Meningkatkan keamanan dengan Kontrol Layanan VPC

Google Cloud Search mendukung Kontrol Layanan VPC untuk meningkatkan keamanan data. Kontrol Layanan VPC memungkinkan Anda menentukan perimeter layanan di sekitar resource Google Cloud Platform untuk membatasi data dan membantu memitigasi risiko pemindahan data yang tidak sah.

Prasyarat

Sebelum memulai, instal antarmuka command line gcloud.

Mengaktifkan Kontrol Layanan VPC

Untuk mengaktifkan Kontrol Layanan VPC:

1. Dapatkan project ID dan nomor project untuk project Google Cloud Platform yang ingin Anda gunakan. Untuk mendapatkan project ID dan nomor project, lihat Mengidentifikasi project.

2. Gunakan gcloud untuk membuat kebijakan akses bagi organisasi Google Cloud Platform Anda:

   1. Dapatkan ID organisasi Anda.
   2. Buat kebijakan akses.
   3. Dapatkan nama kebijakan akses Anda.

3. Buat perimeter layanan dengan Cloud Search sebagai layanan terbatas dengan menjalankan perintah gcloud berikut:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Dengan keterangan:

   • NAME adalah nama perimeter.
   • TITLE adalah judul perimeter yang dapat dibaca orang.
   • PROJECTS adalah daftar yang dipisahkan koma yang berisi satu atau beberapa nomor project, masing-masing didahului dengan string projects/. Gunakan nomor project yang diperoleh di langkah 1. Misalnya, jika Anda memiliki dua project, project 12345 dan 67890, setelan Anda akan menjadi --resource=projects/12345, project/67890 .Flag ini hanya mendukung nomor project; tidak mendukung nama atau ID.
   • RESTRICTED-SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan. Gunakan cloudsearch.googleapis.com.
   • POLICY_NAME adalah nama numerik kebijakan akses organisasi Anda yang diperoleh di langkah 2c.

   Untuk mengetahui informasi lebih lanjut tentang cara membuat perimeter layanan, lihat Membuat perimeter layanan.

4. (opsional) Jika Anda ingin menerapkan batasan berbasis IP atau region, buat tingkat akses, lalu tambahkan ke perimeter layanan yang dibuat di langkah 3:

   1. Untuk membuat tingkat akses, lihat Membuat tingkat akses dasar. Untuk mengetahui contoh cara membuat kondisi tingkat akses yang hanya mengizinkan akses dari rentang alamat IP tertentu, seperti yang ada dalam jaringan perusahaan, lihat Membatasi akses di jaringan perusahaan.
   2. Setelah membuat tingkat akses, tambahkan ke perimeter layanan. Untuk mendapatkan petunjuk tentang cara menambahkan tingkat akses ke perimeter layanan, lihat Menambahkan tingkat akses ke perimeter yang ada. Perubahan ini dapat memerlukan waktu hingga 30 menit agar perubahan ini diterapkan dan berlaku.

5. Gunakan Cloud Search Customer Service REST API untuk memperbarui setelan pelanggan dengan project yang dilindungi perimeter Kontrol Layanan VPC Anda:

1. Dapatkan token akses OAuth 2.0 dari Server Otorisasi Google. Untuk informasi tentang cara mendapatkan token, lihat langkah 2 di Menggunakan OAuth 2.0 untuk Mengakses Google API. Saat mendapatkan token akses, gunakan salah satu cakupan OAuth berikut: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, atau https://www.googleapis.com/auth/cloud_search

2. Jalankan perintah curl berikut untuk menetapkan project di setelan VPC Service Controls di bagian Setelan pelanggan di Google Cloud Search:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Dengan keterangan:

• YOUR_ACCESS_TOKEN adalah token akses OAuth 2.0 yang diperoleh di langkah 5a.

• PROJECT_ID adalah project ID yang diperoleh di langkah 1.

  Jika berhasil, Anda akan menerima respons 200 OK yang disertai dengan setelan pelanggan yang diperbarui.

Setelah langkah-langkah di atas berhasil diselesaikan, batasan Kontrol Layanan VPC, seperti yang ditentukan dalam perimeter layanan, akan diterapkan ke semua Google Cloud Search API, penelusuran di cloudsearch.google.com, serta melihat dan mengubah konfigurasi atau laporan menggunakan konsol Admin. Permintaan lebih lanjut ke Google Cloud Search API yang tidak mengikuti tingkat akses akan menerima error PERMISSION_DENIED “Request is prohibited by organization’s policy”.