Ustawienia usługi VPC

Ustawienia usługi VPC umożliwiają organizacjom wyznaczenie granicy wokół Google Cloud zasobów w celu ograniczenia ryzyka wydobycia danych. Za pomocą ustawień usługi VPC możesz tworzyć granice chroniące zasoby i dane usług, które bezpośrednio wskażesz.

Usługi Cloud Firestore w pakiecie

W ustawieniach usługi VPC są dostępne te interfejsy API:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

Jeśli ograniczysz usługę firestore.googleapis.com w obrębie granicy, granica ta będzie też ograniczać usługi datastore.googleapis.com i firestorekeyvisualizer.googleapis.com.

Ograniczanie usługi datastore.googleapis.com

Usługa datastore.googleapis.com jest powiązana z usługą firestore.googleapis.com. Aby ograniczyć dostęp do usługi datastore.googleapis.com, musisz ograniczyć dostęp do usługi firestore.googleapis.com w ten sposób:

• Podczas tworzenia granicy usług za pomocą konsoli Google Cloud dodaj Cloud Firestore jako usługę z ograniczeniami.

• Podczas tworzenia granicy usług za pomocą narzędzia Google Cloud CLI używaj tagu firestore.googleapis.com zamiast datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com
  

App Engine starszych pakietów usług w przypadku Datastore

App Engine starsze pakiety usług Datastore nie obsługują obwodów usługi. Ochrona usługi za pomocą granicy usług blokuje ruch z Datastorestarszych pakietów usług.App Engine Starsze pakiety usług obejmują:

• Java 8 Datastore z App Engine interfejsami API
• Biblioteka klienta NDB w Pythonie 2 dla Datastore
• Go 1.11 Datastore z App Engine interfejsami API

Ochrona ruchu wychodzącego w operacjach importu i eksportu

Cloud Firestore obsługuje ustawienia usługi VPC, ale wymaga dodatkowej konfiguracji, aby uzyskać pełną ochronę ruchu wychodzącego podczas operacji importowania i eksportowania. Do autoryzowania operacji importu i eksportu musisz używać agenta usługi Cloud Firestore zamiast domyślnego konta usługi App Engine. Aby wyświetlić i skonfigurować konto autoryzacji na potrzeby operacji importu i eksportu, wykonaj te czynności.

Cloud Firestore agent usługi

Cloud Firestore używa agenta usługi Cloud Firestore do autoryzowania operacji importu i eksportu zamiast konta usługi App Engine. Agent usługi i konto usługi używają tych konwencji nazewnictwa:

Cloud Firestore agent usługi

service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

Cloud Firestore wcześniej używał domyślnego konta usługi App Engine zamiast agenta usługi Cloud Firestore. Jeśli Twoja baza danych nadal używa konta usługi App Engine do importowania lub eksportowania danych, zalecamy wykonanie instrukcji w tej sekcji, aby przejść na korzystanie z agenta usługi Cloud Firestore.

App Engine konto usługi

PROJECT_ID@appspot.gserviceaccount.com

Agent usługi Cloud Firestore jest preferowany, ponieważ jest przeznaczony specjalnie dla Cloud Firestore. Konto usługi App Engine jest udostępniane przez więcej niż jedną usługę.

.

Wyświetlanie konta autoryzacji

Na stronie Import/eksport w konsoli Google Cloud możesz sprawdzić, którego konta używają operacje importowania i eksportowania do autoryzowania żądań. Możesz też sprawdzić, czy Twoja baza danych korzysta już z agenta usługi Cloud Firestore.

1. Wyświetl konto autoryzacji obok etykiety Zadania importu/eksportu są uruchamiane jako.

Jeśli Twój projekt nie korzysta z agenta usługi Cloud Firestore, możesz przejść na agenta usługi Cloud Firestore, korzystając z jednej z tych metod:

• Migracja projektu przez sprawdzenie i zaktualizowanie Cloud Storage uprawnień do zasobnika (zalecane)
• Dodaj ograniczenie wynikające z zasady obowiązującej w całej organizacji, które będzie mieć wpływ na wszystkie projekty w organizacji.

Pierwsza z tych technik jest preferowana, ponieważ ogranicza zakres efektu do jednego projektu Cloud Firestore. Druga metoda nie jest zalecana, ponieważ nie przenosi istniejących uprawnień zasobnika Cloud Storage. Zapewnia jednak zgodność z wymaganiami dotyczącymi bezpieczeństwa na poziomie organizacji.

Migracja przez sprawdzenie i aktualizację Cloud Storage uprawnień do zasobnika

Proces migracji składa się z 2 etapów:

1. Zaktualizuj uprawnienia zasobnika Cloud Storage. Więcej informacji znajdziesz w następnej sekcji.
2. Potwierdź migrację do Cloud Firestore agenta usługi.

Uprawnienia agenta usługi do zasobnika

W przypadku wszystkich operacji eksportu lub importu, które korzystają z zasobnika Cloud Storagew innym projekcie, musisz przyznać Cloud Firestore agentowi usługi uprawnienia do tego zasobnika. Na przykład operacje przenoszące dane do innego projektu muszą mieć dostęp do zasobnika w tym projekcie. W przeciwnym razie po migracji do agenta usługi Cloud Firestore te operacje nie powiodą się.

Procesy importowania i eksportowania w ramach tego samego projektu nie wymagają zmian uprawnień. Agent usługi Cloud Firestore ma domyślnie dostęp do zasobników w tym samym projekcie.

Zaktualizuj uprawnienia do zasobników Cloud Storage z innych projektów, aby przyznać dostęp agentowi usługi service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com. Przypisz agentowi usługi rolę Firestore Service Agent.

Rola Firestore Service Agent przyznaje uprawnienia do odczytu i zapisu w zasobniku Cloud Storage. Jeśli chcesz przyznać tylko uprawnienia do odczytu lub tylko uprawnienia do zapisu, użyj roli niestandardowej.

Proces migracji opisany w sekcji poniżej pomoże Ci zidentyfikować Cloud Storage zasobniki, które mogą wymagać aktualizacji uprawnień.

Przenoszenie projektu do agenta usługi Firestore

Aby przeprowadzić migrację z konta usługi App Engine na agenta usługi Cloud Firestore, wykonaj te czynności: Po zakończeniu migracji nie można jej cofnąć.

1. Jeśli Twój projekt nie został jeszcze przeniesiony na konto usługi Cloud Firestore, zobaczysz baner z opisem migracji i przycisk Sprawdź stan zasobnika. Następny krok pomoże Ci wykryć i naprawić potencjalne błędy uprawnień.

   Kliknij Sprawdź stan zasobnika.

   Pojawi się menu z opcją dokończenia migracji i listą Cloud Storage koszyków. Załadowanie listy może potrwać kilka minut.

   Ta lista zawiera zasobniki, które były niedawno używane w operacjach importu i eksportu, ale obecnie nie przyznają agentowi usługi Cloud Firestore uprawnień do odczytu i zapisu.

2. Zanotuj nazwę podmiotu zabezpieczeń agenta usługi Cloud Firestore w projekcie. Nazwa agenta usługi pojawi się pod etykietą Agent usługi, któremu chcesz przyznać dostęp.

3. W przypadku każdego zasobnika na liście, którego będziesz używać w przyszłości do operacji importu lub eksportu, wykonaj te czynności:

   1. W wierszu tabeli tego kosza kliknij Napraw. Spowoduje to otwarcie strony uprawnień tego zasobnika w nowej karcie.

   2. Kliknij Dodaj.
   3. W polu Nowe podmioty zabezpieczeń wpisz nazwę agenta usługi Cloud Firestore.
   4. W polu Wybierz rolę wybierz Agenci usług > Agent usługi Firestore.
   5. Kliknij Zapisz.
   6. Wróć na kartę ze stroną Cloud Firestore Import/eksport.
   7. Powtórz te kroki w przypadku pozostałych zasobników na liście. Pamiętaj, aby wyświetlić wszystkie strony listy.

4. Kliknij Migracja do agenta usługi Firestore. Jeśli nadal masz koszyki z nieudanymi sprawdzeniami uprawnień, musisz potwierdzić migrację, klikając Migruj.

   Gdy migracja się zakończy, otrzymasz alert. Rozpoczętej migracji nie będzie można cofnąć.

Wyświetlanie stanu migracji

Aby sprawdzić stan migracji projektu:

1. Znajdź podmiot obok etykiety Zadania importu/eksportu są uruchamiane jako.

   Jeśli podmiot zabezpieczeń to service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com, oznacza to, że Twój projekt został już przeniesiony do agenta usługi Cloud Firestore. Migracji nie można cofnąć.

   Jeśli projekt nie został przeniesiony, u góry strony pojawi się baner z przyciskiem Sprawdź stan zasobnika. Aby przeprowadzić migrację, zapoznaj się z artykułem Migracja do agenta usługi Firestore.

Dodawanie ograniczenia zasad obowiązujących w całej organizacji

• W zasadach organizacji ustaw to ograniczenie:

  Wymagaj agenta usługi Firestore do importowania/eksportowania (firestore.requireP4SAforImportExport).

  To ograniczenie wymaga, aby operacje importowania i eksportowania korzystały z Cloud Firestoreagenta usługi do autoryzowania żądań. Aby ustawić to ograniczenie, zapoznaj się z artykułem Tworzenie zasad organizacji i zarządzanie nimi .

Zastosowanie tego ograniczenia zasady organizacji nie przyznaje automatycznie odpowiednich uprawnień do zasobnika Cloud Storage agentowi usługi Cloud Firestore.

Jeśli ograniczenie powoduje błędy uprawnień w przypadku przepływów pracy importu lub eksportu, możesz je wyłączyć, aby wrócić do korzystania z domyślnego konta usługi. Po sprawdzeniu i zaktualizowaniu uprawnieńCloud Storage do zasobnika możesz ponownie włączyć to ograniczenie.