Zwiększanie bezpieczeństwa dzięki Ustawieniom usługi VPC

Google Cloud Search obsługuje Ustawienia usługi VPC, aby zwiększyć bezpieczeństwo danych. Ustawienia usługi VPC umożliwiają wyznaczenie granicy usług wokół zasobów Google Cloud, aby ograniczyć przepływ danych i zmniejszyć ryzyko wydobycia.

Wymagania wstępne

Zanim zaczniesz, zainstaluj gcloud CLI.

Włączanie Ustawień usługi VPC

Aby włączyć Ustawienia usługi VPC:

  1. Uzyskaj identyfikatory i numery projektów Google Cloud, których chcesz używać. Zobacz Identyfikowanie projektów.

  2. Aby utworzyć zasadę dostępu dla organizacji Google Cloud, użyj gcloud:

    1. Uzyskaj identyfikator organizacji
    2. Utwórz zasadę dostępu.
    3. Pobierz nazwę zasady dostępu.

  3. Utwórz granicę usług z Cloud Search jako usługą objętą ograniczeniami:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Gdzie:

    • NAME to nazwa granicy.
    • TITLE to tytuł granicy.
    • PROJECTS to lista numerów projektów rozdzielona przecinkami, z których każdy poprzedzony jest znakiem projects/. Na przykład: --resources=projects/12345,projects/67890. Ten flag obsługuje tylko numery projektów.
    • RESTRICTED-SERVICES to lista rozdzielona przecinkami. Użyj cloudsearch.googleapis.com.
    • POLICY_NAME to numeryczna nazwa zasad dostępu organizacji.

    Więcej informacji znajdziesz w artykule Tworzenie granicy usług.

  4. (Opcjonalnie) Aby zastosować ograniczenia oparte na adresie IP lub regionie, utwórz poziomy dostępu i dodaj je do granicy:

    1. Aby utworzyć poziom dostępu, zapoznaj się z artykułem Tworzenie podstawowego poziomu dostępu. Przykład znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.
    2. Dodaj poziom dostępu do granicy. Zobacz Dodawanie poziomu dostępu do istniejącej granicy. Rozpowszechnianie może potrwać do 30 minut.

  5. Aby zaktualizować ustawienia klienta w chronionym projekcie, użyj interfejsu REST API usługi Cloud Search Customer Service:

    1. Uzyskaj token dostępu OAuth 2.0. Zobacz Używanie protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google. Użyj jednego z tych zakresów:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Uruchom to polecenie curl:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Zastąp YOUR_ACCESS_TOKENPROJECT_ID.

Jeśli aktualizacja się uda, zwracana jest odpowiedź 200 OK. Ograniczenia Ustawień usługi VPC obowiązują teraz w przypadku wszystkich interfejsów Cloud Search API, wyszukiwań w cloudsearch.google.com oraz konfiguracji i raportów w konsoli administracyjnej. Żądania, które naruszają poziomy dostępu, powodują wystąpienie błędu PERMISSION_DENIED.