Renforcer la sécurité avec VPC Service Controls

Google Cloud Search est compatible avec VPC Service Controls pour renforcer la sécurité de vos données. VPC Service Controls vous permet de définir un périmètre de service autour des ressources Google Cloud Platform afin de contraindre les données et de limiter les risques d'exfiltration des données.

Prérequis

Avant de commencer, Installez l'interface de ligne de commande gcloud.

Activer VPC Service Controls

Pour activer VPC Service Controls:

  1. Obtenir les ID et les numéros des projets Google Cloud Platform projet que vous souhaitez utiliser. Pour obtenir les ID et les numéros des projets, reportez-vous à Identifier des projets

  2. Utiliser gcloud pour créer une règle d'accès pour votre compte Google Cloud Platform organisation:

    1. Obtenez l'ID de votre organisation.
    2. Créez une règle d'accès.
    3. Obtenez le nom de votre règle d'accès.
  3. Créer un périmètre de service avec Cloud Search en tant que service restreint : en exécutant la commande gcloud suivante:

    gcloud access-context-manager perimeters create NAME \
        --title=TITLE \
        --resources=PROJECTS \
        --restricted-services=RESTRICTED-SERVICES \
        --policy=POLICY_NAME
    

    Où :

    • NAME est le nom du périmètre.
    • TITLE est le titre lisible du périmètre.
    • PROJECTS est une liste d'un ou plusieurs numéros de projet, séparés par une virgule. précédé de la chaîne projects/. Utilisez les numéros de projet obtenus dans Étape 1. Par exemple, si vous avez deux projets, 12345 et 67890, votre serait --resource=projects/12345, project/67890 .Cet indicateur uniquement prend en charge les numéros de projet ; mais pas les noms ni les ID.
    • RESTRICTED-SERVICES est une liste d'un ou de plusieurs services séparés par une virgule. Utilisez cloudsearch.googleapis.com.
    • POLICY_NAME est le nom (au format numérique) de la règle d'accès de votre organisation. obtenu à l'étape 2c.

    Pour en savoir plus sur la création d'un périmètre de service, consultez Créer un périmètre de service

  4. (Facultatif) Si vous souhaitez appliquer des restrictions basées sur l'adresse IP ou la région, créez et les ajouter au périmètre de service créé à l'étape 3:

    1. Pour créer un niveau d'accès, reportez-vous à Créer un niveau d'accès de base Pour voir un exemple de création d'une condition de niveau d'accès qui n'accorde à partir d'une plage d'adresses IP spécifique, comme celles d'une réseau, consultez Limitez l'accès sur un réseau d'entreprise.
    2. Après avoir créé un niveau d'accès, ajoutez-le au périmètre de service. Pour savoir comment ajouter un niveau d'accès à un périmètre de service, consultez Ajoutez un niveau d'accès à un périmètre existant. La prise en compte de cette modification peut prendre jusqu'à 30 minutes l'effet.
  5. Mettre à jour le compte client à l'aide de l'API REST Cloud Search Customer Service avec votre projet VPC Service Controls protégé par un périmètre:

  1. Obtenez un jeton d'accès OAuth 2.0 auprès du serveur d'autorisation Google. Pour en savoir plus sur l'obtention du jeton, reportez-vous à l'étape 2 de Utiliser le protocole OAuth 2.0 pour accéder aux API Google Lorsque vous obtenez le jeton d'accès, utilisez l'un des champs d'application OAuth suivants: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, ou https://www.googleapis.com/auth/cloud_search

  2. Exécutez la commande curl suivante pour définir le projet dans VPC Service Controls sous "Paramètres du client" dans Google Cloud Search:

    curl --request PATCH \
      'https://cloudsearch.googleapis.com/v1/settings/customer' \
      --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
      --header 'Accept: application/json' \
      --header 'Content-Type: application/json' \
      --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
      --compressed
    

    Où :

  • YOUR_ACCESS_TOKEN est le jeton d'accès OAuth 2.0 obtenu à l'étape 5a.
  • PROJECT_ID est l'ID de projet obtenu à l'étape 1.

    Si l'opération réussit, vous devriez recevoir une réponse 200 OK accompagnée du paramètres client mis à jour.

Une fois les étapes ci-dessus effectuées, VPC Service Controls telles que définies dans le périmètre de service, s'appliquent à l'ensemble API Cloud Search, effectue des recherches sur cloudsearch.google.com, et affiche modifier la configuration ou les rapports à l'aide de la console d'administration. Autres demandes à l'API Google Cloud Search qui ne suivent pas les niveaux d'accès reçoivent une PERMISSION_DENIED “Request is prohibited by organization’s policy” erreur.