בעזרת VPC Service Controls ארגונים יכולים להגדיר מתחם היקפי מסביב למשאבי Google Cloud כדי לצמצם את הסיכונים לזליגת נתונים. בעזרת VPC Service Controls אפשר ליצור גבולות גזרה שמגנים על המשאבים ועל הנתונים של שירותים שאתם מגדירים באופן מפורש.
חבילות של שירותי Cloud Firestore
ממשקי ה-API הבאים כלולים ב-VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
כשמגבילים את השירות firestore.googleapis.com בגבולות גזרה, הגבולות מגבילים גם את השירותים datastore.googleapis.com ו-firestorekeyvisualizer.googleapis.com.
הגבלת הגישה לשירות datastore.googleapis.com
השירות datastore.googleapis.com כלול בחבילה של השירות firestore.googleapis.com. כדי להגביל את השירות datastore.googleapis.com, צריך להגביל את השירות firestore.googleapis.com באופן הבא:
- כשיוצרים היקף של בקרת גישה לשירותים באמצעות מסוף Google Cloud, מוסיפים את Cloud Firestore בתור השירות המוגבל.
כשיוצרים גבולות גזרה לשירות באמצעות Google Cloud CLI, צריך להשתמש ב-
firestore.googleapis.comבמקום ב-datastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
App Engine חבילות שירותים מדור קודם ל-Datastore
שירותים בחבילות מדור קודם של App Engine ל-Datastore לא תומכים במתחמי אבטחה. הגנה על שירות Datastore באמצעות אזור אבטחה חוסמת תעבורה משירותים מהדור הקודם של App Engine. שירותים מדור קודם בחבילה כוללים:
- Java 8 Datastore עם ממשקי App Engine API
- ספריית לקוח Python 2 NDB ל-Datastore
- Go 1.11 Datastore עם App Engine ממשקי API
הגנה על נתונים יוצאים בפעולות ייבוא וייצוא
Cloud Firestore תומך ב-VPC Service Controls, אבל נדרשת הגדרה נוספת כדי לקבל הגנה מלאה על תעבורת נתונים יוצאת בפעולות ייבוא וייצוא. כדי לאשר פעולות ייבוא וייצוא, צריך להשתמש בסוכן השירות Cloud Firestore במקום בחשבון השירות שמוגדר כברירת מחדל App Engine. כדי להציג ולהגדיר את חשבון ההרשאה לפעולות ייבוא וייצוא, פועלים לפי ההוראות הבאות.