Zwiększanie bezpieczeństwa dzięki Ustawieniom usługi VPC

Google Cloud Search obsługuje Ustawienia usługi VPC, które zwiększają bezpieczeństwo danych. Ustawienia usługi VPC umożliwiają wyznaczenie granicy usług wokół zasobów Google Cloud Platform, aby ograniczyć przepływ danych i pomóc w zmniejszeniu ryzyka wydobycia danych.

Wymagania wstępne

Zanim zaczniesz, zainstaluj interfejs wiersza poleceń gcloud.

Włączanie Ustawień usługi VPC

Aby włączyć Ustawienia usługi VPC:

  1. Uzyskaj identyfikatory i numery projektów Google Cloud Platform, których chcesz używać. Aby uzyskać identyfikatory i numery projektów, zapoznaj się z artykułem Identyfikowanie projektów.

  2. Aby utworzyć zasadę dostępu dla organizacji Google Cloud Platform, użyj narzędzia gcloud:

    1. Uzyskaj identyfikator organizacji
    2. Utwórz zasadę dostępu.
    3. Pobierz nazwę zasady dostępu.

  3. Utwórz granicę usług z Cloud Search jako usługą ograniczoną, uruchamiając to polecenie gcloud:

    gcloud access-context-manager perimeters create NAME \
    --title=TITLE \
    --resources=PROJECTS \
    --restricted-services=RESTRICTED-SERVICES \
    --policy=POLICY_NAME

    Gdzie:

    • NAME to nazwa granicy.
    • TITLE to czytelny dla użytkownika tytuł granicy.
    • PROJECTS to lista rozdzielonych przecinkami numerów projektów (co najmniej 1), z których każdy jest poprzedzony ciągiem znaków projects/. Użyj numerów projektów uzyskanych w kroku 1. Jeśli na przykład masz 2 projekty, 1234567890, ustawienie będzie miało wartość --resource=projects/12345, project/67890 .Ten flag obsługuje tylko numery projektów, a nie ich nazwy ani identyfikatory.
    • RESTRICTED-SERVICES to lista co najmniej 1 usługi oddzielona przecinkami. Użyj cloudsearch.googleapis.com.
    • POLICY_NAME to numeryczna nazwa zasady dostępu organizacji uzyskana w kroku 2c.

    Więcej informacji o tworzeniu granicy usług znajdziesz w artykule Tworzenie granicy usług.

  4. (Opcjonalnie) Jeśli chcesz zastosować ograniczenia oparte na adresie IP lub regionie, utwórz poziomy dostępu i dodaj je do obszaru usługi utworzonego w kroku 3:

    1. Aby utworzyć poziom dostępu, zapoznaj się z artykułem Tworzenie podstawowego poziomu dostępu. Przykład tworzenia warunku poziomu dostępu, który zezwala na dostęp tylko z określonego zakresu adresów IP, np. z sieci firmowej, znajdziesz w artykule Ograniczanie dostępu w sieci firmowej.
    2. Po utworzeniu poziomu dostępu dodaj go do granicy usług. Instrukcje dodawania poziomu dostępu do granic usługi znajdziesz w artykule Dodawanie poziomu dostępu do istniejących granic. Rozpowszechnienie i aktywowanie tej zmiany może potrwać do 30 minut.

  5. Aby zaktualizować ustawienia klienta za pomocą projektu chronionego przez granicę ustawień usługi VPC, użyj interfejsu Cloud Search Customer Service REST API:

  1. Uzyskaj token dostępu OAuth 2.0 z serwera autoryzacji Google. Informacje o uzyskiwaniu tokena znajdziesz w kroku 2 artykułu Używanie protokołu OAuth 2.0 na potrzeby dostępu do interfejsów API Google. Podczas uzyskiwania tokena dostępu użyj jednego z tych zakresów protokołu OAuth:https://www.googleapis.com/auth/cloud_search.settings.indexing,https://www.googleapis.com/auth/cloud_search.settings lub https://www.googleapis.com/auth/cloud_search.

  2. Aby ustawić projekt w ustawieniach Ustawień usługi VPC w sekcji Ustawienia klienta w Google Cloud Search, uruchom to polecenie curl:

    curl --request PATCH \
  'https://cloudsearch.googleapis.com/v1/settings/customer' \
  --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' \
  --header 'Accept: application/json' \
  --header 'Content-Type: application/json' \
  --data '{ "vpc_settings": { "project": "projects/PROJECT_ID" } }' \
  --compressed

    Gdzie:

  • YOUR_ACCESS_TOKEN to token dostępu OAuth 2.0 uzyskany w kroku 5a.

  • PROJECT_ID to identyfikator projektu uzyskany w kroku 1.

    Jeśli operacja się uda, otrzymasz odpowiedź 200 OK wraz ze zaktualizowanymi ustawieniami klienta.

Po wykonaniu powyższych czynności ograniczenia Ustawień usługi VPC zdefiniowane w granicy usług zostaną zastosowane do wszystkich interfejsów Google Cloud Search API, wyszukiwań na stronie cloudsearch.google.com oraz wyświetlania i zmieniania konfiguracji lub raportów w konsoli administracyjnej. Dalsze żądania wysyłane do interfejsu Google Cloud Search API, które nie są zgodne z poziomami dostępu, będą zwracać błąd PERMISSION_DENIED “Request is prohibited by organization’s policy”.