Mejora la seguridad con los Controles del servicio de VPC
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Google Cloud Search admite los Controles del servicio de VPC para mejorar la seguridad de tus datos. Los Controles del servicio de VPC te permiten definir un perímetro de servicio alrededor de los recursos de Google Cloud Platform para restringir los datos y mitigar los riesgos de robo de datos.
Para habilitar los Controles del servicio de VPC, haz lo siguiente:
Obtén los IDs y números del proyecto de Google Cloud Platform que deseas usar. Para obtener los IDs y números de proyecto, consulta Identifica proyectos.
Usa gcloud para crear una política de acceso para tu organización de Google Cloud Platform:
PROJECTS es una lista separada por comas de uno o más números de proyectos, cada uno precedido por la cadena projects/. Usa los números de proyecto que obtuviste en el paso 1. Por ejemplo, si tienes dos proyectos, 12345 y 67890, tu parámetro de configuración sería --resource=projects/12345, project/67890 .Esta marca solo admite números de proyecto, no nombres ni IDs.
RESTRICTED-SERVICES es una lista separada por comas de uno o más servicios.
Usa cloudsearch.googleapis.com.
POLICY_NAME es el nombre numérico de la política de acceso de tu organización que obtuviste en el paso 2c.
(Opcional) Si deseas aplicar restricciones basadas en la IP o la región, crea niveles de acceso y agrégalos al perímetro de servicio que creaste en el paso 3:
Para crear un nivel de acceso, consulta Crea un nivel de acceso básico.
Para ver un ejemplo de cómo crear una condición de nivel de acceso que solo permita el acceso desde un rango específico de direcciones IP, como las que se encuentran dentro de una red corporativa, consulta Limita el acceso en una red corporativa.
Después de crear un nivel de acceso, agrégalo al perímetro de servicio.
Si deseas obtener instrucciones para agregar un nivel de acceso a un perímetro de servicio, consulta Agrega un nivel de acceso a un perímetro existente.
Este cambio puede tardar hasta 30 minutos en propagarse y surtir efecto.
Usa la API de Cloud Search Customer Service REST para actualizar la configuración del cliente con tu proyecto protegido por el perímetro de los Controles del servicio de VPC:
Obtén un token de acceso de OAuth 2.0 del servidor de autorización de Google.
Para obtener información sobre cómo obtener el token, consulta el paso 2 de Usa OAuth 2.0 para acceder a las APIs de Google.
Cuando obtengas el token de acceso, usa uno de los siguientes permisos de OAuth:
https://www.googleapis.com/auth/cloud_search.settings.indexing,
https://www.googleapis.com/auth/cloud_search.settings,
o https://www.googleapis.com/auth/cloud_search
Ejecuta el siguiente comando curl para establecer el proyecto en la configuración de los Controles del servicio de VPC en la configuración del cliente de Google Cloud Search:
YOUR_ACCESS_TOKEN es el token de acceso de OAuth 2.0 que se obtuvo en el paso 5a.
PROJECT_ID es el ID del proyecto que obtuviste en el paso 1.
Si se ejecuta correctamente, deberías recibir una respuesta 200 OK acompañada de la configuración del cliente actualizada.
Después de completar correctamente los pasos anteriores, las restricciones de los Controles del servicio de VPC, según se definen en el perímetro de servicio, se aplican a todas las APIs de Google Cloud Search, las búsquedas en cloudsearch.google.com y la visualización y el cambio de la configuración o los informes con la consola del administrador. Las solicitudes adicionales a la API de Google Cloud Search que no sigan los niveles de acceso recibirán un error PERMISSION_DENIED “Request is prohibited by organization’s policy”.
[null,null,["Última actualización: 2025-08-29 (UTC)"],[],[],null,["# Enhance security with VPC Service Controls\n\nGoogle Cloud Search supports VPC Service Controls\nto enhance the security of your data. VPC Service Controls allows you to define\na service perimeter around Google Cloud Platform resources to constrain data\nand help mitigate data exfiltration risks.\n| **Note:** Cloud Search supports restricted VIP which provides a private network route to make data and resources inaccessible from the internet. For information on setting up restricted VIP, refer to [Setting up private connectivity to Google APIs and services](https://cloud.google.com/vpc-service-controls/docs/set-up-private-connectivity).\n\nPrerequisites\n-------------\n\nBefore you begin,\n[install the gcloud command-line interface](https://cloud.google.com/sdk/gcloud).\n\nEnable VPC Service Controls\n---------------------------\n\nTo enable VPC Service Controls:\n\n1. Obtain the project IDs and project numbers for the Google Cloud Platform\n project you want to use. To obtain the project IDs and numbers, refer to\n [Identifying projects](https://cloud.google.com/resource-manager/docs/creating-managing-projects#identifying_projects).\n\n2. Use gcloud to create an access policy for your Google Cloud Platform\n organization:\n\n 1. [Get your organization ID](https://cloud.google.com/resource-manager/docs/creating-managing-organization#retrieving_your_organization_id).\n 2. [Create an access policy](https://cloud.google.com/access-context-manager/docs/create-access-policy).\n 3. [Get the name of your access policy](https://cloud.google.com/access-context-manager/docs/manage-access-policy#gcloud).\n\n | **Note:** Organizations can only have one access policy. If you attempt to create a second access policy for for your organization, an error occurs.\n3. Create a service perimeter with Cloud Search as a restricted service by\n running the following gcloud command:\n\n gcloud access-context-manager perimeters create NAME \\\n --title=TITLE \\\n --resources=PROJECTS \\\n --restricted-services=RESTRICTED-SERVICES \\\n --policy=POLICY_NAME\n\n Where:\n - `NAME` is the name of the perimeter.\n - `TITLE` is the human-readable title of the perimeter.\n - `PROJECTS` is a comma-separated list of one or more project numbers, each preceded by the string `projects/`. Use the project numbers obtained in step 1. For example, if you had two projects, project `12345` and `67890`, your setting would be `--resource=projects/12345, project/67890` .This flag only supports project numbers; it doesn't support names or IDs.\n - `RESTRICTED-SERVICES` is a comma-separated list of one or more services. Use `cloudsearch.googleapis.com`.\n - `POLICY_NAME` is the numeric name of your organization's access policy obtained in step 2c.\n\n For further information on how to create a service perimeter, refer to\n [Creating a service perimeter](https://cloud.google.com/vpc-service-controls/docs/create-service-perimeters).\n4. (optional) If you want to apply IP or region-based restrictions, create\n access levels and add them to the service perimeter created in step 3:\n\n 1. To create an access level, refer to [Creating an basic access level](https://cloud.google.com/access-context-manager/docs/create-basic-access-level). For an example on how to create an access level condition that only allows access from a specific range of IP addresses, such as those within a corporate network, refer to [Limit access on a corporate network](https://cloud.google.com/access-context-manager/docs/create-basic-access-level#corporate-network-example).\n 2. After you have created an access level, add it to the service perimeter. For instructions on adding an access level to a service perimeter, refer to [Adding an access level to an existing perimeter](https://cloud.google.com/vpc-service-controls/docs/manage-service-perimeters#add-access-level). This change can take up to 30 minutes for this change to propagate and take effect.\n5. Use the Cloud Search Customer Service REST API to update the customer\n settings with your VPC Service Controls perimeter-protected project:\n\n| **Note:** Because Cloud Search resources are not stored in a Google Cloud Platform project, you must update the Cloud Search customer settings with the VPC Service Controls perimeter-protected project. The VPC Service Controls project acts as a virtual project container for all your Cloud Search resources. Without building this mapping, VPC Service Controls won't work for the Cloud Search API.\n\n1. Obtain an OAuth 2.0 access token from the Google Authorization Server.\n For information on obtaining the token, refer to step 2 of\n [Using OAuth 2.0 to Access Google APIs](https://developers.google.com/identity/protocols/oauth2).\n When obtaining the access token, use one of the following OAuth scopes:\n `https://www.googleapis.com/auth/cloud_search.settings.indexing`,\n `https://www.googleapis.com/auth/cloud_search.settings`,\n or `https://www.googleapis.com/auth/cloud_search`\n\n2. Run the following curl command to set the project in VPC Service Controls\n settings under Customer settings in Google Cloud Search:\n\n curl --request PATCH \\\n 'https://cloudsearch.googleapis.com/v1/settings/customer' \\\n --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \\\n --header 'Accept: application/json' \\\n --header 'Content-Type: application/json' \\\n --data '{ \"vpc_settings\": { \"project\": \"projects/PROJECT_ID\" } }' \\\n --compressed\n\n Where:\n\n- `YOUR_ACCESS_TOKEN` is OAuth 2.0 access token obtained in step 5a.\n- `PROJECT_ID` is the project ID obtained in step 1.\n\n If successful, you should receive a `200 OK` response accompanied by the\n updated customer settings.\n\nAfter the above steps are completed successfully, the VPC Service Controls\nrestrictions, as defined in the service perimeter, are applied to all Google\nCloud Search APIs, searches at `cloudsearch.google.com`, and viewing and\nchanging configuration or reports using the Admin console. Further requests\nto the Google Cloud Search API that don't follow access levels receive a\n`PERMISSION_DENIED \"Request is prohibited by organization's policy\"` error."]]
