Produtos compatíveis e limitações

Para mais informações sobre o Infrastructure Manager, consulte a documentação do produto.

Para usar o Workload Manager num perímetro dos VPC Service Controls:

• Tem de usar um conjunto de trabalhadores privado do Cloud Build para o seu ambiente de implementação no Workload Manager. Não pode usar o grupo de trabalhadores do Cloud Build predefinido.
• O pool privado do Cloud Build tem de ter chamadas públicas à Internet ativadas para transferir a configuração do Terraform.

Para mais informações, consulte o artigo Use um Workload Identity Pool privado do Cloud Build na documentação do Workload Manager.

Para mais informações sobre o Workload Manager, consulte a documentação do produto.

A API Google Cloud NetApp Volumes pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre os volumes NetApp do Google Cloud, consulte a documentação do produto.

O Google Cloud Search suporta os controlos de segurança da nuvem privada virtual (VPC Service Controls) para melhorar a segurança dos seus dados. Os VPC Service Controls permitem-lhe definir um perímetro de segurança em torno dos recursos da Google Cloud Platform para restringir os dados e ajudar a mitigar os riscos de exfiltração de dados.

Para mais informações sobre o Google Cloud Search, consulte a documentação do produto.

A API Connectivity Tests pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca dos testes de conetividade, consulte a documentação do produto.

A integração dos testes de conectividade com os VPC Service Controls não tem limitações conhecidas.

Os VPC Service Controls suportam a previsão online, mas não a previsão em lote.

Para mais informações sobre a AI Platform Prediction, consulte a documentação do produto.

A API AI Platform Training pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o AI Platform Training, consulte a documentação do produto.

Os perímetros dos VPC Service Controls protegem a API AlloyDB.

Para mais informações sobre o AlloyDB para PostgreSQL, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Admin do AlloyDB para PostgreSQL. Não protegem o acesso a dados baseados em IP a bases de dados subjacentes (como instâncias do AlloyDB para PostgreSQL). Para restringir o acesso a IPs públicos em instâncias do AlloyDB for PostgreSQL, use uma restrição de política da organização.
• Antes de configurar o VPC Service Controls para o AlloyDB for PostgreSQL, ative a API Service Networking.
• Quando usa o AlloyDB for PostgreSQL com a VPC partilhada e os VPC Service Controls, o projeto anfitrião e o projeto de serviço têm de estar no mesmo perímetro de serviço dos VPC Service Controls.

A API do Vertex AI Workbench pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Vertex AI Workbench, consulte a documentação do produto.

A API Vertex AI pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Consulte o Colab Enterprise.

Para mais informações sobre a Vertex AI, consulte a documentação do produto.

A API Vertex AI Vision pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Vertex AI Vision, consulte a documentação do produto.

A API Vertex AI no Firebase pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Vertex AI no Firebase, consulte a documentação do produto.

A API do Colab Enterprise pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

O Colab Enterprise faz parte do Vertex AI. Consulte o Vertex AI.

O Colab Enterprise usa o Dataform para armazenar blocos de notas. Consulte o artigo sobre o Dataform.

Para mais informações sobre o Colab Enterprise, consulte a documentação do produto.

A API para o Apigee e o Apigee hybrid pode ser protegida pelos VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Apigee e o Apigee Hybrid, consulte a documentação do produto.

A API do Apigee API hub pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o hub de APIs Apigee, consulte a documentação do produto.

Para mais informações sobre a partilha do BigQuery, consulte a documentação do produto.

A API para a Cloud Service Mesh pode ser protegida pelos VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Pode usar mesh.googleapis.com para ativar as APIs necessárias para a Cloud Service Mesh. Não precisa de restringir o mesh.googleapis.com no seu perímetro, uma vez que não expõe nenhuma API.

• Saiba como configurar o VPC Service Controls para a Cloud Service Mesh (gerida).
• Saiba como adicionar serviços da Cloud Service Mesh aos perímetros de serviço.

Para mais informações acerca da Cloud Service Mesh, consulte a documentação do produto.

A integração do Cloud Service Mesh com os VPC Service Controls não tem limitações conhecidas.

Além de proteger a API Artifact Registry, o Artifact Registry pode ser usado dentro de perímetros de serviço com o GKE e o Compute Engine.

Para mais informações sobre o Artifact Registry, consulte a documentação do produto.

A API Assured Open Source Software pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do software de código aberto garantido, consulte a documentação do produto.

A API Assured Workloads pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre as Assured Workloads, consulte a documentação do produto.

A integração do Assured Workloads com os VPC Service Controls não tem limitações conhecidas.

Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no seu perímetro:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Para mais informações sobre o AutoML Translation, consulte a documentação do produto.

A API Bare Metal Solution pode ser adicionada a um perímetro seguro. No entanto, os perímetros dos VPC Service Controls não se estendem ao ambiente da Bare Metal Solution nas extensões regionais.

Para mais informações sobre a Solução Bare Metal, consulte a documentação do produto.

A ligação dos VPC Service Controls ao seu ambiente do Bare Metal Solution não cumpre nenhuma garantia de controlo de serviços.

Para mais informações sobre a limitação da Solução Bare Metal relativamente ao VPC Service Controls, consulte os Problemas conhecidos e limitações.

A API Batch pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Batch, consulte a documentação do produto.

A API do metastore do BigLake pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o metastore do BigLake, consulte a documentação do produto.

A integração do metastore do BigLake com os VPC Service Controls não tem limitações conhecidas.

Quando protege a API BigQuery com um perímetro de serviço, a API BigQuery Storage (bigquerystorage.googleapis.com), a API BigQuery Reservation (bigqueryreservation.googleapis.com) e a API BigQuery Connection (bigqueryconnection.googleapis.com) também ficam protegidas. Não tem de adicionar estas APIs separadamente à lista de serviços protegidos do seu perímetro.

Saiba como configurar os VPC Service Controls para o BigQuery e como permitir o acesso a funções contribuídas pela comunidade num perímetro.

Para mais informações sobre o BigQuery, consulte a documentação do produto.

A API BigQuery Data Policy pode ser protegida pelos VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Google BigQuery Data Policy, consulte a documentação do produto.

A integração da API BigQuery Data Policy com os VPC Service Controls não tem limitações conhecidas.

O perímetro de serviço protege apenas a API do Serviço de transferência de dados do BigQuery. A proteção de dados real é aplicada pelo BigQuery. O objetivo é permitir a importação de dados de várias origens externas fora do Google Cloud, como o Amazon S3, o Redshift, o Teradata, o YouTube, o Google Play e o Google Ads, para conjuntos de dados do BigQuery. Para obter informações sobre os requisitos dos VPC Service Controls para migrar dados do Teradata, consulte os requisitos dos VPC Service Controls.

Para mais informações acerca do Serviço de transferência de dados do BigQuery, consulte a documentação do produto.

A API BigQuery Migration pode ser protegida pelos VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API BigQuery Migration, consulte a documentação do produto.

A integração da API BigQuery Migration com os VPC Service Controls não tem limitações conhecidas.

Os serviços bigtable.googleapis.com e bigtableadmin.googleapis.com estão incluídos num pacote. Quando restringe o serviço bigtable.googleapis.com num perímetro, o perímetro restringe o serviço bigtableadmin.googleapis.com por predefinição. Não pode adicionar o serviço bigtableadmin.googleapis.com à lista de serviços restritos num perímetro porque está incluído no pacote bigtable.googleapis.com.

Para mais informações sobre o Bigtable, consulte a documentação do produto.

A integração do Bigtable com os VPC Service Controls não tem limitações conhecidas.

Quando usar vários projetos com a autorização binária, cada projeto tem de ser incluído no perímetro do VPC Service Controls. Para mais informações sobre este exemplo de utilização, consulte o artigo Configuração de vários projetos.

Com a autorização binária, pode usar a análise de artefactos para armazenar atestadores e atestações, respetivamente, como notas e ocorrências. Neste caso, também tem de incluir a análise de artefactos no perímetro do VPC Service Controls. Consulte as orientações do VPC Service Controls para a análise de artefactos para ver detalhes adicionais.

Para mais informações acerca da autorização binária, consulte a documentação do produto.

A integração da autorização binária com os VPC Service Controls não tem limitações conhecidas.

A API Blockchain Node Engine pode ser protegida pelos VPC Service Controls e usada normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Blockchain Node Engine, consulte a documentação do produto.

A API do serviço de autoridade de certificação pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do serviço de autoridade de certificação, consulte a documentação do produto.

Para usar o Config Controller com os VPC Service Controls, tem de ativar as seguintes APIs no seu perímetro:

• Cloud Monitoring API (monitoring.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

Se aprovisionar recursos com o Config Controller, tem de ativar a API para esses recursos no seu perímetro de serviço. Por exemplo, se quiser adicionar uma conta de serviço do IAM, tem de adicionar a API IAM (iam.googleapis.com).

Para mais informações acerca do Config Controller, consulte a documentação do produto.

A integração do Config Controller com os VPC Service Controls não tem limitações conhecidas.

Para mais informações acerca do catálogo de dados, consulte a documentação do produto.

A integração do Data Catalog com os VPC Service Controls não tem limitações conhecidas.

O Cloud Data Fusion requer alguns passos especiais para proteger com os VPC Service Controls.

Para mais informações sobre o Cloud Data Fusion, consulte a documentação do produto.

A API Data Lineage pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Data Lineage, consulte a documentação do produto.

A integração da API Data Lineage com os VPC Service Controls não tem limitações conhecidas.

O suporte dos VPC Service Controls para o Compute Engine oferece as seguintes vantagens de segurança:

• Restringe o acesso a operações de API confidenciais
• Restringe os instantâneos do Persistent Disk e as imagens personalizadas a um perímetro
• Restringe o acesso aos metadados da instância

O suporte dos VPC Service Controls para o Compute Engine também lhe permite usar redes da nuvem virtual privada e clusters privados do Google Kubernetes Engine dentro dos perímetros de serviço.

Para mais informações sobre o Compute Engine, consulte a documentação do produto.

Para usar as estatísticas conversacionais com os VPC Service Controls, tem de ter as seguintes APIs adicionais dentro do seu perímetro, consoante a integração.

• Para carregar dados para o Conversational Insights, adicione a API Cloud Storage ao seu perímetro de serviço.

• Para usar a exportação, adicione a API BigQuery ao seu perímetro de serviço.

• Para integrar vários produtos do CCAI, adicione a API Vertex AI ao seu perímetro de serviço.

Para mais informações sobre as estatísticas de conversação, consulte a documentação do produto.

A integração do Conversational Insights com os VPC Service Controls não tem limitações conhecidas.

O Dataflow suporta vários conetores de serviços de armazenamento. Os seguintes conetores foram validados para funcionar com o Dataflow dentro de um perímetro de serviço:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Para mais informações sobre o Dataflow, consulte a documentação do produto.

• O BIND personalizado não é suportado quando usa o Dataflow. Para personalizar a resolução de DNS quando usar o Dataflow com os VPC Service Controls, use zonas privadas do Cloud DNS, em vez de usar servidores BIND personalizados. Para usar a sua própria resolução de DNS nas instalações, considere usar umGoogle Cloud método de encaminhamento de DNS.

• Não é possível proteger o ajuste de escala vertical com um perímetro dos VPC Service Controls. Para usar o ajuste automático vertical num perímetro do VPC Service Controls, tem de desativar a funcionalidade de serviços acessíveis por VPC.

• Se ativar o Dataflow Prime e iniciar uma nova tarefa num perímetro dos VPC Service Controls, a tarefa usa o Dataflow Prime sem escala automática vertical.

• Nem todos os conetores de serviços de armazenamento foram validados para funcionar quando usados com o Dataflow dentro de um perímetro de serviço. Para ver uma lista de conetores validados, consulte "Detalhes" na secção anterior.

• Quando usar o Python 3.5 com o Apache Beam SDK 2.20.0‑2.22.0, as tarefas do Dataflow falham no arranque se os trabalhadores tiverem apenas endereços IP privados, como quando usar os VPC Service Controls para proteger os recursos. Se os trabalhadores do Dataflow só puderem ter endereços IP privados, como quando usa o VPC Service Controls para proteger recursos, não use o Python 3.5 com o Apache Beam SDK 2.20.0 a 2.22.0. Esta combinação faz com que as tarefas falhem no arranque.

A API do catálogo universal do Dataplex pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o catálogo universal do Dataplex, consulte a documentação do produto.

O Dataproc requer passos especiais para proteger com os VPC Service Controls.

Para mais informações sobre o Dataproc, consulte a documentação do produto.

Para proteger um cluster do Dataproc com um perímetro de serviço, siga as instruções do Dataproc e das redes dos VPC Service Controls.

Google Cloud O serviço sem servidor para Apache Spark requer passos especiais para proteger com os VPC Service Controls.

Para mais informações sobre o Google Cloud Serverless para Apache Spark para Spark, consulte a documentação do produto.

Para proteger a sua carga de trabalho sem servidor com um perímetro de serviço, siga as instruções em Google Cloud Sem servidor para o Apache Spark e as redes dos VPC Service Controls.

A API para o Dataproc Metastore pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Dataproc Metastore, consulte a documentação do produto.

A integração do Dataproc Metastore com os VPC Service Controls não tem limitações conhecidas.

A API para o Datastream pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Datastream, consulte a documentação do produto.

A integração do Datastream com os VPC Service Controls não tem limitações conhecidas.

A API do Database Center pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Centro de bases de dados, consulte a documentação do produto.

Os VPC Service Controls não suportam o acesso a recursos da Cloud Asset API ao nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. Os VPC Service Controls protegem os recursos da Cloud Asset API ao nível do projeto. Pode especificar uma política de saída para permitir o acesso a recursos da API Cloud Asset ao nível do projeto a partir de projetos dentro do perímetro. Para gerir as autorizações do Database Center ao nível da pasta ou da organização, recomendamos que use o IAM.

A API Database Insights pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Database Insights, consulte a documentação do produto.

A integração da API Database Insights com os VPC Service Controls não tem limitações conhecidas.

A API Database Migration Service pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o serviço de migração de bases de dados, consulte a documentação do produto.

A API Dialogflow pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Dialogflow, consulte a documentação do produto.

A API do Agent Assist pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Agent Assist, consulte a documentação do produto.

A API Sensitive Data Protection pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a proteção de dados confidenciais, consulte a documentação do produto.

A API Cloud DNS pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Cloud DNS, consulte a documentação do produto.

• Pode aceder ao Cloud DNS através do VIP restrito. No entanto, não pode criar nem atualizar zonas DNS públicas em projetos dentro do perímetro dos VPC Service Controls.

A API Document AI pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Document AI, consulte a documentação do produto.

A integração do Document AI com os VPC Service Controls não tem limitações conhecidas.

A API Document AI Warehouse pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Document AI Warehouse, consulte a documentação do produto.

A integração do Document AI Warehouse com os VPC Service Controls não tem limitações conhecidas.

A API Cloud Domains pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Cloud Domains, consulte a documentação do produto.

• Os dados de contacto usados no Cloud Domains podem ser partilhados com o registo da extensão de domínio ou do domínio de nível superior (TLD) e podem estar acessíveis publicamente para WHOIS/RDAP, conforme as suas definições o permitirem, em conformidade com as regras da ICANN. Para ver detalhes, consulte a secção Proteção de privacidade.

• Os dados de configuração de DNS usados no Cloud Domains, ou seja, os servidores de nomes e as definições de DNSSEC, são públicos. Se o seu domínio delegar numa zona DNS pública, que é a predefinição, os dados de configuração DNS dessa zona também são públicos.

As APIs Eventarc Advanced podem ser protegidas com os VPC Service Controls e as funcionalidades podem ser usadas normalmente dentro dos perímetros de serviço.

Um barramento avançado do Eventarc fora de um perímetro de serviço não pode receber eventos de projetos da Google Cloud Platform dentro do perímetro. Um barramento Eventarc Advanced no interior de um perímetro não pode encaminhar eventos para um consumidor fora do perímetro.

• Para publicar num barramento avançado do Eventarc, a origem de um evento tem de estar dentro do mesmo perímetro de serviço que o barramento.
• Para consumir uma mensagem, um consumidor de eventos tem de estar dentro do mesmo perímetro de serviço que o barramento.

Pode validar o suporte dos VPC Service Controls para os recursos Enrollment, GoogleApiSource, MessageBus e Pipeline ao ver os registos da plataforma na entrada.

Para mais informações sobre o Eventarc Advanced, consulte a documentação do produto.

A integração avançada do Eventarc com o VPC Service Controls não tem limitações conhecidas.

O Eventarc Standard processa a entrega de eventos através de tópicos e subscrições push do Pub/Sub. Para aceder à API Pub/Sub e gerir acionadores de eventos, a API Eventarc tem de estar protegida no mesmo perímetro de serviço dos VPC Service Controls que a API Pub/Sub.

Para mais informações sobre o Eventarc Standard, consulte a documentação do produto.

A API Distributed Cloud Edge Network pode ser protegida pelos VPC Service Controls e usada normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Distributed Cloud Edge Network, consulte a documentação do produto.

A integração da API Distributed Cloud Edge Network com os VPC Service Controls não tem limitações conhecidas.

A API Anti Money Laundering AI pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a IA de combate ao branqueamento de capitais, consulte a documentação do produto.

A integração da IA antilavagem de dinheiro com os VPC Service Controls não tem limitações conhecidas.

Quando configura e troca tokens do Firebase App Check, os VPC Service Controls protegem apenas o serviço Firebase App Check. Para proteger os serviços que dependem do Firebase App Check, tem de configurar perímetros de serviço para esses serviços.

Para mais informações sobre o Firebase App Check, consulte a documentação do produto.

A integração do Firebase App Check com os VPC Service Controls não tem limitações conhecidas.

Os perímetros de serviço protegem apenas a API Firebase Data Connect. Não protegem o acesso às origens de dados subjacentes (como instâncias do Cloud SQL). A restrição do acesso em instâncias da base de dados tem de ser configurada separadamente.

Para mais informações sobre o Firebase Data Connect, consulte a documentação do produto.

A integração do Firebase Data Connect com os VPC Service Controls não tem limitações conhecidas.

Quando gere políticas de regras de segurança do Firebase, o VPC Service Controls protege apenas o serviço de regras de segurança do Firebase. Para proteger os serviços que dependem das regras de segurança do Firebase, tem de configurar perímetros de serviço para esses serviços.

Para mais informações sobre as Regras de segurança do Firebase, consulte a documentação do produto.

A integração das Regras de segurança do Firebase com os VPC Service Controls não tem limitações conhecidas.

Consulte a documentação das funções do Cloud Run para ver os passos de configuração. A proteção dos VPC Service Controls não se aplica à fase de compilação quando as funções do Cloud Run são criadas com o Cloud Build. Para mais detalhes, consulte as limitações conhecidas.

Para mais informações sobre as funções do Cloud Run, consulte a documentação do produto.

Quando restringe a IAM com um perímetro, apenas as ações que usam a API Identity and Access Management são restritas. Estas ações incluem o seguinte:

• Gerir funções IAM personalizadas
• Gerir Workload Identity Pools
• Gerir contas de serviço e chaves
• Gerir políticas de recusa
• Gerir associações de políticas para políticas de limite de acesso principal

O perímetro não restringe as ações relacionadas com os conjuntos de trabalhadores e as políticas de limite de acesso principal porque esses recursos são criados ao nível da organização.

O perímetro também não restringe a gestão de políticas de autorização para recursos pertencentes a outros serviços, como projetos, pastas e organizações do Resource Manager, ou instâncias de máquinas virtuais do Compute Engine. Para restringir a gestão de políticas de autorização para estes recursos, crie um perímetro que restrinja o serviço proprietário dos recursos. Para ver uma lista de recursos que aceitam políticas de permissão e os serviços que os detêm, consulte o artigo Tipos de recursos que aceitam políticas de permissão.

Além disso, o perímetro em torno do IAM não restringe as ações que usam outras APIs, incluindo as seguintes:

• API IAM Policy Simulator
• API IAM Policy Troubleshooter
• API Security Token Service
• API Service Account Credentials (incluindo os métodos signBlob e signJwt antigos na API IAM)

Para mais informações sobre a gestão de identidades e acessos, consulte a documentação do produto.

Se estiver dentro do perímetro, não pode chamar o método roles.list com uma string vazia para listar as funções predefinidas de IAM. Se precisar de ver funções predefinidas, consulte a documentação da função de IAM.

A API Admin do IAP permite que os utilizadores configurem o IAP.

Para mais informações sobre a API IAP Admin , consulte a documentação do produto.

A integração da API IAP Admin com os VPC Service Controls não tem limitações conhecidas.

A API Cloud KMS Inventory pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Cloud KMS Inventory, consulte a documentação do produto.

O método da API SearchProtectedResources não aplica restrições de perímetro de serviço aos projetos devolvidos.

A API para credenciais de contas de serviço pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca das credenciais da conta de serviço, consulte a documentação do produto.

A integração das credenciais da conta de serviço com os VPC Service Controls não tem limitações conhecidas.

A API Service Metadata API pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Service Metadata, consulte a documentação do produto.

A integração da API Service Metadata com os VPC Service Controls não tem limitações conhecidas.

Se estiver a usar o acesso privado ao serviço, recomendamos que ative os VPC Service Controls para a ligação de rede de serviços.Quando ativa os VPC Service Controls, os produtores de serviços ficam restritos ao acesso apenas às APIs suportadas pelos VPC Service Controls através da ligação de rede de serviços.

Só pode ativar os VPC Service Controls para o Service Networking através da API EnableVpcServiceControls. Só pode desativar os VPC Service Controls para a Service Networking através da API DisableVpcServiceControls.

Para mais informações sobre a rede de serviços, consulte a documentação do produto.

A integração do Service Networking com os VPC Service Controls não tem limitações conhecidas.

A API do Acesso a VPC sem servidor pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o acesso VPC sem servidor, consulte a documentação do produto.

A integração do Acesso a VPC sem servidor com os VPC Service Controls não tem limitações conhecidas.

A API Cloud KMS pode ser protegida pelos VPC Service Controls e o produto pode ser usado dentro de perímetros de serviço. O acesso aos serviços do Cloud HSM também está protegido pelos VPC Service Controls e pode ser usado dentro dos perímetros de serviço.

Para mais informações acerca do Cloud Key Management Service, consulte a documentação do produto.

A integração do Cloud Key Management Service com os VPC Service Controls não tem limitações conhecidas.

A API Game Servers pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca dos servidores de jogos, consulte a documentação do produto.

A integração dos servidores de jogos com os VPC Service Controls não tem limitações conhecidas.

A API Gemini Code Assist pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço. Isto inclui a personalização de código.

Para mais informações sobre o Gemini Code Assist, consulte a documentação do produto.

O controlo de acesso baseado no dispositivo, no endereço IP público ou na localização não é suportado para o Gemini na consola Google Cloud .

A API Identity-Aware Proxy para TCP pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Identity-Aware Proxy para TCP, consulte a documentação do produto.

A API Cloud Life Sciences pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Cloud Life Sciences, consulte a documentação do produto.

A integração do Cloud Life Sciences com os VPC Service Controls não tem limitações conhecidas.

Configuração adicional necessária para:

• Acesso no local à API Managed Microsoft AD
• VPC partilhada

Para mais informações sobre o serviço gerido para o Microsoft Active Directory, consulte a documentação do produto.

A integração do Serviço gerido para o Microsoft Active Directory com os VPC Service Controls não tem limitações conhecidas.

A API reCAPTCHA pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o reCAPTCHA, consulte a documentação do produto.

A integração do reCAPTCHA com os VPC Service Controls não tem limitações conhecidas.

A API Web Risk pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Web Risk, consulte a documentação do produto.

A API Evaluate e a API Submission não são suportadas pelos VPC Service Controls.

A API Recommender pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Recommender, consulte a documentação do produto.

• Os VPC Service Controls não suportam recursos de organização, pasta nem conta de faturação.

A API Secret Manager pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Secret Manager, consulte a documentação do produto.

A integração do Secret Manager com os VPC Service Controls não tem limitações conhecidas.

A proteção dos VPC Service Controls aplica-se a todas as operações de administrador, operações de publicador e operações de subscritor (exceto para subscrições push existentes).

Para mais informações sobre o Pub/Sub, consulte a documentação do produto.

Nos projetos protegidos por um perímetro de serviço, aplicam-se as seguintes limitações:

• Não é possível criar novas subscrições push, a menos que os pontos finais push estejam definidos para: Serviços do Cloud Run com URLs run.app predefinidos ou uma Execução de fluxos de trabalho (os domínios personalizados não funcionam). Para mais informações sobre a integração com o Cloud Run, consulte a secção Usar os VPC Service Controls.
• Para subscrições não push, tem de criar uma subscrição no mesmo perímetro que o tópico ou ativar regras de saída para permitir o acesso do tópico à subscrição.
• Quando encaminha eventos através do Eventarc para destinos do Workflows para os quais o ponto final de envio está definido como uma execução do Workflows, só pode criar novas subscrições de envio através do Eventarc.
• As subscrições do Pub/Sub criadas antes do perímetro de serviço não são bloqueadas.

A proteção do VPC Service Controls aplica-se a todas as operações de subscritores.

Para mais informações sobre o Pub/Sub Lite, consulte a documentação do produto.

A integração do Pub/Sub Lite com os VPC Service Controls não tem limitações conhecidas.

Use os VPC Service Controls com pools privados do Cloud Build para adicionar segurança adicional às suas compilações.

Para mais informações sobre o Cloud Build, consulte a documentação do produto.

• A proteção do VPC Service Controls só está disponível para compilações executadas em pools privados.

• Os acionadores do Cloud Build Pub/Sub não são suportados.

A API do Cloud Deploy pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Cloud Deploy, consulte a documentação do produto.

Para usar o Cloud Deploy num perímetro, tem de usar um conjunto privado do Cloud Build para os ambientes de execução do destino. Não use o conjunto de trabalhadores predefinido (Cloud Build) nem um conjunto híbrido.

Configurar o Composer para utilização com os VPC Service Controls

Para mais informações sobre o Cloud Composer, consulte a documentação do produto.

• A ativação da serialização de DAGs impede que o Airflow apresente um modelo renderizado com funções na IU Web.

• A definição da flag async_dagbag_loader como True não é suportada enquanto a serialização DAG estiver ativada.

• A ativação da serialização de DAGs desativa todos os plug-ins do servidor Web do Airflow, uma vez que podem colocar em risco a segurança da rede VPC onde o Cloud Composer está implementado. Isto não afeta o comportamento dos plug-ins de agendador ou de trabalho, incluindo operadores e sensores do Airflow.

• Quando o Cloud Composer é executado dentro de um perímetro, o acesso aos repositórios públicos do PyPI é restrito. Na documentação do Cloud Composer, consulte o artigo Instalar dependências do Python para saber como instalar módulos do PyPi no modo de IP privado.

• O Cloud Composer não suporta a utilização de identidades de terceiros em regras de entrada e saída para operações da interface Web do Apache Airflow. No entanto, pode usar o tipo de identidade ANY_IDENTITY nas regras de entrada e saída para permitir o acesso a todas as identidades, incluindo identidades de terceiros. Para mais informações sobre o tipo de identidade ANY_IDENTITY, consulte o artigo Regras de entrada e saída.

A API Cloud Quotas pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre as quotas do Google Cloud, consulte a documentação do produto.

Para mais informações sobre o Cloud Run, consulte a documentação do produto.

• Criação de tarefas do Cloud Scheduler
• Atualizações de tarefas do Cloud Scheduler

Para mais informações sobre o Cloud Scheduler, consulte a documentação do produto.

A API para o Spanner pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Spanner, consulte a documentação do produto.

A integração do Spanner com os VPC Service Controls não tem limitações conhecidas.

A API Speaker ID pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Speaker ID, consulte a documentação do produto.

A integração do Speaker ID com os VPC Service Controls não tem limitações conhecidas.

A API do Cloud Storage pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Cloud Storage, consulte a documentação do produto.

A API Cloud Tasks pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Os pedidos HTTP de execuções do Cloud Tasks são suportados da seguinte forma:

• Os pedidos autenticados para funções do Cloud Run e pontos finais do Cloud Run em conformidade com os VPC Service Controls são permitidos.
• Os pedidos a funções que não sejam do Cloud Run e a pontos finais que não sejam do Cloud Run são bloqueados.
• Os pedidos a funções do Cloud Run e pontos finais do Cloud Run não compatíveis com os VPC Service Controls são bloqueados.

Para mais informações sobre o Cloud Tasks, consulte a documentação do produto.

Os perímetros dos VPC Service Controls protegem a API Admin do Cloud SQL.

Para mais informações sobre o Cloud SQL, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Admin do Cloud SQL. Não protegem o acesso a dados baseados em IP a instâncias do Cloud SQL. Tem de usar uma restrição da política da organização para restringir o acesso a IPs públicos em instâncias do Cloud SQL.
• Antes de configurar o VPC Service Controls para o Cloud SQL, ative a API Service Networking.

• As importações e exportações do Cloud SQL só podem efetuar leituras e escritas a partir de um contentor do Cloud Storage no mesmo perímetro de serviço que a instância de réplica do Cloud SQL.

• No fluxo de migração do servidor externo, tem de adicionar o contentor do Cloud Storage ao mesmo perímetro de serviço.

• No fluxo de criação de chaves para CMEK, use uma das seguintes configurações:

  • Crie a chave no mesmo perímetro de serviço que os recursos que a usam, como o Cloud SQL.
  • Crie a chave num perímetro de serviço que esteja ligado, através de uma ponte de perímetro, ao perímetro de serviço que protege o Cloud SQL.
• Quando restaura uma instância a partir de uma cópia de segurança, a instância de destino tem de residir no mesmo perímetro de serviço que a cópia de segurança.

A API Video Intelligence pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Video Intelligence API, consulte a documentação do produto.

A integração da API Video Intelligence com os VPC Service Controls não tem limitações conhecidas.

A API Cloud Vision pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Cloud Vision API, consulte a documentação do produto.

Para usar a Análise de artefactos com os VPC Service Controls, pode ter de adicionar outros serviços ao seu perímetro da VPC:

• Se estiver a usar notificações do Pub/Sub com a Análise de artefactos, adicione o Pub/Sub ao seu perímetro de serviço.
• Se estiver a usar a API Container Scanning, adicione o seu registo ao perímetro: Artifact Registry ou Container Registry.

Uma vez que a API Container Scanning é uma API sem superfície que armazena os resultados na análise de artefactos, não precisa de proteger a API com um perímetro de serviço.

Para mais informações sobre a análise de artefactos, consulte a documentação do produto.

A integração do Artifact Analysis com os VPC Service Controls não tem limitações conhecidas.

Além de proteger a API Container Registry, o Container Registry pode ser usado num perímetro de serviço com o GKE e o Compute Engine.

Para mais informações sobre o Container Registry, consulte a documentação do produto.

• Quando especifica uma política de entrada ou saída para um perímetro de serviço, não pode usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Container Registry.

  Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.

• Uma vez que o Container Registry usa o domínio gcr.io, tem de configurar o DNS para *.gcr.io de modo a mapear para private.googleapis.com ou restricted.googleapis.com. Para mais informações, consulte o artigo Proteger o Container Registry num perímetro de serviço.

• Além dos contentores dentro de um perímetro que estão disponíveis para o Container Registry, os seguintes repositórios só de leitura estão disponíveis para todos os projetos, independentemente das restrições aplicadas pelos perímetros de serviço:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  Em todos os casos, as versões multirregionais destes repositórios também estão disponíveis.

A API Google Kubernetes Engine pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Google Kubernetes Engine, consulte a documentação do produto.

• Para proteger totalmente a API Google Kubernetes Engine, também tem de incluir a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.
• Só é possível proteger clusters privados através dos VPC Service Controls. Os clusters com endereços IP públicos não são suportados pelos VPC Service Controls.

• A entrada do serviço GKE nesta tabela especifica apenas o controlo da própria API GKE. O GKE depende de vários outros serviços subjacentes para o seu funcionamento, como o Compute Engine, o Cloud Logging, o Cloud Monitoring e a API Autoscaling (autoscaling.googleapis.com). Para proteger eficazmente os seus ambientes do GKE com o VPC Service Controls, tem de garantir que todos os serviços subjacentes necessários também estão incluídos no seu perímetro de serviço. Consulte a documentação do GKEpara ver uma lista completa destes serviços.

A API Container Security API pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Container Security, consulte a documentação do produto.

A integração da API Container Security com os VPC Service Controls não tem limitações conhecidas.

O streaming de imagens é uma funcionalidade de streaming de dados do GKE que oferece tempos de obtenção de imagens de contentores mais curtos para imagens armazenadas no Artifact Registry. Se os VPC Service Controls protegerem as suas imagens de contentores e usar o streaming de imagens, também tem de incluir a API Image streaming no perímetro de serviço.

Para mais informações sobre o streaming de imagens, consulte a documentação do produto.

• Os seguintes repositórios só de leitura estão disponíveis para todos os projetos, independentemente das restrições aplicadas pelos perímetros de serviço:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

As APIs de gestão de frotas, incluindo o gateway Connect, podem ser protegidas com os VPC Service Controls, e as funcionalidades de gestão de frotas podem ser usadas normalmente dentro dos perímetros de serviço. Para mais informações, consulte o seguinte:

• Use os VPC Service Controls com o agente Connect
• Use os VPC Service Controls com o gateway Connect

Para mais informações sobre as frotas, consulte a documentação do produto.

• Embora todas as funcionalidades de gestão de frotas possam ser usadas normalmente, a ativação de um perímetro de serviço em torno da API Stackdriver restringe a integração da funcionalidade de frota do Policy Controller com o Security Command Center.
• Quando usa o gateway Connect para aceder a clusters do GKE, o perímetro dos VPC Service Controls para container.googleapis.com não é aplicado.

A API FleetPackage pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a FleetPackage API, consulte a documentação do produto.

A integração da API FleetPackage com os VPC Service Controls não tem limitações conhecidas.

Os seguintes métodos da API Cloud Resource Manager podem ser protegidos pelos VPC Service Controls:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Para mais informações sobre o Resource Manager, consulte a documentação do produto.

• Apenas as chaves de etiquetas diretamente subordinadas a um recurso de projeto e os valores de etiquetas correspondentes podem ser protegidos através dos VPC Service Controls. Quando um projeto é adicionado a um perímetro dos VPC Service Controls, todas as chaves de etiquetas e os valores de etiquetas correspondentes no projeto são considerados recursos dentro do perímetro.
• As chaves de etiquetas subordinadas a um recurso de organização e os respetivos valores de etiquetas não podem ser incluídos num perímetro dos VPC Service Controls e não podem ser protegidos através dos VPC Service Controls.
• Os clientes dentro de um perímetro do VPC Service Controls não podem aceder às chaves de etiquetas e aos valores correspondentes pertencentes a um recurso da organização, a menos que seja definida uma regra de saída que permita o acesso no perímetro. Para mais informações sobre como definir regras de saída, consulte o artigo Regras de entrada e saída.
• As associações de etiquetas são consideradas recursos dentro do mesmo perímetro que o recurso ao qual o valor da etiqueta está associado. Por exemplo, as associações de etiquetas numa instância do Compute Engine num projeto são consideradas pertencentes a esse projeto, independentemente de onde a chave de etiqueta está definida.
• Alguns serviços, como o Compute Engine, permitem criar associações de etiquetas através das respetivas APIs de serviço, além das APIs de serviço do Resource Manager. Por exemplo, adicionar etiquetas a uma VM do Compute Engine durante a criação de recursos. Para proteger as associações de etiquetas criadas ou eliminadas através destas APIs de serviços, adicione o serviço correspondente, como o compute.googleapis.com, à lista de serviços restritos no perímetro.
• As etiquetas suportam restrições ao nível do método, pelo que pode restringir o acesso method_selectors a métodos da API específicos. Para ver uma lista de métodos restritivos, consulte o artigo Restrições de métodos de serviços suportados.
• A atribuição da função de proprietário num projeto através da Google Cloud consola já é suportada pelos VPC Service Controls. Não pode enviar um convite de proprietário nem aceitar um convite fora dos perímetros de serviço. Se tentar aceitar um convite de fora do perímetro, não lhe é concedido o papel de proprietário e não é apresentada nenhuma mensagem de erro ou aviso.

A API Cloud Logging pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Cloud Logging, consulte a documentação do produto.

A API Certificate Manager pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Gestor de certificados, consulte a documentação do produto.

A integração do Certificate Manager com os VPC Service Controls não tem limitações conhecidas.

A API Cloud Monitoring pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Cloud Monitoring, consulte a documentação do produto.

A API do Cloud Profiler pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Cloud Profiler, consulte a documentação do produto.

A integração do Cloud Profiler com os VPC Service Controls não tem limitações conhecidas.

A API Telemetry API pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Telemetry, consulte a documentação do produto.

A integração da API Telemetry com os VPC Service Controls não tem limitações conhecidas.

A API Timeseries Insights pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Timeseries Insights, consulte a documentação do produto.

A integração da API Timeseries Insights com os VPC Service Controls não tem limitações conhecidas.

A API Cloud Trace pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Cloud Trace, consulte a documentação do produto.

A integração do Cloud Trace com os VPC Service Controls não tem limitações conhecidas.

A API Cloud TPU pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a TPU na nuvem, consulte a documentação do produto.

A integração do Cloud TPU com os VPC Service Controls não tem limitações conhecidas.

Para mais informações sobre a API Natural Language, consulte a documentação do produto.

Uma vez que a API Natural Language é uma API sem estado e não é executada em projetos, a utilização do VPC Service Controls para proteger a API Natural Language não tem qualquer efeito.

A API Network Connectivity Center pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Network Connectivity Center, consulte a documentação do produto.

A integração do Network Connectivity Center com os VPC Service Controls não tem limitações conhecidas.

A API Cloud Asset pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Cloud Asset API, consulte a documentação do produto.

• Os VPC Service Controls não suportam o acesso a recursos da Cloud Asset API ao nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. Os VPC Service Controls protegem os recursos da API Cloud Asset ao nível do projeto. Pode especificar uma política de saída para impedir o acesso a recursos da API Cloud Asset ao nível do projeto a partir de projetos dentro do perímetro.
• Os VPC Service Controls não suportam a adição de recursos da Cloud Asset API ao nível da pasta ou da organização a um perímetro de serviço. Não pode usar um perímetro para proteger recursos da API Cloud Asset ao nível da pasta ou da organização. Para gerir as autorizações do Cloud Asset Inventory ao nível da pasta ou da organização, recomendamos que use o IAM.

A API Speech-to-Text pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a conversão de voz em texto, consulte a documentação do produto.

A integração do Speech-to-Text com os VPC Service Controls não tem limitações conhecidas.

A API Text-to-Speech pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a conversão de texto em voz, consulte a documentação do produto.

A integração de conversão de texto em voz com os VPC Service Controls não tem limitações conhecidas.

A API Translation pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a tradução, consulte a documentação do produto.

O Cloud Translation – Advanced (v3) suporta os VPC Service Controls, mas não o Cloud Translation – Basic (v2). Para aplicar os VPC Service Controls, tem de usar o Cloud Translation – Advanced (v3). Para mais informações acerca das diferentes edições, consulte Comparar básico e avançado.

Crie um perímetro de serviço para o License Manager com a API License Manager para proteger as suas licenças.

Para mais informações sobre o License Manager, consulte a documentação do produto.

A integração do License Manager com os VPC Service Controls não tem limitações conhecidas.

Use os VPC Service Controls com a API Live Stream para proteger o seu pipeline.

Para mais informações sobre a API Live Stream, consulte a documentação do produto.

Para proteger os pontos finais de entrada com um perímetro de serviço, tem de seguir as instruções para configurar um conjunto privado e enviar streams de vídeo de entrada através de uma ligação privada.

A API Transcoder pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Transcoder, consulte a documentação do produto.

A integração da Transcoder API com os VPC Service Controls não tem limitações conhecidas.

A API Video Stitcher pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Video Stitcher, consulte a documentação do produto.

A integração da API Video Stitcher com os VPC Service Controls não tem limitações conhecidas.

A API Access Approval pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a aprovação de acessos, consulte a documentação do produto.

A integração da Aprovação de acesso com os VPC Service Controls não tem limitações conhecidas.

A API Cloud Healthcare pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Cloud Healthcare API, consulte a documentação do produto.

Os VPC Service Controls não suportam chaves de encriptação geridas pelo cliente (CMEK) na Cloud Healthcare API.

Recomendamos que coloque o seu projeto do serviço de transferência de armazenamento no mesmo perímetro de serviço que os seus recursos do Cloud Storage. Isto protege a sua transferência e os seus recursos do Cloud Storage. O Serviço de transferência de armazenamento também suporta cenários em que o projeto do Serviço de transferência de armazenamento não está no mesmo perímetro que os seus contentores do Cloud Storage, através de uma política de saída.

Para informações de configuração, consulte o artigo Usar o Serviço de transferência de armazenamento com os VPC Service Controls

Serviço de transferência para dados no local

Consulte o artigo Usar a Transferência para sistemas no local com os VPC Service Controls para ver detalhes e informações de configuração da Transferência para sistemas no local.

Para mais informações sobre o Serviço de Transferência de Armazenamento, consulte a documentação do produto.

A API Service Control pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do controlo de serviços, consulte a documentação do produto.

• Quando chama a API Service Control a partir de uma rede VPC num perímetro de serviço com o controlo de serviços restrito para comunicar métricas de faturação ou de estatísticas, só pode usar o método Service Control report para comunicar métricas para serviços suportados pelos VPC Service Controls.

A API para o Memorystore for Redis pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Memorystore para Redis, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Redis na mesma rede.

• Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Redis só podem ler e escrever num contentor do Cloud Storage dentro do mesmo perímetro de serviço que a instância do Memorystore for Redis.

• Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Redis no mesmo perímetro para que os pedidos do Redis sejam bem-sucedidos. Em qualquer altura, a separação do projeto anfitrião e do projeto de serviço com um perímetro pode causar uma falha da instância do Redis, além de pedidos bloqueados. Para mais informações, consulte os requisitos de configuração do Memorystore para Redis.

A API do Memorystore for Memcached pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Memorystore para Memcached, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Memorystore for Memcached. Os perímetros não protegem o acesso normal aos dados nas instâncias do Memorystore for Memcached na mesma rede.

• Os perímetros de serviço protegem apenas a API Memorystore for Valkey. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Valkey na mesma rede.

• Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Valkey só podem ler e escrever num contentor do Cloud Storage dentro do mesmo perímetro de serviço que a instância do Memorystore for Valkey.

• Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Redis no mesmo perímetro para que os pedidos do Redis sejam bem-sucedidos. Em qualquer altura, a separação do projeto anfitrião e do projeto de serviço com um perímetro pode causar uma falha da instância do Redis, além de pedidos bloqueados. Para mais informações, consulte os requisitos de configuração do Memorystore for Valkey.

• A API Memorystore for Valkey está memorystore.googleapis.com. Por este motivo, o nome a apresentar do Memorystore for Valkey é "API Memorystore" quando usa os VPC Service Controls na Google Cloud consola.

Para mais informações sobre o Memorystore for Valkey, consulte a documentação do produto.

A API Service Directory pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o diretório de serviços, consulte a documentação do produto.

A integração do Service Directory com os VPC Service Controls não tem limitações conhecidas.

Para proteger totalmente a IA de inspeção visual, inclua todas as seguintes APIs no seu perímetro:

• API Visual Inspection AI (visualinspection.googleapis.com)
• API Vertex AI (aiplatform.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Artifact Registry (artifactregistry.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Para mais informações sobre a IA de inspeção visual, consulte a documentação do produto.

A integração da IA de inspeção visual com os VPC Service Controls não tem limitações conhecidas.

O Transfer Appliance é totalmente suportado para projetos que usam os VPC Service Controls.

O Transfer Appliance não oferece uma API e, por isso, não suporta funcionalidades relacionadas com a API nos VPC Service Controls.

Para mais informações sobre o Transfer Appliance, consulte a documentação do produto.

• Quando o Cloud Storage está protegido pelos VPC Service Controls, a chave do Cloud KMS que partilha com a equipa do Transfer Appliance tem de estar no mesmo projeto que o contentor do Cloud Storage de destino.

A API Organization Policy Service pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do serviço de políticas da organização, consulte a documentação do produto.

Os VPC Service Controls não suportam restrições de acesso a políticas da organização ao nível da pasta ou da organização que são herdadas pelo projeto. Os VPC Service Controls protegem os recursos da API Organization Policy Service ao nível do projeto.

Por exemplo, se uma regra de entrada restringir o acesso de um utilizador à API Organization Policy Service, esse utilizador recebe um erro 403 quando consulta as políticas de organização aplicadas no projeto. No entanto, o utilizador continua a poder aceder às políticas da organização da pasta e da organização que contém o projeto.

Pode chamar a API OS Login a partir de perímetros dos VPC Service Controls. Para gerir o Início de sessão do SO a partir de perímetros dos VPC Service Controls, configure o Início de sessão do SO.

As ligações SSH a instâncias de VM não estão protegidas pelos VPC Service Controls.

Para mais informações sobre o início de sessão no SO, consulte a documentação do produto.

Os métodos de Início de sessão do SO para leitura e escrita de chaves SSH não aplicam perímetros dos VPC Service Controls. Use serviços acessíveis por VPC para desativar o acesso às APIs OS Login.

A API para o estado de saúde do serviço personalizado pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o estado de funcionamento do serviço personalizado, consulte a documentação do produto.

Os VPC Service Controls não suportam os recursos OrganizationEvents e OrganizationImpacts da API Service Health. Por conseguinte, as verificações de políticas dos VPC Service Controls não ocorrem quando chama os métodos para estes recursos. No entanto, pode invocar os métodos a partir de um perímetro de serviço através de um VIP restrito.

Pode chamar a API OS Config a partir de perímetros do VPC Service Controls. Para usar o VM Manager a partir de perímetros do VPC Service Controls, configure o VM Manager.

Para mais informações sobre o VM Manager, consulte a documentação do produto.

O Workflows é uma plataforma de orquestração que pode combinar serviços da Google Cloud Platform e APIs baseadas em HTTP para executar serviços por uma ordem que define.

Quando protege a API Workflows com um perímetro de serviço, a API Workflow Executions também fica protegida. Não precisa de adicionar separadamente workflowexecutions.googleapis.com à lista de serviços protegidos do seu perímetro.

Os pedidos HTTP de uma execução do Workflows são suportados da seguinte forma:

• Os pedidos autenticados para os pontos finais Google Cloud em conformidade com os VPC Service Controls são permitidos.
• Os pedidos para funções do Cloud Run e pontos finais de serviço do Cloud Run são permitidos.
• Os pedidos a pontos finais de terceiros estão bloqueados.
• Os pedidos para endpoints Google Cloud não compatíveis com os VPC Service Controls são bloqueados.

Para mais informações sobre os fluxos de trabalho, consulte a documentação do produto.

A integração do Workflows com os VPC Service Controls não tem limitações conhecidas.

A API para o Filestore pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Filestore, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Filestore. Os perímetros não protegem o acesso normal aos dados NFS em instâncias do Filestore na mesma rede.

• Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Filestore no mesmo perímetro para que a instância do Filestore funcione corretamente. A separação do projeto anfitrião e do projeto de serviço com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e pode não criar novas instâncias.

Para mais informações sobre a Parallelstore, consulte a documentação do produto.

• Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Parallelstore dentro do mesmo perímetro para que a instância do Parallelstore funcione corretamente. A separação do projeto anfitrião e do projeto de serviço com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e pode não criar novas instâncias.

A API Container Threat Detection pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a deteção de ameaças de contentores, consulte a documentação do produto.

Para mais informações sobre o Ads Data Hub, consulte a documentação do produto.

O VPC Service Controls só restringe as trocas de tokens se o público-alvo no pedido for um recurso ao nível do projeto. Por exemplo, os VPC Service Controls não restringem os pedidos de tokens com âmbito reduzido, porque esses pedidos não têm público-alvo. O VPC Service Controls também não restringe os pedidos de Workforce Identity Federation porque o público-alvo é um recurso ao nível da organização.

Para mais informações acerca do serviço de tokens de segurança, consulte a documentação do produto.

Os serviços firestore.googleapis.com, datastore.googleapis.com e firestorekeyvisualizer.googleapis.com estão agrupados. Quando restringe o serviço firestore.googleapis.com num perímetro, o perímetro também restringe os serviços datastore.googleapis.com e firestorekeyvisualizer.googleapis.com. Não tem de adicionar estes serviços separadamente à lista de serviços protegidos do seu perímetro.

Para restringir o serviço datastore.googleapis.com, use o nome do serviço firestore.googleapis.com.

Para obter proteção de saída total nas operações de importação e exportação, tem de usar o agente de serviço do Firestore. Consulte o seguinte para mais informações:

• Proteger as operações de importação e exportação do Firestore com os VPC Service Controls.
• Proteger as operações de importação e exportação do Datastore com os VPC Service Controls.

Para mais informações sobre o Firestore/Datastore, consulte a documentação do produto.

A API Migrate to Virtual Machines pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a migração para máquinas virtuais, consulte a documentação do produto.

• Para proteger totalmente o Migrate to Virtual Machines, adicione todas as seguintes APIs ao perímetro de serviço:

  • API Artifact Registry (artifactregistry.googleapis.com)
  • Pub/Sub API (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Para mais informações, consulte a documentação Migrar para máquinas virtuais.

Os VPC Service Controls permitem-lhe proteger os dados de infraestrutura que recolhe com o Migration Center com um perímetro de serviço.

Para mais informações sobre o Migration Center, consulte a documentação do produto.

A API do serviço de cópia de segurança e recuperação de desastres pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do serviço de cópia de segurança e recuperação de desastres, consulte a documentação do produto.

Se remover a rota predefinida da Internet do projeto do produtor de serviços através do comando gcloud services vpc-peerings enable-vpc-service-controls, pode não conseguir aceder nem implementar a consola de gestão. Se ocorrer este problema, contacte o apoio ao cliente do Google Cloud.

Pode usar os VPC Service Controls para proteger a cópia de segurança do GKE e pode usar as funcionalidades de cópia de segurança do GKE normalmente dentro dos perímetros de serviço.

Para mais informações sobre a cópia de segurança para o GKE, consulte a documentação do produto.

A integração do Backup for GKE com os VPC Service Controls não tem limitações conhecidas.

A API Retail pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Retail, consulte a documentação do produto.

A integração da Retail API com os VPC Service Controls não tem limitações conhecidas.

A integração de aplicações é um sistema de gestão de fluxos de trabalho colaborativo que lhe permite criar, aumentar, depurar e compreender os fluxos de trabalho do sistema empresarial principal. Os fluxos de trabalho na solução Application Integration são compostos por acionadores e tarefas. Existem vários tipos de acionadores, como o acionador de API/acionador de publicação/subscrição/acionador cron/acionador sfdc.

Para mais informações sobre a integração de aplicações, consulte a documentação do produto.

A API Integration Connectors pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre os conectores de integração, consulte a documentação do produto.

A API do Error Reporting pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca dos relatórios de erros, consulte a documentação do produto.

A API Cloud Workstations pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre as Cloud Workstations, consulte a documentação do produto.

• Para proteger totalmente o Cloud Workstations, tem de restringir a API Compute Engine no seu perímetro de serviço sempre que restringir a API Cloud Workstations.
• Certifique-se de que a API Google Cloud Storage, a API Google Container Registry e a API Artifact Registry são acessíveis através da VPC no seu perímetro de serviço. Isto é necessário para transferir imagens para a sua estação de trabalho. Também recomendamos que permita que a API Cloud Logging e a API Cloud Error Reporting sejam acessíveis através da VPC no seu perímetro de serviço, embora isto não seja necessário para usar o Cloud Workstations.
• Certifique-se de que o cluster da estação de trabalho é privado. A configuração de um cluster privado impede as ligações às suas estações de trabalho a partir de fora do perímetro de serviço da VPC.
• Certifique-se de que desativa os endereços IP públicos na configuração da estação de trabalho. Se não o fizer, as VMs têm endereços IP públicos no seu projeto. Recomendamos vivamente que use a restrição da política da organização para desativar os endereços IP públicos para todas as VMs no perímetro de serviço da VPC.constraints/compute.vmExternalIpAccess Para ver detalhes, consulte o artigo Restringir endereços IP externos a VMs específicas.
• Ao estabelecer ligação à sua estação de trabalho, o controlo de acesso baseia-se apenas no facto de a rede privada a partir da qual está a estabelecer ligação pertencer ao perímetro de segurança. O controlo de acesso baseado no dispositivo, no endereço IP público ou na localização não é suportado.

A API para o Cloud IDS pode ser protegida pelos VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Cloud IDS, consulte a documentação do produto.

O Cloud IDS usa o Cloud Logging para criar registos de ameaças no seu projeto. Se o Cloud Logging estiver restrito pelo perímetro de serviço, os VPC Service Controls bloqueiam os registos de ameaças do Cloud IDS, mesmo que o Cloud IDS não seja adicionado como um serviço restrito ao perímetro. Para usar o Cloud IDS num perímetro de serviço, tem de configurar uma regra de entrada para a conta de serviço do Cloud Logging no seu perímetro de serviço.

Para mais informações sobre o Chrome Enterprise Premium, consulte a documentação do produto.

A integração do Chrome Enterprise Premium com os VPC Service Controls não tem limitações conhecidas.

Quando restringe a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas relativos às políticas de autorização da IAM se todos os recursos envolvidos no pedido estiverem no mesmo perímetro. Normalmente, existem dois recursos envolvidos numa solicitação de resolução de problemas:

• O recurso para o qual está a resolver problemas de acesso. Este recurso pode ser de qualquer tipo. Especifica explicitamente este recurso quando resolve problemas de uma política de autorização.

• O recurso que está a usar para resolver problemas de acesso. Este recurso é um projeto, uma pasta ou uma organização. Na Google Cloud consola e na CLI gcloud, este recurso é inferido com base no projeto, na pasta ou na organização que selecionou. Na API REST, especifica este recurso através do cabeçalho x-goog-user-project.

  Este recurso pode ser o mesmo que o recurso para o qual está a resolver problemas de acesso, mas não tem de o ser.

Se estes recursos não estiverem no mesmo perímetro, o pedido falha.

Para mais informações sobre a ferramenta de resolução de problemas de políticas, consulte a documentação do produto.

A integração da resolução de problemas de políticas com os VPC Service Controls não tem limitações conhecidas.

Quando restringe a API Policy Simulator com um perímetro, os principais só podem simular políticas de autorização se determinados recursos envolvidos na simulação estiverem no mesmo perímetro. Existem vários recursos envolvidos numa simulação:

• O recurso cuja política de permissão está a simular. Este recurso também é denominado recurso de destino. Na Google Cloud consola, este é o recurso cuja política de permissão está a editar. Na CLI gcloud e na API REST, especifica explicitamente este recurso quando simula uma política de autorização.

• O projeto, a pasta ou a organização que cria e executa a simulação. Este recurso também é denominado recurso de anfitrião. Na Google Cloud consola e na CLI gcloud, este recurso é inferido com base no projeto, na pasta ou na organização que selecionou. Na API REST, especifica este recurso através do cabeçalho x-goog-user-project.

  Este recurso pode ser o mesmo que o recurso para o qual está a simular o acesso, mas não tem de o ser.

• O recurso que fornece registos de acesso para a simulação. Numa simulação, existe sempre um recurso que fornece registos de acesso para a simulação. Este recurso varia consoante o tipo de recurso de destino:

  • Se estiver a simular uma política de permissão para um projeto ou uma organização, o Simulador de políticas obtém os registos de acesso desse projeto ou organização.
  • Se estiver a simular uma política de autorização para um tipo de recurso diferente, o Simulador de políticas obtém os registos de acesso do projeto ou da organização principal desse recurso.
  • Se estiver a simular as políticas de autorização de vários recursos em simultâneo, o Policy Simulator obtém os registos de acesso do projeto ou da organização comum mais próximo dos recursos.
• Todos os recursos suportados com políticas de permissão relevantes. Quando o Simulador de políticas executa uma simulação, considera todas as políticas de permissão que possam afetar o acesso do utilizador, incluindo políticas de permissão nos recursos antecessores e descendentes do recurso de destino. Como resultado, estes recursos principais e subordinados também estão envolvidos em simulações.

Se o recurso de destino e o recurso anfitrião não estiverem no mesmo perímetro, o pedido falha.

Se o recurso de destino e o recurso que fornece registos de acesso para a simulação não estiverem no mesmo perímetro, o pedido falha.

Se o recurso de destino e alguns recursos suportados com políticas de permissão relevantes não estiverem no mesmo perímetro, os pedidos são bem-sucedidos, mas os resultados podem estar incompletos. Por exemplo, se estiver a simular uma política para um projeto num perímetro, os resultados não incluem a política de permissão da organização principal do projeto, porque as organizações estão sempre fora dos perímetros dos VPC Service Controls. Para obter resultados mais completos, pode configurar regras de entrada e saída para o perímetro.

Para mais informações acerca do Simulador de políticas, consulte a documentação do produto.

A integração do Simulador de políticas com os VPC Service Controls não tem limitações conhecidas.

A API Essential Contacts pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre os contactos essenciais, consulte a documentação do produto.

A integração dos Contactos essenciais com os VPC Service Controls não tem limitações conhecidas.

A API para o Identity Platform pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Identity Platform, consulte a documentação do produto.

• Para proteger totalmente o Identity Platform, adicione a API Secure Token (securetoken.googleapis.com) ao perímetro de serviço para permitir a atualização de tokens. securetoken.googleapis.com não está listado na página VPC Service Controls da consola Google Cloud . Só pode adicionar este serviço com o comando gcloud access-context-manager perimeters update.

• Se a sua aplicação também se integrar com a funcionalidade de funções de bloqueio, adicione funções do Cloud Run (cloudfunctions.googleapis.com) ao perímetro de serviço.

• A utilização da autenticação multifator (MFA) baseada em SMS, da autenticação por email ou de fornecedores de identidade de terceiros faz com que os dados sejam enviados para fora do perímetro. Se não usar a MFA com SMS, autenticação por email ou fornecedores de identidade de terceiros, desative estas funcionalidades.

A API para o GKE Multi-Cloud pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o GKE Multi-Cloud, consulte a documentação do produto.

• Para proteger totalmente a API GKE Multi-Cloud, também tem de incluir a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.

A API GKE On-Prem pode ser protegida pelos VPC Service Controls e pode ser usada normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API GKE On-Prem, consulte a documentação do produto.

• Para proteger totalmente a API GKE On-Prem, adicione todas as seguintes APIs ao perímetro de serviço:

  • API Kubernetes Metadata (kubernetesmetadata.googleapis.com)
  • Cloud Monitoring API (monitoring.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  Tenha em atenção que os VPC Service Controls não protegem contra exportações de registos do Cloud Logging ao nível da pasta ou da organização.

Pode criar um cluster no seu ambiente, que está ligado à VPC através do Cloud Interconnect ou da Cloud VPN.

Para mais informações sobre o Google Distributed Cloud (apenas software) para hardware sem sistema operativo, consulte a documentação do produto.

• Para proteger os seus clusters, use o VIP restrito no Google Distributed Cloud (apenas software) para bare metal e adicione todas as seguintes APIs ao perímetro de serviço:

• API Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• GKE Hub API (gkehub.googleapis.com)
• API GKE On-Prem (gkeonprem.googleapis.com)
• API Cloud IAM (iam.googleapis.com)
• Cloud Logging API (logging.googleapis.com)
• Cloud Monitoring API (monitoring.googleapis.com)
• Config Monitoring for Ops API (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

A API On-Demand Scanning pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API On-Demand Scanning, consulte a documentação do produto.

A integração da API On-Demand Scanning com os VPC Service Controls não tem limitações conhecidas.

A API do Looker (Google Cloud core) pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Looker (Google Cloud core), consulte a documentação do produto.

• Apenas as edições Enterprise ou Incorporação de instâncias do Looker (Google Cloud core) que usam ligações de IP privadas suportam a conformidade com os VPC Service Controls. As instâncias do Looker (Google Cloud core) com ligações de IP público ou ligações de IP público e privado não suportam a conformidade com os VPC Service Controls. Para criar uma instância que use uma ligação IP privada, selecione IP privado na secção Rede da página Criar instância da Google Cloud consola.

• Quando coloca ou cria uma instância do Looker (Google Cloud core) num perímetro de serviço do VPC Service Controls, tem de remover a rota predefinida para a Internet chamando o método services.enableVpcServiceControls ou executando o seguinte comando gcloud:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
  
  A remoção da rota predefinida restringe o tráfego de saída apenas a serviços compatíveis com o VPC Service Controls. Por exemplo, o envio de email falha porque a API usada para enviar email não é compatível com os VPC Service Controls.

• Se estiver a usar a VPC partilhada, certifique-se de que inclui o projeto de serviço do Looker (essencial para o Google Cloud) no mesmo perímetro de serviço que o projeto anfitrião da VPC partilhada ou cria uma ponte de perímetro entre os dois projetos. Se o projeto de serviço do Looker (essencial para o Google Cloud) e o projeto anfitrião da VPC partilhada não estiverem no mesmo perímetro ou não puderem comunicar através de uma ponte de perímetro, a criação de instâncias pode falhar ou a instância do Looker (essencial para o Google Cloud) pode não funcionar corretamente.

• Se estiver a usar o Looker Studio Pro ou o Studio no Looker, o conetor do Looker não consegue estabelecer ligação a uma instância do Looker (essencial para o Google Cloud) que esteja dentro de um perímetro dos VPC Service Controls. Para mais informações sobre as limitações do conetor do Looker, consulte a página de documentação Limites do conetor do Looker.

A API para a autoridade de certificação pública pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca da autoridade de certificação pública, consulte a documentação do produto.

A integração da autoridade de certificação pública com os VPC Service Controls não tem limitações conhecidas.

• Para usar os VPC Service Controls com operações em lote de armazenamento, crie um perímetro de serviço para proteger o seguinte projeto e Google Cloud serviços:
  • Projeto do Cloud Storage
  • API Storage Batch Operations (storagebatchoperations.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • Opcional: API Cloud KMS (cloudkms.googleapis.com), se usar o tipo de tarefa de atualizações da chave de encriptação de objetos).
• Para permitir o acesso a operações em lote de armazenamento a partir do exterior do perímetro, tem de configurar políticas de entrada.

Para mais informações sobre as operações em lote de armazenamento, consulte a documentação do produto.

A integração das operações em lote do Storage com os VPC Service Controls não tem limitações conhecidas.

A API Storage Insights pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca das estatísticas de armazenamento, consulte a documentação do produto.

A integração do Storage Insights com os VPC Service Controls não tem limitações conhecidas.

Para proteger totalmente os pipelines de dados do Dataflow, inclua todas as seguintes APIs no seu perímetro:

• API Dataflow (dataflow.googleapis.com)
• API Cloud Scheduler (cloudscheduler.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Para mais informações sobre os pipelines de dados do Dataflow, consulte a documentação do produto.

A integração das Data Pipelines do Dataflow com os VPC Service Controls não tem limitações conhecidas.

As APIs do Security Command Center podem ser protegidas pelos VPC Service Controls, e o Security Command Center pode ser usado normalmente dentro dos perímetros de serviço.

Os serviços do securitycenter.googleapis.com e do securitycentermanagement.googleapis.com estão agrupados. Quando restringe o serviço securitycenter.googleapis.com num perímetro, o perímetro restringe o serviço securitycentermanagement.googleapis.com por predefinição. Não pode adicionar o serviço securitycentermanagement.googleapis.com à lista de serviços restritos num perímetro porque está incluído no pacote securitycenter.googleapis.com.

Para mais informações acerca do Security Command Center, consulte a documentação do produto.

• Os VPC Service Controls não suportam o acesso a recursos da API Security Command Center ao nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. Os VPC Service Controls protegem os recursos da API Security Command Center ao nível do projeto. Pode especificar uma política de saída para impedir o acesso a recursos da API Security Command Center ao nível do projeto a partir de projetos dentro do perímetro.
• O VPC Service Controls não suporta a adição de recursos da API Security Command Center ao nível da pasta ou da organização a um perímetro de serviço. Não pode usar um perímetro para proteger recursos da API Security Command Center ao nível da pasta ou da organização. Para gerir as autorizações do Security Command Center ao nível da pasta ou da organização, recomendamos que use o IAM.
• O VPC Service Controls não suporta o serviço de postura de segurança porque os recursos de postura de segurança (como posturas, implementações de posturas e modelos de posturas predefinidos) são recursos ao nível da organização.
• Não pode exportar resultados ao nível da pasta ou da organização para destinos dentro de um perímetro de serviço.
• Tem de ativar o acesso ao perímetro nos seguintes cenários:
  • Quando ativa as notificações de localização ao nível da pasta ou da organização e o tópico do Pub/Sub está dentro de um perímetro de serviço.
  • Quando exporta dados para o BigQuery ao nível da pasta ou da organização e o BigQuery está dentro de um perímetro de serviço.
  • Quando integra o Security Command Center com um produto SIEM ou SOAR e o produto é implementado dentro de um perímetro de serviço num ambiente da Google Cloud Platform. Os SIEMs e SOARs suportados incluem Splunk e IBM QRadar.
  • Quando ativa o software de código aberto garantido num perímetro de serviço.
  • Quando quiser que a deteção de ameaças da máquina virtual analise as VMs nos seus perímetros de serviço.
  • Quando quiser permitir a avaliação de vulnerabilidades para Google Cloud analisar VMs nos seus perímetros.
  • Para usar a Deteção de ameaças de contentores, tem de conceder à conta de serviço da Deteção de ameaças de contentores acesso de entrada a esse perímetro de serviço.
  • Quando quer que a Deteção de ameaças de eventos monitorize streams de registo no Security Command Center dentro dos perímetros dos VPC Service Controls.
  • Quando quiser usar o Mandiant Attack Surface Management no Security Command Center dentro dos perímetros dos VPC Service Controls.

A API Cloud Customer Care pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do apoio técnico ao cliente do Google Cloud, consulte a documentação do produto.

A API for AI Applications – Vertex AI Search pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre as aplicações de IA – Vertex AI Search, consulte a documentação do produto.

Para garantir que o espaço confidencial funciona corretamente nos limites do perímetro, tem de configurar regras de saída.

• Se o seu espaço confidencial precisar de aceder a contentores do Cloud Storage fora do seu perímetro, crie uma regra de saída para permitir o acesso a esses contentores.
• Se estiver a ativar a API Confidential Space em recursos do Compute Engine fora do seu perímetro, crie uma regra de saída para permitir o acesso a esta API.

Para mais informações sobre o Confidential Space, consulte a documentação do produto.

Para usar a proteção dos VPC Service Controls quando estabelecer ligação à consola série para uma instância de máquina virtual (VM), tem de especificar uma regra de entrada para o perímetro de serviço. Quando configurar a regra de entrada, o nível de acesso da origem tem de ser um valor baseado em IP e o nome do serviço tem de estar definido como ssh-serialport.googleapis.com. A regra de entrada é necessária para aceder à consola série, mesmo que o pedido de origem e o recurso de destino estejam no mesmo perímetro.

Para mais informações acerca da consola série, consulte a documentação do produto.

Para mais informações sobre o Google Cloud VMware Engine, consulte a documentação do produto.

Para saber como controlar o acesso ao Dataform com os VPC Service Controls, consulte o artigo Configure os VPC Service Controls para o Dataform.

Para mais informações sobre o Dataform, consulte a documentação do produto.

O Web Security Scanner e o VPC Service Controls estão sujeitos a diferentes Termos de Utilização. Reveja os termos de cada produto para ver detalhes.

O Web Security Scanner envia as conclusões ao Security Command Center a pedido. Pode ver ou transferir os dados do painel de controlo do Security Command Center.

Para mais informações acerca do Web Security Scanner, consulte a documentação do produto.

A integração do Web Security Scanner com os VPC Service Controls não tem limitações conhecidas.

• Tem de configurar o serviço de autoridade de certificação com uma autoridade de certificação funcional antes de criar instâncias do VPC Service Controls do Secure Source Manager.
• Tem de configurar o Private Service Connect antes de aceder à instância do VPC Service Controls do Secure Source Manager.

Para mais informações sobre o Secure Source Manager, consulte a documentação do produto.

• A violação do registo de auditoria SERVICE_NOT_ALLOWED_FROM_VPC causada por limitações do GKE pode ser ignorada.
• Para abrir a interface Web do VPC Service Controls com um navegador, o navegador precisa de acesso aos seguintes URLs:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Por exemplo, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

• As APIs para o proxy Web seguro podem ser protegidas pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
• Se aprovisionar o seu proxy com um certificado, também tem de incluir a API Certificate Manager (certificatemanager.googleapis.com) no seu perímetro de serviço.
• Se ativar a inspeção TLS para o seu proxy, também tem de incluir a API Certificate Authority Service (privateca.googleapis.com) no seu perímetro de serviço.

Para mais informações acerca do proxy Web seguro, consulte a documentação do produto.

A integração do proxy Web seguro com os VPC Service Controls não tem limitações conhecidas.

A API para chaves de API pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre as chaves de API, consulte a documentação do produto.

A integração das chaves de API com os VPC Service Controls não tem limitações conhecidas.

A API Cloud Controls Partner pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Partner Console nos controlos soberanos por parceiros, consulte a documentação do produto.

A API para microsserviços pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre microsserviços, consulte a documentação do produto.

A integração de microsserviços com os VPC Service Controls não tem limitações conhecidas.

Os serviços earthengine.googleapis.com e earthengine-highvolume.googleapis.com estão incluídos num pacote. Quando restringe o serviço earthengine.googleapis.com num perímetro, o perímetro restringe o serviço earthengine-highvolume.googleapis.com por predefinição. Não pode adicionar o serviço earthengine-highvolume.googleapis.com à lista de serviços restritos num perímetro porque está incluído no pacote earthengine.googleapis.com.

Para mais informações sobre o Earth Engine, consulte a documentação do produto.

O App Hub permite-lhe descobrir e organizar recursos de infraestrutura em aplicações. Pode usar os perímetros dos VPC Service Controls para proteger os recursos do App Hub.

Para mais informações sobre o App Hub, consulte a documentação do produto.

A API Cloud Code pode ser protegida pelos VPC Service Controls. Para usar funcionalidades com tecnologia Gemini no Cloud Code, tem de configurar uma política de entrada para permitir tráfego de clientes IDE. Consulte a documentação do Gemini para ver detalhes.

Para mais informações sobre o Cloud Code, consulte a documentação do produto.

A integração do Cloud Code com os VPC Service Controls não tem limitações conhecidas.

O perímetro dos VPC Service Controls protege a API Commerce Org Governance para o Google Private Marketplace.

Para mais informações sobre a API Commerce Org Governance, consulte a documentação do produto.

Para restringir o tráfego da Internet, use políticas da organização. Invocar os métodos CREATE ou UPDATE da API Google Cloud Contact Center as a Service para aplicar manualmente as restrições da política da organização.

Para mais informações sobre o Google Cloud Contact Center as a Service, consulte a documentação do produto.

A integração do Google Cloud Contact Center as a Service com os VPC Service Controls não tem limitações conhecidas.

A API do Privileged Access Manager pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Gestor de acesso privilegiado, consulte a documentação do produto.

A API Service Usage pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a utilização do serviço, consulte a documentação do produto.

A integração da utilização de serviços com os VPC Service Controls não tem limitações conhecidas.

A API do Gestor de auditorias pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações acerca do Gestor de auditorias, consulte a documentação do produto.

A API para o Google Agentspace pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Google Agentspace, consulte a documentação do produto.

A API para o Google Agentspace – NotebookLM para empresas pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Google Agentspace – NotebookLM para empresas, consulte a documentação do produto.

O Google Agentspace - NotebookLM para integração empresarial com os VPC Service Controls não tem limitações conhecidas.