Renforcer la sécurité avec VPC Service Controls

Google Cloud Search est compatible avec VPC Service Controls pour renforcer la sécurité des données. VPC Service Controls vous permet de définir un périmètre de service autour des ressources Google Cloud afin de contenir les données et de limiter les risques d'exfiltration.

Prérequis

Avant de commencer, installez la gcloud CLI.

Activer VPC Service Controls

Pour activer VPC Service Controls :

  1. Obtenez les ID et les numéros du projet Google Cloud que vous souhaitez utiliser. Consultez Identifier des projets.

  2. Utilisez gcloud pour créer une règle d'accès pour votre organisation Google Cloud :

    1. Obtenez l'ID de votre organisation.
    2. Créez une règle d'accès.
    3. Récupérez le nom de votre règle d'accès.

  3. Créez un périmètre de service avec Cloud Search en tant que service restreint :

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Où :

    • NAME est le nom du périmètre.
    • TITLE est le titre du périmètre.
    • PROJECTS est une liste de numéros de projet séparés par une virgule, chacun précédé de projects/. Par exemple, --resources=projects/12345,projects/67890. Cette option n'accepte que les numéros de projet.
    • RESTRICTED-SERVICES est une liste séparée par des virgules. Utilisez cloudsearch.googleapis.com.
    • POLICY_NAME est le nom (au format numérique) de la règle d'accès de votre organisation.

    Pour en savoir plus, consultez Créer un périmètre de service.

  4. (Facultatif) Pour appliquer des restrictions basées sur l'adresse IP ou la région, créez des niveaux d'accès et ajoutez-les au périmètre :

    1. Pour créer un niveau d'accès, consultez Créer un niveau d'accès de base. Pour obtenir un exemple, consultez Limiter l'accès sur un réseau d'entreprise.
    2. Ajoutez le niveau d'accès au périmètre. Consultez Ajouter un niveau d'accès à un périmètre existant. La propagation peut prendre jusqu'à 30 minutes.

  5. Utilisez l'API REST Cloud Search Customer Service pour mettre à jour les paramètres client avec votre projet protégé :

    1. Obtenez un jeton d'accès OAuth 2.0. Consultez Utiliser le protocole OAuth 2.0 pour accéder aux API Google. Utilisez l'un des champs d'application suivants :
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Exécutez cette commande curl :

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Remplacez YOUR_ACCESS_TOKEN et PROJECT_ID.

Une mise à jour réussie renvoie une réponse 200 OK. Les restrictions VPC Service Controls s'appliquent désormais à toutes les API Cloud Search, aux recherches sur cloudsearch.google.com, ainsi qu'aux configurations ou rapports de la console d'administration. Les requêtes qui enfreignent les niveaux d'accès génèrent une erreur PERMISSION_DENIED.