VPC Service Controls を使用すると、組織で Google Cloud リソースの周囲に境界を定義して、データ漏洩のリスクを軽減できます。VPC Service Controls により、明示的に指定するサービスのリソースとデータを保護する境界を作成します。
バンドル Cloud Firestore サービス
次の API は VPC Service Controls にバンドルされています。
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
境界で firestore.googleapis.com サービスを制限すると、境界によって datastore.googleapis.com サービスと firestorekeyvisualizer.googleapis.com サービスも制限されます。
datastore.googleapis.com サービスを制限する
datastore.googleapis.com サービスは、firestore.googleapis.com サービスの下にバンドルされています。datastore.googleapis.com サービスを制限するには、次のように firestore.googleapis.com サービスを制限する必要があります。
- Google Cloud コンソールを使用してサービス境界を作成する場合は、Cloud Firestore を制限付きサービスとして追加します。
Google Cloud CLI を使用してサービス境界を作成する場合は、
datastore.googleapis.comではなくfirestore.googleapis.comを使用します。--perimeter-restricted-services=firestore.googleapis.com
Datastore 用の App Engine レガシー バンドル サービス
Datastore の App Engine 以前のバンドル サービスはサービス境界をサポートしていません。Datastore サービスをサービス境界で保護すると、App Engine のレガシー バンドル サービスからのトラフィックがブロックされます。レガシー バンドル サービスには以下が含まれます。
- App Engine API を使用した Java 8 Datastore
- Datastore 用 Python 2 NDB クライアント ライブラリ
- App Engine API を使用した Go 1.11 Datastore
インポート オペレーションおよびエクスポート オペレーションの下り(外向き)の保護
MongoDB 互換の Cloud Firestore は VPC Service Controls をサポートしていますが、インポートとエクスポートのオペレーションで完全な下り(外向き)保護を取得するには追加の構成が必要です。 デフォルトの App Engine サービス アカウントを使用する代わりに、Cloud Firestore サービス エージェントを使用してインポートとエクスポートのオペレーションを承認する必要があります。次の手順に沿って、インポート オペレーションとエクスポート オペレーションの認可アカウントを表示して構成します。