Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Controlli di servizio VPC

I controlli di servizio VPC consentono alle organizzazioni di definire un perimetro intorno alle risorse Google Cloud per ridurre i rischi di esfiltrazione dei dati. Con i Controlli di servizio VPC, puoi creare perimetrali che proteggono le risorse e i dati dei servizi specificati in modo esplicito.

Servizi Firestore in bundle

Le seguenti API sono raggruppate nei Controlli di servizio VPC:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

Quando limiti il servizio firestore.googleapis.com in un perimetro, anche il perimetro limita i servizi datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.

Limita il servizio datastore.googleapis.com

Il servizio datastore.googleapis.com è incluso nel servizio firestore.googleapis.com. Per limitare il servizio datastore.googleapis.com, devi limitare il servizio firestore.googleapis.com come segue:

  • Quando crei un perimetro di servizio utilizzando Google Cloud Console, aggiungi Firestore come servizio limitato.
  • Quando crei un perimetro di servizio utilizzando l'interfaccia a riga di comando di Google Cloud, utilizza firestore.googleapis.com invece di datastore.googleapis.com.
    --perimeter-restricted-services=firestore.googleapis.com

Servizi in bundle di App Engine legacy per Datastore

I servizi in bundle di App Engine legacy per Datastore non supportano i perimetri di servizio. La protezione del servizio Datastore con un perimetro di servizio blocca il traffico dai servizi in bundle legacy di App Engine. I servizi in bundle precedenti includono:

Protezione del traffico in uscita sulle operazioni di importazione ed esportazione

Firestore supporta i Controlli di servizio VPC, ma richiede una configurazione aggiuntiva per ottenere la protezione completa per il traffico in uscita su operazioni di importazione ed esportazione. Devi utilizzare l'agente di servizio Firestore per autorizzare le operazioni di importazione ed esportazione anziché l'account di servizio predefinito di App Engine. Utilizza le seguenti istruzioni per visualizzare e configurare l'account di autorizzazione per le operazioni di importazione ed esportazione.

Agente di servizio Firestore

Ora puoi utilizzare un agente di servizio Firestore per autorizzare le operazioni di importazione ed esportazione anziché l'account di servizio App Engine. L'agente di servizio e l'account di servizio utilizzano le seguenti convenzioni di denominazione:

Agente di servizio Firestore
service-project_number@gcp-sa-firestore.iam.gserviceaccount.com
Account di servizio App Engine
project_id@appspot.gserviceaccount.com

L'agente di servizio Firestore è preferibile perché è specifico per Firestore. L'account di servizio App Engine è condiviso da più di un servizio.

Visualizza account di autorizzazione

Puoi visualizzare l'account utilizzato dalle operazioni di importazione ed esportazione per autorizzare le richieste dalla pagina Importa/Esporta di Google Cloud Console. Puoi anche verificare se il tuo database utilizza già l'agente di servizio Firestore.

  1. Vai alla pagina Importazione/esportazione in Firestore in Google Cloud Console.

    Vai a Importa/Esporta

  2. Visualizza l'account di autorizzazione accanto all'etichetta I job di importazione/esportazione vengono eseguiti come.

Se il tuo progetto non utilizza l'agente di servizio Firestore, puoi eseguire la migrazione all'agente di servizio Firestore utilizzando una delle seguenti tecniche:

È preferibile utilizzare la prima tecnica, in quanto localizza l'ambito di applicazione a un singolo progetto Firestore. La seconda tecnica non è consigliata perché non esegue la migrazione delle autorizzazioni dei bucket Cloud Storage esistenti. offre tuttavia la sicurezza a livello di organizzazione.

Esegui la migrazione controllando e aggiornando le autorizzazioni dei bucket di Cloud Storage

La procedura di migrazione è composta da due passaggi:

  1. Aggiorna le autorizzazioni dei bucket di Cloud Storage. Consulta la sezione seguente per i dettagli.
  2. Conferma la migrazione all'agente di servizio Firestore.

Autorizzazioni bucket agente di servizio

Per qualsiasi operazione di esportazione o importazione che utilizza un bucket Cloud Storage in un altro progetto, devi concedere le autorizzazioni di agente di servizio Firestore per tale bucket. Ad esempio, le operazioni che spostano dati in un altro progetto devono accedere a un bucket di quell'altro progetto. In caso contrario, queste operazioni non riusciranno dopo la migrazione all'agente di servizio Firestore.

I flussi di lavoro di importazione ed esportazione che rimangono all'interno dello stesso progetto non richiedono modifiche alle autorizzazioni. L'agente di servizio Firestore può accedere ai bucket nello stesso progetto per impostazione predefinita.

Aggiorna le autorizzazioni dei bucket Cloud Storage da altri progetti per concedere l'accesso all'agente di servizio service-project_number@gcp-sa-firestore.iam.gserviceaccount.com. Concedi all'agente di servizio il ruolo Firestore Service Agent.

Il ruolo Firestore Service Agent concede autorizzazioni di lettura e scrittura per un bucket Cloud Storage. Se devi concedere solo autorizzazioni di lettura o scrittura, utilizza un ruolo personalizzato.

Il processo di migrazione descritto nella sezione seguente consente di identificare i bucket Cloud Storage che potrebbero richiedere aggiornamenti delle autorizzazioni.

Esegui la migrazione di un progetto nell'agente di servizio Firestore

Completa i seguenti passaggi per eseguire la migrazione dall'account di servizio App Engine all'agente di servizio Firestore. Una volta completata, la migrazione non può essere annullata.

  1. Vai alla pagina Importazione/esportazione in Firestore in Google Cloud Console.

    Vai a Importa/Esporta

  2. Se la migrazione del progetto all'agente di servizio Firestore non è ancora stata eseguita, viene visualizzato un banner che descrive la migrazione e un pulsante Verifica stato del bucket. Il passaggio successivo consente di identificare e correggere potenziali errori di autorizzazione.

    Fai clic su Verifica lo stato del bucket.

    Viene visualizzato un menu con l'opzione per completare la migrazione e un elenco di bucket Cloud Storage. Potrebbero occorrere alcuni minuti per completare il caricamento dell'elenco.

    Questo elenco include i bucket utilizzati di recente nelle operazioni di importazione ed esportazione, ma attualmente non forniscono le autorizzazioni di lettura e scrittura all'agente di servizio Firestore.

  3. Prendi nota del nome dell'entità del tuo agente di servizio Firestore del progetto. Il nome dell'agente di servizio viene visualizzato sotto l'etichetta Agente di servizio per concedere l'accesso.
  4. Per qualsiasi bucket nell'elenco che utilizzerai per le operazioni di importazione o esportazione future, completa i seguenti passaggi:

    1. In questa riga della tabella, fai clic su Correggi. Viene aperta la pagina delle autorizzazioni del bucket in una nuova scheda.

    2. Fai clic su Aggiungi.
    3. Nel campo Nuove entità, inserisci il nome del tuo agente di servizio Firestore.
    4. Nel campo Seleziona un ruolo, scegli Agenti di servizio > agente di servizio Firestore.
    5. Fai clic su Salva.
    6. Torna alla scheda con la pagina di importazione/esportazione di Firestore.
    7. Ripeti questi passaggi per gli altri bucket dell'elenco. Assicurati di visualizzare tutte le pagine dell'elenco.
  5. Fai clic su Esegui la migrazione all'agente di servizio Firestore. Se hai ancora bucket con controlli di autorizzazione non riusciti, devi confermare la migrazione facendo clic su Esegui migrazione.

    Un avviso ti informa al termine della migrazione. La migrazione non può essere annullata.

Visualizza stato migrazione

  1. Per verificare lo stato della migrazione del progetto, vai alla pagina Importa/Esporta in Google Cloud Console:

    Vai a Importa/Esporta

  2. Cerca l'entità accanto all'etichetta I job di importazione/esportazione vengono eseguiti come.

    Se l'entità è service-project_number@gcp-sa-firestore.iam.gserviceaccount.com, il progetto è già stato migrato all'agente di servizio Firestore. La migrazione non può essere annullata.

    Se la migrazione del progetto non è avvenuta, nella parte superiore della pagina viene visualizzato un banner con un pulsante Verifica stato del bucket. Consulta Eseguire la migrazione all'agente di servizio Firestore per completare la migrazione.

Aggiungi un vincolo del criterio a livello di organizzazione

  • Imposta il seguente vincolo nel criterio della tua organizzazione:

    Richiedi l'agente di servizio Firestore per l'importazione/esportazione (firestore.requireP4SAforImportExport).

    Questo vincolo richiede che le operazioni di importazione ed esportazione utilizzino l'agente di servizio Firestore per autorizzare le richieste. Per impostare questo vincolo, consulta Creazione e gestione dei criteri dell'organizzazione .

L'applicazione di questo vincolo di criterio dell'organizzazione non concede automaticamente le autorizzazioni appropriate per il bucket Cloud Storage per l'agente di servizio Fire.

Se il vincolo crea errori di autorizzazione per qualsiasi flusso di lavoro di importazione o esportazione, puoi disattivarlo per tornare a utilizzare l'account di servizio predefinito. Dopo aver verificato e aggiornato le autorizzazioni delle bucket di Cloud Storage, puoi abilitare nuovamente il vincolo.