VPC Service Controls permet aux organisations de définir un périmètre autour des ressources Google Cloud afin de limiter les risques d'exfiltration de données. Avec VPC Service Controls, vous créez des périmètres qui protègent les ressources et les données des services que vous spécifiez explicitement.
Services Cloud Firestore groupés
Les API suivantes sont regroupées dans VPC Service Controls :
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Lorsque vous limitez le service firestore.googleapis.com dans un périmètre, le périmètre s'applique également aux services datastore.googleapis.com et firestorekeyvisualizer.googleapis.com.
Restreindre le service datastore.googleapis.com
Le service datastore.googleapis.com est inclus dans le service firestore.googleapis.com. Pour restreindre le service datastore.googleapis.com, vous devez restreindre le service firestore.googleapis.com comme suit :
- Lorsque vous créez un périmètre de service à l'aide de la console Google Cloud, ajoutez Cloud Firestore en tant que service restreint.
Lorsque vous créez un périmètre de service à l'aide de Google Cloud CLI, utilisez
firestore.googleapis.comau lieu dedatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine anciens services groupés pour Datastore
Les anciens services groupés App Engine pour Datastore ne sont pas compatibles avec les périmètres de service. La protection du service Datastore avec un périmètre de service bloque le trafic provenant des anciens services groupés App Engine. Les anciens services groupés comprennent :
- Datastore Java 8 avec les API App Engine
- Bibliothèque cliente NDB Python 2 pour Datastore
- Go 1.11 Datastore avec les API App Engine
Protection de la sortie sur les opérations d'importation et d'exportation
Cloud Firestore avec compatibilité MongoDB est compatible avec VPC Service Controls, mais nécessite une configuration supplémentaire pour bénéficier d'une protection complète de la sortie lors des opérations d'importation et d'exportation. Vous devez utiliser l'agent de service Cloud Firestore pour autoriser les opérations d'importation et d'exportation au lieu du compte de service App Engine par défaut. Suivez les instructions ci-dessous pour afficher et configurer le compte d'autorisation pour les opérations d'importation et d'exportation.