Mejora la seguridad con los Controles del servicio de VPC

Google Cloud Search admite los Controles del servicio de VPC para mejorar la seguridad de los datos. Los Controles del servicio de VPC te permiten definir un perímetro de servicio alrededor de los recursos de Google Cloud para restringir los datos y mitigar los riesgos de robo de datos.

Requisitos previos

Antes de comenzar, instala gcloud CLI.

Habilita los Controles del servicio de VPC

Para habilitar los Controles del servicio de VPC, haz lo siguiente:

  1. Obtén los IDs y números de proyecto del proyecto de Google Cloud que deseas usar. Consulta Cómo identificar proyectos.

  2. Usa gcloud para crear una política de acceso para tu organización de Google Cloud:

    1. Obtén el ID de tu organización.
    2. Crea una política de acceso.
    3. Obtén el nombre de tu política de acceso.

  3. Crea un perímetro de servicio con Cloud Search como un servicio restringido:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Donde:

    • NAME es el nombre del perímetro.
    • TITLE es el título del perímetro.
    • PROJECTS es una lista separada por comas de números de proyecto, cada uno precedido por projects/. Por ejemplo, --resources=projects/12345,projects/67890. Esta marca solo admite números de proyecto.
    • RESTRICTED-SERVICES es una lista separada por comas. Usa cloudsearch.googleapis.com.
    • POLICY_NAME es el nombre numérico de la política de acceso de tu organización.

    Para obtener más información, consulta Crea un perímetro de servicio.

  4. (Opcional) Para aplicar restricciones basadas en IP o región, crea niveles de acceso y agrégalos al perímetro:

    1. Para crear un nivel de acceso, consulta Crea un nivel de acceso básico. Para ver un ejemplo, consulta Limita el acceso en una red corporativa.
    2. Agrega el nivel de acceso al perímetro. Consulta Agrega un nivel de acceso a un perímetro existente. La propagación puede tardar hasta 30 minutos.

  5. Usa la API de REST de Servicio al cliente de Cloud Search para actualizar la configuración del cliente con tu proyecto protegido:

    1. Obtén un token de acceso de OAuth 2.0. Consulta Usa OAuth 2.0 para acceder a las APIs de Google. Usa uno de estos permisos:
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Ejecuta este comando curl:

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Reemplaza YOUR_ACCESS_TOKEN y PROJECT_ID.

Una actualización correcta muestra una respuesta 200 OK. Las restricciones de los Controles del servicio de VPC ahora se aplican a todas las APIs de Cloud Search, las búsquedas en cloudsearch.google.com y las configuraciones o los informes de la Consola del administrador. Las solicitudes que infringen los niveles de acceso reciben un error PERMISSION_DENIED.