Google Cloud Search est compatible avec VPC Service Controls pour renforcer la sécurité de vos données. VPC Service Controls vous permet de définir un périmètre de service autour des ressources Google Cloud Platform afin de contraindre les données et de limiter les risques d'exfiltration des données.
Prérequis
Avant de commencer, Installez l'interface de ligne de commande gcloud.
Activer VPC Service Controls
Pour activer VPC Service Controls:
Obtenir les ID et les numéros des projets Google Cloud Platform projet que vous souhaitez utiliser. Pour obtenir les ID et les numéros des projets, reportez-vous à Identifier des projets
Utiliser gcloud pour créer une règle d'accès pour votre compte Google Cloud Platform organisation:
Créer un périmètre de service avec Cloud Search en tant que service restreint : en exécutant la commande gcloud suivante:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAME
Où :
NAME
est le nom du périmètre.TITLE
est le titre lisible du périmètre.PROJECTS
est une liste d'un ou plusieurs numéros de projet, séparés par une virgule. précédé de la chaîneprojects/
. Utilisez les numéros de projet obtenus dans Étape 1. Par exemple, si vous avez deux projets,12345
et67890
, votre serait--resource=projects/12345, project/67890
.Cet indicateur uniquement prend en charge les numéros de projet ; mais pas les noms ni les ID.RESTRICTED-SERVICES
est une liste d'un ou de plusieurs services séparés par une virgule. Utilisezcloudsearch.googleapis.com
.POLICY_NAME
est le nom (au format numérique) de la règle d'accès de votre organisation. obtenu à l'étape 2c.
Pour en savoir plus sur la création d'un périmètre de service, consultez Créer un périmètre de service
(Facultatif) Si vous souhaitez appliquer des restrictions basées sur l'adresse IP ou la région, créez et les ajouter au périmètre de service créé à l'étape 3:
- Pour créer un niveau d'accès, reportez-vous à Créer un niveau d'accès de base Pour voir un exemple de création d'une condition de niveau d'accès qui n'accorde à partir d'une plage d'adresses IP spécifique, comme celles d'une réseau, consultez Limitez l'accès sur un réseau d'entreprise.
- Après avoir créé un niveau d'accès, ajoutez-le au périmètre de service. Pour savoir comment ajouter un niveau d'accès à un périmètre de service, consultez Ajoutez un niveau d'accès à un périmètre existant. La prise en compte de cette modification peut prendre jusqu'à 30 minutes l'effet.
Mettre à jour le compte client à l'aide de l'API REST Cloud Search Customer Service avec votre projet VPC Service Controls protégé par un périmètre:
Obtenez un jeton d'accès OAuth 2.0 auprès du serveur d'autorisation Google. Pour en savoir plus sur l'obtention du jeton, reportez-vous à l'étape 2 de Utiliser le protocole OAuth 2.0 pour accéder aux API Google Lorsque vous obtenez le jeton d'accès, utilisez l'un des champs d'application OAuth suivants:
https://www.googleapis.com/auth/cloud_search.settings.indexing
,https://www.googleapis.com/auth/cloud_search.settings
, ouhttps://www.googleapis.com/auth/cloud_search
Exécutez la commande curl suivante pour définir le projet dans VPC Service Controls sous "Paramètres du client" dans Google Cloud Search:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressed
Où :
YOUR_ACCESS_TOKEN
est le jeton d'accès OAuth 2.0 obtenu à l'étape 5a.PROJECT_ID
est l'ID de projet obtenu à l'étape 1.Si l'opération réussit, vous devriez recevoir une réponse
200 OK
accompagnée du paramètres client mis à jour.
Une fois les étapes ci-dessus effectuées, VPC Service Controls
telles que définies dans le périmètre de service, s'appliquent à l'ensemble
API Cloud Search, effectue des recherches sur cloudsearch.google.com
, et affiche
modifier la configuration ou les rapports à l'aide de la console d'administration. Autres demandes
à l'API Google Cloud Search qui ne suivent pas les niveaux d'accès reçoivent une
PERMISSION_DENIED “Request is prohibited by organization’s policy”
erreur.