VPC Hizmet Kontrolleri ile güvenliği artırma

Google Cloud Search, verilerinizin güvenliğini artırmak için VPC Hizmet Kontrolleri'ni destekler. VPC Hizmet Kontrolleri, verileri sınırlandırmak ve veri hırsızlığı risklerini azaltmaya yardımcı olmak için Google Cloud Platform kaynakları etrafında bir hizmet çevresi tanımlamanıza olanak tanır.

Ön koşullar

Başlamadan önce gcloud komut satırı arayüzünü yükleyin.

VPC Hizmet Kontrolleri'ni etkinleştirme

VPC Hizmet Kontrolleri'ni etkinleştirmek için:

1. Kullanmak istediğiniz Google Cloud Platform projesinin proje kimliklerini ve proje numaralarını alın. Proje kimliklerini ve numaralarını almak için Projeleri tanımlama başlıklı makaleyi inceleyin.

2. Google Cloud Platform kuruluşunuz için erişim politikası oluşturmak üzere gcloud'u kullanın:

   1. Kuruluş kimliğinizi alın.
   2. Erişim politikası oluşturun.
   3. Erişim politikanızın adını öğrenin.

3. Aşağıdaki gcloud komutunu çalıştırarak Cloud Search'ın kısıtlanmış bir hizmet olarak yer aldığı bir hizmet çevresi oluşturun:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Burada:

   • NAME, çevrenin adıdır.
   • TITLE, çevrenin kullanıcılar tarafından okunabilen başlığıdır.
   • PROJECTS, bir veya daha fazla proje numarasının virgülle ayrılmış bir listesidir. Her proje numarasının önünde projects/ dizesi bulunur. 1. adımda elde edilen proje numaralarını kullanın. Örneğin, 12345 projesi ve 67890 adlı iki projeniz varsa ayarınız --resource=projects/12345, project/67890 olur .Bu işaret yalnızca proje numaralarını destekler, adları veya kimlikleri desteklemez.
   • RESTRICTED-SERVICES, bir veya daha fazla hizmetin virgülle ayrılmış listesidir. cloudsearch.googleapis.com hesabını kullanın.
   • POLICY_NAME, kuruluşunuzun 2c adımında alınan erişim politikasının sayısal adıdır.

   Hizmet çevresi oluşturma hakkında daha fazla bilgi için Hizmet çevresi oluşturma başlıklı makaleyi inceleyin.

4. (isteğe bağlı) IP veya bölge tabanlı kısıtlamalar uygulamak istiyorsanız erişim düzeyleri oluşturun ve bunları 3. adımda oluşturulan hizmet çevresine ekleyin:

   1. Erişim düzeyi oluşturmak için Temel erişim düzeyi oluşturma başlıklı makaleyi inceleyin. Yalnızca belirli bir IP adresi aralığından (ör. kurumsal ağdaki IP adresleri) erişime izin veren bir erişim düzeyi koşulu oluşturma örneği için Kurumsal ağda erişimi sınırlama başlıklı makaleyi inceleyin.
   2. Oluşturduğunuz erişim düzeyini hizmet çevresine ekleyin. Hizmet çevresine erişim düzeyi eklemeyle ilgili talimatlar için Mevcut bir çevreye erişim düzeyi ekleme başlıklı makaleyi inceleyin. Bu değişikliğin uygulanması ve geçerli olması 30 dakika kadar sürebilir.

5. Müşteri ayarlarını VPC Hizmet Kontrolleri çevre korumalı projenizle güncellemek için Cloud Search Müşteri Hizmetleri REST API'sini kullanın:

1. Google Yetkilendirme Sunucusu'ndan bir OAuth 2.0 erişim jetonu alın. Jeton alma hakkında bilgi edinmek için Google API'lerine Erişmek için OAuth 2.0'ı Kullanma başlıklı makalenin 2. adımına bakın. Erişim jetonunu alırken aşağıdaki OAuth kapsamlarından birini kullanın: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings veya https://www.googleapis.com/auth/cloud_search

2. Google Cloud Search'teki Müşteri ayarları altındaki VPC Hizmet Denetimleri ayarlarında projeyi ayarlamak için aşağıdaki curl komutunu çalıştırın:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Burada:

• YOUR_ACCESS_TOKEN, 5a adımında elde edilen OAuth 2.0 erişim jetonudur.

• PROJECT_ID, 1. adımda elde edilen proje kimliğidir.

  İşlem başarılı olursa güncellenmiş müşteri ayarlarıyla birlikte bir 200 OK yanıtı alırsınız.

Yukarıdaki adımlar başarıyla tamamlandıktan sonra, hizmet çevresinde tanımlandığı şekilde VPC Hizmet Kontrolleri kısıtlamaları tüm Google Cloud Search API'lerine, cloudsearch.google.com adresindeki aramalara ve Yönetici Konsolu'nu kullanarak yapılandırma veya raporları görüntüleme ve değiştirme işlemlerine uygulanır. Google Cloud Search API'ye erişim düzeylerine uymayan diğer istekler PERMISSION_DENIED “Request is prohibited by organization’s policy” hatası alır.