Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina contiene una tabella di prodotti e servizi supportati dai Controlli di servizio VPC, nonché un elenco di limitazioni note relative a determinati servizi e interfacce.
Elenco di tutti i servizi supportati
Per recuperare l'elenco completo di tutti i prodotti e servizi supportati da Controlli di servizio VPC, esegui il seguente comando:
gcloud access-context-manager supported-services list
Riceverai una risposta con un elenco di prodotti e servizi.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Questa risposta include i seguenti valori:
Valore
Descrizione
SERVICE_ADDRESS
Nome del servizio del prodotto o servizio. Ad esempio, aiplatform.googleapis.com.
SERVICE_NAME
Nome del prodotto o servizio. Ad esempio, Vertex AI API.
SERVICE_STATUS
Lo stato dell'integrazione del servizio con i Controlli di servizio VPC. Di seguito sono riportati i valori possibili:
GA: l'integrazione del servizio è completamente supportata dai perimetri dei Controlli di servizio VPC.
PREVIEW: l'integrazione del servizio è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione dai perimetri dei Controlli di servizio VPC.
DEPRECATED: l'integrazione del servizio è in programma per essere chiusa e rimossa.
RESTRICTED_VIP_STATUS
Specifica se l'integrazione del servizio con i Controlli di servizio VPC è supportata dal VIP con limitazioni. Di seguito sono riportati i valori possibili:
TRUE: l'integrazione del servizio è completamente supportata dal VIP limitato e può essere protetta dai perimetri di Controlli di servizio VPC.
FALSE: l'integrazione del servizio non è supportata dal VIP con limitazioni.
Specifica se l'integrazione del servizio con i Controlli di servizio VPC presenta limitazioni. Di seguito sono riportati i valori possibili:
TRUE: l'integrazione del servizio con i Controlli di servizio VPC presenta limitazioni note. Per scoprire di più su queste limitazioni, puoi controllare la voce corrispondente per il servizio nella tabella Prodotti supportati.
FALSE: l'integrazione del servizio con i Controlli di servizio VPC non presenta limitazioni note.
Elencare i metodi supportati per un servizio
Per recuperare l'elenco dei metodi e delle autorizzazioni supportati dai Controlli di servizio VPC per un servizio, esegui il seguente comando:
In questa risposta, METHODS_LIST elenca tutti i metodi e le autorizzazioni supportati dai Controlli di servizio VPC per il servizio specificato. Per un
elenco completo di tutti i metodi e le autorizzazioni dei servizi supportati, consulta
Limitazioni del metodo dei servizi supportati.
Prodotti supportati
Controlli di servizio VPC supporta i seguenti prodotti:
Per utilizzare Infrastructure Manager in un perimetro:
Devi utilizzare un pool privato Cloud Build per il pool di worker utilizzato da Infrastructure Manager. Per scaricare i provider Terraform e la configurazione di Terraform, questo pool privato deve avere le chiamate pubbliche su internet abilitate. Non puoi utilizzare il pool di worker di Cloud Build predefinito.
I seguenti elementi devono trovarsi nello stesso perimetro:
L'account di servizio utilizzato da Infrastructure Manager.
Il pool di worker di Cloud Build utilizzato da Infrastructure Manager.
Il bucket di archiviazione utilizzato da Infrastructure Manager. Puoi utilizzare il bucket di archiviazione predefinito.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
workloadmanager.googleapis.com
Dettagli
Per utilizzare Workload Manager in un perimetro dei Controlli di servizio VPC:
Devi utilizzare un pool di worker privato di Cloud Build
per l'ambiente di deployment in Workload Manager.
Non puoi utilizzare il pool di worker di Cloud Build predefinito.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
netapp.googleapis.com
Dettagli
L'API per i Google Cloud NetApp Volumes può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non copre i percorsi del piano dati come le letture e le scritture di Network File System (NFS) e Server Message Block (SMB). Inoltre, se i progetti host e di servizio sono configurati in perimetri diversi, potresti riscontrare un'interruzione nell'implementazione dei servizi Google Cloud.
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudsearch.googleapis.com
Dettagli
Google Cloud Search supporta i Controlli di sicurezza Virtual Private Cloud (Controlli di servizio VPC) per migliorare la sicurezza dei tuoi dati. I Controlli di servizio VPC ti consentono di definire un perimetro di sicurezza attorno alle risorse della piattaforma Google Cloud per limitare i dati e contribuire a mitigare i rischi di esfiltrazione di dati.
Poiché le risorse di Cloud Search non sono archiviate in un progetto Google Cloud, devi
aggiornare le impostazioni dei clienti di Cloud Search con il progetto protetto dal perimetro VPC. Il progetto VPC funge da contenitore di progetti virtuali per tutte le risorse Cloud Search.
Senza creare questa mappatura, i Controlli di servizio VPC non funzioneranno per l'API Cloud Search.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
networkmanagement.googleapis.com
Dettagli
L'API per Connectivity Tests può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ml.googleapis.com
Dettagli
L'API per AI Platform Training può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API di amministrazione AlloyDB per PostgreSQL. Non proteggono
l'accesso ai dati basato su IP ai database sottostanti (ad esempio le istanze AlloyDB per PostgreSQL). Per limitare l'accesso IP pubblico alle istanze AlloyDB per PostgreSQL, utilizza un vincolo della policy dell'organizzazione.
Prima di configurare i Controlli di servizio VPC per AlloyDB per PostgreSQL, abilita l'API Service Networking.
Quando utilizzi AlloyDB per PostgreSQL con VPC condiviso e Controlli di servizio VPC, il progetto host e il progetto di servizio devono trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
notebooks.googleapis.com
Dettagli
L'API per Vertex AI Workbench può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
aiplatform.googleapis.com
Dettagli
L'API per Vertex AI può essere protetta dai Controlli di servizio VPC
e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
visionai.googleapis.com
Dettagli
L'API per Vertex AI Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Quando constraints/visionai.disablePublicEndpoint è attivo, disattiviamo l'endpoint pubblico del cluster. Gli utenti devono connettersi manualmente al target PSC
e accedere al servizio dalla rete privata. Puoi ottenere il target PSC dalla
risorsa cluster.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
firebasevertexai.googleapis.com
Dettagli
L'API per Vertex AI in Firebase può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Il traffico verso l'API Vertex AI in Firebase deve provenire da un client mobile o browser, che sarà sempre al di fuori del perimetro di servizio. Pertanto, devi configurare un
criterio in entrata esplicito.
Se devi connetterti all'API Vertex AI solo all'interno del perimetro di servizio, ti consigliamo di utilizzare l'API Vertex AI direttamente o tramite uno degli SDK server, Firebase Genkit o uno degli altri servizi disponibili per accedere all'API Vertex AI lato server.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
aiplatform.googleapis.com
Dettagli
L'API per Colab Enterprise può essere protetta da Controlli di servizio VPC
e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Colab Enterprise fa parte di Vertex AI.
Consulta Vertex AI.
Colab Enterprise utilizza Dataform per archiviare i notebook.
Consulta Dataform.
L'API per Apigee e Apigee Hybrid può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
L'API per Cloud Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Puoi utilizzare mesh.googleapis.com per abilitare le API richieste per Cloud Service Mesh.
Non è necessario limitare mesh.googleapis.com nel perimetro perché non espone API.
Oltre agli elementi all'interno di un perimetro disponibili per
Artifact Registry, i seguenti repository di sola lettura nei repository
Container Registry sono disponibili per tutti i progetti, indipendentemente dai perimetri di servizio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In tutti i casi, sono disponibili anche le versioni regionali di questi repository.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
assuredworkloads.googleapis.com
Dettagli
L'API per Assured Workloads può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati, come eu-automl.googleapis.com, all'elenco dei servizi con limitazioni in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint regionali supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni per l'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
automl.googleapis.com, eu-automl.googleapis.com
Dettagli
Per proteggere completamente l'API AutoML, includi tutte le seguenti API nel tuo perimetro:
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati, come eu-automl.googleapis.com, all'elenco dei servizi con limitazioni in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint regionali supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni per l'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati, come eu-automl.googleapis.com, all'elenco dei servizi con limitazioni in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint regionali supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni per l'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
automl.googleapis.com, eu-automl.googleapis.com
Dettagli
Per proteggere completamente l'API AutoML, includi tutte le seguenti API nel tuo perimetro:
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati, come eu-automl.googleapis.com, all'elenco dei servizi con limitazioni in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint regionali supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni per l'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati, come eu-automl.googleapis.com, all'elenco dei servizi con limitazioni in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint regionali supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni per l'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
No.L'API per Bare Metal Solution non può essere protetta dai perimetri di servizio.
Tuttavia, Bare Metal Solution può essere utilizzata normalmente nei progetti all'interno di un perimetro.
Dettagli
L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, i perimetri dei Controlli di servizio VPC non si estendono all'ambiente Bare Metal Solution nelle estensioni regionali.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
batch.googleapis.com
Dettagli
L'API per Batch può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
biglake.googleapis.com
Dettagli
L'API per BigLake Metastore può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquery.googleapis.com
Dettagli
Quando proteggi l'API BigQuery
utilizzando un perimetro di servizio, vengono protette anche l'API BigQuery Storage, l'API BigQuery Reservation e l'API BigQuery Connection. Non è necessario aggiungere separatamente queste API all'elenco dei servizi protetti del perimetro.
I record dei log di controllo di BigQuery non includono sempre tutte
le risorse utilizzate quando viene effettuata una richiesta, poiché il servizio
elabora internamente l'accesso a più risorse.
Quando accedi a un'istanza BigQuery protetta da un perimetro di servizio, il job BigQuery deve essere eseguito all'interno di un progetto all'interno del perimetro o in un progetto consentito da una regola di uscita del perimetro. Per impostazione predefinita, le librerie client BigQuery
eseguono job all'interno dell'account di servizio o del progetto dell'utente,
causando il rifiuto della query da parte di Controlli di servizio VPC.
BigQuery blocca il salvataggio dei risultati delle query su Google Drive dal perimetro protetto da Controlli di servizio VPC.
Se concedi l'accesso utilizzando una regola di ingresso con gli account utente come tipo di identità, non puoi visualizzare l'utilizzo delle risorse BigQuery o l'esploratore dei job amministrativi nella pagina Monitoraggio. Per utilizzare queste funzionalità, configura una
regola di ingresso che
utilizzi ANY_IDENTITY come tipo di identità.
Se concedi agli utenti di BigQuery l'accesso ai dati utilizzando una regola di ingresso,
gli utenti possono utilizzare la console Google Cloud per eseguire query e salvare i risultati in un
file locale.
Controlli di servizio VPC è supportato solo quando esegui l'analisi tramite
BigQuery Enterprise, Enterprise Plus o
On-Demand.
L'API BigQuery Reservation è supportata parzialmente.
L'
API BigQuery Reservation, che crea la risorsa di assegnazione, non applica
le restrizioni del perimetro di servizio agli assegnatari dell'assegnazione.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquerydatapolicy.googleapis.com
Dettagli
L'API BigQuery Data Policy può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquerydatatransfer.googleapis.com
Dettagli
Il perimetro del servizio protegge solo l'API BigQuery Data Transfer Service. La protezione dei dati effettiva viene applicata da BigQuery. È progettato per consentire l'importazione di dati da varie
origini esterne esterne a Google Cloud, come Amazon S3, Redshift, Teradata, YouTube,
Google Play e Google Ads, nei set di dati BigQuery. Per informazioni sui requisiti dei Controlli di servizio VPC per la migrazione dei dati da Teradata, consulta i requisiti dei Controlli di servizio VPC.
BigQuery Data Transfer Service non supporta l'esportazione dei dati da un
set di dati BigQuery. Per ulteriori informazioni, consulta Esportare i dati delle tabelle.
Per trasferire i dati tra progetti, il progetto di destinazione deve trovarsi nello stesso perimetro del progetto di origine oppure una regola di uscita deve consentire il trasferimento dei dati al di fuori del perimetro. Per informazioni sull'impostazione delle regole di uscita, consulta
Limitazioni in Gestisci
i set di dati BigQuery.
Le violazioni in entrata e in uscita per i job BigQuery avviati da
esecuzioni di trasferimenti offline ricorrenti di BigQuery Data Transfer Service non contengono informazioni sul contesto dell'utente, come l'indirizzo IP e il dispositivo dell'utente che ha effettuato la chiamata.
BigQuery Data Transfer Service supporta il trasferimento dei dati solo nei progetti protetti da un perimetro di servizio utilizzando uno dei connettori elencati in Origini dati supportate. BigQuery Data Transfer Service non supporta il trasferimento dei dati in progetti protetti da un perimetro di servizio utilizzando un connettore fornito da altri partner di terze parti.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquerymigration.googleapis.com
Dettagli
L'API BigQuery Migration può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I servizi bigtable.googleapis.com e bigtableadmin.googleapis.com
sono raggruppati. Quando limiti il servizio bigtable.googleapis.com
in un perimetro, il perimetro limita il servizio bigtableadmin.googleapis.com
per impostazione predefinita. Non puoi aggiungere il servizio bigtableadmin.googleapis.com
all'elenco dei servizi con limitazioni in un perimetro perché è in bundle con
bigtable.googleapis.com.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
binaryauthorization.googleapis.com
Dettagli
Quando utilizzi più progetti con l&#Autorizzazione binaria, ogni progetto deve essere incluso nel perimetro di Controlli di servizio VPC. Per ulteriori informazioni su questo caso d'uso, consulta
Configurazione di più progetti.
Con l'autorizzazione binaria, puoi utilizzare l'Artifact Analysis per archiviare
gli attestatori e le attestazioni come note e occorrenze, rispettivamente. In questo caso, devi anche includere l'Artifact Analysis nel perimetro di Controlli di servizio VPC.
Per ulteriori dettagli, consulta le linee guida di VPC Service Controls per l'analisi degli elementi.
Le integrazioni di Blockchain Node Engine con Controlli di servizio VPC presentano le seguenti limitazioni:
Controlli di servizio VPC protegge solo l'API Blockchain Node Engine.
Quando viene creato un nodo, devi comunque indicare che è destinato a una rete privata configurata dall'utente con Private Service Connect.
Il traffico peer-to-peer non è interessato da Controlli di servizio VPC o
Private Service Connect e continuerà a utilizzare la rete internet pubblica.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
privateca.googleapis.com
Dettagli
L'API per Certificate Authority Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per utilizzare Certificate Authority Service in un ambiente protetto, devi aggiungere anche l'API Cloud KMS (cloudkms.googleapis.com) e l'API Cloud Storage (storage.googleapis.com) al perimetro del servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
krmapihosting.googleapis.com
Dettagli
Per utilizzare Config Controller con Controlli di servizio VPC, devi abilitare le seguenti API all'interno del perimetro:
API Cloud Monitoring (monitoring.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
API Google Cloud Observability (logging.googleapis.com)
API Security Token Service (sts.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Se esegui il provisioning delle risorse con Config Controller, devi attivare l'API per queste risorse nel perimetro del servizio. Ad esempio, se vuoi aggiungere un account di servizio IAM, devi aggiungere l'API IAM (iam.googleapis.com).
Stabilisci il perimetro di sicurezza dei controlli di servizio VPC prima di creare l'istanza privata di Cloud Data Fusion. La protezione del perimetro per le istanze create prima della configurazione di Controlli di servizio VPC non è supportata.
Al momento, l'interfaccia utente del piano dati di Cloud Data Fusion non supporta
l'accesso basato sull'identità utilizzando regole di ingresso o
livelli di accesso.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
datalineage.googleapis.com
Dettagli
L'API per la creazione della struttura dei dati può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
compute.googleapis.com
Dettagli
Il supporto di Controlli di servizio VPC per Compute Engine offre i seguenti vantaggi per la sicurezza:
Limita l'accesso alle operazioni API sensibili
Limita gli snapshot disco permanente e le immagini personalizzate a un perimetro
Limita l'accesso ai metadati dell'istanza
Il supporto di Controlli di servizio VPC per Compute Engine ti consente inoltre di utilizzare reti Virtual Private Cloud e cluster privati Google Kubernetes Engine all'interno dei perimetri dei servizi.
Le operazioni di peering VPC non applicano le restrizioni del perimetro di servizio VPC.
Il metodo API projects.ListXpnHosts per il VPC condiviso non applica le limitazioni del perimetro di servizio ai progetti restituiti.
Per consentire la creazione di un'immagine Compute Engine da un
contenitore Cloud Storage in un progetto protetto da un
perimetro di servizio, l'utente che crea l'immagine deve essere aggiunto
temporaneamente a una regola di ingresso del perimetro.
Controlli di servizio VPC non supporta l'utilizzo della versione open source di Kubernetes sulle VM Compute Engine all'interno di un perimetro di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
contactcenterinsights.googleapis.com
Dettagli
Per utilizzare Conversational Insights con Controlli di servizio VPC, devi disporre delle seguenti API aggiuntive all'interno del perimetro, a seconda dell'integrazione.
Per caricare i dati in Conversational Insights, aggiungi l'API Cloud Storage al perimetro di servizio.
Per utilizzare export, aggiungi l'API BigQuery al perimetro del servizio.
Per integrare più prodotti CCAI, aggiungi l'API Vertex AI al perimetro di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dataflow.googleapis.com
Dettagli
Dataflow supporta una serie di
connettori per servizi di archiviazione. È stato verificato che i seguenti connettori funzionano con Dataflow all'interno di un perimetro di servizio:
BIND personalizzato non è supportato quando si utilizza Dataflow. Per personalizzare la risoluzione DNS quando utilizzi Dataflow con i Controlli di servizio VPC, utilizza le zone private di Cloud DNS anziché i server BIND personalizzati. Per utilizzare la tua risoluzione DNS on-premise, ti consigliamo di utilizzare un metodo di inoltro DNS di Google Cloud.
Non è stato verificato il funzionamento di tutti i connettori dei servizi di archiviazione se utilizzati con Dataflow all'interno di un perimetro di servizio. Per un elenco dei connettori verificati, consulta la sezione "Dettagli" della sezione precedente.
Quando utilizzi Python 3.5 con l'SDK Apache Beam 2.20.0-2.22.0,
i job Dataflow non andranno a buon fine all'avvio se i worker hanno
solo indirizzi IP privati, ad esempio quando utilizzi i Controlli di servizio VPC per proteggere le risorse.
Se i worker Dataflow possono avere solo indirizzi IP privati, ad esempio quando utilizzi i Controlli di servizio VPC per proteggere le risorse,
non utilizzare Python 3.5 con l'SDK Apache Beam 2.20.0-2.22.0. Questa combinazione causa l'errore dei job all'avvio.
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dataplex.googleapis.com
Dettagli
L'API per Dataplex può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Prima di creare le risorse Dataplex, configura il perimetro di sicurezza dei Controlli di servizio VPC. In caso contrario, le risorse non hanno protezione perimetrale.
Dataplex supporta i seguenti tipi di risorse:
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
metastore.googleapis.com
Dettagli
L'API per Dataproc Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
datastream.googleapis.com
Dettagli
L'API per Datastream può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
datamigration.googleapis.com
Dettagli
L'API per Database Migration Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API di amministrazione di Database Migration Service. Non proteggono
l'accesso ai dati basato su IP ai database sottostanti (ad esempio le istanze Cloud SQL). Per limitare l'accesso IP pubblico alle istanze Cloud SQL, utilizza un vincolo della policy dell'organizzazione.
Quando utilizzi un file Cloud Storage nella fase di dump iniziale della migrazione,
aggiungi il bucket Cloud Storage allo stesso perimetro di servizio.
Quando utilizzi una chiave di crittografia gestita dal cliente (CMEK) nel database di destinazione, assicurati che la chiave CMEK si trovi nello stesso perimetro di servizio del profilo di connessione che la contiene.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dialogflow.googleapis.com
Dettagli
L'API per Dialogflow può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dlp.googleapis.com
Dettagli
L'API per la protezione dei dati sensibili può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Poiché al momento Controlli di servizio VPC non supporta le risorse di cartelle e organizzazioni, le chiamate di Protezione dei dati sensibili potrebbero restituire una risposta 403 quando si tenta di accedere alle risorse a livello di organizzazione. Ti consigliamo di utilizzare IAM per gestire
le autorizzazioni di protezione dei dati sensibili a livello di cartella e organizzazione.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dns.googleapis.com
Dettagli
L'API per Cloud DNS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Puoi accedere a Cloud DNS tramite l'IP virtuale con limitazioni. Tuttavia,
non puoi creare o aggiornare zone DNS pubbliche all'interno dei progetti all'interno del
perimetro di Controlli di servizio VPC.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
documentai.googleapis.com
Dettagli
L'API per Document AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
contentwarehouse.googleapis.com
Dettagli
L'API per Document AI Warehouse può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
domains.googleapis.com
Dettagli
L'API per Cloud Domains può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I dati di configurazione DNS utilizzati in
Cloud Domains, ovvero server dei nomi
e impostazioni DNSSEC, sono
pubblici. Se il tuo dominio esegue il riassegno a una zona DNS pubblica, che è il valore predefinito, anche i dati di configurazione DNS di quella zona sono pubblici.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
eventarc.googleapis.com
Dettagli
Un bus Eventarc Advanced esterno a un perimetro di servizio
non può ricevere eventi dai progetti Google Cloud all'interno del perimetro. Un
bus Eventarc Advanced all'interno di un perimetro non può instradare gli eventi a un
consumatore esterno al perimetro.
Per pubblicare in un bus Eventarc Advanced, la sorgente di un evento deve trovarsi nello stesso perimetro di servizio del bus.
Per consumare un messaggio, un consumatore di eventi deve trovarsi nello stesso perimetro di servizio del bus.
Nei progetti protetti da un perimetro di servizio si applica la seguente limitazione:
Non puoi creare una pipeline Eventarc Advanced all'interno di un perimetro di servizio. Puoi verificare il supporto di Controlli di servizio VPC per le risorse MessageBus,
GoogleApiSource e Enrollment visualizzando i log della piattaforma
in entrata. Tuttavia, non puoi testare l'uscita di Controlli di servizio VPC. Se una di queste
risorse si trova in un perimetro di servizio, non puoi configurare Eventarc Advanced per
pubblicare eventi end-to-end all'interno di questo perimetro.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
eventarc.googleapis.com
Dettagli
Eventarc Standard gestisce la pubblicazione di eventi utilizzando argomenti Pub/Sub e sottoscrizioni push. Per accedere all'API Pub/Sub e gestire gli trigger di eventi, l'API Eventarc deve essere protetta nello stesso perimetro di servizio dei Controlli di servizio VPC dell'API Pub/Sub.
Nei progetti protetti da un perimetro di servizio si applicano le seguenti limitazioni:
Eventarc Standard è soggetto alle stesse limitazioni di Pub/Sub:
Quando inoltri gli eventi ai target Cloud Run, non puoi creare nuovi abbonamenti push Pub/Sub, a meno che gli endpoint push non siano impostati su servizi Cloud Run con URL run.app predefiniti (i domini personalizzati non funzionano).
Quando inoltri gli eventi ai target di Workflows per i quali l'endpoint push di Pub/Sub è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push di Pub/Sub solo tramite Eventarc Standard.
Controlli di servizio VPC blocca la creazione di trigger Eventarc Standard per endpoint HTTP interni. La protezione dei Controlli di servizio VPC non si applica quando si instradano
gli eventi a queste destinazioni.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
edgenetwork.googleapis.com
Dettagli
L'API per la rete perimetrale di Cloud distribuito può essere protetta da Controlli di servizio VPC
e utilizzata normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sull'API Distributed Cloud Edge Network, consulta la
documentazione del prodotto.
Limitazioni
L'integrazione dell'API Distributed Cloud Edge Network con Controlli di servizio VPC non presenta limitazioni note.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
financialservices.googleapis.com
Dettagli
L'API per l'AI antiriciclaggio può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sull'IA per la lotta al riciclaggio di denaro, consulta la documentazione del prodotto.
Limitazioni
L'integrazione dell'AI per il riciclaggio di denaro con i Controlli di servizio VPC non presenta limitazioni note.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
firebaseappcheck.googleapis.com
Dettagli
Quando configuri e scambi token Firebase App Check, i Controlli di servizio VPC
proteggono solo il servizio Firebase App Check. Per proteggere i servizi che si basano su
Firebase App Check, devi configurare i perimetri di servizio per questi servizi.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
firebaserules.googleapis.com
Dettagli
Quando gestisci le norme di Firebase Security Rules, Controlli di servizio VPC protegge solo il servizio Firebase Security Rules. Per proteggere i servizi che si basano su
Firebase Security Rules, devi configurare i concedenti di servizio per questi servizi.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudfunctions.googleapis.com
Dettagli
Per la procedura di configurazione, consulta la documentazione delle funzioni Cloud Run. La protezione di Controlli di servizio VPC non si applica alla fase di compilazione quando
le funzioni Cloud Run vengono compilate utilizzando Cloud Build. Per ulteriori dettagli, consulta le limitazioni note.
Le funzioni Cloud Run utilizzano Cloud Build, Container Registry e Cloud Storage per creare e gestire il codice sorgente in un contenitore eseguibile. Se
uno di questi servizi è limitato dal perimetro di servizio, i Controlli di servizio VPC
bloccano la compilazione delle funzioni Cloud Run, anche se le funzioni Cloud Run non sono aggiunte come
servizio limitato al perimetro. Per utilizzare le funzioni Cloud Run all'interno di un perimetro di servizio, devi configurare una regola di ingresso per l'account di servizio Cloud Build nel perimetro di servizio.
Per consentire alle funzioni di utilizzare dipendenze esterne come i pacchetti npm,
Cloud Build ha accesso a internet illimitato. Questo accesso a internet
potrebbe essere utilizzato per esfiltrare i dati disponibili al momento della compilazione, come
il codice sorgente caricato. Se vuoi mitigare questo vettore di esfiltrazione, ti consigliamo di consentire solo agli sviluppatori attendibili di eseguire il deployment delle funzioni. Non concedere
ruoli IAM Proprietario, Editor o Sviluppatore di Cloud Run
a sviluppatori non attendibili.
Quando specifichi un criterio di ingresso o di uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per eseguire il deployment di funzioni Cloud Run da una macchina locale.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Quando i servizi delle funzioni Cloud Run vengono richiamati da attivatori HTTP, l'applicazione dei criteri di Controlli di servizio VPC non utilizza le informazioni di autenticazione IAM del cliente. Le regole dei criteri di ingresso di Controlli di servizio VPC che utilizzano i principali IAM non sono supportate. I livelli di accesso per i perimetri di Controlli di servizio VPC che utilizzano agenti IAM non sono supportati.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
iam.googleapis.com
Dettagli
Quando limiti IAM con un perimetro, sono limitate solo le azioni che
utilizzano l'API IAM. Queste azioni includono la gestione
dei ruoli IAM personalizzati, dei pool di identità per i carichi di lavoro e degli account di servizio
e delle chiavi. Il perimetro non limita le azioni dei pool di forza lavoro perché sono risorse a livello di organizzazione.
Il perimetro di IAM non limita la gestione dell'accesso (ovvero l'ottenimento o l'impostazione dei criteri IAM) per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione dell'accesso per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano
i criteri IAM e i servizi che li possiedono, consulta
Tipi di risorse che accettano
i criteri IAM.
Inoltre, il perimetro di IAM non limita le azioni che utilizzano altre API, tra cui:
API IAM Policy Simulator
API IAM Policy Troubleshooter
API Security Token Service
API Service Account Credentials (inclusi i metodi signBlob e
signJwt precedenti nell'API IAM)
Se ti trovi all'interno del perimetro, non puoi chiamare il metodo
roles.list con
una stringa vuota per elencare i ruoli IAM predefiniti. Se devi visualizzare
i ruoli predefiniti, consulta la
documentazione relativa ai ruoli IAM.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
kmsinventory.googleapis.com
Dettagli
L'API per l'inventario Cloud KMS può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
iamcredentials.googleapis.com
Dettagli
L'API per le credenziali dell'account di servizio può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sulle credenziali dell'account di servizio, consulta la documentazione del prodotto.
Limitazioni
L'integrazione delle credenziali dell'account di servizio con i Controlli di servizio VPC non presenta limitazioni note.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloud.googleapis.com
Dettagli
L'API per i metadati di servizio può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
vpcaccess.googleapis.com
Dettagli
L'API per l'accesso VPC serverless può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudkms.googleapis.com
Dettagli
L'API Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato all'interno dei perimetri di servizio. L'accesso ai servizi Cloud HSM è protetto anche da Controlli di servizio VPC e può essere utilizzato all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
gameservices.googleapis.com
Dettagli
L'API per Game Servers può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudaicompanion.googleapis.com
Dettagli
L'API per Gemini Code Assist può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
iaptunnel.googleapis.com
Dettagli
L'API per Identity-Aware Proxy per TCP può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Solo l'API di utilizzo di IAP per TCP può essere protetta da un perimetro.
L'API di amministrazione non può essere protetta da un perimetro.
Per utilizzare l'IAP per TCP all'interno di un perimetro di servizio Controlli di servizio VPC, devi
aggiungere o configurare alcune voci DNS
in modo che indirizzino i seguenti domini all'IP virtuale limitato:
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
lifesciences.googleapis.com
Dettagli
L'API per Cloud Life Sciences può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
recaptchaenterprise.googleapis.com
Dettagli
L'API per reCAPTCHA può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
webrisk.googleapis.com
Dettagli
L'API per i rischi web può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
recommender.googleapis.com
Dettagli
L'API per Recommender può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
secretmanager.googleapis.com
Dettagli
L'API per Secret Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
pubsub.googleapis.com
Dettagli
La protezione dei Controlli di servizio VPC si applica a tutte le operazioni di amministratore, di editore e di abbonato (tranne per le iscrizioni push esistenti).
Nei progetti protetti da un perimetro di servizio si applicano le seguenti limitazioni:
Non è possibile creare nuovi abbonamenti push, a meno che gli endpoint push non siano impostati su
servizi Cloud Run con URL run.app predefiniti o su un'esecuzione di Workflows
(i domini personalizzati non funzionano). Per maggiori informazioni sull'integrazione con Cloud Run, consulta Utilizzare i Controlli di servizio VPC.
Per le sottoscrizioni non push, devi creare una sottoscrizione nello stesso perimetro dell'argomento o attivare le regole di uscita per consentire l'accesso dall'argomento alla sottoscrizione.
Quando inoltri gli eventi tramite Eventarc ai target di Workflows per i quali l'endpoint push è impostato su un'esecuzione di Workflows, puoi creare nuovi abbonamenti push solo tramite Eventarc.
Le sottoscrizioni Pub/Sub create prima del perimetro di servizio non sono bloccate.
Versione GA. Questa integrazione del prodotto è supportata dai Controlli di servizio VPC. Per ulteriori informazioni, consulta i dettagli e le limitazioni.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
clouddeploy.googleapis.com
Dettagli
L'API per Cloud Deploy può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per utilizzare Cloud Deploy in un perimetro, devi utilizzare un pool privato Cloud Build per gli ambienti di esecuzione della destinazione.
Non utilizzare il pool di worker predefinito (Cloud Build) e non utilizzare un pool ibrido.
L'attivazione della serializzazione DAG impedisce ad Airflow di visualizzare un
modello visualizzato con funzioni nell'interfaccia utente web.
L'impostazione del flag async_dagbag_loader su True non è supportata se la serializzazione DAG è attivata.
L'attivazione della serializzazione DAG disattiva tutti i plug-in del server web di Airflow, in quanto potrebbero mettere a rischio la sicurezza della rete VPC in cui è dipiegato Cloud Composer. Ciò non influisce sul comportamento dei plug-in di scheduler o worker,
inclusi gli operatori e i sensori di Airflow.
Quando Cloud Composer viene eseguito all'interno di un perimetro, l'accesso ai repository PyPI pubblici è limitato. Nella documentazione di Cloud Composer, consulta Installazione delle dipendenze Python per scoprire come installare i moduli PyPi in modalità IP privato.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudquotas.googleapis.com
Dettagli
L'API per le quote Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Poiché Controlli di servizio VPC applica i confini a livello di progetto,
le richieste di quote Cloud provenienti da client all'interno del
perimetro possono accedere alle risorse dell'organizzazione solo se l'organizzazione configura una
regola di uscita.
Quando richiedi una riduzione della quota, Cloud Quotas esegue una chiamata di servizio a servizio (S2S) a Monitoring.
Questa chiamata S2S non proviene dall'interno del perimetro anche se la richiesta di riduzione lo fa, pertanto verrà bloccata dai Controlli di servizio VPC.
Crea una regola in entrata che consenta la chiamata S2S dalla tua identità e da tutte le origini al monitoraggio del progetto in cui richiedi la riduzione della quota.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
run.googleapis.com
Dettagli
È necessaria una configurazione aggiuntiva per Cloud Run. Segui
le istruzioni riportate nella pagina della documentazione di Controlli di servizio VPC di Cloud Run.
Per Artifact Registry e Container Registry, il registry in cui memorizzi il container deve trovarsi nello stesso perimetro dei Controlli di servizio VPC del progetto in cui esegui il deployment. Il codice in fase di compilazione deve trovarsi nello stesso perimetro dei Controlli di servizio VPC del registry a cui viene eseguito il push del contenitore.
La funzionalità di distribuzione continua di Cloud Run non è disponibile per i progetti all'interno di un perimetro dei Controlli di servizio VPC.
Quando vengono invocati i servizi Cloud Run, l'applicazione dei criteri di Controlli di servizio VPC non utilizza le informazioni di autenticazione IAM del client. Queste richieste presentano le seguenti limitazioni:
Le regole dei criteri di ingresso di Controlli di servizio VPC che utilizzano i principali IAM non sono supportate.
I livelli di accesso per i perimetri di Controlli di servizio VPC che utilizzano i principali IAM non sono supportati.
Le richieste provenienti dallo stesso progetto su VIP non soggetti a restrizioni sono consentite, anche se
Cloud Run non è configurato come
servizio accessibile tramite VPC.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
spanner.googleapis.com
Dettagli
L'API per Spanner può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
speakerid.googleapis.com
Dettagli
L'API per Speaker ID può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
storage.googleapis.com
Dettagli
L'API per Cloud Storage può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Quando utilizzi la funzionalità Chiedi al richiedente di pagare con un bucket di archiviazione all'interno di un perimetro di servizio che protegge il servizio Cloud Storage, non puoi identificare un progetto da pagare che si trovi all'esterno del perimetro. Il progetto di destinazione deve trovarsi nello stesso perimetro del bucket di archiviazione o in un bridge del perimetro con il progetto del bucket.
Per i progetti in un perimetro di servizio, la pagina Cloud Storage nella console Google Cloud non è accessibile se l'API Cloud Storage è protetta da quel perimetro. Se vuoi concedere l'accesso alla pagina, devi creare una regola di ingresso e/o un livello di accesso che includa gli account utente e/o l'intervallo IP pubblico a cui vuoi consentire l'accesso all'API Cloud Storage.
Nei record dei log di controllo, il valore di methodName non è sempre corretto. Ti consigliamo di non filtrare i record dei log di controllo di Cloud Storage per methodName.
In alcuni casi, i log dei bucket legacy di Cloud Storage possono essere scritti
in destinazioni esterne al perimetro di un servizio anche quando l'accesso è negato.
In alcuni casi, gli oggetti Cloud Storage che erano pubblici sono accessibili anche
dopo aver attivato i controlli di servizio VPC sugli oggetti. Gli oggetti sono accessibili fino alla loro scadenza dalle cache integrate e da eventuali altre cache a monte sulla rete tra l'utente finale e Cloud Storage. Cloud Storage memorizza nella cache i dati accessibili pubblicamente per impostazione predefinita nella rete di Cloud Storage.
Per saperne di più su come vengono memorizzati nella cache gli oggetti Cloud Storage, consulta Cloud Storage. Per informazioni sulla durata della memorizzazione nella cache di un oggetto, consulta Metadati Cache-Control.
Quando specifichi un criterio di ingresso o di uscita per un perimetro di servizio, non puoi
utilizzare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità
per tutte le operazioni di Cloud Storage che utilizzano
URL firmati.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Gli URL firmati supportano i Controlli di servizio VPC.
Controlli di servizio VPC utilizza le credenziali di firma dell'account utente o di servizio che ha firmato l'URL firmato per valutare i controlli di Controlli di servizio VPC, non le credenziali dell'utente o dell'autore della chiamata che avvia la connessione.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudtasks.googleapis.com
Dettagli
L'API per Cloud Tasks può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Le richieste HTTP provenienti dalle esecuzioni di Cloud Tasks sono supportate come segue:
Sono consentite le richieste autenticate alle funzioni Cloud Run e agli endpoint Cloud Run conformi a Controlli di servizio VPC.
Le richieste a funzioni e endpoint non Cloud Run sono bloccate.
Le richieste alle funzioni Cloud Run e agli endpoint Cloud Run non conformi ai Controlli di servizio VPC sono bloccate.
I perimetri di servizio proteggono solo l'API Cloud SQL Admin.
Inoltre, non proteggono l'accesso ai dati in base all'IP alle istanze Cloud SQL. Devi
utilizzare un vincolo del criterio dell'organizzazione
per limitare l'accesso IP pubblico alle istanze Cloud SQL.
Prima di configurare i Controlli di servizio VPC per Cloud SQL, abilita l'API Service Networking.
Le importazioni ed esportazioni di Cloud SQL possono eseguire letture e scritture solo da un
bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza di replica Cloud SQL.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
videointelligence.googleapis.com
Dettagli
L'API Video Intelligence può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
vision.googleapis.com
Dettagli
L'API Cloud Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anche se crei una regola di uscita per consentire le chiamate agli URL pubblici dall'interno dei perimetri di Controlli di servizio VPC, l'API Cloud Vision blocca le chiamate agli URL pubblici.
Poiché l'API Container Scanning è un'API senza interfaccia che memorizza i risultati
nell'Artifact Analysis, non è necessario proteggerla con un perimetro
di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containerregistry.googleapis.com
Dettagli
Oltre a proteggere l'API Container Registry,
Container Registry può essere utilizzato all'interno di un perimetro di servizio con
GKE e Compute Engine.
Quando specifichi un criterio di ingresso o di uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Container Registry.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Oltre ai container all'interno di un perimetro disponibili per
Container Registry, i seguenti repository di sola lettura
sono disponibili per tutti i progetti, indipendentemente dalle restrizioni applicate dai perimetri di servizio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In tutti i casi, sono disponibili anche le versioni multiregionali di questi repository.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
container.googleapis.com
Dettagli
L'API per Google Kubernetes Engine può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per proteggere completamente l'API Google Kubernetes Engine, devi includere nel tuo perimetro anche l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com).
Solo i cluster privati possono essere protetti utilizzando i Controlli di servizio VPC. I cluster con
indirizzi IP pubblici non sono supportati da Controlli di servizio VPC.
La scalabilità automatica funziona indipendentemente da GKE. Poiché Controlli di servizio VPC
non supporta autoscaling.googleapis.com, la scalabilità automatica non funziona.
Quando utilizzi GKE, puoi ignorare la violazione SERVICE_NOT_ALLOWED_FROM_VPC
nei log di controllo causata dal servizio autoscaling.googleapis.com.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containersecurity.googleapis.com
Dettagli
L'API per la sicurezza dei container può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containerfilesystem.googleapis.com
Dettagli
Il flusso di immagini è una funzionalità di streaming di dati di GKE che offre
tempi di pull delle immagini dei container più brevi per le immagini archiviate in Artifact Registry.
Se Controlli di servizio VPC protegge le tue immagini contenitore e utilizzi lo streaming di immagini,
devi includere anche l'API Image Streaming nel perimetro di servizio.
Le API di gestione del parco risorse, tra cui Connect Gateway, possono essere protette con i Controlli di servizio VPC e le funzionalità di gestione del parco risorse possono essere utilizzate normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni, consulta le seguenti risorse:
Sebbene tutte le funzionalità di gestione della flotta possano essere utilizzate normalmente, l'attivazione di un perimetro di servizio attorno all'API Stackdriver impedisce l'integrazione della funzionalità della flotta di Policy Controller con Security Command Center.
Quando utilizzi il gateway Connect per accedere ai cluster GKE, il perimetro di Controlli di servizio VPC per container.googleapis.com non viene applicato.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudresourcemanager.googleapis.com
Dettagli
I seguenti metodi dell'API Cloud Resource Manager possono essere protetti da Controlli di servizio VPC:
Solo le chiavi dei tag direttamente correlate a una risorsa del progetto e i valori dei tag corrispondenti
possono essere protetti utilizzando Controlli di servizio VPC. Quando un progetto viene aggiunto a un perimetro di Controlli di servizio VPC, tutte le chiavi dei tag e i valori dei tag corrispondenti nel progetto sono considerati risorse all'interno del perimetro.
Le chiavi dei tag con un'organizzazione come risorsa principale e i relativi valori dei tag
non possono essere inclusi in un perimetro di Controlli di servizio VPC e non possono essere protetti utilizzando
i Controlli di servizio VPC.
I client all'interno di un perimetro Controlli di servizio VPC non possono accedere alle chiavi dei tag e ai valori corrispondenti con organizzazione principale di una risorsa dell'organizzazione, a meno che nel perimetro non sia impostata una regola di uscita che consenta l'accesso. Per ulteriori informazioni sull'impostazione delle regole di uscita, consulta Regole di ingresso e di uscita.
Le associazioni di tag sono considerate risorse all'interno dello stesso perimetro della risorsa
a cui è associato il valore del tag. Ad esempio, le associazioni di tag a un'istanza Compute Engine
in un progetto sono considerate appartenenti a quel progetto, indipendentemente da dove
è definita la chiave del tag.
Alcuni servizi, come Compute Engine, consentono di creare associazioni di tag utilizzando le proprie API di servizio, oltre alle API di servizio di Resource Manager. Ad esempio, l'aggiunta di tag a una VM Compute Engine durante la creazione della risorsa. Per proteggere
le associazioni di tag create o eliminate utilizzando queste API di servizio, aggiungi il servizio corrispondente, ad esempio compute.googleapis.com, all'elenco dei servizi con limitazioni nel perimetro.
I tag supportano le restrizioni a livello di metodo, quindi puoi limitare il campo di applicazione di method_selectors a metodi API specifici. Per un elenco dei metodi su cui è possibile applicare limitazioni, consulta Limitazioni del metodo dei servizi supportati.
La concessione del ruolo di proprietario a un progetto tramite la console Google Cloud è ora supportata dai Controlli di servizio VPC. Non puoi inviare un invito al proprietario o accettare un invito al di fuori dei perimetri di servizio. Se provi ad accettare un invito dall'esterno del perimetro,
non ti verrà concesso il ruolo di proprietario e non verrà visualizzato alcun messaggio di errore o avviso.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
logging.googleapis.com
Dettagli
L'API per Cloud Logging può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I sink dei log aggregati (sink di cartelle o organizzazioni in cui includeChildren è true) possono accedere ai dati dei progetti all'interno di un perimetro di servizio. Per impedire ai canali di log aggregati di accedere ai dati all'interno di un perimetro, consigliamo di utilizzare IAM per gestire le autorizzazioni di logging a livello di cartella o di canale di log aggregato a livello di organizzazione.
Controlli di servizio VPC non supporta l'aggiunta di cartelle o risorse dell'organizzazione ai perimetri di servizio. Pertanto, non puoi utilizzare Controlli di servizio VPC per difendere i log a livello di cartella e di organizzazione, inclusi i log aggregati. Per gestire le autorizzazioni di logging
a livello di cartella o di organizzazione, ti consigliamo di utilizzare IAM.
Se inoltri i log, utilizzando un'sink di log a livello di organizzazione o di cartella, a una
risorsa protetta da un perimetro di servizio, devi aggiungere una regola di ingresso al
perimetro di servizio. La regola di ingresso deve consentire l'accesso alla risorsa dall'account di servizio utilizzato dall'sink di log. Questo passaggio non è necessario per i sink a livello di progetto.
Per ulteriori informazioni, consulta le seguenti pagine:
Quando specifichi un criterio di ingresso o di uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per esportare i log da un sink Cloud Logging a una risorsa Cloud Storage.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
certificatemanager.googleapis.com
Dettagli
L'API per Certificate Manager può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
monitoring.googleapis.com
Dettagli
L'API per Cloud Monitoring può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I canali di notifica, i criteri di avviso e le metriche personalizzate possono essere utilizzati insieme per esfiltrare dati/metadati. A partire da oggi, un utente di monitoraggio può configurare un canale di notifica che rimandi a un'entità esterna all'organizzazione, ad esempio "utentecattivo@aziendacattiva.com". L'utente configura quindi le metriche personalizzate e i criteri di avviso corrispondenti che utilizzano il canale di notifica. Di conseguenza, manipolando le metriche personalizzate, l'utente può attivare avvisi e inviare notifiche di attivazione degli avvisi, esfiltrando i dati sensibili all'indirizzo baduser@badcompany.com, al di fuori del perimetro di Controlli di servizio VPC.
Tutte le VM Compute Engine o AWS con l'agente di monitoraggio installato devono trovarsi all'interno del perimetro di Controlli di servizio VPC, altrimenti le scritture delle metriche dell'agente non andranno a buon fine.
Tutti i pod GKE devono trovarsi all'interno del perimetro di Controlli di servizio VPC, altrimenti Monitoraggio GKE non funzionerà.
Quando esegui query sulle metriche per un
ambito delle metriche, viene preso in considerazione solo il
perimetro dei Controlli di servizio VPC del progetto di definizione dell'ambito per l'ambito delle metriche. I perimetri dei singoli progetti monitorati
nell'ambito delle metriche non vengono presi in considerazione.
Un progetto può essere aggiunto come progetto monitorato a un ambito delle metriche esistente solo se si trova nello stesso perimetro dei Controlli di servizio VPC del progetto di ambito dell'ambito delle metriche.
Per accedere a Monitoraggio nella console Google Cloud per un progetto di hosting protetto da un perimetro di servizio, utilizza una regola di ingresso.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudprofiler.googleapis.com
Dettagli
L'API per Cloud Profiler può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
timeseriesinsights.googleapis.com
Dettagli
L'API Timeseries Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudtrace.googleapis.com
Dettagli
L'API per Cloud Trace può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
tpu.googleapis.com
Dettagli
L'API per Cloud TPU può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Poiché l'API Natural Language è un'API stateless e non viene eseguita nei progetti,
l'utilizzo di Controlli di servizio VPC per proteggere l'API Natural Language non ha alcun effetto.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
networkconnectivity.googleapis.com
Dettagli
L'API per Network Connectivity Center può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudasset.googleapis.com
Dettagli
L'API Cloud Asset può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Cloud Asset a livello di cartella o di organizzazione da risorse e client all'interno di un perimetro di servizio. Controlli di servizio VPC
protegge le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare un criterio di uscita per impedire
l'accesso alle risorse dell'API Cloud Asset a livello di progetto dai progetti all'interno del perimetro.
Controlli di servizio VPC non supporta l'aggiunta di risorse dell'API Cloud Asset a livello di cartella o di organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere
le risorse dell'API Cloud Asset a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Cloud Asset Inventory
a livello di cartella o organizzazione, ti consigliamo di utilizzare IAM.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
speech.googleapis.com
Dettagli
L'API per la conversione di Speech-to-Text può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
texttospeech.googleapis.com
Dettagli
L'API Text-to-Speech può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
translate.googleapis.com
Dettagli
L'API per la traduzione può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Cloud Translation - Advanced (v3) supporta Controlli di servizio VPC, ma
non Cloud Translation - Basic (v2). Per applicare i Controlli di servizio VPC,
devi utilizzare Cloud Translation - Advanced (v3). Per saperne di più sulle diverse versioni, vedi Confronta le versioni di Base e Avanzata.
Per proteggere gli endpoint di input con un perimetro di servizio, devi seguire
le istruzioni per configurare un pool privato e inviare gli stream video di input tramite una connessione
privata.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
transcoder.googleapis.com
Dettagli
L'API Transcoder può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
videostitcher.googleapis.com
Dettagli
L'API per Video Stitcher può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
accessapproval.googleapis.com
Dettagli
L'API per l'approvazione dell'accesso può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
healthcare.googleapis.com
Dettagli
L'API per Cloud Healthcare può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
storagetransfer.googleapis.com
Dettagli
Ti consigliamo di posizionare il progetto Storage Transfer Service nello stesso
perimetro di servizio delle risorse Cloud Storage. In questo modo vengono protetti sia il trasferimento sia le risorse Cloud Storage. Storage Transfer Service supporta anche scenari in cui il progetto Storage Transfer Service non si trova nello stesso perimetro dei bucket Cloud Storage, utilizzando un criterio di uscita.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
servicecontrol.googleapis.com
Dettagli
L'API per Service Control può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Quando chiami l'API Service Control da una rete VPC in un perimetro di servizio con Service Control limitato alla generazione di report sulle metriche di fatturazione o di analisi, puoi utilizzare solo il metodo Report di Service Control per generare report sulle metriche per i servizi supportati da Controlli di servizio VPC.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
redis.googleapis.com
Dettagli
L'API per Memorystore for Redis può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Memorystore for Redis. I perimetri
non proteggono il normale accesso ai dati sulle istanze Memorystore for Redis
all'interno della stessa rete.
Se anche l'API Cloud Storage è protetta, le operazioni di importazione ed esportazione di Memorystore per Redis possono solo leggere e scrivere in un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza Memorystore per Redis.
Se utilizzi sia VPC condiviso che Controlli di servizio VPC, devi disporre del progetto host che fornisce la rete e del progetto di servizio che contiene l'istanza Redis all'interno dello stesso perimetro affinché le richieste Redis vadano a buon fine. In qualsiasi momento,
la separazione del progetto host e del progetto di servizio con un perimetro può causare un errore dell'istanza Redis, oltre a richieste bloccate. Per ulteriori informazioni, consulta i requisiti di configurazione di Memorystore for Redis.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
memcache.googleapis.com
Dettagli
L'API per Memorystore for Memcached può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Memorystore for Memcached. I perimetri
non proteggono il normale accesso ai dati sulle istanze Memorystore per Memcached
all'interno della stessa rete.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
servicedirectory.googleapis.com
Dettagli
L'API per Service Directory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
No. L'API per Transfer Appliance non può essere protetta dai perimetri di servizio.
Tuttavia, Transfer Appliance può essere utilizzato normalmente nei progetti all'interno di un perimetro.
Dettagli
Transfer Appliance è completamente supportato per i progetti che utilizzano
i Controlli di servizio VPC.
Transfer Appliance non offre un'API e pertanto non supporta le funzionalità relative alle API in Controlli di servizio VPC.
Quando Cloud Storage è protetto da Controlli di servizio VPC, la
chiave Cloud KMS che condividi con il team dell'Transfer Appliance deve appartenere allo stesso progetto del
bucket Cloud Storage di destinazione.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
orgpolicy.googleapis.com
Dettagli
L'API per il servizio di norme dell'organizzazione può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta le limitazioni di accesso ai criteri dell'organizzazione a livello di cartella o di organizzazione ereditati dal progetto.
Controlli di servizio VPC protegge le risorse dell'API Organization Policy Service a livello di progetto.
Ad esempio, se una regola di ingresso impedisce a un utente di accedere all'API Organization Policy Service, quell'utente riceve un errore 403 quando esegue una query sui criteri dell'organizzazione applicati al progetto. Tuttavia,
l'utente può comunque accedere ai criteri dell'organizzazione della cartella e dell'organizzazione
contenente il progetto.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
oslogin.googleapis.com
Dettagli
Puoi chiamare l'API OS Login dai perimetri dei Controlli di servizio VPC. Per gestire
OS Login dai perimetri dei Controlli di servizio VPC,
configura OS Login.
Le connessioni SSH alle istanze VM non sono protette da Controlli di servizio VPC.
I metodi di OS Login per la lettura e la scrittura delle chiavi SSH non applicano i perimetri dei Controlli di servizio VPC. Utilizza i servizi accessibili da VPC per disattivare l'accesso alle API OS Login.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
servicehealth.googleapis.com
Dettagli
L'API per Personalized Service Health può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni su Integrità del servizio personalizzata, consulta la documentazione del prodotto.
Limitazioni
Controlli di servizio VPC non supporta le risorse OrganizationEvents e OrganizationImpacts dell'API Service Health. Pertanto, i controlli dei criteri di Controlli di servizio VPC non vengono eseguiti quando chiami i metodi per queste risorse. Tuttavia, puoi chiamare i metodi da un perimetro di servizio utilizzando un VIP con limitazioni.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
osconfig.googleapis.com
Dettagli
Puoi chiamare l'API OS Config dai perimetri dei Controlli di servizio VPC. Per utilizzare VM Manager all'interno dei perimetri dei Controlli di servizio VPC, configura VM Manager.
Per proteggere completamente VM Manager, devi includere tutte le API riportate di seguito nel tuo perimetro:
API OS Config (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Artifact Analysis (containeranalysis.googleapis.com)
VM Manager non ospita contenuti di pacchetti e patch. La gestione delle patch del sistema operativo utilizza
gli strumenti di aggiornamento per il sistema operativo che richiedono che gli aggiornamenti dei pacchetti e
le patch siano recuperabili sulla VM. Affinché l'applicazione dei patch funzioni, potresti dover utilizzare Cloud NAT o ospitare il tuo repository dei pacchetti o Windows Server Update Service nel tuo Virtual Private Cloud.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
workflows.googleapis.com
Dettagli
Workflows è una piattaforma di orchestrazione che può combinare i servizi Google Cloud e le API basate su HTTP per eseguire i servizi in un ordine definito da te.
Quando proteggi l'API Workflows utilizzando un perimetro di servizio, viene protetta anche l'API Workflow Execution. Non è necessario
aggiungere workflowexecutions.googleapis.com separatamente all'elenco dei servizi protetti
del perimetro.
Le richieste HTTP da un'esecuzione di Workflows sono supportate come segue:
Sono consentite le richieste autenticate agli endpoint Google Cloud conformi a Controlli di servizio VPC.
Sono consentite le richieste alle funzioni Cloud Run e agli endpoint dei servizi Cloud Run.
Le richieste agli endpoint di terze parti sono bloccate.
Le richieste agli endpoint Google Cloud non conformi ai Controlli di servizio VPC
sono bloccate.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
file.googleapis.com
Dettagli
L'API per Filestore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Filestore. I perimetri
non proteggono il normale accesso ai dati NFS sulle istanze Filestore
all'interno della stessa rete.
Se utilizzi sia VPC condiviso che Controlli di servizio VPC, devi avere il progetto
host che fornisce la rete e il progetto di servizio che contiene l'istanza
Filestore nello stesso perimetro affinché l'istanza
Filestore funzioni correttamente. Se separi il progetto host e il progetto di servizio
con un perimetro, le istanze esistenti potrebbero non essere più disponibili e
potrebbe non essere possibile crearne di nuove.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Se utilizzi sia VPC condiviso che Controlli di servizio VPC, devi disporre del progetto
host che fornisce la rete e del progetto di servizio che contiene l'istanza
Parallelstore nello stesso perimetro affinché l'istanza Parallelstore
funzioni correttamente. Se separi il progetto host e il progetto di servizio
con un perimetro, le istanze esistenti potrebbero non essere più disponibili e
potrebbero non essere create nuove istanze.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containerthreatdetection.googleapis.com
Dettagli
L'API per il rilevamento delle minacce ai container può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Ads Data Hub e i Controlli di servizio VPC sono soggetti a Termini di servizio diversi. Per informazioni dettagliate, consulta i termini di ciascun prodotto.
Alcune funzionalità di Ads Data Hub (come l'attivazione di segmenti di pubblico personalizzati, le offerte personalizzate e le tabelle delle corrispondenze LiveRamp) richiedono l'esportazione di determinati dati utente al di fuori del perimetro dei Controlli di servizio VPC. Se viene aggiunto come servizio limitato, Ads Data Hub ignorerà le norme dei Controlli di servizio VPC per queste funzionalità per mantenerne la funzionalità.
Tutti i servizi dipendenti devono essere inclusi come servizi consentiti nello stesso perimetro dei Controlli di servizio VPC. Ad esempio, poiché Ads Data Hub si basa su BigQuery, è necessario aggiungere anche BigQuery. In generale, le best practice per i Controlli di servizio VPC consigliano di includere nel perimetro tutti i servizi,
ad esempio "limitando tutti i servizi".
I clienti con strutture di account Ads Data Hub multilivello (come le agenzie con società controllate) devono avere tutti i progetti amministratore nello stesso perimetro. Per semplicità,
Ads Data Hub consiglia ai clienti con strutture di account multilivello di limitare
i progetti amministratore alla stessa organizzazione Google Cloud.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
sts.googleapis.com
Dettagli
Controlli di servizio VPC limita gli scambi di token solo se il segmento di pubblico nella richiesta è una risorsa a livello di progetto. Ad esempio, i Controlli di servizio VPC non limitano le richieste di
token con ambito ridotto,
perché queste richieste non hanno segmenti di pubblico. Inoltre, i Controlli di servizio VPC non limitano le richieste per la federazione delle identità per la forza lavoro perché il segmento di pubblico è una risorsa a livello di organizzazione.
Ads Data Hub e i Controlli di servizio VPC sono soggetti a Termini di servizio diversi. Per informazioni dettagliate, consulta i termini di ciascun prodotto.
Alcune funzionalità di Ads Data Hub (come l'attivazione di segmenti di pubblico personalizzati, le offerte personalizzate e le tabelle delle corrispondenze LiveRamp) richiedono l'esportazione di determinati dati utente al di fuori del perimetro dei Controlli di servizio VPC. Se viene aggiunto come servizio limitato, Ads Data Hub ignorerà le norme dei Controlli di servizio VPC per queste funzionalità per mantenerne la funzionalità.
Tutti i servizi dipendenti devono essere inclusi come servizi consentiti nello stesso perimetro dei Controlli di servizio VPC. Ad esempio, poiché Ads Data Hub si basa su BigQuery, è necessario aggiungere anche BigQuery. In generale, le best practice per i Controlli di servizio VPC consigliano di includere nel perimetro tutti i servizi,
ad esempio "limitando tutti i servizi".
I clienti con strutture di account Ads Data Hub multilivello (come le agenzie con società controllate) devono avere tutti i progetti amministratore nello stesso perimetro. Per semplicità,
Ads Data Hub consiglia ai clienti con strutture di account multilivello di limitare
i progetti amministratore alla stessa organizzazione Google Cloud.
I servizi firestore.googleapis.com, datastore.googleapis.com
e firestorekeyvisualizer.googleapis.com sono raggruppati.
Quando limiti il servizio firestore.googleapis.com in un perimetro,
il perimetro limita anche i servizi datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com.
Per usufruire della protezione completa in uscita per le operazioni di importazione ed esportazione,
devi utilizzare l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:
Le operazioni di importazione ed esportazione non sono completamente protette, a meno che non utilizzi
l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:
I servizi integrati precedenti di App Engine per Datastore
non supportano i perimetri di servizio. La protezione del servizio Datastore con un perimetro di servizio blocca il traffico proveniente dai servizi in bundle precedenti di App Engine. I servizi in bundle legacy includono:
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
vmmigration.googleapis.com
Dettagli
L'API per Migrate to Virtual Machines può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
backupdr.googleapis.com
Dettagli
L'API per il servizio di backup e DR può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Se rimuovi la route predefinita di internet dal progetto di producer di servizi utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls,
potresti non essere in grado di accedere alla console di gestione o di eseguirne il deployment. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
gkebackup.googleapis.com
Dettagli
Puoi utilizzare i Controlli di servizio VPC per proteggere il backup per GKE e puoi utilizzare le funzionalità di backup per GKE normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
retail.googleapis.com
Dettagli
L'API per l'API Retail può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
integrations.googleapis.com
Dettagli
L'Application Integration è un sistema di gestione dei flussi di lavoro collaborativo che ti consente di creare, aumentare, eseguire il debug e comprendere i flussi di lavoro di base del sistema aziendale.
I flussi di lavoro in Application Integration sono costituiti da trigger e attività.
Esistono diversi tipi di trigger, ad esempio trigger API/trigger Pub/Sub/trigger cron/trigger Salesforce.
Controlli di servizio VPC protegge i log di Application Integration. Se utilizzi Application Integration, verifica il supporto per l'integrazione di vpcsc con il team di Application Integration.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
connectors.googleapis.com
Dettagli
L'API per i connettori di integrazione può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Quando utilizzi Controlli di servizio VPC, se la connessione si connette a una risorsa CLI non Google Cloud, la destinazione della connessione deve essere un collegamento Private Service Connect. Le connessioni
create senza il collegamento Private Service Connect non vanno a buon fine.
Se configuri un perimetro di servizio Controlli di servizio VPC per il tuo progetto Google Cloud CLI, non puoi utilizzare la
funzionalità di sottoscrizione agli eventi per il progetto.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
clouderrorreporting.googleapis.com
Dettagli
L'API per Error Reporting può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Le notifiche inviate quando viene rilevato un gruppo di errori nuovo o ricorrente contengono informazioni sul gruppo di errori. Per impedire l'esfiltrazione di dati al di fuori del perimetro di Controlli di servizio VPC, assicurati che i canali di notifica si trovino all'interno della tua organizzazione.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
workstations.googleapis.com
Dettagli
L'API per Cloud Workstations può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per proteggere completamente Cloud Workstations, devi limitare l'API Compute Engine nel perimetro di servizio ogni volta che limiti l'API Cloud Workstations.
Assicurati che l'API Google Cloud Storage, l'API Google Container Registry
e l'API Artifact Registry siano
accessibili dalla VPC nel perimetro del servizio. Questo è necessario per importare le immagini nella tua workstation. Ti consigliamo inoltre di consentire l'accesso all'API Cloud Logging e all'API Error Reporting nel perimetro del servizio, anche se non è necessario per utilizzare le Cloud Workstations.
Assicurati che il cluster della workstation sia
privato.
La configurazione di un cluster privato impedisce le connessioni alle tue stazioni di lavoro al di fuori del perimetro di servizio VPC.
Assicurati di disattivare gli indirizzi IP pubblici nella configurazione della workstation. In caso contrario, nel progetto verranno create VM con indirizzi IP pubblici. Ti consigliamo vivamente di utilizzare il
constraints/compute.vmExternalIpAccess
vincolo dei criteri dell'organizzazione per disattivare gli indirizzi IP pubblici per tutte le VM
nel perimetro del servizio VPC. Per maggiori dettagli, consulta Limitare gli indirizzi IP esterni a VM specifiche.
Durante la connessione alla workstation, il controllo dell'accesso si basa solo sul fatto che la rete privata da cui ti connetti appartenga al perimetro di sicurezza. Il controllo degli accessi basato su
dispositivo, indirizzo IP pubblico o posizione non è supportato.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ids.googleapis.com
Dettagli
L'API per Cloud IDS può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Cloud IDS utilizza Cloud Logging per creare log delle minacce nel tuo progetto. Se Cloud Logging è limitato dal perimetro di servizio, Controlli di servizio VPC blocca i log delle minacce di Cloud IDS, anche se Cloud IDS non è aggiunto come servizio limitato al perimetro. Per utilizzare Cloud IDS all'interno di un perimetro di servizio, devi configurare una regola di ingresso per l'account di servizio Cloud Logging nel perimetro di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
policytroubleshooter.googleapis.com
Dettagli
Quando limiti l'API dello strumento per la risoluzione dei problemi dei criteri con un perimetro,
le entità possono risolvere i problemi relativi ai criteri di autorizzazione IAM solo se tutte le risorse
coinvolte nella richiesta si trovano nello stesso perimetro. In genere, in una richiesta di risoluzione dei problemi sono coinvolte due risorse:
La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere di qualsiasi
tipo. Specifichi questa risorsa esplicitamente quando risolvi i problemi relativi a un
criterio di autorizzazione.
La risorsa che stai utilizzando per risolvere i problemi di accesso. Questa risorsa è
un progetto, una cartella o un'organizzazione. Nella console Google Cloud e
gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione selezionati. Nell'API REST, specifica questa risorsa
utilizzando l'intestazione x-goog-user-project.
Questa risorsa può essere la stessa per cui stai risolvendo i problemi di accesso, ma non è obbligatoria.
Se queste risorse non si trovano nello stesso perimetro, la richiesta non va a buon fine.
Per saperne di più sullo strumento per la risoluzione dei problemi relativi ai criteri, consulta la documentazione del prodotto.
Limitazioni
L'integrazione di Policy Troubleshooter con i Controlli di servizio VPC non presenta limitazioni note.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
policysimulator.googleapis.com
Dettagli
Quando limiti l'API Policy Simulator con un perimetro, le entità
possono simulare i criteri di autorizzazione solo se determinate risorse coinvolte nella
simulazione si trovano nello stesso perimetro. In una simulazione sono coinvolte diverse risorse:
La risorsa di cui stai simulando il criterio di autorizzazione. Questa risorsa è chiamata anche risorsa
target. Nella console Google Cloud, si tratta della risorsa
di cui stai modificando il criterio di autorizzazione. Nell'interfaccia alla gcloud CLI e nell'API REST, specifichi esplicitamente questa risorsa quando simuli un criterio di autorizzazione.
Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è chiamata anche risorsa
host. Nella console Google Cloud e
gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione selezionati. Nell'API REST, specifica questa risorsa
utilizzando l'intestazione x-goog-user-project.
Questa risorsa può essere la stessa per cui stai simulando l'accesso, ma non è necessario.
La risorsa che fornisce i log di accesso per la simulazione. In una simulazione, è sempre presente una risorsa
che fornisce i log di accesso per la simulazione. Questa risorsa varia
a seconda del tipo di risorsa di destinazione:
Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione in questione.
Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa,
Policy Simulator recupera i log di accesso per il progetto o l'organizzazione padre della risorsa.
Se simuli contemporaneamente i criteri di autorizzazione di più risorse, il simulatore di criteri recupera i log di accesso per il progetto o l'organizzazione comuni più vicini delle risorse.
Tutte le risorse supportate con criteri di autorizzazione pertinenti.
Quando Policy Simulator esegue una simulazione, prende in considerazione tutti i criteri di autorizzazione
che potrebbero influire sull'accesso dell'utente, inclusi i criteri di autorizzazione
nelle risorse antenate e discendenti della risorsa di destinazione. Di conseguenza, anche queste risorse antenate e discendenti sono coinvolte nelle simulazioni.
Se la risorsa di destinazione e la risorsa host non si trovano nello stesso
perimetro, la richiesta non va a buon fine.
Se la risorsa di destinazione e la risorsa che fornisce i log di accesso per la simulazione non si trovano nello stesso perimetro, la richiesta non va a buon fine.
Se la risorsa di destinazione e alcune risorse supportate con criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste vanno a buon fine, ma i risultati potrebbero essere incompleti. Ad esempio, se stai simulando un criterio
per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione
dell'organizzazione principale del progetto, perché le organizzazioni sono sempre
al di fuori dei perimetri dei Controlli di servizio VPC. Per ottenere risultati più completi, puoi configurare le regole per il traffico in entrata e in uscita per il perimetro.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
essentialcontacts.googleapis.com
Dettagli
L'API per i contatti essenziali può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
L'API per Identity Platform può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al perimetro di servizio per consentire il rinnovo del token. securetoken.googleapis.com non è elencato nella pagina Controlli di servizio VPC della console Google Cloud.
Puoi aggiungere questo servizio solo con il comando
gcloud access-context-manager
perimeters update.
Se la tua applicazione si integra anche con la funzionalità di blocco delle funzioni, aggiungi le funzioni Cloud Run (cloudfunctions.googleapis.com) al perimetro di servizio.
L'utilizzo dell'autenticazione a più fattori (MFA) basata su SMS, dell'autenticazione via email o di provider di identità di terze parti comporta l'invio di dati al di fuori del perimetro. Se non utilizzi MFA con l'autenticazione tramite SMS, email o provider di identità di terze parti, disattiva queste funzionalità.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
gkemulticloud.googleapis.com
Dettagli
L'API per GKE Multi-Cloud può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
No. L'API per Google Distributed Cloud (solo software) per bare metal non può essere protetta dai perimetri di servizio.
Tuttavia, Google Distributed Cloud (solo software) per bare metal può essere utilizzato normalmente nei progetti all'interno di un perimetro.
Dettagli
Puoi creare un cluster nel tuo ambiente, connesso a VPC utilizzando Cloud Interconnect o Cloud VPN.
Per ulteriori informazioni su Google Distributed Cloud (solo software) per bare metal, consulta la documentazione del prodotto.
Limitazioni
Quando crei o esegui l'upgrade di un cluster utilizzando Google Distributed Cloud (solo software) per bare metal, utilizza il --skip-api-check in bmctl per bypassare la chiamata all'API Service Usage (serviceusage.googleapis.com), in quanto l'API Service Usage (serviceusage.googleapis.com) non è supportata da Controlli di servizio VPC.
Google Distributed Cloud (solo software) per bare metal richiama l'API Service Usage per convalidare l'abilitazione delle API richieste all'interno di un progetto. Non viene utilizzata per convalidare la raggiungibilità dell'endpoint API dell'API.
Per proteggere i tuoi cluster, utilizza VIP con restrizioni in
Google Distributed Cloud (solo software) per l'hardware bare metal e aggiungi tutte le API riportate di seguito al perimetro di servizio:
API Artifact Registry (artifactregistry.googleapis.com)
API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Connect Gateway (connectgateway.googleapis.com)
API Google Container Registry (containerregistry.googleapis.com)
API GKE Connect (gkeconnect.googleapis.com)
API GKE Hub (gkehub.googleapis.com)
API GKE On-Prem (gkeonprem.googleapis.com)
API Cloud IAM (iam.googleapis.com)
API Cloud Logging (logging.googleapis.com)
API Cloud Monitoring (monitoring.googleapis.com)
Monitoraggio della configurazione per l'API Ops (opsconfigmonitoring.googleapis.com)
API Service Control (servicecontrol.googleapis.com)
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ondemandscanning.googleapis.com
Dettagli
L'API per la scansione on demand può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
looker.googleapis.com
Dettagli
L'API per Looker (Google Cloud core) può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Solo le versioni Enterprise o Incorpora delle istanze di Looker (Google Cloud core) che utilizzano connessioni con IP privati supportano la conformità ai Controlli di servizio VPC. Le istanze di Looker (Google Cloud core) con connessioni IP pubbliche o con connessioni IP pubbliche e private non supportano la conformità a Controlli di servizio VPC. Per creare un'istanza che utilizza una connessione con IP privato, seleziona IP privato nella sezione Networking della pagina Crea istanza della console Google Cloud.
Quando posizioni o crei un'istanza di Looker (Google Cloud core) all'interno di un perimetro di servizio di Controlli di servizio VPC, devi rimuovere la route predefinita per internet chiamando il metodo services.enableVpcServiceControls o eseguendo il seguente comando gcloud:
La rimozione della route predefinita limita il traffico in uscita solo ai servizi conformi a Controlli di servizio VPC. Ad esempio, l'invio di email non andrà a buon fine perché l'API utilizzata per l'invio non è conforme ai Controlli di servizio VPC.
Se utilizzi VPC condiviso, assicurati di includere il progetto di servizio Looker (Google Cloud core) nello stesso perimetro di servizio del progetto host VPC condiviso o di creare un bridge di perimetro tra i due progetti. Se il progetto di servizio Looker (Google Cloud core) e il progetto host VPC condiviso non si trovano nello stesso perimetro o non possono comunicare tramite un bridge del perimetro, la creazione dell'istanza potrebbe non riuscire o l'istanza di Looker (Google Cloud core) potrebbe non funzionare correttamente.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
publicca.googleapis.com
Dettagli
L'API per l'Public Certificate Authority può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
storageinsights.googleapis.com
Dettagli
L'API per Storage Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Le API per Security Command Center possono essere protette dai Controlli di servizio VPC e Security Command Center può essere utilizzato normalmente all'interno dei perimetri di servizio.
I servizi securitycenter.googleapis.com e securitycentermanagement.googleapis.com
sono raggruppati. Quando limiti il servizio securitycenter.googleapis.com
in un perimetro, il perimetro limita il servizio securitycentermanagement.googleapis.com
per impostazione predefinita. Non puoi aggiungere il servizio securitycentermanagement.googleapis.com
all'elenco dei servizi con limitazioni in un perimetro perché è in bundle con
securitycenter.googleapis.com.
Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Security Command Center a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Security Command Center a livello di progetto. Puoi specificare un criterio di uscita per impedire
l'accesso alle risorse dell'API Security Command Center a livello di progetto dai progetti all'interno del perimetro.
Controlli di servizio VPC non supporta l'aggiunta di risorse dell'API Security Command Center a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere
le risorse dell'API Security Command Center a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Security Command Center
a livello di cartella o organizzazione, ti consigliamo di utilizzare IAM.
Controlli di servizio VPC non supporta il servizio di analisi della postura di sicurezza perché le risorse di analisi della postura di sicurezza (come le posture, i deployment delle posture e i modelli di posture predefiniti) sono risorse a livello di organizzazione.
Non puoi esportare i risultati a livello di cartella o organizzazione in destinazioni all'interno di un perimetro di servizio.
Devi attivare l'accesso al perimetro nei seguenti scenari:
Quando attivi le notifiche sui risultati
a livello di cartella o organizzazione e l'argomento Pub/Sub si trova all'interno di un perimetro di servizio.
Quando esporti i dati in
BigQuery a livello di cartella o organizzazione e BigQuery si trova all'interno
di un perimetro di servizio.
Quando integri Security Command Center con un prodotto SIEM o SOAR e il prodotto viene implementato all'interno di un perimetro di servizio in un ambiente Google Cloud. I SIEM e i SOAR supportati includono Splunk e
IBM QRadar.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudsupport.googleapis.com
Dettagli
L'API per l'assistenza clienti Google Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC protegge i dati a cui si accede tramite l'API Cloud Support, ma non protegge i dati
a cui si accede tramite la console Google Cloud.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
discoveryengine.googleapis.com
Dettagli
L'API per Vertex AI Agent Builder - Vertex AI Search può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni su Vertex AI Agent Builder - Vertex AI Search, consulta la
documentazione del prodotto.
Limitazioni
L'integrazione di Vertex AI Agent Builder e Vertex AI Search con Controlli di servizio VPC non presenta limitazioni note.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
confidentialcomputing.googleapis.com
Dettagli
L'API per Confidential Space può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Confidential Space richiede l'accesso in lettura ai bucket Cloud Storage per scaricare i certificati utilizzati per convalidare il token di attestazione. Se questi bucket Cloud Storage si trovano al di fuori del perimetro, devi creare la seguente regola di uscita:
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ssh-serialport.googleapis.com
Dettagli
Per utilizzare la protezione di Controlli di servizio VPC quando ti connetti alla console seriale
di un'istanza di macchina virtuale (VM), devi specificare una regola di ingresso
per il perimetro di servizio. Quando configuri la regola di ingresso, il livello di accesso per l'origine deve essere un valore basato su IP e il nome del servizio impostato su ssh-serialport.googleapis.com.
La regola di ingresso è necessaria per accedere alla console seriale anche se la richiesta di origine e la risorsa di destinazione si trovano nello stesso perimetro.
Non puoi accedere a una console seriale utilizzando l'accesso privato Google. Puoi accedere alla console seriale solo dalla rete internet pubblica.
Quando utilizzi una console seriale, non puoi utilizzare regole di ingresso o uscita basate sull'identità per consentire l'accesso alla console seriale.
Quando aggiungi reti VMware Engine, cloud privati, criteri di rete e peering VPC esistenti a un perimetro di servizio VPC, le risorse create in precedenza non vengono ricontrollate per verificare se sono ancora conformi ai criteri del perimetro.
Per utilizzare la protezione dei Controlli di servizio VPC per Dataform, devi impostare il criterio dell'organizzazione "dataform.restrictGitRemotes" e limitare BigQuery con lo stesso perimetro di servizio di Dataform.
Devi assicurarti che le autorizzazioni di Identity and Access Management concesse ai tuoi account di servizio utilizzati in Dataform riflettano la tua architettura di sicurezza.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
websecurityscanner.googleapis.com
Dettagli
Web Security Scanner e i Controlli di servizio VPC sono soggetti a Termini di servizio diversi.
Per informazioni dettagliate, consulta i termini di ciascun prodotto.
Web Security Scanner invia i risultati a Security Command Center su richiesta. Puoi visualizzare o scaricare i dati dalla dashboard di Security Command Center.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
securesourcemanager.googleapis.com
Dettagli
Prima di creare istanze di Controlli di servizio VPC di Secure Source Manager, devi configurare il servizio Autorità di certificazione con un'Autorità di certificazione funzionante.
Devi configurare Private Service Connect prima di accedere all'istanza VPC Service Controls di Secure Source Manager.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
apikeys.googleapis.com
Dettagli
L'API per le chiavi API può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Versione GA. Questa integrazione del prodotto è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudcontrolspartner.googleapis.com
Dettagli
L'API Cloud Controls Partner può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sulla Partner Console in Sovereign Controls by Partners, consulta la documentazione del prodotto.
Limitazioni
Questo servizio deve essere limitato per tutti i non partner. Se sei un partner che supporta i controlli di sovranità dei partner, puoi proteggere questo servizio utilizzando un perimetro di servizio.
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
microservices.googleapis.com
Dettagli
L'API per i microservizi può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I servizi earthengine.googleapis.com e earthengine-highvolume.googleapis.com
sono raggruppati. Quando limiti il servizio earthengine.googleapis.com
in un perimetro, il perimetro limita il servizio earthengine-highvolume.googleapis.com
per impostazione predefinita. Non puoi aggiungere il servizio earthengine-highvolume.googleapis.com
all'elenco dei servizi con limitazioni in un perimetro perché è in bundle con
earthengine.googleapis.com.
L'editor di codice di Earth Engine,
un IDE basato sul web per l'API JavaScript di Earth Engine, non è supportato e
Controlli di servizio VPC non consente di utilizzare l'editor di codice di Earth Engine con risorse e
client all'interno di un perimetro di servizio.
Gli asset legacy non sono protetti dai Controlli di servizio VPC.
Le app Earth Engine
non sono supportate per le risorse e i client all'interno di un perimetro di servizio.
I Controlli di servizio VPC sono disponibili solo per i piani di prezzi Premium e Professional di Earth Engine. Per ulteriori informazioni sui piani di prezzi, consulta
Piani di Earth Engine.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
apphub.googleapis.com
Dettagli
App Hub ti consente di scoprire e organizzare le risorse dell'infrastruttura nelle applicazioni. Puoi utilizzare i perimetri dei Controlli di servizio VPC per proteggere le risorse di App Hub.
Devi configurare i Controlli di servizio VPC sui progetti di servizio e host di App Hub
prima di creare un'applicazione e registrare servizi e carichi di lavoro nell'applicazione.
App Hub supporta i seguenti tipi di risorse:
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudcode.googleapis.com
Dettagli
L'API Cloud Code può essere protetta da Controlli di servizio VPC. Per utilizzare le funzionalità basate su Gemini
in Cloud Code, è necessario configurare un criterio di ingresso per consentire il traffico proveniente
dai client IDE. Per informazioni dettagliate, consulta la documentazione di Gemini.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
commerceorggovernance.googleapis.com
Dettagli
Il perimetro di Controlli di servizio VPC protegge l'API Commerce Org Governance per Google Private Marketplace.
Risorse come la richiesta di approvvigionamento e la richiesta di accesso, create dall'API Commerce Org Governance a livello di progetto, vengono visualizzate a livello di organizzazione e vengono esaminate dall'Amministratore organizzazione#39;organizzazione senza applicare i criteri dei Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
privilegedaccessmanager.googleapis.com
Dettagli
L'API per Privileged Access Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta l'aggiunta di risorse a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse di Privileged Access Manager a livello di cartella o di organizzazione. I Controlli di servizio VPC proteggono le risorse Privileged Access Manager a livello di progetto.
Per proteggere Privileged Access Manager, devi includere le seguenti API nel tuo perimetro:
API Privileged Access Manager (privilegedaccessmanager.googleapis.com)
API Cloud Resource Manager (cloudresourcemanager.googleapis.com)
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima
ed è pronta per test e utilizzo più ampi, ma non è completamente supportata per gli ambienti
di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
auditmanager.googleapis.com
Dettagli
L'API per Audit Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Non puoi utilizzare un perimetro per proteggere le risorse di Audit Manager a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Audit Manager a livello di cartella o organizzazione, ti consigliamo di utilizzare IAM.
Se esegui un controllo a livello di progetto, il progetto è protetto da un perimetro e il bucket Cloud Storage non si trova nello stesso perimetro, configura una regola di uscita per il progetto che contiene il bucket Cloud Storage.
L'IP virtuale limitato (VIP) consente alle VM all'interno di un perimetro di servizio di effettuare chiamate ai servizi Google Cloud senza esporre le richieste a internet. Per un elenco completo dei servizi disponibili nel VIP con limitazioni, consulta Servizi supportati dal VIP con limitazioni.
Servizi non supportati
Il tentativo di limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud o
l'API Access Context Manager comporterà un errore.
L'accesso tra progetti ai dati dei servizi supportati verrà bloccato dai Controlli di servizio VPC.
Inoltre, il VIP con limitazioni può essere utilizzato per bloccare la capacità dei carichi di lavoro di chiamare servizi non supportati.
Altre limitazioni note
Questa sezione descrive le limitazioni note relative a determinati servizi, prodotti e interfacce Google Cloud che possono verificarsi quando si utilizzano i Controlli di servizio VPC.
Per le limitazioni relative ai prodotti supportati dai Controlli di servizio VPC, consulta la tabella dei prodotti supportati.
Per ulteriori informazioni sulla risoluzione dei problemi relativi ai Controlli di servizio VPC, consulta la pagina Risoluzione dei problemi.
API AutoML
Quando utilizzi l'API AutoML con Controlli di servizio VPC, si applicano le seguenti limitazioni:
Non puoi aggiungere gli endpoint regionali supportati, come eu-automl.googleapis.com, all'elenco dei servizi con limitazioni in un perimetro. Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint regionali supportati, come eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation,
AutoML Tables
e AutoML Video Intelligence
utilizzano tutte l'API AutoML.
Quando utilizzi un perimetro di servizio per proteggereautoml.googleapis.com, viene interessato l'accesso a tutti i prodotti AutoML integrati con Controlli di servizio VPC e utilizzati all'interno del perimetro. Devi configurare il perimetro di Controlli di servizio VPC per tutti i prodotti AutoML integrati utilizzati al suo interno.
Per proteggere completamente l'API AutoML, includi tutte le seguenti API nel tuo perimetro:
API AutoML (automl.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
API BigQuery (bigquery.googleapis.com)
App Engine
App Engine (sia in ambiente standard che flessibile) non è supportato da Controlli di servizio VPC. Non includere
i progetti App Engine nei perimetri di servizio.
Tuttavia, è possibile consentire alle app App Engine create in progetti
al di fuori dei perimetri di servizio di leggere e scrivere dati in servizi protetti
all'interno dei perimetri. Per consentire all'app di accedere ai dati dei servizi protetti,
crea un livello di accesso
che includa l'account di servizio App Engine del progetto. Ciò non consente di utilizzare App Engine all'interno dei perimetri di servizio.
Soluzione Bare Metal
La connessione di Controlli di servizio VPC all'ambiente Bare Metal Solution non garantisce alcun controllo del servizio.
L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, i perimetri dei Controlli di servizio VPC non si estendono all'ambiente Bare Metal Solution nelle estensioni regionali.
Blockchain Node Engine
Controlli di servizio VPC protegge solo l'API Blockchain Node Engine.
Quando viene creato un nodo, devi comunque indicare che è destinato a una rete privata configurata dall'utente con Private Service Connect.
Il traffico peer-to-peer non è interessato da Controlli di servizio VPC o Private Service Connect e continuerà a utilizzare internet pubblico.
Librerie client
Le librerie client Java e Python per tutti i servizi supportati sono completamente supportate per l'accesso utilizzando il VIP con limitazioni. Il supporto di altre lingue è in fase alpha e deve essere utilizzato solo a scopo di test.
I client devono utilizzare librerie client aggiornate a partire dal giorno 1 novembre 2018 o versioni successive.
Le chiavi dell'account di servizio o i metadati dei client OAuth2 utilizzati dai client devono essere aggiornati a partire dal 1° novembre 2018 o da una data successiva. I client precedenti che utilizzano l'endpoint
del token devono passare all'endpoint specificato nei metadati
del materiale della chiave/del client più recenti.
Cloud Billing
Puoi esportare i dati di fatturazione Cloud in un bucket Cloud Storage o in un'istanza BigQuery in un progetto protetto da un perimetro di servizio senza configurare un livello di accesso o una regola di ingresso.
Cloud Deployment Manager
Deployment Manager non è supportato dai Controlli di servizio VPC.
Gli utenti potrebbero essere in grado di chiamare servizi conformi a Controlli di servizio VPC, ma non devono fare affidamento su questo fattore perché potrebbe non essere più disponibile in futuro.
Come soluzione alternativa, puoi aggiungere l'account servizio Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) ai livelli di accesso per consentire le chiamate alle API protette da Controlli di servizio VPC.
Cloud Shell
Controlli di servizio VPC non supporta Cloud Shell. I Controlli di servizio VPC considerino Cloud Shell come esterno ai perimetri di servizio e negano l'accesso ai dati protetti dai Controlli di servizio VPC. Tuttavia, Controlli di servizio VPC consente l'accesso a Cloud Shell se un dispositivo che soddisfa i requisiti del livello di accesso del perimetro di servizio avvia Cloud Shell.
Console Google Cloud
Poiché la console Google Cloud è accessibile solo tramite internet, viene considerata esterna ai perimetri di servizio. Quando applichi un perimetro di servizio, l'interfaccia della console Google Cloud per i servizi protetti potrebbe diventare parzialmente o completamente inaccessibile. Ad esempio, se hai protetto il logging con il perimetro, non potrai accedere all'interfaccia di logging nella console Google Cloud.
Per consentire l'accesso dalla console Google Cloud alle risorse protette da un perimetro, devi creare un livello di accesso per un intervallo di IP pubblici che includa le macchine degli utenti che vogliono utilizzare la console Google Cloud con le API protette. Ad esempio, puoi aggiungere l'intervallo IP pubblico del gateway NAT della tua rete privata a un livello di accesso e poi assegnare questo livello di accesso al perimetro di servizio.
Se vuoi limitare l'accesso alla console Google Cloud al perimetro solo a un insieme specifico di utenti, puoi anche aggiungerli a un livello di accesso. In questo caso, solo gli utenti specificati potranno accedere alla console Google Cloud.
Le richieste tramite la console Google Cloud da una rete con accesso privato Google abilitato, incluse le reti abilitate implicitamente da Cloud NAT, potrebbero essere bloccate anche se la rete di origine richiedente e la risorsa di destinazione si trovano nello stesso perimetro. Questo accade perché
l'accesso alla console Google Cloud tramite accesso privato Google non è supportato da Controlli di servizio VPC.
Accesso privato ai servizi
Accesso privato ai servizi supporta il deployment di un'istanza di servizio in una rete VPC condivisa.
Se utilizzi questa configurazione con Controlli di servizio VPC, assicurati che il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza di servizio si trovino nello stesso perimetro di Controlli di servizio VPC. In caso contrario, le richieste potrebbero essere bloccate e le istanze di servizio
potrebbero non funzionare correttamente.
Per ulteriori informazioni sui servizi che supportano l'accesso privato ai servizi, consulta Servizi supportati.
GKE Multi-cloud
I controlli di servizio VPC si applicano solo alle risorse all'interno del tuo progetto Google Cloud. L'ambiente cloud di terze parti che ospita i tuoi cluster GKE Multi-Cloud non garantisce alcun controllo del servizio.
Google Distributed Cloud
I Controlli di servizio VPC si applicano solo alle macchine bare metal collegate ai progetti di reti VPC che utilizzano VIP con restrizioni.
Dopo aver attivato il perimetro di servizio, non puoi trasferire i dati dell'infrastruttura a StratoZone.
Federazione delle identità della forza lavoro
La federazione delle identità per la forza lavoro non è supportata da Controlli di servizio VPC.
I pool della forza lavoro sono risorse a livello di organizzazione e le risorse a livello di organizzazione non sono supportate da Controlli di servizio VPC.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2024-12-21 UTC."],[],[]]