VPC Service Controls est une fonctionnalité Google Cloud qui vous permet de configurer un périmètre de service créant une limite de transfert de données autour des ressourcesGoogle Cloud . VPC Service Controls offre une sécurité renforcée pour vos ressources App Hub, par exemple en réduisant le risque d'exfiltration de données. VPC Service Controls vous permet d'ajouter des projets aux périmètres de service afin de protéger les applications, les services et les charges de travail des requêtes provenant de l'extérieur du périmètre.
Les ressources App Hub sont exposées sur l'API apphub.googleapis.com, ce qui vous permet d'effectuer des opérations telles que la création et la suppression d'applications, de services et de charges de travail. Pour configurer VPC Service Controls avec App Hub, vous devez limiter la connectivité à cette surface d'API.
Nous vous recommandons de protéger toutes les ressources App Hub lorsque vous créez un périmètre de service.
App Hub est compatible avec les types de ressources suivants :
- Application
- Service découvert
- Charge de travail détectée
- Service
- Association de projets de service (uniquement pour les applications gérées par un projet hôte)
- Charge de travail
Applications dans un dossier compatible avec les applications
Lorsque vous activez la gestion des applications dans un dossier, les actions suivantes se produisent :
- Google crée un projet géré par Google dans le dossier appelé projet de gestion.
- Le système active les API requises pour la gestion des applications dans ce projet. Certaines API activées par le système sont directement liées à la gestion des applications. Les API restantes sont des dépendances.
Si vous souhaitez inclure le projet de gestion dans un périmètre de service, incluez les API activées compatibles avec VPC Service Controls. Pour en savoir plus, consultez Créer un périmètre de service.
API activées dans un projet de gestion
Les tableaux suivants listent les API qui sont automatiquement activées pour un projet de gestion. Si un produit est compatible avec VPC Service Controls, consultez la documentation associée pour en savoir plus, par exemple sur les limites ou les exigences de configuration supplémentaires.
API impliquées dans la conception, la création et le déploiement d'applications
Les API de ce tableau incluent App Hub, Application Design Center et les dépendances utilisées pour créer, déployer et stocker les données d'application.
Resource Manager est nécessaire pour activer et gérer les dossiers compatibles avec les applications.
| API | Compatibilité avec VPC Service Controls |
|---|---|
API App Hub (apphub.googleapis.com) |
Détails |
API App Design Center (designcenter.googleapis.com) |
|
API Artifact Registry (artifactregistry.googleapis.com) |
Détails |
API Cloud Asset (cloudasset.googleapis.com) |
Détails |
API Cloud Build (cloudbuild.googleapis.com) |
Détails |
API Cloud Resource Manager (cloudresourcemanager.googleapis.com) |
Détails |
API Infrastructure Manager (config.googleapis.com) |
Détails |
API Container Registry (containerregistry.googleapis.com) |
Détails |
API Identity and Access Management (iam.googleapis.com) |
Détails |
API IAM Service Account Credentials (iamcredentials.googleapis.com) |
Détails |
API Google Cloud Observability
| API | Compatibilité avec VPC Service Controls |
|---|---|
Cloud Logging (logging.googleapis.com) |
Détails |
Cloud Monitoring (monitoring.googleapis.com) |
Détails |
Cloud Trace (cloudtrace.googleapis.com) |
Détails |
Dépendances Google Cloud Observability
Certaines fonctionnalités de Logging et Cloud Monitoring nécessitent d'autres API de produits.
Les API Dataform et Dataplex Universal Catalog sont des dépendances BigQuery.
| API | Compatibilité avec VPC Service Controls |
|---|---|
API BigQuery (bigquery.googleapis.com) |
Détails |
API Analytics Hub (analyticshub.googleapis.com) (API pour le partage BigQuery) |
Détails |
API BigQuery Connection (bigqueryconnection.googleapis.com) |
Détails |
API BigQuery DataPolicy (bigquerydatapolicy.googleapis.com) |
Détails |
API BigQuery Migration (bigquerymigration.googleapis.com) |
Détails |
API BigQuery Reservation (bigqueryreservation.googleapis.com) |
Détails |
API BigQuery Storage (bigquerystorage.googleapis.com) |
Détails |
API Dataform (dataform.googleapis.com) |
Détails |
API Dataplex (dataplex.googleapis.com) |
Détails |
API Cloud Functions (cloudfunctions.googleapis.com) |
Détails |
API Cloud Storage (storage.googleapis.com) |
Détails |
Cloud Storage (storage-api.googleapis.com) |
|
API Cloud Storage JSON (storage-component.googleapis.com) |
|
API Pub/Sub (pubsub.googleapis.com) |
Détails |
API qui fournissent des données de ressources sur les ressources
| API | Compatibilité avec VPC Service Controls |
|---|---|
API Cloud Quotas (cloudquotas.googleapis.com) |
Détails |
API Service Health (servicehealth.googleapis.com) |
Détails |
Gemini Cloud Assist
| API | Compatibilité avec VPC Service Controls |
|---|---|
API Gemini pour Google Cloud (cloudaicompanion.googleapis.com) |
Détails |
Applications gérées par un projet hôte
Vous devez configurer VPC Service Controls sur les projets hôte et de service App Hub avant de créer une application et d'y enregistrer des services et des charges de travail. Pour en savoir plus, consultez Créer un périmètre de service.
Étapes suivantes
Pour en savoir plus sur VPC Service Controls, consultez la présentation et les produits compatibles et limitations.
Pour obtenir des conseils sur l'activation de VPC Service Controls, consultez la section Bonnes pratiques pour activer VPC Service Controls.
Pour connaître les bonnes pratiques de conception des périmètres de service, consultez la page Concevoir et concevoir des périmètres de service.
Pour configurer un périmètre de service, consultez la page Créer un périmètre de service.