VPC Service Controls

VPC Service Controls ermöglicht es Organisationen, einen Perimeter um Google Cloud-Ressourcen zu definieren um das Risiko der Daten-Exfiltration zu minimieren. Mit VPC Service Controls erstellen Sie Perimeter zum Schutz von Ressourcen und Daten der Dienste, die Sie explizit angeben.

Firestore-Dienste gebündelt

Die folgenden APIs sind in VPC Service Controls gebündelt:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter auch die Dienste datastore.googleapis.com und firestorekeyvisualizer.googleapis.com.

datastore.googleapis.com-Dienst einschränken

Der Dienst datastore.googleapis.com ist im Bereich firestore.googleapis.com-Dienst. Zur Einschränkung der datastore.googleapis.com Dienst, müssen Sie den firestore.googleapis.com-Dienst einschränken wie folgt:

• Wenn Sie einen Dienstperimeter mit der Google Cloud Console erstellen, fügen Sie Firestore als eingeschränkten Dienst hinzu.
• Verwenden Sie beim Erstellen eines Dienstperimeters mit der Google Cloud CLI firestore.googleapis.com statt datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com

Gebündelte Legacy-Dienste von App Engine für Datastore

Gebündelte Legacy-Dienste von App Engine für Datastore unterstützen keine Dienstperimeter. Datastore schützen Der Dienst mit einem Dienstperimeter blockiert den Traffic von Gebündelte Legacy-Dienste von App Engine. Zu den gebündelten Legacy-Diensten gehören:

• Java 8-Datastore mit App Engine APIs
• Python 2 NDB-Clientbibliothek für Datastore
• Go 1.11 Datastore mit App Engine APIs

Schutz vor ausgehendem Traffic bei Import- und Exportvorgängen

Firestore im Datastore-Modus unterstützt VPC Service Controls, erfordert jedoch zusätzliche Konfiguration, um vollständigen Schutz für ausgehenden Traffic bei Import- und Exportvorgängen zu erhalten. Sie müssen den Firestore-Dienst-Agent verwenden, um Import- und Exportvorgänge zu autorisieren, und nicht das standardmäßige App Engine-Dienstkonto. Folgen Sie dieser Anleitung, um die Autorisierung aufzurufen und zu konfigurieren. Import- und Exportvorgänge berücksichtigen.

Firestore-Dienst-Agent

Firestore verwendet einen Firestore-Dienst-Agent zum Autorisieren des Imports und Exportvorgänge ausführen, anstatt das App Engine-Dienstkonto zu verwenden. Der Dienst-Agent und das Dienstkonto verwenden die folgenden Namenskonventionen:

Firestore-Dienst-Agent

service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

Bisher wurde in Firestore das App Engine-Standarddienstkonto anstelle des Firestore-Dienst-Agents verwendet. Wenn Ihre Datenbank weiterhin das App Engine-Dienstkonto für den Import oder Export von Daten verwendet, empfehlen wir Ihnen, der Anleitung in diesem Abschnitt zu folgen, den Firestore-Dienst-Agent zu verwenden.

App Engine-Dienstkonto

PROJECT_ID@appspot.gserviceaccount.com

Der Firestore-Dienst-Agent ist vorzuziehen, da er spezifisch ist. zu Firestore. Das App Engine-Dienstkonto ist freigegeben von mehreren Diensten.

Autorisierungskonto ansehen

Auf der Seite Import/Export in der Google Cloud Console können Sie sehen, mit welchem Konto Ihre Import- und Exportvorgänge Anfragen autorisieren. Sie können auch Prüfen Sie, ob Ihre Datenbank bereits die Firestore-Datenbank verwendet. Dienst-Agent.

1. Rufen Sie in der Google Cloud Console die Seite Datenbanken auf.

   Zur Seite „Datenbanken“

2. Wählen Sie die benötigte Datenbank aus der Liste der Datenbanken aus.

3. Klicken Sie im Navigationsmenü auf Importieren/Exportieren.

4. Sehen Sie sich das Autorisierungskonto neben dem Import-/Exportjobs ausführen als Label.

Wenn in Ihrem Projekt kein Firestore-Dienst-Agent verwendet wird, können Sie auf eine der folgenden Arten zum Firestore-Dienst-Agent migrieren:

• Projekt migrieren, indem Sie die Cloud Storage-Bucket-Berechtigungen prüfen und aktualisieren (empfohlen)
• Fügen Sie eine organisationsweite Richtlinieneinschränkung hinzu, die sich auf alle Projekte in der Organisation auswirkt.

Die erste dieser Techniken ist zu bevorzugen, da sie den Umfang der auf ein einzelnes Projekt im Datastore-Modus. Die zweite Methode wird nicht empfohlen, da dabei vorhandene Cloud Storage-Bucket-Berechtigungen nicht migriert werden. Es bietet jedoch Sicherheitscompliance im Unternehmen.

Migrieren Sie, indem Sie Cloud Storage-Bucket-Berechtigungen prüfen und aktualisieren

Der Migrationsprozess umfasst zwei Schritte:

1. Aktualisieren Sie die Cloud Storage-Bucket-Berechtigungen. Weitere Informationen finden Sie im nächsten Abschnitt.
2. Bestätigen Sie die Migration zum Firestore-Dienst-Agent.

Bucket-Berechtigungen des Dienst-Agents

Für Export- oder Importvorgänge, bei denen ein Cloud Storage-Bucket in einem anderen Projekt verwendet wird, müssen Sie dem Firestore-Dienst-Agent Berechtigungen für diesen Bucket erteilen. Zum Beispiel Vorgänge, bei denen Daten in eine andere Projekt auf einen Bucket in diesem anderen Projekt zugreifen müssen. Andernfalls werden diese Vorgänge schlagen nach der Migration zum Firestore-Dienst fehl .

Für Import- und Export-Workflows, die im selben Projekt bleiben, ist kein Änderungen an den Berechtigungen. Der Firestore-Dienst-Agent hat Zugriff Buckets im selben Projekt.

Aktualisieren Sie die Berechtigungen für Cloud Storage-Buckets aus anderen Projekten, um Zugriff auf die service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com Dienst-Agent. Gewähren Sie dem Dienst-Agent die Rolle Firestore Service Agent.

Die Rolle Firestore Service Agent gewährt Lese- und Schreibberechtigungen für ein Cloud Storage-Bucket. Wenn Sie nur Lese- oder Schreibberechtigungen gewähren möchten, verwenden Sie eine benutzerdefinierte Rolle.

Der im folgenden Abschnitt beschriebene Migrationsprozess hilft Ihnen, Cloud Storage Buckets, die möglicherweise Aktualisierungen von Berechtigungen erfordern.

Projekt zum Firestore-Dienst-Agent migrieren

Führen Sie die folgenden Schritte aus, um vom App Engine-Dienstkonto zu migrieren den Firestore-Dienst-Agent. Nach Abschluss der Migration kann sie nicht mehr rückgängig gemacht.

1. Rufen Sie in der Google Cloud Console die Seite Datenbanken auf.

   Zur Seite „Datenbanken“

2. Wählen Sie die benötigte Datenbank aus der Liste der Datenbanken aus.

3. Klicken Sie im Navigationsmenü auf Importieren/Exportieren.

4. Wenn Ihr Projekt noch nicht zum Firestore-Dienstagenten migriert wurde, sehen Sie ein Banner mit einer Beschreibung der Migration und die Schaltfläche Bucket-Status prüfen. Im nächsten Schritt erfahren Sie, wie Sie potenzielle Berechtigungsfehler erkennen und beheben.

   Klicken Sie auf Bucket-Status prüfen.

   Es wird ein Menü mit der Option zum Abschließen der Migration angezeigt. Außerdem wird ein Liste der Cloud Storage-Buckets. Es kann einige Minuten dauern, um den Ladevorgang der Liste abzuschließen.

   Diese Liste enthält Buckets, die in Import- und Exportvorgängen verwendet werden, aber derzeit keine Lese- und Schreibberechtigungen für den Dienst-Agent im Datastore-Modus.

5. Notieren Sie sich den Prinzipalnamen des Datastore-Modus Ihres Projekts Dienst-Agent. Der Name des Dienst-Agents wird unter dem Label Dienst-Agent, dem Zugriff gewährt werden soll angezeigt.

6. Führen Sie für jeden Bucket in der Liste, den Sie für zukünftige Import- oder Exportvorgänge verwenden möchten, die folgenden Schritte aus:

   1. Klicken Sie in der Tabellenzeile dieses Buckets auf Korrigieren. Dadurch wird die Berechtigungsseite dieses Buckets in einem neuen Tab geöffnet.

   2. Klicken Sie auf Hinzufügen.
   3. Geben Sie in das Feld Neue Hauptkonten den Namen Ihres Firestore-Dienst-Agent
   4. Wähle im Feld Rolle auswählen die Option Dienst-Agents > Firestore-Dienst-Agent
   5. Klicken Sie auf Speichern.
   6. Kehren Sie zum Tab mit der Seite „Import/Export“ im Datastore-Modus zurück.
   7. Wiederholen Sie diese Schritte für andere Buckets in der Liste. Sehen Sie sich alle Seiten der Liste an.

7. Klicken Sie auf Zum Firestore-Dienst-Agent migrieren. Wenn Sie noch Buckets mit fehlgeschlagenen Berechtigungsprüfungen haben, müssen Sie die Migration bestätigen, indem Sie auf Migrieren klicken.

   Sie werden per Benachrichtigung darüber informiert, wenn die Migration abgeschlossen ist. Migration nicht möglich rückgängig gemacht.

Status der Migration abrufen

So überprüfen Sie den Migrationsstatus Ihres Projekts:

1. Rufen Sie in der Google Cloud Console die Seite Datenbanken auf.

   Zur Seite „Datenbanken“

2. Wählen Sie die benötigte Datenbank aus der Liste der Datenbanken aus.

3. Klicken Sie im Navigationsmenü auf Importieren/Exportieren.

4. Suchen Sie neben dem Label Import-/Exportjobs werden ausgeführt als nach dem Hauptbenutzer.

   Wenn das Hauptkonto service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com ist, ist Ihr Projekt bereits zu Firestore migriert Dienst-Agent. Die Migration kann nicht rückgängig gemacht werden.

   Wenn das Projekt noch nicht migriert wurde, wird oben auf der Seite ein Banner mit der Schaltfläche Bucket-Status prüfen angezeigt. Weitere Informationen finden Sie unter Zum Firestore-Dienst-Agent migrieren um die Migration abzuschließen.

Organisationsweite Richtlinieneinschränkung hinzufügen

• Legen Sie die folgende Einschränkung in der Richtlinie Ihrer Organisation fest:

  Firestore-Dienst-Agent für Import/Export erforderlich (firestore.requireP4SAforImportExport).

  Bei dieser Einschränkung muss bei Import- und Exportvorgängen der Firestore-Dienst-Agent verwendet werden, um Anfragen zu autorisieren. Informationen zum Festlegen dieser Einschränkung finden Sie unter Organisationsrichtlinien erstellen und verwalten

Durch die Anwendung dieser Einschränkung der Organisationsrichtlinie werden dem Firestore-Dienst-Agent nicht automatisch die erforderlichen Cloud Storage-Bucket-Berechtigungen gewährt.

Wenn durch die Einschränkung Berechtigungsfehler für Import- oder Export-Workflows entstehen, können Sie es deaktivieren, um wieder das Standarddienstkonto zu verwenden. Nach der Prüfung und Aktualisierung des Cloud Storage-Bucket Berechtigungen haben, können Sie die Einschränkung wieder aktivieren.