Управление услугами VPC

Управление службами VPC позволяет организациям определить периметр вокруг ресурсов Google Cloud для снижения рисков утечки данных. С помощью управления службами VPC вы создаете периметры, защищающие ресурсы и данные сервисов, которые вы явно указываете.

Пакет услуг Cloud Firestore

В VPC Service Controls объединены следующие API:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

При ограничении службы firestore.googleapis.com в периметре периметр также ограничивает службы datastore.googleapis.com и firestorekeyvisualizer.googleapis.com .

Ограничить службу datastore.googleapis.com

Сервис datastore.googleapis.com входит в состав сервиса firestore.googleapis.com . Чтобы ограничить доступ к сервису datastore.googleapis.com , необходимо ограничить доступ к сервису firestore.googleapis.com следующим образом:

  • При создании периметра обслуживания с помощью консоли Google Cloud добавьте Cloud Firestore в качестве ограниченной службы.

  • При создании периметра службы с помощью Google Cloud CLI используйте firestore.googleapis.com вместо datastore.googleapis.com .

    --perimeter-restricted-services=firestore.googleapis.com

Устаревшие пакетные сервисы App Engine для Datastore

Устаревшие пакеты сервисов App Engine для Datastore не поддерживают периметры сервисов. Защита сервиса Datastore с помощью периметра сервиса блокирует трафик от устаревших пакетных сервисов App Engine . Устаревшие пакетные сервисы включают:

Защита от несанкционированного доступа при импортно-экспортных операциях

Cloud Firestore с совместимостью с MongoDB поддерживает VPC Service Controls, но требует дополнительной настройки для полной защиты исходящих данных при операциях импорта и экспорта. Для авторизации операций импорта и экспорта необходимо использовать агент службы Cloud Firestore вместо учётной записи службы App Engine по умолчанию. Для просмотра и настройки учётной записи авторизации для операций импорта и экспорта следуйте инструкциям ниже.