Controlli di servizio VPC

I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alle risorseGoogle Cloud per mitigare i rischi di esfiltrazione di dati. Con i Controlli di servizio VPC, crei perimetri che proteggono le risorse e i dati dei servizi che specifichi esplicitamente.

Servizi Firestore in bundle

Le seguenti API sono raggruppate in Controlli di servizio VPC:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

Quando limiti il servizio firestore.googleapis.com in un perimetro, il perimetro limita anche i servizi datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.

Limitare il servizio datastore.googleapis.com

Il servizio datastore.googleapis.com è incluso nel servizio firestore.googleapis.com. Per limitare il servizio datastore.googleapis.com, devi limitare il servizio firestore.googleapis.com nel seguente modo:

• Quando crei un perimetro di servizio utilizzando la console Google Cloud , aggiungi Firestore come servizio con limitazioni.

• Quando crei un perimetro di servizio utilizzando Google Cloud CLI, utilizza firestore.googleapis.com anziché datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com
  

Servizi integrati legacy di App Engine per Datastore

I servizi integrati legacy di App Engine per Datastore non supportano i service perimeter. La protezione del servizio Datastore con un perimetro di servizio blocca il traffico proveniente dai servizi integrati legacy di App Engine. I servizi in bundle legacy includono:

• Java 8 Datastore con API App Engine
• Libreria client NDB Python 2 per Datastore
• Go 1.11 Datastore con API di App Engine

VIP con limitazioni

Per utilizzare Firestore con compatibilità MongoDB con VIP limitato, devi configurare la connettività al dominio VIP utilizzato da Firestore con compatibilità MongoDB. Questo dominio e i relativi indirizzi IP vengono utilizzati solo dal servizio Firestore con compatibilità MongoDB e sono conformi ai Controlli di servizio VPC.

Per istruzioni, vedi Configurare l'accesso privato Google in Firestore con compatibilità MongoDB.

Protezione in uscita per le operazioni di importazione ed esportazione

Firestore con compatibilità MongoDB supporta i Controlli di servizio VPC, ma richiede una configurazione aggiuntiva per ottenere la protezione completa dell'uscita nelle operazioni di importazione ed esportazione. Devi utilizzare l'agente di servizio Firestore per autorizzare le operazioni di importazione ed esportazione anziché l'account di servizio App Engine predefinito. Segui queste istruzioni per visualizzare e configurare l'account di autorizzazione per le operazioni di importazione ed esportazione.