Prodotti supportati e limitazioni

Per saperne di più su Infrastructure Manager, consulta la documentazione del prodotto.

L'API per Google Cloud NetApp Volumes può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Google Cloud NetApp Volumes, consulta la documentazione del prodotto.

Google Cloud Search supporta i Controlli di sicurezza Virtual Private Cloud (Controlli di servizio VPC) per migliorare la sicurezza dei tuoi dati. Controlli di servizio VPC consente di definire un perimetro di sicurezza intorno alle risorse della piattaforma Google Cloud per limitare i dati e contribuire a mitigare i rischi di esfiltrazione di dati.

Per ulteriori informazioni su Google Cloud Search, consulta la documentazione del prodotto.

L'API per Connectivity Tests può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Connectivity Tests, consulta la documentazione del prodotto.

L'integrazione di Connectivity Tests con i Controlli di servizio VPC non ha limitazioni note.

Controlli di servizio VPC supporta la previsione online, ma non la previsione batch.

Per ulteriori informazioni su AI Platform Prediction, consulta la documentazione del prodotto.

L'API per AI Platform Training può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per maggiori informazioni su AI Platform Training, consulta la documentazione del prodotto.

I perimetri dei Controlli di servizio VPC proteggono l'API AlloyDB.

Per maggiori informazioni su AlloyDB per PostgreSQL, consulta la documentazione del prodotto.

• Prima di configurare Controlli di servizio VPC per AlloyDB per PostgreSQL, abilita l'API Service Networking.
• Quando utilizzi AlloyDB per PostgreSQL con VPC condiviso e Controlli di servizio VPC, il progetto host e il progetto di servizio devono trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC.

L'API per Vertex AI Workbench può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Vertex AI Workbench, consulta la documentazione del prodotto.

L'API per Vertex AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Vedi Colab Enterprise.

Per saperne di più su Vertex AI, consulta la documentazione del prodotto.

L'API per Vertex AI Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Vision, consulta la documentazione del prodotto.

L'API per Colab Enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Colab Enterprise fa parte di Vertex AI. Vedi Vertex AI.

Colab Enterprise utilizza Dataform per l'archiviazione dei blocchi note. Consulta Dataform.

Per ulteriori informazioni su Colab Enterprise, consulta la documentazione del prodotto.

L'API per Apigee e Apigee hybrid può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Apigee e Apigee hybrid, consulta la documentazione del prodotto.

Per saperne di più su Analytics Hub, consulta la documentazione del prodotto.

L'API per Anthos Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Puoi utilizzare mesh.googleapis.com per abilitare le API richieste per Anthos Service Mesh. Non è necessario limitare mesh.googleapis.com nel perimetro perché non espone alcuna API.

• Scopri di più sulla configurazione di cluster privati durante l'installazione di più cluster in Anthos Service Mesh.
• Scopri di più sull'aggiunta di servizi Anthos Service Mesh ai perimetri di servizio.

Per ulteriori informazioni su Anthos Service Mesh, consulta la documentazione del prodotto.

I perimetri di servizio non sono attualmente supportati con il piano di controllo gestito da Anthos Service Mesh.

Oltre a proteggere l'API Artifact Registry, Artifact Registry può essere utilizzato all'interno dei perimetri di servizio con GKE e Compute Engine.

Per saperne di più su Artifact Registry, consulta la documentazione del prodotto.

L'API per Assured Workloads può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Assured Workloads, consulta la documentazione del prodotto.

L'integrazione di Assured Workloads con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per ulteriori informazioni su AutoML Natural Language, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Tables, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Translation, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Video Intelligence, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Vision, consulta la documentazione del prodotto.

L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, i perimetri dei Controlli di servizio VPC non si estendono all'ambiente Bare Metal Solution nelle estensioni di regione.

Per ulteriori informazioni su Bare Metal Solution, consulta la documentazione del prodotto.

Bare Metal Solution non supporta i Controlli di servizio VPC. La connessione di un VPC con i controlli di servizio abilitati al tuo ambiente Bare Metal Solution non garantisce alcuna garanzia di controllo dei servizi.

Per maggiori informazioni sulla limitazione di Bare Metal Solution relativa ai Controlli di servizio VPC, consulta Problemi e limitazioni noti.

L'API per Batch può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Batch, consulta la documentazione del prodotto.

L'API per BigLake Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su BigLake Metastore, consulta la documentazione del prodotto.

L'integrazione di BigLake Metastore con i Controlli di servizio VPC non ha limitazioni note.

Quando proteggi l'API BigQuery utilizzando un perimetro di servizio, vengono protette anche l'API BigQuery Storage, l'API BigQuery Reservation e l'API BigQuery Connection. Non è necessario aggiungere separatamente queste API all'elenco dei servizi protetti del perimetro.

Per saperne di più su BigQuery, consulta la documentazione del prodotto.

L'API BigQuery Data Policy può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API BigQuery Data Policy, consulta la documentazione del prodotto.

L'integrazione dell'API BigQuery Data Policy con i Controlli di servizio VPC non ha limitazioni note.

Il perimetro di servizio protegge solo l'API BigQuery Data Transfer Service. La protezione effettiva dei dati viene applicata da BigQuery. È progettato per consentire l'importazione di dati da varie origini esterne a Google Cloud, come Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, in set di dati BigQuery. Per informazioni sui requisiti di Controlli di servizio VPC per eseguire la migrazione dei dati da Teradata, consulta Requisiti dei Controlli di servizio VPC.

Per saperne di più su BigQuery Data Transfer Service, consulta la documentazione del prodotto.

L'API BigQuery Migration può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API BigQuery Migration, consulta la documentazione del prodotto.

L'integrazione dell'API BigQuery Migration con i Controlli di servizio VPC non ha limitazioni note.

I servizi bigtable.googleapis.com e bigtableadmin.googleapis.com sono in bundle. Quando limiti il servizio bigtable.googleapis.com in un perimetro, quest'ultimo limita il servizio bigtableadmin.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio bigtableadmin.googleapis.com all'elenco dei servizi limitati in un perimetro perché è in bundle con bigtable.googleapis.com.

Per saperne di più su Bigtable, consulta la documentazione del prodotto.

L'integrazione di Bigtable con i Controlli di servizio VPC non ha limitazioni note.

Se utilizzi più progetti con Autorizzazione binaria, ogni progetto deve essere incluso nel perimetro dei Controlli di servizio VPC. Per maggiori informazioni su questo caso d'uso, consulta Configurazione di più progetti.

Con Autorizzazione binaria, puoi utilizzare Artifact Analysis per archiviare gli attestatori e le attestazioni rispettivamente come note e occorrenze. In questo caso, devi includere anche Artifact Analysis nel perimetro dei Controlli di servizio VPC. Per ulteriori dettagli, consulta le linee guida sui Controlli di servizio VPC per Artifact Analysis.

Per maggiori informazioni su Autorizzazione binaria, consulta la documentazione del prodotto.

L'integrazione di Autorizzazione binaria con i Controlli di servizio VPC non ha limitazioni note.

L'API per Blockchain Node Engine può essere protetta dai Controlli di servizio VPC e utilizzata normalmente all'interno dei perimetri di servizio.

Per saperne di più su Blockchain Node Engine, consulta la documentazione del prodotto.

L'API per Certificate Authority Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Certificate Authority Service, consulta la documentazione del prodotto.

Per utilizzare Config Controller con i Controlli di servizio VPC, devi abilitare le seguenti API all'interno del perimetro:

• API Cloud Monitoring (monitoring.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

Se esegui il provisioning delle risorse con Config Controller, devi abilitare l'API per queste risorse nel tuo perimetro di servizio. Ad esempio, se vuoi aggiungere un account di servizio IAM, devi aggiungere l'API IAM (iam.googleapis.com).

Per saperne di più su Config Controller, consulta la documentazione del prodotto.

L'integrazione di Config Controller con i Controlli di servizio VPC non ha limitazioni note.

Per ulteriori informazioni su Data Catalog, consulta la documentazione del prodotto.

L'integrazione di Data Catalog con i Controlli di servizio VPC non ha limitazioni note.

Cloud Data Fusion richiede alcuni passaggi speciali per proteggere mediante i Controlli di servizio VPC.

Per saperne di più su Cloud Data Fusion, consulta la documentazione del prodotto.

L'API per l'API Data Lineage può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Data Lineage, consulta la documentazione del prodotto.

L'integrazione dell'API Data Lineage con i Controlli di servizio VPC non ha limitazioni note.

Il supporto dei Controlli di servizio VPC per Compute Engine offre i seguenti vantaggi in termini di sicurezza:

• Limita l'accesso alle operazioni API sensibili
• Limita gli snapshot di disco permanente e le immagini personalizzate a un perimetro
• Limita l'accesso ai metadati dell'istanza

Il supporto dei Controlli di servizio VPC per Compute Engine consente inoltre di utilizzare le reti Virtual Private Cloud e i cluster privati Google Kubernetes Engine all'interno dei perimetri di servizio.

Per saperne di più su Compute Engine, consulta la documentazione del prodotto.

Per utilizzare Contact Center AI Insights con i Controlli di servizio VPC, devi disporre delle seguenti API aggiuntive all'interno del perimetro, a seconda dell'integrazione.

• Per caricare i dati in Contact Center AI Insights, aggiungi l'API Cloud Storage al perimetro di servizio.

• Per utilizzare l'esportazione, aggiungi l'API BigQuery al perimetro di servizio.

• Per integrare più prodotti CCAI, aggiungi l'API Vertex AI al perimetro di servizio.

Per ulteriori informazioni sugli insight di Contact Center AI, consulta la documentazione del prodotto.

L'integrazione di Contact Center AI Insights con i Controlli di servizio VPC non ha limitazioni note.

Dataflow supporta numerosi connettori di servizi di archiviazione. I seguenti connettori sono stati verificati in modo da funzionare con Dataflow all'interno di un perimetro di servizio:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Per ulteriori informazioni su Dataflow, consulta la documentazione del prodotto.

• BIND personalizzato non è supportato quando si utilizza Dataflow. Per personalizzare la risoluzione DNS quando utilizzi Dataflow con i Controlli di servizio VPC, usa le zone private di Cloud DNS anziché i server BIND personalizzati. Per utilizzare la tua risoluzione DNS on-premise, valuta l'utilizzo di un metodo di inoltro DNS di Google Cloud.

• La scalabilità automatica verticale non può essere protetta da un perimetro dei Controlli di servizio VPC. Per utilizzare la scalabilità automatica verticale in un perimetro dei Controlli di servizio VPC, devi disattivare la funzionalità dei servizi accessibili da VPC.

• Se abiliti Dataflow Prime e avvii un nuovo job all'interno di un perimetro dei Controlli di servizio VPC, il job utilizza Dataflow Prime senza scalabilità automatica verticale.

• Non tutti i connettori di servizi di archiviazione sono stati verificati per funzionare se utilizzati con Dataflow all'interno di un perimetro di servizio. Per un elenco dei connettori verificati, consulta "Dettagli" nella sezione precedente.

• Quando utilizzi Python 3.5 con l'SDK Apache Beam 2.20.0‐2.22.0, i job Dataflow non riusciranno all'avvio se i worker hanno solo indirizzi IP privati, ad esempio quando utilizzano i Controlli di servizio VPC per proteggere le risorse. Se i worker Dataflow possono avere solo indirizzi IP privati, ad esempio quando utilizzano i Controlli di servizio VPC per proteggere le risorse, non utilizzare Python 3.5 con l'SDK Apache Beam 2.20.0‐2.22.0. Questa combinazione causa errori dei job all'avvio.

L'API per Dataplex può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dataplex, consulta la documentazione del prodotto.

Dataproc richiede passaggi speciali per la protezione mediante i Controlli di servizio VPC.

Per ulteriori informazioni su Dataproc, consulta la documentazione del prodotto.

Per proteggere un cluster Dataproc con un perimetro di servizio, segui le istruzioni per le reti di Dataproc e Controlli di servizio VPC.

Dataproc Serverless richiede passaggi speciali per la protezione mediante i Controlli di servizio VPC.

Per ulteriori informazioni su Dataproc Serverless per Spark, consulta la documentazione del prodotto.

Per proteggere il tuo carico di lavoro serverless con un perimetro di servizio, segui le istruzioni per le reti serverless e VPC dei controlli di servizio VPC di Dataproc.

L'API per Dataproc Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Dataproc Metastore, consulta la documentazione del prodotto.

L'integrazione di Dataproc Metastore con i Controlli di servizio VPC non ha limitazioni note.

L'API per Datastream può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Datastream, consulta la documentazione del prodotto.

L'integrazione di Datastream con i Controlli di servizio VPC non ha limitazioni note.

L'API per Database Migration Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Database Migration Service, consulta la documentazione del prodotto.

L'API per Dialogflow può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dialogflow, consulta la documentazione del prodotto.

L'API per la protezione dei dati sensibili può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Sensitive Data Protection, consulta la documentazione del prodotto.

L'API per Cloud DNS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud DNS, consulta la documentazione del prodotto.

• Puoi accedere a Cloud DNS tramite il VIP con restrizioni. Tuttavia, non puoi creare o aggiornare zone DNS pubbliche all'interno dei progetti all'interno del perimetro dei Controlli di servizio VPC.

L'API per Document AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Document AI, consulta la documentazione del prodotto.

L'integrazione di Document AI con i Controlli di servizio VPC non ha limitazioni note.

L'API per Document AI Warehouse può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Document AI Warehouse, consulta la documentazione del prodotto.

L'integrazione di Document AI Warehouse con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Domains può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Domains, consulta la documentazione del prodotto.

• I dati di contatto utilizzati in Cloud Domains potrebbero essere condivisi con il registro dei suffissi di dominio o di dominio di primo livello (TLD) e potrebbero essere accessibili pubblicamente per WHOIS/RDAP in base alle impostazioni configurate, in conformità con le regole di ICANN. Per maggiori dettagli, consulta Protezione della privacy.

• I dati di configurazione DNS utilizzati in Cloud Domains (server dei nomi e impostazioni DNSSEC) sono pubblici. Se il tuo dominio delega a una zona DNS pubblica (impostazione predefinita), anche i dati di configurazione DNS di quella zona saranno pubblici.

Eventarc gestisce la distribuzione degli eventi utilizzando argomenti Pub/Sub ed esegue il push delle sottoscrizioni. Per accedere all'API Pub/Sub e gestire i trigger di eventi, l'API Eventarc deve essere protetta all'interno dello stesso perimetro di servizio dei Controlli di servizio VPC dell'API Pub/Sub.

Per ulteriori informazioni su Eventarc, consulta la documentazione del prodotto.

Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:

• Eventarc è vincolato dalle stesse limitazioni di Pub/Sub:
  • Durante il routing degli eventi a destinazioni Cloud Run, non è possibile creare nuove sottoscrizioni push di Pub/Sub a meno che gli endpoint push non siano impostati su servizi Cloud Run con URL run.app predefiniti (i domini personalizzati non funzionano).
  • Quando esegui il routing degli eventi alle destinazioni di Workflows per cui l'endpoint push di Pub/Sub è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push di Pub/Sub solo tramite Eventarc.
  In questo documento, vedi le limitazioni di Pub/Sub.
• Controlli di servizio VPC blocca la creazione di trigger Eventarc per endpoint HTTP interni. La protezione dei Controlli di servizio VPC non si applica durante il routing degli eventi a queste destinazioni.

L'API Anti Money Laundering AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Anti Money Laundering AI, consulta la documentazione del prodotto.

L'integrazione dell'AI Anti Money Laundering con i Controlli di servizio VPC non ha limitazioni note.

Quando configuri e scambi i token Firebase App Check, i Controlli di servizio VPC proteggono solo il servizio Firebase App Check. Per proteggere i servizi che si basano su Firebase App Check, devi configurare i perimetri di servizio per questi servizi.

Per ulteriori informazioni su Firebase App Check, consulta la documentazione del prodotto.

L'integrazione di Firebase App Check con i Controlli di servizio VPC non ha limitazioni note.

Quando gestisci i criteri delle regole di sicurezza di Firebase, Controlli di servizio VPC protegge solo il servizio delle regole di sicurezza Firebase. Per proteggere i servizi che si basano sulle regole di sicurezza Firebase, devi configurare i permessi del servizio per tali servizi.

Per ulteriori informazioni sulle regole di sicurezza Firebase, consulta la documentazione del prodotto.

L'integrazione delle regole di sicurezza Firebase con i Controlli di servizio VPC non presenta limitazioni note.

Per la procedura di configurazione, consulta la documentazione di Cloud Functions. La protezione dei Controlli di servizio VPC non si applica alla fase di creazione quando le funzioni Cloud Functions vengono create con Cloud Build. Per maggiori dettagli, vedi le limitazioni note.

Per saperne di più su Cloud Functions, consulta la documentazione del prodotto.

Quando limiti IAM con un perimetro, vengono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono la gestione dei ruoli IAM personalizzati, la gestione dei pool di identità per i carichi di lavoro e la gestione di account di servizio e chiavi. Il perimetro non limita le azioni dei pool di forza lavoro perché sono risorse a livello di organizzazione.

Il perimetro intorno a IAM non limita la gestione degli accessi (ovvero, il recupero o l'impostazione di criteri IAM) per le risorse di proprietà di altri servizi, ad esempio progetti, cartelle e organizzazioni di Resource Manager o istanze di macchine virtuali di Compute Engine. Per limitare la gestione degli accessi per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano i criteri IAM e i servizi che li possiedono, consulta Tipi di risorse che accettano i criteri IAM.

Inoltre, il perimetro intorno a IAM non limita le azioni che utilizzano altre API, tra cui:

• API IAM Policy Simulator
• API IAM Policy Troubleshooter
• API Security Token Service
• API Service Account Credentials (inclusi i metodi legacy signBlob e signJwt nell'API IAM)

Per saperne di più su Identity and Access Management, consulta la documentazione del prodotto.

Se ti trovi all'interno del perimetro, non puoi chiamare il metodo roles.list con una stringa vuota per elencare i ruoli predefiniti IAM. Se hai bisogno di visualizzare i ruoli predefiniti, consulta la documentazione relativa ai ruoli IAM.

L'API IAP Admin consente agli utenti di configurare IAP.

Per maggiori informazioni sull'API IAP Admin , consulta la documentazione del prodotto.

L'integrazione dell'API IAP Admin con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Cloud KMS Inventory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud KMS Inventory, consulta la documentazione del prodotto.

Il metodo dell'API SearchProtectedResources non applica le limitazioni del perimetro di servizio ai progetti restituiti.

L'API per le credenziali dell'account di servizio può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulle credenziali dell'account di servizio, consulta la documentazione del prodotto.

L'integrazione delle credenziali dell'account di servizio con i Controlli di servizio VPC non ha limitazioni note.

L'API Service Metadata può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Service Metadata, consulta la documentazione del prodotto.

L'integrazione dell'API Service Metadata con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'accesso VPC serverless può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'accesso VPC serverless, consulta la documentazione del prodotto.

L'integrazione dell'accesso VPC serverless con i Controlli di servizio VPC non ha limitazioni note.

L'API Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato all'interno dei perimetri di servizio. L'accesso ai servizi Cloud HSM è inoltre protetto dai Controlli di servizio VPC e può essere utilizzato all'interno dei perimetri di servizio.

Per saperne di più su Cloud Key Management Service, consulta la documentazione del prodotto.

L'integrazione di Cloud Key Management Service con Controlli di servizio VPC non ha limitazioni note.

L'API per Game Servers può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sui Game Servers, consulta la documentazione del prodotto.

L'integrazione di Game Servers con i Controlli di servizio VPC non ha limitazioni note.

L'API per Gemini for Code può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Gemini for Code, consulta la documentazione del prodotto.

Il controllo dell'accesso in base al dispositivo, all'indirizzo IP pubblico o alla località non è supportato per Gemini nella console Google Cloud.

L'API per Identity-Aware Proxy per TCP può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Identity-Aware Proxy per TCP, consulta la documentazione del prodotto.

L'API per Cloud Life Sciences può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Life Sciences, consulta la documentazione del prodotto.

L'integrazione di Cloud Life Sciences con i Controlli di servizio VPC non ha limitazioni note.

Configurazione aggiuntiva richiesta per:

• Accesso on-premise all'API Managed Microsoft AD
• VPC condiviso

Per ulteriori informazioni su Managed Service for Microsoft Active Directory, consulta la documentazione del prodotto.

L'integrazione di Managed Service for Microsoft Active Directory con i Controlli di servizio VPC non ha limitazioni note.

L'API per reCAPTCHA Enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su reCAPTCHA Enterprise, consulta la documentazione del prodotto.

L'integrazione di reCAPTCHA Enterprise con i Controlli di servizio VPC non ha limitazioni note.

L'API per Web Risk può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Web Risk, consulta la documentazione del prodotto.

L'API Assess e l'API Submission non sono supportate dai Controlli di servizio VPC.

L'API per motore per suggerimenti può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sul motore per suggerimenti, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta le risorse dell'organizzazione, della cartella o dell'account di fatturazione.

L'API per Secret Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Secret Manager, consulta la documentazione del prodotto.

L'integrazione di Secret Manager con i Controlli di servizio VPC non ha limitazioni note.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni degli amministratori, dei publisher e degli abbonati, ad eccezione degli abbonamenti push esistenti.

Per saperne di più su Pub/Sub, consulta la documentazione del prodotto.

Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:

• Non è possibile creare nuove sottoscrizioni push a meno che gli endpoint push non siano impostati sui servizi Cloud Run con URL run.app predefiniti o su un'esecuzione di Workflows (i domini personalizzati non funzionano). Per saperne di più sull'integrazione con Cloud Run, consulta Utilizzo dei Controlli di servizio VPC.
• Per le sottoscrizioni non push, devi creare una sottoscrizione nello stesso perimetro dell'argomento o abilitare le regole in uscita per consentire l'accesso dall'argomento alla sottoscrizione.
• Quando esegui il routing degli eventi tramite Eventarc alle destinazioni di Workflows per cui l'endpoint push è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push solo tramite Eventarc.
• Le sottoscrizioni Pub/Sub create prima del perimetro di servizio non sono bloccate.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni degli abbonati.

Per ulteriori informazioni su Pub/Sub Lite, consulta la documentazione del prodotto.

L'integrazione di Pub/Sub Lite con i Controlli di servizio VPC non ha limitazioni note.

Utilizza i Controlli di servizio VPC con pool privati di Cloud Build per aumentare la sicurezza delle tue build.

Per ulteriori informazioni su Cloud Build, consulta la documentazione del prodotto.

• La protezione dei Controlli di servizio VPC è disponibile solo per le build eseguite in pool privati.

• I trigger di Cloud Build Pub/Sub non sono supportati.

L'API per Cloud Deploy può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Deploy, consulta la documentazione del prodotto.

Per utilizzare Cloud Deploy in un perimetro, devi utilizzare un pool privato di Cloud Build per gli ambienti di esecuzione della destinazione. Non utilizzare il pool di worker predefinito (Cloud Build) e un pool ibrido.

Configurazione di Composer per l'utilizzo con i Controlli di servizio VPC

Per saperne di più su Cloud Composer, consulta la documentazione del prodotto.

• L'abilitazione della serializzazione DAG impedisce a Airflow di visualizzare un modello sottoposto a rendering con funzioni nell'interfaccia utente web.

• L'impostazione del flag async_dagbag_loader su True non è supportata quando la serializzazione DAG è abilitata.

• L'abilitazione della serializzazione DAG disattiva tutti i plug-in dei server web Airflow, in quanto potrebbero mettere a rischio la sicurezza della rete VPC su cui viene eseguito il deployment di Cloud Composer. Ciò non influisce sul comportamento dei plug-in scheduler o worker, inclusi gli operatori e i sensori Airflow.

• Quando Cloud Composer è in esecuzione all'interno di un perimetro, l'accesso ai repository PyPI pubblici è limitato. Nella documentazione di Cloud Composer, consulta la pagina relativa all'installazione delle dipendenze Python per scoprire come installare i moduli PyPi in modalità IP privato.

L'API per le quote Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sulle quote Cloud, consulta la documentazione del prodotto.

Poiché Controlli di servizio VPC applica i limiti a livello di progetto, le richieste di Cloud Quotas che hanno origine dai client all'interno del perimetro possono accedere alle risorse dell'organizzazione solo se l'organizzazione imposta una regola di traffico in uscita. Per configurare una regola in uscita, consulta le istruzioni relative ai Controlli di servizio VPC per configurare i criteri per il traffico in entrata e in uscita.

Per saperne di più su Cloud Run, consulta la documentazione del prodotto.

• Creazione job Cloud Scheduler
• Aggiornamenti dei job Cloud Scheduler

Per saperne di più su Cloud Scheduler, consulta la documentazione del prodotto.

L'API per Spanner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Spanner, consulta la documentazione del prodotto.

L'integrazione di Spanner con i Controlli di servizio VPC non ha limitazioni note.

L'API per Speaker ID può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Speaker ID, consulta la documentazione del prodotto.

L'integrazione di Speaker ID con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Storage può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Storage, consulta la documentazione del prodotto.

L'API per Cloud Tasks può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Le richieste HTTP dalle esecuzioni di Cloud Tasks sono supportate come segue:

• Sono consentite le richieste autenticate agli endpoint Cloud Functions e Cloud Run conformi ai Controlli di servizio VPC.
• Le richieste a endpoint non Cloud Functions ed endpoint non Cloud Run vengono bloccate.
• Le richieste agli endpoint Cloud Functions ed Cloud Run non conformi ai Controlli di servizio VPC vengono bloccate.

Per saperne di più su Cloud Tasks, consulta la documentazione del prodotto.

I perimetri dei Controlli di servizio VPC proteggono l'API Cloud SQL Admin.

Per saperne di più su Cloud SQL, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Cloud SQL Admin. Non proteggono l'accesso ai dati basato su IP alle istanze Cloud SQL. Devi utilizzare un vincolo dei criteri dell'organizzazione per limitare l'accesso IP pubblico sulle istanze Cloud SQL.
• Prima di configurare Controlli di servizio VPC per Cloud SQL, abilita l'API Service Networking.

• Le importazioni e le esportazioni di Cloud SQL possono eseguire letture e scritture solo da un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza di replica Cloud SQL.

• Nel flusso di migrazione del server esterno, devi aggiungere il bucket Cloud Storage allo stesso perimetro di servizio.
• Nel flusso di creazione della chiave per CMEK, devi creare la chiave nello stesso perimetro di servizio delle risorse che la utilizzano.
• Quando ripristini un'istanza da un backup, l'istanza di destinazione deve trovarsi nello stesso perimetro di servizio del backup.

L'API per l'API Video Intelligence può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Video Intelligence, consulta la documentazione del prodotto.

L'integrazione dell'API Video Intelligence con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Cloud Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Vision, consulta la documentazione del prodotto.

Per utilizzare Artifact Analysis con i Controlli di servizio VPC, potresti dover aggiungere altri servizi al tuo perimetro VPC:

• Se utilizzi le notifiche Pub/Sub con Artifact Analysis, aggiungi Pub/Sub al perimetro di servizio.
• Se utilizzi l'API Container Scanning, aggiungi il registro al perimetro: Artifact Registry o Container Registry.

Poiché l'API Container Scanning è un'API senza superficie che archivia i risultati in Artifact Analysis, non è necessario proteggere l'API con un perimetro di servizio.

Per saperne di più su Artifact Analysis, consulta la documentazione del prodotto.

L'integrazione di Artifact Analysis con i Controlli di servizio VPC non ha limitazioni note.

Oltre a proteggere l'API Container Registry, Container Registry può essere utilizzato all'interno di un perimetro di servizio con GKE e Compute Engine.

Per saperne di più su Container Registry, consulta la documentazione del prodotto.

• Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Container Registry.

  Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.

• Poiché Container Registry utilizza il dominio gcr.io, devi configurare il DNS per fare in modo che *.gcr.io venga mappato a private.googleapis.com o restricted.googleapis.com. Per maggiori informazioni, consulta Protezione di Container Registry in un perimetro di servizio.

• Oltre ai container all'interno di un perimetro disponibili per Container Registry, i seguenti repository di sola lettura sono disponibili per tutti i progetti indipendentemente dalle restrizioni imposte dai perimetri di servizio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  In tutti i casi, sono disponibili anche le versioni multiregionali di questi repository.

L'API per Google Kubernetes Engine può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Google Kubernetes Engine, consulta la documentazione del prodotto.

• Solo i cluster privati possono essere protetti utilizzando i Controlli di servizio VPC. I cluster con indirizzi IP pubblici non sono supportati dai Controlli di servizio VPC.

• La scalabilità automatica funziona indipendentemente da GKE. Poiché Controlli di servizio VPC non supporta autoscaling.googleapis.com, la scalabilità automatica non funziona. Quando utilizzi GKE, puoi ignorare la violazione SERVICE_NOT_ALLOWED_FROM_VPC negli audit log causata dal servizio autoscaling.googleapis.com.

L'API per l'API Container Security può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Container Security, consulta la documentazione del prodotto.

L'integrazione dell'API Container Security con i Controlli di servizio VPC non ha limitazioni note.

I flussi di immagini sono una funzionalità di gestione dei flussi di dati di GKE che fornisce tempi di pull delle immagini container più brevi per le immagini archiviate in Artifact Registry. Se i Controlli di servizio VPC proteggono le immagini container e utilizzi il flusso di immagini, devi includere anche l'API per i flussi di immagini nel perimetro di servizio.

Per ulteriori informazioni sul flusso di immagini, consulta la documentazione del prodotto.

• I seguenti repository di sola lettura sono disponibili per tutti i progetti indipendentemente dalle restrizioni applicate dai perimetri di servizio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Le API di gestione del parco risorse, incluso il gateway di connessione, possono essere protette con i Controlli di servizio VPC e le funzionalità di gestione del parco risorse possono essere utilizzate normalmente all'interno dei perimetri di servizio. Per ulteriori informazioni, consulta le seguenti risorse:

• Utilizzare i Controlli di servizio VPC con l'agente Connect
• Utilizzare i Controlli di servizio VPC con il gateway Connect

Per ulteriori informazioni sui parchi risorse, consulta la documentazione del prodotto.

• Sebbene tutte le funzionalità di gestione del parco risorse possano essere utilizzate normalmente, l'abilitazione di un perimetro di servizio intorno all'API Stackdriver limita l'integrazione della funzionalità del parco risorse Policy Controller con Security Command Center.

I seguenti metodi dell'API Cloud Resource Manager possono essere protetti dai Controlli di servizio VPC:

• v1 project.setIAMPolicy
• Versione 1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Per ulteriori informazioni su Resource Manager, consulta la documentazione del prodotto.

• Solo le chiavi tag associate direttamente a una risorsa di progetto e i valori tag corrispondenti possono essere protette tramite i Controlli di servizio VPC. Quando un progetto viene aggiunto a un perimetro dei Controlli di servizio VPC, tutte le chiavi tag e i valori tag corrispondenti nel progetto sono considerati risorse all'interno del perimetro.
• Le chiavi tag associate a una risorsa dell'organizzazione e i relativi valori tag corrispondenti non possono essere incluse in un perimetro dei Controlli di servizio VPC e non possono essere protette tramite i Controlli di servizio VPC.
• I client all'interno di un perimetro dei Controlli di servizio VPC non possono accedere alle chiavi tag e ai valori corrispondenti associati a una risorsa dell'organizzazione, a meno che sul perimetro non sia impostata una regola in uscita che consente l'accesso. Per saperne di più sull'impostazione delle regole in uscita, consulta la pagina Regole in entrata e in uscita.
• Le associazioni di tag sono considerate risorse all'interno dello stesso perimetro della risorsa a cui è associato il valore del tag. Ad esempio, le associazioni di tag su un'istanza Compute Engine in un progetto vengono considerate appartenenti a quel progetto indipendentemente da dove è definita la chiave tag.
• Alcuni servizi, come Compute Engine, consentono la creazione di associazioni di tag utilizzando le proprie API di servizio, oltre alle API di servizio Resource Manager. Ad esempio, l'aggiunta di tag a una VM di Compute Engine durante la creazione delle risorse. Per proteggere le associazioni di tag create o eliminate utilizzando queste API di servizio, aggiungi il servizio corrispondente, ad esempio compute.googleapis.com, all'elenco dei servizi limitati nel perimetro.
• I tag supportano restrizioni a livello di metodo, quindi puoi limitare l'ambito di method_selectors a metodi API specifici. Per un elenco dei metodi limitati, consulta Limitazioni dei metodi di servizio supportati.
• La concessione del ruolo di proprietario in un progetto tramite la console Google Cloud è ora supportata dai Controlli di servizio VPC. Non puoi inviare un invito come proprietario o accettare un invito al di fuori dei perimetri di servizio. Se tenti di accettare un invito dall'esterno del perimetro, non ti verrà concesso il ruolo di proprietario e non verranno visualizzati errori o messaggi di avviso.

L'API per Cloud Logging può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Logging, consulta la documentazione del prodotto.

L'API per Gestore certificati può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Certificate Manager, consulta la documentazione del prodotto.

L'integrazione di Gestore certificati con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Monitoring può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Monitoring, consulta la documentazione del prodotto.

L'API per Cloud Profiler può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Profiler, consulta la documentazione del prodotto.

L'integrazione di Cloud Profiler con i Controlli di servizio VPC non ha limitazioni note.

L'API per Timeeries Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Timeseries Insights, consulta la documentazione del prodotto.

L'integrazione dell'API Timeeries Insights con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Trace può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Trace, consulta la documentazione del prodotto.

L'integrazione di Cloud Trace con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud TPU può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud TPU, consulta la documentazione del prodotto.

L'integrazione di Cloud TPU con Controlli di servizio VPC non ha limitazioni note.

Per ulteriori informazioni sull'API Natural Language, consulta la documentazione del prodotto.

Poiché l'API Natural Language è un'API stateless e non viene eseguita sui progetti, l'utilizzo dei Controlli di servizio VPC per proteggere l'API Natural Language non ha alcun effetto.

L'API per Network Connectivity Center può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Network Connectivity Center, consulta la documentazione del prodotto.

L'integrazione di Network Connectivity Center con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Cloud Asset può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Asset, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Cloud Asset a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare un criterio in uscita per impedire l'accesso alle risorse dell'API Cloud Asset a livello di progetto dai progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta di risorse API Cloud Asset a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse dell'API Cloud Asset a livello di cartella o organizzazione. Per gestire le autorizzazioni di Cloud Asset Inventory a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
• Non puoi esportare asset a livello di cartella o organizzazione nelle destinazioni all'interno di un perimetro di servizio.
• Non puoi creare feed in tempo reale per asset a livello di cartella o organizzazione con un argomento Pub/Sub all'interno di un perimetro di servizio.

L'API per Speech-to-Text può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Speech-to-Text, consulta la documentazione del prodotto.

L'integrazione Speech-to-Text con i Controlli di servizio VPC non ha limitazioni note.

L'API per Text-to-Speech può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Text-to-Speech, consulta la documentazione del prodotto.

L'integrazione di Text-to-Speech con Controlli di servizio VPC non ha limitazioni note.

L'API per la traduzione può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Translation, consulta la documentazione del prodotto.

Cloud Translation - Advanced (v3) supporta i Controlli di servizio VPC, ma non Cloud Translation - Basic (v2). Per applicare i Controlli di servizio VPC, devi utilizzare Cloud Translation - Advanced (v3). Per saperne di più sulle diverse versioni, consulta la pagina Confronto tra base e avanzata.

Utilizza i Controlli di servizio VPC con l'API Live Stream per proteggere la tua pipeline.

Per ulteriori informazioni sull'API Live Stream, consulta la documentazione del prodotto.

Per proteggere gli endpoint di input con un perimetro di servizio, devi seguire le istruzioni per configurare un pool privato e inviare stream video di input su una connessione privata.

L'API per l'API Transcoder può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Transcoder, consulta la documentazione del prodotto.

L'integrazione dell'API Transcoder con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Video Stitcher può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Video Stitcher, consulta la documentazione del prodotto.

L'integrazione dell'API Video Stitcher con i Controlli di servizio VPC non ha limitazioni note.

L'API per Access Approval può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Access Approval, consulta la documentazione del prodotto.

L'integrazione di Access Approval con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Cloud Healthcare può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Healthcare, consulta la documentazione del prodotto.

L'integrazione dell'API Cloud Healthcare con i Controlli di servizio VPC non ha limitazioni note.

Ti consigliamo di posizionare il progetto Storage Transfer Service all'interno dello stesso perimetro di servizio delle risorse Cloud Storage. In questo modo, proteggerai sia il trasferimento sia le risorse Cloud Storage. Storage Transfer Service supporta anche gli scenari in cui il progetto Storage Transfer Service non si trova nello stesso perimetro dei bucket Cloud Storage, utilizzando un criterio in uscita.

Per informazioni sulla configurazione, consulta Utilizzo di Storage Transfer Service con i Controlli di servizio VPC

Transfer Service per dati on-premise

Per maggiori dettagli e informazioni sulla configurazione di Transfer for on-premise, consulta Utilizzo di Transfer for on-premise con i Controlli di servizio VPC.

Per maggiori informazioni su Storage Transfer Service, consulta la documentazione del prodotto.

L'API per Service Control può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Service Control, consulta la documentazione del prodotto.

• Quando chiami l'API Service Control da una rete VPC in un perimetro di servizio con Controllo servizio limitato per generare report sulle metriche di fatturazione o di analisi, puoi utilizzare solo il metodo report Controllo di servizio per generare report sulle metriche per i servizi supportati dai Controlli di servizio VPC.

L'API per Memorystore for Redis può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Memorystore per Redis, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Redis. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Redis all'interno della stessa rete.

• Se anche l'API Cloud Storage è protetta, le operazioni di importazione ed esportazione di Memorystore for Redis possono leggere e scrivere solo in un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza Memorystore for Redis.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Redis all'interno dello stesso perimetro, affinché le richieste Redis abbiano esito positivo. In qualsiasi momento, la separazione del progetto host e del progetto di servizio con un perimetro può causare un errore dell'istanza Redis, oltre che alle richieste bloccate. Per maggiori informazioni, consulta i requisiti di configurazione di Memorystore per Redis.

L'API per Memorystore for Memcached può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Memorystore for Memcached, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Memcached. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Memcached all'interno della stessa rete.

L'API per Service Directory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Service Directory, consulta la documentazione del prodotto.

L'integrazione di Service Directory con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente Visual Inspection AI, includi tutte le seguenti API nel perimetro:

• API Visual Inspection AI (visualinspection.googleapis.com)
• API Vertex AI (aiplatform.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Artifact Registry (artifactregistry.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per ulteriori informazioni su Visual Inspection AI, consulta la documentazione del prodotto.

L'integrazione di Visual Inspection AI con i Controlli di servizio VPC non ha limitazioni note.

Transfer Appliance è completamente supportato per i progetti che utilizzano Controlli di servizio VPC.

Transfer Appliance non offre un'API e, pertanto, non supporta le funzionalità relative alle API nei Controlli di servizio VPC.

Per ulteriori informazioni su Transfer Appliance, consulta la documentazione del prodotto.

• Quando Cloud Storage è protetto dai Controlli di servizio VPC, la chiave Cloud KMS condivisa con il team di Transfer Appliance deve trovarsi all'interno dello stesso progetto del bucket Cloud Storage di destinazione.

L'API per il servizio criteri dell'organizzazione può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sul servizio Criteri dell'organizzazione, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta le limitazioni di accesso ai criteri dell'organizzazione a livello di cartella o organizzazione ereditati dal progetto. I Controlli di servizio VPC proteggono le risorse dell'API Organization Policy Service a livello di progetto.

Ad esempio, se una regola in entrata impedisce a un utente di accedere all'API Organization Policy Service, riceve un errore 403 quando esegue una query sui criteri dell'organizzazione applicati al progetto. Tuttavia, l'utente può comunque accedere ai criteri dell'organizzazione della cartella e dell'organizzazione che contiene il progetto.

Puoi chiamare l'API OS Login dall'interno dei perimetri Controlli di servizio VPC. Per gestire OS Login dall'interno dei perimetri Controlli di servizio VPC, configura OS Login.

Le connessioni SSH alle istanze VM non sono protette dai Controlli di servizio VPC.

Per ulteriori informazioni su OS Login, consulta la documentazione del prodotto.

I metodi di OS Login per la lettura e la scrittura di chiavi SSH non applicano i perimetri dei Controlli di servizio VPC. Utilizza i servizi accessibili da VPC per disattivare l'accesso alle API OS Login.

L'API per Personalized Service Health può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Personalized Service Health, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta le risorse OrganizationEvents e OrganizationImpacts dell'API Service Health. Di conseguenza, i controlli dei criteri di Controlli di servizio VPC non vengono eseguiti quando chiami i metodi per queste risorse. Tuttavia, puoi chiamare i metodi da un perimetro di servizio utilizzando un VIP con restrizioni.

Puoi chiamare l'API OS Config dall'interno dei perimetri Controlli di servizio VPC. Per utilizzare VM Manager dall'interno dei perimetri Controlli di servizio VPC, configura VM Manager.

Per saperne di più su VM Manager, consulta la documentazione del prodotto.

Workflows è una piattaforma di orchestrazione che può combinare i servizi Google Cloud e le API basate su HTTP per eseguire i servizi in un ordine definito da te.

Quando proteggi l'API Workflows utilizzando un perimetro di servizio, viene protetta anche l'API Workflow Execution. Non è necessario aggiungere separatamente workflowexecutions.googleapis.com all'elenco dei servizi protetti del tuo perimetro.

Le richieste HTTP da un'esecuzione di Workflows sono supportate come segue:

• Sono consentite richieste autenticate agli endpoint Google Cloud conformi ai Controlli di servizio VPC.
• Sono consentite le richieste agli endpoint di servizio Cloud Functions e Cloud Run.
• Le richieste agli endpoint di terze parti sono bloccate.
• Le richieste agli endpoint Google Cloud non conformi ai Controlli di servizio VPC vengono bloccate.

Per ulteriori informazioni su Workflows, consulta la documentazione del prodotto.

L'integrazione di Workflows con Controlli di servizio VPC non ha limitazioni note.

L'API per Filestore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per maggiori informazioni su Filestore, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Filestore. I perimetri non proteggono il normale accesso ai dati NFS sulle istanze Filestore all'interno della stessa rete.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, affinché l'istanza Filestore funzioni correttamente, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Filestore all'interno dello stesso perimetro. La separazione del progetto host e del progetto di servizio con un perimetro potrebbe causare la mancata disponibilità delle istanze esistenti e potrebbe non creare nuove istanze.

Per saperne di più su Parallelstore, consulta la documentazione del prodotto.

• Se utilizzi un VPC condiviso e Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza di Parallelstore all'interno dello stesso perimetro affinché l'istanza di Parallelstore funzioni correttamente. La separazione del progetto host e del progetto di servizio con un perimetro potrebbe causare la mancata disponibilità delle istanze esistenti e potrebbe non creare nuove istanze.

L'API per Container Threat Detection può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Container Threat Detection, consulta la documentazione del prodotto.

L'integrazione di Container Threat Detection con i Controlli di servizio VPC non ha limitazioni note.

Per saperne di più su Ads Data Hub, consulta la documentazione del prodotto.

L'API per Traffic Director può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Traffic Director, consulta la documentazione del prodotto.

L'integrazione di Traffic Director con i Controlli di servizio VPC non ha limitazioni note.

Controlli di servizio VPC limita gli scambi di token solo se il pubblico nella richiesta è una risorsa a livello di progetto. Ad esempio, non limita le richieste per i token con ambito ridotto, perché queste richieste non hanno un segmento di pubblico. Inoltre, non limita le richieste per la federazione delle identità per la forza lavoro perché il pubblico è una risorsa a livello di organizzazione.

Per ulteriori informazioni sul servizio token di sicurezza, consulta la documentazione del prodotto.

L'integrazione del servizio token di sicurezza con i Controlli di servizio VPC non ha limitazioni note.

I servizi firestore.googleapis.com, datastore.googleapis.com e firestorekeyvisualizer.googleapis.com sono in bundle. Quando limiti il servizio firestore.googleapis.com in un perimetro, quest'ultimo limita anche i servizi datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.

Per limitare il servizio datastore.googleapis.com, utilizza il nome del servizio firestore.googleapis.com.

Per ottenere una protezione completa in uscita durante le operazioni di importazione ed esportazione, devi utilizzare l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:

• Protezione delle operazioni di importazione ed esportazione di Firestore con i Controlli di servizio VPC.
• Protezione delle operazioni di importazione ed esportazione di Datastore con i Controlli di servizio VPC.

Per maggiori informazioni su Firestore/Datastore, consulta la documentazione del prodotto.

L'API Migrate to Virtual Machines può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Migrate to Virtual Machines, consulta la documentazione del prodotto.

• Per proteggere completamente Migrate to Virtual Machines, aggiungi tutte le seguenti API al perimetro di servizio:

  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Per ulteriori informazioni, consulta la documentazione relativa alla migrazione alle macchine virtuali.

I Controlli di servizio VPC consentono di proteggere i dati dell'infrastruttura che raccogli con il Centro di migrazione con un perimetro di servizio.

Per saperne di più sul Centro di migrazione, consulta la documentazione del prodotto.

L'API per il servizio di backup e RE può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per maggiori informazioni sul servizio di backup e RE, consulta la documentazione del prodotto.

Se rimuovi la route predefinita per internet dal progetto di producer di servizi utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls, potresti non riuscire ad accedere alla console di gestione o a eseguirne il deployment. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.

Puoi utilizzare Controlli di servizio VPC per proteggere il backup per GKE e puoi utilizzare le funzionalità di Backup per GKE normalmente all'interno dei perimetri di servizio.

Per maggiori informazioni su Backup per GKE, consulta la documentazione del prodotto.

L'integrazione di Backup per GKE con i Controlli di servizio VPC non ha limitazioni note.

L'API API for Retail può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Retail, consulta la documentazione del prodotto.

L'integrazione dell'API Retail con i Controlli di servizio VPC non ha limitazioni note.

Application Integration è un sistema collaborativo di gestione del flusso di lavoro che consente di creare, potenziare, eseguire il debug e comprendere i flussi di lavoro principali del sistema aziendale. I flussi di lavoro di Application Integration sono composti da trigger e attività. Esistono diversi tipi di trigger, come trigger API/Pub/Sub trigger/cron trigger/sfdc trigger.

Per saperne di più su Application Integration, consulta la documentazione del prodotto.

L'API per Integration Connectors può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Integration Connectors, consulta la documentazione del prodotto.

L'API per Error Reporting può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Error Reporting, consulta la documentazione del prodotto.

L'API per Cloud Workstations può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Workstations, consulta la documentazione del prodotto.

• Per proteggere completamente Cloud Workstations, devi limitare l'API Compute Engine nel perimetro di servizio ogni volta che limiti l'API Cloud Workstations.
• Assicurati che l'API Google Cloud Storage, l'API Google Container Registry e l'API Artifact Registry siano accessibili tramite VPC nel tuo perimetro di servizio. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Ti consigliamo inoltre di consentire all'API Cloud Logging e all'API Cloud Error Reporting di essere accessibili tramite VPC nel tuo perimetro di servizio, anche se questa operazione non è necessaria per utilizzare Cloud Workstations.
• Assicurati che il cluster di workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle tue workstation dall'esterno del perimetro di servizio VPC.
• Assicurati di disabilitare gli indirizzi IP pubblici nella configurazione della workstation. In caso contrario, verranno create VM con indirizzi IP pubblici nel tuo progetto. Ti consigliamo vivamente di utilizzare il vincolo del criterio dell'organizzazione constraints/compute.vmExternalIpAccess per disabilitare gli indirizzi IP pubblici per tutte le VM nel tuo perimetro di servizio VPC. Per maggiori dettagli, consulta Limitazione degli indirizzi IP esterni a VM specifiche.
• Durante la connessione alla tua workstation, il controllo dell'accesso si basa solo sull'appartenenza alla rete privata da cui ti stai connettendo o meno al perimetro di sicurezza. Il controllo dell'accesso basato sul dispositivo, sull'indirizzo IP pubblico o sulla località non è supportato.

L'API per Cloud IDS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud IDS, consulta la documentazione del prodotto.

Cloud IDS utilizza Cloud Logging per creare log delle minacce nel progetto. Se Cloud Logging è limitato dal perimetro di servizio, Controlli di servizio VPC blocca i log delle minacce di Cloud IDS, anche se Cloud IDS non viene aggiunto come servizio limitato al perimetro. Per utilizzare Cloud IDS all'interno di un perimetro di servizio, devi configurare una regola in entrata per l'account di servizio Cloud Logging nel tuo perimetro di servizio.

Per saperne di più su BeyondCorp Enterprise, consulta la documentazione del prodotto.

L'integrazione di BeyondCorp Enterprise con i Controlli di servizio VPC non presenta limitazioni note.

Quando limiti l'API Policy troubleshooter con un perimetro, le entità possono risolvere i problemi relativi ai criteri di autorizzazione IAM solo se tutte le risorse coinvolte nella richiesta si trovano nello stesso perimetro. In genere, la richiesta di risoluzione dei problemi utilizza due risorse:

• La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere di qualsiasi tipo. Puoi specificare esplicitamente questa risorsa quando risolvi i problemi di un criterio di autorizzazione.

• La risorsa che stai utilizzando per risolvere i problemi di accesso. Questa risorsa è un progetto, una cartella o un'organizzazione. Nella console Google Cloud e in gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere uguale a quella per la quale stai risolvendo i problemi di accesso, ma non è necessariamente così.

Se queste risorse non si trovano nello stesso perimetro, la richiesta ha esito negativo.

Per ulteriori informazioni sullo strumento per la risoluzione dei problemi relativi ai criteri, consulta la documentazione del prodotto.

L'integrazione dello strumento per la risoluzione dei problemi relativi ai criteri con Controlli di servizio VPC non presenta limitazioni note.

Quando limiti l'API Policy Simulator con un perimetro, le entità possono simulare i criteri di autorizzazione solo se alcune risorse coinvolte nella simulazione si trovano nello stesso perimetro. In una simulazione sono coinvolte diverse risorse:

• La risorsa di cui stai simulando il criterio di autorizzazione. Questa risorsa è anche chiamata risorsa di destinazione. Nella console Google Cloud, questa è la risorsa di cui stai modificando il criterio di autorizzazione. In gcloud CLI e nell'API REST specifichi esplicitamente questa risorsa quando simula un criterio di autorizzazione.

• Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è anche detta risorsa host. Nella console Google Cloud e in gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere uguale alla risorsa per cui stai simulando l'accesso, ma non è necessario.

• La risorsa che fornisce i log di accesso per la simulazione. In una simulazione, è sempre presente una risorsa che fornisce i log di accesso per la simulazione. Questa risorsa varia a seconda del tipo di risorsa di destinazione:

  • Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log degli accessi per tale progetto o organizzazione.
  • Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per l'organizzazione o il progetto padre della risorsa.
  • Se stai simulando i criteri di autorizzazione di più risorse contemporaneamente, Policy Simulator recupera i log di accesso per l'organizzazione o il progetto comune più vicino alle risorse.
• Tutte le risorse supportate con criteri di autorizzazione pertinenti. Quando Policy Simulator esegue una simulazione, prende in considerazione tutti i criteri di autorizzazione che potrebbero influire sull'accesso dell'utente, inclusi i criteri di autorizzazione sulle risorse dei predecessori e discendenti della risorsa di destinazione. Di conseguenza, le risorse dei predecessori e dei discendenti vengono coinvolte anche nelle simulazioni.

Se la risorsa di destinazione e la risorsa host non si trovano nello stesso perimetro, la richiesta non riesce.

Se la risorsa di destinazione e quella che fornisce i log degli accessi per la simulazione non si trovano nello stesso perimetro, la richiesta non va a buon fine.

Se la risorsa di destinazione e alcune risorse supportate con criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste vengono eseguite correttamente, ma i risultati potrebbero essere incompleti. Ad esempio, se stai simulando un criterio per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione dell'organizzazione padre del progetto, perché le organizzazioni sono sempre al di fuori dei perimetri dei Controlli di servizio VPC. Per ottenere risultati più completi, puoi configurare le regole in entrata e in uscita per il perimetro.

Per ulteriori informazioni su Policy Simulator, consulta la documentazione del prodotto.

L'integrazione del simulatore di criteri con Controlli di servizio VPC non ha limitazioni note.

L'API per i contatti necessari può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sui contatti necessari, consulta la documentazione del prodotto.

L'integrazione dei contatti necessari con i Controlli di servizio VPC non ha limitazioni note.

L'API per Identity Platform può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Identity Platform, consulta la documentazione del prodotto.

• Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al perimetro di servizio per consentire l'aggiornamento dei token. securetoken.googleapis.com non è elencato nella pagina Controlli di servizio VPC della console Google Cloud. Puoi aggiungere questo servizio solo con il comando gcloud access-context-manager perimetros update.

• Se la tua applicazione si integra anche con la funzionalità di blocco, aggiungi Cloud Functions (cloudfunctions.googleapis.com) al perimetro di servizio.

• L'utilizzo dell'autenticazione a più fattori (MFA) basata su SMS, dell'autenticazione email o di provider di identità di terze parti determina l'invio di dati al di fuori del perimetro. Se non utilizzi la MFA con SMS, autenticazione email o provider di identità di terze parti, disattiva queste funzionalità.

L'API per GKE Multi-Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su GKE Multi-Cloud, consulta la documentazione del prodotto.

• Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al perimetro di servizio per consentire l'aggiornamento dei token. securetoken.googleapis.com non è elencato nella pagina Controlli di servizio VPC della console Google Cloud. Puoi aggiungere questo servizio solo con il comando gcloud access-context-manager perimetros update.

• Se la tua applicazione si integra anche con la funzionalità di blocco, aggiungi Cloud Functions (cloudfunctions.googleapis.com) al perimetro di servizio.

• L'utilizzo dell'autenticazione a più fattori (MFA) basata su SMS, dell'autenticazione email o di provider di identità di terze parti determina l'invio di dati al di fuori del perimetro. Se non utilizzi la MFA con SMS, autenticazione email o provider di identità di terze parti, disattiva queste funzionalità.

L'API Anthos On-Prem può essere protetta dai Controlli di servizio VPC e l'API può essere utilizzata normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Anthos On-Prem, consulta la documentazione del prodotto.

• Per proteggere completamente l'API Anthos On-Prem, aggiungi tutte le seguenti API al perimetro di servizio:

  • API Cloud Monitoring (monitoring.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  Tieni presente che Controlli di servizio VPC non protegge dalle esportazioni dei log di Cloud Logging a livello di cartella o organizzazione.

Puoi creare un cluster nel tuo ambiente connesso al VPC tramite Cloud Interconnect o Cloud VPN.

Per ulteriori informazioni su Google Distributed Cloud Virtual for Bare Metal, consulta la documentazione del prodotto.

• Quando crei o esegui l'upgrade di un cluster utilizzando GDCV per Bare Metal, utilizza il flag --skip-api-check in bmctl per ignorare la chiamata all'API Service Usage (serviceusage.googleapis.com), perché l'API Service Usage (serviceusage.googleapis.com) non è supportata dai Controlli di servizio VPC. GDCV per Bare Metal richiama l'API Service Usage per verificare che le API richieste siano abilitate all'interno di un progetto; non viene utilizzata per convalidare la raggiungibilità degli endpoint API.

• Per proteggere il GDCV per Bare Metal, utilizza il VIP con restrizioni in GDCV per Bare Metal e aggiungi tutte le seguenti API al perimetro di servizio:

• API Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• API GKE Hub (gkehub.googleapis.com)
• API GKE On-Prem (gkeonprem.googleapis.com)
• API Cloud IAM (iam.googleapis.com)
• API Cloud Logging (logging.googleapis.com)
• API Cloud Monitoring (monitoring.googleapis.com)
• Config Monitoring per API Ops (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

L'API On-Demand Scanning può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API On-Demand Scanning, consulta la documentazione del prodotto.

L'integrazione dell'API On-Demand Scanning con i Controlli di servizio VPC non ha limitazioni note.

L'API per Looker (Google Cloud core) può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Looker (Google Cloud core), consulta la documentazione del prodotto.

• Solo le versioni Enterprise o Embed delle istanze Looker (Google Cloud core) che utilizzano connessioni con IP privato supportano la conformità ai Controlli di servizio VPC. Le istanze di Looker (Google Cloud core) con connessioni con IP pubblico o con connessioni con IP pubblico e privato non supportano la conformità ai Controlli di servizio VPC. Per creare un'istanza che utilizza una connessione con IP privato, seleziona IP privato nella sezione Networking della pagina Crea istanza della console Google Cloud.

• Quando inserisci o crei un'istanza di Looker (Google Cloud core) all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi rimuovere la route predefinita verso internet chiamando il metodo services.enableVpcServiceControls o eseguendo il comando gcloud seguente:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

L'API per l'Public Certificate Authority può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'Public Certificate Authority, consulta la documentazione del prodotto.

L'integrazione dell'autorità di certificazione pubblica con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Storage Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Storage Insights, consulta la documentazione del prodotto.

L'integrazione di Storage Insights con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente le pipeline di dati Dataflow, includi tutte le seguenti API nel perimetro:

• API Dataflow (dataflow.googleapis.com)
• API Cloud Scheduler (cloudscheduler.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per ulteriori informazioni sulle pipeline di dati Dataflow, consulta la documentazione del prodotto.

L'integrazione delle pipeline di dati di Dataflow con i Controlli di servizio VPC non ha limitazioni note.

Le API per Security Command Center possono essere protette dai Controlli di servizio VPC e Security Command Center può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Security Command Center, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Security Command Center a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Security Command Center a livello di progetto. Puoi specificare un criterio in uscita per impedire l'accesso alle risorse dell'API Security Command Center a livello di progetto dai progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta di risorse dell'API Security Command Center a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse dell'API Security Command Center a livello di cartella o organizzazione. Per gestire le autorizzazioni di Security Command Center a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
• Controlli di servizio VPC non supporta il servizio della postura di sicurezza perché le risorse della postura di sicurezza (come posture, deployment di posture e modelli di postura predefiniti) sono risorse a livello di organizzazione.
• Non puoi esportare i risultati a livello di cartella o organizzazione nelle destinazioni all'interno di un perimetro di servizio.
• Devi abilitare l'accesso al perimetro nei seguenti scenari:
  • Quando abiliti le notifiche sui risultati a livello di cartella o organizzazione e l'argomento Pub/Sub si trova all'interno di un perimetro di servizio.
  • Quando esporti i dati in BigQuery a livello di cartella o organizzazione e BigQuery si trova all'interno di un perimetro di servizio.
  • Quando integri Security Command Center con un prodotto SIEM o SOAR e viene eseguito il deployment del prodotto all'interno di un perimetro di servizio in un ambiente Google Cloud. I SIEM e SOAR supportati includono Splunk e IBM QRadar.

L'API per l'assistenza clienti Google Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'assistenza clienti Google Cloud, consulta la documentazione del prodotto.

L'API per Vertex AI Search and Conversation - Vertex AI Search può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Search and Conversation - Vertex AI Search, consulta la documentazione del prodotto.

L'integrazione di Vertex AI Search and Conversation - Vertex AI Search con i Controlli di servizio VPC non ha limitazioni note.

L'API per Confidential Space può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Confidential Space, consulta la documentazione del prodotto.

Per utilizzare la protezione dei Controlli di servizio VPC durante la connessione alla console seriale per un'istanza di macchina virtuale (VM), devi specificare una regola in entrata per il perimetro di servizio. Quando configuri la regola in entrata, il livello di accesso per l'origine deve essere un valore basato su IP e il nome del servizio impostato su ssh-serialport.googleapis.com. La regola in entrata è necessaria per accedere alla console seriale anche se la richiesta di origine e la risorsa di destinazione si trovano nello stesso perimetro.

Per saperne di più sulla console seriale, consulta la documentazione del prodotto.

Per ulteriori informazioni su Google Cloud VMware Engine, consulta la documentazione del prodotto.

Per scoprire come controllare l'accesso a Dataform con i Controlli di servizio VPC, consulta Configurare i Controlli di servizio VPC per Dataform.

Per saperne di più su Dataform, consulta la documentazione del prodotto.

Web Security Scanner e Controlli di servizio VPC sono soggetti a termini di servizio diversi. Per informazioni dettagliate, leggi i termini di ciascun prodotto.

Web Security Scanner invia i risultati a Security Command Center on demand. Puoi visualizzare o scaricare i dati dalla dashboard di Security Command Center.

Per ulteriori informazioni su Web Security Scanner, consulta la documentazione del prodotto.

L'integrazione di Web Security Scanner con Controlli di servizio VPC non ha limitazioni note.

• Prima di creare istanze di Controlli di servizio VPC di Secure Source Manager, devi configurare Certificate Authority Service con un'autorità di certificazione funzionante.
• Devi configurare Private Service Connect prima di accedere all'istanza di Controlli di servizio VPC di Secure Source Manager.

Per saperne di più su Secure Source Manager, consulta la documentazione del prodotto.

• Puoi ignorare una violazione degli audit log di SERVICE_NOT_ALLOWED_FROM_VPC causata da limitazioni di GKE.
• Per aprire l'interfaccia web dei Controlli di servizio VPC con un browser, quest'ultimo deve accedere ai seguenti URL:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Ad esempio, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

L'API per le chiavi API può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulle chiavi API, consulta la documentazione del prodotto.

L'integrazione delle chiavi API con i Controlli di servizio VPC non ha limitazioni note.

L'API Cloud Controls Partner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sulla Console Partner nei Controlli di sovranità dei partner, consulta la documentazione del prodotto.

L'API per i microservizi può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sui microservizi, consulta la documentazione del prodotto.

L'integrazione dei microservizi con Controlli di servizio VPC non ha limitazioni note.

L'API per Earth Engine può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Earth Engine, consulta la documentazione del prodotto.

App Hub consente di scoprire e organizzare le risorse dell'infrastruttura in applicazioni. Puoi utilizzare i perimetri dei Controlli di servizio VPC per proteggere le risorse App Hub.

Per ulteriori informazioni su App Hub, consulta la documentazione del prodotto.

L'API Cloud Code può essere protetta dai Controlli di servizio VPC. Per utilizzare le funzionalità basate su Gemini in Cloud Code, è necessario configurare un criterio in entrata per consentire il traffico dai client IDE. Per maggiori dettagli, consulta la documentazione di Gemini.

Per saperne di più su Cloud Code, consulta la documentazione del prodotto.

L'integrazione di Cloud Code con i Controlli di servizio VPC non ha limitazioni note.