I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alle risorse Google Cloud per mitigare i rischi di esfiltrazione di dati. Con i Controlli di servizio VPC, crei perimetri che proteggono le risorse e i dati dei servizi che specifichi esplicitamente.
Servizi Cloud Firestore in bundle
Le seguenti API sono raggruppate in Controlli di servizio VPC:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Quando limiti il servizio firestore.googleapis.com in un perimetro,
il perimetro limita anche i servizi datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com.
Limitare il servizio datastore.googleapis.com
Il servizio datastore.googleapis.com è incluso nel servizio
firestore.googleapis.com. Per limitare il servizio
datastore.googleapis.com, devi limitare il servizio firestore.googleapis.com
nel seguente modo:
- Quando crei un perimetro di servizio utilizzando la console Google Cloud, aggiungi Cloud Firestore come servizio con limitazioni.
Quando crei un perimetro di servizio utilizzando Google Cloud CLI, utilizza
firestore.googleapis.comanzichédatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Servizi in bundle legacy App Engine per Datastore
I servizi in bundle legacy App Engine per Datastore non supportano i perimetri di servizio. La protezione del servizio Datastore con un perimetro di servizio blocca il traffico proveniente dai servizi in bundle legacy App Engine. I servizi in bundle legacy includono:
- Java 8 Datastore con API App Engine
- Libreria client NDB Python 2 per Datastore
- Go 1.11 Datastore con le API App Engine
Protezione in uscita per le operazioni di importazione ed esportazione
Cloud Firestore con compatibilità MongoDB supporta i Controlli di servizio VPC, ma richiede una configurazione aggiuntiva per ottenere la protezione completa dell'uscita nelle operazioni di importazione ed esportazione. Devi utilizzare l'agente di servizio Cloud Firestore per autorizzare le operazioni di importazione ed esportazione anziché l'account di servizio App Engine predefinito. Segui queste istruzioni per visualizzare e configurare l'account di autorizzazione per le operazioni di importazione ed esportazione.