Renforcer la sécurité avec VPC Service Controls

Google Cloud Search est compatible avec VPC Service Controls pour améliorer la sécurité des données. VPC Service Controls vous permet de définir un périmètre de service autour des ressources Google Cloud afin de contenir les données et de limiter les risques d'exfiltration.

Prérequis

Avant de commencer, installez la gcloud CLI.

Activer VPC Service Controls

Pour activer VPC Service Controls :

  1. Obtenez les ID et les numéros du projet Google Cloud que vous souhaitez utiliser. Consultez Identifier des projets.

  2. Utilisez gcloud pour créer une règle d'accès pour votre organisation Google Cloud :

    1. Obtenez votre ID d'organisation.
    2. Créez une règle d'accès.
    3. Récupérez le nom de votre règle d'accès.

  3. Créez un périmètre de service avec Cloud Search en tant que service restreint :

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Où :

    • NAME correspond au nom du périmètre.
    • TITLE correspond au titre du périmètre.
    • PROJECTS est une liste de numéros de projet séparés par une virgule, chacun précédé de projects/. Par exemple, --resources=projects/12345,projects/67890. Cet indicateur n'accepte que les numéros de projet.
    • RESTRICTED-SERVICES est une liste séparée par une virgule. Utilisez cloudsearch.googleapis.com.
    • POLICY_NAME correspond au nom (au format numérique) de la règle d'accès de votre organisation.

    Pour plus d'informations, consultez la section Créer un périmètre de service.

  4. (Facultatif) Pour appliquer des restrictions basées sur l'adresse IP ou la région, créez des niveaux d'accès et ajoutez-les au périmètre :

    1. Pour créer un niveau d'accès, consultez Créer un niveau d'accès de base. Pour obtenir un exemple, consultez Limiter l'accès sur un réseau d'entreprise.
    2. Ajoutez le niveau d'accès au périmètre. Consultez Ajouter un niveau d'accès à un périmètre existant. La propagation peut prendre jusqu'à 30 minutes.

  5. Utilisez l'API REST du service client Cloud Search pour mettre à jour les paramètres client avec votre projet protégé :

    1. Obtenez un jeton d'accès OAuth 2.0. Consultez Utiliser OAuth 2.0 pour accéder aux API Google. Utilisez l'un des champs d'application suivants :
      • https://www.googleapis.com/auth/cloud_search.settings.indexing
      • https://www.googleapis.com/auth/cloud_search.settings
      • https://www.googleapis.com/auth/cloud_search

    2. Exécutez la commande curl suivante :

      curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

      Remplacez YOUR_ACCESS_TOKEN et PROJECT_ID.

Si la mise à jour a réussi, une réponse 200 OK est renvoyée. Les restrictions de VPC Service Controls s'appliquent désormais à toutes les API Cloud Search, aux recherches sur cloudsearch.google.com et aux configurations ou rapports de la console d'administration. Les requêtes qui ne respectent pas les niveaux d'accès reçoivent une erreur PERMISSION_DENIED.