Google Cloud Search 支持 VPC Service Controls 来增强数据的安全性。通过 VPC Service Controls,您可以定义 Google Cloud Platform 资源的服务边界,以限制数据并帮助降低数据渗漏风险。
前提条件
在开始之前,请先安装 gcloud 命令行界面。
启用 VPC Service Controls
如需启用 VPC Service Controls,请执行以下操作:
获取要使用的 Google Cloud Platform 项目的项目 ID 和项目编号。如需获取项目 ID 和编号,请参阅识别项目。
使用 gcloud 为您的 Google Cloud Platform 组织创建访问权限政策:
运行以下 gcloud 命令,创建将 Cloud Search 作为受限服务的服务边界:
gcloud access-context-manager perimeters create NAME \ --title=TITLE \ --resources=PROJECTS \ --restricted-services=RESTRICTED-SERVICES \ --policy=POLICY_NAME
其中:
NAME
是边界的名称。TITLE
是直观易懂的边界标题。PROJECTS
是包含一个或多个项目编号的逗号分隔列表,每个项目编号均以字符串projects/
开头。使用在第 1 步中获得的项目编号。例如,如果您有两个项目,即项目12345
和67890
,则您的设置将为--resource=projects/12345, project/67890
。此标志仅支持项目编号,不支持名称或 ID。RESTRICTED-SERVICES
是包含一个或多个服务的列表(以英文逗号分隔)。 请使用cloudsearch.googleapis.com
。POLICY_NAME
是在第 2c 步中获取的组织访问权限政策的数字名称。
如需详细了解如何创建服务边界,请参阅创建服务边界。
(可选)如果要应用基于 IP 或区域的限制,请创建访问权限级别并将其添加到第 3 步中创建的服务边界:
- 如需创建访问权限级别,请参阅创建基本访问权限级别。如需通过示例了解如何创建仅允许从特定范围的 IP 地址(如公司网络内)进行访问的访问权限级别条件,请参阅限制公司网络上的访问权限。
- 创建访问权限级别后,将其添加到服务边界。 如需了解如何向服务边界添加访问权限级别,请参阅向现有边界添加访问权限级别。此更改最长可能需要 30 分钟才能传播并生效。
使用 Cloud Search Customer Service REST API 更新受 VPC Service Controls 受边界保护的项目的客户设置:
从 Google 授权服务器获取 OAuth 2.0 访问令牌。如需了解如何获取令牌,请参阅使用 OAuth 2.0 访问 Google API 中的第 2 步。获取访问令牌时,请使用以下 OAuth 范围之一:
https://www.googleapis.com/auth/cloud_search.settings.indexing
、https://www.googleapis.com/auth/cloud_search.settings
或https://www.googleapis.com/auth/cloud_search
运行以下 curl 命令,在 Google Cloud Search 中“客户设置”下的 VPC Service Controls 设置中设置项目:
curl --request PATCH \ 'https://cloudsearch.googleapis.com/v1/settings/customer' \ --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \ --header 'Accept: application/json' \ --header 'Content-Type: application/json' \ --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \ --compressed
其中:
YOUR_ACCESS_TOKEN
是在第 5a 步中获得的 OAuth 2.0 访问令牌。PROJECT_ID
是在第 1 步中获得的项目 ID。如果成功,您应该会收到
200 OK
响应以及更新后的客户设置。
成功完成上述步骤后,服务边界中定义的 VPC Service Controls 限制将应用于所有 Google Cloud Search API、在 cloudsearch.google.com
中搜索,以及使用管理控制台查看和更改配置或报告。如果后续向 Google Cloud Search API 发出的请求不遵循访问权限级别,则会收到 PERMISSION_DENIED “Request is prohibited by organization’s policy”
错误。