Zwiększanie bezpieczeństwa dzięki Ustawieniom usługi VPC

Google Cloud Search obsługuje Ustawienia usługi VPC, aby zwiększyć bezpieczeństwo Twoich danych. Ustawienia usługi VPC umożliwiają zdefiniowanie granicy usługi wokół zasobów Google Cloud Platform, aby ograniczyć dostęp do danych i zmniejszyć ryzyko wydobycia danych.

Wymagania wstępne

Zanim zaczniesz, zainstaluj interfejs wiersza poleceń gcloud.

Włączanie Ustawień usługi VPC

Aby włączyć Ustawienia usługi VPC:

  1. Uzyskaj identyfikatory i numery projektów Google Cloud Platform, których chcesz użyć. Aby uzyskać identyfikatory i numery projektów, przeczytaj artykuł o identyfikowaniu projektów.

  2. Użyj gcloud, aby utworzyć zasadę dostępu dla organizacji Google Cloud Platform:

    1. Uzyskaj identyfikator organizacji.
    2. Utwórz zasadę dostępu.
    3. Pobierz nazwę zasady dostępu.
  3. Utwórz granicę usług z Cloud Search jako usługą z ograniczeniami, uruchamiając to polecenie gcloud:

    gcloud access-context-manager perimeters create NAME \
        --title=TITLE \
        --resources=PROJECTS \
        --restricted-services=RESTRICTED-SERVICES \
        --policy=POLICY_NAME
    

    Gdzie:

    • NAME to nazwa granicy.
    • TITLE to czytelna dla użytkownika nazwa perymetru.
    • PROJECTS to rozdzielona przecinkami lista co najmniej 1 numeru projektu, z których każdy poprzedzony jest ciągiem znaków projects/. Użyj numerów projektów uzyskanych w kroku 1. Jeśli na przykład masz 2 projekty, 1234567890, ustawienie będzie wyglądać tak: --resource=projects/12345, project/67890 .Ten parametr obsługuje tylko numery projektów; nie obsługuje nazw ani identyfikatorów.
    • RESTRICTED-SERVICES to lista co najmniej 1 usługi rozdzielona przecinkami. Użyj cloudsearch.googleapis.com.
    • POLICY_NAME to numeryczna nazwa polityki dostępu organizacji uzyskana w kroku 2c.

    Więcej informacji o tworzeniu granicy usługi znajdziesz w artykule Tworzenie granicy usługi.

  4. (Opcjonalnie) Jeśli chcesz zastosować ograniczenia na podstawie adresu IP lub regionu, utwórz poziomy dostępu i dodaj je do obszaru usługi utworzonego w kroku 3:

    1. Aby utworzyć poziom dostępu, zapoznaj się z artykułem Tworzenie podstawowego poziomu dostępu. Przykład utworzenia warunku poziomu dostępu, który zezwala na dostęp tylko z określonego zakresu adresów IP, np. z sieci firmowej, znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.
    2. Po utworzeniu poziomu dostępu dodaj go do granicy usługi. Instrukcje dotyczące dodawania poziomu dostępu do granicy usługi znajdziesz w artykule Dodawanie poziomu dostępu do istniejącej granicy. Rozpowszechnienie i wprowadzenie w życie tej zmiany może potrwać do 30 minut.
  5. Aby zaktualizować ustawienia klienta w projekcie chronionym przez granicę usług VPC, użyj interfejsu Cloud Search REST API:

  1. Uzyskaj token dostępu OAuth 2.0 z serwera autoryzacji Google. Informacje o uzyskiwaniu tokena znajdziesz w kroku 2 w artykule Używanie protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google. Podczas uzyskiwania tokena dostępu użyj jednego z tych zakresów OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settingslub https://www.googleapis.com/auth/cloud_search

  2. Aby ustawić projekt w ustawieniach Ustawień usługi VPC w sekcji Ustawienia klienta w Google Cloud Search, uruchom to polecenie curl:

    curl --request PATCH \
      'https://cloudsearch.googleapis.com/v1/settings/customer' \
      --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
      --header 'Accept: application/json' \
      --header 'Content-Type: application/json' \
      --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
      --compressed
    

    Gdzie:

  • YOUR_ACCESS_TOKEN to token dostępu OAuth 2.0 uzyskany w kroku 5a.
  • PROJECT_ID to identyfikator projektu uzyskany w kroku 1.

    Jeśli operacja się powiedzie, otrzymasz odpowiedź 200 OK z aktualnymi ustawieniami klienta.

Po wykonaniu powyższych czynności ograniczenia Ustawień usługi VPC zgodnie z definicją w granicy usługi są stosowane do wszystkich interfejsów API wyszukiwania Google Cloud, wyszukiwań w cloudsearch.google.com oraz wyświetlania i zmiany konfiguracji lub raportów za pomocą konsoli administracyjnej. Kolejne żądania do interfejsu Google Cloud Search API, które nie są zgodne z poziomami dostępu, powodują błądPERMISSION_DENIED “Request is prohibited by organization’s policy”.