VPC Service Controls

VPC Service Controls を使用すると、組織で Google Cloud リソースの周囲に境界を定義して、データ漏洩のリスクを軽減できます。VPC Service Controls により、明示的に指定するサービスのリソースとデータを保護する境界を作成します。

バンドル Cloud Firestore サービス

次の API は VPC Service Controls にバンドルされています。

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

境界で firestore.googleapis.com サービスを制限すると、境界によって datastore.googleapis.com サービスと firestorekeyvisualizer.googleapis.com サービスも制限されます。

datastore.googleapis.com サービスを制限する

datastore.googleapis.com サービスは、firestore.googleapis.com サービスの下にバンドルされています。datastore.googleapis.com サービスを制限するには、次のように firestore.googleapis.com サービスを制限する必要があります。

  • Google Cloud コンソールを使用してサービス境界を作成するときに、Cloud Firestore を制限付きサービスとして追加します。
  • Google Cloud CLI を使用してサービス境界を作成する場合は、datastore.googleapis.com ではなく firestore.googleapis.com を使用します。

    --perimeter-restricted-services=firestore.googleapis.com
    

Datastore 用の App Engine レガシー バンドル サービス

Datastore 用の App Engine レガシー バンドル サービスはサービス境界をサポートしていません。Datastore サービスをサービス境界で保護すると、App Engine レガシー バンドル サービスからのトラフィックがブロックされます。レガシー バンドル サービスには以下が含まれます。

インポート オペレーションおよびエクスポート オペレーションの下り(外向き)の保護

MongoDB 互換の Cloud Firestore は VPC Service Controls をサポートしていますが、インポートとエクスポートのオペレーションで完全な下り(外向き)保護を取得するには追加の構成が必要です。 デフォルトの App Engine サービス アカウントを使用する代わりに、Cloud Firestore サービス エージェントを使用してインポートとエクスポートのオペレーションを承認する必要があります。次の手順に沿って、インポート オペレーションとエクスポート オペレーションの認可アカウントを表示して構成します。