VPC Service Controls ermöglicht Organisationen, einen Perimeter um Google Cloud Ressourcen zu definieren, um das Risiko einer Daten-Exfiltration zu minimieren. Mit VPC Service Controls erstellen Sie Perimeter zum Schutz von Ressourcen und Daten der Dienste, die Sie explizit angeben.
Gebündelte Cloud Firestore Dienste
Die folgenden APIs sind in VPC Service Controls gebündelt:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, werden auch die Dienste datastore.googleapis.com und firestorekeyvisualizer.googleapis.com eingeschränkt.
Dienst „datastore.googleapis.com“ einschränken
Der Dienst datastore.googleapis.com ist unter dem Dienst firestore.googleapis.com gebündelt. Wenn Sie den Dienst datastore.googleapis.com einschränken möchten, müssen Sie den Dienst firestore.googleapis.com so einschränken:
- Wenn Sie einen Dienstperimeter mit der Google Cloud Console erstellen, fügen Sie Cloud Firestore als eingeschränkten Dienst hinzu.
Wenn Sie einen Dienstperimeter mit dem Google Cloud CLI erstellen, verwenden Sie
firestore.googleapis.comanstelle vondatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Gebündelte Legacy-Dienste für DatastoreApp Engine
App Engine Gebündelte Legacy-Dienste für Datastore unterstützen keine Dienstperimeter. Der Schutz des Datastore Dienstes mit einem Dienstperimeter blockiert den Traffic von App Engine gebündelten Legacy-Diensten. Zu den gebündelten Legacy-Diensten gehören:
- Java 8 Datastore mit App Engine APIs
- Python 2-NDB-Clientbibliothek für Datastore
- Go 1.11 Datastore mit App Engine APIs
Ausgangsschutz bei Import- und Exportvorgängen
Cloud Firestore unterstützt VPC Service Controls, erfordert aber eine zusätzliche Konfiguration, um einen vollständigen Ausgangsschutz bei Import- und Exportvorgängen zu erhalten. Sie müssen den Cloud Firestore Dienstagenten verwenden, um Import- und Exportvorgänge zu autorisieren, anstelle des Standard-App Engine Dienst kontos. Folgen Sie der Anleitung, um das Autorisierungskonto für Import- und Exportvorgänge aufzurufen und zu konfigurieren.