VPC Service Controls

機構可透過 VPC Service Controls，在 Google Cloud 資源周圍定義安全範圍，降低資料遭竊的風險。透過 VPC Service Controls，您可以建立 perimeter，保護您明確指定的服務資源和資料。

套裝組合Cloud Firestore服務

VPC Service Controls 會將下列 API 組合在一起：

• firestore.googleapis.com
• datastore.googleapis.com
• firestorekeyvisualizer.googleapis.com

在範圍中限制 firestore.googleapis.com 服務時，範圍也會限制 datastore.googleapis.com 和 firestorekeyvisualizer.googleapis.com 服務。

限制 datastore.googleapis.com 服務

datastore.googleapis.com 服務會與 firestore.googleapis.com 服務一併提供。如要限制 datastore.googleapis.com 服務，請按照下列步驟限制 firestore.googleapis.com 服務：

• 使用 Google Cloud 控制台建立服務範圍時，請新增 Cloud Firestore 做為受限服務。

• 使用 Google Cloud CLI 建立服務範圍時，請使用 firestore.googleapis.com 而不是 datastore.googleapis.com。

  --perimeter-restricted-services=firestore.googleapis.com
  

App Engine 舊版服務套裝組合，適用於 Datastore

App Engine 舊版服務套裝組合 (適用於 Datastore) 不支援服務範圍。使用服務範圍保護Datastore 服務時，系統會封鎖來自舊版套裝服務的流量。App Engine舊版套裝組合服務包括：

• Java 8 Datastore，搭配 App Engine API
• 適用於 Datastore 的 Python 2 NDB 用戶端程式庫
• Go 1.11 Datastore (含 App Engine API)

匯入和匯出作業的輸出保護措施

與 MongoDB 相容的 Cloud Firestore 支援 VPC Service Controls，但需要額外設定，才能在匯入和匯出作業中獲得完整的輸出保護。您必須使用 Cloud Firestore 服務代理程式授權匯入和匯出作業，而非預設的 App Engine 服務帳戶。請按照下列操作說明，查看及設定匯入和匯出作業的授權帳戶。