VPC Service Controls ist ein Google Cloud -Feature, mit dem Sie einen Dienstperimeter einrichten können, der eine Datenübertragungsgrenze fürGoogle Cloud -Ressourcen erstellt. VPC Service Controls bietet mehr Sicherheit für Ihre App Hub-Ressourcen, z. B. durch die Verringerung des Risikos einer Daten-Exfiltration. Mithilfe von VPC Service Controls können Sie Projekte in Dienstperimeter einfügen, die Anwendungen, Dienste und Arbeitslasten vor Anfragen schützen, die den Perimeter überschreiten.
App Hub-Ressourcen werden über die apphub.googleapis.com API bereitgestellt, mit der Sie Vorgänge wie das Erstellen und Löschen von Anwendungen, Diensten und Arbeitslasten ausführen können. Sie können VPC Service Controls mit App Hub einrichten, indem Sie die Verbindung auf diese API-Oberfläche beschränken.
Wir empfehlen, beim Erstellen eines Dienstperimeters alle App Hub-Ressourcen zu schützen.
App Hub unterstützt die folgenden Ressourcentypen:
- Anwendung
- Gefundener Dienst
- Erkannte Arbeitslast
- Dienst
- Anhängen von Dienstprojekten (nur für Anwendungen, die von einem Hostprojekt verwaltet werden)
- Arbeitslast
Anwendungen in einem für Anwendungen aktivierten Ordner
Wenn Sie die Anwendungsverwaltung für einen Ordner aktivieren, geschieht Folgendes:
- Google erstellt im Ordner ein von Google verwaltetes Projekt, das als Verwaltungsprojekt bezeichnet wird.
- Das System aktiviert die erforderlichen APIs für die Anwendungsverwaltung in diesem Projekt. Einige APIs, die das System ermöglicht, beziehen sich direkt auf die Anwendungsverwaltung. Die verbleibenden APIs sind Abhängigkeiten.
Wenn Sie das Verwaltungsprojekt in einen Dienstperimeter einbeziehen möchten, müssen Sie die aktivierten APIs einbeziehen, die VPC Service Controls unterstützen. Weitere Informationen finden Sie unter Dienstperimeter erstellen.
In einem Verwaltungsprojekt aktivierte APIs
In den folgenden Tabellen sind APIs aufgeführt, die für ein Verwaltungsprojekt automatisch aktiviert werden. Wenn ein Produkt VPC Service Controls unterstützt, finden Sie in der verlinkten Dokumentation weitere Informationen, z. B. zu Einschränkungen oder zusätzlichen Konfigurationsanforderungen.
APIs zum Entwerfen, Erstellen und Bereitstellen von Anwendungen
Die APIs in dieser Tabelle umfassen App Hub, Application Design Center und Abhängigkeiten, die zum Erstellen, Bereitstellen und Speichern von Anwendungsdaten verwendet werden.
Resource Manager ist erforderlich, um für Apps aktivierte Ordner zu aktivieren und zu verwalten.
| API | Unterstützung durch VPC Service Controls |
|---|---|
App Hub API (apphub.googleapis.com) |
Details |
App Design Center API (designcenter.googleapis.com) |
|
Artifact Registry API (artifactregistry.googleapis.com) |
Details |
Cloud Asset API (cloudasset.googleapis.com) |
Details |
Cloud Build API (cloudbuild.googleapis.com) |
Details |
Cloud Resource Manager API (cloudresourcemanager.googleapis.com) |
Details |
Infrastructure Manager API (config.googleapis.com) |
Details |
Container Registry API (containerregistry.googleapis.com) |
Details |
Identity and Access Management API (iam.googleapis.com) |
Details |
IAM Service Account Credentials API (iamcredentials.googleapis.com) |
Details |
Google Cloud Observability APIs
| API | Unterstützung durch VPC Service Controls |
|---|---|
Cloud Logging (logging.googleapis.com) |
Details |
Cloud Monitoring (monitoring.googleapis.com) |
Details |
Cloud Trace (cloudtrace.googleapis.com) |
Details |
Google Cloud Observability-Abhängigkeiten
Für einige Logging- und Cloud Monitoring-Funktionen sind andere Produkt-APIs erforderlich.
Die Dataform- und Dataplex Universal Catalog APIs sind BigQuery-Abhängigkeiten.
| API | Unterstützung durch VPC Service Controls |
|---|---|
BigQuery API (bigquery.googleapis.com) |
Details |
Analytics Hub API (analyticshub.googleapis.com) (API für die BigQuery-Freigabe) |
Details |
BigQuery Connection API (bigqueryconnection.googleapis.com) |
Details |
BigQuery Data Policy API (bigquerydatapolicy.googleapis.com) |
Details |
BigQuery Migration API (bigquerymigration.googleapis.com) |
Details |
BigQuery Reservation API (bigqueryreservation.googleapis.com) |
Details |
BigQuery Storage API (bigquerystorage.googleapis.com) |
Details |
Dataform API (dataform.googleapis.com) |
Details |
Dataplex API (dataplex.googleapis.com) |
Details |
Cloud Functions API (cloudfunctions.googleapis.com) |
Details |
Cloud Storage API (storage.googleapis.com) |
Details |
Cloud Storage (storage-api.googleapis.com) |
|
Cloud Storage JSON API (storage-component.googleapis.com) |
|
Pub/Sub API (pubsub.googleapis.com) |
Details |
APIs, die Ressourcendaten zu Ressourcen bereitstellen
| API | Unterstützung durch VPC Service Controls |
|---|---|
Cloud Quotas API (cloudquotas.googleapis.com) |
Details |
Service Health API (servicehealth.googleapis.com) |
Details |
Gemini Cloud Assist
| API | Unterstützung durch VPC Service Controls |
|---|---|
Gemini für Google Cloud API (cloudaicompanion.googleapis.com) |
Details |
Von einem Hostprojekt verwaltete Anwendungen
Sie müssen VPC Service Controls für die App Hub-Host- und Dienstprojekte einrichten, bevor Sie eine Anwendung erstellen und Dienste und Arbeitslasten für die Anwendung registrieren. Weitere Informationen finden Sie unter Dienstperimeter erstellen.
Nächste Schritte
Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht und unter Unterstützte Produkte und Einschränkungen.
Best Practices zum Aktivieren von VPC Service Controls finden Sie unter Best Practices zum Aktivieren von VPC Service Controls.
Best Practices für das Erstellen von Dienstperimetern finden Sie unter Dienstperimeter entwerfen.
Informationen zum Einrichten eines Dienstperimeters finden Sie unter Dienstperimeter erstellen.