يتوافق Google Cloud Search مع عناصر التحكّم في خدمة VPC لتعزيز أمان بياناتك. تتيح لك عناصر التحكّم في خدمة سحابة VPC تحديد محيط خدمة حول موارد Google Cloud Platform لفرض قيود على البيانات والمساعدة في الحدّ من مخاطر استخراج البيانات.
المتطلبات الأساسية
قبل البدء، عليك تثبيت واجهة سطر الأوامر gcloud.
تفعيل عناصر التحكّم في خدمة سحابة VPC
لتفعيل عناصر التحكّم في خدمة سحابة VPC، اتّبِع الخطوات التالية:
احصل على أرقام تعريف المشاريع وأرقام المشاريع الخاصة بمشروع Google Cloud Platform الذي تريد استخدامه. للحصول على أرقام تعريف المشاريع وأرقامها، يُرجى الرجوع إلى مقالة تحديد المشاريع.
استخدِم gcloud لإنشاء سياسة وصول لمؤسستك على Google Cloud Platform:
أنشئ محيط خدمة يتضمّن Cloud Search كخدمة محظورة من خلال تنفيذ أمر gcloud التالي:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEالمكان:
-
NAMEهو اسم المحيط. -
TITLEهو العنوان الذي يمكن لشخص عادي قراءته للمحيط. -
PROJECTSهي قائمة مفصولة بفواصل تتضمّن رقم مشروع واحدًا أو أكثر، ويسبق كل رقم السلسلةprojects/. استخدِم أرقام المشاريع التي تم الحصول عليها في الخطوة 1. على سبيل المثال، إذا كان لديك مشروعان،12345و67890، سيكون الإعداد--resource=projects/12345, project/67890.لا يتيح هذا الخيار سوى أرقام المشاريع، ولا يتيح الأسماء أو المعرّفات. -
RESTRICTED-SERVICESهي قائمة مفصولة بفواصل تتضمّن خدمة واحدة أو أكثر. استخدِمcloudsearch.googleapis.com. POLICY_NAMEهو الاسم الرقمي لسياسة الوصول الخاصة بمؤسستك التي تم الحصول عليها في الخطوة 2(ج).
لمزيد من المعلومات حول كيفية إنشاء حيّز خدمة، يُرجى الاطّلاع على إنشاء حيّز خدمة.
-
(اختياري) إذا أردت تطبيق قيود تستند إلى عناوين IP أو المناطق، أنشئ مستويات وصول وأضِفها إلى حيّز الخدمة الذي تم إنشاؤه في الخطوة 3:
- لإنشاء مستوى وصول، يُرجى الرجوع إلى مقالة إنشاء مستوى وصول أساسي. للاطّلاع على مثال حول كيفية إنشاء شرط لمستوى وصول يسمح بالوصول من نطاق محدّد من عناوين IP فقط، مثل تلك الموجودة ضمن شبكة الشركة، يُرجى الرجوع إلى حصر الوصول على شبكة الشركة.
- بعد إنشاء مستوى وصول، أضِفه إلى حدود الخدمة. للحصول على تعليمات حول إضافة مستوى وصول إلى حدود الخدمة، يُرجى الاطّلاع على مقالة إضافة مستوى وصول إلى حدود حالية. قد يستغرق نشر هذا التغيير وتنفيذه ما يصل إلى 30 دقيقة.
استخدِم واجهة Cloud Search Customer Service REST API لتعديل إعدادات العميل باستخدام مشروعك المحمي بمحيط عناصر التحكّم في خدمة السحابة الافتراضية الخاصة:
الحصول على رمز دخول OAuth 2.0 من خادم تفويض Google للحصول على معلومات حول كيفية الحصول على الرمز المميز، يُرجى الرجوع إلى الخطوة 2 من مقالة استخدام بروتوكول OAuth 2.0 للوصول إلى Google APIs. عند الحصول على رمز الدخول، استخدِم أحد نطاقات OAuth التالية:
https://www.googleapis.com/auth/cloud_search.settings.indexingأوhttps://www.googleapis.com/auth/cloud_search.settingsأوhttps://www.googleapis.com/auth/cloud_search.نفِّذ أمر curl التالي لضبط المشروع في إعدادات "عناصر التحكّم في الخدمة ضِمن شبكة VPC" ضمن "إعدادات العميل" في Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedالمكان:
YOUR_ACCESS_TOKENهو رمز الدخول عبر OAuth 2.0 الذي تم الحصول عليه في الخطوة 5أ.PROJECT_IDهو رقم تعريف المشروع الذي تم الحصول عليه في الخطوة 1.في حال نجاح العملية، من المفترض أن تتلقّى استجابة
200 OKمصحوبة بإعدادات العميل المعدَّلة.
بعد إكمال الخطوات المذكورة أعلاه بنجاح، يتم تطبيق القيود التي تفرضها عناصر التحكّم في خدمة "سحابة VPC"، كما هو محدّد في حدود الخدمة، على جميع واجهات برمجة التطبيقات في Google Cloud Search وعمليات البحث في cloudsearch.google.com وعرض الإعدادات أو التقارير وتغييرها باستخدام "وحدة تحكّم المشرف". ستتلقّى PERMISSION_DENIED “Request is prohibited by organization’s policy” خطأ عند إرسال طلبات أخرى إلى واجهة برمجة التطبيقات Google Cloud Search API لا تتّبع مستويات الوصول.