VPC Service Controls

Mit VPC Service Controls können Organisationen einen Perimeter fürGoogle Cloud -Ressourcen definieren, um das Risiko einer Daten-Exfiltration zu minimieren. Mit VPC Service Controls erstellen Sie Perimeter zum Schutz von Ressourcen und Daten der Dienste, die Sie explizit angeben.

Gebündelte Firestore-Dienste

Die folgenden APIs sind in VPC Service Controls gebündelt:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter auch die Dienste datastore.googleapis.com und firestorekeyvisualizer.googleapis.com.

Dienst „datastore.googleapis.com“ einschränken

Der Dienst datastore.googleapis.com ist im Dienst firestore.googleapis.com enthalten. Wenn Sie den Dienst datastore.googleapis.com einschränken möchten, müssen Sie den Dienst firestore.googleapis.com so einschränken:

• Wenn Sie einen Dienstperimeter über die Google Cloud -Konsole erstellen, fügen Sie Firestore als eingeschränkten Dienst hinzu.

• Wenn Sie einen Dienstperimeter mit der Google Cloud CLI erstellen, verwenden Sie firestore.googleapis.com anstelle von datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com
  

Gebündelte App Engine Legacy-Dienste für Datastore

Gebündelte Legacy-Dienste von App Engine für Datastore unterstützen keine Dienstperimeter. Der Schutz des Datastore-Dienstes mit einem Dienstperimeter blockiert den Traffic von gebündelten Legacy-Diensten von App Engine. Zu den gebündelten Legacy-Diensten gehören:

• Java 8 Datastore mit App Engine APIs
• Python 2-NDB-Clientbibliothek für Datastore
• Go 1.11 Datastore mit App Engine APIs

Eingeschränkte VIP

Wenn Sie Firestore mit MongoDB-Kompatibilität mit eingeschränktem VIP verwenden möchten, müssen Sie die Verbindung zur VIP-Domain konfigurieren, die von Firestore mit MongoDB-Kompatibilität verwendet wird. Diese Domain und ihre IP-Adressen werden nur vom Firestore-Dienst mit MongoDB-Kompatibilität verwendet und entsprechen VPC Service Controls.

Eine Anleitung finden Sie unter Privaten Google-Zugriff in Firestore mit MongoDB-Kompatibilität konfigurieren.

Schutz vor ausgehendem Import und Export

Firestore mit MongoDB-Kompatibilität unterstützt VPC Service Controls, erfordert jedoch eine zusätzliche Konfiguration, um vollständigen Schutz vor ausgehendem Import und Export zu erhalten. Sie müssen den Firestore-Dienst-Agent verwenden, um Import- und Exportvorgänge zu autorisieren, anstatt das App Engine-Standarddienstkonto. Folgen Sie der Anleitung unten, um das Autorisierungskonto für Import- und Exportvorgänge aufzurufen und zu konfigurieren.