בעזרת VPC Service Controls ארגונים יכולים להגדיר מתחם היקפי מסביב למשאבי Google Cloud כדי לצמצם את הסיכונים לזליגת נתונים. בעזרת VPC Service Controls אפשר ליצור גבולות גזרה שמגנים על המשאבים ועל הנתונים של שירותים שאתם מגדירים באופן מפורש.
חבילות של שירותי Cloud Firestore
ממשקי ה-API הבאים כלולים ב-VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
כשמגבילים את השירות firestore.googleapis.com בגבול גזרה, הגבול מגביל גם את השירותים datastore.googleapis.com ו-firestorekeyvisualizer.googleapis.com.
הגבלת הגישה לשירות datastore.googleapis.com
שירות datastore.googleapis.com כלול בחבילה של שירות firestore.googleapis.com. כדי להגביל את השירות datastore.googleapis.com, צריך להגביל את השירות firestore.googleapis.com באופן הבא:
- כשיוצרים היקף של בקרת גישה לשירותים באמצעות מסוף Google Cloud, מוסיפים את Cloud Firestore בתור השירות המוגבל.
כשיוצרים גבולות גזרה לשירות באמצעות Google Cloud CLI, צריך להשתמש ב-
firestore.googleapis.comבמקום ב-datastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine חבילות שירותים מדור קודם ל-Datastore
חבילות שירותי תמיכה מדור קודם של App EngineDatastore לא תומכות במתחמי אבטחה. הגנה על השירות Datastore באמצעות גבולות גזרה לשירות חוסמת תעבורה משירותים מהדור הקודם של App Engine. שירותים מדור קודם שנכללים בחבילה:
- Java 8 Datastore עם ממשקי App Engine API
- ספריית הלקוח Python 2 NDB ל-Datastore
- Go 1.11 Datastore עם ממשקי App Engine API
הגנה על נתונים יוצאים בפעולות ייבוא וייצוא
Cloud Firestore עם תאימות ל-MongoDB תומך ב-VPC Service Controls, אבל נדרש בו תהליך הגדרה נוסף כדי לקבל הגנה מלאה על יציאה (egress) בפעולות ייבוא וייצוא. כדי לאשר פעולות ייבוא וייצוא, צריך להשתמש בסוכן השירות Cloud Firestore במקום בחשבון השירות שמוגדר כברירת מחדל App Engine. כדי להציג ולהגדיר את חשבון ההרשאה לפעולות ייבוא וייצוא, פועלים לפי ההוראות הבאות.