VPC Service Controls cho phép các tổ chức xác định một ranh giới xung quanh các tài nguyên Google Cloud để giảm thiểu rủi ro đánh cắp dữ liệu. Với VPC Service Controls, bạn có thể tạo các ranh giới bảo vệ tài nguyên và dữ liệu của những dịch vụ mà bạn chỉ định rõ ràng.
Các dịch vụ Cloud Firestore bán kèm
Các API sau đây được kết hợp với nhau trong VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Khi bạn hạn chế dịch vụ firestore.googleapis.com trong một vành đai, vành đai đó cũng sẽ hạn chế các dịch vụ datastore.googleapis.com và firestorekeyvisualizer.googleapis.com.
Hạn chế dịch vụ datastore.googleapis.com
Dịch vụ datastore.googleapis.com được đi kèm với dịch vụ firestore.googleapis.com. Để hạn chế dịch vụ datastore.googleapis.com, bạn phải hạn chế dịch vụ firestore.googleapis.com như sau:
- Khi tạo một ranh giới dịch vụ bằng bảng điều khiển Cloud, hãy thêm Cloud Firestore làm dịch vụ bị hạn chế.
Khi tạo một phạm vi dịch vụ bằng Google Cloud CLI, hãy sử dụng
firestore.googleapis.comthay vìdatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine các dịch vụ cũ được cung cấp theo gói cho Datastore
Các dịch vụ đi kèm cũ App Engine cho Datastore không hỗ trợ ranh giới dịch vụ. Việc bảo vệ dịch vụ Datastore bằng một ranh giới dịch vụ sẽ chặn lưu lượng truy cập từ các dịch vụ cũ được kết hợp App Engine. Các dịch vụ cũ được cung cấp theo gói bao gồm:
- Java 8 Datastore có App Engine API
- Thư viện ứng dụng NDB Python 2 cho Datastore
- Go 1.11 Datastore với App Engine API
Bảo vệ dữ động xuất trên các hoạt động nhập và xuất
Cloud Firestore hỗ trợ VPC Service Controls nhưng cần có cấu hình bổ sung để có được khả năng bảo vệ đầy đủ khi nhập và xuất dữ liệu. Bạn phải sử dụng tác nhân dịch vụ Cloud Firestore để uỷ quyền cho các thao tác nhập và xuất thay vì tài khoản dịch vụ App Engine mặc định. Hãy làm theo hướng dẫn sau để xem và định cấu hình tài khoản uỷ quyền cho các thao tác nhập và xuất.