Невозможно ограничить доступ к пространству имен хранилища данных.Например, в хранилище данных разрешения доступны для всего проекта, это означает, что вы не можете предоставить доступ на чтение только к определенному набору пространств имен / сущностей, но вы даете пользователю datastore.entities.get разрешения, и он сможет читать любую сущность.в хранилище данных в вашем проекте.
Как примечание, в Google Cloud Platform все данные по умолчанию шифруются перед записью на диск (см. Шифрование в состоянии покоя и Документация по шифрованию Datastore для этого ), однако значения будут отображаться в облачной консоли, если, по крайней мере, пользователь имеет доступ к хранилищу данных в незашифрованном виде.
Чтобы обойти это, если выне хотите, чтобы конфиденциальные данные отображались пользователям с общим доступом для чтения к хранилищу данных в вашем проекте, вы можете зашифровать свои данные на своей стороне перед записью их в хранилище данных, например, используя AES или RSA, хотя для шифрования данных этим методам требуются сторонние инструменты, и они выпадают из GCPоддержка.