VPC Service Controls permet aux organisations de définir un périmètre autour des Google Cloud ressources afin de limiter les risques d'exfiltration de données. Avec VPC Service Controls, vous créez des périmètres qui protègent les ressources et les données des services que vous spécifiez explicitement.
Services groupésCloud Firestore
Les API suivantes sont regroupées dans VPC Service Controls :
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Lorsque vous limitez le service firestore.googleapis.com dans un périmètre, le périmètre s'applique également aux services datastore.googleapis.com et firestorekeyvisualizer.googleapis.com.
Limiter le service datastore.googleapis.com
Le service datastore.googleapis.com est regroupé sous le service firestore.googleapis.com. Pour limiter le service datastore.googleapis.com, vous devez limiter le service firestore.googleapis.com comme suit :
- Lorsque vous créez un périmètre de service à l'aide de la console Google Cloud, ajoutez Cloud Firestore en tant que service limité.
Lorsque vous créez un périmètre de service à l'aide de Google Cloud CLI, utilisez
firestore.googleapis.comau lieu dedatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine anciens services groupés pour Datastore
App Engine Les anciens services groupés pour Datastore ne sont pas compatibles avec les périmètres de service. La protection du Datastore service avec un périmètre de service bloque le trafic provenant des App Engine anciens services groupés. Les anciens services groupés comprennent :
- Java 8 Datastore avec les App Engine API
- Bibliothèque cliente NDB Python 2 pour Datastore
- Go 1.11 Datastore avec les App Engine API
Protection du trafic sortant lors des opérations d'importation et d'exportation
Cloud Firestore est compatible avec VPC Service Controls, mais nécessite une configuration supplémentaire pour bénéficier d'une protection complète du trafic sortant lors des opérations d'importation et d'exportation. Vous devez utiliser l'agent de service Cloud Firestore pour autoriser les opérations d'importation et d'exportation au lieu du compte de service App Engine par défaut. Suivez les instructions ci-dessous pour afficher et configurer le compte d'autorisation pour les opérations d'importation et d'exportation.