VPC Service Controls

VPC Service Controls cho phép các tổ chức xác định ranh giới xung quanh các tài nguyên Google Cloud để giảm thiểu nguy cơ đánh cắp dữ liệu. Với Chế độ kiểm soát dịch vụ VPC, bạn có thể tạo các ranh giới bảo vệ tài nguyên và dữ liệu của những dịch vụ mà bạn chỉ định rõ ràng.

Các dịch vụ Cloud Firestore bán kèm

Các API sau đây được kết hợp với nhau trong VPC Service Controls:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

Khi bạn hạn chế dịch vụ firestore.googleapis.com trong một vành đai, vành đai đó cũng sẽ hạn chế các dịch vụ datastore.googleapis.comfirestorekeyvisualizer.googleapis.com.

Hạn chế dịch vụ datastore.googleapis.com

Dịch vụ datastore.googleapis.com được cung cấp kèm theo dịch vụ firestore.googleapis.com. Để hạn chế dịch vụ datastore.googleapis.com, bạn phải hạn chế dịch vụ firestore.googleapis.com như sau:

  • Khi tạo một ranh giới dịch vụ bằng Google Cloud Console, hãy thêm Cloud Firestore làm dịch vụ bị hạn chế.

  • Khi tạo một phạm vi dịch vụ bằng Google Cloud CLI, hãy sử dụng firestore.googleapis.com thay vì datastore.googleapis.com.

    --perimeter-restricted-services=firestore.googleapis.com

App Engine các dịch vụ cũ được cung cấp theo gói cho Datastore

App Engine Các dịch vụ cũ đi kèm cho Datastore không hỗ trợ ranh giới dịch vụ. Việc bảo vệ dịch vụ Datastore bằng một ranh giới dịch vụ sẽ chặn lưu lượng truy cập từ các dịch vụ cũ được kết hợp App Engine. Các dịch vụ cũ được cung cấp theo gói bao gồm:

Bảo vệ lưu lượng truy cập chiều đi trong các hoạt động nhập và xuất

Cloud Firestore có khả năng tương thích với MongoDB hỗ trợ VPC Service Controls nhưng yêu cầu cấu hình bổ sung để có được khả năng bảo vệ đầy đủ khi xuất và nhập dữ liệu. Bạn phải sử dụng tác nhân dịch vụ Cloud Firestore để uỷ quyền cho các thao tác nhập và xuất thay vì tài khoản dịch vụ App Engine mặc định. Hãy làm theo hướng dẫn sau để xem và định cấu hình tài khoản uỷ quyền cho các thao tác nhập và xuất.