Cloud Firestore Enterprise edition in Native mode is now available! Learn more.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC Service Controls

تتيح عناصر التحكّم في خدمة سحابة VPC للمؤسسات تحديد محيط حول Google Cloud موارد لتخفيف مخاطر استخراج البيانات. باستخدام عناصر التحكّم في خدمة سحابة VPC، يمكنك إنشاء محيطات تحمي موارد و بيانات الخدمات التي تحدّدها بشكل صريح.

الخدمات المجمّعة Cloud Firestore

يتم تجميع واجهات برمجة التطبيقات التالية معًا في عناصر التحكّم في خدمة سحابة VPC:

firestore.googleapis.com
datastore.googleapis.com
firestorekeyvisualizer.googleapis.com

عند حظر خدمة firestore.googleapis.com في محيط، يحظر المحيط أيضًا خدمات datastore.googleapis.com وfirestorekeyvisualizer.googleapis.com.

حظر خدمة datastore.googleapis.com

يتم تجميع خدمة datastore.googleapis.com ضمن خدمة firestore.googleapis.com. لحظر خدمة datastore.googleapis.com، عليك حظر خدمة firestore.googleapis.com على النحو التالي:

عند إنشاء محيط خدمة باستخدام Google Cloud Console، أضِف Cloud Firestore كخدمة محظورة.
عند إنشاء محيط خدمة باستخدام Google Cloud CLI، استخدِم firestore.googleapis.com بدلاً من datastore.googleapis.com.
```
--perimeter-restricted-services=firestore.googleapis.com
```

الخدمات المجمّعة القديمة لـ DatastoreApp Engine

App Engine لا تتوافق الخدمات المجمّعة القديمة لـ Datastore مع محيطات الخدمة. يحظر حماية خدمة Datastore باستخدام محيط خدمة الزيارات من App Engine الخدمات المجمّعة القديمة. تشمل الخدمات المجمّعة القديمة ما يلي:

حماية عمليات التصدير والاستيراد من استخراج البيانات

Cloud Firestore يتوافق مع عناصر التحكّم في خدمة سحابة VPC، ولكنّه يتطلّب إعدادًا إضافيًا للحصول على حماية كاملة من استخراج البيانات في عمليات الاستيراد والتصدير. عليك استخدام موظف دعم خدمة Cloud Firestore لتفويض عمليات الاستيراد و التصدير بدلاً من حساب خدمة App Engine التلقائي. اتّبِع التعليمات التالية لعرض حساب التفويض وضبطه لعمليات الاستيراد والتصدير.

Cloud Firestore موظف دعم

يستخدم Cloud Firestore موظف دعم خدمة Cloud Firestore لتفويض عمليات الاستيراد والتصدير بدلاً من استخدام حساب خدمة App Engine. يستخدم موظف دعم الخدمة وحساب الخدمة اصطلاحات التسمية التالية:

Cloud Firestore موظف دعم: service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

استخدم Cloud Firestore سابقًا حساب خدمة App Engine التلقائي بدلاً من موظف دعم خدمة Cloud Firestore. إذا كانت قاعدة بياناتك لا تزال تستخدم حساب خدمة App Engine لاستيراد البيانات أو تصديرها، ننصحك باتّباع التعليمات الواردة في هذا القسم للانتقال إلى استخدام موظف دعم خدمة Cloud Firestore.

حساب خدمة App Engine: PROJECT_ID@appspot.gserviceaccount.com

يُفضَّل استخدام موظف دعم خدمة Cloud Firestore لأنّه خاص بـ Cloud Firestore. يتم استخدام حساب خدمة App Engine من قِبل أكثر من خدمة.

عرض حساب التفويض

يمكنك الاطّلاع على الحساب الذي تستخدمه عمليات الاستيراد والتصدير لتفويض الطلبات من صفحة استيراد/تصدير في Google Cloud Console. يمكنك أيضًا الاطّلاع على ما إذا كانت قاعدة بياناتك تستخدم حاليًا Cloud Firestore موظف دعم الخدمة.

اعرض حساب التفويض بجانب التصنيف عمليات الاستيراد/التصدير التي يتم تشغيلها باسم.

إذا كان مشروعك لا يستخدم موظف دعم خدمة Cloud Firestore، يمكنك الانتقال إلى موظف دعم خدمة Cloud Firestore باستخدام إحدى هاتَين الطريقتَين:

نقل مشروع من خلال التحقّق من أذونات مجموعة Cloud Storage وتعديلها (ننصح بهذه الطريقة).
إضافة قيد سياسة على مستوى المؤسسة يؤثر في جميع المشاريع ضمن المؤسسة.

يُفضَّل استخدام الطريقة الأولى لأنّها تحدّد نطاق التأثير في مشروع واحد.Cloud Firestore لا يُفضَّل استخدام الأسلوب الثاني لأنّها لا تنقل أذونات مجموعة بيانات Cloud Storage الحالية. ومع ذلك، فهي توفّر الامتثال الأمني على مستوى المؤسسة.

النقل من خلال التحقّق من أذونات مجموعة Cloud Storage وتعديلها

تتضمّن عملية النقل خطوتَين:

تعديل أذونات مجموعة Cloud Storage راجِع القسم التالي لمعرفة التفاصيل.
تأكيد النقل إلى موظف دعم خدمة Cloud Firestore

أذونات مجموعة موظف دعم الخدمة

بالنسبة إلى أي عمليات تصدير أو استيراد تستخدم مجموعة Cloud Storage في مشروع آخر، عليك منح موظف دعم خدمة Cloud Firestore أذونات الوصول إلى هذه المجموعة. على سبيل المثال، تحتاج العمليات التي تنقل البيانات إلى مشروع آخر إلى الوصول إلى مجموعة في هذا المشروع الآخر. وإلا، ستفشل هذه العمليات بعد الانتقال إلى موظف دعم خدمة Cloud Firestoreالخدمة.

لا تتطلّب عمليات الاستيراد والتصدير التي تبقى ضمن المشروع نفسه إجراء تغييرات على الأذونات. يمكن لموظف دعم خدمة Cloud Firestore الوصول إلى المجموعات في المشروع نفسه تلقائيًا.

عدِّل أذونات مجموعات Cloud Storage من مشاريع أخرى لمنح إذن الوصول إلى service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com موظف دعم الخدمة. امنح موظف دعم الخدمة دور Firestore Service Agent.

يمنح دور Firestore Service Agent أذونات القراءة والكتابة لمجموعة Cloud Storage. إذا كنت بحاجة إلى منح أذونات القراءة فقط أو الكتابة فقط ، استخدِم دورًا مخصّصًا.

تساعدك عملية النقل الموضّحة في القسم التالي في تحديد Cloud Storage مجموعات التي قد تتطلّب تعديلات على الأذونات.

نقل مشروع إلى موظف دعم خدمة Firestore

أكمِل الخطوات التالية للانتقال من حساب خدمة App Engine إلى موظف دعم خدمة Cloud Firestore بعد إكمال عملية النقل، لا يمكن التراجع عنها.

إذا لم يتم بعد نقل مشروعك إلى موظف دعم خدمة Cloud Firestore، سيظهر لك بانر يصف عملية النقل وزر التحقّق من حالة المجموعة. تساعدك الخطوة التالية في تحديد أخطاء الأذونات المحتملة وحلّها.

انقر على التحقّق من حالة المجموعة.

تظهر قائمة تتضمّن خيار إكمال عملية النقل وقائمة بمجموعات Cloud Storage buckets. قد يستغرق تحميل القائمة بضع دقائق.

تشمل هذه القائمة المجموعات التي تم استخدامها مؤخرًا في عمليات الاستيراد والتصدير، ولكنّها لا تمنح حاليًا أذونات القراءة و الكتابة لموظف دعم خدمة Cloud Firestore.
دوِّن اسم المرجع لموظف دعم خدمة مشروعك Cloud Firestore. يظهر اسم موظف دعم الخدمة ضمن التصنيف موظف دعم الخدمة الذي سيتم منحه إذن الوصول.
بالنسبة إلى أي مجموعة في القائمة ستستخدمها في عمليات الاستيراد أو التصدير المستقبلية، أكمِل الخطوات التالية:
1. في صف الجدول الخاص بهذه المجموعة، انقر على إصلاح. يؤدي ذلك إلى فتح صفحة أذونات هذه المجموعة في علامة تبويب جديدة.
2. انقر على إضافة.
3. في حقل المرجعون الجدد ، أدخِل اسم موظف دعم خدمة Cloud Firestore الخاص بك.
4. في حقل اختيار دور ، اختَر موظفو دعم الخدمة > موظف دعم خدمة Firestore.
5. انقر على حفظ.
6. عُد إلى علامة التبويب التي تتضمّن صفحة "Cloud Firestore استيراد/تصدير".
7. كرِّر هذه الخطوات للمجموعات الأخرى في القائمة. احرص على عرض جميع صفحات القائمة.
انقر على الانتقال إلى موظف دعم خدمة Firestore. إذا كان لا يزال لديك مجموعات لم يتم التحقّق من أذوناتها بنجاح، عليك تأكيد عملية النقل من خلال النقر على نقل البيانات.

يظهر لك تنبيه عند اكتمال عملية النقل. لا يمكن التراجع عن عملية النقل.

عرض حالة النقل

للتحقّق من حالة نقل مشروعك:

ابحث عن المرجع بجانب التصنيف عمليات الاستيراد/التصدير التي يتم تشغيلها باسم.

إذا كان المرجع هو service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com، يعني ذلك أنّه تم نقل مشروعك إلى Cloud Firestore موظف دعم الخدمة. لا يمكن التراجع عن عملية النقل.

إذا لم يتم نقل المشروع، سيظهر بانر في أعلى الصفحة يتضمّن زر التحقّق من حالة المجموعة. راجِع مقالة الانتقال إلى موظف دعم خدمة Firestore لإكمال عملية النقل.

إضافة قيد سياسة على مستوى المؤسسة

اضبط الشرط التالي في سياسة مؤسستك:

طلب موظف دعم خدمة Firestore للاستيراد/التصدير (firestore.requireP4SAforImportExport)

يتطلّب هذا القيد أن تستخدم عمليات الاستيراد والتصدير وكيل خدمة Cloud Firestore لتفويض الطلبات. لضبط هذا القيد، راجِع مقالة إنشاء سياسات المؤسسة وإدارتها .

لا يؤدي تطبيق قيد سياسة المؤسسة هذا إلى منح أذونات مجموعة المناسبة لـ Cloud Storage Cloud Firestore تلقائيًا.

إذا كان القيد يؤدي إلى حدوث أخطاء في الأذونات لأي عمليات استيراد أو تصدير، يمكنك إيقافه للرجوع إلى استخدام حساب الخدمة التلقائي. بعد التحقّق من أذونات مجموعة Cloud Storage وتعديلها، يمكنك تفعيل القيد مرة أخرى.Cloud Storage