Diese Seite wurde von der Cloud Translation API übersetzt.

Mehr Sicherheit mit VPC Service Controls

Google Cloud Search unterstützt VPC Service Controls, um die Sicherheit Ihrer Daten zu verbessern. Mit VPC Service Controls können Sie einen Dienstperimeter für Google Cloud-Ressourcen festlegen, um Daten einzuschränken und die Risiken einer Daten-Exfiltration zu minimieren.

Vorbereitung

Bevor Sie beginnen, installieren Sie die gcloud-Befehlszeile.

VPC Service Controls aktivieren

So aktivieren Sie VPC Service Controls:

Ermitteln Sie die Projekt-IDs und -Nummern für das Google Cloud-Projekt, das Sie verwenden möchten. Informationen zum Abrufen der Projekt-IDs und -nummern finden Sie unter Projekte identifizieren.
Verwenden Sie gcloud, um eine Zugriffsrichtlinie für Ihre Google Cloud Platform-Organisation zu erstellen:
Hinweis: Organisationen können jeweils nur eine Zugriffsrichtlinie haben. Wenn Sie versuchen, eine zweite Zugriffsrichtlinie für Ihre Organisation zu erstellen, tritt ein Fehler auf.
Erstellen Sie einen Dienstperimeter mit Cloud Search als eingeschränktem Dienst. Führen Sie dazu den folgenden gcloud-Befehl aus:
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
Wobei:
- NAME ist der Name des Perimeters.
- TITLE ist der für Menschen lesbare Titel des Perimeters.
- PROJECTS ist eine durch Kommas getrennte Liste mit einer oder mehreren Projektnummern, vor denen jeweils der String projects/ steht. Verwenden Sie die in Schritt 1 ermittelten Projektnummern. Wenn Sie beispielsweise zwei Projekte haben, Projekt 12345 und Projekt 67890, lautet die Einstellung --resource=projects/12345, project/67890 .Dieses Flag unterstützt nur Projektnummern, keine Namen oder IDs.
- RESTRICTED-SERVICES ist eine durch Kommas getrennte Liste mit einem oder mehreren Diensten. Verwenden Sie cloudsearch.googleapis.com.
- POLICY_NAME ist der numerische Name der Zugriffsrichtlinie Ihrer Organisation, den Sie in Schritt 2c ermittelt haben.
Weitere Informationen zum Erstellen eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.
Optional: Wenn Sie IP- oder regionsbasierte Einschränkungen anwenden möchten, erstellen Sie Zugriffsebenen und fügen Sie sie dem in Schritt 3 erstellten Dienstperimeter hinzu:
1. Eine Anleitung zum Erstellen einer Zugriffsebene finden Sie unter Einfache Zugriffsebene erstellen. Ein Beispiel zum Erstellen einer Bedingung für eine Zugriffsebene, die den Zugriff nur aus einem bestimmten Bereich von IP-Adressen zulässt (z. B. innerhalb eines Unternehmensnetzwerks), finden Sie unter Zugriff auf ein Unternehmensnetzwerk beschränken.
2. Nachdem Sie eine Zugriffsebene erstellt haben, fügen Sie sie dem Dienstperimeter hinzu. Eine Anleitung zum Hinzufügen einer Zugriffsebene zu einem Dienstperimeter finden Sie unter Zugriffsebene zu einem vorhandenen Perimeter hinzufügen. Es kann bis zu 30 Minuten dauern, bis diese Änderung wirksam wird.
Verwenden Sie die Cloud Search Customer Service REST API, um die Kundeneinstellungen mit Ihrem VPC Service Controls-Perimeter-geschützten Projekt zu aktualisieren:

Fordern Sie ein OAuth 2.0-Zugriffstoken vom Google-Autorisierungsserver an. Informationen zum Abrufen des Tokens finden Sie in Schritt 2 des Hilfeartikels Mit OAuth 2.0 auf Google APIs zugreifen. Verwenden Sie beim Abrufen des Zugriffstokens einen der folgenden OAuth-Bereiche: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings oder https://www.googleapis.com/auth/cloud_search.

Führen Sie den folgenden curl-Befehl aus, um das Projekt in den VPC-Servicekontrolleinstellungen unter „Kundeneinstellungen“ in Google Cloud Search festzulegen:

curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

Wobei:

YOUR_ACCESS_TOKEN ist das OAuth 2.0-Zugriffstoken, das in Schritt 5a abgerufen wurde.
PROJECT_ID ist die in Schritt 1 abgerufene Projekt-ID.

Wenn der Vorgang erfolgreich war, erhalten Sie eine 200 OK-Antwort mit den aktualisierten Kundeneinstellungen.

Nachdem die oben genannten Schritte erfolgreich abgeschlossen wurden, werden die im Dienstperimeter definierten Einschränkungen von VPC Service Controls auf alle Google Cloud Search APIs, Suchanfragen bei cloudsearch.google.com sowie das Ansehen und Ändern von Konfigurationen oder Berichten über die Admin-Konsole angewendet. Weitere Anfragen an die Google Cloud Search API, die keinen Zugriffsebenen folgen, erhalten den Fehler PERMISSION_DENIED “Request is prohibited by organization’s policy”.