Tăng cường bảo mật bằng VPC Service Controls

Google Cloud Search hỗ trợ giải pháp VPC Service Controls để tăng cường bảo mật dữ liệu. Giải pháp VPC Service Controls cho phép bạn xác định ranh giới dịch vụ xung quanh các tài nguyên của Google Cloud để hạn chế dữ liệu và giảm thiểu rủi ro rò rỉ dữ liệu.

Điều kiện tiên quyết

Trước khi bắt đầu, hãy cài đặt gcloud CLI.

Bật VPC Service Controls

Cách bật VPC Service Controls:

  1. Lấy mã dự án và số dự án cho dự án trên Google Cloud mà bạn muốn sử dụng. Xem phần Xác định dự án.

  2. Sử dụng gcloud để tạo chính sách truy cập cho tổ chức của bạn trên Google Cloud:

    1. Lấy mã tổ chức.
    2. Tạo chính sách truy cập.
    3. Lấy tên của chính sách truy cập.

  3. Tạo một phạm vi dịch vụ có Cloud Search làm dịch vụ bị hạn chế:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Trong trường hợp:

    • NAME là tên của chu vi.
    • TITLE là tiêu đề của chu vi.
    • PROJECTS là danh sách được phân tách bằng dấu phẩy gồm nhiều mã số dự án, mỗi mã số dự án đều có tiền tố là projects/. Ví dụ: --resources=projects/12345,projects/67890. Cờ này chỉ hỗ trợ số dự án.
    • RESTRICTED-SERVICES là danh sách được phân tách bằng dấu phẩy. Sử dụng cloudsearch.googleapis.com.
    • POLICY_NAME là tên bằng số của chính sách truy cập của tổ chức bạn.

    Để biết thêm thông tin, hãy xem bài viết Tạo ranh giới dịch vụ.

  4. (Không bắt buộc) Để áp dụng các quy định hạn chế dựa trên IP hoặc khu vực, hãy tạo các cấp truy cập rồi thêm các cấp đó vào ranh giới:

    1. Để tạo cấp truy cập, hãy xem phần Tạo cấp truy cập cơ bản. Ví dụ: Hãy xem phần Hạn chế quyền truy cập trên mạng doanh nghiệp.
    2. Thêm cấp truy cập vào ranh giới. Xem phần Thêm cấp truy cập vào một ranh giới hiện có. Quá trình truyền tin có thể mất tối đa 30 phút.

  5. Sử dụng Cloud Search Customer Service API REST để cập nhật chế độ cài đặt của khách hàng bằng dự án được bảo vệ:

    1. Lấy mã truy cập OAuth 2.0. Xem phần Sử dụng OAuth 2.0 để truy cập vào các API của Google. Sử dụng một trong các phạm vi sau:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Chạy lệnh curl này:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Thay thế YOUR_ACCESS_TOKENPROJECT_ID.

Nếu cập nhật thành công, bạn sẽ nhận được phản hồi 200 OK. Các hạn chế của VPC Service Controls hiện áp dụng cho tất cả các API Cloud Search, nội dung tìm kiếm tại cloudsearch.google.com và các cấu hình hoặc báo cáo của Bảng điều khiển dành cho quản trị viên. Những yêu cầu vi phạm cấp truy cập sẽ nhận được lỗi PERMISSION_DENIED.