جستجوی ابری گوگل از کنترلهای سرویس VPC برای افزایش امنیت دادههای شما پشتیبانی میکند. کنترلهای سرویس VPC به شما امکان میدهد تا یک محیط سرویس در اطراف منابع پلتفرم ابری گوگل تعریف کنید تا دادهها را محدود کرده و به کاهش خطرات استخراج دادهها کمک کنید.
پیشنیازها
قبل از شروع، رابط خط فرمان gcloud را نصب کنید .
کنترلهای سرویس VPC را فعال کنید
برای فعال کردن کنترلهای سرویس VPC:
شناسهها و شمارههای پروژه را برای پروژه پلتفرم ابری گوگل که میخواهید استفاده کنید، دریافت کنید. برای دریافت شناسهها و شمارههای پروژه، به شناسایی پروژهها مراجعه کنید.
از gcloud برای ایجاد یک سیاست دسترسی برای سازمان پلتفرم گوگل کلود خود استفاده کنید:
با اجرای دستور gcloud زیر، یک محیط سرویس با Cloud Search به عنوان یک سرویس محدود ایجاد کنید:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEکجا:
-
NAMEنام محیط است. -
TITLE، عنوان قابل خواندن توسط انسان برای محیط است. -
PROJECTSفهرستی از یک یا چند شماره پروژه است که با کاما از هم جدا شدهاند و قبل از هر کدام رشتهprojects/قرار دارد. از شماره پروژههای به دست آمده در مرحله ۱ استفاده کنید. برای مثال، اگر دو پروژه داشتید، پروژه12345و67890، تنظیم شما به صورت--resource=projects/12345, project/67890خواهد بود. این پرچم فقط از شماره پروژهها پشتیبانی میکند؛ از نامها یا شناسهها پشتیبانی نمیکند. -
RESTRICTED-SERVICESفهرستی از یک یا چند سرویس است که با ویرگول از هم جدا شدهاند. ازcloudsearch.googleapis.comاستفاده کنید. -
POLICY_NAMEنام عددی سیاست دسترسی سازمان شما است که در مرحله 2c به دست آمده است.
برای اطلاعات بیشتر در مورد نحوه ایجاد یک محیط سرویس، به «ایجاد یک محیط سرویس» مراجعه کنید.
-
(اختیاری) اگر میخواهید محدودیتهای مبتنی بر IP یا منطقه اعمال کنید، سطوح دسترسی ایجاد کنید و آنها را به محیط سرویس ایجاد شده در مرحله 3 اضافه کنید:
- برای ایجاد یک سطح دسترسی، به «ایجاد یک سطح دسترسی پایه» مراجعه کنید. برای مثالی در مورد نحوه ایجاد یک شرط سطح دسترسی که فقط امکان دسترسی از یک محدوده خاص از آدرسهای IP، مانند آدرسهای درون یک شبکه شرکتی را فراهم میکند، به «محدود کردن دسترسی در یک شبکه شرکتی» مراجعه کنید.
- پس از ایجاد سطح دسترسی، آن را به محیط سرویس اضافه کنید. برای دستورالعملهای مربوط به افزودن سطح دسترسی به محیط سرویس، به «افزودن سطح دسترسی به محیط موجود» مراجعه کنید. این تغییر میتواند تا 30 دقیقه طول بکشد تا منتشر و اعمال شود.
از API REST سرویس مشتری Cloud Search برای بهروزرسانی تنظیمات مشتری با پروژه محافظتشدهی VPC Service Controls خود استفاده کنید:
یک توکن دسترسی OAuth 2.0 از سرور احراز هویت گوگل دریافت کنید. برای اطلاعات بیشتر در مورد دریافت توکن، به مرحله 2 استفاده از OAuth 2.0 برای دسترسی به APIهای گوگل مراجعه کنید. هنگام دریافت توکن دسترسی، از یکی از حوزههای OAuth زیر استفاده کنید:
https://www.googleapis.com/auth/cloud_search.settings.indexing،https://www.googleapis.com/auth/cloud_search.settings، یاhttps://www.googleapis.com/auth/cloud_searchدستور curl زیر را برای تنظیم پروژه در تنظیمات VPC Service Controls در زیر تنظیمات مشتری در Google Cloud Search اجرا کنید:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedکجا:
-
YOUR_ACCESS_TOKENتوکن دسترسی OAuth 2.0 است که در مرحله 5a به دست آمده است. PROJECT_IDشناسه پروژهای است که در مرحله ۱ به دست آمده است.در صورت موفقیت، باید یک پاسخ
200 OKبه همراه تنظیمات مشتری بهروزرسانیشده دریافت کنید.
پس از انجام موفقیتآمیز مراحل فوق، محدودیتهای کنترلهای سرویس VPC، همانطور که در محیط سرویس تعریف شده است، بر روی تمام APIهای جستجوی ابری گوگل، جستجوهای انجام شده در cloudsearch.google.com و مشاهده و تغییر پیکربندی یا گزارشها با استفاده از کنسول مدیریت اعمال میشود. درخواستهای بیشتر به API جستجوی ابری گوگل که از سطوح دسترسی پیروی نمیکنند، خطای PERMISSION_DENIED “Request is prohibited by organization's policy” دریافت میکنند.