VPC Service Controls (Kiểm soát dịch vụ VPC) cho phép các tổ chức xác định một phạm vi xung quanh các tài nguyên Google Cloud để giảm thiểu rủi ro đánh cắp dữ liệu. Với VPC Service Controls, bạn tạo các phạm vi bảo vệ tài nguyên và dữ liệu của các dịch vụ mà bạn chỉ định rõ ràng.
Các dịch vụ được gói Cloud Firestore
Các API sau đây được gói cùng nhau trong VPC Service Controls:
firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com
Khi bạn hạn chế dịch vụ firestore.googleapis.com trong một phạm vi, phạm vi đó cũng sẽ hạn chế các dịch vụ datastore.googleapis.com và firestorekeyvisualizer.googleapis.com.
Hạn chế dịch vụ datastore.googleapis.com
Dịch vụ datastore.googleapis.com được gói trong dịch vụ firestore.googleapis.com. Để hạn chế dịch vụ datastore.googleapis.com, bạn phải hạn chế dịch vụ firestore.googleapis.com như sau:
- Khi tạo phạm vi dịch vụ bằng bảng điều khiển Cloud, hãy thêm Cloud Firestore làm dịch vụ bị hạn chế.
Khi tạo phạm vi dịch vụ bằng Google Cloud CLI, hãy sử dụng
firestore.googleapis.comthay vìdatastore.googleapis.com.--perimeter-restricted-services=firestore.googleapis.com
Các dịch vụ được gói cũ cho DatastoreApp Engine
App Engine Các dịch vụ được gói cũ cho Datastore không hỗ trợ phạm vi dịch vụ. Việc bảo vệ Datastore dịch vụ bằng phạm vi dịch vụ sẽ chặn lưu lượng truy cập từ App Engine các dịch vụ được gói cũ. Các dịch vụ được gói cũ bao gồm:
- Java 8 Datastore với App Engine API
- Thư viện ứng dụng Python 2 NDB cho Datastore
- Go 1.11 Datastore có App Engine API
Bảo vệ lưu lượng truy cập ra trên các hoạt động nhập và xuất
Cloud Firestore hỗ trợ VPC Service Controls nhưng yêu cầu phải định cấu hình thêm để được bảo vệ đầy đủ lưu lượng truy cập ra trên các hoạt động nhập và xuất. Bạn phải sử dụng tác nhân dịch vụ Cloud Firestore để uỷ quyền cho các hoạt động nhập và xuất thay vì tài khoản dịch vụ App Engine mặc định. Hãy làm theo hướng dẫn sau để xem và định cấu hình tài khoản uỷ quyền cho các hoạt động nhập và xuất.