Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Controles del servicio de VPC
Los Controles del servicio de VPC permiten que las organizaciones definan un perímetro alrededor de los recursos deGoogle Cloud para mitigar los riesgos de robo de datos. Con los Controles del servicio de VPC, creas perímetros que protegen los recursos y datos de los servicios que especificas de forma explícita.
Servicios agrupados de Firestore
Las siguientes APIs se incluyen en los Controles del servicio de VPC:
firestore.googleapis.com
datastore.googleapis.com
firestorekeyvisualizer.googleapis.com
Cuando restringes el servicio firestore.googleapis.com a un perímetro, este también restringe los servicios datastore.googleapis.com y firestorekeyvisualizer.googleapis.com.
Restringe el servicio datastore.googleapis.com
El servicio datastore.googleapis.com se incluye en el servicio firestore.googleapis.com. Para restringir el servicio datastore.googleapis.com, debes restringir el servicio firestore.googleapis.com de la siguiente manera:
Cuando crees un perímetro de servicio con la consola de Google Cloud , agrega Firestore como el servicio restringido.
Cuando crees un perímetro de servicio con Google Cloud CLI, usa firestore.googleapis.com en lugar de datastore.googleapis.com.
Servicios agrupados en paquetes heredados de App Engine para Datastore
Los servicios heredados en paquetes de App Engine para Datastore no admiten perímetros de servicio. Proteger el servicio de Datastore con un perímetro de servicio bloquea el tráfico de los servicios heredados en paquetes de App Engine. Los servicios heredados en paquetes incluyen lo siguiente:
Para usar Firestore con compatibilidad con MongoDB con la VIP restringida, debes configurar la conectividad con el dominio de la VIP que usa Firestore con compatibilidad con MongoDB. Este dominio y sus direcciones IP solo se usan en el servicio de Firestore con compatibilidad con MongoDB y cumplen con los Controles del servicio de VPC.
Protección de salida en las operaciones de importación y exportación
Firestore con compatibilidad con MongoDB admite los Controles del servicio de VPC, pero requiere configuración adicional para obtener protección completa de salida en las operaciones de importación y exportación.
Debes usar el agente de servicio de Firestore para autorizar las operaciones de importación y exportación en lugar de la cuenta de servicio predeterminada de App Engine. Sigue estas instrucciones para ver y configurar la cuenta de autorización para las operaciones de importación y exportación.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# VPC Service Controls\n====================\n\n[VPC Service Controls](https://cloud.google.com/vpc-service-controls/) lets organizations define a perimeter around\nGoogle Cloud resources to mitigate data exfiltration risks. With\nVPC Service Controls, you create perimeters that protect the resources and data\nof services that you explicitly specify.\n\nBundled Firestore services\n--------------------------\n\nThe following APIs are bundled together in VPC Service Controls:\n\n- `firestore.googleapis.com`\n- `datastore.googleapis.com`\n- `firestorekeyvisualizer.googleapis.com`\n\nWhen you restrict the `firestore.googleapis.com` service in a perimeter,\nthe perimeter also restricts the `datastore.googleapis.com` and\n`firestorekeyvisualizer.googleapis.com` services.\n\n### Restrict the datastore.googleapis.com service\n\nThe `datastore.googleapis.com` service is bundled under the\n`firestore.googleapis.com` service. To restrict the\n`datastore.googleapis.com`\nservice, you must restrict the `firestore.googleapis.com` service\nas follows:\n\n- When creating a service perimeter using the Google Cloud console, add Firestore as the restricted service.\n- When creating a service perimeter using the Google Cloud CLI, use\n `firestore.googleapis.com` instead of `datastore.googleapis.com`.\n\n --perimeter-restricted-services=firestore.googleapis.com\n\n### App Engine legacy bundled services for Datastore\n\n[App Engine legacy bundled services for Datastore](https://cloud.google.com/appengine/docs/standard/python/bundled-services-overview)\ndon't support service perimeters. Protecting the Datastore\nservice with a service perimeter blocks traffic from\nApp Engine legacy bundled services. Legacy bundled services include:\n\n- [Java 8 Datastore with App Engine APIs](https://cloud.google.com/appengine/docs/standard/java/datastore)\n- [Python 2 NDB client library for Datastore](https://cloud.google.com/appengine/docs/standard/python/ndb/creating-entities)\n- [Go 1.11 Datastore with App Engine APIs](https://cloud.google.com/appengine/docs/standard/go111/datastore)\n\nRestricted VIP\n--------------\n\nTo use Firestore with MongoDB compatibility with restricted VIP, you must configure connectivity to\nthe VIP domain used by Firestore with MongoDB compatibility. This domain and its IP addresses are\nused only by the Firestore with MongoDB compatibility service and are VPC Service Controls\ncompliant.\n\nFor instructions, see\n[Configure Private Google Access in Firestore with MongoDB compatibility](/firestore/mongodb-compatibility/docs/configure-private-google-access).\n\nEgress protection on import and export operations\n-------------------------------------------------\n\nFirestore with MongoDB compatibility supports VPC Service Controls but requires additional\nconfiguration to get full egress protection on import and export operations.\nYou must use the Firestore service agent to authorize import and\nexport operations instead of the default App Engine service\naccount. Use the following instructions to view and configure the authorization\naccount for import and export operations."]]
