이 페이지는 Cloud Translation API를 통해 번역되었습니다.

VPC 서비스 제어로 보안 강화

Google Cloud Search는 VPC 서비스 제어를 지원하여 데이터 보안을 강화합니다. VPC 서비스 제어를 사용하면 Google Cloud Platform 리소스 주위에 서비스 경계를 정의하여 데이터를 제한하고 데이터 무단 반출 위험을 완화할 수 있습니다.

기본 요건

시작하기 전에 gcloud 명령줄 인터페이스를 설치합니다.

VPC 서비스 제어 사용 설정

VPC 서비스 제어를 사용 설정하려면 다음 안내를 따르세요.

사용할 Google Cloud Platform 프로젝트의 프로젝트 ID와 프로젝트 번호를 가져옵니다. 프로젝트 ID와 번호를 가져오려면 프로젝트 식별을 참조하세요.
gcloud를 사용하여 Google Cloud Platform 조직의 액세스 정책을 만듭니다.
참고: 조직에는 액세스 정책이 하나만 있을 수 있습니다. 조직에 사용할 두 번째 액세스 정책을 만들려고 하면 오류가 발생합니다.
다음 gcloud 명령어를 실행하여 Cloud Search를 제한된 서비스로 사용하여 서비스 경계를 만듭니다.
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
각 항목의 의미는 다음과 같습니다.
- NAME은 경계의 이름입니다.
- TITLE은 사람이 읽을 수 있는 경계의 제목입니다.
- PROJECTS는 쉼표로 구분된 하나 이상의 프로젝트 번호 목록이며 앞에 각각 projects/ 문자열이 붙습니다. 1단계에서 얻은 프로젝트 번호를 사용합니다. 예를 들어 프로젝트 12345와 67890라는 프로젝트 두 개가 있는 경우 설정은 --resource=projects/12345, project/67890입니다 .이 플래그는 프로젝트 번호만 지원하며 이름이나 ID는 지원하지 않습니다.
- RESTRICTED-SERVICES는 쉼표로 구분된 하나 이상의 서비스 목록입니다. cloudsearch.googleapis.com를 사용합니다.
- POLICY_NAME은 2c단계에서 가져온 조직의 액세스 정책 숫자 이름입니다.
서비스 경계를 만드는 방법에 대한 자세한 내용은 서비스 경계 만들기를 참조하세요.
(선택사항) IP 또는 리전 기반 제한을 적용하려면 액세스 수준을 만들고 3단계에서 만든 서비스 경계에 추가합니다.
1. 액세스 수준을 만들려면 기본 액세스 수준 만들기를 참조하세요. 기업 네트워크 내의 특정 IP 주소 범위와 같은 특정 범위의 IP 주소에서만 액세스를 허용하는 액세스 수준 조건을 만드는 방법에 대한 예시는 회사 네트워크에서의 액세스 제한을 참조하세요.
2. 액세스 수준을 만든 후 서비스 경계에 추가합니다. 서비스 경계에 액세스 수준을 추가하는 방법은 기존 경계에 액세스 수준 추가를 참조하세요. 이 변경사항이 전파되고 적용되는 데 최대 30분이 걸릴 수 있습니다.
Cloud Search Customer Service REST API를 사용하여 VPC 서비스 제어 경계로 보호되는 프로젝트로 고객 설정을 업데이트합니다.

Google 승인 서버에서 OAuth 2.0 액세스 토큰을 가져옵니다. 토큰을 얻는 방법에 대한 자세한 내용은 OAuth 2.0을 사용하여 Google API에 액세스의 2단계를 참조하세요. 액세스 토큰을 가져올 때 https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, https://www.googleapis.com/auth/cloud_search OAuth 범위 중 하나를 사용합니다.

다음 curl 명령어를 실행하여 Google Cloud Search의 고객 설정에서 VPC 서비스 제어 설정의 프로젝트를 설정합니다.

curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

각 항목의 의미는 다음과 같습니다.

YOUR_ACCESS_TOKEN는 5a단계에서 얻은 OAuth 2.0 액세스 토큰입니다.
PROJECT_ID는 1단계에서 가져온 프로젝트 ID입니다.

성공하면 업데이트된 고객 설정과 함께 200 OK 응답이 수신됩니다.

위 단계가 성공적으로 완료되면 서비스 경계에 정의된 VPC 서비스 제어 제한사항이 모든 Google Cloud Search API, cloudsearch.google.com에서의 검색, 관리 콘솔을 사용한 구성 또는 보고서 보기 및 변경에 적용됩니다. 액세스 수준을 따르지 않는 Google Cloud Search API에 대한 추가 요청은 PERMISSION_DENIED “Request is prohibited by organization’s policy” 오류를 수신하게 됩니다.