Prodotti supportati e limitazioni

Per saperne di più su Infrastructure Manager, consulta documentazione sul prodotto.

Per utilizzare Gestore carichi di lavoro in un perimetro dei Controlli di servizio VPC:

• Devi utilizzare un pool di worker privato di Cloud Build per l'ambiente di deployment in Gestore carichi di lavoro. Non puoi utilizzare il pool di worker predefinito di Cloud Build.
• Il pool privato di Cloud Build deve avere chiamate internet pubbliche abilitate per scaricare la configurazione Terraform.

Per ulteriori informazioni, vedi Usa un pool di worker privato di Cloud Build nella documentazione di Gestore carichi di lavoro.

Per saperne di più su Gestore carichi di lavoro, consulta documentazione sul prodotto.

L'API per Google Cloud NetApp Volumes può essere protetta dai Controlli di servizio VPC e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Google Cloud NetApp Volumes, consulta documentazione sul prodotto.

Google Cloud Search supporta i controlli di sicurezza del virtual private cloud (Controlli di servizio VPC) per migliorare la sicurezza dei tuoi dati. Controlli di servizio VPC consente di definire un perimetro di sicurezza attorno a Google Risorse della piattaforma Cloud per limitare l'accesso ai dati e contribuire a mitigare i rischi di esfiltrazione di dati.

Per saperne di più su Google Cloud Search, consulta documentazione sul prodotto.

L'API per Connectivity Tests può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Connectivity Tests, consulta documentazione sul prodotto.

L'integrazione di Connectivity Tests con Controlli di servizio VPC non ha limitazioni note.

Controlli di servizio VPC supporta la previsione online, ma non quella batch.

Per ulteriori informazioni su AI Platform Prediction, consulta documentazione sul prodotto.

L'API per AI Platform Training può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su AI Platform Training, consulta documentazione sul prodotto.

I perimetri Controlli di servizio VPC proteggono l'API AlloyDB.

Per saperne di più su AlloyDB per PostgreSQL, consulta documentazione sul prodotto.

• Prima di configurare Controlli di servizio VPC per AlloyDB per PostgreSQL, abilita Service Networking tramite Google Cloud CLI o tramite l'API Compute Engine.
• Quando utilizzi AlloyDB per PostgreSQL con il VPC condiviso e i Controlli di servizio VPC, il progetto e il progetto di servizio devono trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC.

L'API per Vertex AI Workbench può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Workbench, consulta documentazione sul prodotto.

L'API per Vertex AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Vedi Colab Enterprise.

Per saperne di più su Vertex AI, consulta documentazione sul prodotto.

L'API per Vertex AI Vision può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Vision, consulta documentazione sul prodotto.

L'API per Colab Enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Colab Enterprise fa parte di Vertex AI. Vedi Vertex AI.

Colab Enterprise utilizza Dataform per l'archiviazione dei blocchi note. Vedi Dataform.

Per ulteriori informazioni su Colab Enterprise, consulta le documentazione sul prodotto.

L'API per Apigee e Apigee hybrid può essere protetta dai Controlli di servizio VPC e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Apigee e Apigee hybrid, consulta documentazione sul prodotto.

Per saperne di più su Analytics Hub, consulta documentazione sul prodotto.

L'API per Anthos Service Mesh può essere protetta dai Controlli di servizio VPC e dal prodotto possono essere utilizzati normalmente all'interno dei perimetri di servizio.

Puoi utilizzare mesh.googleapis.com per abilitare le API richieste per Cloud Service Mesh. Non è necessario limitare mesh.googleapis.com nel perimetro perché non espone nessuna API.

• Informazioni su configurazione di cluster privati durante l'installazione di più cluster in Cloud Service Mesh.
• Informazioni su aggiungendo servizi Anthos Service Mesh ai perimetri di servizio.

Per saperne di più su Cloud Service Mesh, consulta documentazione sul prodotto.

I perimetri di servizio non sono attualmente supportati con il piano di controllo gestito di Cloud Service Mesh.

Oltre a proteggere l'API Artifact Registry, Artifact Registry può essere utilizzato all'interno dei perimetri di servizio con GKE e Compute Engine.

Per ulteriori informazioni su Artifact Registry, consulta documentazione sul prodotto.

L'API per Assured Workloads può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Assured Workloads, consulta documentazione sul prodotto.

L'integrazione di Assured Workloads con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Natural Language, consulta documentazione sul prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Tables, consulta documentazione sul prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Translation, consulta documentazione sul prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Video Intelligence, consulta documentazione sul prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Vision, consulta documentazione sul prodotto.

L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, I perimetri Controlli di servizio VPC non si estendono alla soluzione Bare Metal Solution delle estensioni a livello di regione.

Per ulteriori informazioni su Bare Metal Solution, fai riferimento alle documentazione sul prodotto.

Bare Metal Solution non supporta i Controlli di servizio VPC. Connessione di un VPC al servizio abilitati per il tuo ambiente Bare Metal Solution non supportano alcun controllo dei servizi garantiti.

Per ulteriori informazioni sulle limitazioni Bare Metal Solution relative ai Controlli di servizio VPC, consulta Nota problemi e limitazioni.

L'API per Batch può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Batch, consulta documentazione sul prodotto.

L'API per BigLake Metastore può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su BigLake Metastore, consulta documentazione sul prodotto.

L'integrazione di BigLake Metastore con i Controlli di servizio VPC non ha limitazioni note.

Quando proteggi l'API BigQuery utilizzando un perimetro di servizio, l'API BigQuery Storage, l'API BigQuery Reservation Anche le API BigQuery Connection sono protette. Non è necessario separare aggiungi queste API all'elenco di servizi protetti del tuo perimetro.

Per saperne di più su BigQuery, consulta documentazione sul prodotto.

L'API BigQuery Data Policy può essere protetta dai Controlli di servizio VPC e il prodotto possono essere utilizzati normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API BigQuery Data Policy, consulta documentazione sul prodotto.

L'integrazione dell'API BigQuery Data Policy con i Controlli di servizio VPC non ha limitazioni note.

Il perimetro di servizio protegge solo l'API BigQuery Data Transfer Service. L'effettiva protezione dei dati è applicato da BigQuery. È progettato per consentire l'importazione di dati da da origini esterne a Google Cloud, come Amazon S3, Redshift, Teradata, YouTube Google Play e Google Ads in set di dati BigQuery. Per informazioni su Requisiti dei Controlli di servizio VPC per la migrazione dei dati da Teradata, consulta Controlli di servizio requisiti.

Per ulteriori informazioni su BigQuery Data Transfer Service, consulta documentazione sul prodotto.

L'API BigQuery Migration può essere protetta dai Controlli di servizio VPC e il prodotto possono essere utilizzati normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API BigQuery Migration, consulta documentazione sul prodotto.

L'integrazione dell'API BigQuery Migration con i Controlli di servizio VPC non ha limitazioni note.

bigtable.googleapis.com e bigtableadmin.googleapis.com sono in bundle. Se limiti bigtable.googleapis.com servizio in un perimetro, limita il valore bigtableadmin.googleapis.com per impostazione predefinita. Non puoi aggiungere bigtableadmin.googleapis.com all'elenco dei servizi limitati in un perimetro perché è in bundle con bigtable.googleapis.com.

Per saperne di più su Bigtable, consulta documentazione sul prodotto.

L'integrazione di Bigtable con i Controlli di servizio VPC non ha limitazioni note.

Se usi più progetti con Autorizzazione binaria, ogni progetto deve essere incluse nel perimetro dei Controlli di servizio VPC. Per ulteriori informazioni su questo caso d'uso, vedi Configurazione per più progetti.

Con Autorizzazione binaria, puoi utilizzare Artifact Analysis per archiviare attestanti e attestazioni come note e occorrenze. In questo caso, devi Includere anche Artifact Analysis nel perimetro dei Controlli di servizio VPC. Consulta le indicazioni sui Controlli di servizio VPC per Artifact Analysis per ulteriori dettagli.

Per saperne di più su Autorizzazione binaria, consulta documentazione sul prodotto.

L'integrazione di Autorizzazione binaria con i Controlli di servizio VPC non ha limitazioni note.

L'API per Blockchain Node Engine può essere protetta dai Controlli di servizio VPC e utilizzati normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Blockchain Node Engine, consulta documentazione sul prodotto.

L'API per Certificate Authority Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Certificate Authority Service, consulta documentazione sul prodotto.

Per utilizzare Config Controller con Controlli di servizio VPC, devi abilitare le seguenti API all'interno il tuo perimetro:

• API Cloud Monitoring (monitoring.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

Se esegui il provisioning delle risorse con Config Controller, devi abilitare l'API per per le risorse nel tuo perimetro di servizio. Ad esempio, se vuoi aggiungere un IAM devi aggiungere l'API IAM (iam.googleapis.com).

Per saperne di più su Config Controller, consulta documentazione sul prodotto.

L'integrazione di Config Controller con i Controlli di servizio VPC non ha limitazioni note.

Per ulteriori informazioni su Data Catalog, consulta documentazione sul prodotto.

L'integrazione di Data Catalog con i Controlli di servizio VPC non presenta limitazioni note.

Cloud Data Fusion richiede procedure speciali per proteggere utilizzando i Controlli di servizio VPC.

Per saperne di più su Cloud Data Fusion, consulta documentazione sul prodotto.

L'API for Data Lineage può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Data Lineage, consulta documentazione sul prodotto.

L'integrazione dell'API Data Lineage con i Controlli di servizio VPC non ha limitazioni note.

Il supporto dei Controlli di servizio VPC per Compute Engine offre le seguenti opzioni di sicurezza vantaggi:

• Limita l'accesso a operazioni API sensibili
• Limita gli snapshot di disco permanente e le immagini personalizzate a un perimetro
• Limita l'accesso ai metadati dell'istanza

Il supporto dei Controlli di servizio VPC per Compute Engine consente inoltre di utilizzare Reti Virtual Private Cloud e cluster privati di Google Kubernetes Engine all'interno dei perimetri di servizio.

Per saperne di più su Compute Engine, consulta documentazione sul prodotto.

Per utilizzare Contact Center AI Insights con i Controlli di servizio VPC, devi disporre di quanto segue di API aggiuntive all'interno del perimetro, a seconda dell'integrazione.

• Per caricare i dati in Contact Center AI Insights, aggiungi l'API Cloud Storage al perimetro di servizio.

• Per utilizzare l'esportazione, aggiungi l'API BigQuery al perimetro di servizio.

• Per integrare più prodotti CCAI, aggiungi l'API Vertex AI al perimetro di servizio.

Per saperne di più sugli insight di Contact Center AI, consulta documentazione sul prodotto.

L'integrazione di Contact Center AI Insights con i Controlli di servizio VPC non ha limitazioni note.

Dataflow supporta una serie di connettori per i servizi di archiviazione. I seguenti connettori sono stati verificato per funzionare con Dataflow all'interno di un perimetro di servizio:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Per ulteriori informazioni su Dataflow, fai riferimento documentazione sul prodotto.

• L'associazione BIND personalizzata non è supportata quando si utilizza Dataflow. Per personalizzare la risoluzione DNS quando utilizzando Dataflow con i Controlli di servizio VPC, usa le zone private di Cloud DNS anziché utilizzare server BIND personalizzati. Per utilizzare la tua risoluzione DNS on-premise, valuta la possibilità di usare un Metodo di forwarding DNS di Google Cloud.

• La scalabilità automatica verticale non può essere protetta da un perimetro Controlli di servizio VPC. Per utilizzare la scalabilità automatica verticale in un perimetro dei Controlli di servizio VPC, devi disattivare Funzionalità dei servizi accessibili da VPC.

• Se abiliti Dataflow Prime e avvii un nuovo job all'interno di Controlli di servizio VPC il perimetro, il job usa Dataflow Prime senza scalabilità automatica verticale.

• Non tutti i connettori dei servizi di archiviazione sono stati verificati per funzionare quando vengono utilizzati con Dataflow all'interno di un perimetro di servizio. Per un elenco di connettori verificati, consulta "Dettagli" nella sezione precedente.

• Quando si utilizza Python 3.5 con Apache Beam SDK 2.20.0‐2.22.0, I job Dataflow non riusciranno all'avvio se i worker hanno solo indirizzi IP privati, ad esempio quando utilizzi Controlli di servizio VPC per proteggere le risorse. Se i worker Dataflow possono avere solo indirizzi IP privati, ad esempio quando si utilizzano Controlli di servizio VPC per proteggere le risorse, non usare Python 3.5 con Apache Beam SDK 2.20.0‐2.22.0. Questa combinazione causa la mancata riuscita dei job all'avvio.

L'API per Dataplex può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dataplex, consulta documentazione sul prodotto.

Dataproc richiede procedure speciali per proteggere utilizzando i Controlli di servizio VPC.

Per ulteriori informazioni su Dataproc, consulta documentazione sul prodotto.

Per proteggere un cluster Dataproc con un perimetro di servizio, segui le Reti Dataproc e Controlli di servizio VPC istruzioni.

Dataproc Serverless richiede procedure speciali per proteggere utilizzando i Controlli di servizio VPC.

Per ulteriori informazioni su Dataproc Serverless per Spark, consulta documentazione sul prodotto.

Per proteggere il carico di lavoro serverless con un perimetro di servizio, segui le Reti Dataproc Serverless e Controlli di servizio VPC istruzioni.

L'API per Dataproc Metastore può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Dataproc Metastore, consulta documentazione sul prodotto.

L'integrazione di Dataproc Metastore con i Controlli di servizio VPC non ha limitazioni note.

L'API per Datastream può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Datastream, consulta documentazione sul prodotto.

L'integrazione di Datastream con i Controlli di servizio VPC non ha limitazioni note.

L'API per Database Migration Service può essere protetta dai Controlli di servizio VPC e il prodotto può e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Database Migration Service, consulta documentazione sul prodotto.

L'API per Dialogflow può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dialogflow, consulta documentazione sul prodotto.

L'API Sensitive Data Protection può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Sensitive Data Protection, consulta le documentazione sul prodotto.

L'API per Cloud DNS può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud DNS, consulta documentazione sul prodotto.

• Puoi accedere a Cloud DNS tramite il VIP con restrizioni. Tuttavia, non puoi creare o aggiornare zone DNS pubbliche all'interno di progetti all'interno del Perimetro Controlli di servizio VPC.

L'API per Document AI può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Document AI, consulta documentazione sul prodotto.

L'integrazione di Document AI con i Controlli di servizio VPC non ha limitazioni note.

L'API per Document AI Warehouse può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Document AI Warehouse, consulta documentazione sul prodotto.

L'integrazione di Document AI Warehouse con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Domains può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Domains, consulta documentazione sul prodotto.

• I dati di contatto utilizzati in Cloud Domains potrebbero essere condivisi con un suffisso di dominio o un dominio di primo livello (TLD) e potrebbe essere accessibile pubblicamente WHOIS/RDAP, a seconda delle tue impostazioni. in conformità con le regole di ICANN. Per maggiori dettagli, vedi Protezione della privacy.

• I dati di configurazione DNS utilizzati in Cloud Domains: server dei nomi e le impostazioni DNSSEC: pubblico. Se il tuo dominio delega a una zona DNS pubblica, ovvero predefinita, anche i dati di configurazione DNS di quella zona saranno pubblici.

Eventarc gestisce la consegna degli eventi utilizzando Pub/Sub argomenti e sottoscrizioni push. per accedere all'API Pub/Sub e gestire l'evento dei trigger, l'API Eventarc deve essere protetta all'interno degli stessi Controlli di servizio VPC il perimetro di servizio come l'API Pub/Sub.

Per saperne di più su Eventarc, consulta documentazione sul prodotto.

Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:

• Eventarc è vincolato dalle stesse limitazioni di Pub/Sub:
  • Quando si instradano eventi alle destinazioni di Cloud Run, viene usato il nuovo Pub/Sub non è possibile creare sottoscrizioni push a meno che gli endpoint push non siano impostati su Servizi Cloud Run con URL run.app predefiniti (dati personalizzati non funzionano).
  • Quando si instradano eventi a destinazioni di Workflows per cui L'endpoint push di Pub/Sub è impostato su Workflows puoi solo creare nuove sottoscrizioni push di Pub/Sub tramite Eventarc.
  In questo documento, consulta Pub/Sub limitazioni.
• I Controlli di servizio VPC bloccano la creazione di trigger Eventarc per interni Endpoint HTTP. La protezione dei Controlli di servizio VPC non si applica durante il routing per eventi a tali destinazioni.

L'API per Distributed Cloud Edge Network può essere protetta dai Controlli di servizio VPC e utilizzati normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Distributed Cloud Edge Network, fai riferimento alle documentazione sul prodotto.

L'integrazione dell'API Distributed Cloud Edge Network con i Controlli di servizio VPC non presenta limitazioni note.

L'API antiriciclaggio può essere protetta dai Controlli di servizio VPC e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Anti Money Laundering AI, consulta le documentazione sul prodotto.

L'integrazione di Anti Money Laundering AI con i Controlli di servizio VPC non ha limitazioni note.

Quando configuri e scambi i token Firebase App Check, Controlli di servizio VPC protegge solo il servizio Firebase App Check. Per proteggere i servizi che si basano su Firebase App Check, devi configurare i perimetri di servizio per questi servizi.

Per ulteriori informazioni su Firebase App Check, consulta documentazione sul prodotto.

L'integrazione di Firebase App Check con i Controlli di servizio VPC non ha limitazioni note.

Quando gestisci i criteri delle regole di sicurezza Firebase, Controlli di servizio VPC protegge solo il servizio Regole di sicurezza Firebase. Per proteggere i servizi che si basano su Regole di sicurezza di Firebase, devi impostare le autorizzazioni di servizio per questi servizi.

Per ulteriori informazioni sulle regole di sicurezza di Firebase, consulta documentazione sul prodotto.

L'integrazione delle regole di sicurezza di Firebase con i Controlli di servizio VPC non ha limitazioni note.

Consulta la documentazione di Cloud Functions per la procedura di configurazione. La protezione dei Controlli di servizio VPC non si applica alla fase di creazione quando Le funzioni Cloud Functions sono create usando Cloud Build. Per ulteriori dettagli, consulta le limitazioni note.

Per ulteriori informazioni su Cloud Functions, consulta documentazione sul prodotto.

Quando limiti IAM con un perimetro, vengono applicate solo le azioni di usare l'API IAM sono limitate. Queste azioni includono la gestione ruoli IAM personalizzati, gestione dei pool di identità per i carichi di lavoro e chiavi di Google Cloud. Il perimetro non limita le azioni dei pool di forza lavoro perché i pool di forza lavoro sono a livello di organizzazione.

Il perimetro che circonda IAM non limitare la gestione degli accessi, ovvero ottenere IAM) per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni di Resource Manager oppure di Compute Engine. Limitare l'accesso gestire la gestione di queste risorse, crei un perimetro che limiti proprietario delle risorse. Per un elenco di risorse che accettano Per i criteri IAM e i servizi che li possiedono, consulta Tipi di risorse che accettano criteri IAM.

Inoltre, il perimetro che circonda IAM non limita le azioni che utilizzano altre API, tra cui:

• API IAM Policy Simulator
• API IAM Policy Troubleshooter
• API Security Token Service
• API Service Account Credentials (inclusi signBlob e signJwt nell'API IAM)

Per saperne di più su Identity and Access Management, consulta documentazione sul prodotto.

Se ti trovi all'interno del perimetro, non puoi chiamare il metodo Metodo roles.list con una stringa vuota per elencare i ruoli IAM predefiniti. Per visualizzare sui ruoli predefiniti, consulta Ruolo IAM documentazione.

L'API IAP Admin consente agli utenti di configurare IAP.

Per ulteriori informazioni sull'API Admin IAP , consulta documentazione sul prodotto.

L'integrazione dell'API IAP Admin con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'inventario di Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Cloud KMS Inventory, consulta documentazione sul prodotto.

Il metodo dell'API SearchProtectedResources non applica restrizioni per il perimetro di servizio sui progetti restituiti.

L'API per le credenziali dell'account di servizio può essere protetta dai Controlli di servizio VPC e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulle credenziali dell'account di servizio, consulta documentazione sul prodotto.

L'integrazione delle credenziali dell'account di servizio con i Controlli di servizio VPC non ha limitazioni note.

L'API per i metadati di servizio può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Service Metadata, consulta documentazione sul prodotto.

L'integrazione dell'API Service Metadata con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'accesso VPC serverless può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'accesso VPC serverless, consulta documentazione sul prodotto.

L'integrazione dell'accesso VPC serverless con i Controlli di servizio VPC non ha limitazioni note.

L'API Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzate all'interno dei perimetri di servizio. Anche l'accesso ai servizi Cloud HSM è protetto dai Controlli di servizio VPC e possono essere utilizzate all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Key Management Service, consulta documentazione sul prodotto.

L'integrazione di Cloud Key Management Service con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Game Servers può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sui Game Servers, fai riferimento all' documentazione sul prodotto.

L'integrazione di Game Servers con i Controlli di servizio VPC non ha limitazioni note.

L'API per Gemini Code Assist può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Gemini Code Assist, consulta documentazione sul prodotto.

Il controllo dell'accesso basato sul dispositivo, sull'indirizzo IP pubblico o sulla posizione non supportato per Gemini nella console Google Cloud.

L'API Identity-Aware Proxy per TCP può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Identity-Aware Proxy per TCP, fai riferimento documentazione sul prodotto.

L'API per Cloud Life Sciences può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Life Sciences, consulta il documentazione sul prodotto.

L'integrazione di Cloud Life Sciences con i Controlli di servizio VPC non ha limitazioni note.

Configurazione aggiuntiva richiesta per:

• Accesso on-premise all'API Microsoft AD gestita
• VPC condiviso

Per ulteriori informazioni su Managed Service for Microsoft Active Directory, consulta documentazione sul prodotto.

L'integrazione di Managed Service for Microsoft Active Directory con i Controlli di servizio VPC non ha limitazioni note.

L'API per reCAPTCHA può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su reCAPTCHA, consulta la documentazione sul prodotto.

L'integrazione di reCAPTCHA con i Controlli di servizio VPC non ha limitazioni note.

L'API per Web Risk può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Web Risk, consulta documentazione sul prodotto.

L'API Valuta e l'API Submission non sono supportate da Controlli di servizio VPC.

L'API per il motore per suggerimenti può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più sul motore per suggerimenti, consulta documentazione sul prodotto.

• Controlli di servizio VPC non supporta l'organizzazione, la cartella o l'account di fatturazione Google Cloud.

L'API per Secret Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Secret Manager, consulta documentazione sul prodotto.

L'integrazione di Secret Manager con i Controlli di servizio VPC non ha limitazioni note.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni dell'amministratore, alle operazioni del publisher e operazioni con gli abbonati (ad eccezione delle sottoscrizioni push esistenti).

Per ulteriori informazioni su Pub/Sub, consulta documentazione sul prodotto.

Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:

• Non è possibile creare nuove sottoscrizioni push a meno che gli endpoint push non siano impostati su Servizi Cloud Run con URL run.app predefiniti o un Esecuzione di Workflows (i domini personalizzati non funzionano). Per maggiori informazioni informazioni sull'integrazione con Cloud Run, consulta Utilizzo dei Controlli di servizio VPC.
• Per le sottoscrizioni non push, devi creare una sottoscrizione nello stesso perimetro di all'argomento o abilitare le regole in uscita per consentire l'accesso dall'argomento alla sottoscrizione.
• Durante il routing degli eventi tramite Eventarc a Workflows i target per i quali l'endpoint push è impostato su un'esecuzione di Workflows, può creare nuove sottoscrizioni push solo tramite Eventarc.
• Le sottoscrizioni Pub/Sub create prima del perimetro di servizio non bloccato.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni degli abbonati.

Per ulteriori informazioni su Pub/Sub Lite, consulta documentazione sul prodotto.

L'integrazione di Pub/Sub Lite con i Controlli di servizio VPC non ha limitazioni note.

Utilizza Controlli di servizio VPC con i pool privati di Cloud Build per aggiungere ulteriore sicurezza alle build.

Per saperne di più su Cloud Build, consulta documentazione sul prodotto.

• La protezione dei Controlli di servizio VPC è disponibile solo per le build eseguite in pool privati.

• I trigger Pub/Sub di Cloud Build non sono supportati.

L'API per Cloud Deploy può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Deploy, consulta documentazione sul prodotto.

Per utilizzare Cloud Deploy in un perimetro, devi utilizzare un pool privato di Cloud Build per gli ambienti di esecuzione della destinazione. Non utilizzare il pool di worker predefinito (Cloud Build) e non utilizzare un pool ibrido.

Configurazione di Composer per l'utilizzo con i Controlli di servizio VPC

Per saperne di più su Cloud Composer, consulta documentazione sul prodotto.

• L'abilitazione della serializzazione DAG impedisce ad Airflow di visualizzare un rendering con funzioni nella UI web.

• L'impostazione del flag async_dagbag_loader su True non è supportata durante il DAG la serializzazione sia abilitata.

• L'abilitazione della serializzazione dei DAG disabilita tutti i plug-in dei server web di Airflow, che potrebbero mettere a rischio la sicurezza della rete VPC in cui Cloud Composer di cui è stato eseguito il deployment. Questo non influisce sul comportamento dei plug-in di scheduler o worker, inclusi operatori e sensori Airflow.

• Quando Cloud Composer è in esecuzione all'interno di un perimetro, I repository PyPI sono limitati. In Cloud Composer consulta la documentazione Installare le dipendenze Python per scoprire come installare i moduli PyPi in modalità IP privato.

L'API per le quote di Cloud può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Quotas, consulta il documentazione sul prodotto.

Per saperne di più su Cloud Run, consulta documentazione sul prodotto.

• Creazione di job Cloud Scheduler
• Aggiornamenti dei job Cloud Scheduler

Per saperne di più su Cloud Scheduler, consulta gli documentazione sul prodotto.

L'API per Spanner può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Spanner, consulta documentazione sul prodotto.

L'integrazione di Spanner con i Controlli di servizio VPC non ha limitazioni note.

L'API per Speaker ID può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Speaker ID, consulta le documentazione sul prodotto.

L'integrazione di Speaker ID con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Storage può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Storage, consulta documentazione sul prodotto.

L'API per Cloud Tasks può essere protetta dai Controlli di servizio VPC può essere usato normalmente all'interno dei perimetri di servizio.

Le richieste HTTP dalle esecuzioni di Cloud Tasks sono supportate come segue:

• Richieste autenticate ai controlli di servizio VPC conformi ai Controlli di servizio VPC Sono consentiti gli endpoint Cloud Functions e Cloud Run.
• Richieste a funzioni non Cloud Functions e non a Cloud Run sono bloccati.
• Richieste a Cloud Functions non conformi a Controlli di servizio VPC e gli endpoint Cloud Run sono bloccati.

Per saperne di più su Cloud Tasks, consulta documentazione sul prodotto.

I perimetri Controlli di servizio VPC proteggono l'API Cloud SQL Admin.

Per saperne di più su Cloud SQL, consulta documentazione sul prodotto.

• I perimetri di servizio proteggono solo l'API Cloud SQL Admin. Loro non proteggono l'accesso ai dati basato su IP alle istanze Cloud SQL. Devi Utilizzare un vincolo dei criteri dell'organizzazione per limitare l'accesso IP pubblico sulle istanze Cloud SQL.
• Prima di configurare Controlli di servizio VPC per Cloud SQL, abilita Service Networking tramite Google Cloud CLI o tramite l'API Compute Engine.

• Le importazioni e le esportazioni di Cloud SQL possono eseguire letture e scritture solo da un nello stesso perimetro di servizio del bucket Cloud Storage dell'istanza di replica Cloud SQL.

• Nel flusso di migrazione di un server esterno, e devi aggiungere il bucket Cloud Storage allo stesso perimetro di servizio.
• Nel flusso di creazione delle chiavi per CMEK, devi Crea la chiave nello stesso servizio. il perimetro sia le risorse che lo utilizzano.
• Quando ripristini un'istanza da un backup, l'istanza di destinazione deve risiedano nello stesso perimetro di servizio del backup.

L'API per Video Intelligence può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Video Intelligence, consulta documentazione sul prodotto.

L'integrazione dell'API Video Intelligence con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Cloud Vision può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Vision, consulta documentazione sul prodotto.

Per utilizzare Artifact Analysis con i Controlli di servizio VPC, puoi: per aggiungere altri servizi al tuo perimetro VPC:

• Se utilizzi Pub/Sub notifiche con Artifact Analysis, aggiungi Pub/Sub al tuo servizio perimetrale.
• Se utilizzi Contenitore API Scanning, aggiungi il tuo registro al perimetro: Artifact Registry o Container Registry.

Poiché l'API Container Scanning è un'API senza superficie che archivia i risultati, In Artifact Analysis, non è necessario proteggere l'API con un servizio perimetrale.

Per ulteriori informazioni su Artifact Analysis, consulta documentazione sul prodotto.

L'integrazione di Artifact Analysis con i Controlli di servizio VPC non presenta limitazioni note.

Oltre a proteggere l'API Container Registry, Container Registry può essere utilizzato all'interno di un perimetro di servizio GKE e Compute Engine.

Per saperne di più su Container Registry, consulta documentazione sul prodotto.

• Se specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Container Registry.

  Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.

• Poiché Container Registry utilizza il dominio gcr.io, devi configurare il DNS per *.gcr.io per mappare private.googleapis.com o restricted.googleapis.com. Per ulteriori informazioni, vedi Protezione di Container Registry in un perimetro di servizio.

• Oltre ai container all'interno di un perimetro disponibili di Container Registry, dei seguenti repository di sola lettura sono disponibili per tutti i progetti, indipendentemente dalle restrizioni imposte dai perimetri di servizio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  In tutti i casi, le versioni multiregionali di questi repository vengono disponibili.

L'API per Google Kubernetes Engine può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Google Kubernetes Engine, consulta documentazione sul prodotto.

• Per proteggere completamente l'API Google Kubernetes Engine, devi includere l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) anche nel perimetro.
• Solo i cluster privati possono essere protetti utilizzando i Controlli di servizio VPC. Cluster con gli indirizzi IP pubblici non sono supportati dai Controlli di servizio VPC.

• La scalabilità automatica funziona indipendentemente da GKE. Poiché i Controlli di servizio VPC non supporta autoscaling.googleapis.com, la scalabilità automatica non funziona. Quando utilizzi GKE, puoi ignorare SERVICE_NOT_ALLOWED_FROM_VPC negli audit log causata dal servizio autoscaling.googleapis.com.

L'API per Container Security può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Container Security, consulta documentazione sul prodotto.

L'integrazione dell'API Container Security con i Controlli di servizio VPC non ha limitazioni note.

Flusso di immagini è una funzionalità di flussi di dati di GKE che fornisce tempi di pull delle immagini container più brevi per le immagini archiviate in Artifact Registry. Se Controlli di servizio VPC protegge le immagini container e utilizzi il flusso di immagini, devi includere anche l'API Image Streaming nel perimetro di servizio.

Per ulteriori informazioni sui flussi di immagini, consulta documentazione sul prodotto.

• I seguenti repository di sola lettura sono disponibili per tutti i progetti, indipendentemente dalle restrizioni imposte dai perimetri di servizio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Le API di gestione del parco risorse, incluso il gateway Connect, possono essere protette con i Controlli di servizio VPC e le funzionalità di gestione del parco risorse possono essere utilizzate normalmente all'interno dei perimetri di servizio. Per ulteriori informazioni, consulta le seguenti risorse:

• Utilizzare i Controlli di servizio VPC con l'agente Connect
• Utilizzare Controlli di servizio VPC con il gateway Connect

Per saperne di più sui parchi risorse, consulta documentazione sul prodotto.

• Sebbene tutte le funzionalità di gestione del parco risorse possano essere utilizzate normalmente, l'attivazione di un servizio il perimetro attorno all'API Stackdriver limita il parco risorse di Policy Controller funzionalità di integrazione con Security Command Center.

I seguenti metodi dell'API Cloud Resource Manager possono essere protetti dai Controlli di servizio VPC:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Per saperne di più su Resource Manager, consulta documentazione sul prodotto.

• Solo le chiavi tag associate direttamente da una risorsa di progetto e valori dei tag corrispondenti può essere protetto tramite i Controlli di servizio VPC. Quando un progetto viene aggiunto Perimetro dei Controlli di servizio VPC, tutte le chiavi tag e i valori tag corrispondenti in sono considerate risorse all'interno del perimetro.
• Chiavi tag associate a una risorsa organizzazione e valori tag corrispondenti non possono essere incluse in un perimetro dei Controlli di servizio VPC e non possono essere protette utilizzando Controlli di servizio VPC.
• I client all'interno di un perimetro dei Controlli di servizio VPC non possono accedere alle chiavi tag e valori corrispondenti associati a una risorsa organizzazione, a meno che non venga applicata una regola in uscita l'autorizzazione dell'accesso è impostata sul perimetro. Per ulteriori informazioni sull'impostazione del traffico in uscita vedi le regole, consulta Regole in entrata e in uscita.
• Le associazioni di tag sono considerate risorse all'interno dello stesso perimetro della risorsa a cui è associato il valore tag. Ad esempio, le associazioni di tag su un di un progetto è considerata appartenente al progetto indipendentemente da dove chiave tag definita.
• Alcuni servizi, come Compute Engine, consentono creare associazioni di tag usando le proprie API di servizio, oltre alle API di servizio Resource Manager. Per dell'aggiunta di tag a una VM di Compute Engine durante la creazione di risorse. Per proteggere associazioni di tag create o eliminate utilizzando queste API di servizio, aggiungi il corrispondente come compute.googleapis.com, all'elenco delle restrizioni dei servizi nel perimetro.
• I tag supportano restrizioni a livello di metodo, quindi puoi definire l'ambito method_selectors a specifici metodi dell'API. Per un elenco di , consulta Limitazioni dei metodi di servizio supportati.
• La concessione del ruolo di proprietario in un progetto tramite la console Google Cloud è ora supportata da Controlli di servizio VPC. Non puoi inviare un invito come proprietario o accettare un invito fuori dai perimetri di servizio. Se provi ad accettare un invito dall'esterno del perimetro non ti verrà concesso il ruolo di proprietario e non verrà visualizzato alcun messaggio di errore o di avviso.

L'API per Cloud Logging può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Logging, consulta documentazione sul prodotto.

L'API per il Gestore certificati può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Gestore certificati, consulta documentazione sul prodotto.

L'integrazione di Gestore certificati con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Monitoring può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Monitoring, consulta documentazione sul prodotto.

L'API per Cloud Profiler può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Profiler, consulta documentazione sul prodotto.

L'integrazione di Cloud Profiler con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Timeseries Insights può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Timeseries Insights, consulta documentazione sul prodotto.

L'integrazione dell'API Timeseries Insights con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Trace può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Trace, consulta documentazione sul prodotto.

L'integrazione di Cloud Trace con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud TPU può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud TPU, consulta documentazione sul prodotto.

L'integrazione di Cloud TPU con i Controlli di servizio VPC non ha limitazioni note.

Per ulteriori informazioni sull'API Natural Language, consulta documentazione sul prodotto.

Poiché l'API Natural Language è un'API stateless e non viene eseguita su progetti, l'utilizzo dei Controlli di servizio VPC per proteggere l'API Natural Language non ha alcun effetto.

L'API per Network Connectivity Center può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Network Connectivity Center, consulta documentazione sul prodotto.

L'integrazione di Network Connectivity Center con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Cloud Asset può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Cloud Asset, consulta documentazione sul prodotto.

• Controlli di servizio VPC non supporta l'accesso a livello di cartella o organizzazione Risorse API Cloud Asset da risorse e client all'interno di un perimetro di servizio. Controlli di servizio VPC protegge le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare un criterio in uscita per impedire accesso alle risorse dell'API Cloud Asset a livello di progetto dai progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta a livello di cartella o di organizzazione risorse API Cloud Asset in un perimetro di servizio. Non puoi usare un perimetro per proteggere risorse dell'API Cloud Asset a livello di cartella o organizzazione. Per gestire le autorizzazioni di Cloud Asset Inventory a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
• Non puoi esportare nelle destinazioni gli asset a livello di cartella o organizzazione all'interno di un perimetro di servizio.
• Non puoi creare feed in tempo reale per gli asset a livello di cartella o organizzazione con un argomento Pub/Sub all'interno di un perimetro di servizio.

L'API per Speech-to-Text può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Speech-to-Text, consulta documentazione sul prodotto.

L'integrazione di Speech-to-Text con i Controlli di servizio VPC non ha limitazioni note.

L'API per Text-to-Speech può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Text-to-Speech, consulta le documentazione sul prodotto.

L'integrazione di Text-to-Speech con Controlli di servizio VPC non ha limitazioni note.

L'API Translation può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Translation, consulta le documentazione sul prodotto.

Cloud Translation - Advanced (v3) supporta i Controlli di servizio VPC, non Cloud Translation - Basic (v2). Per applicare i Controlli di servizio VPC, devi utilizzare Cloud Translation - Advanced (v3). Per ulteriori informazioni sulle diverse versioni, consulta la sezione Confronta Di base e avanzato.

Utilizza Controlli di servizio VPC con l'API Live Stream per proteggere la pipeline.

Per ulteriori informazioni sull'API Live Stream, consulta documentazione sul prodotto.

Per proteggere gli endpoint di input con un perimetro di servizio, devi seguire le istruzioni per configurare un pool privato e inviare stream video di input su un connessione.

L'API per la transcodifica dell'API può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Transcoder, consulta documentazione sul prodotto.

L'integrazione dell'API Transcoder con i Controlli di servizio VPC non ha limitazioni note.

L'API for Video Stitcher può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Video Stitcher, consulta documentazione sul prodotto.

L'integrazione dell'API Video Stitcher con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Access Approval può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Access Approval, consulta documentazione sul prodotto.

L'integrazione di Access Approval con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Cloud Healthcare può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Healthcare, consulta documentazione sul prodotto.

Controlli di servizio VPC non supporta le chiavi di crittografia gestite dal cliente (CMEK) nell'API Cloud Healthcare.

Ti consigliamo di inserire il tuo progetto Storage Transfer Service all'interno dello stesso è il perimetro di servizio Google Cloud. In questo modo il trasferimento è protetto alle risorse di Cloud Storage. Storage Transfer Service supporta scenari in cui il progetto Storage Transfer Service non nello stesso perimetro dei bucket Cloud Storage, mediante un criterio di traffico in uscita.

Per informazioni di configurazione, vedi Utilizzando Storage Transfer Service con Controlli di servizio VPC

Transfer Service for On Premises Data

Consulta Utilizzo di Transfer for On Premises Data con i Controlli di servizio VPC per i dettagli e le informazioni di configurazione Trasferimento per gli ambienti on-premise.

Per saperne di più su Storage Transfer Service, consulta documentazione sul prodotto.

L'API per Service Control può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Service Control, consulta documentazione sul prodotto.

• Quando chiami l'API Service Control da una rete VPC in un servizio con Service Control limitato alle metriche di fatturazione o di analisi dei report, puoi utilizzare solo Report Service Control per generare report sulle metriche per i servizi supportati dai Controlli di servizio VPC.

L'API per Memorystore for Redis può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Memorystore for Redis, consulta documentazione sul prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Redis. Perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Redis all'interno della stessa rete.

• Se anche l'API Cloud Storage è protetta, Le operazioni di importazione ed esportazione di Memorystore for Redis possono solo leggere e scrivere in un bucket Cloud Storage all'interno dello stesso perimetro di servizio di l'istanza Memorystore for Redis.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere l'host progetto che fornisce la rete e il progetto di servizio che contiene il Redis all'interno dello stesso perimetro affinché le richieste Redis abbiano esito positivo. In qualsiasi momento, la separazione del progetto host dal progetto di servizio con un perimetro può causare un errore dell'istanza, oltre alle richieste bloccate. Per saperne di più, consulta i requisiti di configurazione di Memorystore for Redis.

L'API per Memorystore for Memcached può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Memorystore for Memcached, consulta documentazione sul prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Memcached. Perimetri non proteggono il normale accesso ai dati su istanze Memorystore for Memcached all'interno della stessa rete.

L'API per Service Directory può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Service Directory, consulta documentazione sul prodotto.

L'integrazione di Service Directory con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente Visual Inspection AI, includi tutte le seguenti API all'interno del tuo perimetro:

• API Visual Inspection AI (visualinspection.googleapis.com)
• API Vertex AI (aiplatform.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Artifact Registry (artifactregistry.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per saperne di più su Visual Inspection AI, consulta le documentazione sul prodotto.

L'integrazione di Visual Inspection AI con i Controlli di servizio VPC non presenta limitazioni note.

Transfer Appliance è completamente supportato per i progetti che utilizzano Controlli di servizio VPC.

Transfer Appliance non offre un'API e, di conseguenza, non supporta le funzionalità relative all'API nei Controlli di servizio VPC.

Per ulteriori informazioni su Transfer Appliance, consulta documentazione sul prodotto.

• Quando Cloud Storage è protetto dai Controlli di servizio VPC, Chiave Cloud KMS condivisa con Transfer Appliance Il team deve trovarsi all'interno dello stesso progetto della destinazione nel bucket Cloud Storage.

L'API per il servizio Criteri dell'organizzazione può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più sul servizio Criteri dell'organizzazione, consulta documentazione sul prodotto.

Controlli di servizio VPC non supporta le limitazioni di accesso a livello di cartella o criteri dell'organizzazione a livello di organizzazione ereditati dal progetto. Controlli di servizio VPC protegge le risorse dell'API Organization Policy Service a livello di progetto.

Ad esempio, se una regola in entrata impedisce a un utente di accedere all'API Organization Policy Service, l'utente riceve un errore 403 quando esegue una query sui criteri dell'organizzazione applicati al progetto. Tuttavia, l'utente sia ancora in grado di accedere ai criteri dell'organizzazione della cartella e dell'organizzazione contenente il progetto.

Puoi chiamare l'API OS Login dall'interno dei perimetri Controlli di servizio VPC. Per gestire OS Login dai perimetri Controlli di servizio VPC configurare OS Login.

Le connessioni SSH alle istanze VM non sono protette dai Controlli di servizio VPC.

Per ulteriori informazioni su OS Login, consulta documentazione sul prodotto.

I metodi di accesso al sistema operativo per la lettura e la scrittura di chiavi SSH non applicano i perimetri Controlli di servizio VPC. Utilizza i servizi accessibili da VPC per disabilitare l'accesso alle API OS Login.

L'API per Personalized Service Health può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Personalized Service Health, consulta documentazione sul prodotto.

Controlli di servizio VPC non supporta le risorse OrganizationEvents e OrganizationImpacts di l'API Service Health. Di conseguenza, i controlli dei criteri dei Controlli di servizio VPC non verranno eseguiti quando chiami i metodi per queste risorse. Tuttavia, puoi chiamare i metodi da un perimetro di servizio utilizzando un VIP con limitazioni.

Puoi chiamare l'API OS Config dai perimetri Controlli di servizio VPC. Per utilizzare VM Manager dai perimetri Controlli di servizio VPC configurare VM Manager.

Per saperne di più su VM Manager, consulta documentazione sul prodotto.

Workflows è una piattaforma di orchestrazione in grado di combinare i servizi e API basate su HTTP per eseguire i servizi in un ordine definito da te.

Quando proteggi l'API Workflows utilizzando un perimetro di servizio, Anche API Workflow Execution è protetta. Non è necessario separare aggiungi workflowexecutions.googleapis.com all'elenco di indirizzi protetti del tuo perimetro i servizi di machine learning.

Le richieste HTTP da un'esecuzione di Workflows sono supportate come segue:

• Autenticato richieste agli endpoint Google Cloud conformi ai Controlli di servizio VPC consentito.
• Le richieste agli endpoint di servizio Cloud Functions e Cloud Run sono consentite.
• Le richieste agli endpoint di terze parti sono bloccate.
• Richieste a endpoint Google Cloud non conformi a Controlli di servizio VPC sono bloccati.

Per ulteriori informazioni su Workflows, consulta documentazione sul prodotto.

L'integrazione di Workflows con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Filestore può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Filestore, consulta documentazione sul prodotto.

• I perimetri di servizio proteggono solo l'API Filestore. Perimetri non proteggono il normale accesso ai dati NFS sulle istanze Filestore all'interno della stessa rete.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere l'host che fornisce la rete e il progetto di servizio che contiene Istanza Filestore all'interno dello stesso perimetro per Filestore per il corretto funzionamento dell'istanza. Separazione del progetto host dal progetto di servizio con un perimetro, le istanze esistenti potrebbero non essere più disponibili potrebbero non creare nuove istanze.

Per ulteriori informazioni su Parallelstore, consulta documentazione sul prodotto.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere l'host che fornisce la rete e il progetto di servizio che contiene Istanza Parallelstore all'interno dello stesso perimetro per Parallelstore per il corretto funzionamento dell'istanza. Separazione del progetto host dal progetto di servizio con un perimetro, le istanze esistenti potrebbero non essere più disponibili potrebbero non creare nuove istanze.

L'API per Container Threat Detection può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Container Threat Detection, consulta documentazione sul prodotto.

L'integrazione di Container Threat Detection con i Controlli di servizio VPC non ha limitazioni note.

Per saperne di più su Ads Data Hub, consulta documentazione sul prodotto.

L'API per Cloud Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Service Mesh, consulta documentazione sul prodotto.

L'integrazione di Cloud Service Mesh con i Controlli di servizio VPC non ha limitazioni note.

Controlli di servizio VPC limita gli scambi di token solo se pubblico nella richiesta è una risorsa a livello di progetto. Ad esempio, non limita le richieste di token con ambito limitato, perché quelle richieste non hanno pubblico. Inoltre, non limita le richieste per la forza lavoro federazione delle identità poiché il pubblico è una risorsa a livello di organizzazione.

Per ulteriori informazioni sul servizio token di sicurezza, consulta documentazione sul prodotto.

L'integrazione del servizio token di sicurezza con i Controlli di servizio VPC non ha limitazioni note.

firestore.googleapis.com, datastore.googleapis.com, e firestorekeyvisualizer.googleapis.com servizi sono in bundle. Quando limiti il servizio firestore.googleapis.com in un perimetro, il perimetro limita anche datastore.googleapis.com e Servizi firestorekeyvisualizer.googleapis.com.

Per limitare il servizio datastore.googleapis.com, utilizza il nome del servizio firestore.googleapis.com.

Per una protezione completa in uscita sulle operazioni di importazione ed esportazione, devi usare l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:

• Protezione delle operazioni di importazione ed esportazione di Firestore con i Controlli di servizio VPC.
• Protezione delle operazioni di importazione ed esportazione di Datastore con i Controlli di servizio VPC.

Per saperne di più su Firestore/Datastore, consulta documentazione sul prodotto.

L'API per Migrate to Virtual Machines può essere protetta dai Controlli di servizio VPC, mentre il prodotto possono essere utilizzati normalmente all'interno dei perimetri di servizio.

Per saperne di più su Migrate to Virtual Machines, consulta documentazione sul prodotto.

• Per proteggere completamente Migrate to Virtual Machines, aggiungi tutti i seguenti elementi API al perimetro di servizio:

  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Per ulteriori informazioni, consulta documentazione relativa alla migrazione alle macchine virtuali.

Controlli di servizio VPC consente di proteggere i dati dell'infrastruttura che raccogli con Centro di migrazione con un perimetro di servizio.

Per saperne di più sul Centro di migrazione, consulta documentazione sul prodotto.

L'API per il servizio Backup & DR può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sul servizio Backup & DR, consulta documentazione sul prodotto.

Se rimuovi la route predefinita di internet dal progetto di producer di servizi utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls, potresti non essere in grado di accedere alla console di gestione o eseguirne il deployment. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.

Puoi utilizzare Controlli di servizio VPC per proteggere il backup per GKE e il backup per le funzionalità GKE che normalmente si trovano all'interno dei perimetri di servizio.

Per saperne di più su Backup per GKE, consulta documentazione sul prodotto.

L'integrazione di Backup per GKE con i Controlli di servizio VPC non ha limitazioni note.

L'API API for Retail può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Retail, consulta documentazione sul prodotto.

L'integrazione dell'API Retail con i Controlli di servizio VPC non ha limitazioni note.

Application Integration è un sistema di gestione collaborativa dei flussi di lavoro per creare, potenziare, eseguire il debug e comprendere i flussi di lavoro principali dei sistemi aziendali. I flussi di lavoro in Application Integration sono costituiti da trigger e attività. Esistono diversi tipi di trigger, come trigger API/Trigger Pub/Sub/cron. o sfdc.

Per saperne di più su Application Integration, consulta documentazione sul prodotto.

L'API per Integration Connectors può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Integration Connectors, consulta documentazione sul prodotto.

L'API per Error Reporting può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Error Reporting, consulta documentazione sul prodotto.

L'API per Cloud Workstations può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Workstations, consulta documentazione sul prodotto.

• Per proteggere completamente Cloud Workstations, devi limitare il all'API Compute Engine nel tuo perimetro di servizio, ogni volta che limiti l'API Cloud Workstations.
• Assicurati che l'API Google Cloud Storage, l'API Google Container Registry, e l'API Artifact Registry sono VPC accessibile nel tuo servizio perimetrale. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Abbiamo anche ti consigliamo di consentire l'API Cloud Logging e i servizi l'API Error Reporting in modo che sia accessibile al VPC perimetro di servizio, anche se non è necessario per l'uso Cloud Workstations.
• Assicurati che il cluster di workstation sia private. La configurazione di un cluster privato impedisce che le connessioni alle tue workstation all'esterno del perimetro di servizio VPC.
• Assicurati di disabilitare gli indirizzi IP pubblici nella tua workstation configurazione. Se non lo fai, si verificheranno VM con IP pubblico indirizzi IP esterni nel tuo progetto. Ti consigliamo vivamente di utilizzare constraints/compute.vmExternalIpAccess vincolo dei criteri dell'organizzazione per disabilitare gli indirizzi IP pubblici per tutte le VM nel tuo perimetro di servizio VPC. Per maggiori dettagli, vedi Limitazione degli indirizzi IP esterni a VM specifiche.
• Durante la connessione alla workstation, il controllo dell'accesso si basa solo sul fatto che l'accesso privato la rete da cui ti stai connettendo appartiene al perimetro di sicurezza. Controllo dell'accesso basato su dispositivo, indirizzo IP pubblico o località non sono supportati.

L'API per Cloud IDS può essere protetta dai Controlli di servizio VPC e il prodotto possono essere utilizzati normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud IDS, consulta documentazione sul prodotto.

Cloud IDS utilizza Cloud Logging per creare log delle minacce nel tuo progetto. Se Cloud Logging è limitato dal perimetro di servizio, Controlli di servizio VPC blocca i log delle minacce di Cloud IDS, anche se Cloud IDS non viene aggiunto come un servizio limitato al perimetro. Per utilizzare Cloud IDS all'interno di un servizio devi configurare una regola in entrata per il perimetro account di servizio Cloud Logging nel tuo perimetro di servizio.

Per saperne di più su Chrome Enterprise Premium, consulta le documentazione sul prodotto.

L'integrazione di Chrome Enterprise Premium con i Controlli di servizio VPC non ha limitazioni note.

Quando limiti l'API Policy Troubleshooter con un perimetro, le entità possono risolvere i problemi relativi ai criteri di autorizzazione IAM solo se tutte le risorse coinvolti nella richiesta si trovano nello stesso perimetro. Di solito ci sono due risorse coinvolte in una richiesta di risoluzione dei problemi:

• La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere qualsiasi di testo. Specifica esplicitamente questa risorsa quando risolvi i problemi di autorizzazione.

• La risorsa che utilizzi per risolvere i problemi di accesso. Questa risorsa è un progetto, una cartella o un'organizzazione. Nella console Google Cloud gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere uguale alla risorsa per cui stai risolvendo i problemi di accesso, ma non è necessario.

Se queste risorse non si trovano nello stesso perimetro, la richiesta non riesce.

Per saperne di più sullo strumento per la risoluzione dei problemi relativi ai criteri, consulta la documentazione sul prodotto.

L'integrazione dello strumento per la risoluzione dei problemi relativi ai criteri con i Controlli di servizio VPC non ha limitazioni note.

Quando limiti l'API Policy Simulator con un perimetro, le entità può simulare criteri di autorizzazione solo se determinate risorse coinvolte si trovano nello stesso perimetro. Esistono diverse risorse coinvolti in una simulazione:

• La risorsa di cui hai il criterio di autorizzazione durante la simulazione. Questa risorsa è anche chiamata risorsa. Nella console Google Cloud, questa è la risorsa di cui stai modificando il criterio di autorizzazione. In gcloud CLI API REST, devi specificare esplicitamente questa risorsa quando si simula un di autorizzazione.

• Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è anche denominata host risorsa. Nella console Google Cloud gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere uguale a quella che stai simulando ma non è necessario che lo sia.

• La risorsa che fornisce i log di accesso simulata. In una simulazione, c'è sempre una risorsa che fornisce i log degli accessi per la simulazione. Questa risorsa varia a seconda del tipo di risorsa di destinazione:

  • Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Controller Il simulatore recupera i log di accesso per il progetto o l'organizzazione.
  • Se stai simulando un criterio di autorizzazione per un altro tipo di risorsa, Policy Simulator recupera i log di accesso per l'elemento padre di quella risorsa progetto o organizzazione.
  • Se stai simulando più risorse consentire criteri contemporaneamente, Policy Controller Il simulatore recupera i log di accesso per le risorse comune più prossimo progetto o organizzazione.
• Tutte le risorse supportate con criteri di autorizzazione pertinenti. Quando il Simulatore di criteri esegue una simulazione, considera tutti I criteri che potrebbero influire sull'accesso dell'utente, tra cui i criteri di autorizzazione. sulle risorse predecessore e discendente della risorsa di destinazione. Come anche queste risorse predecessori e discendenti sono coinvolte in tempo reale.

Se la risorsa di destinazione e la risorsa host non sono nella stessa il perimetro, la richiesta non va a buon fine.

Se la risorsa di destinazione e quella che fornisce i log di accesso non si trovano nello stesso perimetro, la richiesta non riesce.

Se la risorsa di destinazione e alcune risorse supportate con il che non si trovano nello stesso perimetro, le richieste hanno esito positivo, i risultati potrebbero essere incompleti. Ad esempio, se stai simulando un criterio per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione dell'organizzazione principale del progetto, perché le organizzazioni sono sempre al di fuori dei perimetri Controlli di servizio VPC. Per completarli puoi configurare il traffico in entrata di traffico in uscita per il perimetro.

Per ulteriori informazioni su Policy Simulator, consulta documentazione sul prodotto.

L'integrazione del Simulatore di criteri con i Controlli di servizio VPC non presenta limitazioni note.

L'API per i contatti necessari può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sui Contatti necessari, consulta documentazione sul prodotto.

L'integrazione dei contatti necessari con i Controlli di servizio VPC non ha limitazioni note.

L'API per Identity Platform può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Identity Platform, consulta documentazione sul prodotto.

• Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al il perimetro di servizio per consentire l'aggiornamento dei token. securetoken.googleapis.com non è elencati nella pagina Controlli di servizio VPC della console Google Cloud. Puoi aggiungere questo servizio solo con gcloud access-context-manager kubectl update.

• Se la tua applicazione si integra anche con la funzionalità di blocco delle funzioni, aggiungi Cloud Functions (cloudfunctions.googleapis.com) alla perimetro di servizio.

• L’utilizzo dell’autenticazione a più fattori (MFA) basata su SMS, dell’autenticazione email o di provider di identità di terze parti fa sì che i dati vengano inviati al di fuori del perimetro. Se non utilizzi la MFA con gli SMS, l'autenticazione email o i provider di identità di terze parti, disattiva queste funzionalità.

L'API per GKE Multi-Cloud può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su GKE Multi-Cloud, consulta documentazione sul prodotto.

• Per proteggere completamente l'API GKE Multi-Cloud, devi includere l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) anche nel tuo perimetro.

L'API Anthos On-Prem può essere protetta dai Controlli di servizio VPC e l'API può essere utilizzata di solito all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Anthos On-Prem, fai riferimento alle documentazione sul prodotto.

• Per proteggere completamente l'API Anthos On-Prem, aggiungi tutte le API seguenti al perimetro di servizio:

  • API Metadata Kubernetes (kubernetesmetadata.googleapis.com)
  • API Cloud Monitoring (monitoring.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  Tieni presente che Controlli di servizio VPC non protegge dalle esportazioni di log di Cloud Logging su una cartella o a livello di organizzazione.

Puoi creare un cluster nel tuo ambiente, che è connesso al VPC tramite Cloud Interconnect o Cloud VPN.

Per saperne di più su Google Distributed Cloud, consulta documentazione sul prodotto.

• Quando crei o esegui l'upgrade di un cluster utilizzando Distributed Cloud, utilizza flag --skip-api-check in bmctl per bypassare la chiamata a Service Usage (serviceusage.googleapis.com), perché l'API Service Usage (serviceusage.googleapis.com) non è supportato dai Controlli di servizio VPC. Distributed Cloud richiama l'API Service Usage per verificare che la risorsa le API siano abilitate all'interno di un progetto. ma non per convalidare la raggiungibilità degli endpoint API.

• Per proteggere Distributed Cloud, utilizza un VIP con restrizioni in Distributed Cloud, e aggiungi tutte le seguenti API al servizio perimetro:

• API Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• API GKE Hub (gkehub.googleapis.com)
• API GKE On-Prem (gkeonprem.googleapis.com)
• API Cloud IAM (iam.googleapis.com)
• API Cloud Logging (logging.googleapis.com)
• API Cloud Monitoring (monitoring.googleapis.com)
• API Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

L'API per la scansione on demand può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API On-Demand Scanning, consulta documentazione sul prodotto.

L'integrazione dell'API On-Demand Scanning con i Controlli di servizio VPC non ha limitazioni note.

L'API per Looker (Google Cloud core) può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Looker (Google Cloud core), consulta documentazione sul prodotto.

• Solo le versioni Enterprise o Embed di istanze Looker (Google Cloud core) che utilizzano connessioni IP private supportano la conformità dei Controlli di servizio VPC. Le istanze di Looker (Google Cloud core) con connessioni IP pubbliche o con connessioni IP pubbliche e private non supportano la conformità di Controlli di servizio VPC. Per creare un'istanza che utilizza una connessione IP privato, seleziona IP privato nella sezione Networking della pagina Crea istanza della console Google Cloud.

• Quando posizioni o crei un'istanza di Looker (Google Cloud core) all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi rimuovere la route predefinita verso internet chiamando il metodo services.enableVpcServiceControls o eseguendo questo comando gcloud:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

L'API per Public Certificate Authority può essere protetta dai Controlli di servizio VPC e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Public Certificate Authority, consulta documentazione sul prodotto.

L'integrazione dell'autorità di certificazione pubblica con i Controlli di servizio VPC non ha limitazioni note.

L'API per Storage Insights può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Storage Insights, consulta documentazione sul prodotto.

L'integrazione di Storage Insights con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente le pipeline di dati di Dataflow, includi tutte le seguenti API in il tuo perimetro:

• API Dataflow (dataflow.googleapis.com)
• API Cloud Scheduler (cloudscheduler.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per ulteriori informazioni sulle pipeline di dati Dataflow, consulta documentazione sul prodotto.

L'integrazione delle pipeline di dati di Dataflow con i Controlli di servizio VPC non ha limitazioni note.

Le API per Security Command Center possono essere protette dai Controlli di servizio VPC e Security Command Center può essere utilizzato di solito all'interno dei perimetri di servizio.

securitycenter.googleapis.com e securitycentermanagement.googleapis.com sono in bundle. Se limiti securitycenter.googleapis.com servizio in un perimetro, limita il valore securitycentermanagement.googleapis.com per impostazione predefinita. Non puoi aggiungere securitycentermanagement.googleapis.com all'elenco dei servizi limitati in un perimetro perché è in bundle con securitycenter.googleapis.com.

Per saperne di più su Security Command Center, consulta documentazione sul prodotto.

• Controlli di servizio VPC non supporta l'accesso a livello di cartella o organizzazione Risorse API Security Command Center da risorse e client all'interno di un perimetro di servizio. Controlli di servizio VPC protegge le risorse API Security Command Center a livello di progetto. Puoi specificare un criterio in uscita per impedire accesso alle risorse dell'API Security Command Center a livello di progetto dai progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta a livello di cartella o di organizzazione risorse API Security Command Center in un perimetro di servizio. Non puoi usare un perimetro per proteggere Risorse API Security Command Center a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Security Command Center a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
• Controlli di servizio VPC non supporta il servizio security posture perché le risorse a livello di organizzazione sono risorse a livello di organizzazione, ad esempio posture, deployment e modelli di postura predefiniti.
• Non puoi esportare i risultati a livello di cartella o organizzazione nelle destinazioni all'interno di un perimetro di servizio.
• Devi abilitare l'accesso perimetrale nei seguenti scenari:
  • Quando attivi le notifiche sulla ricerca a livello di cartella o organizzazione e l'argomento Pub/Sub si trova all'interno di un perimetro di servizio.
  • Quando esporti i dati in BigQuery dal livello di cartella o organizzazione e BigQuery un perimetro di servizio.
  • Quando integri Security Command Center con un prodotto SIEM o SOAR e il deployment del prodotto viene eseguito all'interno di un servizio in un ambiente Google Cloud. I sistemi SIEM e SOAR supportati includono Splunk e IBM QRadar.

L'API per l'assistenza clienti Google Cloud può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'assistenza clienti Google Cloud, consulta documentazione sul prodotto.

L'API Vertex AI Agent Builder - Vertex AI Search può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Agent Builder - Vertex AI Search, consulta documentazione sul prodotto.

L'integrazione di Vertex AI Agent Builder - Vertex AI Search con i Controlli di servizio VPC non ha limitazioni note.

L'API per Confidential Space può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Confidential Space, consulta documentazione sul prodotto.

Per utilizzare la protezione dei Controlli di servizio VPC durante la connessione alla console seriale Per un'istanza di una macchina virtuale (VM), devi specificare una regola in entrata per il perimetro di servizio. Quando configuri la regola in entrata, il livello di accesso per l'origine deve essere un valore basato su IP e il nome del servizio è impostato su ssh-serialport.googleapis.com. La regola in entrata è necessaria per accedere alla console seriale anche se la richiesta di origine e la risorsa di destinazione si trovano nello stesso perimetro.

Per ulteriori informazioni sulla console seriale, consulta documentazione sul prodotto.

Per saperne di più su Google Cloud VMware Engine, consulta documentazione sul prodotto.

Per scoprire come controllare l'accesso a Dataform con i Controlli di servizio VPC, consulta Configura i Controlli di servizio VPC per Dataform.

Per ulteriori informazioni su Dataform, consulta documentazione sul prodotto.

Web Security Scanner e Controlli di servizio VPC sono soggetti a Termini di servizio diversi. Leggi i termini di ciascun prodotto per conoscere i dettagli.

Web Security Scanner invia i risultati a Security Command Center on demand. Puoi visualizzare o scaricare direttamente dalla dashboard di Security Command Center.

Per ulteriori informazioni su Web Security Scanner, consulta documentazione sul prodotto.

L'integrazione di Web Security Scanner con i Controlli di servizio VPC non ha limitazioni note.

• Prima di creare istanze Controlli di servizio VPC di Secure Source Manager, devi configurare Certificate Authority Service con un'autorità di certificazione funzionante.
• Devi configurare Private Service Connect prima di accedere all'istanza Controlli di servizio VPC di Secure Source Manager.

Per ulteriori informazioni su Secure Source Manager, consulta documentazione sul prodotto.

• La violazione degli audit log SERVICE_NOT_ALLOWED_FROM_VPC causata da limitazioni di GKE può essere ignorata.
• Per aprire l'interfaccia web dei Controlli di servizio VPC con un browser, quest'ultimo deve poter accedere ai seguenti URL:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Ad esempio, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

L'API per le chiavi API può essere protetta dai Controlli di servizio VPC e il prodotto può essere e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulle chiavi API, consulta documentazione sul prodotto.

L'integrazione delle chiavi API con i Controlli di servizio VPC non ha limitazioni note.

L'API Cloud Controls Partner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sulla Console partner nei Controlli di sovranità dei partner, consulta le documentazione sul prodotto.

L'API per i microservizi può essere protetta dai Controlli di servizio VPC e il prodotto e utilizzate normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sui microservizi, consulta documentazione sul prodotto.

L'integrazione dei microservizi con i Controlli di servizio VPC non ha limitazioni note.

earthengine.googleapis.com e earthengine-highvolume.googleapis.com sono in bundle. Se limiti earthengine.googleapis.com servizio in un perimetro, limita il valore earthengine-highvolume.googleapis.com per impostazione predefinita. Non puoi aggiungere earthengine-highvolume.googleapis.com all'elenco dei servizi limitati in un perimetro perché è in bundle con earthengine.googleapis.com.

Per ulteriori informazioni su Earth Engine, consulta documentazione sul prodotto.

App Hub consente di scoprire e organizzare le risorse dell'infrastruttura diverse applicazioni. Puoi utilizzare i perimetri Controlli di servizio VPC per proteggere App Hub Google Cloud.

Per ulteriori informazioni su App Hub, consulta le documentazione sul prodotto.

L'API Cloud Code può essere protetta dai Controlli di servizio VPC. Per utilizzare le funzionalità basate su Gemini in Cloud Code, è necessario configurare un criterio in entrata per consentire il traffico client IDE. Vedi la Gemini documentazione per i dettagli.

Per saperne di più su Cloud Code, consulta documentazione sul prodotto.

L'integrazione di Cloud Code con i Controlli di servizio VPC non ha limitazioni note.

Il perimetro dei Controlli di servizio VPC protegge l'API Commerce Org Governance per Google Private Marketplace.

Per ulteriori informazioni sull'API Commerce Org Governance, consulta documentazione sul prodotto.