Esta página foi traduzida pela API Cloud Translation.

Reforçar a segurança com o VPC Service Controls

O Google Cloud Search é compatível com o VPC Service Controls para aumentar a segurança dos seus dados. O VPC Service Controls permite definir um perímetro de serviço em torno dos recursos do Google Cloud Platform para restringir dados e ajudar a reduzir os riscos de exfiltração de dados.

Pré-requisitos

Antes de começar, instale a interface de linha de comando gcloud.

Ativar o VPC Service Controls

Para ativar o VPC Service Controls:

Obtenha os IDs e números de projeto do projeto do Google Cloud Platform que você quer usar. Para conferir os IDs e números de projeto, consulte Como identificar projetos.
Use o gcloud para criar uma política de acesso para sua organização do Google Cloud Platform:
Observação: as organizações podem ter apenas uma política de acesso. Se você tentar criar uma segunda política de acesso para sua organização, um erro vai ocorrer.
Crie um perímetro de serviço com a Pesquisa do Google Cloud como um serviço restrito executando o seguinte comando gcloud:
```
gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME
```
Em que:
- NAME é o nome do perímetro.
- TITLE é o título legível do perímetro.
- PROJECTS é uma lista separada por vírgulas de um ou mais números de projeto, cada um precedido pela string projects/. Use os números de projeto obtidos na etapa 1. Por exemplo, se você tiver dois projetos, 12345 e 67890, a configuração será --resource=projects/12345, project/67890 .Essa flag só aceita números de projeto, não nomes nem IDs.
- RESTRICTED-SERVICES é uma lista separada por vírgulas de um ou mais serviços. Use cloudsearch.googleapis.com.
- POLICY_NAME é o nome numérico da política de acesso da organização obtida na etapa 2c.
Para mais informações sobre como criar um perímetro de serviço, consulte Como criar um perímetro de serviço.
(Opcional) Se você quiser aplicar restrições com base em IP ou região, crie níveis de acesso e adicione-os ao perímetro de serviço criado na etapa 3:
1. Para criar um nível de acesso, consulte Como criar um nível de acesso básico. Para conferir um exemplo de como criar uma condição de nível de acesso que permita acesso apenas de um intervalo específico de endereços IP, como aqueles em uma rede corporativa, consulte Limitar acesso em uma rede corporativa.
2. Depois de criar um nível de acesso, adicione-o ao perímetro de serviço. Para instruções sobre como adicionar um nível de acesso a um perímetro de serviço, consulte Como adicionar um nível de acesso a um perímetro atual. Essa mudança pode levar até 30 minutos para ser propagada e entrar em vigor.
Use a API REST de atendimento ao cliente do Cloud Search para atualizar as configurações do cliente com seu projeto protegido pelo perímetro do VPC Service Controls:

Receba um token de acesso do OAuth 2.0 do Google Authorization Server. Para mais informações sobre como conseguir o token, consulte a etapa 2 de Como usar o OAuth 2.0 para acessar as APIs do Google. Ao receber o token de acesso, use um dos seguintes escopos do OAuth: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings ou https://www.googleapis.com/auth/cloud_search

Execute o comando curl a seguir para definir o projeto nas configurações do VPC Service Controls em "Configurações do cliente" no Google Cloud Search:

curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

Em que:

YOUR_ACCESS_TOKEN é o token de acesso do OAuth 2.0 recebido na etapa 5a.
PROJECT_ID é o ID do projeto obtido na etapa 1.

Se for bem-sucedido, você vai receber uma resposta 200 OK acompanhada das configurações do cliente atualizadas.

Depois que as etapas acima forem concluídas, as restrições do VPC Service Controls, conforme definido no perímetro de serviço, serão aplicadas a todas as APIs Google Cloud Search, pesquisas em cloudsearch.google.com e visualização e alteração de configuração ou relatórios usando o Admin Console. Outras solicitações à API Google Cloud Search que não seguem os níveis de acesso recebem um erro PERMISSION_DENIED “Request is prohibited by organization’s policy”.