בעזרת VPC Service Controls ארגונים יכולים להגדיר מתחם היקפי מסביב למשאבי Google Cloud כדי לצמצם את הסיכונים לזליגת נתונים. בעזרת VPC Service Controls אפשר ליצור גבולות גזרה שמגנים על המשאבים ועל הנתונים של שירותים שאתם מגדירים באופן מפורש.
חבילות של שירותי Cloud Firestore
ממשקי ה-API הבאים כלולים ב-VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
כשמגבילים את השירות firestore.googleapis.com בגבולות גזרה, השירותים datastore.googleapis.com ו-firestorekeyvisualizer.googleapis.com מוגבלים גם הם.
הגבלת הגישה לשירות datastore.googleapis.com
השירות datastore.googleapis.com כלול בחבילה של השירות firestore.googleapis.com. כדי להגביל את השירות datastore.googleapis.com, צריך להגביל את השירות firestore.googleapis.com באופן הבא:
- כשיוצרים היקף של בקרת גישה לשירותים באמצעות מסוף Google Cloud, מוסיפים את Cloud Firestore כשירות המוגבל.
כשיוצרים גבולות גזרה לשירות באמצעות Google Cloud CLI, צריך להשתמש ב-
firestore.googleapis.comבמקום ב-datastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine חבילות שירותים מדור קודם ל-Datastore
שירותים בחבילות מדור קודם של App EngineDatastore לא תומכים בהיקפי שירות. הגנה על השירות Datastore באמצעות גבולות גזרה לשירות חוסמת תעבורה משירותים מהדור הקודם של App Engine. שירותים מדור קודם שנכללים בחבילה:
- Java 8 Datastore עם ממשקי App Engine API
- ספריית לקוח Python 2 NDB ל-Datastore
- Go 1.11 Datastore עם App Engine ממשקי API
הגנה על נתונים יוצאים בפעולות ייבוא וייצוא
Cloud Firestore עם תאימות ל-MongoDB תומך ב-VPC Service Controls, אבל נדרש בו תהליך הגדרה נוסף כדי לקבל הגנה מלאה על תעבורת נתונים יוצאת בפעולות ייבוא וייצוא. כדי לאשר פעולות ייבוא וייצוא, צריך להשתמש בסוכן השירות Cloud Firestore במקום בחשבון השירות שמוגדר כברירת מחדל App Engine. כדי להציג ולהגדיר את חשבון ההרשאה לפעולות ייבוא וייצוא, פועלים לפי ההוראות הבאות.