I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alle Google Cloud risorse per mitigare i rischi di esfiltrazione di dati. Con i Controlli di servizio VPC, puoi creare perimetri che proteggono le risorse e i dati dei servizi che specifichi in modo esplicito.
Servizi in bundleCloud Firestore
Le seguenti API sono raggruppate nei Controlli di servizio VPC:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Quando limiti il servizio firestore.googleapis.com in un perimetro, il perimetro limita anche i servizi datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.
Limitare il servizio datastore.googleapis.com
Il servizio datastore.googleapis.com è in bundle con il servizio firestore.googleapis.com. Per limitare il servizio datastore.googleapis.com, devi limitare il servizio firestore.googleapis.com nel seguente modo:
- Quando crei un perimetro di servizio utilizzando la console Google Cloud, aggiungi Cloud Firestore come servizio limitato.
Quando crei un perimetro di servizio utilizzando Google Cloud CLI, utilizza
firestore.googleapis.comanzichédatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine servizi in bundle legacy per Datastore
App Engine I servizi in bundle legacy per Datastore non supportano i perimetri di servizio. La protezione del Datastore servizio con un perimetro di servizio blocca il traffico dai App Engine servizi in bundle legacy. I servizi in bundle legacy includono:
- Java 8 Datastore con le App Engine API
- Libreria client NDB Python 2 per Datastore
- Go 1.11 Datastore con le App Engine API
Protezione in uscita per le operazioni di importazione ed esportazione
Cloud Firestore supporta i Controlli di servizio VPC, ma richiede una configurazione aggiuntiva per ottenere la protezione in uscita completa per le operazioni di importazione ed esportazione. Devi utilizzare l'agente di servizio Cloud Firestore per autorizzare le operazioni di importazione ed esportazione anziché il serviceApp Engine account predefinito. Segui queste istruzioni per visualizzare e configurare l'account di autorizzazione per le operazioni di importazione ed esportazione.