使用 VPC Service Controls 增强安全性

Google Cloud Search 支持 VPC Service Controls,以增强数据安全性。借助 VPC Service Controls,您可以为 Google Cloud 资源定义服务边界,以限制数据并降低渗漏风险。

前提条件

开始之前,请先安装 gcloud CLI

启用 VPC Service Controls

如需启用 VPC Service Controls,请执行以下操作:

  1. 获取您要使用的 Google Cloud 项目的 ID 和编号。请参阅识别项目

  2. 使用 gcloud 为您的 Google Cloud 组织创建访问权限政策:

    1. 获取组织 ID
    2. 创建访问权限政策
    3. 获取访问权限政策的名称
  3. 创建以 Cloud Search 为受限服务的服务边界:

    gcloud access-context-manager perimeters create NAME \
        --title=TITLE \
        --resources=PROJECTS \
        --restricted-services=RESTRICTED-SERVICES \
        --policy=POLICY_NAME
    

    其中:

    • NAME 是边界名称。
    • TITLE 是边界标题。
    • PROJECTS 是以英文逗号分隔的项目编号列表,每个项目编号前面都有 projects/。例如 --resources=projects/12345,projects/67890。 此标志仅支持项目编号。
    • RESTRICTED-SERVICES 是以英文逗号分隔的列表。使用 cloudsearch.googleapis.com
    • POLICY_NAME 是您组织的访问权限政策的数字名称。

    如需了解详情,请参阅创建服务边界

  4. (可选)如需应用基于 IP 或区域的限制,请创建访问权限级别并将其添加到边界:

    1. 如需创建访问权限级别,请参阅创建基本访问权限级别。 如需查看示例,请参阅限制公司网络上的访问权限
    2. 将访问权限级别添加到边界。请参阅向现有边界添加访问权限级别。 传播最多可能需要 30 分钟。
  5. 使用 Cloud Search Customer Service REST API 通过受保护的项目更新客户设置:

    1. 获取 OAuth 2.0 访问令牌。请参阅使用 OAuth 2.0 访问 Google API。 使用以下任一范围:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search
    2. 运行以下 curl 命令:

      curl --request PATCH \
        'https://cloudsearch.googleapis.com/v1/settings/customer' \
        --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
        --header 'Accept: application/json' \
        --header 'Content-Type: application/json' \
        --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
        --compressed
      

      替换了 YOUR_ACCESS_TOKENPROJECT_ID

成功更新会返回 200 OK 响应。VPC Service Controls 限制现在适用于所有 Cloud Search API、cloudsearch.google.com 中的搜索以及管理控制台配置或报告。违反访问权限级别的请求会收到 PERMISSION_DENIED 错误。