK yanıtı alırsınız.

Yukarıdaki adımlar başarıyla tamamlandıktan sonra, hizmet çevresinde tanımlanan VPC Hizmet Kontrolleri kısıtlamaları tüm Google Cloud Search API'lerine, cloudsearch.google.com içindeki aramalara ve Yönetici Konsolu kullanılarak yapılandırma veya raporları görüntüleyip değiştirmeye uygulanır. Erişim düzeylerini izlemeyen Google Cloud Search API'ye yapılan diğer istekler PERMISSION_DENIED “Request is prohibited by organization’s policy” hatası alır.