透過 VPC Service Controls 提高安全性

Google Cloud Search 支援 VPC Service Controls，可強化資料安全性。您可以透過 VPC Service Controls 定義 Google Cloud 資源的服務範圍，藉此限制資料並降低竊取風險。

必要條件

開始之前，請先安裝 gcloud CLI。

啟用 VPC Service Controls

如要啟用 VPC Service Controls，請按照下列步驟操作：

1. 取得要使用的 Google Cloud 專案 ID 和編號。請參閱「識別專案」。

2. 使用 gcloud 為 Google Cloud 機構建立存取權政策：

   1. 取得機構 ID。
   2. 建立存取權政策。
   3. 取得存取權政策的名稱。

3. 建立服務範圍，並將 Cloud Search 設為受限服務：

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   其中：

   • NAME 是 perimeter 名稱。
   • TITLE 是範圍標題。
   • PROJECTS 是以半形逗號分隔的專案編號清單，每個編號前面都加上 projects/。例如：--resources=projects/12345,projects/67890。 這個標記僅支援專案編號。
   • RESTRICTED-SERVICES 是以半形逗號分隔的清單。使用 cloudsearch.googleapis.com。
   • POLICY_NAME 是指您機構的存取權政策以數字表示的名稱。

   詳情請參閱「建立 service perimeter」。

4. (選用) 如要套用 IP 或區域限制，請建立存取層級並新增至 perimeter：

   1. 如要建立存取層級，請參閱「建立基本存取層級」。如需範例，請參閱「限制公司網路的存取權」。
   2. 將存取層級新增至 perimeter。請參閱「為現有 perimeter 新增存取層級」。傳播作業最多可能需要 30 分鐘才能完成。

5. 使用 Cloud Search Customer Service REST API，透過受保護的專案更新客戶設定：

   1. 取得 OAuth 2.0 存取權杖。請參閱「使用 OAuth 2.0 存取 Google API」。請使用下列其中一個範圍：
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

   2. 執行下列 curl 指令：

      curl --request PATCH \
        'https://cloudsearch.googleapis.com/v1/settings/customer' \
        --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
        --header 'Accept: application/json' \
        --header 'Content-Type: application/json' \
        --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
        --compressed
      

      取代 YOUR_ACCESS_TOKEN 和 PROJECT_ID。

更新成功會傳回 200 OK 回應。VPC Service Controls 限制現在適用於所有 Cloud Search API、cloudsearch.google.com 的搜尋作業，以及管理控制台設定或報表。如果要求違反存取層級，系統會傳回 PERMISSION_DENIED 錯誤。