MongoDB 互換の Firestore Enterprise エディションが利用可能になりました。
詳細
VPC Service Controls
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
VPC Service Controls を使用すると、組織で Google Cloud リソースの周囲に境界を定義して、データ漏洩のリスクを軽減できます。VPC Service Controls により、明示的に指定するサービスのリソースとデータを保護する境界を作成します。
バンドル Cloud Firestore サービス
次の API は VPC Service Controls にバンドルされています。
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
境界で firestore.googleapis.com サービスを制限すると、境界によって datastore.googleapis.com サービスと firestorekeyvisualizer.googleapis.com サービスも制限されます。
datastore.googleapis.com サービスを制限する
datastore.googleapis.com サービスは、firestore.googleapis.com サービスの下にバンドルされています。datastore.googleapis.com サービスを制限するには、次のように firestore.googleapis.com サービスを制限する必要があります。
Datastore 用の App Engine レガシー バンドル サービス
Datastore 用の App Engine レガシー バンドル サービスはサービス境界をサポートしていません。Datastore サービスをサービス境界で保護すると、App Engine レガシー バンドル サービスからのトラフィックがブロックされます。レガシー バンドル サービスには以下が含まれます。
インポート オペレーションおよびエクスポート オペレーションの下り(外向き)の保護
MongoDB 互換の Cloud Firestore は VPC Service Controls をサポートしていますが、インポートとエクスポートのオペレーションで完全な下り(外向き)保護を取得するには追加の構成が必要です。
デフォルトの App Engine サービス アカウントを使用する代わりに、Cloud Firestore サービス エージェントを使用してインポートとエクスポートのオペレーションを承認する必要があります。次の手順に沿って、インポート オペレーションとエクスポート オペレーションの認可アカウントを表示して構成します。
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2025-08-29 UTC。
[null,null,["最終更新日 2025-08-29 UTC。"],[],[],null,["\u003cbr /\u003e\n\n[VPC Service Controls](https://cloud.google.com/vpc-service-controls/) lets organizations define a perimeter around\nGoogle Cloud resources to mitigate data exfiltration risks. With\nVPC Service Controls, you create perimeters that protect the resources and data\nof services that you explicitly specify.\n\nBundled Cloud Firestore services\n\nThe following APIs are bundled together in VPC Service Controls:\n\n- `firestore.googleapis.com`\n- `datastore.googleapis.com`\n- `firestorekeyvisualizer.googleapis.com`\n\nWhen you restrict the `firestore.googleapis.com` service in a perimeter,\nthe perimeter also restricts the `datastore.googleapis.com` and\n`firestorekeyvisualizer.googleapis.com` services.\n\nRestrict the datastore.googleapis.com service\n\nThe `datastore.googleapis.com` service is bundled under the\n`firestore.googleapis.com` service. To restrict the\n`datastore.googleapis.com`\nservice, you must restrict the `firestore.googleapis.com` service\nas follows:\n\n- When creating a service perimeter using the Google Cloud console, add Cloud Firestore as the restricted service.\n- When creating a service perimeter using the Google Cloud CLI, use\n `firestore.googleapis.com` instead of `datastore.googleapis.com`.\n\n --perimeter-restricted-services=firestore.googleapis.com\n\nApp Engine legacy bundled services for Datastore\n\n[App Engine legacy bundled services for Datastore](https://cloud.google.com/appengine/docs/standard/python/bundled-services-overview)\ndon't support service perimeters. Protecting the Datastore\nservice with a service perimeter blocks traffic from\nApp Engine legacy bundled services. Legacy bundled services include:\n\n- [Java 8 Datastore with App Engine APIs](https://cloud.google.com/appengine/docs/standard/java/datastore)\n- [Python 2 NDB client library for Datastore](https://cloud.google.com/appengine/docs/standard/python/ndb/creating-entities)\n- [Go 1.11 Datastore with App Engine APIs](https://cloud.google.com/appengine/docs/standard/go111/datastore)\n\nEgress protection on import and export operations\n\nCloud Firestore with MongoDB compatibility supports VPC Service Controls but requires additional\nconfiguration to get full egress protection on import and export operations.\nYou must use the Cloud Firestore service agent to authorize import and\nexport operations instead of the default App Engine service\naccount. Use the following instructions to view and configure the authorization\naccount for import and export operations."]]
