이 페이지는 Cloud Translation API를 통해 번역되었습니다.

VPC 서비스 제어로 보안 강화

Google Cloud Search는 데이터 보안을 강화하기 위해 VPC 서비스 제어를 지원합니다. VPC 서비스 제어를 사용하면 Google Cloud Platform 리소스 주위에 서비스 경계를 정의하여 데이터를 제한하고 데이터 무단 반출 위험을 완화할 수 있습니다.

기본 요건

시작하기 전에 gcloud 명령줄 인터페이스를 설치합니다.

VPC 서비스 제어 사용 설정

VPC 서비스 제어를 사용 설정하려면 다음 안내를 따르세요.

사용하려는 Google Cloud Platform 프로젝트의 프로젝트 ID와 프로젝트 번호를 가져옵니다. 프로젝트 ID 및 번호를 확인하려면 프로젝트 식별을 참고하세요.
gcloud를 사용하여 Google Cloud Platform 조직의 액세스 정책을 만듭니다.
참고: 조직은 액세스 정책 하나만 가질 수 있습니다. 조직에 두 번째 액세스 정책을 만들려고 하면 오류가 발생합니다.
다음 gcloud 명령어를 실행하여 Cloud Search를 제한된 서비스로 하는 서비스 경계를 만듭니다.
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
각 항목의 의미는 다음과 같습니다.
- NAME은 경계의 이름입니다.
- TITLE은 사람이 읽을 수 있는 경계의 제목입니다.
- PROJECTS는 쉼표로 구분된 하나 이상의 프로젝트 번호 목록으로, 각 번호 앞에 projects/ 문자열이 옵니다. 1단계에서 얻은 프로젝트 번호를 사용합니다. 예를 들어 12345 프로젝트와 67890라는 두 개의 프로젝트가 있다면 설정은 --resource=projects/12345, project/67890입니다 .이 플래그는 프로젝트 번호만 지원하며 이름이나 ID는 지원하지 않습니다.
- RESTRICTED-SERVICES는 쉼표로 구분된 하나 이상의 서비스 목록입니다. cloudsearch.googleapis.com를 사용합니다.
- POLICY_NAME은 2c단계에서 가져온 조직의 액세스 정책의 숫자 이름입니다.
서비스 경계를 만드는 방법에 관한 자세한 내용은 서비스 경계 만들기를 참고하세요.
(선택사항) IP 또는 지역 기반 제한을 적용하려면 액세스 수준을 만들고 3단계에서 만든 서비스 경계에 추가합니다.
1. 액세스 수준을 만들려면 기본 액세스 수준 만들기를 참고하세요. 회사 네트워크 내의 IP 주소와 같이 특정 범위의 IP 주소에서만 액세스를 허용하는 액세스 수준 조건을 만드는 방법의 예는 회사 네트워크의 액세스 제한을 참고하세요.
2. 액세스 수준을 만든 후 서비스 경계에 추가합니다. 서비스 경계에 액세스 수준을 추가하는 방법은 기존 경계에 액세스 수준 추가를 참고하세요. 변경사항이 전파되어 적용되려면 최대 30분이 걸릴 수 있습니다.
Cloud Search 고객 서비스 REST API를 사용하여 VPC 서비스 제어 경계 보호 프로젝트로 고객 설정을 업데이트합니다.

Google 승인 서버에서 OAuth 2.0 액세스 토큰을 가져옵니다. 토큰을 가져오는 방법에 대한 자세한 내용은 OAuth 2.0을 사용하여 Google API에 액세스의 2단계를 참조하세요. 액세스 토큰을 가져올 때는 https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings 또는 https://www.googleapis.com/auth/cloud_search OAuth 범위 중 하나를 사용합니다.

다음 curl 명령어를 실행하여 Google Cloud Search의 고객 설정에서 VPC 서비스 제어 설정에 프로젝트를 설정합니다.

curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

각 항목의 의미는 다음과 같습니다.

YOUR_ACCESS_TOKEN는 5a단계에서 가져온 OAuth 2.0 액세스 토큰입니다.
PROJECT_ID는 1단계에서 가져온 프로젝트 ID입니다.

성공하면 200 OK 응답과 함께 업데이트된 고객 설정이 수신됩니다.

위 단계를 완료하면 서비스 경계에 정의된 VPC 서비스 제어 제한사항이 모든 Google Cloud Search API, cloudsearch.google.com에서의 검색, 관리 콘솔을 사용하여 구성 또는 보고서를 보고 변경하는 작업에 적용됩니다. Google Cloud Search API에 대한 액세스 수준을 따르지 않는 추가 요청에는 PERMISSION_DENIED “Request is prohibited by organization’s policy” 오류가 발생합니다.