VPC Hizmet Kontrolleri ile güvenliği artırma

Google Cloud Search, verilerinizin güvenliğini artırmak için VPC Hizmet Kontrolleri'ni destekler. VPC Hizmet Kontrolleri, verileri sınırlandırmak ve veri hırsızlığı risklerini azaltmaya yardımcı olmak için Google Cloud Platform kaynakları etrafında bir hizmet çevresi tanımlamanıza olanak tanır.

Ön koşullar

Başlamadan önce gcloud komut satırı arayüzünü yükleyin.

VPC Hizmet Kontrolleri'ni etkinleştirme

VPC Hizmet Kontrolleri'ni etkinleştirmek için:

1. Kullanmak istediğiniz Google Cloud Platform projesinin proje kimliklerini ve proje numaralarını alın. Proje kimliklerini ve numaralarını almak için Projeleri tanımlama başlıklı makaleyi inceleyin.

2. Google Cloud Platform kuruluşunuz için erişim politikası oluşturmak üzere gcloud'u kullanın:

   1. Kuruluş kimliğinizi alın.
   2. Erişim politikası oluşturun.
   3. Erişim politikanızın adını alın.

3. Aşağıdaki gcloud komutunu çalıştırarak Cloud Search'ün kısıtlanmış hizmet olarak kullanıldığı bir hizmet çevresi oluşturun:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Burada:

   • NAME, çevrenin adıdır.
   • TITLE, çevrenin kullanıcılar tarafından okunabilen başlığıdır.
   • PROJECTS, her birinin önüne projects/ dizesi eklenmiş, bir veya daha fazla proje numarasının virgülle ayrılmış listesidir. 1. adımda elde edilen proje numaralarını kullanın. Örneğin, 12345 ve 67890 olmak üzere iki projeniz varsa ayarınız --resource=projects/12345, project/67890 olur .Bu işaret yalnızca proje numaralarını destekler, adları veya kimlikleri desteklemez.
   • RESTRICTED-SERVICES, bir veya daha fazla hizmetin virgülle ayrılmış listesidir. cloudsearch.googleapis.com kullanın.
   • POLICY_NAME, 2c adımında elde edilen kuruluşunuzun erişim politikasının sayısal adıdır.

   Hizmet çevresi oluşturma hakkında daha fazla bilgi için Hizmet çevresi oluşturma başlıklı makaleyi inceleyin.

4. (İsteğe bağlı) IP veya bölge tabanlı kısıtlamalar uygulamak istiyorsanız erişim düzeyleri oluşturun ve bunları 3. adımda oluşturulan hizmet çevresine ekleyin:

   1. Erişim düzeyi oluşturmak için Temel erişim düzeyi oluşturma başlıklı makaleyi inceleyin. Yalnızca belirli bir IP adresi aralığından (ör. kurumsal ağdaki IP adresleri) erişime izin veren bir erişim düzeyi koşulu oluşturma hakkında örnek için Kurumsal ağda erişimi sınırlama başlıklı makaleyi inceleyin.
   2. Erişim düzeyi oluşturduktan sonra bunu hizmet çevresine ekleyin. Hizmet çevresine erişim düzeyi ekleme talimatları için Mevcut bir çevreye erişim düzeyi ekleme başlıklı makaleyi inceleyin. Bu değişikliğin uygulanması 30 dakika kadar sürebilir.

5. Müşteri ayarlarını VPC Hizmet Kontrolleri ile korunan projenizle güncellemek için Cloud Search Müşteri Hizmetleri REST API'sini kullanın:

1. Google yetkilendirme sunucusundan bir OAuth 2.0 erişim jetonu alın. Jetonu edinme hakkında bilgi için Google API'lerine Erişmek İçin OAuth 2.0'ı Kullanma başlıklı makalenin 2. adımına bakın. Erişim jetonunu alırken aşağıdaki OAuth kapsamlarından birini kullanın: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings veya https://www.googleapis.com/auth/cloud_search

2. Google Cloud Search'teki Müşteri ayarları bölümünde VPC Hizmeti Denetimleri ayarlarında projeyi ayarlamak için aşağıdaki curl komutunu çalıştırın:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Burada:

• YOUR_ACCESS_TOKEN, 5a adımında elde edilen OAuth 2.0 erişim jetonudur.

• PROJECT_ID, 1. adımda alınan proje kimliğidir.

  Başarılı olursa güncellenen müşteri ayarlarıyla birlikte 200 OK yanıtı alırsınız.

Yukarıdaki adımlar başarıyla tamamlandıktan sonra, hizmet sınırında tanımlandığı şekilde VPC Hizmet Kontrolleri kısıtlamaları tüm Google Cloud Search API'lerine, cloudsearch.google.com adresindeki aramalara ve Yönetici Konsolu kullanılarak yapılandırmanın veya raporların görüntülenmesi ve değiştirilmesine uygulanır. Google Cloud Search API'ye erişim düzeylerine uymayan diğer istekler PERMISSION_DENIED “Request is prohibited by organization’s policy” hatası alır.