VPC Service Controls

בעזרת VPC Service Controls ארגונים יכולים להגדיר מתחם היקפי מסביב למשאבי Google Cloud כדי לצמצם את הסיכונים לזליגת נתונים. בעזרת VPC Service Controls אפשר ליצור גבולות גזרה שמגנים על המשאבים ועל הנתונים של שירותים שאתם מגדירים באופן מפורש.

חבילות של שירותי Cloud Firestore

ממשקי ה-API הבאים כלולים ב-VPC Service Controls:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

כשמגבילים את השירות firestore.googleapis.com בגבול גזרה, הגבול מגביל גם את השירותים datastore.googleapis.com ו-firestorekeyvisualizer.googleapis.com.

הגבלת הגישה לשירות datastore.googleapis.com

שירות datastore.googleapis.com כלול בשירות firestore.googleapis.com. כדי להגביל את השירות datastore.googleapis.com, צריך להגביל את השירות firestore.googleapis.com באופן הבא:

  • כשיוצרים היקף של בקרת גישה לשירותים באמצעות מסוף Google Cloud, מוסיפים את Cloud Firestore כשירות המוגבל.

  • כשיוצרים גבולות גזרה לשירות באמצעות Google Cloud CLI, צריך להשתמש ב-firestore.googleapis.com במקום ב-datastore.googleapis.com.

    --perimeter-restricted-services=firestore.googleapis.com

App Engine חבילות שירותים מדור קודם ל-Datastore

חבילות שירותי תמיכה מדור קודם של App EngineDatastore לא תומכות במתחמי אבטחה. הגנה על השירות Datastore באמצעות גבולות גזרה לשירות חוסמת תעבורה משירותים מהדור הקודם של App Engine. שירותים מדור קודם שנכללים בחבילה:

הגנה על נתונים יוצאים בפעולות ייבוא וייצוא

‫Cloud Firestore עם תאימות ל-MongoDB תומך ב-VPC Service Controls, אבל נדרש בו תהליך הגדרה נוסף כדי לקבל הגנה מלאה על יציאה (egress) בפעולות ייבוא וייצוא. כדי לאשר פעולות ייבוא וייצוא, צריך להשתמש בסוכן השירות Cloud Firestore במקום בחשבון השירות שמוגדר כברירת מחדל App Engine. כדי להציג ולהגדיר את חשבון ההרשאה לפעולות ייבוא וייצוא, פועלים לפי ההוראות הבאות.