VPC Service Controls

VPC Service Controls を使用すると、組織はGoogle Cloud リソースの周囲に境界を定義して、データ漏洩のリスクを軽減できます。VPC Service Controls により、明示的に指定するサービスのリソースとデータを保護する境界を作成します。

バンドルされた Firestore サービス

次の API は VPC Service Controls にバンドルされています。

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

境界で firestore.googleapis.com サービスを制限すると、境界によって datastore.googleapis.com サービスと firestorekeyvisualizer.googleapis.com サービスも制限されます。

datastore.googleapis.com サービスを制限する

datastore.googleapis.com サービスは、firestore.googleapis.com サービスの下にバンドルされています。datastore.googleapis.com サービスを制限するには、次のように firestore.googleapis.com サービスを制限する必要があります。

• Google Cloud コンソールを使用してサービス境界を作成するときに、Firestore を制限付きサービスとして追加します。

• Google Cloud CLI を使用してサービス境界を作成する場合は、datastore.googleapis.com ではなく firestore.googleapis.com を使用します。

  --perimeter-restricted-services=firestore.googleapis.com
  

Datastore 用の App Engine の以前のバンドル サービス

Datastore 用の App Engine レガシー バンドル サービスはサービス境界をサポートしていません。Datastore サービスをサービス境界で保護すると、App Engine のレガシー バンドル サービスからのトラフィックがブロックされます。レガシー バンドル サービスには以下が含まれます。

• App Engine API を使用した Java 8 Datastore
• Datastore 用 Python 2 NDB クライアント ライブラリ
• App Engine API を使用した Go 1.11 Datastore

制限付き VIP

制限付き VIP で MongoDB 互換の Firestore を使用するには、MongoDB 互換の Firestore で使用される VIP ドメインへの接続を構成する必要があります。このドメインとその IP アドレスは、MongoDB 互換性サービスを備えた Firestore でのみ使用され、VPC Service Controls に準拠しています。

手順については、MongoDB 互換の Firestore で限定公開の Google アクセスを構成するをご覧ください。

インポート オペレーションおよびエクスポート オペレーションの下り（外向き）の保護

MongoDB 互換の Firestore は VPC Service Controls をサポートしていますが、インポートとエクスポートのオペレーションで完全な下り（外向き）保護を取得するには追加の構成が必要です。デフォルトの App Engine サービス アカウントを使用する代わりに、Firestore サービス エージェントを使用してインポートとエクスポートのオペレーションを承認する必要があります。次の手順に沿って、インポート オペレーションとエクスポート オペレーションの認可アカウントを表示して構成します。