Google Cloud Search는 데이터 보안을 강화할 수 있도록 VPC 서비스 제어를 지원합니다. VPC 서비스 제어를 사용하면 Google Cloud 리소스 주위에 서비스 경계를 정의하여 데이터를 통제하고 무단 반출 위험을 완화할 수 있습니다.
기본 요건
시작하기 전에 gcloud CLI를 설치합니다.
VPC 서비스 제어 사용 설정
VPC 서비스 제어를 사용 설정하려면 다음 단계를 따르세요.
사용하려는 Google Cloud 프로젝트의 프로젝트 ID와 번호를 가져옵니다. 프로젝트 식별을 참고하세요.
gcloud를 사용하여 Google Cloud 조직의 액세스 정책을 만듭니다.Cloud Search를 제한된 서비스로 사용하여 서비스 경계를 만듭니다.
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAME각 항목의 의미는 다음과 같습니다.
NAME은 경계 이름입니다.TITLE은 경계 제목입니다.PROJECTS은 쉼표로 구분된 프로젝트 번호 목록이며 각 프로젝트 번호 앞에는projects/이 있습니다.--resources=projects/12345,projects/67890를 예로 들 수 있습니다. 이 플래그는 프로젝트 번호만 지원합니다.RESTRICTED-SERVICES는 쉼표로 구분된 목록입니다.cloudsearch.googleapis.com를 사용하세요.POLICY_NAME은 조직의 액세스 정책의 숫자 이름입니다.
자세한 내용은 서비스 경계 만들기를 참고하세요.
(선택사항) IP 또는 지역 기반 제한을 적용하려면 액세스 수준을 만들고 경계에 추가합니다.
- 액세스 수준을 만들려면 기본 액세스 수준 만들기를 참고하세요. 예를 들어 회사 네트워크의 액세스 제한을 참고하세요.
- 경계에 액세스 수준을 추가합니다. 기존 경계에 액세스 수준 추가를 참고하세요. 전파에는 최대 30분이 걸릴 수 있습니다.
Cloud Search 고객 서비스 REST API를 사용하여 보호된 프로젝트로 고객 설정을 업데이트합니다.
- OAuth 2.0 액세스 토큰을 가져옵니다. OAuth 2.0을 사용하여 Google API에 액세스를 참고하세요.
다음 범위 중 하나를 사용합니다.
https://www.googleapis.com/auth/cloud_search.settings.indexinghttps://www.googleapis.com/auth/cloud_search.settingshttps://www.googleapis.com/auth/cloud_search
다음 curl 명령어를 실행합니다.
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedYOUR_ACCESS_TOKEN및PROJECT_ID을 바꿉니다.
- OAuth 2.0 액세스 토큰을 가져옵니다. OAuth 2.0을 사용하여 Google API에 액세스를 참고하세요.
다음 범위 중 하나를 사용합니다.
업데이트에 성공하면 200 OK 응답이 반환됩니다. 이제 VPC 서비스 제어 제한이 모든 Cloud Search API, cloudsearch.google.com의 검색, 관리 콘솔 구성 또는 보고서에 적용됩니다.
액세스 수준을 위반하는 요청은 PERMISSION_DENIED 오류를 수신합니다.