Questa pagina è stata tradotta dall'API Cloud Translation.

Migliorare la sicurezza con i Controlli di servizio VPC

Google Cloud Search supporta i Controlli di servizio VPC per migliorare la sicurezza dei tuoi dati. Controlli di servizio VPC consente di definire un perimetro di servizio intorno alle risorse della piattaforma Google Cloud per limitare i dati e contribuire a mitigare i rischi di esfiltrazione di dati.

Prerequisiti

Prima di iniziare, installa l'interfaccia a riga di comando gcloud.

Abilitare i Controlli di servizio VPC

Per attivare i Controlli di servizio VPC:

Ottieni gli ID progetto e i numeri di progetto per il progetto della piattaforma Google Cloud che vuoi utilizzare. Per ottenere gli ID e i numeri dei progetti, consulta Identificazione dei progetti.
Utilizza gcloud per creare un criterio di accesso per la tua organizzazione Google Cloud:
Nota: le organizzazioni possono avere un solo criterio di accesso. Se provi a creare un secondo criterio di accesso per la tua organizzazione, si verifica un errore.
Crea un perimetro di servizio con Cloud Search come servizio con limitazioni eseguendo il seguente comando gcloud:
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
Dove:
- NAME è il nome del perimetro.
- TITLE è il titolo leggibile del perimetro.
- PROJECTS è un elenco separato da virgole di uno o più numeri di progetto, ciascuno preceduto dalla stringa projects/. Usa i numeri di progetto ottenuti nel passaggio 1. Ad esempio, se avessi due progetti, 12345 e 67890, l'impostazione sarebbe --resource=projects/12345, project/67890 .Questo flag supporta solo i numeri di progetto, non i nomi o gli ID.
- RESTRICTED-SERVICES è un elenco separato da virgole di uno o più servizi. Utilizza cloudsearch.googleapis.com.
- POLICY_NAME è il nome numerico del criterio di accesso della tua organizzazione ottenuto nel passaggio 2c.
Per ulteriori informazioni su come creare un perimetro di servizio, consulta Creare un perimetro di servizio.
(Facoltativo) Se vuoi applicare limitazioni in base all'IP o alla regione, crea livelli di accesso e aggiungili al perimetro del servizio creato nel passaggio 3:
1. Per creare un livello di accesso, consulta la sezione Creare un livello di accesso di base. Per un esempio su come creare una condizione del livello di accesso che consenta l'accesso solo da un intervallo specifico di indirizzi IP, ad esempio quelli all'interno di una rete aziendale, consulta Limitare l'accesso su una rete aziendale.
2. Dopo aver creato un livello di accesso, aggiungilo al perimetro di servizio. Per istruzioni sull'aggiunta di un livello di accesso a un perimetro di servizio, consulta Aggiunta di un livello di accesso a un perimetro esistente. La propagazione e l'applicazione di questa modifica possono richiedere fino a 30 minuti.
Utilizza l'API REST Cloud Search Customer Service per aggiornare le impostazioni del cliente con il progetto protetto dal perimetro di Controlli di servizio VPC:

Ottieni un token di accesso OAuth 2.0 dal server di autorizzazione Google. Per informazioni su come ottenere il token, consulta il passaggio 2 di Utilizzare OAuth 2.0 per accedere alle API di Google. Quando ottieni il token di accesso, utilizza uno dei seguenti ambiti OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings o https://www.googleapis.com/auth/cloud_search

Esegui il seguente comando curl per impostare il progetto nelle impostazioni di VPC Service Controls in Impostazioni cliente in Google Cloud Search:

curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

Dove:

YOUR_ACCESS_TOKEN è il token di accesso OAuth 2.0 ottenuto nel passaggio 5a.
PROJECT_ID è l'ID progetto ottenuto nel passaggio 1.

In caso di esito positivo, dovresti ricevere una risposta 200 OK accompagnata dalle impostazioni del cliente aggiornate.

Una volta completati correttamente i passaggi precedenti, le limitazioni dei Controlli di servizio VPC, come definite nel perimetro di servizio, vengono applicate a tutte le API Google Cloud Search, alle ricerche in cloudsearch.google.com e alla visualizzazione e alla modifica della configurazione o dei report utilizzando la Console di amministrazione. Le richieste aggiuntive all'API Google Cloud Search che non rispettano i livelli di accesso ricevono un errore PERMISSION_DENIED “Request is prohibited by organization’s policy”.