Meningkatkan keamanan dengan Kontrol Layanan VPC

Google Cloud Search mendukung Kontrol Layanan VPC untuk meningkatkan keamanan data Anda. Kontrol Layanan VPC memungkinkan Anda menentukan perimeter layanan di seputar resource Google Cloud Platform untuk membatasi data dan membantu mengurangi risiko pemindahan data yang tidak sah.

Prasyarat

Sebelum memulai, instal antarmuka command line gcloud.

Mengaktifkan Kontrol Layanan VPC

Untuk mengaktifkan Kontrol Layanan VPC:

1. Dapatkan project ID dan nomor project untuk project Google Cloud Platform yang ingin Anda gunakan. Untuk mendapatkan ID dan nomor project, lihat Mengidentifikasi project.

2. Gunakan gcloud untuk membuat kebijakan akses bagi organisasi Google Cloud Platform Anda:

   1. Dapatkan ID organisasi Anda.
   2. Buat kebijakan akses.
   3. Dapatkan nama kebijakan akses Anda.

3. Buat perimeter layanan dengan Cloud Search sebagai layanan terbatas dengan menjalankan perintah gcloud berikut:

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   Dengan:

   • NAME adalah nama perimeter.
   • TITLE adalah judul perimeter yang dapat dibaca manusia.
   • PROJECTS adalah daftar yang dipisahkan koma yang berisi satu atau beberapa nomor project, yang masing-masing diawali dengan string projects/. Gunakan nomor project yang diperoleh di langkah 1. Misalnya, jika Anda memiliki dua project, project 12345 dan 67890, setelan Anda adalah --resource=projects/12345, project/67890 .Flag ini hanya mendukung nomor project; tidak mendukung nama atau ID.
   • RESTRICTED-SERVICES adalah daftar yang dipisahkan koma dari satu atau beberapa layanan. Gunakan cloudsearch.googleapis.com.
   • POLICY_NAME adalah nama numerik kebijakan akses organisasi Anda yang diperoleh di langkah 2c.

   Untuk mengetahui informasi lebih lanjut tentang cara membuat perimeter layanan, lihat Membuat perimeter layanan.

4. (opsional) Jika Anda ingin menerapkan batasan berbasis IP atau region, buat tingkat akses dan tambahkan ke perimeter layanan yang dibuat pada langkah 3:

   1. Untuk membuat tingkat akses, lihat Membuat tingkat akses dasar. Untuk contoh cara membuat kondisi tingkat akses yang hanya mengizinkan akses dari rentang alamat IP tertentu, seperti yang ada dalam jaringan perusahaan, lihat Membatasi akses di jaringan perusahaan.
   2. Setelah membuat tingkat akses, tambahkan ke perimeter layanan. Untuk mengetahui petunjuk cara menambahkan tingkat akses ke perimeter layanan, lihat Menambahkan tingkat akses ke perimeter yang ada. Perubahan ini mungkin memerlukan waktu hingga 30 menit agar diterapkan dan berlaku.

5. Gunakan Cloud Search Customer Service REST API untuk memperbarui setelan pelanggan dengan project yang dilindungi perimeter Kontrol Layanan VPC Anda:

1. Dapatkan token akses OAuth 2.0 dari Server Otorisasi Google. Untuk mengetahui informasi tentang cara mendapatkan token, lihat langkah 2 dalam artikel Menggunakan OAuth 2.0 untuk Mengakses Google API. Saat mendapatkan token akses, gunakan salah satu cakupan OAuth berikut: https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings, atau https://www.googleapis.com/auth/cloud_search

2. Jalankan perintah curl berikut untuk menyetel project di setelan Kontrol Layanan VPC di bagian Setelan pelanggan di Google Cloud Search:

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   Dengan:

• YOUR_ACCESS_TOKEN adalah token akses OAuth 2.0 yang diperoleh pada langkah 5a.

• PROJECT_ID adalah project ID yang diperoleh di langkah 1.

  Jika berhasil, Anda akan menerima respons 200 OK yang disertai dengan setelan pelanggan yang telah diperbarui.

Setelah langkah-langkah di atas berhasil diselesaikan, pembatasan Kontrol Layanan VPC, sebagaimana ditentukan dalam perimeter layanan, diterapkan ke semua Google Cloud Search API, penelusuran di cloudsearch.google.com, serta melihat dan mengubah konfigurasi atau laporan menggunakan konsol Admin. Permintaan lebih lanjut ke Google Cloud Search API yang tidak mengikuti tingkat akses akan menerima error PERMISSION_DENIED “Request is prohibited by organization’s policy”.