Mejora la seguridad con los Controles del servicio de VPC

Google Cloud Search es compatible con los Controles del servicio de VPC para mejorar la seguridad de los datos. Los Controles del servicio de VPC te permiten definir un perímetro de servicio alrededor de los recursos de Google Cloud Platform para restringir los datos y ayudar a mitigar los riesgos de robo de datos.

Requisitos previos

Antes de comenzar, instala la interfaz de línea de comandos de gcloud.

Habilita los Controles del servicio de VPC

Para habilitar los Controles del servicio de VPC, haz lo siguiente:

  1. Obtén los ID y números de proyecto de Google Cloud Platform que deseas usar. Para obtener los ID y los números de los proyectos, consulta Identifica proyectos.

  2. Usa gcloud a fin de crear una política de acceso para tu organización de Google Cloud Platform:

    1. Obtén el ID de la organización.
    2. Crea una política de acceso.
    3. Obtén el nombre de tu política de acceso.
  3. Crea un perímetro de servicio con Cloud Search como un servicio restringido ejecutando el siguiente comando de gcloud:

    gcloud access-context-manager perimeters create NAME \
        --title=TITLE \
        --resources=PROJECTS \
        --restricted-services=RESTRICTED-SERVICES \
        --policy=POLICY_NAME
    

    Aquí:

    • NAME es el nombre del perímetro.
    • TITLE es el título legible del perímetro.
    • PROJECTS es una lista separada por comas de uno o más números de proyectos, cada uno precedido por la cadena projects/. Usa los números de proyecto que obtuviste en el paso 1. Por ejemplo, si tienes dos proyectos, los proyectos 12345 y 67890, tu configuración sería --resource=projects/12345, project/67890 .Esta marca solo admite números de proyectos, no nombres ni ID.
    • RESTRICTED-SERVICES es una lista separada por comas de uno o más servicios. Usa cloudsearch.googleapis.com.
    • POLICY_NAME es el nombre numérico de la política de acceso de tu organización que se obtuvo en el paso 2c.

    Para obtener más información sobre cómo crear un perímetro de servicio, consulta Crea un perímetro de servicio.

  4. Si deseas aplicar restricciones basadas en la IP o en la región, crea niveles de acceso y agrégalos al perímetro de servicio que creaste en el paso 3 (opcional):

    1. Para crear un nivel de acceso, consulta Crea un nivel de acceso básico. Si deseas ver un ejemplo sobre cómo crear una condición de nivel de acceso que solo permita el acceso desde un rango específico de direcciones IP, como las que se encuentran dentro de una red corporativa, consulta Limita el acceso en una red corporativa.
    2. Después de crear un nivel de acceso, agrégalo al perímetro de servicio. Si deseas obtener instrucciones para agregar un nivel de acceso a un perímetro de servicio, consulta Agrega un nivel de acceso a un perímetro existente. Este cambio puede tardar hasta 30 minutos en propagarse y surtir efecto.
  5. Usa la API de REST de servicio de atención al cliente de Cloud Search para actualizar la configuración del cliente con tu proyecto protegido por el perímetro de los Controles del servicio de VPC:

  1. Obtener un token de acceso de OAuth 2.0 del servidor de autorización de Google Si deseas obtener información sobre cómo obtener el token, consulta el paso 2 de Usa OAuth 2.0 para acceder a las APIs de Google. Cuando obtengas el token de acceso, usa uno de los siguientes permisos de OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings o https://www.googleapis.com/auth/cloud_search.

  2. Ejecuta el siguiente comando curl para establecer el proyecto en la configuración de los Controles del servicio de VPC en Configuración del cliente en Google Cloud Search:

    curl --request PATCH \
      'https://cloudsearch.googleapis.com/v1/settings/customer' \
      --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
      --header 'Accept: application/json' \
      --header 'Content-Type: application/json' \
      --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
      --compressed
    

    Aquí:

  • YOUR_ACCESS_TOKEN es el token de acceso de OAuth 2.0 que se obtiene en el paso 5a.
  • PROJECT_ID es el ID del proyecto que se obtuvo en el paso 1.

    Si se realiza correctamente, deberías recibir una respuesta 200 OK junto con la configuración actualizada del cliente.

Una vez que hayas completado correctamente los pasos anteriores, las restricciones de los Controles del servicio de VPC, tal como se definen en el perímetro de servicio, se aplicarán a todas las APIs de Google Cloud Search, las búsquedas en cloudsearch.google.com y la visualización y el cambio de la configuración o los informes con la Consola del administrador. Las demás solicitudes a la API de Google Cloud Search que no cumplan con los niveles de acceso recibirán el error PERMISSION_DENIED “Request is prohibited by organization’s policy”.