Mejora la seguridad con los Controles del servicio de VPC

Google Cloud Search admite los Controles del servicio de VPC para mejorar la seguridad de los datos. Los Controles del servicio de VPC te permiten definir un perímetro de servicio alrededor de los recursos de Google Cloud para restringir los datos y mitigar los riesgos de robo.

Requisitos previos

Antes de comenzar, instala la CLI de gcloud.

Habilita los Controles del servicio de VPC

Para habilitar los Controles del servicio de VPC, haz lo siguiente:

  1. Obtén los números y los IDs del proyecto de Google Cloud que deseas usar. Consulta Identifica proyectos.

  2. Usa gcloud para crear una política de acceso para tu organización de Google Cloud:

    1. Obtén el ID de tu organización.
    2. Crea una política de acceso.
    3. Obtén el nombre de tu política de acceso.

  3. Crea un perímetro de servicio con Cloud Search como servicio restringido:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Donde:

    • NAME es el nombre del perímetro.
    • TITLE es el título del perímetro.
    • PROJECTS es una lista separada por comas de números de proyectos, cada uno precedido por projects/. Por ejemplo, --resources=projects/12345,projects/67890. Esta marca solo admite números de proyecto.
    • RESTRICTED-SERVICES es una lista separada por comas. Usa cloudsearch.googleapis.com
    • POLICY_NAME es el nombre numérico de la política de acceso de tu organización.

    Para obtener más información, consulta Crea un perímetro de servicio.

  4. (Opcional) Para aplicar restricciones basadas en la IP o la región, crea niveles de acceso y agrégalos al perímetro:

    1. Para crear un nivel de acceso, consulta Cómo crear un nivel de acceso básico. Para ver un ejemplo, consulta Limita el acceso en una red corporativa.
    2. Agrega el nivel de acceso al perímetro. Consulta Agrega un nivel de acceso a un perímetro existente. La propagación puede tardar hasta 30 minutos.

  5. Usa la API de REST de Cloud Search Customer Service para actualizar la configuración del cliente con tu proyecto protegido:

    1. Obtén un token de acceso de OAuth 2.0. Consulta Usa OAuth 2.0 para acceder a las APIs de Google. Usa uno de estos permisos:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Ejecuta este comando de curl:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Reemplaza YOUR_ACCESS_TOKEN y PROJECT_ID.

Una actualización correcta devuelve una respuesta 200 OK. Las restricciones de los Controles del servicio de VPC ahora se aplican a todas las APIs de Cloud Search, las búsquedas en cloudsearch.google.com y los informes o la configuración de la Consola del administrador. Las solicitudes que incumplen los niveles de acceso reciben un error PERMISSION_DENIED.