Reforçar a segurança com o VPC Service Controls

O Google Cloud Search é compatível com o VPC Service Controls para aumentar a segurança dos dados. Com o VPC Service Controls, é possível definir um perímetro de serviço em torno dos recursos do Google Cloud para restringir dados e reduzir os riscos de exfiltração.

Pré-requisitos

Antes de começar, instale a gcloud CLI.

Ativar o VPC Service Controls

Para ativar o VPC Service Controls:

  1. Obtenha os IDs e números do projeto do Google Cloud que você quer usar. Consulte Como identificar projetos.

  2. Use gcloud para criar uma política de acesso para sua organização do Google Cloud:

    1. Consiga o ID da sua organização.
    2. Crie uma política de acesso.
    3. Descubra o nome da sua política de acesso.

  3. Crie um perímetro de serviço com o Cloud Search como um serviço restrito:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Em que:

    • NAME é o nome do perímetro.
    • TITLE é o título do perímetro.
    • PROJECTS é uma lista separada por vírgulas de números de projeto, cada um precedido por projects/. Por exemplo, --resources=projects/12345,projects/67890. Essa flag só aceita números de projeto.
    • RESTRICTED-SERVICES é uma lista separada por vírgulas. Use cloudsearch.googleapis.com.
    • POLICY_NAME é o nome numérico da política de acesso da organização.

    Para mais informações, consulte Como criar um perímetro de serviço.

  4. (Opcional) Para aplicar restrições com base em IP ou região, crie níveis de acesso e adicione-os ao perímetro:

    1. Para criar um nível de acesso, consulte Como criar um nível de acesso básico. Para ver um exemplo, consulte Limitar o acesso em uma rede corporativa.
    2. Adicione o nível de acesso ao perímetro. Consulte Como adicionar um nível de acesso a um perímetro atual. A propagação pode levar até 30 minutos.

  5. Use a API REST de atendimento ao cliente do Cloud Search para atualizar as configurações do cliente com seu projeto protegido:

    1. Receba um token de acesso do OAuth 2.0. Consulte Como usar o OAuth 2.0 para acessar as APIs do Google. Use um destes escopos:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Execute este comando curl:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Substitua YOUR_ACCESS_TOKEN e PROJECT_ID.

Uma atualização bem-sucedida retorna uma resposta 200 OK. As restrições do VPC Service Controls agora se aplicam a todas as APIs do Cloud Search, pesquisas em cloudsearch.google.com e configurações ou relatórios do Admin Console. As solicitações que violam os níveis de acesso recebem um erro PERMISSION_DENIED.