تحسين الأمان باستخدام عناصر التحكّم في خدمة VPC

يتوافق Google Cloud Search مع عناصر التحكّم في خدمة VPC لتعزيز أمان بياناتك. تتيح لك عناصر التحكّم في خدمة سحابة VPC تحديد محيط خدمة حول موارد Google Cloud Platform لفرض قيود على البيانات والمساعدة في الحدّ من مخاطر استخراج البيانات.

المتطلبات الأساسية

قبل البدء، عليك تثبيت واجهة سطر الأوامر gcloud.

تفعيل عناصر التحكّم في خدمة سحابة VPC

لتفعيل عناصر التحكّم في خدمة سحابة VPC، اتّبِع الخطوات التالية:

  1. احصل على أرقام تعريف المشاريع وأرقام المشاريع الخاصة بمشروع Google Cloud Platform الذي تريد استخدامه. للحصول على أرقام تعريف المشاريع وأرقامها، يُرجى الرجوع إلى مقالة تحديد المشاريع.

  2. استخدِم gcloud لإنشاء سياسة وصول لمؤسستك على Google Cloud Platform:

    1. الحصول على رقم تعريف مؤسستك
    2. إنشاء سياسة وصول
    3. الحصول على اسم سياسة الوصول

  3. أنشئ محيط خدمة يتضمّن Cloud Search كخدمة محظورة من خلال تنفيذ أمر gcloud التالي:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    المكان:

    • NAME هو اسم المحيط.
    • TITLE هو العنوان الذي يمكن لشخص عادي قراءته للمحيط.
    • PROJECTS هي قائمة مفصولة بفواصل تتضمّن رقم مشروع واحدًا أو أكثر، ويسبق كل رقم السلسلة projects/. استخدِم أرقام المشاريع التي تم الحصول عليها في الخطوة 1. على سبيل المثال، إذا كان لديك مشروعان، 12345 و67890، سيكون الإعداد --resource=projects/12345, project/67890 .لا يتيح هذا الخيار سوى أرقام المشاريع، ولا يتيح الأسماء أو المعرّفات.
    • RESTRICTED-SERVICES هي قائمة مفصولة بفواصل تتضمّن خدمة واحدة أو أكثر. استخدِم cloudsearch.googleapis.com.
    • POLICY_NAME هو الاسم الرقمي لسياسة الوصول الخاصة بمؤسستك التي تم الحصول عليها في الخطوة 2(ج).

    لمزيد من المعلومات حول كيفية إنشاء حيّز خدمة، يُرجى الاطّلاع على إنشاء حيّز خدمة.

  4. (اختياري) إذا أردت تطبيق قيود تستند إلى عناوين IP أو المناطق، أنشئ مستويات وصول وأضِفها إلى حيّز الخدمة الذي تم إنشاؤه في الخطوة 3:

    1. لإنشاء مستوى وصول، يُرجى الاطّلاع على إنشاء مستوى وصول أساسي. للاطّلاع على مثال حول كيفية إنشاء شرط لمستوى وصول يسمح بالوصول من نطاق محدّد من عناوين IP فقط، مثل تلك الموجودة ضمن شبكة الشركة، يُرجى الرجوع إلى حصر الوصول على شبكة الشركة.
    2. بعد إنشاء مستوى وصول، أضِفه إلى حدود الخدمة. للحصول على تعليمات حول إضافة مستوى وصول إلى محيط خدمة، يُرجى الاطّلاع على إضافة مستوى وصول إلى محيط حالي. قد يستغرق نشر هذا التغيير وتنفيذه مدة تصل إلى 30 دقيقة.

  5. استخدِم واجهة Cloud Search Customer Service REST API لتعديل إعدادات العميل باستخدام مشروعك المحمي بمحيط عناصر التحكّم في خدمة السحابة الإلكترونية الخاصة الافتراضية (VPC):

  1. الحصول على رمز دخول OAuth 2.0 من خادم تفويض Google للحصول على معلومات حول كيفية الحصول على الرمز المميز، يُرجى الرجوع إلى الخطوة 2 من مقالة استخدام بروتوكول OAuth 2.0 للوصول إلى Google APIs. عند الحصول على رمز الدخول، استخدِم أحد نطاقات OAuth التالية: https://www.googleapis.com/auth/cloud_search.settings.indexing أو https://www.googleapis.com/auth/cloud_search.settings أو https://www.googleapis.com/auth/cloud_search.

  2. نفِّذ أمر curl التالي لضبط المشروع في إعدادات "عناصر التحكّم في خدمة VPC" ضمن "إعدادات العميل" في Google Cloud Search:

    curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

    المكان:

  • YOUR_ACCESS_TOKEN هو رمز الدخول عبر OAuth 2.0 الذي تم الحصول عليه في الخطوة 5أ.

  • PROJECT_ID هو رقم تعريف المشروع الذي تم الحصول عليه في الخطوة 1.

    في حال نجاح العملية، من المفترض أن تتلقّى استجابة 200 OK مصحوبة بإعدادات العميل المعدَّلة.

بعد إكمال الخطوات المذكورة أعلاه بنجاح، يتم تطبيق القيود التي تفرضها عناصر التحكّم في خدمة "سحابة VPC"، كما هو محدّد في حدود الخدمة، على جميع واجهات برمجة التطبيقات في Google Cloud Search وعمليات البحث في cloudsearch.google.com وعرض الإعدادات أو التقارير وتغييرها باستخدام "وحدة تحكّم المشرف". ستتلقّى PERMISSION_DENIED “Request is prohibited by organization’s policy” خطأ عند إرسال طلبات أخرى إلى واجهة برمجة التطبيقات Google Cloud Search API لا تتّبع مستويات الوصول.