Google Cloud Search는 데이터 보안을 강화할 수 있도록 VPC 서비스 제어를 지원합니다. VPC 서비스 제어를 사용하면 Google Cloud 리소스 주위에 서비스 경계를 정의하여 데이터를 통제하고 무단 반출 위험을 완화할 수 있습니다.
기본 요건
시작하기 전에 gcloud CLI를 설치합니다.
VPC 서비스 제어 사용 설정
VPC 서비스 제어를 사용 설정하려면 다음 단계를 따르세요.
사용하려는 Google Cloud 프로젝트의 프로젝트 ID 및 번호를 가져옵니다. 프로젝트 식별을 참조하세요 .
gcloud를 사용하여 Google Cloud 조직의 액세스 정책을 만듭니다.Cloud Search를 제한된 서비스로 사용하여 서비스 경계를 만듭니다.
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAME각 항목의 의미는 다음과 같습니다.
NAME은 경계 이름입니다.TITLE은 경계 제목입니다.PROJECTS는 쉼표로 구분된 프로젝트 번호 목록이며 각 프로젝트 번호 앞에projects/가 붙습니다. 예를 들어--resources=projects/12345,projects/67890입니다. 이 플래그는 프로젝트 번호만 지원합니다.RESTRICTED-SERVICES는 쉼표로 구분된 목록입니다.cloudsearch.googleapis.com을 사용합니다.POLICY_NAME은 조직의 액세스 정책의 숫자 이름입니다.
자세한 내용은 서비스 경계 만들기를 참조하세요.
(선택사항) IP 또는 리전 기반 제한을 적용하려면 액세스 수준을 만들고 경계에 추가합니다.
- 액세스 수준을 만들려면 기본 액세스 수준 만들기를 참조하세요. 예를 들어 회사 네트워크의 액세스 제한을 참조하세요.
- 액세스 수준을 경계에 추가합니다. 기존 경계에 액세스 수준 추가 를 참조하세요. 전파에는 최대 30분이 걸릴 수 있습니다.
Cloud Search Customer Service REST API를 사용하여 보호된 프로젝트로 고객 설정을 업데이트합니다.
- OAuth 2.0 액세스 토큰을 가져옵니다. OAuth 2.0을 사용하여 Google API 액세스를 참조하세요.
다음 범위 중 하나를 사용합니다.
https://www.googleapis.com/auth/cloud_search.settings.indexinghttps://www.googleapis.com/auth/cloud_search.settingshttps://www.googleapis.com/auth/cloud_search
다음 curl 명령어를 실행합니다.
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressedYOUR_ACCESS_TOKEN및PROJECT_ID를 바꿉니다.
- OAuth 2.0 액세스 토큰을 가져옵니다. OAuth 2.0을 사용하여 Google API 액세스를 참조하세요.
다음 범위 중 하나를 사용합니다.
업데이트가 성공하면 200 OK 응답이 반환됩니다. 이제 VPC 서비스 제어 제한이 모든 Cloud Search API, cloudsearch.google.com의 검색, 관리 콘솔 구성 또는 보고서에 적용됩니다.
액세스 수준을 위반하는 요청은 PERMISSION_DENIED 오류를 수신합니다.