Migliorare la sicurezza con i Controlli di servizio VPC

Google Cloud Search supporta i Controlli di servizio VPC per migliorare la sicurezza dei dati. I Controlli di servizio VPC ti consentono di definire un perimetro di servizio attorno alle risorse Google Cloud per applicare vincoli ai dati e mitigare i rischi di esfiltrazione.

Prerequisiti

Prima di iniziare, installa gcloud CLI.

Abilitare i Controlli di servizio VPC

Per abilitare i Controlli di servizio VPC:

  1. Recupera gli ID e i numeri di progetto per il progetto Google Cloud che vuoi utilizzare. Consulta Identificare i progetti.

  2. Utilizza gcloud per creare una policy di accesso per la tua organizzazione Google Cloud:

    1. Recupera l'ID della tua organizzazione.
    2. Crea una policy di accesso.
    3. Recupera il nome della policy di accesso.

  3. Crea un perimetro di servizio con Cloud Search come servizio limitato:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Dove:

    • NAME è il nome del perimetro.
    • TITLE è il titolo del perimetro.
    • PROJECTS è un elenco separato da virgole di numeri di progetto, ognuno preceduto da projects/. Ad esempio, --resources=projects/12345,projects/67890. Questo flag supporta solo i numeri di progetto.
    • RESTRICTED-SERVICES è un elenco separato da virgole. Utilizza cloudsearch.googleapis.com.
    • POLICY_NAME è il nome numerico della policy di accesso della tua organizzazione.

    Per saperne di più, consulta Crea un perimetro di servizio.

  4. (Facoltativo) Per applicare limitazioni basate su IP o regione, crea livelli di accesso e aggiungili al perimetro:

    1. Per creare un livello di accesso, consulta Crea un livello di accesso di base. Per un esempio, consulta Limitare l'accesso a una rete aziendale.
    2. Aggiungi il livello di accesso al perimetro. Consulta Aggiungere un livello di accesso a un perimetro esistente. La propagazione può richiedere fino a 30 minuti.

  5. Utilizza l'API REST del servizio clienti di Cloud Search per aggiornare le impostazioni del cliente con il progetto protetto:

    1. Ottieni un token di accesso OAuth 2.0. Consulta Utilizzare OAuth 2.0 per accedere alle API di Google. Utilizza uno di questi ambiti:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Esegui questo comando curl:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Sostituisci YOUR_ACCESS_TOKEN e PROJECT_ID.

Un aggiornamento riuscito restituisce una risposta 200 OK. Le limitazioni dei Controlli di servizio VPC si applicano ora a tutte le API di Cloud Search, alle ricerche su cloudsearch.google.com e alle configurazioni o ai report della Console di amministrazione. Le richieste che violano i livelli di accesso ricevono un errore PERMISSION_DENIED.