Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Diese Seite enthält eine Tabelle mit Produkten und Diensten, die von VPC Service Controls unterstützt werden, sowie eine Liste bekannter Einschränkungen bei bestimmten Diensten und Schnittstellen.
Alle unterstützten Dienste auflisten
So rufen Sie die vollständige Liste aller von VPC Service Controls unterstützten Produkte ab:
Diensten, führen Sie den folgenden Befehl aus:
gcloud access-context-manager supported-services list
Sie erhalten eine Antwort mit einer Liste von Produkten und Diensten.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Diese Antwort enthält die folgenden Werte:
Wert
Beschreibung
SERVICE_ADDRESS
Dienstname des Produkts oder der Dienstleistung. Beispiel: aiplatform.googleapis.com.
SERVICE_NAME
Name des Produkts oder der Dienstleistung. Beispiel: Vertex AI API.
SERVICE_STATUS
Der Status der Dienstintegration in VPC Service Controls. Folgende Werte sind möglich:
GA: Die Dienstintegration wird von VPC Service Controls-Perimetern vollständig unterstützt.
PREVIEW: Die Dienstintegration ist für umfassendere Tests und eine größere Verwendung bereit, wird in Produktionsumgebungen durch VPC Service Controls-Perimeter jedoch nicht vollständig unterstützt.
DEPRECATED: Die Dienstintegration wird planmäßig eingestellt und entfernt.
RESTRICTED_VIP_STATUS
Gibt an, ob die Dienstintegration in VPC Service Controls von der eingeschränkten VIP unterstützt wird. Folgende Werte sind möglich:
TRUE: Die Dienstintegration wird vollständig von der eingeschränkten VIP unterstützt und kann durch VPC Service Controls-Perimeter geschützt werden.
FALSE: Die Dienstintegration wird von der eingeschränkten VIP nicht unterstützt.
Gibt an, ob für die Dienstintegration in VPC Service Controls Einschränkungen gelten. Folgende Werte sind möglich:
TRUE: Für die Dienstintegration in VPC Service Controls gelten bekannte Einschränkungen. Weitere Informationen zu diesen Einschränkungen finden Sie im entsprechenden Eintrag für den Dienst in der Tabelle Unterstützte Produkte.
FALSE: Für das Einbinden von Diensten in VPC Service Controls gelten keine bekannten Einschränkungen.
Unterstützte Methoden für einen Dienst auflisten
So rufen Sie die Liste der von VPC Service Controls unterstützten Methoden und Berechtigungen ab
für einen Dienst führen Sie den folgenden Befehl aus:
In dieser Antwort listet METHODS_LIST alle Methoden und
Berechtigungen, die von VPC Service Controls für den angegebenen Dienst unterstützt werden. Für eine
Vollständige Liste aller unterstützten Dienstmethoden und -berechtigungen finden Sie unter
Unterstützte Dienstmethode
.
Unterstützte Produkte
VPC Service Controls unterstützt die folgenden Produkte:
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
config.googleapis.com
Details
Weitere Informationen zu Infrastructure Manager finden Sie in der
Produktdokumentation.
Einschränkungen
So verwenden Sie Infrastructure Manager in einem Perimeter:
Sie müssen für den von Infrastructure Manager verwendeten Worker-Pool einen privaten Cloud Build-Pool verwenden. Für diesen privaten Pool müssen öffentliche Internetaufrufe aktiviert sein, damit die Terraform-Anbieter und die Terraform-Konfiguration heruntergeladen werden können. Sie können den Cloud Build-Standard-Worker-Pool nicht verwenden.
Folgendes muss sich im selben Perimeter befinden:
<ph type="x-smartling-placeholder">
</ph>
Das von Infrastructure Manager verwendete Dienstkonto.
Der von Infrastructure Manager verwendete Cloud Build-Worker-Pool.
Der von Infrastructure Manager verwendete Storage-Bucket. Sie können den Standard-Storage-Bucket verwenden.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
workloadmanager.googleapis.com
Details
So verwenden Sie den Arbeitslastmanager in einem VPC Service Controls-Perimeter:
Sie müssen einen privaten Cloud Build-Worker-Pool verwenden
für Ihre Bereitstellungsumgebung im Arbeitslastmanager.
Sie können den Cloud Build-Standard-Worker-Pool nicht verwenden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
netapp.googleapis.com
Details
Die API für Google Cloud NetApp Volumes kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu NetApp Volumes von Google Cloud finden Sie in der
Produktdokumentation.
Einschränkungen
VPC Service Controls deckt keine Datenebenenpfade wie Network File System (NFS) und SMB-Lese- und -Schreibvorgänge (Server Message Block) ab. Wenn Ihre Host- und Dienstprojekte in verschiedenen Perimetern konfiguriert sind, kann es außerdem zu einer Störung bei der Implementierung der Google Cloud-Dienste kommen.
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudsearch.googleapis.com
Details
Google Cloud Search unterstützt Virtual Private Cloud Security Controls (VPC Service Controls), um die
die Sicherheit Ihrer Daten. Mit VPC Service Controls können Sie einen Sicherheitsbereich um Google definieren
Cloud Platform-Ressourcen, um Daten einzuschränken und das Risiko der Daten-Exfiltration zu minimieren.
Weitere Informationen zu Google Cloud Search finden Sie in der
Produktdokumentation.
Einschränkungen
Da Cloud Search-Ressourcen nicht in einem Google Cloud-Projekt gespeichert werden, müssen Sie die Cloud Search-Kundeneinstellungen mit dem VPC-Perimeter-geschützten Projekt aktualisieren. Das VPC-Projekt fungiert als virtueller Projektcontainer für alle Ihre Cloud Search-Ressourcen.
Ohne diese Zuordnung funktioniert VPC Service Controls nicht für die Cloud Search API.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
networkmanagement.googleapis.com
Details
Die API für Konnektivitätstests kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Konnektivitätstests finden Sie in der Produktdokumentation.
Einschränkungen
Für die Integration von Konnektivitätstests in VPC Service Controls gelten keine bekannten Einschränkungen.
Batchvorhersagen werden nicht unterstützt, wenn Sie AI Platform Prediction innerhalb eines Dienstperimeters verwenden.
AI Platform Prediction und AI Platform Training verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
ml.googleapis.com
Details
Die API für AI Platform Training kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu AI Platform Training finden Sie in der Produktdokumentation.
Einschränkungen
Zum vollständigen Schutz Ihrer Trainingsjobs von AI Platform Training fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:
AI Platform Training und Prediction API (ml.googleapis.com)
Pub/Sub API (pubsub.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Google Kubernetes Engine API (container.googleapis.com)
Container Registry API (containerregistry.googleapis.com)
Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden.
AI Platform Training und AI Platform Prediction verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
alloydb.googleapis.com
Details
VPC Service Controls-Perimeter schützen die AlloyDB API.
Weitere Informationen zu AlloyDB für PostgreSQL finden Sie in der Produktdokumentation.
Einschränkungen
Bevor Sie VPC Service Controls für AlloyDB für PostgreSQL konfigurieren, aktivieren Sie die Service Networking API.
Wenn Sie AlloyDB für PostgreSQL mit freigegebener VPC und VPC Service Controls verwenden, müssen sich Hostprojekt und Dienstprojekt im selben VPC Service Controls-Dienstperimeter befinden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
notebooks.googleapis.com
Details
Die API für Vertex AI Workbench kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Vertex AI Workbench finden Sie in der Produktdokumentation.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
visionai.googleapis.com
Details
Die API für Vertex AI Vision kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Vertex AI Vision finden Sie in den
Produktdokumentation.
Einschränkungen
Wenn constraints/visionai.disablePublicEndpoint gleich
deaktivieren wir den öffentlichen Endpunkt des Clusters. Nutzer müssen sich manuell mit dem PSC verbinden
und greifen über das private Netzwerk
auf den Dienst zu. Das PSC-Ziel erhalten Sie
die
cluster-Ressource
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
aiplatform.googleapis.com
Details
Die API für Colab Enterprise kann durch VPC Service Controls geschützt werden
und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Colab Enterprise ist Teil von Vertex AI.
Weitere Informationen finden Sie unter Vertex AI.
Colab Enterprise verwendet Dataform zum Speichern von Notebooks.
Siehe Dataform.
Weitere Informationen zu Colab Enterprise finden Sie in der
Produktdokumentation.
Einschränkungen
Informationen zu Einschränkungen finden Sie unter Bekannte Einschränkungen.
finden Sie in der Colab Enterprise-Dokumentation.
Die API für Apigee und Apigee Hybrid kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Apigee und Apigee Hybrid finden Sie in der Produktdokumentation.
Einschränkungen
Die Einbindung von Apigee in VPC Service Controls unterliegt folgenden Einschränkungen:
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
meshca.googleapis.com, meshconfig.googleapis.com
Details
Die API für Anthos Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt
innerhalb von Dienstperimetern normal verwendet werden.
Sie können mesh.googleapis.com verwenden, um die erforderlichen APIs für das Cloud Service Mesh zu aktivieren.
Sie müssen mesh.googleapis.com in Ihrem Perimeter nicht einschränken, da keine APIs verfügbar sind.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
artifactregistry.googleapis.com
Details
Neben dem Schutz der Artifact Registry API
Artifact Registry kann innerhalb von Dienstperimetern verwendet werden
mit GKE und Compute Engine.
Weitere Informationen zu Artifact Registry finden Sie in der Produktdokumentation.
Einschränkungen
Da Artifact Registry die Domain pkg.dev verwendet, müssen Sie das DNS konfigurieren, damit *.pkg.dev entweder private.googleapis.com oder restricted.googleapis.com zugeordnet wird.
Weitere Informationen finden Sie unter Repositories in einem Dienstperimeter sichern.
Zusätzlich zu den Artefakten innerhalb eines Perimeters, die für
Artifact Registry, die folgenden schreibgeschützten Repositories in Container Registry
Repositories sind unabhängig von den Dienstperimetern für alle Projekte verfügbar:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
assuredworkloads.googleapis.com
Details
Die Assured Workloads API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Assured Workloads finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung von Assured Workloads in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
automl.googleapis.com, eu-automl.googleapis.com
Details
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Compute Engine API (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Weitere Informationen zu AutoML Natural Language finden Sie in der Produktdokumentation.
Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen.
Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.
Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
automl.googleapis.com, eu-automl.googleapis.com
Details
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen.
Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.
Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
automl.googleapis.com, eu-automl.googleapis.com
Details
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Compute Engine API (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Weitere Informationen zu AutoML Translation finden Sie in der Produktdokumentation.
Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen.
Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.
Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
automl.googleapis.com, eu-automl.googleapis.com
Details
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Compute Engine API (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Weitere Informationen zu AutoML Video Intelligence finden Sie in der Produktdokumentation.
Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen.
Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.
Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen.
Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.
Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Nein. Die API für die Bare-Metal-Lösung kann nicht durch Dienstperimeter geschützt werden.
Die Bare-Metal-Lösung kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
Details
Die Bare-Metal-Lösungs-API kann einem sicheren Perimeter hinzugefügt werden. Die
VPC Service Controls-Perimeter werden nicht auf die Bare-Metal-Lösung erweitert
in den regionalen Erweiterungen.
Weitere Informationen zur Bare-Metal-Lösung finden Sie in den
Produktdokumentation.
Einschränkungen
VPC Service Controls wird von der Bare-Metal-Lösung nicht unterstützt. VPC mit einem Dienst verbinden
Kontrollen, die für Ihre Bare-Metal-Lösungsumgebung aktiviert sind, halten keine Dienstkontrolle aufrecht
Garantien.
Weitere Informationen zur Einschränkung der Bare-Metal-Lösung in Bezug auf VPC Service Controls finden Sie unter
Bekannt
Probleme und Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
biglake.googleapis.com
Details
Die API für BigLake Metastore kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu BigLake Metastore finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden von BigLake Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
bigquery.googleapis.com
Details
Wenn Sie die BigQuery API schützen
mit einem Dienstperimeter, der BigQuery Storage API, der BigQuery Reservation API und
Die BigQuery Connection API ist ebenfalls geschützt. Sie müssen nicht separat
Fügen Sie diese APIs der Liste der geschützten Dienste Ihres Perimeters hinzu.
BigQuery-Audit-Logeinträge enthalten nicht immer alle
Ressourcen, die beim Senden einer Anfrage verwendet wurden.
den Zugriff auf mehrere Ressourcen
intern zu verarbeiten.
Beim Zugriff auf eine BigQuery-Instanz, die durch einen Dienstperimeter geschützt ist, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden oder in einem Projekt, das durch eine Regel für ausgehenden Traffic des Perimeters erlaubt ist. Standardmäßig hat der BigQuery-Client
Bibliotheken führen Jobs innerhalb
des Dienstkontos oder des Projekts des Nutzers aus,
Dadurch wird die Abfrage von VPC Service Controls abgelehnt.
BigQuery verhindert das Speichern von Abfrageergebnissen in Google Drive aus dem
Geschützter Perimeter durch VPC Service Controls.
Wenn Sie den Zugriff mit einer Regel für eingehenden Traffic mit Nutzerkonten gewähren
als Identitätstyp auswählen, können Sie BigQuery
Explorer für Ressourcenauslastung oder administrative Jobs auf der
Seite Monitoring: Konfigurieren Sie zur Verwendung dieser Funktionen ein
Regel für eingehenden Traffic, die
ANY_IDENTITY als Identitätstyp verwendet.
VPC Service Controls wird nur unterstützt, wenn Analysen über
BigQuery Enterprise, Enterprise Plus oder
On demand.
Die BigQuery Reservation API wird teilweise unterstützt.
Die <ph type="x-smartling-placeholder"></ph>
Die BigQuery Reservation API, die die Zuweisungsressource erstellt, erzwingt keine
Dienstperimeter-Einschränkungen für die Zuweisungsbeauftragten.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
bigquerydatapolicy.googleapis.com
Details
Die BigQuery Data Policy API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur BigQuery Data Policy API finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung der BigQuery Data Policy API in VPC Service Controls gibt es keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
bigquerydatatransfer.googleapis.com
Details
Der Dienstperimeter schützt nur die BigQuery Data Transfer Service API. Der tatsächliche Datenschutz wird von BigQuery erzwungen. Es ist Absicht, dass Sie Daten aus verschiedenen externen Quellen außerhalb von Google Cloud, z. B. Amazon S3, Redshift, Teradata, YouTube, Google Play und Google Ads, in BigQuery-Datasets importieren können. Informationen zu den Anforderungen an VPC Service Controls zum Migrieren von Daten aus Teradata finden Sie unter Anforderungen an VPC Service Controls.
Weitere Informationen zum BigQuery Data Transfer Service finden Sie in der Produktdokumentation.
Einschränkungen
Der BigQuery Data Transfer Service unterstützt nicht den Export von Daten aus einem BigQuery-Dataset. Weitere Informationen hierzu finden Sie unter Tabellendaten exportieren.
Zum Übertragen von Daten zwischen Projekten muss sich das Zielprojekt entweder im selben Perimeter wie das Quellprojekt befinden oder eine Regel für ausgehenden Traffic muss die Übertragung von Daten aus dem Perimeter zulassen. Informationen zum Festlegen der Regeln für ausgehenden Traffic finden Sie unter
Einschränkungen beim Verwalten
BigQuery-Datasets.
Der BigQuery Data Transfer Service unterstützt Drittanbieter-Datenquellen nicht zum Transfer von durch Dienstperimeter geschützten Daten.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
bigquerymigration.googleapis.com
Details
Die BigQuery Migration API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur BigQuery Migration API finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung der BigQuery Migration API in VPC Service Controls gelten keine bekannten Einschränkungen.
Die Dienste bigtable.googleapis.com und bigtableadmin.googleapis.com werden gebündelt. Wenn Sie den Dienst bigtable.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter standardmäßig den Dienst bigtableadmin.googleapis.com. Sie können den Dienst bigtableadmin.googleapis.com nicht zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit bigtable.googleapis.com gebündelt ist.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
binaryauthorization.googleapis.com
Details
Wenn Sie mehrere Projekte mit Binärautorisierung verwenden, muss jedes Projekt im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Mehrere Projekte einrichten.
Mit der Binärautorisierung können Sie die Artefaktanalyse verwenden, um
Attestierer und Attestierungen jeweils als Hinweise und Vorkommen. In diesem Fall müssen Sie
Artefaktanalyse in den VPC Service Controls-Perimeter aufnehmen.
Siehe VPC Service Controls-Anleitung für die Artefaktanalyse
.
Weitere Informationen zur Binärautorisierung finden Sie in der Produktdokumentation.
Einschränkungen
Für das Einbinden der Binärautorisierung in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
blockchainnodeengine.googleapis.com
Details
Die API für Blockchain Node Engine kann durch VPC Service Controls geschützt werden
und innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Blockchain Node Engine finden Sie in der
Produktdokumentation.
Einschränkungen
Blockchain Node Engine-Integrationen in VPC Service Controls bieten
Einschränkungen:
VPC Service Controls schützt nur die Blockchain Node Engine API.
Beim Erstellen eines Knotens müssen Sie weiterhin angeben, dass er für einen vom Nutzer konfigurierten privaten Knoten gedacht ist
Netzwerk mit
Private Service Connect
Der Peer-to-Peer-Traffic wird von VPC Service Controls oder
Private Service Connect und nutzt weiterhin das öffentliche Internet.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
privateca.googleapis.com
Details
Die API für den Certificate Authority Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Certificate Authority Service finden Sie in der Produktdokumentation.
Einschränkungen
Um den Zertifizierungsdienstdienst in einer geschützten Umgebung zu verwenden, müssen Sie Ihrem Dienstperimeter auch die Cloud KMS API (cloudkms.googleapis.com) und die Cloud Storage API (storage.googleapis.com) hinzufügen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
krmapihosting.googleapis.com
Details
Damit Sie Config Controller mit VPC Service Controls verwenden können, müssen Sie die folgenden APIs in Ihrem Perimeter aktivieren:
Cloud Monitoring API (monitoring.googleapis.com)
Container Registry API (containerregistry.googleapis.com)
Google Cloud Observability API (logging.googleapis.com)
Security Token Service API (sts.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Wenn Sie Ressourcen mit Config Controller bereitstellen, müssen Sie die API für diese Ressourcen in Ihrem Dienstperimeter aktivieren. Wenn Sie beispielsweise ein IAM-Dienstkonto hinzufügen möchten, müssen Sie die IAM API (iam.googleapis.com) hinzufügen.
Weitere Informationen zu Config Controller finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung von Config Controller in VPC Service Controls gibt es keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
datafusion.googleapis.com
Details
Cloud Data Fusion erfordert einige
spezielle Maßnahmen zum Schutz
mit VPC Service Controls.
Weitere Informationen zu Cloud Data Fusion finden Sie in der Produktdokumentation.
Einschränkungen
Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre private Cloud Data Fusion-Instanz erstellen. Der Perimeterschutz für Instanzen, die vor dem Einrichten von VPC Service Controls erstellt wurden, wird nicht unterstützt.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
datalineage.googleapis.com
Details
Die Data Lineage API kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zur Data Lineage API finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden der Data Lineage API in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
compute.googleapis.com
Details
Die Unterstützung von VPC Service Controls für Compute Engine bietet die folgenden Sicherheitsvorteile:
Zugriff auf vertrauliche API-Vorgänge wird eingeschränkt
Snapshots von nichtflüchtigen Speichern und benutzerdefinierten Images sind auf einen Perimeter beschränkt
Zugriff auf Instanzmetadaten wird eingeschränkt
Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie auch Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden.
Von VPC-Peering-Prozessen werden keine Einschränkungen für VPC-Dienstperimeter erzwungen.
Von der API-Methode projects.ListXpnHosts für freigegebene VPC werden keine Dienstperimetereinschränkungen für zurückgegebene Projekte erzwungen.
Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Regel für eingehenden Traffic für den Perimeter hinzufügen.
VPC Service Controls unterstützt nicht das Verwenden der Open Source-Version von Kubernetes auf Compute Engine-VMs innerhalb eines Dienstperimeters.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
contactcenterinsights.googleapis.com
Details
Für die Verwendung von Contact Center AI Insights mit VPC Service Controls benötigen Sie je nach Integration die folgenden zusätzlichen APIs in Ihrem Perimeter.
Fügen Sie die Cloud Storage API zu Ihrem Dienstperimeter hinzu, um Daten in Contact Center AI Insights zu laden.
Um den Export zu verwenden, fügen Sie Ihrem Dienstperimeter die BigQuery API hinzu.
Wenn Sie mehrere CCAI-Produkte integrieren möchten, fügen Sie Ihrem Dienstperimeter die Vertex AI API hinzu.
Weitere Informationen zu Contact Center AI Insights finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung von Contact Center AI Insights in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
dataflow.googleapis.com
Details
Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft:
Benutzerdefiniertes BIND wird bei Verwendung von Dataflow nicht unterstützt. Wenn Sie die DNS-Auflösung bei Verwendung von Dataflow mit VPC Service Controls anpassen möchten, nutzen Sie private Zonen von Cloud DNS anstelle benutzerdefinierter BIND-Server. Zur Verwendung einer eigenen lokalen DNS-Auflösung können Sie eine lokale DNS-Weiterleitungsmethode von Google Cloud verwenden.
Wenn Sie Dataflow Prime aktivieren und einen neuen Job in VPC Service Controls starten
Perimeter definieren, verwendet der Job
Dataflow Prime ohne vertikales Autoscaling
Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit geprüft
mit Dataflow innerhalb eines
Dienstperimeters. Eine Liste mit
Bestätigte Connectors finden Sie unter „Details“ im vorherigen Abschnitt.
Bei Einsatz von Python 3.5 mit Apache Beam SDK 2.20.0-2.22.0 schlagen Dataflow-Jobs beim Start fehl, wenn die Worker nur private IP-Adressen haben, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird.
Wenn Dataflow-Worker nur private IP-Adressen haben können, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird, verwenden Sie Python 3.5 nicht mit Apache Beam SDK 2.20.0-2.22.0. Diese Kombination führt dazu, dass Jobs beim Start fehlschlagen.
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
dataplex.googleapis.com
Details
Die Dataplex API kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Richten Sie VPC Service Controls ein, bevor Sie Dataplex-Ressourcen erstellen
Sicherheitsbereich. Andernfalls haben Ihre Ressourcen keinen Perimeterschutz.
Dataplex unterstützt die folgenden Ressourcentypen:
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
metastore.googleapis.com
Details
Die API für Dataproc Megastore kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Dataproc Metastore finden Sie in der Produktdokumentation.
Einschränkungen
Für das Einbinden von Dataproc Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
datamigration.googleapis.com
Details
Die API für Database Migration Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Database Migration Service finden Sie in der Produktdokumentation.
Einschränkungen
Dienstperimeter schützen nur die Database Migration Service Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf zugrunde liegende Datenbanken (z. B. Cloud SQL-Instanzen). Verwenden Sie eine Einschränkung der Organisationsrichtlinie, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.
Wenn Sie eine Cloud Storage-Datei in der ersten Dump-Phase der Migration verwenden, fügen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzu.
Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) in der Zieldatenbank verwenden, muss sich der CMEK im selben Dienstperimeter befinden wie das Verbindungsprofil, das den Schlüssel enthält.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
dlp.googleapis.com
Details
Die API für den Schutz sensibler Daten kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zum Schutz sensibler Daten finden Sie in den
Produktdokumentation.
Einschränkungen
Da VPC Service Controls derzeit keine Ordner- und
Unternehmensressourcen können Anfragen zum Schutz sensibler Daten einen 403-Fehler zurückgeben, wenn versucht wird, auf
auf Organisationsebene erstellen. Wir empfehlen IAM für die Verwaltung von
Berechtigungen für den Schutz sensibler Daten auf Ordner- und Organisationsebene.
Sie können über die eingeschränkte VIP auf Cloud DNS zugreifen. Sie können jedoch keine öffentlichen DNS-Zonen in Projekten innerhalb des VPC Service Controls-Perimeters erstellen oder aktualisieren.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
contentwarehouse.googleapis.com
Details
Die API für Document AI Warehouse kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Document AI Warehouse finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung von Document AI Warehouse in VPC Service Controls gibt es keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
domains.googleapis.com
Details
Die API für Cloud Domains kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Die in Cloud Domains verwendeten Kontaktdaten werden möglicherweise für die Registry für Domainendung oder Top-Level-Domain (TLD) freigegeben und können gemäß Ihren Einstellungen und entsprechend den ICANN-Regeln für WHOIS/RDAP öffentlich zugänglich sein. Weitere Informationen finden Sie unter Datenschutz.
Die in Cloud Domains verwendeten DNS-Konfigurationsdaten – Nameserver und DNSSEC-Einstellungen – sind öffentlich. Wenn Ihre Domain an eine öffentliche DNS-Zone delegiert (Standardeinstellung), sind die DNS-Konfigurationsdaten dieser Zone ebenfalls öffentlich.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
eventarc.googleapis.com
Details
Eventarc übernimmt die Ereignisübermittlung mithilfe von Pub/Sub-Themen und Push-Abos. Auf die Pub/Sub API zugreifen und Ereignisse verwalten
Triggern, muss die Eventarc API innerhalb derselben VPC Service Controls geschützt sein.
Dienstperimeter als Pub/Sub API festgelegt werden.
In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:
Für Eventarc gelten dieselben Einschränkungen wie für Pub/Sub:
<ph type="x-smartling-placeholder">
</ph>
Beim Weiterleiten von Ereignissen an Cloud Run-Ziele wird das neue Pub/Sub
Push-Abos können nur erstellt werden, wenn für die Push-Endpunkte Folgendes festgelegt ist:
Cloud Run-Dienste mit run.app-Standard-URLs (benutzerdefiniert)
Domains nicht funktionieren).
Beim Weiterleiten von Ereignissen an Workflow-Ziele, für die der
Pub/Sub-Push-Endpunkt ist auf einen Workflow festgelegt
können Sie nur neue
Pub/Sub-Push-Abos erstellen,
über Eventarc.
VPC Service Controls blockiert das Erstellen von Eventarc-Triggern
für intern
HTTP-Endpunkte Der Schutz von VPC Service Controls gilt nicht beim Routing
an diese Ziele zu senden.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
edgenetwork.googleapis.com
Details
Die API für die Distributed Cloud Edge Network API kann durch VPC Service Controls geschützt werden
und innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zur Distributed Cloud Edge Network API finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden der Distributed Cloud Edge Network API in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
financialservices.googleapis.com
Details
Die API für Anti Money Laundering AI kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Anti Money Laundering AI finden Sie in den
Produktdokumentation.
Einschränkungen
Für das Einbinden von Anti Money Laundering AI in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
firebaseappcheck.googleapis.com
Details
Wenn Sie Firebase App Check-Tokens konfigurieren und austauschen, schützt VPC Service Controls nur den Firebase App Check-Dienst. Zum Schutz von Diensten, die auf Firebase App Check basieren, müssen Sie Dienstperimeter für diese Dienste einrichten.
Weitere Informationen zu Firebase App Check finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung von Firebase App Check in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
firebaserules.googleapis.com
Details
Wenn Sie Richtlinien für Firebase-Sicherheitsregeln verwalten, schützt VPC Service Controls nur den Dienst für Firebase-Sicherheitsregeln. Zum Schutz von Diensten, die auf Firebase-Sicherheitsregeln beruhen, müssen Sie Dienstperimeter für diese Dienste einrichten.
Weitere Informationen zu Firebase-Sicherheitsregeln finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung von Firebase-Sicherheitsregeln in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudfunctions.googleapis.com
Details
Informationen zur Einrichtung finden Sie in der Cloud Functions-Dokumentation. Der Schutz von VPC Service Controls gilt nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Weitere Informationen finden Sie unter den bekannten Einschränkungen.
Weitere Informationen zu Cloud Functions finden Sie in der Produktdokumentation.
Einschränkungen
Cloud Functions verwendet Cloud Build, Container Registry und Cloud Storage, um Ihren Quellcode in einem ausführbaren Container zu erstellen und zu verwalten. Wenn einer dieser Dienste durch den Dienstperimeter eingeschränkt ist, blockiert VPC Service Controls den Cloud Functions-Build, selbst wenn Cloud Functions nicht als eingeschränkter Dienst zum Perimeter hinzugefügt wird. Um Cloud Functions innerhalb eines Dienstperimeters zu verwenden, müssen Sie eine Regel für eingehenden Traffic für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren.
Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugriff kann zum Exfiltrieren von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. dem hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.
Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter festlegen, können Sie ANY_SERVICE_ACCOUNT nicht verwenden
und ANY_USER_ACCOUNT als Identitätstyp zum Bereitstellen von Cloud Functions über einen lokalen Computer.
Als Behelfslösung können Sie ANY_IDENTITY als Identitätstyp verwenden.
Wenn Cloud Functions-Dienste durch HTTP-Trigger aufgerufen werden,
Bei der Richtlinienerzwingung wird nicht die IAM-Authentifizierung des Clients verwendet
Informationen. Regeln für VPC Service Controls-Richtlinien für eingehenden Traffic, die IAM verwenden
Hauptkonten werden nicht unterstützt. Zugriffsebenen für VPC Service Controls-Perimeter, die verwenden
IAM-Hauptkonten werden nicht unterstützt.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
iam.googleapis.com
Details
Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören die Verwaltung von benutzerdefinierten IAM-Rollen, die Verwaltung von Arbeitslast-Identitätspools und die Verwaltung von Dienstkonten und Schlüsseln. Der Perimeter ist nicht
Aktionen für Personalpools einschränken,
auf Organisationsebene erstellen.
Der Perimeter um IAM ist nicht
die Zugriffsverwaltung einschränken, d. h. das Abrufen oder Festlegen
IAM-Richtlinien) für Ressourcen, die anderen Diensten gehören,
wie Resource Manager-Projekte, -Ordner und -Organisationen
VM-Instanzen von Compute Engine So schränken Sie den Zugriff ein:
für diese Ressourcen verwalten, erstellen Sie einen Perimeter,
zu dem die Ressourcen gehören. Für eine Liste der Ressourcen, die
IAM-Richtlinien und die Dienste, denen sie gehören, finden Sie unter
Ressourcentypen, die akzeptieren
IAM-Richtlinien
Darüber hinaus ist der Perimeter um IAM nicht
Aktionen einschränken, die andere APIs verwenden, darunter:
IAM Policy Simulator API
IAM Policy Troubleshooter API
Security Token Service API
Service Account Credentials API (einschließlich der Legacy-Methoden signBlob und signJwt in der IAM API)
Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie in der Produktdokumentation.
Einschränkungen
Wenn Sie sich im Perimeter befinden, können Sie die Methode roles.list mit einem leeren String aufrufen, um vordefinierte IAM-Rollen aufzulisten. Informationen zum Aufrufen vordefinierter Rollen finden Sie in der Dokumentation zu IAM-Rollen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
kmsinventory.googleapis.com
Details
Die Cloud KMS Inventory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Cloud KMS Inventory API finden Sie in der Produktdokumentation.
Einschränkungen
Von der SearchProtectedResources API-Methode werden keine Dienstperimeter-Einschränkungen für zurückgegebene Projekte erzwungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
iamcredentials.googleapis.com
Details
Die API für Dienstkonto-Anmeldedaten kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Dienstkonto-Anmeldedaten finden Sie in der Produktdokumentation.
Einschränkungen
Für die Integration von Dienstkonto-Anmeldedaten in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudkms.googleapis.com
Details
Die Cloud KMS API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern verwendet werden. Der Zugriff auf Cloud HSM-Dienste ist auch durch VPC Service Controls geschützt und kann innerhalb von Dienstperimetern verwendet werden.
Weitere Informationen zum Cloud Key Management Service finden Sie in der Produktdokumentation.
Einschränkungen
Für das Einbinden des Cloud Key Management Service in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudaicompanion.googleapis.com
Details
Die API für Gemini Code Assist kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Gemini Code Assist finden Sie in der
Produktdokumentation.
Einschränkungen
Die Zugriffssteuerung basierend auf Gerät, öffentlicher IP-Adresse oder Standort ist
wird in der Google Cloud Console für Gemini nicht unterstützt.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
iaptunnel.googleapis.com
Details
Die API für Identity-Aware Proxy for TCP kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Identity-Aware Proxy for TCP finden Sie in der Produktdokumentation.
Einschränkungen
Nur die Nutzungs-API von IAP für TCP kann durch einen Perimeter geschützt werden.
Die administrative API kann nicht durch einen Perimeter geschützt werden.
Um IAP for TCP innerhalb eines VPC Service Controls-Dienstperimeters zu verwenden, müssen Sie einige DNS-Einträge hinzufügen oder konfigurieren, um folgende Domains auf die eingeschränkte VIP zu verweisen:
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
lifesciences.googleapis.com
Details
Die API für Cloud Life Sciences kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Life Sciences finden Sie in der Produktdokumentation.
Einschränkungen
Für das Einbinden von Cloud Life Sciences in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
recaptchaenterprise.googleapis.com
Details
Die API für reCAPTCHA kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
secretmanager.googleapis.com
Details
Die API für Secret Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Secret Manager finden Sie in der Produktdokumentation.
Einschränkungen
Für das Einbinden des Secret Manager in VPC Service Controls gelten keine bekannten Einschränkungen.
In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:
Neue Push-Abos können nur erstellt werden, wenn für die Push-Endpunkte Folgendes festgelegt ist:
Cloud Run-Dienste mit run.app-Standard-URLs oder einem
Ausführung von Workflows
benutzerdefinierte Domains funktionieren nicht. Weitere Informationen
Informationen zur Einbindung in Cloud Run finden Sie unter
VPC Service Controls verwenden
Für Nicht-Push-Abos müssen Sie ein Abo im selben Perimeter wie
das Thema aus oder aktivieren Sie Ausgangsregeln, um den Zugriff vom Thema auf das Abo zu ermöglichen.
Beim Weiterleiten von Ereignissen über Eventarc an Workflows
für die der Push-Endpunkt auf eine Workflows-Ausführung festgelegt ist,
können neue Push-Abos nur über Eventarc erstellen.
Pub/Sub-Abos, die vor dem Dienstperimeter erstellt wurden,
nicht blockiert.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
clouddeploy.googleapis.com
Details
Die API für Cloud Deploy kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Wenn Sie Cloud Deploy in einem Perimeter verwenden möchten, müssen Sie einen privaten Cloud Build-Pool für die Ausführungsumgebungen des Ziels verwenden.
Verwenden Sie nicht den Standard-Worker-Pool (Cloud Build) und keinen Hybrid-Pool.
Durch Aktivieren der DAG-Serialisierung wird verhindert, dass Airflow eine gerenderte Vorlage mit Funktionen in der Web-UI anzeigt.
Das Flag async_dagbag_loader kann nicht auf True gesetzt werden, wenn die DAG-Serialisierung aktiviert ist.
Durch Aktivieren der DAG-Serialisierung werden alle Airflow-Webserver-Plug-ins deaktiviert, da sie die Sicherheit des VPC-Netzwerks beeinträchtigen können, in dem Cloud Composer bereitgestellt wird. Dies wirkt sich nicht auf das Verhalten von Planer- oder Worker-Plug-ins, einschließlich Airflow-Operatoren und Sensoren, aus.
Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPi-Modulen im privaten IP-Modus finden Sie in der Cloud Composer-Dokumentation unter Python-Abhängigkeiten installieren.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudquotas.googleapis.com
Details
Die API für Cloud-Kontingente kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Cloud-Kontingenten finden Sie in den
Produktdokumentation.
Einschränkungen
Da VPC Service Controls
Grenzen auf Projektebene erzwingt,
Cloud-Kontingente-Anfragen, die von Clients aus dem
Perimeter kann nur auf Organisationsressourcen zugreifen, wenn die Organisation eine
Regel für ausgehenden Traffic.
Wenn Sie eine
Reduzierung des Kontingents
führt Cloud Kontingente einen S2S-Aufruf (Service to Service) aus,
Monitoring
Dieser S2S-Aufruf stammt nicht aus dem Perimeter, auch nicht
Falls dies der Fall ist, wird sie von VPC Service Controls blockiert.
Um dieses Problem zu vermeiden, haben Sie folgende Möglichkeiten:
Erstellen:
Regel für eingehenden Traffic
der es dem S2S-Aufruf von Ihrer Identität und allen Quellen ermöglicht,
Monitoring für das Projekt, für das Sie das Kontingent anfordern
zu verringern.
Bei Artifact Registry und Container Registry muss sich die Registry, in der Sie den Container speichern, im selben VPC Service Controls-Perimeter wie das Projekt befinden, in dem Sie die Bereitstellung durchführen. Der erstellte Code muss sich im selben VPC Service Controls-Perimeter befinden wie die Registry, in die der Container übertragen wird.
Die Cloud Run-Funktion Kontinuierliche Bereitstellung ist für Projekte in einem VPC Service Controls-Perimeter nicht verfügbar.
Wenn Cloud Run-Dienste aufgerufen werden,
Bei der Richtlinienerzwingung wird nicht die IAM-Authentifizierung des Clients verwendet
Informationen. Solche Anfragen unterliegen den folgenden Einschränkungen:
Regeln für VPC Service Controls-Richtlinien für eingehenden Traffic, die IAM verwenden
Hauptkonten werden nicht unterstützt.
Zugriffsebenen für VPC Service Controls-Perimeter, die IAM verwenden
Hauptkonten werden nicht unterstützt.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
spanner.googleapis.com
Details
Die API für Spanner kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
storage.googleapis.com
Details
Die API für Cloud Storage kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Wenn Sie das Feature „Anforderer bezahlt“ mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden.
Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Google Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Regel für eingehenden Traffic und/oder eine Zugriffsebene erstellen, die die Nutzerkonten und/oder den öffentlichen IP-Bereich enthält, für die Sie den Zugriff auf die Cloud Storage API zulassen möchten.
In Audit-Logeinträgen ist der Wert für methodName nicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logeinträge nicht nach methodName zu filtern.
In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird.
Wenn Sie versuchen, gsutil zum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, den storage-api.googleapis.com-Dienst zu aktivieren. Sie können zwar storage-api.googleapis.com nicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sind gsutil-Vorgänge ebenfalls geschützt.
In bestimmten Fällen sind öffentliche Cloud Storage-Objekte auch dann zugänglich, wenn Sie VPC Service Controls für die Objekte aktiviert haben. Die Objekte sind zugänglich, bis sie aus den integrierten Caches und anderen Upstream-Caches im Netzwerk zwischen dem Endnutzer und Cloud Storage ablaufen. Cloud Storage speichert öffentlich zugängliche Daten standardmäßig im Cloud Storage-Netzwerk.
Weitere Informationen zum Zwischenspeichern von Cloud Storage-Objekten finden Sie unter Cloud Storage. Informationen zur Aufbewahrungsdauer von Objekten im Cache finden Sie unter Cache-Control-Metadaten:
Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter festlegen, können Sie
ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT als Identität verwenden
für alle Cloud Storage-Vorgänge mit
signierte URLs:
Als Behelfslösung können Sie ANY_IDENTITY als Identitätstyp verwenden.
VPC Service Controls verwendet die Signaturanmeldedaten des Nutzers oder Dienstkontos, das die
Signierte URL
verwendet, um VPC Service Controls-Prüfungen auszuwerten, nicht die Anmeldedaten des Aufrufers oder der Nutzer, die die Verbindung initiieren.
Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Einschränkung für die Organisationsrichtlinie verwenden, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.
Aktivieren Sie die Service Networking API, bevor Sie VPC Service Controls für Cloud SQL konfigurieren.
Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket ausführen, der sich im selben Dienstperimeter wie die Cloud SQL-Replikatinstanz befindet.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
vision.googleapis.com
Details
Die Cloud Vision API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Cloud Vision API finden Sie in der Produktdokumentation.
Einschränkungen
Auch wenn Sie eine Regel für ausgehenden Traffic erstellen, um Aufrufe von öffentlichen URLs aus VPC Service Controls-Perimetern zuzulassen, blockiert die Cloud Vision API Aufrufe von öffentlichen URLs.
Die Container Scanning API ist eine API ohne Oberfläche, mit der die Ergebnisse gespeichert werden.
in der Artefaktanalyse müssen Sie die API nicht mit einem Dienst schützen,
des Perimeters.
Weitere Informationen zur Artefaktanalyse finden Sie in den
Produktdokumentation.
Einschränkungen
Für das Einbinden der Artefaktanalyse in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
containerregistry.googleapis.com
Details
Zusätzlich zum Schutz der Container Registry API
Container Registry kann innerhalb eines Dienstperimeters mit
GKE und Compute Engine
Weitere Informationen zu Container Registry finden Sie in der Produktdokumentation.
Einschränkungen
Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter festlegen, können Sie ANY_SERVICE_ACCOUNT nicht verwenden
und ANY_USER_ACCOUNT als Identitätstyp für alle Container Registry-Vorgänge.
Als Behelfslösung können Sie ANY_IDENTITY als Identitätstyp verwenden.
Zusätzlich zu den Containern innerhalb eines Perimeters, die für
Container Registry, die folgenden schreibgeschützten Repositories
sind unabhängig von Einschränkungen, die durch Dienstperimeter erzwungen werden, für alle Projekte verfügbar:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
container.googleapis.com
Details
Die API für Google Kubernetes Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Google Kubernetes Engine finden Sie in der Produktdokumentation.
Einschränkungen
Zum vollständigen Schutz der Google Kubernetes Engine API müssen Sie auch die Kubernetes Metadata API (kubernetesmetadata.googleapis.com) in den Perimeter aufnehmen.
Nur private Cluster können durch VPC Service Controls geschützt werden. Cluster mit öffentlichen IP-Adressen werden von VPC Service Controls nicht unterstützt.
Autoscaling funktioniert unabhängig von GKE. Da VPC Service Controls
unterstützt autoscaling.googleapis.com nicht, Autoscaling funktioniert nicht.
Wenn Sie GKE verwenden, können Sie die SERVICE_NOT_ALLOWED_FROM_VPC ignorieren.
Verstoß in den Audit-Logs, der durch den Dienst autoscaling.googleapis.com verursacht wird.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
containersecurity.googleapis.com
Details
Die API für die Container Security API kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zur Container Security API finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden der Container Security API in VPC Service Controls gelten keine bekannten Einschränkungen.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
containerfilesystem.googleapis.com
Details
Image-Streaming ist eine GKE-Funktion zum Datenstreaming, die kürzere Pull-Zeiten für Container-Images für in Artifact Registry gespeicherte Images bietet.
Wenn VPC Service Controls Ihre Container-Images schützt und Sie Image-Streaming verwenden, müssen Sie auch die Image-Streaming-API in den Dienstperimeter aufnehmen.
Weitere Informationen zum Image-Streaming finden Sie in der Produktdokumentation.
Einschränkungen
Die folgenden schreibgeschützten Repositories
sind unabhängig von Einschränkungen, die durch Dienstperimeter erzwungen werden, für alle Projekte verfügbar:
Flottenverwaltungs-APIs, einschließlich des Connect Gateways, können mit VPC Service Controls geschützt werden und Funktionen zur Flottenverwaltung können innerhalb von Dienstperimetern normal verwendet werden.
Hier finden Sie weitere Informationen:
Obwohl alle Features zur Flottenverwaltung normal verwendet werden können,
Der Perimeter um die Stackdriver API schränkt die Policy Controller-Flotte ein
die in Security Command Center eingebunden sind.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudresourcemanager.googleapis.com
Details
Die folgenden Cloud Resource Manager API-Methoden können durch VPC Service Controls geschützt werden:
Weitere Informationen zum Resource Manager finden Sie in der Produktdokumentation.
Einschränkungen
Taggen Sie nur Schlüssel, denen eine Projektressource direkt übergeordnet ist, und entsprechende Tag-Werte
mit VPC Service Controls geschützt werden. Wenn ein Projekt zu einem
VPC Service Controls-Perimeter, alle Tag-Schlüssel und zugehörigen Tag-Werte unter
werden als Ressourcen
innerhalb des Perimeters betrachtet.
Tag-Schlüssel, denen eine Organisationsressource übergeordnet ist, und die zugehörigen Tag-Werte
können nicht in einen VPC Service Controls-Perimeter aufgenommen und nicht mit
VPC Service Controls
Clients innerhalb eines VPC Service Controls-Perimeters können nicht auf Tag-Schlüssel und
entsprechende Werte, denen eine Organisationsressource übergeordnet ist, es sei denn, es gibt eine Regel für ausgehenden Traffic
dass der Zugriff
im Perimeter festgelegt wird. Weitere Informationen zum Einrichten von ausgehendem Traffic
finden Sie unter
Regeln für ein- und ausgehenden Traffic:
Tag-Bindungen werden als Ressourcen betrachtet, die sich im selben Perimeter wie die Ressource befinden
an die der Tag-Wert gebunden ist. Beispiel: Die Tag-Bindungen in einer Compute Engine
Instanz in einem Projekt als zu diesem Projekt gehören, unabhängig davon,
Tag-Schlüssel definiert ist.
Einige Dienste wie Compute Engine ermöglichen
Tag-Bindungen erstellen
die zusätzlich zu den Resource Manager-Dienst-APIs eigene Dienst-APIs verwenden. Für
Beispiel: Hinzufügen von Tags zu einer Compute Engine-VM während der Ressourcenerstellung. Zum Schutz
Tag-Bindungen, die mit diesen Dienst-APIs erstellt oder gelöscht wurden,
Dienst, z. B. compute.googleapis.com, in die Liste der eingeschränkten Dienste
Dienste im Perimeter.
Tags unterstützen Einschränkungen auf Methodenebene, sodass Sie die
method_selectors zu bestimmten API-Methoden. Für eine Liste von eingeschränkten
Methoden finden Sie unter
Einschränkungen für unterstützte Dienstmethoden.
Die Zuweisung der Inhaberrolle für ein Projekt über die Google Cloud Console wird jetzt von VPC Service Controls unterstützt. Sie können außerhalb von Dienstperimetern keine Inhabereinladung senden und keine Einladung annehmen. Wenn Sie versuchen, eine Einladung von außerhalb des Perimeters zu akzeptieren, erhalten Sie nicht die Inhaberrolle und es wird keine Fehler- oder Warnmeldung angezeigt.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
logging.googleapis.com
Details
Die API für Cloud Logging kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Aggregierte Logsenken (Ordner- oder Organisationssenken, wobei includeChildren den Wert true hat) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Wenn Sie verhindern möchten, dass aggregierte Logsenken auf Daten innerhalb eines Perimeters zugreifen, verwenden Sie IAM, um Logging-Berechtigungen für die aggregierten Log-Senken auf Ordner- oder Organisationsebene zu verwalten.
VPC Service Controls unterstützt das Hinzufügen von Ordner- oder Organisationsressourcen zu Dienstperimetern nicht. Daher können Sie VPC Service Controls nicht zum Schutz von Logs auf Ordner- und Organisationsebene verwenden, einschließlich aggregierter Logs. Zum Verwalten von Logging-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM.
Wenn Sie Logs mithilfe einer Logsenke auf Organisationsebene oder Ordnerebene an eine Ressource weiterleiten, die durch einen Dienstperimeter geschützt wird, müssen Sie dem Dienstperimeter eine Regel für eingehenden Traffic hinzufügen. Die Regel für eingehenden Traffic muss den Zugriff auf die Ressource über das Dienstkonto zulassen, das von der Logsenke verwendet wird. Dieser Schritt ist für Senken auf Projektebene nicht erforderlich.
Weitere Informationen finden Sie auf den folgenden Seiten:
Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter festlegen, können Sie ANY_SERVICE_ACCOUNT nicht verwenden
und ANY_USER_ACCOUNT als Identitätstyp, um Logs aus einer Cloud Logging-Senke in eine Cloud Storage-Ressource zu exportieren.
Als Behelfslösung können Sie ANY_IDENTITY als Identitätstyp verwenden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
certificatemanager.googleapis.com
Details
Die API für Certificate Manager kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zum Zertifikatmanager finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden des Zertifikatmanagers in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
monitoring.googleapis.com
Details
Die API für Cloud Monitoring kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Monitoring finden Sie in der Produktdokumentation.
Einschränkungen
Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch Änderung der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert.
Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da Schreibvorgänge von Agent-Messwerten sonst fehlschlagen.
Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert das GKE-Monitoring nicht.
Beim Abfragen von Messwerten für einen Messwertbereich wird nur der VPC Service Controls-Perimeter des für den Messwertbereich verantwortlichen Messprojekts berücksichtigt. Die Perimeter der einzelnen überwachten Projekte im Messwertbereich werden dabei nicht berücksichtigt.
Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Messwertbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter befindet wie das für den Messwertbereich verantwortliche Messprojekt.
Für den Zugriff auf Monitoring in der Google Cloud Console für ein Hostprojekt, das durch einen Dienstperimeter geschützt ist, verwenden Sie eine Regel für eingehenden Traffic.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudprofiler.googleapis.com
Details
Die API für Cloud Profiler kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
timeseriesinsights.googleapis.com
Details
Die Timeseries Insights API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Timeseries Insights API finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung der Timeseries Insights API in VPC Service Controls gibt es keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
language.googleapis.com
Details
Weitere Informationen zur Natural Language API finden Sie in der Produktdokumentation.
Einschränkungen
Da die Natural Language API eine zustandslose API ist und nicht in Projekten ausgeführt wird,
Die Verwendung von VPC Service Controls zum Schutz der Natural Language API hat keine Auswirkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
networkconnectivity.googleapis.com
Details
Die API für Network Connectivity Center kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Network Connectivity Center finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung des Network Connectivity Centers in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudasset.googleapis.com
Details
Die Cloud Asset API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Cloud Asset API finden Sie in der Produktdokumentation.
Einschränkungen
VPC Service Controls unterstützt nicht den Zugriff auf Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene durch Ressourcen und Clients innerhalb eines Dienstperimeters. VPC Service Controls schützt Cloud Asset API-Ressourcen auf Projektebene. Sie können eine Richtlinie für ausgehenden Traffic festlegen, um den Zugriff auf Cloud Asset API-Ressourcen auf Projektebene von Projekten innerhalb des Perimeters zu verhindern.
VPC Service Controls unterstützt nicht das Hinzufügen von Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu einem Dienstperimeter. Sie können keinen Perimeter verwenden, um Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu schützen. Zum Verwalten von Cloud Asset Inventory-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM.
Sie können Assets auf Ordner- oder Organisationsebene nicht in Ziele innerhalb eines Dienstperimeters exportieren.
Sie können keine Echtzeit-Feeds für Assets auf Ordner- oder Organisationsebene mit einem Pub/Sub-Thema innerhalb eines Dienstperimeters erstellen.
Cloud Translation Advanced (v3) unterstützt VPC Service Controls, aber nicht Cloud Translation – Basic (v2). Sie müssen Cloud Translation Advanced (v3) verwenden, um VPC Service Controls anzuwenden. Weitere Informationen zu den verschiedenen Versionen finden Sie unter Einfache und erweiterte Versionen vergleichen.
Weitere Informationen zur Live Stream API findest du in der
Produktdokumentation.
Einschränkungen
Zum Schutz von Eingabeendpunkten mit einem Dienstperimeter müssen Sie
die Anweisungen zum Einrichten eines privaten Pools und zum Senden von Eingabevideostreams über einen privaten Pool,
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
videostitcher.googleapis.com
Details
Die Video Stitcher API kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zur Video Stitcher API finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden der Video Stitcher API in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
storagetransfer.googleapis.com
Details
Wir empfehlen, das Storage Transfer Service-Projekt im selben
Dienstperimeter als Cloud Storage-
Ressourcen. So werden sowohl Ihre Übertragung als auch Ihre Cloud Storage-Ressourcen geschützt. Der Storage Transfer Service unterstützt mithilfe einer Richtlinie für ausgehenden Traffic auch Szenarien, in denen sich das Storage Transfer Service-Projekt nicht im selben Perimeter wie Ihre Cloud Storage-Buckets befindet.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
servicecontrol.googleapis.com
Details
Die Service Control API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Service Control finden Sie in der Produktdokumentation.
Einschränkungen
Wenn Sie die Service Control API über ein VPC-Netzwerk in einem Dienst aufrufen
Perimeter mit Service Control eingeschränkt ist, um Abrechnungs- oder Analysemesswerte zu melden, können Sie nur den
Service Control-Bericht
Methode zum Melden von Messwerten für von VPC Service Controls unterstützte Dienste.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
redis.googleapis.com
Details
Die Memorystore for Redis API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Memorystore for Redis finden Sie in der Produktdokumentation.
Einschränkungen
Dienstperimeter schützen nur die Memorystore for Redis API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Redis-Instanzen im selben Netzwerk.
Wenn die Cloud Storage API ebenfalls geschützt ist, können Import- und Exportvorgänge von Memorystore for Redis nur in einen Cloud Storage-Bucket innerhalb des Dienstperimeters lesen und schreiben, in dem sich die Memorystore for Redis-Instanz befindet.
Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt mit der Redis-Instanz im selben Perimeter bereitstellt, damit Redis-Anfragen erfolgreich sind. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, können neben blockierten Anfragen auch jederzeit Fehler in der Redis-Instanz auftreten. Weitere Informationen finden Sie unter Konfigurationsanforderungen für Memorystore for Redis.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
memcache.googleapis.com
Details
Die Memorystore for Memcache API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Memorystore for Memcache finden Sie in der Produktdokumentation.
Einschränkungen
Dienstperimeter schützen nur die Memorystore for Memcache API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Memcache-Instanzen im selben Netzwerk.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
servicedirectory.googleapis.com
Details
Die Service Directory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Nein. Die API für Transfer Appliance kann nicht durch Dienstperimeter geschützt werden.
Transfer Appliance kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
Details
Für Projekte, die VPC Service Controls verwenden, wird Transfer Appliance vollständig unterstützt.
Transfer Appliance bietet keine API und unterstützt daher keine API-bezogenen Features in VPC Service Controls.
Weitere Informationen zu Transfer Appliance finden Sie in der Produktdokumentation.
Einschränkungen
Wenn Cloud Storage durch VPC Service Controls geschützt wird, muss sich der Cloud KMS-Schlüssel, den Sie mit dem Transfer Appliance-Team gemeinsam nutzen, im selben Projekt wie der Cloud Storage-Ziel-Bucket befinden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
orgpolicy.googleapis.com
Details
Die API für Organization Policy Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Organization Policy Service finden Sie in der Produktdokumentation.
Einschränkungen
VPC Service Controls unterstützt keine Zugriffsbeschränkungen für Organisationsrichtlinien auf Ordner- oder Organisationsebene, die vom Projekt übernommen werden.
VPC Service Controls schützt die Organization Policy Service API-Ressourcen auf Projektebene.
Wenn beispielsweise ein Nutzer durch eine Regel für eingehenden Traffic auf die Organization Policy Service API zugreift, erhält dieser Nutzer den Fehler 403, wenn er nach Organisationsrichtlinien sucht, die für das Projekt erzwungen werden. Der Nutzer kann jedoch weiterhin auf die Organisationsrichtlinien des Ordners und der Organisation zugreifen, die das Projekt enthält.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
oslogin.googleapis.com
Details
Sie können die OS Login API aus VPC Service Controls-Perimetern aufrufen. Für die Verwaltung von OS Login über VPC Service Controls-Perimeter richten Sie OS Login ein.
SSH-Verbindungen zu VM-Instanzen sind nicht durch VPC Service Controls geschützt.
Die OS Login-Methoden zum Lesen und Schreiben von SSH-Schlüsseln erzwingen keine VPC Service Controls-Perimeter. Verwenden Sie über VPC zugängliche Dienste, um den Zugriff auf OS Login APIs zu deaktivieren.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
servicehealth.googleapis.com
Details
Die API for Personalized Service Health kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Personalized Service Health finden Sie in den
Produktdokumentation.
Einschränkungen
VPC Service Controls unterstützt nicht die Ressourcen OrganizationEvents und OrganizationImpacts von
die Service Health API. Daher werden VPC Service Controls-Richtlinienprüfungen nicht durchgeführt, wenn Sie die Methoden aufrufen
für diese Ressourcen. Sie können die Methoden jedoch von einem Dienstperimeter aus mit einem
eingeschränkte VIP.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
osconfig.googleapis.com
Details
Sie können die OS Config API aus VPC Service Controls-Perimetern aufrufen. Wenn Sie VM Manager innerhalb von VPC Service Controls-Perimetern verwenden möchten, richten Sie VM Manager ein.
Zum vollständigen Schutz von VM Manager müssen Sie alle folgenden APIs in Ihrem Perimeter einschließen:
OS Config API (osconfig.googleapis.com)
Compute Engine API (compute.googleapis.com)
Artifact Analysis API (containeranalysis.googleapis.com)
VM Manager hostet keine Paket- und Patchinhalte. OS Patch Management verwendet die Update-Tools für das Betriebssystem, die erfordern, dass Paketaktualisierungen und Patches auf der VM abgerufen werden können. Damit Patches funktionieren, müssen Sie möglicherweise Cloud NAT verwenden oder Ihr eigenes Package Repository oder Ihren Windows Server Update Service in Ihrer Virtual Private Cloud hosten.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
workflows.googleapis.com
Details
Workflows ist eine Orchestrierungsplattform, die Google Cloud-Dienste und HTTP-basierte APIs kombinieren kann, um Dienste in einer von Ihnen definierten Reihenfolge auszuführen.
Wenn Sie die Workflows API mit einem Dienstperimeter schützen, ist auch die Workflow Executions API geschützt. Sie müssen workflowexecutions.googleapis.com nicht separat zur Liste der geschützten Dienste Ihres Perimeters hinzufügen.
HTTP-Anfragen von einer Workflows-Ausführung werden so unterstützt:
Dienstperimeter schützen nur die Filestore API. Perimeter schützen nicht den normalen Zugriff auf NFS-Daten auf Filestore-Instanzen innerhalb desselben Netzwerks.
Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt enthält, das die Filestore-Instanz im selben Perimeter enthält, damit die Filestore-Instanz ordnungsgemäß funktioniert. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und erstellen möglicherweise keine neuen Instanzen.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie den Host
das das Netzwerk bereitstellt, und das Dienstprojekt, das die
Parallelstore-Instanz im selben Perimeter für Parallelstore
um ordnungsgemäß zu funktionieren. Hostprojekt und Dienstprojekt trennen
mit einem Perimeter
kann dazu führen, dass die Instanzen nicht mehr
erstellt möglicherweise keine neuen Instanzen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
containerthreatdetection.googleapis.com
Details
Die API für Container Threat Detection kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Container Threat Detection finden Sie in der Produktdokumentation.
Einschränkungen
Für das Einbinden von Container Threat Detection in VPC Service Controls gelten keine bekannten Einschränkungen.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Für Ads Data Hub und VPC Service Controls gelten unterschiedliche Nutzungsbedingungen. Weitere Informationen finden Sie in den Nutzungsbedingungen der einzelnen Produkte.
Bei bestimmten Funktionen von Ads Data Hub (z. B. benutzerdefinierte Zielgruppenaktivierung, benutzerdefinierte Gebote und LiveRamp-Match-Tables) müssen bestimmte Nutzerdaten außerhalb des Perimeters von VPC Service Controls exportiert werden. Wird Ads Data Hub als eingeschränkter Dienst hinzugefügt, werden die VPC Service Controls-Richtlinien für diese Funktionen umgangen, damit die Funktionen erhalten bleiben.
Alle abhängigen Dienste müssen als zulässige Dienste im selben VPC Service Controls-Perimeter enthalten sein. Da Ads Data Hub beispielsweise auf BigQuery basiert, muss auch BigQuery hinzugefügt werden. Im Allgemeinen empfiehlt VPC Service Controls, alle Dienste im Perimeter zu berücksichtigen, d. h. alle Dienste einzuschränken.
Kunden mit mehrstufigen Ads Data Hub-Kontostrukturen (z. B. Agenturen mit Tochterunternehmen) sollten alle ihre Administratorprojekte im selben Perimeter haben. Der Einfachheit halber empfiehlt Ads Data Hub, dass Kunden mit mehrstufigen Kontostrukturen ihre Administratorprojekte auf eine Google Cloud-Organisation beschränken.
Die API für Cloud Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zum Cloud Service Mesh finden Sie in den
Produktdokumentation.
Einschränkungen
Für das Einbinden von Cloud Service Mesh in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
sts.googleapis.com
Details
VPC Service Controls schränkt den Tokenaustausch nur dann ein, wenn die Zielgruppe in der Anfrage eine Ressource auf Projektebene ist. Beispielsweise werden Anfragen für herabgestufte Tokens nicht eingeschränkt, da diese Anfragen keine Zielgruppe haben. Anfragen für die Identitätsföderation von Mitarbeitern werden auch nicht eingeschränkt, da die Zielgruppe eine Ressource auf Organisationsebene ist.
Weitere Informationen zum Security Token Service finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung des Security Token Service in VPC Service Controls gelten keine bekannten Einschränkungen.
Die Dienste firestore.googleapis.com, datastore.googleapis.com und firestorekeyvisualizer.googleapis.com sind gebündelt.
Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter auch die Dienste datastore.googleapis.com und firestorekeyvisualizer.googleapis.com.
Gebündelte Legacy-Dienste von App Engine für Datastore
unterstützen keine Dienstperimeter. Der Schutz des Datastore-Dienstes mit einem Dienstperimeter blockiert den Traffic von gebündelten Legacy-Diensten von App Engine. Zu den gebündelten Legacy-Diensten gehören:
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
vmmigration.googleapis.com
Details
Die API für die Migration zu virtuellen Maschinen kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Migrate for Virtual Machines finden Sie in der Produktdokumentation.
Einschränkungen
Um die Migration zu virtuellen Maschinen vollständig zu schützen, fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
backupdr.googleapis.com
Details
Die API für den Sicherungs‐ und Notfallwiederherstellungsdienst kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zum Dienst für Sicherung und Notfallwiederherstellung finden Sie in der
Produktdokumentation.
Einschränkungen
Wenn Sie die Internet-Standardroute mit dem Befehl gcloud services vpc-peerings enable-vpc-service-controls aus dem Diensterstellerprojekt entfernen,
können Sie möglicherweise nicht auf die Verwaltungskonsole zugreifen oder sie bereitstellen. Wenn dieses Problem auftritt, wenden Sie sich an Google Cloud Customer Care.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
gkebackup.googleapis.com
Details
Sie können VPC Service Controls zum Schutz von GKE-Sicherungen verwenden und die Sicherung von GKE-Features normalerweise innerhalb von Dienstperimetern verwenden.
Weitere Informationen zu Sicherungen für GKE finden Sie in der Produktdokumentation.
Einschränkungen
Für die Einbindung von GKE-Sicherungen in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
integrations.googleapis.com
Details
Application Integration ist ein kollaboratives Workflow-Management-System,
zum Erstellen, Erweitern, Debuggen und Verstehen der wichtigsten Geschäftssystem-Workflows.
Die Workflows in Application Integration bestehen aus Triggern und Aufgaben.
Es gibt verschiedene Arten von Triggern, z. B. API-Trigger/Pub/Sub-Trigger/Cron-Trigger/Sfdc-Trigger.
Weitere Informationen zu Application Integration finden Sie in der
Produktdokumentation.
Einschränkungen
VPC Service Controls schützt Logs zur Anwendungsintegration. Wenn Sie Application Integration verwenden, prüfen Sie die Unterstützung für VPCSC
Integration mit dem Application Integration-Team.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
connectors.googleapis.com
Details
Die API für Integration Connectors kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Integration Connectors finden Sie in der
Produktdokumentation.
Einschränkungen
Wenn Sie VPC Service Controls verwenden und eine Verbindung zu einer Ressource außerhalb von Google Cloud CLI hergestellt wird, muss das Ziel der Verbindung ein Private Service Connect-Anhang sein. Verbindungen
die ohne den Private Service Connect-Anhang erstellt wurden.
Wenn Sie einen VPC Service Controls-Dienstperimeter für Ihr Google Cloud CLI-Projekt eingerichtet haben, können Sie den
Ereignisabo-Funktion für das Projekt.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
clouderrorreporting.googleapis.com
Details
Die API für Error Reporting kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Error Reporting finden Sie in der Produktdokumentation.
Einschränkungen
Benachrichtigungen werden gesendet, wenn eine neue oder wiederkehrende Fehlergruppe gefunden wird
Informationen zur Fehlergruppe enthalten. Sorgen Sie dafür, dass sich Benachrichtigungskanäle in Ihrer Organisation befinden, um eine Daten-Exfiltration außerhalb des VPC Service Controls-Perimeters zu verhindern.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
workstations.googleapis.com
Details
Die API für Cloud Workstations kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Workstations finden Sie in der Produktdokumentation.
Einschränkungen
Für den vollständigen Schutz von Cloud Workstations müssen Sie die Compute Engine API in Ihrem Dienstperimeter einschränken, wenn Sie die Cloud Workstations API einschränken.
Achten Sie darauf, dass die Google Cloud Storage API, die Google Container Registry API und die Artifact Registry API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist erforderlich, um Images auf Ihre Workstation zu übertragen. Es wird außerdem empfohlen, dass die Cloud Logging API und die Cloud Error Reporting API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist jedoch nicht erforderlich, um Cloud Workstations zu verwenden.
Der Workstation-Cluster muss privat sein.
Durch das Konfigurieren eines privaten Clusters werden Verbindungen zu Ihren Workstations von außerhalb Ihres VPC-Dienstperimeters verhindert.
Deaktivieren Sie öffentliche IP-Adressen in Ihrer Workstation-Konfiguration. Andernfalls werden in Ihrem Projekt VMs mit öffentlichen IP-Adressen erstellt. Wir empfehlen Ihnen dringend, die Methode
constraints/compute.vmExternalIpAccess
Einschränkung der Organisationsrichtlinie zum Deaktivieren öffentlicher IP-Adressen für alle VMs
in Ihrem VPC-Dienstperimeter an. Weitere Informationen finden Sie unter
Externe IP-Adressen auf bestimmte VMs beschränken
Beim Herstellen einer Verbindung zu Ihrer Workstation basiert die Zugriffssteuerung nur darauf, ob die private
Netzwerk, von dem aus Sie eine Verbindung herstellen, zum Sicherheitsperimeter gehört. Zugriffssteuerung basierend auf
Gerät, öffentliche IP-Adresse oder Standort wird nicht unterstützt.
Cloud IDS verwendet Cloud Logging, um Bedrohungslogs in Ihrem Projekt zu erstellen. Wenn Cloud Logging durch den Dienstperimeter eingeschränkt ist, blockiert VPC Service Controls die Cloud IDS-Bedrohungslogs, auch wenn Cloud IDS nicht als eingeschränkter Dienst zum Perimeter hinzugefügt wurde. Um Cloud IDS innerhalb eines Dienstperimeters zu verwenden, müssen Sie eine Regel für eingehenden Traffic für das Cloud Logging-Dienstkonto in Ihrem Dienstperimeter konfigurieren.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
policytroubleshooter.googleapis.com
Details
Wenn Sie die Policy Troubleshooter API mit einem Perimeter einschränken,
Hauptkonten können Probleme mit IAM-Zulassungsrichtlinien nur dann beheben, wenn alle Ressourcen
die an der Anfrage beteiligt sind, sich im selben Perimeter befinden. Normalerweise gibt es zwei
Ressourcen, die an einer Anfrage zur Fehlerbehebung beteiligt sind:
Die Ressource, für die Sie eine Fehlerbehebung für den Zugriff durchführen. Diese Ressource kann ein beliebiger
Typ. Sie geben diese Ressource bei der Fehlerbehebung
Zulassungsrichtlinie.
Die Ressource, die Sie zur Fehlerbehebung beim Zugriff verwenden. Diese Ressource ist
ein Projekt, einen Ordner oder eine Organisation. In der Google Cloud Console und
gcloud CLI verwenden, wird diese Ressource aus Projekt, Ordner,
Organisation, die Sie ausgewählt haben. In der REST API geben Sie diese Ressource an.
mit dem x-goog-user-project-Header.
Diese Ressource kann mit der Ressource identisch sein, für die Sie eine Fehlerbehebung für den Zugriff durchführen,
das muss nicht sein.
Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Weitere Informationen zur Richtlinien-Fehlerbehebung finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden von Policy Troubleshooter in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
policysimulator.googleapis.com
Details
Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, können Hauptkonten
können Zulassungsrichtlinien nur dann simulieren, wenn bestimmte Ressourcen
im selben Perimeter befinden. Es gibt verschiedene Ressourcen,
die an einer Simulation beteiligt sind:
Die Ressource, deren Zulassungsrichtlinie Sie verwenden
durch Simulationen. Diese Ressource wird auch als Ziel
Ressource. In der Google Cloud Console ist dies die Ressource
wessen Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und
REST API zu verwenden, geben Sie diese Ressource explizit an, wenn Sie eine
Zulassungsrichtlinie.
Das Projekt, der Ordner oder die Organisation, das bzw. die erstellt und ausgeführt wird
für die Simulation. Diese Ressource wird auch als Host
Ressource. In der Google Cloud Console und
gcloud CLI verwenden, wird diese Ressource aus Projekt, Ordner,
Organisation, die Sie ausgewählt haben. In der REST API geben Sie diese Ressource an.
mit dem x-goog-user-project-Header.
Diese Ressource kann mit der Ressource identisch sein, die Sie simulieren
Zugriff erhalten, aber das muss nicht der Fall sein.
Die Ressource, die Zugriffslogs für die
Simulationsspiele. In einer Simulation gibt es immer eine Ressource
mit Zugriffslogs für die Simulation. Diese Ressource variiert
je nach Zielressourcentyp:
Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren,
Der Simulator ruft die Zugriffslogs für das Projekt oder die Organisation ab.
Wenn Sie eine Zulassungsrichtlinie
für einen anderen Ressourcentyp simulieren,
Policy Simulator ruft die Zugriffslogs für das übergeordnete Element dieser Ressource ab
für ein Projekt oder eine Organisation.
Wenn Sie mehrere Ressourcen simulieren, Richtlinien gleichzeitig zulassen, Richtlinie
Der Simulator ruft die Zugriffslogs für die Ressourcen nächster Neutralleiter
für ein Projekt oder eine Organisation.
Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien.
Beim Ausführen einer Simulation durch Policy Simulator werden alle zulässigen
Richtlinien, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Zulassungsrichtlinien
für die Ancestor- und untergeordneten Ressourcen der Zielressource. Als
sind diese Vorgänger- und Nachfolgerressourcen ebenfalls an
Simulationen.
Wenn sich die Zielressource und die Hostressource nicht in derselben
Perimeter-Perimeter, schlägt die Anfrage fehl.
Wenn die Zielressource
und die Ressource, die Zugriffslogs bereitstellt,
sich nicht im selben Perimeter befinden, schlägt die Anfrage fehl.
Wenn die Zielressource und einige unterstützte Ressourcen mit entsprechendem Zulassen
nicht im selben Perimeter befinden, sind die Anfragen erfolgreich, aber der
Ergebnisse sind möglicherweise unvollständig. Wenn Sie z. B. eine Richtlinie simulieren,
für ein Projekt in einem Perimeter enthalten die Ergebnisse nicht die Zulassungsrichtlinie
der Dachorganisation des Projekts, da Unternehmen
Perimetern außerhalb von VPC Service Controls-Perimetern. Um noch mehr umfassende
können Sie eingehenden Traffic und
Ausgangsregeln für den Perimeter.
Weitere Informationen zum Policy Simulator finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden von Policy Simulator in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
essentialcontacts.googleapis.com
Details
Die API for Essential Contacts kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu „Wichtige Kontakte“ finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden der wichtigen Kontakte in VPC Service Controls gelten keine bekannten Einschränkungen.
Die API für Identity Platform kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zur Identity Platform finden Sie in der
Produktdokumentation.
Einschränkungen
Zum vollständigen Schutz der Identity Platform fügen Sie die Secure Token API (securetoken.googleapis.com) zur
Dienstperimeter, um die Aktualisierung von Tokens zuzulassen. securetoken.googleapis.com ist nicht
der Google Cloud Console
auf der Seite „VPC Service Controls“ aufgeführt ist.
Sie können diesen Dienst nur mit der
gcloud access-context-manager
perimeters update-Befehl.
Wenn in Ihre Anwendung auch Blockierfunktionen eingebunden sind, fügen Sie Cloud Functions (cloudfunctions.googleapis.com) zum
Dienstperimeter.
Wenn SMS-basierte Multi-Faktor-Authentifizierung (MFA), E-Mail-Authentifizierung oder externe Identitätsanbieter verwendet werden, werden Daten aus dem Perimeter heraus gesendet. Wenn Sie MFA nicht mit SMS, E-Mail-Authentifizierung oder externen Identitätsanbietern verwenden, deaktivieren Sie diese Funktionen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
gkemulticloud.googleapis.com
Details
Die API für GKE Multi-Cloud kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu GKE Multi-Cloud finden Sie in der
Produktdokumentation.
Einschränkungen
Zum vollständigen Schutz der GKE Multi-Cloud API müssen Sie auch die Kubernetes Metadata API (kubernetesmetadata.googleapis.com) in den Perimeter aufnehmen.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Nein. Die API für Google Distributed Cloud kann nicht durch Dienstperimeter geschützt werden.
Google Distributed Cloud kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
Details
Sie können einen Cluster in Ihrer Umgebung erstellen, der über Cloud Interconnect oder Cloud VPN mit der VPC verbunden ist.
Weitere Informationen zu Google Distributed Cloud finden Sie in der
Produktdokumentation.
Einschränkungen
Wenn Sie einen Cluster mit Distributed Cloud erstellen oder aktualisieren, verwenden Sie die Methode
Flag --skip-api-check in bmctl, um den Aufruf der Service Usage zu umgehen
API (serviceusage.googleapis.com), da die Service Usage API
(serviceusage.googleapis.com) wird von VPC Service Controls nicht unterstützt.
Distributed Cloud ruft die Service Usage API auf, um zu prüfen, ob die erforderliche
APIs werden in einem Projekt aktiviert. Er wird nicht verwendet, um die Erreichbarkeit des API-Endpunkt zu prüfen.
Verwenden Sie zum Schutz von Distributed Cloud eine eingeschränkte VIP in
Distributed Cloud und fügen Sie dem Dienst alle folgenden APIs hinzu.
Perimeter:
Artifact Registry API (artifactregistry.googleapis.com)
Google Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
Compute Engine API (compute.googleapis.com)
Connect Gateway API (connectgateway.googleapis.com)
Google Container Registry API (containerregistry.googleapis.com)
GKE Connect API (gkeconnect.googleapis.com)
GKE Hub API (gkehub.googleapis.com)
GKE On-Prem API (gkeonprem.googleapis.com)
Cloud IAM API (iam.googleapis.com)
Cloud Logging API (logging.googleapis.com)
Cloud Monitoring API (monitoring.googleapis.com)
Config Monitoring for Ops API (opsconfigmonitoring.googleapis.com)
Service Control API (servicecontrol.googleapis.com)
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
ondemandscanning.googleapis.com
Details
Die API für die On-Demand Scanning API kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zur On-Demand Scanning API finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden der On-Demand Scanning API in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
looker.googleapis.com
Details
Die API für Looker (Google Cloud Core) kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Looker (Google Cloud Core) finden Sie in der
Produktdokumentation.
Einschränkungen
VPC Service Controls wird nur von Enterprise- oder Embed-Versionen von Looker (Google Cloud Core)-Instanzen mit privaten IP-Verbindungen unterstützt. Looker (Google Cloud Core)-Instanzen mit öffentlichen IP-Verbindungen oder sowohl öffentlichen als auch privaten IP-Verbindungen unterstützen keine VPC Service Controls-Compliance. Wenn Sie eine Instanz erstellen möchten, die eine private IP-Verbindung verwendet, wählen Sie auf der Seite Instanz erstellen der Google Cloud Console im Abschnitt Netzwerk die Option Private IP-Adresse aus.
Wenn Sie eine Looker (Google Cloud Core)-Instanz in einem VPC Service Controls-Dienstperimeter platzieren oder erstellen, müssen Sie die Standardroute zum Internet entfernen. Rufen Sie dazu die Methode services.enableVpcServiceControls auf oder führen Sie den folgenden gcloud-Befehl aus:
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
publicca.googleapis.com
Details
Die API für Public Certificate Authority kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Public Certificate Authority finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden einer öffentlichen Zertifizierungsstelle in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
storageinsights.googleapis.com
Details
Die API für Storage Insights kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Storage Insights finden Sie in den
Produktdokumentation.
Einschränkungen
Für das Einbinden von Storage Insights in VPC Service Controls gelten keine bekannten Einschränkungen.
Die APIs für Security Command Center können durch VPC Service Controls geschützt werden und Security Command Center kann verwendet werden
normalerweise innerhalb von Dienstperimetern.
securitycenter.googleapis.com und securitycentermanagement.googleapis.com
gebündelt sind. Wenn Sie die securitycenter.googleapis.com einschränken
Dienst in einem Perimeter schränkt der Perimeter den securitycentermanagement.googleapis.com
standardmäßig aktiviert. Sie können securitycentermanagement.googleapis.com nicht hinzufügen
Dienst zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit
securitycenter.googleapis.com.
Weitere Informationen zu Security Command Center finden Sie in der
Produktdokumentation.
Einschränkungen
VPC Service Controls unterstützt keinen Zugriff auf Ordner- oder Organisationsebene
Security Command Center API-Ressourcen von Ressourcen und Clients innerhalb eines Dienstperimeters. VPC Service Controls
schützt Security Command Center API-Ressourcen auf Projektebene. Sie können eine Richtlinie für ausgehenden Traffic festlegen,
Zugriff auf Security Command Center API-Ressourcen auf Projektebene von Projekten innerhalb des Perimeters.
VPC Service Controls unterstützt das Hinzufügen von Ordner- oder Organisationsebene nicht
Security Command Center API-Ressourcen in einem Dienstperimeter. Sie können keinen Perimeter verwenden, um
Security Command Center API-Ressourcen auf Ordner- oder Organisationsebene. So verwalten Sie Security Command Center-Berechtigungen
auf Ordner- oder Organisationsebene haben, empfehlen wir die Verwendung von IAM.
VPC Service Controls unterstützt den Dienst für den Sicherheitsstatus nicht, da Ressourcen für den Sicherheitsstatus (z. B. Postures, Posture-Bereitstellungen und vordefinierte Statusvorlagen) Ressourcen auf Organisationsebene sind.
Sie können Ergebnisse auf Ordner- oder Organisationsebene nicht in Ziele exportieren
innerhalb eines Dienstperimeters.
In den folgenden Fällen müssen Sie den Perimeterzugriff aktivieren:
<ph type="x-smartling-placeholder">
Wenn Sie Daten exportieren in
BigQuery aus der Ordner- oder Organisationsebene und BigQuery befindet sich darin
einen Dienstperimeter.
Wenn Sie Security Command Center in ein SIEM- oder SOAR-Produkt einbinden und das Produkt in einem Dienst bereitgestellt wird
Perimeter in einer Google Cloud-Umgebung. Unterstützte SIEMs und SOARs sind unter anderem Splunk und
IBM QRadar
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudsupport.googleapis.com
Details
Die API für Cloud Customer Care kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Cloud Customer Care finden Sie in den
Produktdokumentation.
Einschränkungen
VPC Service Controls schützt Daten, auf die über die Cloud Support API zugegriffen wird, schützt jedoch keine Daten.
Zugriff über die Google Cloud Console.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
discoveryengine.googleapis.com
Details
Die API für Vertex AI Agent Builder – Vertex AI Search kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Vertex AI Agent Builder – Vertex AI Search finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden von Vertex AI Agent Builder in VPC Service Controls gelten keine bekannten Einschränkungen.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
confidentialcomputing.googleapis.com
Details
Die API für Confidential Space kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
Weitere Informationen zu Confidential Space finden Sie in der
Produktdokumentation.
Einschränkungen
Confidential Space benötigt Lesezugriff auf Cloud Storage-Buckets, um die Zertifikate herunterzuladen, die zur Validierung des Attestierungstokens verwendet werden. Wenn sich diese Cloud Storage-Buckets außerhalb des Perimeters befinden, müssen Sie die folgende Regel für ausgehenden Traffic erstellen:
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
ssh-serialport.googleapis.com
Details
So verwenden Sie den VPC Service Controls-Schutz beim Herstellen einer Verbindung zur seriellen Konsole:
Für eine VM-Instanz müssen Sie eine Regel für eingehenden Traffic festlegen.
für den Dienstperimeter. Beim Einrichten der Regel für eingehenden Traffic muss die Zugriffsebene für die Quelle
ein IP-basierter Wert und der Dienstname auf ssh-serialport.googleapis.com festgelegt ist.
Die Eingangsregel ist für den Zugriff auf die serielle Konsole erforderlich, auch wenn sich die Quellanfrage und die Zielressource im selben Perimeter befinden.
Weitere Informationen zur seriellen Konsole finden Sie in der
Produktdokumentation.
Einschränkungen
Sie können nicht mit dem privater Google-Zugriff auf eine serielle Konsole zugreifen. Sie können auf die serielle Konsole
nur aus dem öffentlichen Internet.
Bei Verwendung einer seriellen Konsole können identitätsbasierte Regeln für eingehenden oder ausgehenden Traffic nicht verwendet werden, um den Zugriff auf die serielle Konsole zu ermöglichen.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Weitere Informationen zur Google Cloud VMware Engine finden Sie in der
Produktdokumentation.
Einschränkungen
Wenn Sie einem VPC-Dienstperimeter vorhandene VMware Engine-Netzwerke, private Clouds, Netzwerkrichtlinien und VPC-Peering hinzufügen, werden zuvor erstellte Ressourcen nicht noch einmal darauf geprüft, ob sie noch den Richtlinien des Perimeters entsprechen.
Zur Verwendung des VPC Service Controls-Schutzes für Dataform müssen Sie
Organisationsrichtlinie „dataform.restrictGitRemotes“ festlegen
und beschränken Sie BigQuery mit demselben Dienstperimeter wie Dataform.
Sie sollten sicherstellen, dass Ihren Dienstkonten die Berechtigungen von Identity and Access Management (IAM) gewährt wurden.
die in Dataform verwendet werden,
Ihre Sicherheitsarchitektur widerspiegeln.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
websecurityscanner.googleapis.com
Details
Für Web Security Scanner und VPC Service Controls gelten unterschiedliche Nutzungsbedingungen.
Weitere Informationen finden Sie in den Nutzungsbedingungen der einzelnen Produkte.
Web Security Scanner sendet die Ergebnisse bei Bedarf an Security Command Center. Sie können die
aus dem Security Command Center-Dashboard.
Weitere Informationen zu Web Security Scanner finden Sie in der
Produktdokumentation.
Einschränkungen
Für das Einbinden von Web Security Scanner in VPC Service Controls gelten keine bekannten Einschränkungen.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
securesourcemanager.googleapis.com
Details
Sie müssen den Certificate Authority Service mit einer funktionierenden Zertifizierungsstelle konfigurieren, bevor Sie Secure Source Manager VPC Service Controls-Instanzen erstellen.
Sie müssen Private Service Connect konfigurieren, bevor Sie auf die VPC Service Controls-Instanz von Secure Source Manager zugreifen.
Weitere Informationen zu Secure Source Manager finden Sie in der
Produktdokumentation.
Einschränkungen
SERVICE_NOT_ALLOWED_FROM_VPC-Audit-Log-Verstoß aufgrund von GKE-Einschränkungen kann ignoriert werden.
Zum Öffnen der Weboberfläche von VPC Service Controls in einem Browser benötigt der Browser Zugriff auf die folgenden URLs:
<ph type="x-smartling-placeholder">
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
apikeys.googleapis.com
Details
Die API für API-Schlüssel kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudcontrolspartner.googleapis.com
Details
Die Cloud Controls Partner API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Partnerkonsole im Bereich Datenhoheitskontrollen durch Partner finden Sie in den
Produktdokumentation.
Einschränkungen
Dieser Service muss für alle Nicht-Partner eingeschränkt werden. Wenn Sie ein Partner sind, der die Datenhoheitskontrollen durch Partner unterstützt, können Sie diesen Dienst mit einem Dienstperimeter schützen.
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
microservices.googleapis.com
Details
Die API für Mikrodienste kann durch VPC Service Controls geschützt werden und das Produkt kann
die normalerweise innerhalb von
Dienstperimetern verwendet werden.
earthengine.googleapis.com und earthengine-highvolume.googleapis.com
gebündelt sind. Wenn Sie die earthengine.googleapis.com einschränken
Dienst in einem Perimeter schränkt der Perimeter den earthengine-highvolume.googleapis.com
standardmäßig aktiviert. Sie können earthengine-highvolume.googleapis.com nicht hinzufügen
Dienst zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit
earthengine.googleapis.com.
Mit dem Earth Engine-Codeeditor
eine webbasierte IDE für die Earth Engine JavaScript API, wird nicht unterstützt und
VPC Service Controls lässt die Verwendung des Earth Engine-Code-Editors mit Ressourcen und
Clients innerhalb eines Dienstperimeters.
Alt
Assets nicht durch VPC Service Controls geschützt werden.
Earth Engine-Apps
werden für Ressourcen und Clients innerhalb eines Dienstperimeters nicht unterstützt.
VPC Service Controls ist nur für Premium und Professional verfügbar.
Earth Engine-Preismodelle Weitere Informationen zu Preismodellen finden Sie unter
Earth Engine-Pläne.
Weitere Informationen zu Einschränkungen und Problemumgehungen finden Sie in der Earth Engine.
Zugriffssteuerung
Dokumentation.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
apphub.googleapis.com
Details
Mit App Hub können Sie Infrastrukturressourcen in
Anwendungen. Sie können VPC Service Controls-Perimeter verwenden, um den App Hub zu schützen
Ressourcen.
Sie müssen VPC Service Controls in den App Hub-Host- und Dienstprojekten einrichten
bevor Sie eine Anwendung erstellen und Dienste und Arbeitslasten bei der Anwendung registrieren.
App Hub unterstützt die folgenden Ressourcentypen:
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
cloudcode.googleapis.com
Details
Die Cloud Code API kann durch VPC Service Controls geschützt werden. So verwenden Sie Funktionen von Gemini
muss in Cloud Code eine Richtlinie für eingehenden Traffic konfiguriert werden, um Traffic von
IDE-Clients. Gemini ansehen
finden Sie in der Dokumentation.
Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion
und ist für umfassendere Tests und eine größere Verwendung bereit, wird jedoch für die Produktion nicht vollständig unterstützt.
Umgebungen.
Mit Perimeter schützen?
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname
commerceorggovernance.googleapis.com
Details
Der VPC Service Controls-Perimeter schützt die Commerce Org Governance API für den privaten Marktplatz von Google.
Weitere Informationen zur Commerce Org Governance API finden Sie in den
Produktdokumentation.
Einschränkungen
Ressourcen wie Beschaffungs- und Zugriffsanfragen, die von der Commerce Org Governance API auf Projektebene erstellt werden, sind auf Organisationsebene sichtbar und werden vom Organisationsadministrator geprüft, ohne VPC Service Controls-Richtlinien zu erzwingen.
Mit der eingeschränkten virtuellen IP (VIP) können VMs, die sich in einem Dienstperimeter befinden, Aufrufe an Google Cloud-Dienste senden, ohne die Anfragen im Internet verfügbar zu machen. Eine vollständige Liste der Dienste, die auf der eingeschränkten VIP verfügbar sind, finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.
Nicht unterstützte Dienste
Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.
Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert.
Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.
Weitere bekannte Einschränkungen
In diesem Abschnitt werden bekannte Einschränkungen für bestimmte Google Cloud-Dienste, -Produkte und -Schnittstelle beschrieben, die bei der Verwendung von VPC Service Controls auftreten können.
Informationen zu Einschränkungen für Produkte, die von VPC Service Controls unterstützt werden, finden Sie in der Tabelle der unterstützten Produkte.
Weitere Informationen zum Beheben von Problemen mit VPC Service Controls finden Sie auf der Seite Fehlerbehebung.
AutoML API
Wenn Sie die AutoML API mit VPC Service Controls verwenden, gelten die folgenden Einschränkungen:
Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation,
AutoML Tables
<ph type="x-smartling-placeholder"></ph>
und AutoML Video Intelligence
nutzen alle die AutoML API.
Wenn Sie einen Dienstperimeter zum Schutz von automl.googleapis.com verwenden, wirkt sich das auf den Zugriff auf alle AutoML-Produkte aus, die in VPC Service Controls eingebunden sind und innerhalb des Perimeters verwendet werden. Sie müssen den VPC Service Controls-Perimeter für alle eingebundenen AutoML-Produkte konfigurieren, die innerhalb des Perimeters verwendet werden.
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Compute Engine API (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
App Engine
App Engine (Standardumgebung und flexible Umgebung) wird von VPC Service Controls nicht unterstützt. Fügen Sie keine App Engine-Projekte in Dienstperimeter ein.
Es ist jedoch möglich, App Engine-Anwendungen, die in Projekten außerhalb von Dienstperimetern erstellt wurden, das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Ihre Anwendung auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das App Engine-Dienstkonto des Projekts enthält. App Engine kann daher nicht innerhalb von Dienstperimetern verwendet werden.
Bare-Metal-Lösung
VPC Service Controls wird von der Bare-Metal-Lösung nicht unterstützt. VPC verbinden
mit aktivierten Dienstkontrollen für Ihre Bare-Metal-Lösungsumgebung,
keine Gewährleistungen für die Dienstkontrolle wahren.
Die Bare-Metal-Lösungs-API kann einem sicheren Perimeter hinzugefügt werden. Die
VPC Service Controls-Perimeter werden nicht auf die Bare-Metal-Lösung erweitert
in den regionalen Erweiterungen.
Blockchain Node Engine
VPC Service Controls schützt nur die Blockchain Node Engine API.
Beim Erstellen eines Knotens müssen Sie immer noch angeben, dass er für einen Knoten gedacht ist.
vom Nutzer konfiguriertes
privates Netzwerk mit
Private Service Connect
Der Peer-to-Peer-Traffic wird von VPC Service Controls oder
Private Service Connect und verwendet weiterhin die öffentliche
Internet.
Clientbibliotheken
Die Java- und Python-Clientbibliotheken für alle unterstützten Dienste werden für den Zugriff über die eingeschränkte VIP vollständig unterstützt. Die Unterstützung für andere Sprachen befindet sich in der Alphaphase und sollte nur zu Testzwecken verwendet werden.
Clients müssen Clientbibliotheken verwenden, die am 1. November 2018 oder später aktualisiert wurden.
Von Clients verwendete Dienstkontoschlüssel oder OAuth2-Client-Metadaten müssen am 1. November 2018 oder später aktualisiert worden sein. Ältere Clients, die den Token-Endpunkt verwenden, müssen auf den Endpunkt umgestellt werden, der in neueren Schlüsselmaterial- oder Clientmetadaten angegeben ist.
Cloud Billing
Sie können Cloud Billing-Daten in einen Cloud Storage-Speicherort exportieren.
Bucket oder BigQuery-Instanz in einem Projekt, das durch ein
Dienstperimeter, ohne eine Zugriffsebene oder Regel für eingehenden Traffic zu konfigurieren.
Cloud Deployment Manager
Deployment Manager wird von VPC Service Controls nicht unterstützt.
Nutzer können möglicherweise Dienste aufrufen, die mit VPC Service Controls kompatibel sind. Sie sollten sich jedoch nicht darauf verlassen, da diese Kompatibilität nicht dauerhaft gewährleistet ist.
Als Behelfslösung können Sie das Deployment Manager-Dienstkonto (PROJECT_NUMBER@cloudservices.gserviceaccount.com) zu den Zugriffsebenen hinzufügen, um Aufrufe von APIs zuzulassen, die durch VPC Service Controls geschützt sind.
Cloud Shell
Cloud Service Controls unterstützt Cloud Shell nicht. VPC Service Controls behandelt Cloud Shell als außerhalb von Dienstperimetern und verweigert den Zugriff auf Daten, die durch VPC Service Controls geschützt werden. VPC Service Controls
den Zugriff auf Cloud Shell ermöglicht, wenn ein Gerät,
Zugriffsebene
Anforderungen des Dienstperimeters initiiert Cloud Shell.
Google Cloud Console
Da auf die Google Cloud Console nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Google Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie z. B. Logging mit dem Perimeter geschützt haben, können Sie nicht auf die Logging-Oberfläche in der Google Cloud Console zugreifen.
Wenn Sie den Zugriff von der Google Cloud Console auf durch einen Perimeter geschützte Ressourcen ermöglichen möchten, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Google Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.
Wenn Sie den Google Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Google Cloud Console.
Anfragen über die Google Cloud Console von einem Netzwerk, für das der private Google-Zugriff aktiviert ist, darunter Netzwerke, die implizit von Cloud NAT aktiviert wurden, werden möglicherweise blockiert. Das kann auch dann passieren, wenn sich das anfragende Quellnetzwerk und die Zielressource im selben Perimeter befinden. Das liegt daran, dass der Zugriff auf die Google Cloud Console über den privaten Google-Zugriff von VPC Service Controls nicht unterstützt wird.
Zugriff auf private Dienste
Unterstützung für den Zugriff auf private Dienste
die Bereitstellung einer Dienstinstanz
Freigegebenes VPC-Netzwerk.
Wenn Sie diese Konfiguration mit VPC Service Controls verwenden, muss der
Hostprojekt, das das Netzwerk und das Dienstprojekt bereitstellt,
enthält die Dienstinstanz innerhalb derselben VPC Service Controls.
des Perimeters. Andernfalls werden Anfragen möglicherweise blockiert und Dienstinstanzen
nicht richtig funktioniert.
Weitere Informationen zu Diensten, die den Zugriff auf private Dienste unterstützen,
Siehe Unterstützte Dienste.
GKE Multi-Cloud
VPC Service Controls gilt nur für Ressourcen innerhalb Ihrer Google Cloud
Projekt arbeiten. Die Drittanbieter-Cloud-Umgebung, in der Ihr
GKE-Multi-Cloud-Cluster unterstützen keinen Dienst
Kontrollgarantien.
Google Distributed Cloud
VPC Service Controls gilt nur für Bare-Metal-Maschinen, die mit der VPC verbunden sind
Netzwerkprojekte, die eine eingeschränkte VIP verwenden.