Questa pagina è stata tradotta dall'API Cloud Translation.

Migliorare la sicurezza con i Controlli di servizio VPC

Google Cloud Search supporta i Controlli di servizio VPC per migliorare la sicurezza dei dati. Controlli di servizio VPC consente di definire un perimetro di servizio attorno alle risorse della piattaforma Google Cloud per limitare i dati e contribuire a mitigare i rischi di esfiltrazione di dati.

Prerequisiti

Prima di iniziare, installa l'interfaccia a riga di comando gcloud.

Abilitare i Controlli di servizio VPC

Per abilitare i Controlli di servizio VPC:

Recupera gli ID e i numeri del progetto della piattaforma Google Cloud che vuoi utilizzare. Per ottenere gli ID e i numeri dei progetti, consulta Identificazione dei progetti.
Utilizza gcloud per creare un criterio di accesso per la tua organizzazione Google Cloud:
Nota: le organizzazioni possono avere un solo criterio di accesso. Se tenti di creare un secondo criterio di accesso per la tua organizzazione, si verifica un errore.
Crea un perimetro di servizio con Cloud Search come servizio limitato eseguendo questo comando gcloud:
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
Dove:
- NAME è il nome del perimetro.
- TITLE è il titolo leggibile del perimetro.
- PROJECTS è un elenco separato da virgole di uno o più numeri di progetto, ciascuno preceduto dalla stringa projects/. Usa i numeri di progetto ottenuti nel passaggio 1. Ad esempio, se avevi due progetti, il progetto 12345 e 67890, l'impostazione sarà --resource=projects/12345, project/67890 .Questo flag supporta solo i numeri di progetto, non i nomi né gli ID.
- RESTRICTED-SERVICES è un elenco separato da virgole di uno o più servizi. Usa cloudsearch.googleapis.com.
- POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione ottenuto nel passaggio 2c.
Per saperne di più su come creare un perimetro di servizio, consulta Creazione di un perimetro di servizio.
(Facoltativo) Se vuoi applicare restrizioni basate su IP o regione, crea livelli di accesso e aggiungili al perimetro di servizio creato nel passaggio 3:
1. Per creare un livello di accesso, consulta la pagina Creare un livello di accesso di base. Per un esempio su come creare una condizione del livello di accesso che consenta l'accesso solo da un intervallo specifico di indirizzi IP, come quelli all'interno di una rete aziendale, consulta Limitare l'accesso su una rete aziendale.
2. Dopo aver creato un livello di accesso, aggiungilo al perimetro di servizio. Per istruzioni su come aggiungere un livello di accesso a un perimetro di servizio, consulta Aggiungere un livello di accesso a un perimetro esistente. La propagazione e l'applicazione della modifica può richiedere fino a 30 minuti.
Utilizza l'API REST del servizio clienti di Cloud Search per aggiornare le impostazioni del cliente con il progetto protetto dal perimetro dei Controlli di servizio VPC:

Richiedi un token di accesso OAuth 2.0 da Google Authorization Server. Per informazioni su come ottenere il token, consulta il passaggio 2 della pagina Utilizzare OAuth 2.0 per accedere alle API di Google. Quando ottieni il token di accesso, utilizza uno dei seguenti ambiti OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, o https://www.googleapis.com/auth/cloud_search

Esegui il comando curl seguente per impostare il progetto nelle impostazioni dei Controlli di servizio VPC in Impostazioni cliente in Google Cloud Search:

curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

Dove:

YOUR_ACCESS_TOKEN è il token di accesso OAuth 2.0 ottenuto nel passaggio 5a.
PROJECT_ID è l'ID progetto ottenuto nel passaggio 1.

In caso di esito positivo, dovresti ricevere una risposta 200 OK insieme alle impostazioni del cliente aggiornate.

Una volta completati correttamente i passaggi precedenti, le restrizioni dei Controlli di servizio VPC, definite nel perimetro di servizio, vengono applicate a tutte le API Google Cloud Search, alle ricerche in cloudsearch.google.com e alla visualizzazione e modifica di configurazione o report tramite la Console di amministrazione. Ulteriori richieste all'API Google Cloud Search che non seguono i livelli di accesso ricevono un errore PERMISSION_DENIED “Request is prohibited by organization’s policy”.