Controlli di servizio VPC

I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alle risorse Google Cloud per mitigare i rischi di esfiltrazione di dati. Con i Controlli di servizio VPC, crei perimetri che proteggono le risorse e i dati dei servizi che specifichi in modo esplicito.

Servizi Cloud Firestore in bundle

Le seguenti API sono raggruppate nei Controlli di servizio VPC:

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

Quando limiti il servizio firestore.googleapis.com in un perimetro, il perimetro limita anche i servizi datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.

Limitare il servizio datastore.googleapis.com

Il servizio datastore.googleapis.com è incluso nel servizio firestore.googleapis.com. Per limitare il servizio datastore.googleapis.com, devi limitare il servizio firestore.googleapis.com nel seguente modo:

• Quando crei un perimetro di servizio utilizzando la console Google Cloud, aggiungi Cloud Firestore come servizio con limitazioni.

• Quando crei un perimetro di servizio utilizzando Google Cloud CLI, utilizza firestore.googleapis.com anziché datastore.googleapis.com.

  --perimeter-restricted-services=firestore.googleapis.com
  

Servizi in bundle legacy App Engine per Datastore

I servizi in bundle legacy App Engine per Datastore non supportano i perimetri di servizio. La protezione del servizio Datastore con un perimetro di servizio blocca il traffico proveniente dai servizi in bundle legacy App Engine. I servizi in bundle legacy includono:

• Java 8 Datastore con API App Engine
• Libreria client NDB Python 2 per Datastore
• Go 1.11 Datastore con le API App Engine

Protezione in uscita nelle operazioni di importazione ed esportazione

Cloud Firestore supporta i Controlli di servizio VPC, ma richiede una configurazione aggiuntiva per ottenere la protezione completa in uscita nelle operazioni di importazione ed esportazione. Devi utilizzare l'agente di servizio Cloud Firestore per autorizzare le operazioni di importazione ed esportazione anziché il service account App Engine predefinito. Segui queste istruzioni per visualizzare e configurare l'account di autorizzazione per le operazioni di importazione ed esportazione.

service agent di Cloud Firestore

Cloud Firestore utilizza un service agent Cloud Firestore per autorizzare le operazioni di importazione ed esportazione anziché utilizzare il service account App Engine. L'agente di servizio e il service account utilizzano le seguenti convenzioni di denominazione:

service agent di Cloud Firestore

service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

Cloud Firestore in precedenza utilizzava il service account predefinito App Engine anziché l'agente di servizio Cloud Firestore. Se il tuo database utilizza ancora l'account di servizio App Engine per importare o esportare dati, ti consigliamo di seguire le istruzioni riportate in questa sezione per eseguire la migrazione all'utilizzo dell'agente di servizio Cloud Firestore.

App Engine service account

PROJECT_ID@appspot.gserviceaccount.com

L'agente di servizio Cloud Firestore è preferibile perché è specifico per Cloud Firestore. L'account di servizio App Engine è condiviso da più di un servizio.

Visualizza account di autorizzazione

Puoi visualizzare l'account utilizzato dalle operazioni di importazione ed esportazione per autorizzare le richieste dalla pagina Importa/Esporta nella console Google Cloud. Puoi anche verificare se il tuo database utilizza già l'agente di servizio Cloud Firestore.

1. Visualizza l'account di autorizzazione accanto all'etichetta I job di importazione/esportazione vengono eseguiti come.

Se il tuo progetto non utilizza l'agente di servizio Cloud Firestore, puoi eseguire la migrazione all'agente di servizio Cloud Firestore utilizzando una di queste tecniche:

• Esegui la migrazione di un progetto controllando e aggiornando le autorizzazioni del bucket Cloud Storage (scelta consigliata).
• Aggiungi un vincolo di policy a livello di organizzazione che influisce su tutti i progetti all'interno dell'organizzazione.

La prima di queste tecniche è preferibile perché localizza l'ambito dell'effetto su un singolo progetto Cloud Firestore. La seconda tecnica non è preferibile perché non esegue la migrazione delle autorizzazioni del bucket Cloud Storage esistente. Tuttavia, offre la conformità alla sicurezza a livello di organizzazione.

Esegui la migrazione controllando e aggiornando le autorizzazioni del bucket Cloud Storage

Il processo di migrazione prevede due passaggi:

1. Aggiorna le autorizzazioni del bucket Cloud Storage. Per maggiori dettagli, consulta la sezione seguente.
2. Conferma la migrazione all'agente di servizio Cloud Firestore.

Autorizzazioni del bucket dell'agente di servizio

Per qualsiasi operazione di esportazione o importazione che utilizza un bucket Cloud Storage in un altro progetto, devi concedere all'agente di servizio Cloud Firestore le autorizzazioni per quel bucket. Ad esempio, le operazioni che spostano i dati in un altro progetto devono accedere a un bucket in quell'altro progetto. In caso contrario, queste operazioni non vanno a buon fine dopo la migrazione all'agente del servizio Cloud Firestore.

I flussi di lavoro di importazione ed esportazione che rimangono all'interno dello stesso progetto non richiedono modifiche alle autorizzazioni. L'agente di servizio Cloud Firestore può accedere ai bucket nello stesso progetto per impostazione predefinita.

Aggiorna le autorizzazioni per i bucket Cloud Storage di altri progetti per concedere l'accesso al service agent service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com. Concedi all'agente di servizio il ruolo Firestore Service Agent.

Il ruolo Firestore Service Agent concede le autorizzazioni di lettura e scrittura per un bucket Cloud Storage. Se devi concedere solo autorizzazioni di lettura o scrittura, utilizza un ruolo personalizzato.

La procedura di migrazione descritta nella sezione seguente ti aiuta a identificare i bucket Cloud Storage che potrebbero richiedere aggiornamenti delle autorizzazioni.

Esegui la migrazione di un progetto al service agent Firestore

Completa i seguenti passaggi per eseguire la migrazione dall'account di servizio App Engine all'agente di servizio Cloud Firestore. Una volta completata, la migrazione non può essere annullata.

1. Se la migrazione del progetto all'agente di servizio Cloud Firestore non è ancora stata eseguita, viene visualizzato un banner che descrive la migrazione e un pulsante Controlla stato bucket. Il passaggio successivo ti aiuta a identificare e correggere i potenziali errori di autorizzazione.

   Fai clic su Controlla stato bucket.

   Viene visualizzato un menu con l'opzione per completare la migrazione e un elenco di bucket Cloud Storage. Potrebbero essere necessari alcuni minuti prima che l'elenco venga caricato completamente.

   Questo elenco include i bucket utilizzati di recente nelle operazioni di importazione ed esportazione, ma che al momento non concedono autorizzazioni di lettura e scrittura all'agente di servizio Cloud Firestore.

2. Prendi nota del nome dell'entità del service agent Cloud Firestore del tuo progetto. Il nome del service agent viene visualizzato sotto l'etichetta Service agent to give access to.

3. Per ogni bucket nell'elenco che utilizzerai per le future operazioni di importazione o esportazione, completa i seguenti passaggi:

   1. Nella riga della tabella di questo bucket, fai clic su Correggi. Si apre la pagina delle autorizzazioni del bucket in una nuova scheda.

   2. Fai clic su Aggiungi.
   3. Nel campo Nuove entità, inserisci il nome del service agent Cloud Firestore.
   4. Nel campo Seleziona un ruolo, seleziona Service Agents > Firestore Service Agent.
   5. Fai clic su Salva.
   6. Torna alla scheda con la pagina Cloud Firestore Importa/Esporta.
   7. Ripeti questi passaggi per gli altri bucket dell'elenco. Assicurati di visualizzare tutte le pagine dell'elenco.

4. Fai clic su Esegui la migrazione al service agent Firestore. Se hai ancora bucket con controlli delle autorizzazioni non riusciti, devi confermare la migrazione facendo clic su Migra.

   Un avviso ti informa al termine della migrazione. La migrazione non può essere annullata.

Visualizzare lo stato della migrazione

Per verificare lo stato della migrazione del progetto:

1. Cerca l'entità di servizio accanto all'etichetta I job di importazione/esportazione vengono eseguiti come.

   Se l'entità è service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com, il tuo progetto è già stato migrato all'agente di servizio Cloud Firestore. La migrazione non può essere annullata.

   Se il progetto non è stato migrato, nella parte superiore della pagina viene visualizzato un banner con un pulsante Controlla stato bucket. Per completare la migrazione, vedi Eseguire la migrazione al service agent Firestore.

Aggiungere un vincolo dei criteri a livello di organizzazione

• Imposta il seguente vincolo nella policy della tua organizzazione:

  Richiede l'agente di servizio Firestore per l'importazione/esportazione (firestore.requireP4SAforImportExport).

  Questo vincolo richiede che le operazioni di importazione ed esportazione utilizzino l'agente di servizio Cloud Firestore per autorizzare le richieste. Per impostare questo vincolo, consulta la pagina Creazione e gestione delle policy dell'organizzazione .

L'applicazione di questo vincolo della policy dell'organizzazione non concede automaticamente le autorizzazioni del bucket Cloud Storage appropriate per l'agente di servizio Cloud Firestore.

Se il vincolo crea errori di autorizzazione per qualsiasi flusso di lavoro di importazione o esportazione, puoi disattivarlo per tornare a utilizzare l'account di servizio predefinito. Dopo aver controllato e aggiornato le autorizzazioni del bucket Cloud Storage, puoi riattivare il vincolo.