使用 VPC Service Controls 增强安全性

Google Cloud Search 支持 VPC Service Controls，以增强数据安全性。借助 VPC Service Controls，您可以为 Google Cloud 资源定义服务边界，以限制数据并降低渗漏风险。

前提条件

开始之前，请先安装 gcloud CLI。

启用 VPC Service Controls

如需启用 VPC Service Controls，请执行以下操作：

1. 获取您要使用的 Google Cloud 项目的 ID 和编号。请参阅识别项目。

2. 使用 gcloud 为您的 Google Cloud 组织创建访问权限政策：

   1. 获取组织 ID。
   2. 创建访问权限政策。
   3. 获取访问权限政策的名称。

3. 创建以 Cloud Search 为受限服务的服务边界：

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   其中：

   • NAME 是边界名称。
   • TITLE 是边界标题。
   • PROJECTS 是以英文逗号分隔的项目编号列表，每个项目编号前面都有 projects/。例如 --resources=projects/12345,projects/67890。 此标志仅支持项目编号。
   • RESTRICTED-SERVICES 是以英文逗号分隔的列表。使用 cloudsearch.googleapis.com。
   • POLICY_NAME 是您组织的访问权限政策的数字名称。

   如需了解详情，请参阅创建服务边界。

4. （可选）如需应用基于 IP 或区域的限制，请创建访问权限级别并将其添加到边界：

   1. 如需创建访问权限级别，请参阅创建基本访问权限级别。 如需查看示例，请参阅限制公司网络上的访问权限。
   2. 将访问权限级别添加到边界。请参阅向现有边界添加访问权限级别。 传播最多可能需要 30 分钟。

5. 使用 Cloud Search Customer Service REST API 通过受保护的项目更新客户设置：

   1. 获取 OAuth 2.0 访问令牌。请参阅使用 OAuth 2.0 访问 Google API。 使用以下任一范围：
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

   2. 运行以下 curl 命令：

      curl --request PATCH \
        'https://cloudsearch.googleapis.com/v1/settings/customer' \
        --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
        --header 'Accept: application/json' \
        --header 'Content-Type: application/json' \
        --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
        --compressed
      

      替换了 YOUR_ACCESS_TOKEN 和 PROJECT_ID。

成功更新会返回 200 OK 响应。VPC Service Controls 限制现在适用于所有 Cloud Search API、cloudsearch.google.com 中的搜索以及管理控制台配置或报告。违反访问权限级别的请求会收到 PERMISSION_DENIED 错误。