VPC Service Controls

تتيح عناصر التحكّم في خدمة سحابة VPC للمؤسسات تحديد محيط حول Google Cloud موارد لتخفيف مخاطر استخراج البيانات. باستخدام عناصر التحكّم في خدمة سحابة VPC، يمكنك إنشاء محيطات تحمي موارد و بيانات الخدمات التي تحدّدها بشكل صريح.

خدمات مجمّعةCloud Firestore

يتم تجميع واجهات برمجة التطبيقات التالية معًا في عناصر التحكّم في خدمة سحابة VPC:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

عند حظر خدمة firestore.googleapis.com في محيط، يحظر المحيط أيضًا خدمات datastore.googleapis.com وfirestorekeyvisualizer.googleapis.com.

حظر خدمة datastore.googleapis.com

يتم تجميع خدمة datastore.googleapis.com ضمن خدمة firestore.googleapis.com. لحظر خدمة datastore.googleapis.com، عليك حظر خدمة firestore.googleapis.com على النحو التالي:

• عند إنشاء محيط خدمة باستخدام Google Cloud Console، أضِف Cloud Firestore كخدمة محظورة.

• عند إنشاء محيط خدمة باستخدام Google Cloud CLI، استخدِم firestore.googleapis.com بدلاً من datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com
  

خدمات App Engine المجمّعة القديمة لـ Datastore

App Engine خدمات مجمّعة قديمة لـ Datastore لا تتوافق مع محيطات الخدمة. يحظر حماية Datastore الخدمة باستخدام محيط خدمة الزيارات من App Engine الخدمات المجمّعة القديمة. تشمل الخدمات المجمّعة القديمة ما يلي:

• Java 8 Datastore مع App Engine واجهات برمجة التطبيقات
• مكتبة برامج Python 2 NDB لـ Datastore
• Go 1.11 Datastore مع App Engine واجهات برمجة التطبيقات

حماية عمليات الخروج في عمليات الاستيراد والتصدير

Cloud Firestore تتوافق مع عناصر التحكّم في خدمة سحابة VPC، ولكنها تتطلب إعدادات إضافية للحصول على حماية كاملة لعمليات الخروج في عمليات الاستيراد والتصدير. عليك استخدام موظّف دعم خدمة Cloud Firestore لتفويض عمليات الاستيراد و التصدير بدلاً من حساب خدمة App Engine التلقائي. استخدِم التعليمات التالية لعرض حساب التفويض وضبطه لعمليات الاستيراد والتصدير.

Cloud Firestore موظّف دعم

يستخدم Cloud Firestore موظّف دعم خدمة Cloud Firestore لتفويض عمليات الاستيراد والتصدير بدلاً من استخدام حساب خدمة App Engine. يستخدم موظّف دعم الخدمة وحساب الخدمة اصطلاحات التسمية التالية:

Cloud Firestore موظّف دعم

service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

سبق أن استخدمت Cloud Firestore حساب خدمة App Engine التلقائي بدلاً من موظّف دعم خدمة Cloud FirestoreApp Engine إذا كانت قاعدة بياناتك لا تزال تستخدم حساب خدمة App Engine لاستيراد البيانات أو تصديرها، ننصحك باتّباع التعليمات الواردة في هذا القسم للانتقال إلى استخدام موظّف دعم خدمة Cloud Firestore.

حساب خدمة App Engine

PROJECT_ID@appspot.gserviceaccount.com

يُفضَّل استخدام موظّف دعم خدمة Cloud Firestore لأنّه خاص بـ Cloud Firestore. يتم مشاركة حساب خدمة App Engine بين أكثر من خدمة.

عرض حساب التفويض

يمكنك الاطّلاع على الحساب الذي تستخدمه عمليات الاستيراد والتصدير لتفويض الطلبات من صفحة الاستيراد/التصدير في Google Cloud Console. يمكنك أيضًا الاطّلاع على ما إذا كانت قاعدة بياناتك تستخدم حاليًا Cloud Firestore موظّف دعم الخدمة.

1. اعرض حساب التفويض بجانب التصنيف عمليات الاستيراد/التصدير التي يتم تشغيلها باسم.

إذا كان مشروعك لا يستخدم موظّف دعم خدمة Cloud Firestore، يمكنك الانتقال إلى موظّف دعم خدمة Cloud Firestore باستخدام إحدى هاتَين الطريقتَين:

• نقل مشروع من خلال التحقّق من أذونات حاوية وتعديلها Cloud Storage (ننصح بهذه الطريقة).
• إضافة قيد سياسة على مستوى المؤسسة يؤثر في جميع المشاريع ضمن المؤسسة.

يُفضَّل استخدام الطريقة الأولى لأنّها تحدّد نطاق التأثير في مشروع واحد.Cloud Firestore لا يُفضَّل استخدام الأسلوب الثاني لأنّها لا تنقل أذونات حاوية Cloud Storage الحالية. ومع ذلك، فإنّها توفّر الامتثال الأمني على مستوى المؤسسة.

نقل البيانات من خلال التحقّق من أذونات حاوية Cloud Storage وتعديلها

تتضمّن عملية نقل البيانات خطوتَين:

1. تعديل أذونات حاوية Cloud Storage راجِع القسم التالي لمعرفة التفاصيل.
2. تأكيد عملية النقل إلى موظّف دعم خدمة Cloud Firestore

أذونات حاوية موظّف دعم الخدمة

بالنسبة إلى أي عمليات تصدير أو استيراد تستخدم حاوية Cloud Storage في مشروع آخر، عليك منح موظّف دعم خدمة Cloud Firestore أذونات الوصول إلى هذه الحاوية. على سبيل المثال، تحتاج العمليات التي تنقل البيانات إلى مشروع آخر إلى الوصول إلى حاوية في هذا المشروع الآخر. وإلا، ستفشل هذه العمليات بعد الانتقال إلى Cloud Firestore موظّف دعم خدمة.

لا تتطلب عمليات الاستيراد والتصدير التي تبقى ضمن المشروع نفسه إجراء تغييرات على الأذونات. يمكن لموظّف دعم خدمة Cloud Firestore الوصول إلى الحاويات في المشروع نفسه تلقائيًا.

عدِّل أذونات حاويات Cloud Storage من مشاريع أخرى لمنح إذن الوصول إلى service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com موظّف دعم الخدمة. امنح موظّف دعم الخدمة دور Firestore Service Agent.

يمنح دور Firestore Service Agent أذونات القراءة والكتابة لحاوية Cloud Storage. إذا كنت بحاجة إلى منح أذونات القراءة فقط أو الكتابة فقط ، استخدِم دورًا مخصّصًا.

تساعدك عملية نقل البيانات الموضّحة في القسم التالي في تحديد Cloud Storage الحاويات التي قد تتطلب تعديلات على الأذونات.

نقل مشروع إلى موظّف دعم خدمة Firestore

أكمِل الخطوات التالية للانتقال من حساب خدمة App Engine إلى موظّف دعم خدمة Cloud Firestore. بعد إكمال عملية النقل، لا يمكن التراجع عنها.

1. إذا لم يتم بعد نقل مشروعك إلى موظّف دعم خدمة Cloud Firestore، سيظهر لك بانر يصف عملية النقل وزر التحقّق من حالة الحاوية. تساعدك الخطوة التالية في تحديد أخطاء الأذونات المحتملة وحلّها.

   انقر على التحقّق من حالة الحاوية.

   ستظهر قائمة تتضمّن خيار إكمال عملية النقل وقائمة بحاويات Cloud Storage. قد يستغرق تحميل القائمة بضع دقائق.

   تشمل هذه القائمة الحاويات التي تم استخدامها مؤخرًا في عمليات الاستيراد والتصدير، ولكنّها لا تمنح حاليًا أذونات القراءة و الكتابة لموظّف دعم خدمة Cloud Firestore

2. دوِّن اسم المرجع لموظّف دعم خدمة Cloud Firestore في مشروعك. يظهر اسم موظّف دعم الخدمة ضمن التصنيف موظّف دعم الخدمة الذي سيتم منحه إذن الوصول.

3. بالنسبة إلى أي حاوية في القائمة ستستخدمها في عمليات الاستيراد أو التصدير المستقبلية، أكمِل الخطوات التالية:

   1. في صف الجدول الخاص بهذه الحاوية، انقر على إصلاح. سيؤدي ذلك إلى فتح صفحة أذونات هذه الحاوية في علامة تبويب جديدة.

   2. انقر على إضافة.
   3. في حقل المرجعون الجدد ، أدخِل اسم موظّف دعم خدمة Cloud Firestore الخاص بك.
   4. في حقل اختيار دور ، اختَر موظّفو دعم الخدمة > موظّف دعم خدمة Firestore.
   5. انقر على حفظ.
   6. عُد إلى علامة التبويب التي تتضمّن صفحة "Cloud Firestore الاستيراد/التصدير".
   7. كرِّر هذه الخطوات للحاويات الأخرى في القائمة. احرص على عرض جميع صفحات القائمة.

4. انقر على نقل البيانات إلى موظّف دعم خدمة Firestore. إذا كان لا يزال لديك حاويات لم يتم التحقّق من أذوناتها بنجاح، عليك تأكيد عملية النقل من خلال النقر على نقل البيانات.

   سيظهر لك تنبيه عند اكتمال عملية النقل. لا يمكن التراجع عن عملية النقل.

عرض حالة نقل البيانات

للتحقّق من حالة نقل بيانات مشروعك:

1. ابحث عن المرجع بجانب التصنيف عمليات الاستيراد/التصدير التي يتم تشغيلها باسم.

   إذا كان المرجع هو service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com، يعني ذلك أنّه تم نقل مشروعك إلى Cloud Firestore موظّف دعم الخدمة. لا يمكن التراجع عن عملية النقل.

   إذا لم يتم نقل المشروع، سيظهر بانر في أعلى الصفحة يتضمّن زر التحقّق من حالة الحاوية. راجِع مقالة نقل البيانات إلى موظّف دعم خدمة Firestore لإكمال عملية النقل.

إضافة قيد سياسة على مستوى المؤسسة

• اضبط الشرط التالي في سياسة مؤسستك:

  يجب استخدام موظّف دعم خدمة Firestore للاستيراد/التصدير (firestore.requireP4SAforImportExport).

  يتطلب هذا القيد أن تستخدم عمليات الاستيراد والتصدير موظّف دعم خدمة Cloud Firestore لتفويض الطلبات. لضبط هذا القيد، راجِع مقالة إنشاء سياسات المؤسسة وإدارتها .

لا يؤدي تطبيق قيد سياسة المؤسسة هذا إلى منح أذونات حاوية المناسبة لموظّف دعم خدمة Cloud Firestore تلقائيًا.Cloud Storage

إذا كان القيد يؤدي إلى حدوث أخطاء في الأذونات لأي عمليات استيراد أو تصدير، يمكنك إيقافه للرجوع إلى استخدام حساب الخدمة التلقائي. بعد التحقّق من أذونات حاوية Cloud Storageوتعديلها، يمكنك تفعيل القيد مرة أخرى.