VPC Service Controls
Os VPC Service Controls permitem que as organizações definam um perímetro em torno dos Google Cloud recursos para mitigar os riscos de exfiltração de dados. Com os VPC Service Controls, cria perímetros que protegem os recursos e os dados dos serviços que especifica explicitamente.
Serviços do Firestore incluídos num pacote
As seguintes APIs estão agrupadas nos VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Quando restringe o serviço firestore.googleapis.com num perímetro, o perímetro também restringe os serviços datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.
Restrinja o serviço datastore.googleapis.com
O serviço datastore.googleapis.com está incluído no serviço firestore.googleapis.com. Para restringir o serviço datastore.googleapis.com, tem de restringir o serviço firestore.googleapis.com da seguinte forma:
- Quando criar um perímetro de serviço através da consola Google Cloud , adicione o Firestore como o serviço restrito.
Quando criar um perímetro de serviço através da CLI do Google Cloud, use
firestore.googleapis.comem vez dedatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Serviços agrupados antigos do App Engine para o Datastore
Os serviços agrupados antigos do App Engine para o Datastore não suportam perímetros de serviço. A proteção do serviço Datastore com um perímetro de serviço bloqueia o tráfego dos serviços agrupados antigos do App Engine. Os serviços antigos incluídos incluem:
- Armazenamento de dados Java 8 com APIs do App Engine
- Biblioteca cliente NDB Python 2 para o Datastore
- Go 1.11 Datastore com APIs do App Engine
VIP restrito
Para usar o Firestore com compatibilidade com o MongoDB com o VIP restrito, tem de configurar a conetividade com o domínio do VIP usado pelo Firestore com compatibilidade com o MongoDB. Este domínio e os respetivos endereços IP são usados apenas pelo serviço Firestore com compatibilidade com o MongoDB e estão em conformidade com os VPC Service Controls.
Para ver instruções, consulte o artigo Configure o acesso privado à Google no Firestore com compatibilidade com o MongoDB.
Proteção de saída nas operações de importação e exportação
O Firestore com compatibilidade com o MongoDB suporta os VPC Service Controls, mas requer uma configuração adicional para obter proteção de saída total nas operações de importação e exportação. Tem de usar o agente de serviço do Firestore para autorizar operações de importação e exportação, em vez da conta de serviço do App Engine predefinida. Siga as instruções que se seguem para ver e configurar a conta de autorização para operações de importação e exportação.