Controles del servicio de VPC
Los Controles del servicio de VPC permiten que las organizaciones definan un perímetro alrededor de los recursos deGoogle Cloud para mitigar los riesgos de robo de datos. Con los Controles del servicio de VPC, creas perímetros que protegen los recursos y datos de los servicios que especificas de forma explícita.
Servicios agrupados de Firestore
Las siguientes APIs se incluyen en los Controles del servicio de VPC:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Cuando restringes el servicio firestore.googleapis.com a un perímetro, este también restringe los servicios datastore.googleapis.com y firestorekeyvisualizer.googleapis.com.
Restringe el servicio datastore.googleapis.com
El servicio datastore.googleapis.com se incluye en el servicio firestore.googleapis.com. Para restringir el servicio datastore.googleapis.com, debes restringir el servicio firestore.googleapis.com de la siguiente manera:
- Cuando crees un perímetro de servicio con la consola de Google Cloud , agrega Firestore como el servicio restringido.
Cuando crees un perímetro de servicio con Google Cloud CLI, usa
firestore.googleapis.comen lugar dedatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Servicios agrupados en paquetes heredados de App Engine para Datastore
Los servicios heredados en paquetes de App Engine para Datastore no admiten perímetros de servicio. Proteger el servicio de Datastore con un perímetro de servicio bloquea el tráfico de los servicios heredados en paquetes de App Engine. Los servicios heredados en paquetes incluyen lo siguiente:
- Java 8 Datastore con las APIs de App Engine
- Biblioteca cliente de NDB de Python 2 para Datastore
- Datastore en Go 1.11 con las APIs de App Engine
VIP restringida
Para usar Firestore con compatibilidad con MongoDB con la VIP restringida, debes configurar la conectividad con el dominio de la VIP que usa Firestore con compatibilidad con MongoDB. Este dominio y sus direcciones IP solo se usan en el servicio de Firestore con compatibilidad con MongoDB y cumplen con los Controles del servicio de VPC.
Para obtener instrucciones, consulta Cómo configurar el Acceso privado a Google en Firestore con compatibilidad con MongoDB.
Protección de salida en las operaciones de importación y exportación
Firestore con compatibilidad con MongoDB admite los Controles del servicio de VPC, pero requiere configuración adicional para obtener protección completa de salida en las operaciones de importación y exportación. Debes usar el agente de servicio de Firestore para autorizar las operaciones de importación y exportación en lugar de la cuenta de servicio predeterminada de App Engine. Sigue estas instrucciones para ver y configurar la cuenta de autorización para las operaciones de importación y exportación.