VPC Service Controls
Com o VPC Service Controls, as organizações podem definir um perímetro em torno dos recursos do Google Cloud para reduzir os riscos de exfiltração de dados. Com o VPC Service Controls, você cria perímetros que protegem os recursos e os dados dos serviços especificados explicitamente.
Serviços agrupados do Firestore
As seguintes APIs são agrupadas no VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Quando você restringe o serviço firestore.googleapis.com em um perímetro,
o perímetro também restringe os serviços datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com.
Restringir o serviço datastore.googleapis.com
O serviço datastore.googleapis.com está agrupado no serviço
firestore.googleapis.com. Para restringir o serviço
datastore.googleapis.com, restrinja o serviço firestore.googleapis.com
da seguinte maneira:
- Ao criar um perímetro de serviço usando o console Google Cloud , adicione o Firestore como o serviço restrito.
Ao criar um perímetro de serviço usando a Google Cloud CLI, use
firestore.googleapis.comem vez dedatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Serviços agrupados legados do App Engine para Datastore
Os serviços em pacote legados do App Engine para Datastore não são compatíveis com perímetros de serviço. Proteger o serviço do Datastore com um perímetro de serviço bloqueia o tráfego de serviços em pacote legados do App Engine. Os serviços agrupados legados incluem:
- Datastore Java 8 com APIs do App Engine
- Biblioteca de cliente NDB do Python 2 para o Datastore
- Datastore Go 1.11 com APIs do App Engine
VIP restrito
Para usar o Firestore com compatibilidade com o MongoDB com VIP restrito, configure a conectividade com o domínio VIP usado pelo Firestore com compatibilidade com o MongoDB. Esse domínio e os endereços IP dele são usados apenas pelo serviço do Firestore com compatibilidade com o MongoDB e estão em conformidade com o VPC Service Controls.
Para instruções, consulte Configurar o Acesso privado do Google no Firestore com compatibilidade com o MongoDB.
Proteção de saída em operações de importação e exportação
O Firestore com compatibilidade com o MongoDB oferece suporte ao VPC Service Controls, mas exige mais configurações para ter proteção total de saída nas operações de importação e exportação. Use o agente de serviço do Firestore para autorizar as operações de importação e exportação em vez da conta de serviço padrão do App Engine. Use as instruções a seguir para ver e configurar a conta de autorização para operações de importação e exportação.