VPC Service Controls

機構可透過 VPC Service Controls，在Google Cloud 資源周圍定義安全範圍，降低資料竊取風險。透過 VPC Service Controls，您可以建立 perimeter，保護您明確指定的服務資源和資料。

套裝組合 Firestore 服務

VPC Service Controls 會將下列 API 組合在一起：

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

在範圍中限制 firestore.googleapis.com 服務時，範圍也會限制 datastore.googleapis.com 和 firestorekeyvisualizer.googleapis.com 服務。

限制 datastore.googleapis.com 服務

datastore.googleapis.com 服務會與 firestore.googleapis.com 服務一併提供。如要限制 datastore.googleapis.com 服務，請按照下列步驟限制 firestore.googleapis.com 服務：

• 使用 Google Cloud 控制台建立服務範圍時，請將 Firestore 新增為受限制的服務。

• 使用 Google Cloud CLI 建立服務安全防護時，請使用 firestore.googleapis.com，而非 datastore.googleapis.com。

  --perimeter-restricted-services=firestore.googleapis.com
  

Datastore 的 App Engine 舊版套裝組合服務

Datastore 的 App Engine 舊版套裝組合服務不支援服務範圍。使用服務範圍保護 Datastore 服務時，會封鎖來自 App Engine 舊版套裝服務的流量。舊版套裝組合服務包括：

• Java 8 Datastore 與 App Engine API
• 適用於 Datastore 的 Python 2 NDB 用戶端程式庫
• Go 1.11 Datastore 與 App Engine API

受限制的 VIP

如要搭配使用與 MongoDB 相容的 Firestore 和受限 VIP，您必須設定與與 MongoDB 相容的 Firestore 所用 VIP 網域的連線。這個網域及其 IP 位址僅供與 MongoDB 相容的 Firestore 服務使用，且符合 VPC Service Controls 規定。

如需操作說明，請參閱在與 MongoDB 相容的 Firestore 中設定私人 Google 存取權。

匯入和匯出作業的輸出保護措施

與 MongoDB 相容的 Firestore 支援 VPC Service Controls，但需要額外設定，才能在匯入和匯出作業中獲得完整的輸出保護。您必須使用 Firestore 服務代理人授權匯入和匯出作業，而不是使用預設的 App Engine 服務帳戶。請按照下列操作說明，查看及設定匯入和匯出作業的授權帳戶。