VPC Service Controls

VPC Service Controls permet aux organisations de définir un périmètre autour des ressources Google Cloud afin de limiter les risques d'exfiltration des données. Avec VPC Service Controls, vous créez des périmètres qui protègent les ressources et les données des services que vous spécifiez explicitement.

Services Firestore groupés

Les API suivantes sont regroupées dans VPC Service Controls:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

Lorsque vous limitez le service firestore.googleapis.com dans un périmètre, le périmètre limite également les services datastore.googleapis.com et firestorekeyvisualizer.googleapis.com.

Limiter le service datastore.googleapis.com

Le service datastore.googleapis.com est regroupé dans le service firestore.googleapis.com. Pour limiter le service datastore.googleapis.com, vous devez limiter le service firestore.googleapis.com comme suit:

• Lorsque vous créez un périmètre de service à l'aide de la console Google Cloud, ajoutez Firestore en tant que service restreint.
• Lorsque vous créez un périmètre de service à l'aide de Google Cloud CLI, utilisez firestore.googleapis.com au lieu de datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com

Anciens services groupés App Engine pour Datastore

Les anciens services groupés App Engine pour Datastore ne sont pas compatibles avec les périmètres de service. La protection du service Datastore avec un périmètre de service bloque le trafic provenant des anciens services groupés App Engine. Les anciens services groupés comprennent :

• Datastore Java 8 avec les API App Engine
• Bibliothèque cliente Python 2NDB pour Datastore
• Go 1.11 Datastore avec les API App Engine

Protection en sortie pour les opérations d'importation et d'exportation

Firestore est compatible avec VPC Service Controls, mais nécessite une configuration supplémentaire pour bénéficier d'une protection complète en sortie lors des opérations d'importation et d'exportation. Pour autoriser les opérations d'importation et d'exportation, vous devez utiliser l'agent de service Firestore au lieu du compte de service App Engine par défaut. Suivez les instructions suivantes pour afficher et configurer le compte d'autorisation pour les opérations d'importation et d'exportation.

Agent de service Firestore

Au lieu d'utiliser le compte de service App Engine, Firestore utilise un agent de service Firestore pour autoriser les opérations d'importation et d'exportation. L'agent de service et le compte de service utilisent les conventions d'attribution de noms suivantes:

Agent de service Firestore

service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

Firestore utilisait auparavant le compte de service par défaut App Engine au lieu de l'agent de service Firestore. Si votre base de données utilise toujours le compte de service App Engine pour importer ou exporter des données, nous vous recommandons de suivre les instructions de cette section pour migrer vers l'agent de service Firestore.

Compte de service App Engine

PROJECT_ID@appspot.gserviceaccount.com

L'agent de service Firestore est préférable, car il est spécifique à Firestore. Le compte de service App Engine est partagé par plusieurs services.

Afficher le compte d'autorisation

Vous pouvez afficher le compte que vos opérations d'importation et d'exportation utilisent pour autoriser les requêtes à partir de la page Importation/Exportation de la console Google Cloud. Vous pouvez également vérifier si votre base de données utilise déjà l'agent de service Firestore.

1. Dans la console Google Cloud, accédez à la page Base de données.

   Accéder à la page "Bases de données"

2. Sélectionnez la base de données requise dans la liste des bases de données.

3. Dans le menu de navigation, cliquez sur Importer/Exporter.

4. Affichez le compte d'autorisation à côté du libellé Les jobs d'importation/exportation s'exécutent en tant que.

Si votre projet n'utilise pas l'agent de service Firestore, vous pouvez migrer vers l'agent de service Firestore à l'aide de l'une des techniques suivantes:

• Migrez un projet en vérifiant et en mettant à jour les autorisations des bucket Cloud Storage (recommandé).
• Ajoutez une contrainte de règle à l'échelle de l'organisation qui affecte tous les projets de l'organisation.

La première de ces techniques est préférable, car elle localise le champ d'application des effets en un seul projet Firestore. La deuxième technique n'est pas privilégiée, car elle ne migre pas les autorisations des bucket Cloud Storage existantes. Cependant, il offre une conformité de sécurité au niveau de l'organisation.

Migrer en vérifiant et en mettant à jour les autorisations des bucket Cloud Storage

Le processus de migration comporte deux étapes:

1. Mettre à jour les autorisations du bucket Cloud Storage Pour en savoir plus, consultez la section suivante.
2. Confirmez la migration vers l'agent de service Firestore.

Autorisations concernant les buckets de l'agent de service

Pour toutes les opérations d'exportation ou d'importation utilisant un bucket Cloud Storage dans un autre projet, vous devez accorder des autorisations à l'agent de service Firestore pour ce bucket. Par exemple, les opérations qui déplacent des données vers un autre projet doivent accéder à un bucket de cet autre projet. Sinon, ces opérations échoueront après la migration vers l'agent de service Firestore.

Les workflows d'importation et d'exportation qui restent dans le même projet ne nécessitent pas de modifier les autorisations. L'agent de service Firestore peut accéder par défaut aux buckets du même projet.

Mettez à jour les autorisations des buckets Cloud Storage d'autres projets pour donner accès à l'agent de service service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com. Attribuez le rôle Firestore Service Agent à l'agent de service.

Le rôle Firestore Service Agent accorde des autorisations de lecture et d'écriture pour un bucket Cloud Storage. Si vous ne devez accorder que des autorisations en lecture ou en écriture, utilisez un rôle personnalisé.

Le processus de migration décrit dans la section suivante vous aide à identifier les buckets Cloud Storage nécessitant des mises à jour des autorisations.

Migrer un projet vers l'agent de service Firestore

Procédez comme suit pour migrer du compte de service App Engine vers l'agent de service Firestore. Une fois terminée, la migration est irréversible.

1. Dans la console Google Cloud, accédez à la page Base de données.

   Accéder à la page "Bases de données"

2. Sélectionnez la base de données requise dans la liste des bases de données.

3. Dans le menu de navigation, cliquez sur Importer/Exporter.

4. Si votre projet n'a pas encore migré vers l'agent de service Firestore, une bannière décrivant la migration et un bouton Vérifier l'état du bucket s'affichent. L'étape suivante vous aidera à identifier et à corriger les éventuelles erreurs d'autorisation.

   Cliquez sur Vérifier l'état du bucket.

   Un menu s'affiche avec l'option permettant d'effectuer la migration et la liste des buckets Cloud Storage. Le chargement de la liste peut prendre quelques minutes.

   Cette liste comprend les buckets qui ont été récemment utilisés dans les opérations d'importation et d'exportation, mais qui n'accordent actuellement pas d'autorisations de lecture et d'écriture à l'agent de service Firestore.

5. Notez le nom principal de l'agent de service Firestore de votre projet. Le nom de l'agent de service apparaît sous le libellé Agent de service auquel donner l'accès.

6. Pour chaque bucket de la liste que vous utiliserez pour de futures opérations d'importation ou d'exportation, procédez comme suit:

   1. Sur la ligne de table de ce bucket, cliquez sur Corriger. La page des autorisations de ce bucket s'ouvre dans un nouvel onglet.

   2. Cliquez sur Ajouter.
   3. Dans le champ Nouveaux comptes principaux, saisissez le nom de votre agent de service Firestore.
   4. Dans le champ Sélectionner un rôle, sélectionnez Agents de service > Agent de service Firestore.
   5. Cliquez sur Enregistrer.
   6. Revenez à l'onglet de la page Importation/Exportation Firestore.
   7. Répétez ces étapes pour les autres buckets de la liste. Veillez à afficher toutes les pages de la liste.

7. Cliquez sur Migrer vers l'agent de service Firestore. Si vous avez toujours des buckets dont les vérifications d'autorisation ont échoué, vous devez confirmer votre migration en cliquant sur Migrer.

   Une alerte vous avertit lorsque la migration est terminée. Cette opération est irréversible.

Afficher l'état de la migration

Pour vérifier l'état de la migration de votre projet:

1. Dans la console Google Cloud, accédez à la page Base de données.

   Accéder à la page "Bases de données"

2. Sélectionnez la base de données requise dans la liste des bases de données.

3. Dans le menu de navigation, cliquez sur Importer/Exporter.

4. Recherchez le compte principal à côté du libellé Les jobs d'importation/exportation s'exécutent en tant que.

   Si le compte principal est service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com, votre projet a déjà migré vers l'agent de service Firestore. Cette opération est irréversible.

   Si le projet n'a pas été migré, une bannière s'affiche en haut de la page avec un bouton Check Bucket Status (Vérifier l'état du bucket). Pour terminer la migration, consultez Migrer vers l'agent de service Firestore.

Ajouter une contrainte de règle à l'échelle de l'organisation

• Définissez la contrainte suivante dans la règle de votre organisation:

  Exiger l'agent de service Firestore pour l'importation/exportation (firestore.requireP4SAforImportExport).

  Cette contrainte nécessite des opérations d'importation et d'exportation pour utiliser l'agent de service Firestore afin d'autoriser les requêtes. Pour définir cette contrainte, consultez la page Créer et gérer des règles d'administration .

L'application de cette contrainte de règle d'administration n'accorde pas automatiquement les autorisations de bucket Cloud Storage appropriées pour l'agent de service Firestore.

Si la contrainte crée des erreurs d'autorisation pour des workflows d'importation ou d'exportation, vous pouvez la désactiver pour revenir au compte de service par défaut. Après avoir vérifié et mis à jour les autorisations du bucket Cloud Storage, vous pouvez réactiver la contrainte.