VPC Service Controls

تتيح عناصر التحكّم في خدمة سحابة VPC للمؤسسات تحديد حدود حول موارد Google Cloud للحدّ من مخاطر استخراج البيانات. باستخدام VPC Service Controls، يمكنك إنشاء حدود تحمي الموارد والبيانات الخاصة بالخدمات التي تحدّدها بشكل صريح.

خدمات Cloud Firestore مجمّعة

يتم تجميع واجهات برمجة التطبيقات التالية معًا في "عناصر التحكّم في خدمة سحابة VPC":

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

عند حظر خدمة firestore.googleapis.com في محيط جغرافي، سيؤدي ذلك أيضًا إلى حظر خدمتَي datastore.googleapis.com وfirestorekeyvisualizer.googleapis.com.

حظر خدمة datastore.googleapis.com

يتم تجميع خدمة datastore.googleapis.com ضمن خدمة firestore.googleapis.com. لتقييد خدمة datastore.googleapis.com، يجب تقييد خدمة firestore.googleapis.com على النحو التالي:

• عند إنشاء محيط خدمة باستخدام Google Cloud Console، أضِف Cloud Firestore كخدمة محظورة.

• عند إنشاء حيّز خدمة باستخدام Google Cloud CLI، استخدِم firestore.googleapis.com بدلاً من datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com
  

App Engine الخدمات المجمّعة القديمة مقابل Datastore

لا تتوافق خدمات App Engine القديمة المجمّعة مع Datastore حدود الخدمة. تؤدي حماية خدمة Datastore باستخدام حدود الخدمة إلى حظر حركة البيانات من الخدمات المجمّعة القديمة App Engine. تشمل الخدمات المجمّعة القديمة ما يلي:

• Java 8 Datastore مع واجهات برمجة التطبيقات App Engine
• مكتبة برامج NDB للغة Python 2 في Datastore
• إصدار Go 1.11 Datastore مع واجهات برمجة التطبيقات App Engine

حماية الخروج في عمليات الاستيراد والتصدير

تتوافق خدمة Cloud Firestore مع MongoDB مع عناصر التحكّم في خدمة سحابة VPC، ولكنها تتطلّب إعدادات إضافية للحصول على حماية كاملة من نقل البيانات إلى خارج المؤسسة في عمليات الاستيراد والتصدير. يجب استخدام وكيل خدمة Cloud Firestore لتفويض عمليات الاستيراد والتصدير بدلاً من حساب خدمة App Engine التلقائي. اتّبِع التعليمات التالية لعرض حساب التفويض وضبطه لعمليات الاستيراد والتصدير.