Zwiększanie bezpieczeństwa dzięki Ustawieniom usługi VPC

Google Cloud Search obsługuje Ustawienia usługi VPC, aby zwiększyć bezpieczeństwo danych. Ustawienia usługi VPC umożliwiają wyznaczenie granicy usług wokół zasobów Google Cloud w celu ograniczenia dostępu do danych i zmniejszenia ryzyka wydobycia.

Wymagania wstępne

Zanim zaczniesz, zainstaluj gcloud CLI.

Włączanie Ustawień usługi VPC

Aby włączyć Ustawienia usługi VPC:

  1. Uzyskaj identyfikatory i numery projektów Google Cloud, których chcesz używać. Zobacz Identyfikowanie projektów.

  2. Aby utworzyć zasadę dostępu dla organizacji Google Cloud, użyj gcloud:

    1. Uzyskaj identyfikator organizacji
    2. Utwórz zasadę dostępu.
    3. Pobierz nazwę zasady dostępu.

  3. Utwórz granicę usług z Cloud Search jako usługą objętą ograniczeniami:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Gdzie:

    • NAME to nazwa granicy.
    • TITLE to tytuł granicy.
    • PROJECTS to lista numerów projektów rozdzielona przecinkami, z których każdy poprzedzony jest znakiem projects/. Na przykład: --resources=projects/12345,projects/67890. Ten flag obsługuje tylko numery projektów.
    • RESTRICTED-SERVICES to lista rozdzielona przecinkami. Użyj cloudsearch.googleapis.com.
    • POLICY_NAME to numeryczna nazwa zasad dostępu organizacji.

    Więcej informacji znajdziesz w artykule Tworzenie granicy usług.

  4. (Opcjonalnie) Aby zastosować ograniczenia oparte na adresie IP lub regionie, utwórz poziomy dostępu i dodaj je do granicy:

    1. Aby utworzyć poziom dostępu, zapoznaj się z artykułem Tworzenie podstawowego poziomu dostępu. Przykład znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.
    2. Dodaj poziom dostępu do granicy. Zobacz Dodawanie poziomu dostępu do istniejącej granicy. Rozpowszechnianie może potrwać do 30 minut.

  5. Aby zaktualizować ustawienia klienta w chronionym projekcie, użyj interfejsu REST API usługi Cloud Search Customer Service:

    1. Uzyskaj token dostępu OAuth 2.0. Zobacz Używanie protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google. Użyj jednego z tych zakresów:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Uruchom to polecenie curl:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Zastąp YOUR_ACCESS_TOKENPROJECT_ID.

Jeśli aktualizacja się uda, zwracana jest odpowiedź 200 OK. Ograniczenia Ustawień usługi VPC obowiązują teraz w przypadku wszystkich interfejsów Cloud Search API, wyszukiwań w cloudsearch.google.com oraz konfiguracji i raportów w konsoli administracyjnej. Żądania, które naruszają poziomy dostępu, powodują wystąpienie błędu PERMISSION_DENIED.