Com o VPC Service Controls, as organizações podem definir um perímetro em torno dos recursos do Google Cloud para reduzir os riscos de exfiltração de dados. Com o VPC Service Controls, você cria perímetros que protegem os recursos e os dados dos serviços especificados explicitamente.
Pacote de serviços de Cloud Firestore
As seguintes APIs são agrupadas no VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Quando você restringe o serviço firestore.googleapis.com em um perímetro,
o perímetro também restringe os serviços datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com.
Restringir o serviço datastore.googleapis.com
O serviço datastore.googleapis.com está agrupado no serviço
firestore.googleapis.com. Para restringir o serviço
datastore.googleapis.com, restrinja o serviço firestore.googleapis.com
da seguinte maneira:
- Ao criar um perímetro de serviço usando o console do Google Cloud, adicione Cloud Firestore como o serviço restrito.
Ao criar um perímetro de serviço usando o Google Cloud CLI, use
firestore.googleapis.comem vez dedatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Serviços agrupados legados do App Engine para Datastore
Os serviços agrupados legados do App Engine para Datastore não são compatíveis com perímetros de serviço. Proteger o serviço Datastore com um perímetro de serviço bloqueia o tráfego de serviços em pacote legados do App Engine. Os serviços agrupados legados incluem:
- Java 8 Datastore com APIs App Engine
- Biblioteca de cliente NDB do Python 2 para Datastore
- Go 1.11 Datastore com APIs App Engine
Proteção de saída em operações de importação e exportação
O Cloud Firestore com compatibilidade com o MongoDB oferece suporte ao VPC Service Controls, mas exige mais configurações para ter proteção total de saída nas operações de importação e exportação. Use o agente de serviço do Cloud Firestore para autorizar as operações de importação e exportação em vez da conta de serviço padrão do App Engine. Use as instruções a seguir para ver e configurar a conta de autorização para operações de importação e exportação.