VPC 서비스 제어로 보안 강화

Google Cloud Search는 데이터 보안을 강화할 수 있도록 VPC 서비스 제어를 지원합니다. VPC 서비스 제어를 사용하면 Google Cloud Platform 리소스 주위에 서비스 경계를 정의하여 데이터를 통제하고 데이터 무단 반출 위험을 완화할 수 있습니다.

기본 요건

시작하기 전에 gcloud 명령줄 인터페이스를 설치합니다.

VPC 서비스 제어 사용 설정

VPC 서비스 제어를 사용 설정하려면 다음 단계를 따르세요.

1. 사용하려는 Google Cloud Platform 프로젝트의 프로젝트 ID와 프로젝트 번호를 가져옵니다. 프로젝트 ID와 번호를 확인하려면 프로젝트 식별을 참고하세요.

2. gcloud를 사용하여 Google Cloud Platform 조직의 액세스 정책을 만듭니다.

   1. 조직 ID 가져오기
   2. 액세스 정책 만들기
   3. 액세스 정책 이름 가져오기

3. 다음 gcloud 명령어를 실행하여 Cloud Search를 제한된 서비스로 사용하여 서비스 경계를 만듭니다.

   gcloud access-context-manager perimeters create NAME \
       --title=TITLE \
       --resources=PROJECTS \
       --restricted-services=RESTRICTED-SERVICES \
       --policy=POLICY_NAME
   

   각 항목의 의미는 다음과 같습니다.

   • NAME은 경계의 이름입니다.
   • TITLE은 사람이 읽을 수 있는 경계의 제목입니다.
   • PROJECTS는 하나 이상의 프로젝트 번호의 쉼표로 구분된 목록이며, 각 번호 앞에는 projects/ 문자열이 붙습니다. 1단계에서 가져온 프로젝트 번호를 사용합니다. 예를 들어 프로젝트가 12345와 67890 두 개 있는 경우 설정은 --resource=projects/12345, project/67890가 됩니다 .이 플래그는 프로젝트 번호만 지원하며 이름이나 ID는 지원하지 않습니다.
   • RESTRICTED-SERVICES는 쉼표로 구분된 하나 이상의 서비스 목록입니다. cloudsearch.googleapis.com를 사용합니다.
   • POLICY_NAME은 2c단계에서 획득한 조직의 액세스 정책의 숫자 이름입니다.

   서비스 경계를 만드는 방법에 대한 자세한 내용은 서비스 경계 만들기를 참고하세요.

4. (선택사항) IP 또는 지역 기반 제한을 적용하려면 액세스 수준을 만들고 3단계에서 만든 서비스 경계에 추가합니다.

   1. 액세스 수준을 만들려면 기본 액세스 수준 만들기를 참고하세요. 회사 네트워크 내의 IP 주소와 같이 특정 범위의 IP 주소에서만 액세스를 허용하는 액세스 수준 조건을 만드는 방법의 예는 회사 네트워크의 액세스 제한을 참고하세요.
   2. 액세스 수준을 만든 후 서비스 경계에 추가합니다. 서비스 경계에 액세스 수준을 추가하는 방법은 기존 경계에 액세스 수준 추가를 참고하세요. 이 변경사항이 전파되어 적용되는 데 최대 30분이 걸릴 수 있습니다.

5. Cloud Search 고객 서비스 REST API를 사용하여 VPC 서비스 제어 경계로 보호되는 프로젝트로 고객 설정을 업데이트합니다.

1. Google 승인 서버에서 OAuth 2.0 액세스 토큰을 가져옵니다. 토큰을 가져오는 방법에 대한 자세한 내용은 OAuth 2.0을 사용하여 Google API에 액세스하기의 2단계를 참고하세요. 액세스 토큰을 가져올 때 다음 OAuth 범위 중 하나를 사용합니다. https://www.googleapis.com/auth/cloud_search.settings.indexing, https://www.googleapis.com/auth/cloud_search.settings 또는 https://www.googleapis.com/auth/cloud_search

2. 다음 curl 명령어를 실행하여 Google Cloud Search의 고객 설정 아래에 있는 VPC 서비스 제어 설정에서 프로젝트를 설정합니다.

   curl --request PATCH \
     'https://cloudsearch.googleapis.com/v1/settings/customer' \
     --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
     --header 'Accept: application/json' \
     --header 'Content-Type: application/json' \
     --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
     --compressed
   

   각 항목의 의미는 다음과 같습니다.

• YOUR_ACCESS_TOKEN은 5a단계에서 획득한 OAuth 2.0 액세스 토큰입니다.

• PROJECT_ID은 1단계에서 획득한 프로젝트 ID입니다.

  성공하면 업데이트된 고객 설정과 함께 200 OK 응답이 표시됩니다.

위 단계를 완료하면 서비스 경계에 정의된 VPC 서비스 제어 제한이 모든 Google Cloud Search API, cloudsearch.google.com에서의 검색, 관리 콘솔을 사용한 구성 또는 보고서 보기 및 변경에 적용됩니다. 액세스 수준을 따르지 않는 Google Cloud Search API에 대한 추가 요청은 PERMISSION_DENIED “Request is prohibited by organization’s policy” 오류를 수신합니다.