Ustawienia usługi VPC

Ustawienia usługi VPC umożliwiają organizacjom zdefiniowanie granicy wokół Google Cloud zasobów, aby zmniejszyć ryzyko wydobycia danych. Dzięki ustawieniom usługi VPC możesz tworzyć granice chroniące zasoby i dane usług, które bezpośrednio określisz.

Pakietowe Cloud Firestore usługi

Te interfejsy API są połączone w pakiet w ustawieniach usługi VPC:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

Gdy ograniczysz usługę firestore.googleapis.com w obrębie granicy, granica ta ograniczy też usługi datastore.googleapis.com i firestorekeyvisualizer.googleapis.com.

Ograniczanie usługi datastore.googleapis.com

Usługa datastore.googleapis.com jest połączona w pakiet z usługą firestore.googleapis.com. Aby ograniczyć usługę datastore.googleapis.com, musisz ograniczyć usługę firestore.googleapis.com w ten sposób:

  • Podczas tworzenia granicy usług za pomocą konsoli Google Cloud dodaj Cloud Firestore jako usługę objętą ograniczeniami.
  • Podczas tworzenia granicy usług za pomocą Google Cloud CLI użyj firestore.googleapis.com zamiast datastore.googleapis.com.

    --perimeter-restricted-services=firestore.googleapis.com
    

App Engine starsze pakietowe usługi dla Datastore

App Engine starsze pakietowe usługi dla Datastore nie obsługują granic usług. Ochrona Datastore usługi za pomocą granicy usług blokuje ruch z App Engine starszych pakietowych usług. Starsze pakietowe usługi obejmują:

Ochrona przed wydobyciem danych podczas operacji importu i eksportu

Cloud Firestore obsługuje ustawienia usługi VPC, ale wymaga dodatkowej konfiguracji, aby zapewnić pełną ochronę przed wydobyciem danych podczas operacji importu i eksportu. Do autoryzowania operacji importu i eksportu musisz używać agenta usługi Cloud Firestore zamiast domyślnego konta usługi App Engine. Aby wyświetlić i skonfigurować konto autoryzacji dla operacji importu i eksportu, wykonaj te czynności.

Agent usługi Cloud Firestore

Cloud Firestore używa agenta usługi Cloud Firestore do autoryzowania operacji importu i eksportu zamiast konta usługi App Engine. Agent usługi i konto usługi używają tych konwencji nazewnictwa:

Agent usługi Cloud Firestore
service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com

Cloud Firestore wcześniej używał domyślnego konta usługi App Engine zamiast agenta usługi Cloud Firestore. Jeśli Twoja baza danych nadal używa konta usługi App Engine do importowania lub eksportowania danych, zalecamy wykonanie instrukcji w tej sekcji, aby przejść na agenta usługi Cloud Firestore.

Konto usługi App Engine
PROJECT_ID@appspot.gserviceaccount.com

Agent usługi Cloud Firestore jest preferowany, ponieważ jest przeznaczony specjalnie dla Cloud Firestore. Konto usługi App Engine jest współdzielone przez więcej niż jedną usługę.

Wyświetlanie konta autoryzacji

Możesz sprawdzić, którego konta używają operacje importu i eksportu do autoryzowania żądań, na stronie Importowanie/eksportowanie w konsoli Google Cloud. Możesz też sprawdzić, czy Twoja baza danych używa już Cloud Firestore agenta usługi.

  1. Wyświetl konto autoryzacji obok etykiety Zadania importu/eksportu są uruchamiane jako.

Jeśli Twój projekt nie używa agenta usługi Cloud Firestore, możesz przejść na agenta usługi Cloud Firestore, stosując jedną z tych metod:

Pierwsza z tych metod jest preferowana, ponieważ ogranicza zakres działania do jednego Cloud Firestore projektu. Druga metoda nie jest preferowana, ponieważ nie powoduje migracji dotychczasowych Cloud Storage uprawnień zasobnika. Zapewnia jednak zgodność z zasadami bezpieczeństwa na poziomie organizacji.

Migracja przez sprawdzenie i zaktualizowanie uprawnień zasobnika Cloud Storage

Proces migracji składa się z 2 etapów:

  1. Aktualizacja uprawnień zasobnika Cloud Storage. Szczegóły znajdziesz w następnej sekcji.
  2. Potwierdzenie migracji do agenta usługi Cloud Firestore.

Uprawnienia agenta usługi do zasobnika

W przypadku operacji eksportu lub importu, które używają zasobnika Cloud Storage w innym projekcie, musisz przyznać agentowi usługi Cloud Firestore uprawnienia do tego zasobnika. Na przykład operacje przenoszące dane do innego projektu muszą mieć dostęp do zasobnika w tym projekcie. W przeciwnym razie te operacje zakończą się niepowodzeniem po migracji do agenta usługi Cloud Firestore.

Przepływy pracy importu i eksportu, które pozostają w tym samym projekcie, nie wymagają zmian uprawnień. Agent usługi Cloud Firestore może domyślnie uzyskiwać dostęp do zasobników w tym samym projekcie.

Zaktualizuj uprawnienia do zasobników Cloud Storage z innych projektów, aby przyznać dostęp agentowi service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com usługi. Przyznaj agentowi usługi rolę Firestore Service Agent.

Rola Firestore Service Agent przyznaje uprawnienia do odczytu i zapisu w zasobniku Cloud Storage. Jeśli chcesz przyznać tylko uprawnienia do odczytu lub tylko do zapisu, użyj roli niestandardowej.

Proces migracji opisany w następnej sekcji pomoże Ci zidentyfikować Cloud Storage zasobniki, które mogą wymagać aktualizacji uprawnień.

Migracja projektu do agenta usługi Firestore

Aby przejść z konta usługi App Engine na agenta usługi Cloud Firestore, wykonaj te czynności. Po zakończeniu migracji nie można jej cofnąć.

  1. Jeśli Twój projekt nie został jeszcze przeniesiony na agenta usługi Cloud Firestore, zobaczysz baner opisujący migrację i przycisk Sprawdź stan zasobnika. Następny krok pomoże Ci zidentyfikować i naprawić potencjalne błędy uprawnień.

    Kliknij Sprawdź stan zasobnika.

    Pojawi się menu z opcją dokończenia migracji i a listą Cloud Storage zasobników. Wczytanie listy może potrwać kilka minut.

    Ta lista zawiera zasobniki, które były ostatnio używane w operacjach importu i eksportu, ale obecnie nie mają uprawnień do odczytu i zapisu dla agenta usługi Cloud Firestore.

  2. Zanotuj nazwę podmiotu zabezpieczeń agenta usługi Cloud Firestore w swoim projekcie. Nazwa agenta usługi jest widoczna pod etykietą Agent usługi, któremu chcesz przyznać dostęp.
  3. W przypadku każdego zasobnika na liście, którego będziesz używać w przyszłych operacjach importu lub eksportu, wykonaj te czynności:

    1. W wierszu tabeli tego zasobnika kliknij Napraw. Spowoduje to otwarcie strony uprawnień tego zasobnika w nowej karcie.

    2. Kliknij Dodaj.
    3. W polu Nowe podmioty zabezpieczeń wpisz nazwę swojego Cloud Firestore agenta usługi.
    4. W polu Wybierz rolę kliknij Agenci usługi > Agent usługi Firestore.
    5. Kliknij Zapisz.
    6. Wróć do karty ze stroną importu/eksportu Cloud Firestore.
    7. Powtórz te czynności w przypadku innych zasobników na liście. Sprawdź wszystkie strony listy.
  4. Kliknij Przejdź na agenta usługi Firestore. Jeśli nadal masz zasobniki z nieudanymi sprawdzeniami uprawnień, musisz potwierdzić migrację, klikając Migruj.

    Gdy migracja się zakończy, otrzymasz powiadomienie. Migracji nie można cofnąć.

Wyświetlanie stanu migracji

Aby sprawdzić stan migracji projektu:

  1. Poszukaj podmiotu zabezpieczeń obok etykiety Zadania importu/eksportu są uruchamiane jako.

    Jeśli podmiot zabezpieczeń to service-PROJECT_NUMBER@gcp-sa-firestore.iam.gserviceaccount.com, Twój projekt został już przeniesiony na Cloud Firestore agenta usługi. Migracji nie można cofnąć.

    Jeśli projekt nie został przeniesiony, u góry strony pojawi się baner z przyciskiem Sprawdź stan zasobnika. Aby dokończyć migrację, przeczytaj artykuł Migracja do agenta usługi Firestore.

Dodawanie ograniczenia dotyczącego zasad organizacji

  • W zasadach organizacji ustaw to ograniczenie:

    Wymagaj agenta usługi Firestore do importowania/eksportowania (firestore.requireP4SAforImportExport).

    To ograniczenie wymaga, aby operacje importu i eksportu używały Cloud Firestore agenta usługi do autoryzowania żądań. Aby ustawić to ograniczenie, przeczytaj artykuł Tworzenie zasad organizacji i zarządzanie nimi .

Zastosowanie tego ograniczenia dotyczącego zasad organizacji nie powoduje automatycznego przyznania agentowi usługi Cloud Firestore odpowiednich uprawnień do zasobnika Cloud Storage.

Jeśli ograniczenie powoduje błędy uprawnień w przypadku przepływów pracy importu lub eksportu, możesz je wyłączyć, aby wrócić do korzystania z domyślnego konta usługi. Po sprawdzeniu i zaktualizowaniu Cloud Storage uprawnień zasobnika Cloud Storage możesz ponownie włączyć ograniczenie.