VPC Service Controls позволяет организациям определять периметр вокруг ресурсов Google Cloud для снижения рисков утечки данных. С помощью VPC Service Controls вы создаете периметры, защищающие ресурсы и данные сервисов, которые вы явно указываете.
Пакетные сервисы Cloud Firestore
В состав VPC Service Control входят следующие API-интерфейсы:
-
firestore.googleapis.com -
datastore.googleapis.com -
firestorekeyvisualizer.googleapis.com
При ограничении доступа к сервису firestore.googleapis.com в рамках периметра сети, этот периметр также ограничивает доступ к сервисам datastore.googleapis.com и firestorekeyvisualizer.googleapis.com .
Ограничьте доступ к сервису datastore.googleapis.com
Сервис datastore.googleapis.com входит в состав сервиса firestore.googleapis.com . Для ограничения доступа к сервису datastore.googleapis.com необходимо ограничить доступ к сервису firestore.googleapis.com следующим образом:
- При создании периметра обслуживания с помощью консоли Google Cloud добавьте Cloud Firestore в качестве ограниченной службы.
При создании периметра обслуживания с помощью Google Cloud CLI используйте
firestore.googleapis.comвместоdatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Устаревшие встроенные сервисы App Engine для Datastore
Устаревшие встроенные сервисы App Engine для Datastore не поддерживают периметры сервиса. Защита сервиса Datastore с помощью периметра сервиса блокирует трафик от устаревших встроенных сервисов App Engine . К устаревшим встроенным сервисам относятся:
- Datastore Java 8 с API App Engine
- Клиентская библиотека NDB на Python 2 для Datastore .
- Datastore Go 1.11 с API App Engine
Защита от несанкционированного выхода при импортно-экспортных операциях
Cloud Firestore с поддержкой MongoDB поддерживает VPC Service Controls, но требует дополнительной настройки для обеспечения полной защиты исходящего трафика при операциях импорта и экспорта. Для авторизации операций импорта и экспорта необходимо использовать агент службы Cloud Firestore а не учетную запись службы App Engine по умолчанию. Следуйте приведенным ниже инструкциям, чтобы просмотреть и настроить учетную запись авторизации для операций импорта и экспорта.