機構可透過 VPC Service Controls,在 Google Cloud 資源周圍定義安全範圍,降低資料竊取風險。透過 VPC Service Controls,您可以建立 perimeter,保護您明確指定的服務資源和資料。
套裝組合Cloud Firestore服務
VPC Service Controls 會將下列 API 組合在一起:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
在範圍中限制 firestore.googleapis.com 服務時,範圍也會限制 datastore.googleapis.com 和 firestorekeyvisualizer.googleapis.com 服務。
限制 datastore.googleapis.com 服務
datastore.googleapis.com 服務會與 firestore.googleapis.com 服務一併提供。如要限制 datastore.googleapis.com 服務,請按照下列步驟限制 firestore.googleapis.com 服務:
- 使用 Google Cloud 控制台建立服務範圍時,請新增 Cloud Firestore 做為受限服務。
使用 Google Cloud CLI 建立服務範圍時,請使用
firestore.googleapis.com而不是datastore.googleapis.com。--perimeter-restricted-services=firestore.googleapis.com
App Engine 舊版服務套裝組合,適用於 Datastore
App Engine 舊版服務套裝組合 (適用於 Datastore) 不支援服務範圍。使用服務範圍保護Datastore 服務,可封鎖來自舊版套裝服務的流量。App Engine舊版套裝組合服務包括:
- Java 8 Datastore,搭配 App Engine API
- 適用於 Datastore 的 Python 2 NDB 用戶端程式庫
- Go 1.11 Datastore (含 App Engine API)
匯入和匯出作業的輸出保護措施
與 MongoDB 相容的 Cloud Firestore 支援 VPC Service Controls,但需要額外設定,才能在匯入和匯出作業中獲得完整的輸出保護。您必須使用 Cloud Firestore 服務代理程式授權匯入和匯出作業,而非預設的 App Engine 服務帳戶。請按照下列操作說明,查看及設定匯入和匯出作業的授權帳戶。