Diese Seite wurde von der Cloud Translation API übersetzt.

Mehr Sicherheit mit VPC Service Controls

Google Cloud Search unterstützt VPC Service Controls, um die Sicherheit Ihrer Daten zu verbessern. Mit VPC Service Controls können Sie einen Dienstperimeter für Google Cloud Platform-Ressourcen definieren, um Daten einzuschränken und das Risiko der Daten-Exfiltration zu minimieren.

Voraussetzungen

Bevor Sie beginnen, installieren Sie die gcloud-Befehlszeile.

VPC Service Controls aktivieren

So aktivieren Sie VPC Service Controls:

Rufen Sie die Projekt-IDs und Projektnummern für das Google Cloud Platform-Projekt ab, das Sie verwenden möchten. Die Projekt-IDs und ‐nummern finden Sie unter Projekte identifizieren.
Verwenden Sie gcloud, um eine Zugriffsrichtlinie für Ihre Google Cloud Platform-Organisation zu erstellen:
Hinweis: Organisationen können nur eine Zugriffsrichtlinie haben. Wenn Sie versuchen, eine zweite Zugriffsrichtlinie für Ihre Organisation zu erstellen, tritt ein Fehler auf.
Erstellen Sie mit Cloud Search als eingeschränkten Dienst einen Dienstperimeter. Dazu führen Sie den folgenden gcloud-Befehl aus:
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
Wobei:
- NAME ist der Name des Perimeters.
- TITLE ist der für Menschen lesbare Titel des Perimeters.
- PROJECTS ist eine durch Kommas getrennte Liste einer oder mehrerer Projektnummern, denen jeweils der String projects/ vorangestellt ist. Verwenden Sie die in Schritt 1 ermittelten Projektnummern. Wenn Sie beispielsweise zwei Projekte haben, das Projekt 12345 und 67890, lautet die Einstellung --resource=projects/12345, project/67890 .Dieses Flag unterstützt nur Projektnummern, keine Namen oder IDs.
- RESTRICTED-SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Verwenden Sie cloudsearch.googleapis.com.
- POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation, den Sie in Schritt 2c erhalten haben.
Weitere Informationen zum Erstellen eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.
(Optional) Wenn Sie IP- oder regionsbasierte Einschränkungen anwenden möchten, erstellen Sie Zugriffsebenen und fügen sie dem in Schritt 3 erstellten Dienstperimeter hinzu:
1. Informationen zum Erstellen einer Zugriffsebene finden Sie unter Grundlegende Zugriffsebene erstellen. Ein Beispiel zum Erstellen einer Zugriffsebenenbedingung, die nur den Zugriff von einem bestimmten Bereich von IP-Adressen zulässt, z. B. von IP-Adressen innerhalb eines Unternehmensnetzwerks, finden Sie unter Zugriff auf ein Unternehmensnetzwerk beschränken.
2. Nachdem Sie eine Zugriffsebene erstellt haben, fügen Sie sie dem Dienstperimeter hinzu. Eine Anleitung zum Hinzufügen einer Zugriffsebene zu einem Dienstperimeter finden Sie unter Zugriffsebene zu einem vorhandenen Perimeter hinzufügen. Es kann bis zu 30 Minuten dauern, bis die Änderung wirksam wird.
Verwenden Sie die Cloud Search Customer Service REST API, um die Kundeneinstellungen mit Ihrem perimetergeschützten Projekt von VPC Service Controls zu aktualisieren:

Fordern Sie ein OAuth 2.0-Zugriffstoken vom Google-Autorisierungsserver an. Informationen zum Abrufen des Tokens finden Sie in Schritt 2 unter Mit OAuth 2.0 auf Google APIs zugreifen. Verwenden Sie beim Abrufen des Zugriffstokens einen der folgenden OAuth-Bereiche: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings oder https://www.googleapis.com/auth/cloud_search.

Führen Sie den folgenden curl-Befehl aus, um das Projekt in den VPC Service Controls-Einstellungen unter den Kundeneinstellungen in Google Cloud Search festzulegen:

curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

Wobei:

YOUR_ACCESS_TOKEN ist das in Schritt 5a abgerufene OAuth 2.0-Zugriffstoken.
PROJECT_ID ist die in Schritt 1 abgerufene Projekt-ID.

Wenn der Vorgang erfolgreich war, sollten Sie eine 200 OK-Antwort zusammen mit den aktualisierten Kundeneinstellungen erhalten.

Nachdem die obigen Schritte erfolgreich abgeschlossen wurden, werden die im Dienstperimeter definierten VPC Service Controls-Einschränkungen auf alle Google Cloud Search APIs, Suchanfragen in cloudsearch.google.com sowie auf das Aufrufen und Ändern von Konfigurationen oder Berichten über die Admin-Konsole angewendet. Bei weiteren Anfragen an die Google Cloud Search API, die keinen Zugriffsebenen folgen, wird der Fehler PERMISSION_DENIED “Request is prohibited by organization’s policy” zurückgegeben.