Google Cloud Search hỗ trợ VPC Service Controls để tăng cường bảo mật cho dữ liệu của bạn. VPC Service Controls cho phép bạn xác định ranh giới dịch vụ xung quanh các tài nguyên của Google Cloud Platform để hạn chế dữ liệu và giúp giảm thiểu rủi ro rò rỉ dữ liệu.
Điều kiện tiên quyết
Trước khi bắt đầu, hãy cài đặt giao diện dòng lệnh gcloud.
Bật VPC Service Controls
Cách bật VPC Service Controls:
Lấy mã dự án và số dự án cho dự án Google Cloud Platform mà bạn muốn sử dụng. Để lấy mã và số dự án, hãy tham khảo phần Xác định dự án.
Sử dụng gcloud để tạo chính sách truy cập cho tổ chức của bạn trên Google Cloud Platform:
Tạo một phạm vi dịch vụ có Cloud Search là dịch vụ bị hạn chế bằng cách chạy lệnh gcloud sau:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMETrong trường hợp:
NAMElà tên của chu vi.TITLElà tiêu đề mà con người có thể đọc được của chu vi.PROJECTSlà danh sách được phân tách bằng dấu phẩy, trong đó có một hoặc nhiều số dự án, mỗi số dự án được đặt trước bằng chuỗiprojects/. Sử dụng số dự án thu được ở bước 1. Ví dụ: nếu bạn có hai dự án, dự án12345và67890, thì chế độ cài đặt của bạn sẽ là--resource=projects/12345, project/67890.Cờ này chỉ hỗ trợ số dự án; không hỗ trợ tên hoặc mã nhận dạng.RESTRICTED-SERVICESlà danh sách được phân tách bằng dấu phẩy gồm một hoặc nhiều dịch vụ. Sử dụngcloudsearch.googleapis.com.POLICY_NAMElà tên dạng số của chính sách truy cập của tổ chức mà bạn nhận được ở bước 2c.
Để biết thêm thông tin về cách tạo phạm vi dịch vụ, hãy tham khảo bài viết Tạo phạm vi dịch vụ.
(không bắt buộc) Nếu bạn muốn áp dụng các quy định hạn chế dựa trên IP hoặc khu vực, hãy tạo cấp truy cập và thêm các cấp đó vào phạm vi dịch vụ được tạo ở bước 3:
- Để tạo cấp truy cập, hãy tham khảo bài viết Tạo cấp truy cập cơ bản. Để biết ví dụ về cách tạo điều kiện cấp truy cập chỉ cho phép truy cập từ một dải địa chỉ IP cụ thể, chẳng hạn như các địa chỉ trong mạng của công ty, hãy tham khảo phần Giới hạn quyền truy cập trên mạng của công ty.
- Sau khi bạn tạo một cấp truy cập, hãy thêm cấp truy cập đó vào phạm vi dịch vụ. Để biết hướng dẫn về cách thêm cấp truy cập vào phạm vi dịch vụ, hãy tham khảo bài viết Thêm cấp truy cập vào phạm vi hiện có. Có thể mất tới 30 phút để thay đổi này được truyền tải và có hiệu lực.
Sử dụng API REST Dịch vụ khách hàng của Cloud Search để cập nhật chế độ cài đặt của khách hàng bằng dự án được bảo vệ bằng phạm vi VPC Service Controls:
Lấy mã thông báo truy cập OAuth 2.0 từ Máy chủ uỷ quyền của Google. Để biết thông tin về cách lấy mã thông báo, hãy tham khảo bước 2 trong phần Sử dụng OAuth 2.0 để truy cập vào API của Google. Khi lấy mã truy cập, hãy sử dụng một trong các phạm vi OAuth sau:
https://www.googleapis.com/auth/cloud_search.settings.indexing,https://www.googleapis.com/auth/cloud_search.settingshoặchttps://www.googleapis.com/auth/cloud_searchChạy lệnh curl sau để đặt dự án trong phần cài đặt VPC Service Controls (Chế độ kiểm soát dịch vụ VPC) trong phần Cài đặt khách hàng của Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedTrong trường hợp:
YOUR_ACCESS_TOKENlà mã truy cập OAuth 2.0 thu được ở bước 5a.PROJECT_IDlà mã dự án thu được ở bước 1.Nếu thành công, bạn sẽ nhận được phản hồi
200 OKcùng với chế độ cài đặt mới cập nhật của khách hàng.
Sau khi bạn hoàn tất các bước trên, các quy định hạn chế của VPC Service Controls (như được xác định trong phạm vi dịch vụ) sẽ được áp dụng cho tất cả API Google Cloud Search, lượt tìm kiếm tại cloudsearch.google.com, cũng như việc xem và thay đổi cấu hình hoặc báo cáo bằng cách sử dụng Bảng điều khiển quản trị. Các yêu cầu khác đến API Google Cloud Search không tuân theo cấp truy cập sẽ nhận được lỗi PERMISSION_DENIED “Request is prohibited by organization’s policy”.