VPC Service Controls

VPC Service Controls (Kiểm soát dịch vụ VPC) cho phép các tổ chức xác định phạm vi xung quanh Google Cloud tài nguyên để giảm thiểu rủi ro đánh cắp dữ liệu. Với VPC Service Controls, bạn có thể tạo các phạm vi bảo vệ tài nguyên và dữ liệu của các dịch vụ mà bạn chỉ định rõ ràng.

Các dịch vụ được gói chung Cloud Firestore

Các API sau đây được gói chung trong VPC Service Controls:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

Khi bạn hạn chế dịch vụ firestore.googleapis.com trong một phạm vi, phạm vi đó cũng sẽ hạn chế các dịch vụ datastore.googleapis.comfirestorekeyvisualizer.googleapis.com.

Hạn chế dịch vụ datastore.googleapis.com

Dịch vụ datastore.googleapis.com được gói chung trong dịch vụ firestore.googleapis.com. Để hạn chế dịch vụ datastore.googleapis.com, bạn phải hạn chế dịch vụ firestore.googleapis.com như sau:

  • Khi tạo phạm vi dịch vụ bằng bảng điều khiển Cloud, hãy thêm Cloud Firestore làm dịch vụ bị hạn chế.

  • Khi tạo phạm vi dịch vụ bằng Google Cloud CLI, hãy sử dụng firestore.googleapis.com thay vì datastore.googleapis.com.

    --perimeter-restricted-services=firestore.googleapis.com

Các dịch vụ được gói chung cũ cho DatastoreApp Engine

App Engine Các dịch vụ được gói chung cũ cho Datastore không hỗ trợ phạm vi dịch vụ. Việc bảo vệ Datastore dịch vụ bằng phạm vi dịch vụ sẽ chặn lưu lượng truy cập từ App Engine các dịch vụ được gói chung cũ. Các dịch vụ được gói chung cũ bao gồm:

Bảo vệ lưu lượng truy cập ra ngoài trong các thao tác nhập và xuất

Cloud Firestore hỗ trợ VPC Service Controls nhưng yêu cầu bạn phải định cấu hình thêm để được bảo vệ đầy đủ đối với lưu lượng truy cập ra ngoài trong các thao tác nhập và xuất. Bạn phải sử dụng tác nhân dịch vụ Cloud Firestore để uỷ quyền cho các thao tác nhập và xuất thay vì tài khoản dịch vụ App Engine mặc định. Hãy làm theo hướng dẫn sau để xem và định cấu hình tài khoản uỷ quyền cho các thao tác nhập và xuất.