VPC Service Controls

VPC Service Controls 可让组织围绕 Google Cloud 资源定义边界,从而降低数据渗漏风险。借助 VPC Service Controls,您可以创建边界来保护明确指定的服务的资源和数据。

捆绑的 Cloud Firestore 服务

以下 API 在 VPC Service Controls 中捆绑在一起:

  • firestore.googleapis.com
  • datastore.googleapis.com
  • firestorekeyvisualizer.googleapis.com

当您限制边界中的 firestore.googleapis.com 服务时,边界也会限制 datastore.googleapis.comfirestorekeyvisualizer.googleapis.com 服务。

限制 datastore.googleapis.com 服务

datastore.googleapis.com 服务捆绑在 firestore.googleapis.com 服务下。如需限制 datastore.googleapis.com 服务,您必须按以下方式限制 firestore.googleapis.com 服务:

  • 使用 Google Cloud 控制台创建服务边界时,请添加 Cloud Firestore 作为受限服务。
  • 使用 Google Cloud CLI 创建服务边界时,请使用 firestore.googleapis.com 而不是 datastore.googleapis.com

    --perimeter-restricted-services=firestore.googleapis.com
    

适用于 DatastoreApp Engine 旧版捆绑服务

适用于 DatastoreApp Engine 旧版捆绑服务不支持服务边界。使用服务边界保护 Datastore 服务会阻止来自 App Engine 旧版捆绑服务的流量。旧版捆绑服务包括:

导入和导出操作的出站流量保护

与 MongoDB 兼容的 Cloud Firestore 支持 VPC Service Controls,但需要额外配置才能获得对导入和导出操作的全面出站流量保护。您必须使用 Cloud Firestore 服务代理来授权导入和导出操作,而不是使用默认的 App Engine 服务账号。按照以下说明查看和配置授权账号以用于导入和导出操作。