Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Google Cloud Search est compatible avec VPC Service Controls pour renforcer la sécurité de vos données. VPC Service Controls vous permet de définir un périmètre de service autour des ressources Google Cloud Platform afin de contenir les données et de limiter les risques d'exfiltration de données.
Obtenez les ID et les numéros du projet Google Cloud Platform que vous souhaitez utiliser. Pour obtenir les ID et les numéros de projet, consultez Identifier des projets.
Utilisez gcloud pour créer une règle d'accès pour votre organisation Google Cloud Platform :
PROJECTS est une liste d'un ou de plusieurs numéros de projet, séparés par une virgule et précédés de la chaîne projects/. Utilisez les numéros de projet obtenus à l'étape 1. Par exemple, si vous avez deux projets, 12345 et 67890, votre paramètre sera --resource=projects/12345, project/67890 .Ce flag n'accepte que les numéros de projet, et non les noms ni les ID.
RESTRICTED-SERVICES est une liste d'un ou de plusieurs services, séparés par une virgule.
Utilisez cloudsearch.googleapis.com.
POLICY_NAME est le nom (au format numérique) de la règle d'accès de votre organisation, obtenu à l'étape 2c.
(Facultatif) Si vous souhaitez appliquer des restrictions basées sur l'adresse IP ou la région, créez des niveaux d'accès et ajoutez-les au périmètre de service créé à l'étape 3 :
Pour créer un niveau d'accès, consultez Créer un niveau d'accès de base.
Pour obtenir un exemple de création d'une condition de niveau d'accès qui n'autorise l'accès qu'à partir d'une plage d'adresses IP spécifique, comme celles d'un réseau d'entreprise, consultez Limiter l'accès sur un réseau d'entreprise.
Une fois que vous avez créé un niveau d'accès, ajoutez-le au périmètre de service.
Pour savoir comment ajouter un niveau d'accès à un périmètre de service, consultez Ajouter un niveau d'accès à un périmètre existant.
Un délai de 30 minutes peut être nécessaire pour que cette modification soit propagée et prise en compte.
Utilisez l'API REST du service client Cloud Search pour mettre à jour les paramètres client avec votre projet protégé par un périmètre VPC Service Controls :
Obtenez un jeton d'accès OAuth 2.0 auprès du serveur d'autorisation Google.
Pour savoir comment obtenir le jeton, consultez l'étape 2 de la section Utiliser OAuth 2.0 pour accéder aux API Google.
Lorsque vous obtenez le jeton d'accès, utilisez l'un des champs d'application OAuth suivants :
https://www.googleapis.com/auth/cloud_search.settings.indexing,
https://www.googleapis.com/auth/cloud_search.settings,
ou https://www.googleapis.com/auth/cloud_search.
Exécutez la commande curl suivante pour définir le projet dans les paramètres VPC Service Controls sous "Paramètres client" dans Google Cloud Search :
YOUR_ACCESS_TOKEN correspond au jeton d'accès OAuth 2.0 obtenu à l'étape 5a.
PROJECT_ID est l'ID de projet obtenu à l'étape 1.
Si l'opération réussit, vous devriez recevoir une réponse 200 OK accompagnée des paramètres client mis à jour.
Une fois les étapes ci-dessus effectuées, les restrictions VPC Service Controls, telles que définies dans le périmètre de service, sont appliquées à toutes les API Google Cloud Search, aux recherches sur cloudsearch.google.com, ainsi qu'à l'affichage et à la modification de la configuration ou des rapports à l'aide de la console d'administration. Les autres requêtes envoyées à l'API Google Cloud Search qui ne respectent pas les niveaux d'accès génèrent une erreur PERMISSION_DENIED “Request is prohibited by organization’s policy”.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/08/29 (UTC).
[null,null,["Dernière mise à jour le 2025/08/29 (UTC)."],[],[],null,["# Enhance security with VPC Service Controls\n\nGoogle Cloud Search supports VPC Service Controls\nto enhance the security of your data. VPC Service Controls allows you to define\na service perimeter around Google Cloud Platform resources to constrain data\nand help mitigate data exfiltration risks.\n| **Note:** Cloud Search supports restricted VIP which provides a private network route to make data and resources inaccessible from the internet. For information on setting up restricted VIP, refer to [Setting up private connectivity to Google APIs and services](https://cloud.google.com/vpc-service-controls/docs/set-up-private-connectivity).\n\nPrerequisites\n-------------\n\nBefore you begin,\n[install the gcloud command-line interface](https://cloud.google.com/sdk/gcloud).\n\nEnable VPC Service Controls\n---------------------------\n\nTo enable VPC Service Controls:\n\n1. Obtain the project IDs and project numbers for the Google Cloud Platform\n project you want to use. To obtain the project IDs and numbers, refer to\n [Identifying projects](https://cloud.google.com/resource-manager/docs/creating-managing-projects#identifying_projects).\n\n2. Use gcloud to create an access policy for your Google Cloud Platform\n organization:\n\n 1. [Get your organization ID](https://cloud.google.com/resource-manager/docs/creating-managing-organization#retrieving_your_organization_id).\n 2. [Create an access policy](https://cloud.google.com/access-context-manager/docs/create-access-policy).\n 3. [Get the name of your access policy](https://cloud.google.com/access-context-manager/docs/manage-access-policy#gcloud).\n\n | **Note:** Organizations can only have one access policy. If you attempt to create a second access policy for for your organization, an error occurs.\n3. Create a service perimeter with Cloud Search as a restricted service by\n running the following gcloud command:\n\n gcloud access-context-manager perimeters create NAME \\\n --title=TITLE \\\n --resources=PROJECTS \\\n --restricted-services=RESTRICTED-SERVICES \\\n --policy=POLICY_NAME\n\n Where:\n - `NAME` is the name of the perimeter.\n - `TITLE` is the human-readable title of the perimeter.\n - `PROJECTS` is a comma-separated list of one or more project numbers, each preceded by the string `projects/`. Use the project numbers obtained in step 1. For example, if you had two projects, project `12345` and `67890`, your setting would be `--resource=projects/12345, project/67890` .This flag only supports project numbers; it doesn't support names or IDs.\n - `RESTRICTED-SERVICES` is a comma-separated list of one or more services. Use `cloudsearch.googleapis.com`.\n - `POLICY_NAME` is the numeric name of your organization's access policy obtained in step 2c.\n\n For further information on how to create a service perimeter, refer to\n [Creating a service perimeter](https://cloud.google.com/vpc-service-controls/docs/create-service-perimeters).\n4. (optional) If you want to apply IP or region-based restrictions, create\n access levels and add them to the service perimeter created in step 3:\n\n 1. To create an access level, refer to [Creating an basic access level](https://cloud.google.com/access-context-manager/docs/create-basic-access-level). For an example on how to create an access level condition that only allows access from a specific range of IP addresses, such as those within a corporate network, refer to [Limit access on a corporate network](https://cloud.google.com/access-context-manager/docs/create-basic-access-level#corporate-network-example).\n 2. After you have created an access level, add it to the service perimeter. For instructions on adding an access level to a service perimeter, refer to [Adding an access level to an existing perimeter](https://cloud.google.com/vpc-service-controls/docs/manage-service-perimeters#add-access-level). This change can take up to 30 minutes for this change to propagate and take effect.\n5. Use the Cloud Search Customer Service REST API to update the customer\n settings with your VPC Service Controls perimeter-protected project:\n\n| **Note:** Because Cloud Search resources are not stored in a Google Cloud Platform project, you must update the Cloud Search customer settings with the VPC Service Controls perimeter-protected project. The VPC Service Controls project acts as a virtual project container for all your Cloud Search resources. Without building this mapping, VPC Service Controls won't work for the Cloud Search API.\n\n1. Obtain an OAuth 2.0 access token from the Google Authorization Server.\n For information on obtaining the token, refer to step 2 of\n [Using OAuth 2.0 to Access Google APIs](https://developers.google.com/identity/protocols/oauth2).\n When obtaining the access token, use one of the following OAuth scopes:\n `https://www.googleapis.com/auth/cloud_search.settings.indexing`,\n `https://www.googleapis.com/auth/cloud_search.settings`,\n or `https://www.googleapis.com/auth/cloud_search`\n\n2. Run the following curl command to set the project in VPC Service Controls\n settings under Customer settings in Google Cloud Search:\n\n curl --request PATCH \\\n 'https://cloudsearch.googleapis.com/v1/settings/customer' \\\n --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \\\n --header 'Accept: application/json' \\\n --header 'Content-Type: application/json' \\\n --data '{ \"vpc_settings\": { \"project\": \"projects/PROJECT_ID\" } }' \\\n --compressed\n\n Where:\n\n- `YOUR_ACCESS_TOKEN` is OAuth 2.0 access token obtained in step 5a.\n- `PROJECT_ID` is the project ID obtained in step 1.\n\n If successful, you should receive a `200 OK` response accompanied by the\n updated customer settings.\n\nAfter the above steps are completed successfully, the VPC Service Controls\nrestrictions, as defined in the service perimeter, are applied to all Google\nCloud Search APIs, searches at `cloudsearch.google.com`, and viewing and\nchanging configuration or reports using the Admin console. Further requests\nto the Google Cloud Search API that don't follow access levels receive a\n`PERMISSION_DENIED \"Request is prohibited by organization's policy\"` error."]]
