Mehr Sicherheit mit VPC Service Controls

Google Cloud Search unterstützt VPC Service Controls, um die Datensicherheit zu erhöhen. Mit VPC Service Controls können Sie einen Dienstperimeter für Google Cloud-Ressourcen definieren, um Daten einzuschränken und das Risiko einer Exfiltration zu minimieren.

Vorbereitung

Installieren Sie die gcloud CLI, bevor Sie beginnen.

VPC Service Controls aktivieren

So aktivieren Sie VPC Service Controls:

  1. Rufen Sie die Projekt-IDs und -Nummern für das Google Cloud-Projekt ab, das Sie verwenden möchten. Weitere Informationen finden Sie unter Projekte identifizieren.

  2. So erstellen Sie mit gcloud eine Zugriffsrichtlinie für Ihre Google Cloud-Organisation:

    1. Organisations-ID abrufen
    2. Zugriffsrichtlinie erstellen
    3. Name Ihrer Zugriffsrichtlinie abrufen

  3. Erstellen Sie einen Dienstperimeter mit Cloud Search als eingeschränkten Dienst:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Wobei:

    • NAME ist der Name des Perimeters.
    • TITLE ist der Perimetertitel.
    • PROJECTS ist eine durch Kommas getrennte Liste von Projektnummern, denen jeweils projects/ vorangestellt ist. Beispiel: --resources=projects/12345,projects/67890 Dieses Flag unterstützt nur Projektnummern.
    • RESTRICTED-SERVICES ist eine durch Kommas getrennte Liste. Verwenden Sie cloudsearch.googleapis.com.
    • POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation.

    Weitere Informationen finden Sie unter Dienstperimeter erstellen.

  4. Optional: Wenn Sie IP- oder regionsbasierte Einschränkungen anwenden möchten, erstellen Sie Zugriffsebenen und fügen Sie sie dem Perimeter hinzu:

    1. Informationen zum Erstellen einer Zugriffsebene finden Sie unter Eine grundlegende Zugriffsebene erstellen. Ein Beispiel finden Sie unter Zugriff auf ein Unternehmensnetzwerk beschränken.
    2. Fügen Sie dem Perimeter die Zugriffsebene hinzu. Weitere Informationen finden Sie unter Zugriffsebene zu einem vorhandenen Perimeter hinzufügen. Die Übertragung kann bis zu 30 Minuten dauern.

  5. Verwenden Sie die Cloud Search Customer Service REST API, um die Kundeneinstellungen mit Ihrem geschützten Projekt zu aktualisieren:

    1. Rufen Sie ein OAuth 2.0-Zugriffstoken ab. Weitere Informationen finden Sie unter Mit OAuth 2.0 auf Google APIs zugreifen. Verwenden Sie einen der folgenden Bereiche:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Führen Sie diesen curl-Befehl aus:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Ersetzen Sie YOUR_ACCESS_TOKEN und PROJECT_ID.

Bei einer erfolgreichen Aktualisierung wird eine 200 OK-Antwort zurückgegeben. VPC Service Controls-Einschränkungen gelten jetzt für alle Cloud Search APIs, Suchanfragen unter cloudsearch.google.com und Admin Console-Konfigurationen oder -Berichte. Anfragen, die gegen Zugriffsebenen verstoßen, führen zu einem PERMISSION_DENIED-Fehler.