เพิ่มความปลอดภัยด้วยการควบคุมบริการ VPC

Google Cloud Search รองรับการควบคุมบริการ VPC เพื่อเพิ่มความปลอดภัยของข้อมูล การควบคุมบริการ VPC ช่วยให้คุณกำหนด ขอบเขตบริการรอบๆ ทรัพยากร Google Cloud Platform เพื่อจำกัดข้อมูล และช่วยลดความเสี่ยงในการขโมยข้อมูลได้

ข้อกำหนดเบื้องต้น

ก่อนเริ่มต้น ให้ติดตั้งอินเทอร์เฟซบรรทัดคำสั่ง gcloud

เปิดใช้การควบคุมบริการ VPC

วิธีเปิดใช้การควบคุมบริการ VPC

1. รับรหัสโปรเจ็กต์และหมายเลขโปรเจ็กต์สำหรับโปรเจ็กต์ Google Cloud Platform ที่ต้องการใช้ หากต้องการดูรหัสและหมายเลขโปรเจ็กต์ โปรดดูที่หัวข้อ การระบุโปรเจ็กต์

2. ใช้ gcloud เพื่อสร้างนโยบายการเข้าถึงสำหรับองค์กร Google Cloud Platform

   1. รับรหัสองค์กร
   2. สร้างนโยบายการเข้าถึง
   3. รับชื่อของนโยบายการเข้าถึง

3. สร้างขอบเขตบริการโดยใช้ Cloud Search เป็นบริการที่ถูกจำกัดโดย เรียกใช้คำสั่ง gcloud ต่อไปนี้

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   สถานที่:

   • NAME คือชื่อของขอบเขต
   • TITLE คือชื่อขอบเขตที่มนุษย์อ่านได้
   • PROJECTS คือรายการที่คั่นด้วยคอมมาของหมายเลขโปรเจ็กต์อย่างน้อย 1 รายการ โดยแต่ละรายการ นำหน้าด้วยสตริง projects/ ใช้หมายเลขโปรเจ็กต์ที่ได้รับใน ขั้นตอนที่ 1 ตัวอย่างเช่น หากคุณมี 2 โปรเจ็กต์ ได้แก่ โปรเจ็กต์ 12345 และ 67890 การตั้งค่าจะเป็น --resource=projects/12345, project/67890 แฟล็กนี้รองรับเฉพาะหมายเลขโปรเจ็กต์ ไม่รองรับชื่อหรือรหัส
   • RESTRICTED-SERVICES คือรายการที่คั่นด้วยคอมมาของบริการอย่างน้อย 1 รายการ ใช้ cloudsearch.googleapis.com
   • POLICY_NAME คือชื่อที่เป็นตัวเลขของนโยบายการเข้าถึงขององค์กร ซึ่งได้รับในขั้นตอนที่ 2c

   ดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีสร้างขอบเขตบริการได้ที่ การสร้างขอบเขตบริการ

4. (ไม่บังคับ) หากต้องการใช้ข้อจำกัดตาม IP หรือภูมิภาค ให้สร้าง ระดับการเข้าถึงและเพิ่มระดับการเข้าถึงเหล่านั้นลงในขอบเขตบริการที่สร้างขึ้นในขั้นตอนที่ 3

   1. หากต้องการสร้างระดับการเข้าถึง โปรดดูการสร้างระดับการเข้าถึงพื้นฐาน ตัวอย่างวิธีสร้างเงื่อนไขระดับการเข้าถึงที่อนุญาตให้เข้าถึงได้จากช่วงที่อยู่ IP ที่เฉพาะเจาะจงเท่านั้น เช่น ที่อยู่ IP ภายในเครือข่ายขององค์กร โปรดดูจำกัดการเข้าถึงในเครือข่ายขององค์กร
   2. หลังจากสร้างระดับการเข้าถึงแล้ว ให้เพิ่มระดับการเข้าถึงนั้นลงในขอบเขตบริการ ดูวิธีการเพิ่มระดับการเข้าถึงลงในขอบเขตบริการได้ที่ การเพิ่มระดับการเข้าถึงลงในขอบเขตที่มีอยู่ การเปลี่ยนแปลงนี้อาจใช้เวลาถึง 30 นาทีจึงจะมีผล

5. ใช้ REST API ของฝ่ายบริการลูกค้าของ Cloud Search เพื่ออัปเดตการตั้งค่าลูกค้า ด้วยโปรเจ็กต์ที่ได้รับการปกป้องด้วยขอบเขตการควบคุมบริการ VPC โดยทำดังนี้

1. รับโทเค็นเพื่อการเข้าถึง OAuth 2.0 จากเซิร์ฟเวอร์การให้สิทธิ์ของ Google ดูข้อมูลเกี่ยวกับการขอรับโทเค็นได้ที่ขั้นตอนที่ 2 ของการใช้ OAuth 2.0 เพื่อเข้าถึง Google APIs เมื่อได้รับโทเค็นเพื่อการเข้าถึง ให้ใช้ขอบเขต OAuth อย่างใดอย่างหนึ่งต่อไปนี้ https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, หรือ https://www.googleapis.com/auth/cloud_search

2. เรียกใช้คำสั่ง curl ต่อไปนี้เพื่อตั้งค่าโปรเจ็กต์ในการตั้งค่า VPC Service Controls ในส่วนการตั้งค่าลูกค้าใน Google Cloud Search

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   สถานที่:

• YOUR_ACCESS_TOKEN คือโทเค็นเพื่อการเข้าถึง OAuth 2.0 ที่ได้รับในขั้นตอนที่ 5ก

• PROJECT_ID คือรหัสโปรเจ็กต์ที่ได้รับในขั้นตอนที่ 1

  หากทำสำเร็จ คุณจะได้รับการตอบกลับ 200 OK พร้อมกับการตั้งค่าลูกค้าที่อัปเดตแล้ว

หลังจากทำตามขั้นตอนข้างต้นเรียบร้อยแล้ว ระบบจะใช้ข้อจำกัดของตัวควบคุมบริการ VPC ตามที่กำหนดไว้ในขอบเขตบริการกับ Google Cloud Search APIs, การค้นหาที่ cloudsearch.google.com รวมถึงการดูและการเปลี่ยนการกำหนดค่าหรือรายงานโดยใช้คอนโซลผู้ดูแลระบบ คำขอเพิ่มเติม ไปยัง Google Cloud Search API ที่ไม่เป็นไปตามระดับการเข้าถึงจะได้รับข้อผิดพลาด PERMISSION_DENIED “Request is prohibited by organization’s policy”