Эта страница переведена с помощью Cloud Translation API.

Как повысить безопасность с помощью Управления зонами безопасности VPC

Google Cloud Search поддерживает VPC Service Controls для повышения безопасности данных. VPC Service Controls позволяет определить периметр обслуживания вокруг ресурсов Google Cloud, чтобы ограничить доступ к данным и снизить риски утечки информации.

Предварительные требования

Перед началом работы установите интерфейс командной строки gcloud .

Включение управления службами VPC

Чтобы включить управление службами VPC:

Получите идентификаторы и номера проектов Google Cloud, которые вы хотите использовать. См. раздел «Идентификация проектов» .
Используйте gcloud для создания политики доступа для вашей организации Google Cloud:
Примечание: Организация может иметь только одну политику доступа.
Создайте периметр обслуживания, используя Cloud Search в качестве сервиса с ограниченным доступом:
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
Где:
- NAME — это название периметра.
- TITLE — это название, указывающее на периметр.
- PROJECTS — это список номеров проектов, разделённых запятыми, каждому из которых предшествует projects/ . Например, --resources=projects/12345,projects/67890 . Этот флаг поддерживает только номера проектов.
- RESTRICTED-SERVICES — это список, разделённый запятыми. Используйте cloudsearch.googleapis.com .
- POLICY_NAME — это числовое имя политики доступа вашей организации.
Для получения более подробной информации см. раздел «Создание периметра обслуживания» .
(Необязательно) Чтобы применить ограничения по IP-адресу или региону, создайте уровни доступа и добавьте их к периметру:
1. Чтобы создать уровень доступа, см. раздел «Создание базового уровня доступа ». Пример см. в разделе «Ограничение доступа в корпоративной сети» .
2. Добавьте уровень доступа к периметру. См. раздел «Добавление уровня доступа к существующему периметру» . Распространение изменений может занять до 30 минут.
Используйте REST API службы поддержки клиентов Cloud Search для обновления настроек клиента в вашем защищенном проекте:
Примечание: Поскольку ресурсы Cloud Search не хранятся в проекте Google Cloud, необходимо обновить настройки клиента в проекте VPC Service Controls. Этот проект выступает в качестве виртуального контейнера для ваших ресурсов.
1. Получите токен доступа OAuth 2.0. См. раздел «Использование OAuth 2.0 для доступа к API Google» . Используйте одну из следующих областей действия (scopes):
  - https://www.googleapis.com/auth/cloud_search.settings.indexing
  - https://www.googleapis.com/auth/cloud_search.settings
  - https://www.googleapis.com/auth/cloud_search
2. Выполните следующую команду curl:
```
curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed
```
  Замените YOUR_ACCESS_TOKEN и PROJECT_ID .

Успешное обновление возвращает ответ 200 OK . Ограничения VPC Service Controls теперь применяются ко всем API Cloud Search, поискам на cloudsearch.google.com , а также к конфигурациям и отчетам консоли администратора. Запросы, нарушающие уровни доступа, получают ошибку PERMISSION_DENIED .