Google Cloud Search は、VPC Service Controls をサポートして、データ セキュリティを強化します。VPC Service Controls を使用すると、Google Cloud リソースの周囲にサービス境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。
前提条件
始める前に、gcloud CLI をインストールします。
VPC Service Controls を有効にする
VPC Service Controls を有効にするには:
使用する Google Cloud プロジェクトのプロジェクト ID とプロジェクト番号を取得します。プロジェクトの識別をご覧ください。
gcloudを使用して、Google Cloud 組織のアクセス ポリシーを作成します。Cloud Search を制限付きサービスとして使用してサービス境界を作成します。
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAMEここで
NAMEは、境界の名前です。TITLEは、境界のタイトルです。PROJECTSは、プロジェクト番号のカンマ区切りリストです。各プロジェクト番号の前にprojects/が付いています。例:--resources=projects/12345,projects/67890このフラグはプロジェクト番号のみをサポートします。RESTRICTED-SERVICESは、カンマ区切りのリストです。cloudsearch.googleapis.comを使用します。POLICY_NAMEは組織のアクセス ポリシーの数値名です。
詳細については、サービス境界の作成をご覧ください。
(省略可)IP またはリージョンベースの制限を適用するには、アクセスレベルを作成して境界に追加します。
- アクセスレベルを作成するには、ベーシック アクセスレベルの作成をご覧ください。例については、企業ネットワークへのアクセスを制限するをご覧ください。
- アクセスレベルを境界に追加します。既存の境界にアクセスレベルを追加するをご覧ください。伝播には最大 30 分かかることがあります。
Cloud Search Customer Service REST API を使用して、保護されたプロジェクトで顧客設定を更新します。
- OAuth 2.0 アクセス トークンを取得します。OAuth 2.0 を使用して Google API にアクセスするをご覧ください。次のいずれかのスコープを使用します。
https://www.googleapis.com/auth/cloud_search.settings.indexinghttps://www.googleapis.com/auth/cloud_search.settingshttps://www.googleapis.com/auth/cloud_search
次の curl コマンドを実行します。
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedYOUR_ACCESS_TOKENとPROJECT_IDを置き換えます。
- OAuth 2.0 アクセス トークンを取得します。OAuth 2.0 を使用して Google API にアクセスするをご覧ください。次のいずれかのスコープを使用します。
更新が成功すると、200 OK レスポンスが返されます。VPC Service Controls の制限が、すべての Cloud Search API、cloudsearch.google.com での検索、管理コンソールの構成またはレポートに適用されるようになりました。アクセスレベルに違反するリクエストは、PERMISSION_DENIED エラーを受け取ります。