VPC Service Controls

VPC Service Controls ermöglicht es Organisationen, einen Perimeter um Google Cloud-Ressourcen zu definieren um das Risiko der Daten-Exfiltration zu minimieren. Mit VPC Service Controls erstellen Sie Perimeter zum Schutz von Ressourcen und Daten der Dienste, die Sie explizit angeben.

Firestore-Dienste gebündelt

Die folgenden APIs sind in VPC Service Controls gebündelt:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, schränkt der Perimeter außerdem datastore.googleapis.com und firestorekeyvisualizer.googleapis.com-Dienste.

datastore.googleapis.com-Dienst einschränken

Der Dienst datastore.googleapis.com ist im Bereich firestore.googleapis.com-Dienst. Wenn Sie den Dienst datastore.googleapis.com einschränken möchten, müssen Sie den Dienst firestore.googleapis.com folgendermaßen einschränken:

  • Wenn Sie einen Dienstperimeter mit der Google Cloud Console erstellen, fügen Sie Firestore als eingeschränkten Dienst verwenden
  • Verwenden Sie beim Erstellen eines Dienstperimeters mit der Google Cloud CLI firestore.googleapis.com statt datastore.googleapis.com.
    --perimeter-restricted-services=firestore.googleapis.com

Gebündelte Legacy-Dienste von App Engine für Datastore

Gebündelte Legacy-Dienste von App Engine für Datastore unterstützen keine Dienstperimeter. Datastore schützen Der Dienst mit einem Dienstperimeter blockiert den Traffic von Gebündelte Legacy-Dienste von App Engine. Zu den gebündelten Legacy-Diensten gehören:

Schutz vor ausgehendem Traffic bei Import- und Exportvorgängen

Firestore unterstützt VPC Service Controls, erfordert jedoch zusätzliche Konfiguration, um vollständigen Schutz für ausgehenden Traffic bei Import- und Exportvorgängen zu erhalten. Sie müssen den Firestore-Dienst-Agent verwenden, um Import- und Exportvorgänge anstelle des App Engine-Standarddienstes Konto. Folgen Sie der Anleitung unten, um das Autorisierungskonto für Import- und Exportvorgänge aufzurufen und zu konfigurieren.

Firestore-Dienst-Agent

Firestore verwendet einen Firestore-Dienst-Agent zum Autorisieren des Imports und Exportvorgänge ausführen, anstatt das App Engine-Dienstkonto zu verwenden. Für den Dienst-Agent und das Dienstkonto gelten die folgenden Namenskonventionen:

Firestore-Dienst-Agent
service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

Firestore hat zuvor den App Engine-Standarddienst verwendet anstelle des Firestore-Dienst-Agents. Wenn in Ihrer Datenbank weiterhin das App Engine-Dienstkonto zum Importieren oder Exportieren von Daten verwendet wird, empfehlen wir Ihnen, der Anleitung in diesem Abschnitt zu folgen, um zum Firestore-Dienst-Agent zu migrieren.

App Engine-Dienstkonto
PROJECT_ID@appspot.gserviceaccount.com

Der Firestore-Dienst-Agent ist vorzuziehen, da er speziell für Firestore entwickelt wurde. Das App Engine-Dienstkonto ist freigegeben von mehreren Diensten.

Autorisierungskonto ansehen

Sie können sehen, über welches Konto die Import- und Exportvorgänge autorisiert werden Anfragen von der Seite Import/Export in der Google Cloud Console. Sie können auch prüfen, ob für Ihre Datenbank bereits der Firestore-Dienstagent verwendet wird.

  1. Rufen Sie in der Google Cloud Console die Seite Datenbanken auf.

    Zur Seite „Datenbanken“

  2. Wählen Sie die benötigte Datenbank aus der Liste der Datenbanken aus.
  3. Klicken Sie im Navigationsmenü auf Importieren/Exportieren.

  4. Sehen Sie sich das Autorisierungskonto neben dem Import-/Exportjobs ausführen als Label.

Wenn Ihr Projekt den Firestore-Dienst-Agent nicht verwendet, zum Firestore-Dienst-Agent mit einer der folgenden Methoden diese Techniken einsetzen:

Die erste dieser Techniken ist zu bevorzugen, da sie den Umfang der auf ein einzelnes Firestore-Projekt auswirken. Die zweite Technik ist nicht bevorzugt, da der vorhandene Cloud Storage-Bucket nicht migriert wird Berechtigungen. Sie bietet jedoch Sicherheitscompliance auf Organisationsebene.

Migrieren Sie, indem Sie Cloud Storage-Bucket-Berechtigungen prüfen und aktualisieren

Der Migrationsprozess umfasst zwei Schritte:

  1. Aktualisieren Sie die Berechtigungen für den Cloud Storage-Bucket. Im folgenden Abschnitt finden Sie Details.
  2. Bestätigen Sie die Migration zum Firestore-Dienst-Agent.

Bucket-Berechtigungen des Dienst-Agents

Für Export- oder Importvorgänge, bei denen ein Cloud Storage-Bucket in einem anderen Projekt verwendet wird, müssen Sie dem Firestore-Dienst-Agent Berechtigungen für diesen Bucket erteilen. Bei Vorgängen, bei denen Daten in ein anderes Projekt verschoben werden, muss beispielsweise auf einen Bucket in diesem anderen Projekt zugegriffen werden. Andernfalls schlagen diese Vorgänge nach der Migration zum Firestore-Dienst-Agent fehl.

Für Import- und Export-Workflows, die im selben Projekt bleiben, ist kein Änderungen an den Berechtigungen. Der Firestore-Dienst-Agent hat Zugriff Buckets im selben Projekt.

Aktualisieren Sie die Berechtigungen für Cloud Storage-Buckets aus anderen Projekten, um Zugriff auf die service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com Dienst-Agent. Weisen Sie dem Dienst-Agent die Rolle Firestore Service Agent zu.

Die Rolle Firestore Service Agent gewährt Lese- und Schreibberechtigungen für ein Cloud Storage-Bucket. Wenn Sie nur Lese- oder Nur-Schreibzugriff gewähren müssen Berechtigungen, verwenden Sie benutzerdefinierte Rolle.

Der im folgenden Abschnitt beschriebene Migrationsprozess hilft Ihnen, Cloud Storage Buckets, die möglicherweise Aktualisierungen von Berechtigungen erfordern.

Projekt zum Firestore-Dienst-Agent migrieren

Führen Sie die folgenden Schritte aus, um vom App Engine-Dienstkonto zu migrieren den Firestore-Dienst-Agent. Die Migration kann nicht rückgängig gemacht werden.

  1. Rufen Sie in der Google Cloud Console die Seite Datenbanken auf.

    Zur Seite „Datenbanken“

  2. Wählen Sie die benötigte Datenbank aus der Liste der Datenbanken aus.
  3. Klicken Sie im Navigationsmenü auf Importieren/Exportieren.

  4. Wenn Ihr Projekt noch nicht zum Firestore-Dienstagenten migriert wurde, sehen Sie ein Banner mit einer Beschreibung der Migration und die Schaltfläche Bucket-Status prüfen. Im nächsten Schritt identifizieren Sie mögliche Berechtigungsfehler beheben.

    Klicken Sie auf Bucket-Status prüfen.

    Ein Menü mit der Option zum Abschließen der Migration und einer Liste der Cloud Storage-Buckets wird angezeigt. Es kann einige Minuten dauern, bis die Liste vollständig geladen ist.

    Diese Liste enthält Buckets, die vor Kurzem für Import- und Exportvorgänge verwendet wurden, dem Firestore-Dienst-Agent aber derzeit keine Lese- und Schreibberechtigungen gewähren.

  5. Notieren Sie sich den Prinzipalnamen des Firestore-Eintrags Ihres Projekts Dienst-Agent. Der Name des Dienst-Agents wird unter dem Label Dienst-Agent, dem Zugriff gewährt werden soll.
  6. Für jede Gruppe in der Liste für zukünftige Import- oder Exportvorgänge verwenden, führen Sie folgende Schritte aus: Schritte:

    1. Klicken Sie in der Tabellenzeile dieses Buckets auf Korrigieren. Daraufhin wird die Seite mit den Berechtigungen für diesen Bucket in einem neuen Tab geöffnet.

    2. Klicken Sie auf Hinzufügen.
    3. Geben Sie im Feld Neue Hauptkonten den Namen Ihres Firestore-Dienst-Agents ein.
    4. Wählen Sie im Feld Rolle auswählen die Option Service-Agents > Firestore-Dienst-Agent aus.
    5. Klicken Sie auf Speichern.
    6. Kehren Sie zum Tab mit der Firestore-Seite „Import/Export“ zurück.
    7. Wiederholen Sie diese Schritte für andere Buckets in der Liste. Sehen Sie sich alle Seiten der Liste an.
  7. Klicken Sie auf Zum Firestore-Dienst-Agent migrieren. Wenn Sie noch Buckets mit fehlgeschlagenen Berechtigungsprüfungen haben, müssen Sie die Migration bestätigen, indem Sie auf Migrieren klicken.

    Sie werden per Benachrichtigung darüber informiert, wenn die Migration abgeschlossen ist. Migration nicht möglich rückgängig gemacht.

Status der Migration abrufen

So überprüfen Sie den Migrationsstatus Ihres Projekts:

  1. Rufen Sie in der Google Cloud Console die Seite Datenbanken auf.

    Zur Seite „Datenbanken“

  2. Wählen Sie die benötigte Datenbank aus der Liste der Datenbanken aus.
  3. Klicken Sie im Navigationsmenü auf Importieren/Exportieren.

  4. Suchen Sie neben dem Label Import-/Exportjobs werden ausgeführt als nach dem Hauptbenutzer.

    Wenn das Hauptkonto service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com ist, wurde Ihr Projekt bereits zum Firestore-Dienstagenten migriert. Die Migration kann nicht rückgängig gemacht werden.

    Wenn das Projekt nicht migriert wurde, wird oben auf der Seite ein Banner angezeigt. durch die Schaltfläche Bucket-Status prüfen. Weitere Informationen finden Sie unter Zum Firestore-Dienst-Agent migrieren.

Organisationsweite Richtlinieneinschränkung hinzufügen

  • Legen Sie die folgende Einschränkung in der Richtlinie Ihrer Organisation fest:

    Firestore-Dienst-Agent für Import/Export erforderlich (firestore.requireP4SAforImportExport).

    Für diese Einschränkung sind Import- und Exportvorgänge erforderlich, um die Methode Firestore-Dienst-Agent zum Autorisieren von Anfragen. Informationen zum Festlegen dieser Einschränkung finden Sie unter Organisationsrichtlinien erstellen und verwalten

Durch die Anwendung dieser Einschränkung der Organisationsrichtlinie werden dem Firestore-Dienst-Agent nicht automatisch die entsprechenden Cloud Storage-Bucket-Berechtigungen gewährt.

Wenn durch die Einschränkung Berechtigungsfehler für Import- oder Export-Workflows entstehen, können Sie es deaktivieren, um wieder das Standarddienstkonto zu verwenden. Nach der Prüfung und Aktualisierung des Cloud Storage-Bucket Berechtigungen haben, können Sie die Einschränkung wieder aktivieren.