Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Controlli di servizio VPC
I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alle risorseGoogle Cloud per mitigare i rischi di esfiltrazione di dati. Con i
Controlli di servizio VPC, crei perimetri che proteggono le risorse e i dati
dei servizi che specifichi esplicitamente.
Servizi Firestore in bundle
Le seguenti API sono raggruppate in Controlli di servizio VPC:
firestore.googleapis.com
datastore.googleapis.com
firestorekeyvisualizer.googleapis.com
Quando limiti il servizio firestore.googleapis.com in un perimetro,
il perimetro limita anche i servizi datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com.
Limitare il servizio datastore.googleapis.com
Il servizio datastore.googleapis.com è incluso nel servizio
firestore.googleapis.com. Per limitare il servizio
datastore.googleapis.com, devi limitare il servizio firestore.googleapis.com
nel seguente modo:
Quando crei un perimetro di servizio utilizzando la console Google Cloud , aggiungi
Firestore come servizio con limitazioni.
Quando crei un perimetro di servizio utilizzando Google Cloud CLI, utilizza
firestore.googleapis.com anziché datastore.googleapis.com.
Servizi integrati legacy di App Engine per Datastore
I servizi integrati legacy di App Engine per Datastore
non supportano i service perimeter. La protezione del servizio Datastore
con un perimetro di servizio blocca il traffico proveniente
dai servizi integrati legacy di App Engine. I servizi in bundle legacy includono:
Per utilizzare Firestore con compatibilità MongoDB con VIP limitato, devi configurare la connettività al dominio VIP utilizzato da Firestore con compatibilità MongoDB. Questo dominio e i relativi indirizzi IP vengono utilizzati solo dal servizio Firestore con compatibilità MongoDB e sono conformi ai Controlli di servizio VPC.
Protezione in uscita per le operazioni di importazione ed esportazione
Firestore con compatibilità MongoDB supporta i Controlli di servizio VPC, ma richiede una configurazione aggiuntiva per ottenere la protezione completa dell'uscita nelle operazioni di importazione ed esportazione.
Devi utilizzare l'agente di servizio Firestore per autorizzare le operazioni di importazione ed esportazione anziché l'account di servizio App Engine predefinito. Segui queste istruzioni per visualizzare e configurare l'account di autorizzazione per le operazioni di importazione ed esportazione.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-10 UTC."],[],[],null,["# VPC Service Controls\n====================\n\n[VPC Service Controls](https://cloud.google.com/vpc-service-controls/) lets organizations define a perimeter around\nGoogle Cloud resources to mitigate data exfiltration risks. With\nVPC Service Controls, you create perimeters that protect the resources and data\nof services that you explicitly specify.\n\nBundled Firestore services\n--------------------------\n\nThe following APIs are bundled together in VPC Service Controls:\n\n- `firestore.googleapis.com`\n- `datastore.googleapis.com`\n- `firestorekeyvisualizer.googleapis.com`\n\nWhen you restrict the `firestore.googleapis.com` service in a perimeter,\nthe perimeter also restricts the `datastore.googleapis.com` and\n`firestorekeyvisualizer.googleapis.com` services.\n\n### Restrict the datastore.googleapis.com service\n\nThe `datastore.googleapis.com` service is bundled under the\n`firestore.googleapis.com` service. To restrict the\n`datastore.googleapis.com`\nservice, you must restrict the `firestore.googleapis.com` service\nas follows:\n\n- When creating a service perimeter using the Google Cloud console, add Firestore as the restricted service.\n- When creating a service perimeter using the Google Cloud CLI, use\n `firestore.googleapis.com` instead of `datastore.googleapis.com`.\n\n --perimeter-restricted-services=firestore.googleapis.com\n\n### App Engine legacy bundled services for Datastore\n\n[App Engine legacy bundled services for Datastore](https://cloud.google.com/appengine/docs/standard/python/bundled-services-overview)\ndon't support service perimeters. Protecting the Datastore\nservice with a service perimeter blocks traffic from\nApp Engine legacy bundled services. Legacy bundled services include:\n\n- [Java 8 Datastore with App Engine APIs](https://cloud.google.com/appengine/docs/standard/java/datastore)\n- [Python 2 NDB client library for Datastore](https://cloud.google.com/appengine/docs/standard/python/ndb/creating-entities)\n- [Go 1.11 Datastore with App Engine APIs](https://cloud.google.com/appengine/docs/standard/go111/datastore)\n\nRestricted VIP\n--------------\n\nTo use Firestore with MongoDB compatibility with restricted VIP, you must configure connectivity to\nthe VIP domain used by Firestore with MongoDB compatibility. This domain and its IP addresses are\nused only by the Firestore with MongoDB compatibility service and are VPC Service Controls\ncompliant.\n\nFor instructions, see\n[Configure Private Google Access in Firestore with MongoDB compatibility](/firestore/mongodb-compatibility/docs/configure-private-google-access).\n\nEgress protection on import and export operations\n-------------------------------------------------\n\nFirestore with MongoDB compatibility supports VPC Service Controls but requires additional\nconfiguration to get full egress protection on import and export operations.\nYou must use the Firestore service agent to authorize import and\nexport operations instead of the default App Engine service\naccount. Use the following instructions to view and configure the authorization\naccount for import and export operations."]]
