VPC Service Controls

تتيح عناصر التحكّم في خدمة سحابة VPC للمؤسسات تحديد محيط حول Google Cloud موارد لتخفيف مخاطر استخراج البيانات. باستخدام عناصر التحكّم في خدمة سحابة VPC، يمكنك إنشاء محيطات تحمي موارد و بيانات الخدمات التي تحدّدها بشكل صريح.

خدمات مجمّعةCloud Firestore

يتم تجميع واجهات برمجة التطبيقات التالية معًا في عناصر التحكّم في خدمة سحابة VPC:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

عند حظر خدمة firestore.googleapis.com في محيط، يحظر المحيط أيضًا خدمات datastore.googleapis.com وfirestorekeyvisualizer.googleapis.com.

حظر خدمة datastore.googleapis.com

يتم تجميع خدمة datastore.googleapis.com ضمن خدمة firestore.googleapis.com. لحظر خدمة datastore.googleapis.com، عليك حظر خدمة firestore.googleapis.com على النحو التالي:

• عند إنشاء محيط خدمة باستخدام Google Cloud Console، أضِف Cloud Firestore كخدمة محظورة.

• عند إنشاء محيط خدمة باستخدام Google Cloud CLI، استخدِم firestore.googleapis.com بدلاً من datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com
  

خدمات App Engine المجمّعة القديمة لـ Datastore

App Engine خدمات مجمّعة قديمة لـ Datastore لا تتوافق مع محيطات الخدمة. يحظر حماية Datastore الخدمة باستخدام محيط خدمة الزيارات من App Engine الخدمات المجمّعة القديمة. تشمل الخدمات المجمّعة القديمة ما يلي:

• Java 8 Datastore مع App Engine واجهات برمجة التطبيقات
• مكتبة برامج Python 2 NDB لـ Datastore
• Go 1.11 Datastore مع App Engine واجهات برمجة التطبيقات

حماية النقل الخارجي في عمليات الاستيراد والتصدير

Cloud Firestore يتوافق مع عناصر التحكّم في خدمة سحابة VPC، ولكنّه يتطلّب إعدادات إضافية للحصول على حماية كاملة للنقل الخارجي في عمليات الاستيراد والتصدير. عليك استخدام موظّف دعم خدمة Cloud Firestore لتفويض عمليات الاستيراد و التصدير بدلاً من حساب خدمة App Engine التلقائي. اتّبِع التعليمات التالية لعرض حساب التفويض وضبطه لعمليات الاستيراد والتصدير.

Cloud Firestore موظّف دعم

يستخدم Cloud Firestore موظّف دعم خدمة Cloud Firestore لتفويض عمليات الاستيراد والتصدير بدلاً من استخدام حساب خدمة App Engine. يستخدم موظّف دعم الخدمة وحساب الخدمة اصطلاحات التسمية التالية:

Cloud Firestore موظّف دعم

service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

Cloud Firestore استخدم سابقًا حساب الخدمة الافتراضي App Engine بدلاً من موظّف دعم خدمة Cloud Firestore. إذا كانت قاعدة بياناتك لا تزال تستخدم حساب خدمة App Engine لاستيراد البيانات أو تصديرها، ننصحك باتّباع التعليمات الواردة في هذا القسم للانتقال إلى استخدام موظّف دعم خدمة Cloud Firestore.

حساب خدمة App Engine

PROJECT_ID@appspot.gserviceaccount.com

يُفضَّل استخدام موظّف دعم خدمة Cloud Firestore لأنّه خاص بـ Cloud Firestore. يتم استخدام حساب خدمة App Engine من قِبل أكثر من خدمة.

عرض حساب التفويض

يمكنك الاطّلاع على الحساب الذي تستخدمه عمليات الاستيراد والتصدير لتفويض الطلبات من صفحة استيراد/تصدير في Google Cloud Console. يمكنك أيضًا الاطّلاع على ما إذا كانت قاعدة بياناتك تستخدم حاليًا Cloud Firestore موظّف دعم الخدمة.

1. اعرض حساب التفويض بجانب التصنيف عمليات استيراد/تصدير البيانات التي يتم تنفيذها باسم.

إذا كان مشروعك لا يستخدم موظّف دعم خدمة Cloud Firestore، يمكنك الانتقال إلى موظّف دعم خدمة Cloud Firestore باستخدام إحدى هاتَين الطريقتَين:

• نقل مشروع من خلال التحقّق من أذونات حاوية وتعديلها Cloud Storage (ننصح بهذه الطريقة).
• إضافة قيد على مستوى المؤسسة يؤثر في جميع المشاريع ضمن المؤسسة.

يُفضَّل استخدام الطريقة الأولى لأنّها تحدّد نطاق التأثير في مشروع واحد.Cloud Firestore لا يُفضَّل استخدام الأسلوب الثاني لأنّها لا تنقل أذونات حاوية Cloud Storage الحالية. ومع ذلك، فإنّها توفّر الامتثال الأمني على مستوى المؤسسة.

نقل البيانات من خلال التحقّق من أذونات حاوية Cloud Storage وتعديلها

تتضمّن عملية نقل البيانات خطوتَين:

1. تعديل أذونات حاوية Cloud Storage يُرجى الاطّلاع على القسم التالي لمعرفة التفاصيل.
2. تأكيد عملية نقل البيانات إلى موظّف دعم خدمة Cloud Firestore

أذونات حاوية موظّف دعم الخدمة

بالنسبة إلى أي عمليات تصدير أو استيراد تستخدم حاوية Cloud Storage في مشروع آخر، عليك منح موظّف دعم خدمة Cloud Firestore أذونات الوصول إلى هذه الحاوية. على سبيل المثال، تحتاج العمليات التي تنقل البيانات إلى مشروع آخر إلى الوصول إلى حاوية في هذا المشروع الآخر. وإلا، ستفشل هذه العمليات بعد الانتقال إلى Cloud Firestore موظّف دعم خدمة.

لا تتطلّب عمليات الاستيراد والتصدير التي تبقى ضمن المشروع نفسه إجراء تغييرات على الأذونات. يمكن لموظّف دعم خدمة Cloud Firestore الوصول إلى الحاويات في المشروع نفسه تلقائيًا.

عدِّل أذونات حاويات Cloud Storage من مشاريع أخرى لمنح إذن الوصول إلى service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com موظّف دعم الخدمة. امنح موظّف دعم الخدمة دور Firestore Service Agent.

يمنح دور Firestore Service Agent أذونات القراءة والكتابة لحاوية Cloud Storage. إذا كنت بحاجة إلى منح أذونات القراءة فقط أو الكتابة فقط ، استخدِم دورًا مخصّصًا.

تساعدك عملية نقل البيانات الموضّحة في القسم التالي في تحديد Cloud Storage الحاويات التي قد تتطلّب تعديل الأذونات.

نقل مشروع إلى موظّف دعم خدمة Firestore

أكمِل الخطوات التالية للانتقال من حساب خدمة App Engine إلى موظّف دعم خدمة Cloud Firestore. بعد إكمال عملية النقل، لا يمكن التراجع عنها.

1. إذا لم يتم بعد نقل مشروعك إلى موظّف دعم خدمة Cloud Firestore، سيظهر لك بانر يصف عملية النقل وزر التحقّق من حالة الحاوية. تساعدك الخطوة التالية في تحديد أخطاء الأذونات المحتملة وحلّها.

   انقر على التحقّق من حالة الحاوية.

   تظهر قائمة تتضمّن خيار إكمال عملية النقل وقائمة بحاويات Cloud Storage. قد يستغرق تحميل القائمة بضع دقائق.

   تشمل هذه القائمة الحاويات التي تم استخدامها مؤخرًا في عمليات الاستيراد والتصدير، ولكنّها لا تمنح حاليًا أذونات القراءة و الكتابة لموظّف دعم خدمة Cloud Firestore

2. دوِّن اسم المرجع لموظّف دعم خدمة Cloud Firestore في مشروعك. يظهر اسم موظّف دعم الخدمة ضمن التصنيف موظّف دعم الخدمة الذي سيتم منحه إذن الوصول.

3. بالنسبة إلى أي حاوية في القائمة ستستخدمها في عمليات الاستيراد أو التصدير المستقبلية، أكمِل الخطوات التالية:

   1. في صف الجدول لهذه الحاوية، انقر على إصلاح. يؤدي ذلك إلى فتح صفحة أذونات هذه الحاوية في علامة تبويب جديدة.

   2. انقر على إضافة.
   3. في حقل المرجعون الجدد ، أدخِل اسم موظّف دعم خدمة Cloud Firestore الخاص بك.
   4. في حقل اختيار دور ، اختَر موظّفو دعم الخدمة > موظّف دعم خدمة Firestore.
   5. انقر على حفظ.
   6. عُد إلى علامة التبويب التي تتضمّن صفحة "Cloud Firestore استيراد/تصدير".
   7. كرِّر هذه الخطوات للحاويات الأخرى في القائمة. احرص على عرض جميع صفحات القائمة.

4. انقر على نقل البيانات إلى موظّف دعم خدمة Firestore. إذا كان لا يزال لديك حاويات لم يتم التحقّق من أذوناتها بنجاح، عليك تأكيد عملية النقل من خلال النقر على نقل البيانات.

   يظهر لك تنبيه عند اكتمال عملية نقل البيانات. لا يمكن التراجع عن عملية نقل البيانات.

عرض حالة نقل البيانات

للتحقّق من حالة نقل بيانات مشروعك:

1. ابحث عن المرجع بجانب التصنيف عمليات استيراد/تصدير البيانات التي يتم تنفيذها باسم.

   إذا كان المرجع هو service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com، يعني ذلك أنّه تم نقل مشروعك إلى Cloud Firestore موظّف دعم الخدمة. لا يمكن التراجع عن عملية النقل.

   إذا لم يتم نقل المشروع، سيظهر بانر في أعلى الصفحة يتضمّن زر التحقّق من حالة الحاوية. يُرجى الاطّلاع على مقالة نقل البيانات إلى موظّف دعم خدمة Firestore لإكمال عملية النقل.

إضافة قيد على مستوى المؤسسة

• اضبط الشرط التالي في سياسة مؤسستك:

  طلب موظّف دعم خدمة Firestore للاستيراد/التصدير (firestore.requireP4SAforImportExport)

  يتطلّب هذا القيد أن تستخدم عمليات الاستيراد والتصدير وكيل خدمة Cloud Firestore لتفويض الطلبات. لضبط هذا القيد، يُرجى الاطّلاع على مقالة إنشاء سياسات المؤسسة وإدارتها .

لا يؤدي تطبيق قيد سياسة المؤسسة هذا إلى منح أذونات حاوية المناسبة لموظّف دعم خدمة Cloud Firestore تلقائيًا.Cloud Storage

إذا كان القيد يؤدي إلى حدوث أخطاء في الأذونات لأي عمليات استيراد أو تصدير، يمكنك إيقافه للرجوع إلى استخدام حساب الخدمة التلقائي. بعد التحقّق من أذونات حزمة Cloud Storageوتعديلها، يمكنك تفعيل القيد مرة أخرى.