Mit VPC Service Controls können Organisationen einen Perimeter für Google Cloud-Ressourcen definieren, um das Risiko einer Daten-Exfiltration zu minimieren. Mit VPC Service Controls erstellen Sie Perimeter zum Schutz von Ressourcen und Daten der Dienste, die Sie explizit angeben.
Gebündelte Cloud Firestore-Dienste
Die folgenden APIs sind in VPC Service Controls gebündelt:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter auch die Dienste datastore.googleapis.com und firestorekeyvisualizer.googleapis.com.
Dienst „datastore.googleapis.com“ einschränken
Der Dienst datastore.googleapis.com ist im Dienst firestore.googleapis.com enthalten. Wenn Sie den Dienst datastore.googleapis.com einschränken möchten, müssen Sie den Dienst firestore.googleapis.com so einschränken:
- Wenn Sie einen Dienstperimeter mit der Google Cloud Console erstellen, fügen Sie Cloud Firestore als eingeschränkten Dienst hinzu.
Wenn Sie einen Dienstperimeter mit Google Cloud CLI erstellen, verwenden Sie
firestore.googleapis.comanstelle vondatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine Gebündelte Legacy-Dienste für Datastore
Die gebündelten Legacy-Dienste von App Engine für Datastore unterstützen keine Dienstperimeter. Der Schutz des Datastore-Dienstes mit einem Dienstperimeter blockiert den Traffic von gebündelten Legacy-Diensten von App Engine. Zu den gebündelten Legacy-Diensten gehören:
- Java 8 Datastore mit App Engine-APIs
- Python 2-NDB-Clientbibliothek für Datastore
- Go 1.11 Datastore mit App Engine APIs
Schutz für ausgehenden Traffic bei Import- und Exportvorgängen
Cloud Firestore mit MongoDB-Kompatibilität unterstützt VPC Service Controls, erfordert jedoch eine zusätzliche Konfiguration, um vollständigen Schutz vor ausgehendem Traffic bei Import- und Exportvorgängen zu erhalten. Sie müssen den Cloud Firestore-Dienst-Agent verwenden, um Import- und Exportvorgänge zu autorisieren, anstatt des standardmäßigen App Engine-Dienstkontos. Folgen Sie der Anleitung unten, um das Autorisierungskonto für Import- und Exportvorgänge aufzurufen und zu konfigurieren.