Migliorare la sicurezza con i Controlli di servizio VPC

Google Cloud Search supporta i Controlli di servizio VPC per migliorare la sicurezza dei dati. I Controlli di servizio VPC ti consentono di definire un perimetro di servizio attorno alle risorse Google Cloud per applicare vincoli ai dati e mitigare i rischi di esfiltrazione.

Prerequisiti

Prima di iniziare, installa gcloud CLI.

Abilitare i Controlli di servizio VPC

Per abilitare i Controlli di servizio VPC:

  1. Ottieni gli ID e i numeri del progetto Google Cloud che vuoi utilizzare. Consulta Identificazione dei progetti.

  2. Utilizza gcloud per creare un criterio di accesso per la tua organizzazione Google Cloud:

    1. Recupera l'ID organizzazione.
    2. Crea una policy di accesso.
    3. Recupera il nome della policy di accesso.

  3. Crea un perimetro di servizio con Cloud Search come servizio con limitazioni:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Dove:

    • NAME è il nome del perimetro.
    • TITLE è il titolo del perimetro.
    • PROJECTS è un elenco separato da virgole di numeri di progetto, ciascuno preceduto da projects/. Ad esempio: --resources=projects/12345,projects/67890. Questo flag supporta solo i numeri di progetto.
    • RESTRICTED-SERVICES è un elenco separato da virgole. Utilizza cloudsearch.googleapis.com.
    • POLICY_NAME è il nome numerico della policy di accesso della tua organizzazione.

    Per saperne di più, consulta Creazione di un perimetro di servizio.

  4. (Facoltativo) Per applicare restrizioni basate su IP o regione, crea livelli di accesso e aggiungili al perimetro:

    1. Per creare un livello di accesso, vedi Creazione di un livello di accesso di base. Per un esempio, vedi Limitare l'accesso a una rete aziendale.
    2. Aggiungi il livello di accesso al perimetro. Consulta la sezione Aggiunta di un livello di accesso a un perimetro esistente. La propagazione può richiedere fino a 30 minuti.

  5. Utilizza l'API REST Cloud Search Customer Service per aggiornare le impostazioni del cliente con il tuo progetto protetto:

    1. Ottieni un token di accesso OAuth 2.0. Consulta l'articolo Utilizzare OAuth 2.0 per accedere alle API di Google. Utilizza uno di questi ambiti:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Esegui questo comando curl:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Sostituisci YOUR_ACCESS_TOKEN e PROJECT_ID.

Un aggiornamento riuscito restituisce una risposta 200 OK. Le limitazioni dei Controlli di servizio VPC ora si applicano a tutte le API Cloud Search, alle ricerche all'indirizzo cloudsearch.google.com e alle configurazioni o ai report della Console di amministrazione. Le richieste che violano i livelli di accesso ricevono un errore PERMISSION_DENIED.