Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página contém uma tabela de produtos e serviços suportados pelos
VPC Service Controls, bem como uma lista de limitações conhecidas com determinados
serviços e interfaces.
Liste todos os serviços suportados
Para obter a lista completa de todos os produtos e serviços suportados pelo VPC Service Controls, execute o seguinte comando:
gcloud access-context-manager supported-services list
Recebe uma resposta com uma lista de produtos e serviços.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Esta resposta inclui os seguintes valores:
Valor
Descrição
SERVICE_ADDRESS
Nome do serviço do produto ou serviço. Por exemplo, aiplatform.googleapis.com.
SERVICE_NAME
Nome do produto ou serviço. Por exemplo, Vertex AI API.
SERVICE_STATUS
O estado da integração do serviço com o VPC Service Controls. Seguem-se os valores possíveis:
GA: a integração de serviços é totalmente suportada pelos perímetros do VPC Service Controls.
PREVIEW: A integração de serviços está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes de produção por perímetros dos VPC Service Controls.
DEPRECATED: a integração do serviço vai ser encerrada e removida.
RESTRICTED_VIP_STATUS
Especifica se a integração de serviços com os VPC Service Controls é suportada pelo VIP restrito. Seguem-se os valores possíveis:
TRUE: a integração de serviços é totalmente suportada pelo VIP restrito e pode ser protegida por perímetros dos VPC Service Controls.
FALSE: a integração de serviços não é suportada pelo VIP restrito.
Especifica se a integração de serviços com os VPC Service Controls tem limitações. Seguem-se os valores possíveis:
TRUE: A integração do serviço com os VPC Service Controls tem limitações conhecidas. Pode consultar a entrada correspondente do serviço na tabela Produtos suportados para saber mais acerca destas limitações.
FALSE: A integração do serviço com os VPC Service Controls não tem limitações conhecidas.
Liste os métodos suportados para um serviço
Para obter a lista de métodos e autorizações suportados pelos VPC Service Controls
para um serviço, execute o seguinte comando:
Nesta resposta, METHODS_LIST lista todos os métodos e
autorizações suportados pelo VPC Service Controls para o serviço especificado. Para ver uma lista completa de todos os métodos de serviço e autorizações suportados, consulte o artigo Restrições de métodos de serviço suportados.
Para informações sobre os métodos de serviço que o VPC Service Controls não pode controlar, consulte Exceções de métodos de serviço.
Produtos que disponibilizam apoio técnico
Os VPC Service Controls suportam os seguintes produtos:
Tem de usar um conjunto privado do Cloud Build para o conjunto de trabalhadores usado pelo Infrastructure Manager. Esta piscina privada tem de ter chamadas de Internet públicas ativadas para transferir os fornecedores do Terraform e a configuração do Terraform. Não pode usar o grupo de trabalhadores do Cloud Build predefinido.
Os seguintes elementos têm de estar no mesmo perímetro:
A conta de serviço que o Infrastructure Manager usa.
O conjunto de trabalhadores do Cloud Build que o Infrastructure Manager usa.
O contentor de armazenamento que o Infrastructure Manager usa. Pode usar o contentor de armazenamento predefinido.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
workloadmanager.googleapis.com
Detalhes
Para usar o Workload Manager num perímetro dos VPC Service Controls:
Tem de usar um conjunto de trabalhadores privado do Cloud Build
para o seu ambiente de implementação no Workload Manager.
Não pode usar o grupo de trabalhadores do Cloud Build predefinido.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
netapp.googleapis.com
Detalhes
A API Google Cloud NetApp Volumes pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre os volumes NetApp do Google Cloud, consulte a
documentação do produto.
Limitações
Os VPC Service Controls não abrangem caminhos de plano de dados, como leituras e escritas do sistema de ficheiros de rede (NFS) e do bloco de mensagens do servidor (SMB). Além disso, se os projetos de anfitrião e de serviço estiverem configurados em perímetros diferentes, pode ocorrer uma interrupção na implementação dos Google Cloud serviços.
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudsearch.googleapis.com
Detalhes
O Google Cloud Search suporta os controlos de segurança da nuvem privada virtual (VPC Service Controls) para melhorar
a segurança dos seus dados. Os VPC Service Controls permitem-lhe definir um perímetro de segurança em torno dos recursos da Google Cloud Platform para restringir os dados e ajudar a mitigar os riscos de exfiltração de dados.
Uma vez que os recursos do Cloud Search não estão armazenados num Google Cloud projeto, tem de
atualizar as definições do cliente do Cloud Search com o projeto protegido pelo perímetro da VPC. O projeto da VPC funciona como um contentor de projetos virtual para todos os seus recursos do Cloud Search.
Sem criar este mapeamento, o VPC Service Controls não funciona para a API Cloud Search.
A previsão em lote não é suportada quando usa a AI Platform Prediction num perímetro de serviço.
O AI Platform Prediction e o AI Platform Training usam a
API AI Platform Training and Prediction, pelo que tem de configurar os VPC Service Controls para
ambos os produtos. Leia mais sobre a configuração do VPC Service Controls para o
AI Platform Training.
Os perímetros de serviço protegem apenas a API Admin do AlloyDB para PostgreSQL. Não protegem
o acesso a dados baseados em IP a bases de dados subjacentes (como instâncias do AlloyDB para PostgreSQL). Para restringir o acesso a IPs públicos em instâncias do AlloyDB for PostgreSQL, use uma restrição de política da organização.
Antes de configurar o VPC Service Controls para o AlloyDB for PostgreSQL, ative a API Service Networking.
Quando usa o AlloyDB for PostgreSQL com a VPC partilhada e os VPC Service Controls, o projeto
anfitrião e o projeto de serviço têm de estar no mesmo perímetro de serviço dos VPC Service Controls.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
visionai.googleapis.com
Detalhes
A API Vertex AI Vision pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Quando a opção constraints/visionai.disablePublicEndpoint está
ativada, desativamos o ponto final público do cluster. Os utilizadores têm de se ligar manualmente ao destino do PSC e aceder ao serviço a partir da rede privada. Pode obter o alvo do PSC a partir do recurso cluster.
O tráfego para a API Vertex AI no Firebase destina-se a ter origem num cliente de navegador ou dispositivo móvel, que estará sempre fora do perímetro do serviço. Como tal, tem de configurar uma política de entrada explícita.
Se precisar de estabelecer ligação à API Vertex AI a partir do perímetro de serviço apenas, considere usar a API Vertex AI diretamente ou através de um dos SDKs de servidor, do Firebase Genkit ou de qualquer um dos outros serviços disponíveis para aceder à API Vertex AI no lado do servidor.
A API para o Apigee e o Apigee hybrid pode ser protegida pelos VPC Service Controls, e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
Todos os projetos de tempo de execução do Apigee associados a uma instância do API Hub têm de residir no mesmo perímetro de serviço do VPC Service Controls que o projeto anfitrião do API Hub.
A API para a Cloud Service Mesh pode ser protegida pelos VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Pode usar mesh.googleapis.com para ativar as APIs necessárias para a Cloud Service Mesh.
Não precisa de restringir o mesh.googleapis.com no seu perímetro, uma vez que não expõe nenhuma API.
Uma vez que o Artifact Registry usa o domínio pkg.dev, tem de
configurar o DNS
para *.pkg.dev de modo a mapear para private.googleapis.com ou restricted.googleapis.com.
Para mais informações, consulte o artigo Proteger repositórios num perímetro de serviço.
Além dos artefactos dentro de um perímetro que estão disponíveis para o
Artifact Registry, os seguintes repositórios só de leitura nos repositórios do
Container Registry estão disponíveis para todos os projetos, independentemente dos perímetros de serviço:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Em todos os casos, as versões regionais destes repositórios também estão
disponíveis.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
assuredoss.googleapis.com
Detalhes
A API Assured Open Source Software pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca do software de código aberto garantido, consulte a
documentação do produto.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
assuredworkloads.googleapis.com
Detalhes
A API Assured Workloads pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Todos os produtos AutoML integrados com os VPC Service Controls usam o mesmo nome
de serviço.
Não pode adicionar os pontos finais regionais suportados, como eu-automl.googleapis.com, à lista de serviços restritos num perímetro.
Quando protege o serviço automl.googleapis.com, o perímetro também protege os pontos finais regionais suportados, como eu-automl.googleapis.com.
Para mais informações, consulte as limitações da utilização de produtos AutoML com os VPC Service Controls.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Não. A API da Solução Bare Metal não pode ser protegida por perímetros de serviço.
No entanto, a Solução Bare Metal pode ser usada normalmente em projetos dentro de um perímetro.
Detalhes
A API Bare Metal Solution pode ser adicionada a um perímetro seguro. No entanto, os perímetros dos VPC Service Controls não se estendem ao ambiente da Bare Metal Solution nas extensões regionais.
Quando protege a API BigQuery
com um perímetro de serviço, a API BigQuery Storage (bigquerystorage.googleapis.com), a API BigQuery Reservation (bigqueryreservation.googleapis.com) e a
API BigQuery Connection (bigqueryconnection.googleapis.com) também ficam protegidas. Não tem de adicionar estas APIs separadamente à lista de serviços protegidos do seu perímetro.
Os registos do registo de auditoria do BigQuery nem sempre incluem todos os recursos que foram usados quando é feita uma solicitação, devido ao serviço processar internamente o acesso a vários recursos.
Quando acede a uma instância do BigQuery protegida por um perímetro
de serviço, a tarefa do BigQuery tem de ser executada num projeto
no interior do perímetro ou num projeto permitido por uma regra
de saída do perímetro. Por predefinição, as bibliotecas do cliente do BigQuery executam tarefas no projeto da conta de serviço ou do utilizador, o que faz com que a consulta seja rejeitada pelo VPC Service Controls.
O BigQuery bloqueia a gravação de resultados de consultas no Google Drive a partir do perímetro protegido pelos VPC Service Controls.
Se conceder acesso através de uma regra de entrada com contas de utilizador como o tipo de identidade, não pode ver a utilização de recursos do BigQuery nem o explorador de tarefas administrativas na página Monitoring. Para usar estas funcionalidades, configure uma
regra de entrada que
use ANY_IDENTITY como o tipo de identidade.
Se conceder aos utilizadores do BigQuery acesso aos dados através de uma regra de entrada,
os utilizadores podem usar a Google Cloud consola para consultar e guardar os resultados num ficheiro
local.
O acesso a recursos em perímetros dos VPC Service Controls não é permitido na edição Standard do BigQuery. O VPC Service Controls só é suportado quando realiza a análise através do BigQuery Enterprise, Enterprise Plus ou On-Demand.
A API BigQuery Reservation é parcialmente suportada.
A
API BigQuery Reservation, que cria o recurso de atribuição, não aplica
restrições de perímetro de serviço aos cessionários da atribuição.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
bigquerydatatransfer.googleapis.com
Detalhes
O perímetro de serviço protege apenas a API do Serviço de transferência de dados do BigQuery. A proteção de dados real é aplicada pelo BigQuery. O objetivo é permitir a importação de dados de várias
origens externas fora do Google Cloud, como o Amazon S3, o Redshift, o Teradata, o YouTube,
o Google Play e o Google Ads, para conjuntos de dados do BigQuery. Para obter informações sobre os requisitos dos VPC Service Controls para migrar dados do Teradata, consulte os requisitos
dos VPC
Service Controls.
Para mais informações acerca do Serviço de transferência de dados do BigQuery, consulte a
documentação do produto.
Limitações
O Serviço de transferência de dados do BigQuery não suporta a exportação de dados de um conjunto de dados do BigQuery. Para mais informações,
consulte o artigo Exportar dados de tabelas.
Para transferir dados entre projetos, o projeto de destino tem de estar no mesmo perímetro que o projeto de origem ou, caso contrário, uma regra de saída tem de permitir a transferência de dados para fora do perímetro. Para obter informações sobre a definição das regras de saída, consulte o artigo
Limitações na gestão de
conjuntos de dados do BigQuery.
As violações de entrada e saída para tarefas do BigQuery iniciadas por
execuções de transferências offline recorrentes do Serviço de transferência de dados do BigQuery não contêm informações de contexto do utilizador, como o endereço IP do autor da chamada e o dispositivo.
O Serviço de transferência de dados do BigQuery só suporta a transferência de dados para projetos protegidos
por um perímetro de serviço através de um dos conetores indicados nas
Origens de dados
suportadas. O Serviço de transferência de dados do BigQuery não suporta a transferência de dados para projetos protegidos por um perímetro de serviço através de um conetor fornecido por outros parceiros externos.
Os serviços bigtable.googleapis.com e bigtableadmin.googleapis.com
estão incluídos num pacote. Quando restringe o serviço bigtable.googleapis.com
num perímetro, o perímetro restringe o serviço bigtableadmin.googleapis.com
por predefinição. Não pode adicionar o serviço bigtableadmin.googleapis.com
à lista de serviços restritos num perímetro porque está incluído no pacote
bigtable.googleapis.com.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
binaryauthorization.googleapis.com
Detalhes
Quando usar vários projetos com a autorização binária, cada projeto tem de ser
incluído no perímetro do VPC Service Controls. Para mais informações sobre este exemplo de utilização, consulte o artigo
Configuração de vários projetos.
Com a autorização binária, pode usar a análise de artefactos para armazenar
atestadores e atestações, respetivamente, como notas e ocorrências. Neste caso, também tem de incluir a análise de artefactos no perímetro do VPC Service Controls.
Consulte as orientações do VPC Service Controls para a análise de artefactos
para ver detalhes adicionais.
As integrações do Blockchain Node Engine com os VPC Service Controls têm as seguintes limitações:
Os VPC Service Controls apenas protegem a API Blockchain Node Engine.
Quando um nó é criado, tem de indicar que se destina a uma rede privada configurada pelo utilizador com o Private Service Connect.
O tráfego ponto a ponto não é afetado pelos Controlos de Serviços da VPC nem pelo Private Service Connect e continua a usar a Internet pública.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
privateca.googleapis.com
Detalhes
A API do serviço de autoridade de certificação pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca do serviço de autoridade de certificação, consulte a
documentação do produto.
Limitações
Para usar o serviço de autoridade de certificação num ambiente protegido, também tem de adicionar a API Cloud KMS (cloudkms.googleapis.com) e a API Cloud Storage (storage.googleapis.com) ao seu perímetro de serviço.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
krmapihosting.googleapis.com
Detalhes
Para usar o Config Controller com os VPC Service Controls, tem de ativar as seguintes APIs no
seu perímetro:
Cloud Monitoring API (monitoring.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
API Google Cloud Observability (logging.googleapis.com)
API Security Token Service (sts.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Se aprovisionar recursos com o Config Controller, tem de ativar a API para esses recursos no seu perímetro de serviço. Por exemplo, se quiser adicionar uma conta de serviço do IAM, tem de adicionar a API IAM (iam.googleapis.com).
Estabeleça o perímetro de segurança dos VPC Service Controls antes de criar a sua instância privada do Cloud Data Fusion. A proteção do perímetro para instâncias criadas antes da configuração dos VPC Service Controls não é suportada.
Atualmente, a IU do plano de dados do Cloud Data Fusion não suporta o acesso baseado na identidade através de regras de entrada nem de níveis de acesso.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
compute.googleapis.com
Detalhes
O suporte dos VPC Service Controls para o Compute Engine oferece as seguintes vantagens de segurança:
Restringe o acesso a operações de API confidenciais
Restringe os instantâneos do Persistent Disk e as imagens personalizadas a um perímetro
Restringe o acesso aos metadados da instância
O suporte dos VPC Service Controls para o Compute Engine também lhe permite usar
redes da nuvem virtual privada e clusters privados do Google Kubernetes Engine
dentro dos perímetros de serviço.
As operações de intercâmbio de VPC não aplicam restrições de perímetro de serviço de VPC.
O método da API projects.ListXpnHosts
para a VPC partilhada não aplica restrições de perímetro de serviço aos
projetos devolvidos.
Para permitir a criação de uma imagem do Compute Engine a partir de um
armazenamento na nuvem num projeto protegido por um
perímetro de serviço, o utilizador que está a criar a imagem deve ser adicionado
temporariamente a uma regra de entrada do perímetro.
Os VPC Service Controls não suportam a utilização da versão de código aberto do Kubernetes em VMs do Compute Engine dentro de um perímetro de serviço.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
contactcenterinsights.googleapis.com
Detalhes
Para usar as estatísticas conversacionais com os VPC Service Controls, tem de ter as seguintes
APIs adicionais dentro do seu perímetro, consoante a integração.
Para carregar dados para o Conversational Insights, adicione a API Cloud Storage ao seu perímetro de serviço.
Para usar a exportação, adicione a API BigQuery ao seu perímetro de serviço.
Para integrar vários produtos do CCAI, adicione a API Vertex AI ao seu perímetro de serviço.
Para mais informações sobre as estatísticas de conversação, consulte a
documentação do produto.
Limitações
A integração do Conversational Insights com os VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
dataflow.googleapis.com
Detalhes
O Dataflow suporta vários
conetores de serviços de armazenamento. Os seguintes conetores foram
validados para funcionar com o Dataflow dentro de um perímetro de serviço:
O BIND personalizado não é suportado quando usa o Dataflow. Para personalizar a resolução de DNS quando usar o Dataflow com os VPC Service Controls, use zonas privadas do Cloud DNS, em vez de usar servidores BIND personalizados. Para usar a sua própria resolução de DNS nas instalações, considere usar umGoogle Cloud método de encaminhamento de DNS.
Nem todos os conetores de serviços de armazenamento foram validados para funcionar quando usados com o Dataflow dentro de um perímetro de serviço. Para ver uma lista de
conetores validados, consulte "Detalhes" na secção anterior.
Quando usar o Python 3.5 com o Apache Beam SDK 2.20.0‑2.22.0, as tarefas do Dataflow falham no arranque se os trabalhadores tiverem apenas endereços IP privados, como quando usar os VPC Service Controls para proteger os recursos.
Se os trabalhadores do Dataflow só puderem ter endereços IP privados, como quando usa o VPC Service Controls para proteger recursos,
não use o Python 3.5 com o Apache Beam SDK 2.20.0 a 2.22.0. Esta combinação faz com que as tarefas falhem no arranque.
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
dataplex.googleapis.com
Detalhes
A API do catálogo universal do Dataplex pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o catálogo universal do Dataplex, consulte a
documentação do produto.
Limitações
Antes de criar os recursos do catálogo universal do Dataplex, configure o perímetro de segurança dos VPC Service Controls. Caso contrário, os seus recursos não têm proteção de perímetro.
O catálogo universal do Dataplex é compatível com os seguintes tipos de recursos:
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
databasecenter.googleapis.com
Detalhes
A API do Database Center pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca do Centro de bases de dados, consulte a
documentação do produto.
Limitações
Os VPC Service Controls não suportam o acesso a recursos da Cloud Asset API ao nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço.
Os VPC Service Controls protegem os recursos da Cloud Asset API ao nível do projeto. Pode especificar uma política de saída para permitir o acesso a recursos da API Cloud Asset ao nível do projeto a partir de projetos dentro do perímetro. Para gerir as autorizações do Database Center ao nível da pasta
ou da organização, recomendamos que use o IAM.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
datamigration.googleapis.com
Detalhes
A API Database Migration Service pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o serviço de migração de bases de dados, consulte a
documentação do produto.
Limitações
Os perímetros de serviço protegem apenas a API Admin do serviço de migração de base de dados. Não protegem
o acesso a dados baseados em IP às bases de dados subjacentes (como instâncias do Cloud SQL). Para restringir o acesso
IP público em instâncias do Cloud SQL, use uma restrição de política da organização.
Quando usar um ficheiro do Cloud Storage na fase de transferência inicial da migração,
adicione o contentor do Cloud Storage ao mesmo perímetro de serviço.
Quando usa uma chave de encriptação gerida pelo cliente (CMEK) na base de dados de destino, certifique-se de que a CMEK reside no
mesmo perímetro de serviço que o perfil de ligação que contém a chave.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
dlp.googleapis.com
Detalhes
A API Sensitive Data Protection pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre a proteção de dados confidenciais, consulte a
documentação do produto.
Limitações
Uma vez que os VPC Service Controls não suportam atualmente recursos de pastas e
organizações, as chamadas da Proteção de dados confidenciais podem devolver uma resposta 403 ao tentar aceder a
recursos ao nível da organização. Recomendamos que use a IAM para gerir as autorizações de proteção de dados confidenciais ao nível da pasta e da organização.
Pode aceder ao Cloud DNS através do VIP restrito. No entanto,
não pode criar nem atualizar zonas DNS públicas em projetos dentro do
perímetro dos VPC Service Controls.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
domains.googleapis.com
Detalhes
A API Cloud Domains pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Os dados de configuração de DNS usados no
Cloud Domains, ou seja, os servidores de nomes
e as definições de DNSSEC, são
públicos. Se o seu domínio delegar numa zona DNS pública, que é a predefinição, os dados de configuração DNS dessa zona também são públicos.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
eventarc.googleapis.com
Detalhes
As APIs Eventarc Advanced podem ser protegidas com os VPC Service Controls e as funcionalidades podem ser usadas normalmente dentro dos perímetros de serviço.
Um barramento avançado do Eventarc fora de um perímetro de serviço não pode receber eventos de projetos da Google Cloud Platform dentro do perímetro. Um barramento Eventarc Advanced
no interior de um perímetro não pode encaminhar eventos para um consumidor fora do perímetro.
Para publicar num barramento avançado do Eventarc, a origem de um evento
tem de estar dentro do mesmo perímetro de serviço que o barramento.
Para consumir uma mensagem, um consumidor de eventos tem de estar dentro do mesmo perímetro de serviço que o barramento.
Pode validar o suporte dos VPC Service Controls para os recursos Enrollment,
GoogleApiSource, MessageBus e Pipeline
ao ver os registos da plataforma na entrada.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
eventarc.googleapis.com
Detalhes
O Eventarc Standard processa a entrega de eventos através de tópicos
e subscrições push do Pub/Sub. Para aceder à API Pub/Sub e gerir acionadores
de eventos, a API Eventarc tem de estar protegida no mesmo perímetro
de serviço dos VPC Service Controls que a API Pub/Sub.
Nos projetos protegidos por um perímetro de serviço, aplicam-se as seguintes limitações:
O Eventarc Standard está sujeito às mesmas limitações que o Pub/Sub:
Quando encaminha eventos para alvos do Cloud Run, não é possível criar novas subscrições push do Pub/Sub, a menos que os pontos finais push estejam definidos para serviços do Cloud Run com URLs run.app predefinidos (os domínios personalizados não funcionam).
Quando encaminha eventos para destinos de fluxos de trabalho para os quais o
ponto final de envio do Pub/Sub está definido para uma execução
de fluxos de trabalho, só pode criar novas subscrições de envio do Pub/Sub
através do Eventarc Standard.
Os VPC Service Controls bloqueiam a criação de acionadores do Eventarc Standard para
pontos finais HTTP
internos. A proteção dos VPC Service Controls não se aplica quando encaminha eventos para esses destinos.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
edgenetwork.googleapis.com
Detalhes
A API Distributed Cloud Edge Network pode ser protegida pelos VPC Service Controls
e usada normalmente dentro dos perímetros de serviço.
Para mais informações sobre a API Distributed Cloud Edge Network, consulte a
documentação do produto.
Limitações
A integração da API Distributed Cloud Edge Network com os VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
firebaseappcheck.googleapis.com
Detalhes
Quando configura e troca tokens do Firebase App Check, os VPC Service Controls
protegem apenas o serviço Firebase App Check. Para proteger os serviços que dependem do
Firebase App Check, tem de configurar perímetros de serviço para esses serviços.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
firebasedataconnect.googleapis.com
Detalhes
Os perímetros de serviço protegem apenas a API Firebase Data Connect. Não
protegem o acesso às origens de dados subjacentes (como instâncias do Cloud SQL).
A restrição do acesso em instâncias da base de dados tem de ser configurada separadamente.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
firebaserules.googleapis.com
Detalhes
Quando gere políticas de regras de segurança do Firebase, o VPC Service Controls protege
apenas o serviço de regras de segurança do Firebase. Para proteger os serviços que dependem das
regras de segurança do Firebase, tem de configurar perímetros de serviço para esses serviços.
Para mais informações sobre as Regras de segurança do Firebase, consulte a
documentação do produto.
Limitações
A integração das Regras de segurança do Firebase com os VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudfunctions.googleapis.com
Detalhes
Consulte a documentação das funções do Cloud Run
para ver os passos de configuração. A proteção dos VPC Service Controls não se aplica à fase de compilação quando as funções do Cloud Run são criadas com o Cloud Build. Para mais detalhes, consulte as limitações conhecidas.
As funções do Cloud Run usam o Cloud Build, o Container Registry e o
Cloud Storage para criar e gerir o seu código fonte num contentor executável. Se
algum destes serviços estiver restrito pelo perímetro de serviço, o VPC Service Controls
bloqueia a compilação de funções do Cloud Run, mesmo que as funções do Cloud Run não sejam adicionadas como
um serviço restrito ao perímetro. Para usar funções do Cloud Run dentro de um perímetro de serviço, tem de configurar uma regra de entrada para a conta de serviço do Cloud Build no seu perímetro de serviço.
Para permitir que as suas funções usem dependências externas, como pacotes npm, o Cloud Build tem acesso ilimitado à Internet. Este acesso à Internet
pode ser usado para filtrar dados disponíveis no momento da compilação, como
o código-fonte carregado. Se quiser mitigar este vetor de exfiltração, recomendamos que permita apenas que programadores fidedignos implementem funções. Não conceda
funções de proprietário, editor ou programador do IAM do Cloud Run
a programadores não fidedignos.
Quando especifica uma política de entrada ou saída para um perímetro de serviço, não pode usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para implementar funções do Cloud Run a partir de uma máquina local.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Quando os serviços de funções do Cloud Run são invocados por acionadores HTTP, a aplicação de políticas dos VPC Service Controls não usa as informações de autenticação da IAM do cliente. As regras da política de entrada dos VPC Service Controls que usam os principais do IAM não são suportadas. Os níveis de acesso para perímetros dos VPC Service Controls que usam
diretores do IAM não são suportados.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
iam.googleapis.com
Detalhes
Quando restringe a IAM com um perímetro, apenas as ações que usam a API Identity and Access Management são restritas. Estas ações
incluem o seguinte:
Gerir funções IAM personalizadas
Gerir Workload Identity Pools
Gerir contas de serviço e chaves
Gerir políticas de recusa
Gerir associações de políticas para políticas de limite de acesso principal
O perímetro não restringe as ações relacionadas com os conjuntos de trabalhadores e as políticas de limite de acesso principal porque esses recursos são criados ao nível da organização.
O perímetro também não restringe a gestão de políticas de autorização para recursos pertencentes a outros serviços, como projetos, pastas e organizações do Resource Manager, ou instâncias de máquinas virtuais do Compute Engine. Para restringir a gestão de políticas de autorização para estes recursos,
crie um perímetro que restrinja o serviço proprietário dos recursos.
Para ver uma lista de recursos que aceitam políticas de permissão e os serviços
que os detêm, consulte o artigo Tipos de recursos que
aceitam políticas de permissão.
Além disso, o perímetro em torno do IAM não
restringe as ações que usam outras APIs, incluindo as seguintes:
API IAM Policy Simulator
API IAM Policy Troubleshooter
API Security Token Service
API Service Account Credentials (incluindo os métodos signBlob e signJwt antigos na API IAM)
Para mais informações sobre a gestão de identidades e acessos, consulte a
documentação do produto.
Limitações
Se estiver dentro do perímetro, não pode chamar o método
roles.list com uma string vazia para listar as funções predefinidas de IAM. Se precisar de ver
funções predefinidas, consulte a
documentação da função de IAM.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
iamcredentials.googleapis.com
Detalhes
A API para credenciais de contas de serviço pode ser protegida pelos VPC Service Controls e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca das credenciais da conta de serviço, consulte a
documentação do produto.
Limitações
A integração das credenciais da conta de serviço com os VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Não. A API Service Networking não pode ser protegida por perímetros de serviço.
No entanto, a rede de serviços pode ser usada normalmente em projetos dentro de um perímetro.
Detalhes
Se estiver a usar o acesso privado ao serviço, recomendamos que ative os VPC Service Controls para a ligação de rede de serviços.Quando ativa os VPC Service Controls, os produtores de serviços ficam restritos ao acesso apenas às APIs suportadas pelos VPC Service Controls através da ligação de rede de serviços.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
vpcaccess.googleapis.com
Detalhes
A API do Acesso a VPC sem servidor pode ser protegida pelos VPC Service Controls e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudkms.googleapis.com
Detalhes
A API Cloud KMS pode ser protegida pelos VPC Service Controls e o produto pode ser usado dentro de perímetros de serviço. O acesso aos serviços do Cloud HSM também está protegido
pelos VPC Service Controls e pode ser usado dentro dos perímetros de serviço.
Para mais informações acerca do Cloud Key Management Service, consulte a
documentação do produto.
Limitações
A integração do Cloud Key Management Service com os VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudaicompanion.googleapis.com
Detalhes
A API Gemini Code Assist pode ser protegida pelos VPC Service Controls
e o produto pode ser usado normalmente dentro dos perímetros de serviço. Isto inclui a
personalização de código.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
iaptunnel.googleapis.com
Detalhes
A API Identity-Aware Proxy para TCP pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o Identity-Aware Proxy para TCP, consulte a
documentação do produto.
Limitações
Apenas a API de utilização de IAP para TCP pode ser protegida por um perímetro.
Não é possível proteger a API administrativa com um perímetro.
Para usar o IAP para TCP num perímetro de serviço do VPC Service Controls, tem de
adicionar ou configurar algumas entradas DNS
para direcionar os seguintes domínios para o VIP restrito:
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
lifesciences.googleapis.com
Detalhes
A API Cloud Life Sciences pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
pubsub.googleapis.com
Detalhes
A proteção dos VPC Service Controls aplica-se a todas as operações de administrador, operações de publicador e operações de subscritor (exceto para subscrições push existentes).
Nos projetos protegidos por um perímetro de serviço, aplicam-se as seguintes limitações:
Não é possível criar novas subscrições push, a menos que os pontos finais push estejam definidos para:
Serviços do Cloud Run com URLs run.app predefinidos ou uma
Execução de fluxos de trabalho
(os domínios personalizados não funcionam). Para mais
informações sobre a integração com o Cloud Run, consulte a secção
Usar os VPC Service Controls.
Para subscrições não push, tem de criar uma subscrição no mesmo perímetro que o tópico ou ativar regras de saída para permitir o acesso do tópico à subscrição.
Quando encaminha eventos através do Eventarc para destinos do Workflows
para os quais o ponto final de envio está definido como uma execução do Workflows, só
pode criar novas subscrições de envio através do Eventarc.
As subscrições do Pub/Sub criadas antes do perímetro de serviço não são bloqueadas.
Para usar o Cloud Deploy num perímetro, tem de usar um conjunto privado do Cloud Build para os ambientes de execução do destino.
Não use o conjunto de trabalhadores predefinido (Cloud Build) nem um conjunto híbrido.
A ativação da serialização de DAGs impede que o Airflow apresente um modelo renderizado com funções na IU Web.
A definição da flag async_dagbag_loader como True não é suportada enquanto a serialização DAG estiver ativada.
A ativação da serialização de DAGs desativa todos os plug-ins do servidor Web do Airflow, uma vez que podem
colocar em risco a segurança da rede VPC onde o Cloud Composer está
implementado. Isto não afeta o comportamento dos plug-ins de agendador ou de trabalho,
incluindo operadores e sensores do Airflow.
Quando o Cloud Composer é executado dentro de um perímetro, o acesso aos repositórios públicos do PyPI é restrito. Na documentação do Cloud Composer, consulte o artigo Instalar dependências do Python para saber como instalar módulos do PyPi no modo de IP privado.
O Cloud Composer não suporta a utilização de
identidades de terceiros
em regras de entrada e saída para operações da interface Web do Apache Airflow. No entanto, pode usar o tipo de identidade ANY_IDENTITY nas regras de entrada e saída para permitir o acesso a todas as identidades, incluindo identidades de terceiros. Para mais informações sobre o tipo de identidade ANY_IDENTITY, consulte o artigo Regras de entrada e saída.
Uma vez que os VPC Service Controls aplicam limites ao nível do projeto,
os pedidos de quotas do Google Cloud originados de clientes dentro do
perímetro só podem aceder a recursos da organização se esta configurar uma
regra de saída.
Quando pede uma
diminuição da quota
, as quotas do Google Cloud executam uma chamada de serviço a serviço (S2S) para o
Monitoring.
Esta chamada S2S não tem origem no perímetro, mesmo que o pedido de diminuição tenha. Por conseguinte, é bloqueada pelos VPC Service Controls.
Crie uma
regra de entrada
que permita a chamada S2S da sua identidade e de todas as origens para
a monitorização do projeto onde pede a
diminuição da quota.
Para o Artifact Registry e o Container Registry, o registo onde armazena o seu contentor
tem de estar no mesmo perímetro do VPC Service Controls que o projeto para o qual está a fazer a implementação. O código que está a ser criado tem de estar no mesmo perímetro do VPC Service Controls que o registo para o qual o contentor está a ser enviado.
A funcionalidade de
implementação contínua
do Cloud Run não está disponível para projetos dentro de um perímetro dos VPC Service Controls.
Quando os serviços do Cloud Run são invocados, a aplicação da política dos VPC Service Controls não usa as informações de autenticação da IAM do cliente. Esses pedidos têm as seguintes limitações:
As regras da política de entrada dos VPC Service Controls que usam os principais do IAM não são suportadas.
Os níveis de acesso para perímetros dos VPC Service Controls que usam diretores do IAM não são suportados.
Quando usa a funcionalidade O requerente paga com um contentor de armazenamento no interior de um perímetro de serviço que protege o serviço Cloud Storage, não pode identificar um projeto a pagar que esteja fora do perímetro. O projeto de destino tem de estar no mesmo perímetro
que o contentor de armazenamento ou numa ponte de perímetro com o projeto do contentor.
Para projetos num perímetro de serviço, a página do Cloud Storage na
Google Cloud consola não é acessível se a API Cloud Storage
estiver protegida por esse perímetro. Se quiser conceder acesso à página, tem de criar uma regra de entrada e/ou um nível de acesso que inclua as contas de utilizador
e/ou o intervalo de IP público que quer permitir que acedam à
API Cloud Storage.
Nos registos de registo de auditoria, o valor de methodName nem sempre está correto. Recomendamos
que não filtre os registos do registo de auditoria do Cloud Storage
por methodName.
Em determinados casos, os registos de contentores antigos do Cloud Storage podem ser escritos
em destinos fora de um perímetro de serviço, mesmo quando o acesso é negado.
Em determinados casos, os objetos do Cloud Storage que eram públicos são acessíveis mesmo
depois de ativar os VPC Service Controls nos objetos. Os objetos estão acessíveis até
expirarem das caches incorporadas e de quaisquer outras caches a montante na rede entre
o utilizador final e o Cloud Storage. Por predefinição, o Cloud Storage armazena em cache dados acessíveis publicamente na rede do Cloud Storage.
Para mais informações sobre como os objetos do Cloud Storage são colocados em cache,
consulte o Cloud Storage.
Para informações sobre o período durante o qual um objeto pode ser colocado em cache, consulte
os metadados de controlo da cache.
Quando especifica uma política de entrada ou saída para um perímetro de serviço, não pode
usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade
para todas as operações do Cloud Storage que usam
URLs assinados.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Os VPC Service Controls usam as credenciais de assinatura do utilizador ou da conta de serviço que assinou o
URL assinado
para avaliar as verificações dos VPC Service Controls e não as credenciais do autor da chamada ou do utilizador que iniciam a ligação.
Os VPC Service Controls não suportam a adição de recursos ao nível da pasta ou da organização a perímetros de serviço. Por conseguinte, embora possa
ativar a inteligência de armazenamento ao nível da pasta, da organização ou do projeto,
os VPC Service Controls apenas protegem os recursos ao nível do projeto.
Para gerir a inteligência de armazenamento ao nível da pasta ou da organização, recomendamos que use o IAM.
Os perímetros de serviço protegem apenas a API Admin do Cloud SQL. Não
protegem o acesso a dados baseados em IP a instâncias do Cloud SQL. Tem de
usar uma restrição da política da organização
para restringir o acesso a IPs públicos em instâncias do Cloud SQL.
Antes de configurar o VPC Service Controls para o Cloud SQL, ative a API Service Networking.
As importações e exportações do Cloud SQL só podem efetuar leituras e escritas a partir de um contentor do Cloud Storage no mesmo perímetro de serviço que a instância de réplica do Cloud SQL.
No fluxo de criação de chaves para CMEK, use uma das seguintes configurações:
Crie a chave no mesmo perímetro de serviço que os recursos que a usam,
como o Cloud SQL.
Crie a chave num perímetro de serviço que esteja ligado, através de uma ponte de
perímetro, ao perímetro de serviço que protege o Cloud SQL.
Quando restaura uma instância a partir de uma cópia de segurança, a instância de destino tem de
residir no mesmo perímetro de serviço que a cópia de segurança.
Mesmo que crie uma regra de saída para permitir chamadas para URLs públicos a partir de
dentro dos perímetros dos VPC Service Controls, a Cloud Vision API bloqueia chamadas para URLs públicos.
Uma vez que a API Container Scanning é uma API sem superfície que armazena os resultados
na análise de artefactos, não precisa de proteger a API com um perímetro
de serviço.
Quando especifica uma política de entrada ou saída para um perímetro de serviço, não pode usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Container Registry.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Além dos contentores dentro de um perímetro que estão disponíveis para o
Container Registry, os seguintes repositórios só de leitura
estão disponíveis para todos os projetos, independentemente das restrições aplicadas pelos perímetros de serviço:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Em todos os casos, as versões multirregionais destes repositórios também estão
disponíveis.
Para proteger totalmente a API Google Kubernetes Engine, também tem de incluir a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.
Só é possível proteger clusters privados através dos VPC Service Controls. Os clusters com endereços IP públicos não são suportados pelos VPC Service Controls.
A entrada do serviço GKE nesta tabela especifica apenas o controlo da própria API GKE. O GKE depende de vários outros serviços subjacentes
para o seu funcionamento, como o Compute Engine, o Cloud Logging,
o Cloud Monitoring e a API Autoscaling (autoscaling.googleapis.com). Para
proteger eficazmente os seus ambientes do GKE com o VPC Service Controls, tem
de garantir que todos os serviços subjacentes necessários também estão incluídos no seu
perímetro de serviço. Consulte a
documentação do GKEpara ver uma lista completa destes serviços.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
containerfilesystem.googleapis.com
Detalhes
O streaming de imagens é uma funcionalidade de streaming de dados do GKE que oferece
tempos de obtenção de imagens de contentores mais curtos para imagens armazenadas no Artifact Registry.
Se os VPC Service Controls protegerem as suas imagens de contentores e usar o streaming de imagens,
também tem de incluir a API Image streaming no perímetro de serviço.
Os seguintes repositórios só de leitura
estão disponíveis para todos os projetos, independentemente das restrições aplicadas pelos perímetros de serviço:
As APIs de gestão de frotas, incluindo o gateway Connect, podem ser protegidas com os VPC Service Controls, e as funcionalidades de gestão de frotas podem ser usadas normalmente dentro dos perímetros de serviço.
Para mais informações, consulte o seguinte:
Embora todas as funcionalidades de gestão de frotas possam ser usadas normalmente, a ativação de um perímetro de serviço em torno da API Stackdriver restringe a integração da funcionalidade de frota do Policy Controller com o Security Command Center.
Quando usa o gateway Connect para aceder a clusters do GKE, o perímetro dos VPC Service Controls para container.googleapis.com não é aplicado.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudresourcemanager.googleapis.com
Detalhes
Os seguintes métodos da API Cloud Resource Manager podem ser protegidos pelos VPC Service Controls:
Apenas as chaves de etiquetas diretamente subordinadas a um recurso de projeto e os valores de etiquetas correspondentes
podem ser protegidos através dos VPC Service Controls. Quando um projeto é adicionado a um perímetro dos VPC Service Controls, todas as chaves de etiquetas e os valores de etiquetas correspondentes no projeto são considerados recursos dentro do perímetro.
As chaves de etiquetas subordinadas a um recurso de organização e os respetivos valores de etiquetas
não podem ser incluídos num perímetro dos VPC Service Controls e não podem ser protegidos através
dos VPC Service Controls.
Os clientes dentro de um perímetro do VPC Service Controls não podem aceder às chaves de etiquetas e aos valores correspondentes pertencentes a um recurso da organização, a menos que seja definida uma regra de saída que permita o acesso no perímetro. Para mais informações sobre como definir regras de saída, consulte o artigo Regras de entrada e saída.
As associações de etiquetas são consideradas recursos dentro do mesmo perímetro que o recurso ao qual o valor da etiqueta está associado. Por exemplo, as associações de etiquetas numa instância do Compute Engine
num projeto são consideradas pertencentes a esse projeto, independentemente de onde
a chave de etiqueta está definida.
Alguns serviços, como o Compute Engine, permitem
criar associações de etiquetas
através das respetivas APIs de serviço, além das APIs de serviço do Resource Manager. Por
exemplo, adicionar etiquetas a uma VM do Compute Engine durante a criação de recursos. Para proteger as associações de etiquetas criadas ou eliminadas através destas APIs de serviços, adicione o serviço correspondente, como o compute.googleapis.com, à lista de serviços restritos no perímetro.
As etiquetas suportam restrições ao nível do método, pelo que pode restringir o acesso
method_selectors a métodos da API específicos. Para ver uma lista de métodos restritivos, consulte o artigo Restrições de métodos de serviços suportados.
A atribuição da função de proprietário num projeto através da Google Cloud consola já é suportada pelos
VPC Service Controls. Não pode enviar um convite de proprietário nem aceitar um convite
fora dos perímetros de serviço. Se tentar aceitar um convite de fora do perímetro, não lhe é concedido o papel de proprietário e não é apresentada nenhuma mensagem de erro ou aviso.
Os destinos de registo agregados (destinos de pastas ou organizações em que
includeChildren é true) podem aceder a dados de projetos dentro de um perímetro de
serviço. Para restringir o acesso de destinos de registo agregados a dados dentro de um perímetro, recomendamos que use o IAM para gerir as autorizações de registo ao nível da pasta ou os destinos de registo agregados ao nível da organização.
Os VPC Service Controls não suportam a adição de recursos de pastas ou
organizações a perímetros de serviço. Por conseguinte, não pode usar os VPC Service Controls para proteger registos ao nível da pasta e da organização, incluindo registos agregados. Para gerir as autorizações do Logging ao nível da pasta ou da organização, recomendamos que use o IAM.
Se encaminhar registos, através de um destino de registos ao nível da organização ou da pasta, para um recurso protegido por um perímetro de serviço, tem de adicionar uma regra de entrada ao perímetro de serviço. A regra de entrada tem de permitir o acesso ao recurso a partir da conta de serviço que o destino do registo usa. Este passo não é necessário para destinos ao nível do projeto.
Para mais informações, consulte as seguintes páginas:
Quando especifica uma política de entrada ou saída para um perímetro de serviço, não pode usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para exportar registos de um destino do Cloud Logging para um recurso do Cloud Storage.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Os canais de notificação, as políticas de alerta e as métricas personalizadas podem ser usados
em conjunto para filtrar dados/metadados. A partir de hoje, um utilizador da
monitorização pode configurar um canal de notificação que aponta para
uma entidade fora da organização, por exemplo, "baduser@badcompany.com". Em seguida, o utilizador configura métricas personalizadas e políticas de alerta correspondentes que usam o canal de notificação. Como resultado, ao manipular as métricas personalizadas, o utilizador pode acionar alertas e enviar notificações de acionamento de alertas, exfiltrando dados sensíveis para baduser@badcompany.com, fora do perímetro do VPC Service Controls.
Todas as VMs do Compute Engine ou da AWS com o
Monitoring Agent
instalado têm de estar dentro do perímetro dos VPC Service Controls ou as gravações de métricas do agente
vão falhar.
Todos os pods do GKE têm de estar dentro do perímetro dos VPC Service Controls ou o GKE Monitoring não funciona.
Quando consulta métricas para um
âmbito de métricas, apenas o
perímetro dos VPC Service Controls do projeto de âmbito do âmbito de métricas é
considerado. Os perímetros dos projetos individuais monitorizados
no âmbito das métricas não são considerados.
Só é possível adicionar um projeto como projeto monitorizado a um
âmbito de métricas existente se esse projeto estiver no
mesmo perímetro do VPC Service Controls que o projeto de âmbito do âmbito de métricas.
Para aceder à monitorização na Google Cloud consola de um projeto
anfitrião protegido por um perímetro de serviço, use uma
regra de entrada.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
telemetry.googleapis.com
Detalhes
A API Telemetry API pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Uma vez que a API Natural Language é uma API sem estado e não é executada em projetos,
a utilização do VPC Service Controls para proteger a API Natural Language não tem qualquer efeito.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
networkconnectivity.googleapis.com
Detalhes
A API Network Connectivity Center pode ser protegida pelos VPC Service Controls e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca do Network Connectivity Center, consulte a
documentação do produto.
Limitações
A integração do Network Connectivity Center com os VPC Service Controls não tem limitações conhecidas.
Os VPC Service Controls não suportam o acesso a recursos da Cloud Asset API ao nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. Os VPC Service Controls
protegem os recursos da API Cloud Asset ao nível do projeto. Pode especificar uma política de saída para impedir o acesso a recursos da API Cloud Asset ao nível do projeto a partir de projetos dentro do perímetro.
Os VPC Service Controls não suportam a adição de recursos da Cloud Asset API ao nível da pasta ou da organização
a um perímetro de serviço. Não pode usar um perímetro para proteger
recursos da API Cloud Asset ao nível da pasta ou da organização. Para gerir as autorizações do Cloud Asset Inventory ao nível da pasta ou da organização, recomendamos que use o IAM.
O Cloud Translation – Advanced (v3) suporta os VPC Service Controls, mas
não o Cloud Translation – Basic (v2). Para aplicar os VPC Service Controls,
tem de usar o Cloud Translation – Advanced (v3). Para mais informações
acerca das diferentes edições, consulte Comparar
básico e avançado.
Para proteger os pontos finais de entrada com um perímetro de serviço, tem de seguir
as instruções para configurar um conjunto privado e enviar streams de vídeo de entrada através de uma
ligação privada.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
storagetransfer.googleapis.com
Detalhes
Recomendamos que coloque o seu projeto do serviço de transferência de armazenamento no mesmo perímetro de serviço que os seus recursos do Cloud Storage. Isto protege a sua transferência e os seus recursos do Cloud Storage. O Serviço de transferência de armazenamento também suporta cenários em que o projeto do Serviço de transferência de armazenamento não está no mesmo perímetro que os seus contentores do Cloud Storage, através de uma política de saída.
Quando chama a API Service Control a partir de uma rede VPC num perímetro de serviço com o controlo de serviços restrito para comunicar métricas de faturação ou de estatísticas, só pode usar o método Service Control report para comunicar métricas para serviços suportados pelos VPC Service Controls.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
redis.googleapis.com
Detalhes
A API para o Memorystore for Redis pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Redis na mesma rede.
Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Redis só podem ler e escrever num contentor do Cloud Storage dentro do mesmo perímetro de serviço que a instância do Memorystore for Redis.
Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Redis no mesmo perímetro para que os pedidos do Redis sejam bem-sucedidos. Em qualquer altura,
a separação do projeto anfitrião e do projeto de serviço com um perímetro pode causar uma falha da instância do Redis, além de pedidos bloqueados. Para mais informações, consulte os requisitos de configuração do Memorystore para Redis.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
memcache.googleapis.com
Detalhes
A API do Memorystore for Memcached pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o Memorystore para Memcached, consulte a
documentação do produto.
Limitações
Os perímetros de serviço protegem apenas a API Memorystore for Memcached. Os perímetros não protegem o acesso normal aos dados nas instâncias do Memorystore for Memcached na mesma rede.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
memorystore.googleapis.com
Detalhes
Os perímetros de serviço protegem apenas a API Memorystore for Valkey. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Valkey na mesma rede.
Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Valkey só podem ler e escrever num contentor do Cloud Storage dentro do mesmo perímetro de serviço que a instância do Memorystore for Valkey.
Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Redis no mesmo perímetro para que os pedidos do Redis sejam bem-sucedidos. Em qualquer altura,
a separação do projeto anfitrião e do projeto de serviço com um perímetro pode causar uma falha da instância do Redis, além de pedidos bloqueados. Para mais informações, consulte os requisitos de configuração do Memorystore for Valkey.
A API Memorystore for Valkey está memorystore.googleapis.com.
Por este motivo, o nome a apresentar do Memorystore for Valkey é "API Memorystore" quando usa os VPC Service Controls na Google Cloud consola.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Não. Não é possível proteger a API do Transfer Appliance com perímetros de serviço.
No entanto, o Transfer Appliance pode ser usado normalmente em projetos dentro de um perímetro.
Detalhes
O Transfer Appliance é totalmente suportado para projetos que usam os
VPC Service Controls.
O Transfer Appliance não oferece uma API e, por isso, não suporta funcionalidades relacionadas com a API nos VPC Service Controls.
Quando o Cloud Storage está protegido pelos VPC Service Controls, a chave do Cloud KMS que partilha com a equipa do Transfer Appliance tem de estar no mesmo projeto que o contentor do Cloud Storage de destino.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
orgpolicy.googleapis.com
Detalhes
A API Organization Policy Service pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca do serviço de políticas da organização, consulte a
documentação do produto.
Limitações
Os VPC Service Controls não suportam restrições de acesso a políticas da organização ao nível da pasta ou da organização que são herdadas pelo projeto.
Os VPC Service Controls protegem os recursos da API Organization Policy Service ao nível do projeto.
Por exemplo, se uma regra de entrada restringir o acesso de um utilizador à API Organization Policy Service, esse utilizador recebe um erro 403 quando consulta as políticas de organização aplicadas no projeto. No entanto,
o utilizador continua a poder aceder às políticas da organização da pasta e da organização
que contém o projeto.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
oslogin.googleapis.com
Detalhes
Pode chamar a API OS Login a partir de perímetros dos VPC Service Controls. Para gerir o
Início de sessão do SO a partir de perímetros dos VPC Service Controls,
configure o Início de sessão do SO.
As ligações SSH a instâncias de VM não estão protegidas pelos VPC Service Controls.
Os métodos de Início de sessão do SO para leitura e escrita de chaves SSH não aplicam perímetros dos VPC Service Controls. Use serviços acessíveis por VPC para desativar o acesso às APIs OS Login.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
servicehealth.googleapis.com
Detalhes
A API para o estado de saúde do serviço personalizado pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o estado de funcionamento do serviço personalizado, consulte a
documentação do produto.
Limitações
Os VPC Service Controls não suportam os recursos OrganizationEvents e OrganizationImpacts da API Service Health. Por conseguinte, as verificações de políticas dos VPC Service Controls não ocorrem quando chama os métodos
para estes recursos. No entanto, pode invocar os métodos a partir de um perímetro de serviço através de um VIP restrito.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
osconfig.googleapis.com
Detalhes
Pode chamar a API OS Config a partir de perímetros do VPC Service Controls. Para usar o
VM Manager a partir de perímetros do VPC Service Controls,
configure o VM Manager.
Para proteger totalmente o VM Manager, tem de incluir todas as seguintes APIs no
seu perímetro:
API OS Config (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Artifact Analysis (containeranalysis.googleapis.com)
O VM Manager não aloja conteúdo de pacotes nem de patches. A gestão de correções do SO usa as ferramentas de atualização do sistema operativo, que requerem que as atualizações de pacotes e as correções sejam recuperáveis na VM. Para que a aplicação de patches funcione, pode ter de usar o
Cloud NAT ou alojar o seu próprio repositório de pacotes ou o Windows Server Update Service
na sua nuvem privada virtual.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
workflows.googleapis.com
Detalhes
O Workflows é uma plataforma de orquestração que pode combinar serviços da Google Cloud Platform e APIs baseadas em HTTP para executar serviços por uma ordem que define.
Quando protege a API Workflows com um perímetro de serviço, a API Workflow Executions também fica protegida. Não precisa de adicionar separadamente
workflowexecutions.googleapis.com à lista de serviços protegidos do seu perímetro.
Os pedidos HTTP de uma execução do Workflows são suportados da seguinte forma:
Os pedidos autenticados para os pontos finais Google Cloud em conformidade com os VPC Service Controls são permitidos.
Os pedidos para funções do Cloud Run e pontos finais de serviço do Cloud Run são permitidos.
Os pedidos a pontos finais de terceiros estão bloqueados.
Os pedidos para endpoints Google Cloud não compatíveis com os VPC Service Controls são bloqueados.
Os perímetros de serviço protegem apenas a API Filestore. Os perímetros não protegem o acesso normal aos dados NFS em instâncias do Filestore na mesma rede.
Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Filestore no mesmo perímetro para que a instância do Filestore funcione corretamente. A separação do projeto anfitrião e do projeto de serviço
com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e
pode não criar novas instâncias.
Se usar a VPC partilhada e os VPC Service Controls, tem de ter o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância do Parallelstore dentro do mesmo perímetro para que a instância do Parallelstore funcione corretamente. A separação do projeto anfitrião e do projeto de serviço
com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e
pode não criar novas instâncias.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
containerthreatdetection.googleapis.com
Detalhes
A API Container Threat Detection pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre a deteção de ameaças de contentores, consulte a
documentação do produto.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
O Ads Data Hub e o VPC Service Controls estão sujeitos a diferentes Termos de Utilização. Reveja os termos de cada produto para ver detalhes.
Determinadas funcionalidades do Ads Data Hub (como a ativação de públicos-alvo personalizados, os lances personalizados e as tabelas de correspondência do LiveRamp) exigem que certos dados do utilizador sejam exportados fora do perímetro do VPC Service Controls. Se o Ads Data Hub for adicionado como um serviço restrito, vai ignorar as políticas do VPC Service Controls
para estas funcionalidades de modo a manter a respetiva funcionalidade.
Todos os serviços dependentes têm de ser incluídos como serviços permitidos no mesmo perímetro do VPC Service Controls. Por
exemplo, uma vez que o Ads Data Hub se baseia no BigQuery, o BigQuery também tem de ser
adicionado. Em geral, as práticas recomendadas do VPC Service Controls recomendam incluir todos os serviços no perímetro,
ou seja, "restringir todos os serviços".
Os clientes com estruturas de conta do Ads Data Hub de vários níveis (como agências com
subsidiárias) devem ter todos os respetivos projetos do administrador no mesmo perímetro. Para simplificar,
o Ads Data Hub recomenda que os clientes com estruturas de contas de vários níveis restrinjam
os respetivos projetos do administrador à mesma Google Cloud organização.
Para mais informações acerca do serviço de tokens de segurança, consulte a
documentação do produto.
Limitações
Quando cria uma regra de entrada ou saída para permitir trocas de tokens, tem de definir o tipo de identidade como ANY_IDENTITY, uma vez que o método token não tem autorização.
Os serviços firestore.googleapis.com, datastore.googleapis.com e firestorekeyvisualizer.googleapis.com estão agrupados.
Quando restringe o serviço firestore.googleapis.com num perímetro,
o perímetro também restringe os serviços datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com. Não tem de adicionar estes serviços separadamente à lista de serviços protegidos do seu perímetro.
Para obter proteção de saída total nas operações de importação e exportação,
tem de usar o agente de serviço do Firestore. Consulte o seguinte para mais informações:
As operações de importação e exportação não estão totalmente protegidas, a menos que
use o agente de serviço do Firestore. Consulte o seguinte para mais informações:
Os serviços agrupados antigos do App Engine para o Datastore
não suportam perímetros de serviço. A proteção do serviço Datastore com um perímetro de serviço bloqueia o tráfego dos serviços agrupados antigos do App Engine. Os serviços antigos incluídos incluem:
Este domínio e os respetivos endereços IP são usados apenas pelo serviço Firestore com
compatibilidade com o MongoDB e estão em conformidade com os VPC Service Controls.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
vmmigration.googleapis.com
Detalhes
A API Migrate to Virtual Machines pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre a migração para máquinas virtuais, consulte a
documentação do produto.
Limitações
Para proteger totalmente o Migrate to Virtual Machines, adicione todas as seguintes APIs ao perímetro de serviço:
API Artifact Registry (artifactregistry.googleapis.com)
Pub/Sub API (pubsub.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Cloud Logging API (logging.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
backupdr.googleapis.com
Detalhes
A API do serviço de cópia de segurança e recuperação de desastres pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca do serviço de cópia de segurança e recuperação de desastres, consulte a
documentação do produto.
Limitações
Se remover a rota predefinida da Internet do projeto do produtor de serviços através do comando gcloud services vpc-peerings enable-vpc-service-controls,
pode não conseguir aceder nem implementar a consola de gestão. Se ocorrer este problema, contacte o apoio ao cliente do Google Cloud.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
gkebackup.googleapis.com
Detalhes
Pode usar os VPC Service Controls para proteger a cópia de segurança do GKE e pode usar as funcionalidades de cópia de segurança do GKE normalmente dentro dos perímetros de serviço.
Para mais informações sobre a cópia de segurança para o GKE, consulte a
documentação do produto.
Limitações
A integração do Backup for GKE com os VPC Service Controls não tem limitações conhecidas.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
retail.googleapis.com
Detalhes
A API Retail pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
integrations.googleapis.com
Detalhes
A integração de aplicações é um sistema de gestão de fluxos de trabalho colaborativo que lhe permite
criar, aumentar, depurar e compreender os fluxos de trabalho do sistema empresarial principal.
Os fluxos de trabalho na solução Application Integration são compostos por acionadores e tarefas.
Existem vários tipos de acionadores, como o acionador de API/acionador de publicação/subscrição/acionador cron/acionador sfdc.
Os VPC Service Controls protegem os registos do Application Integration. Se usar a integração de aplicações, verifique a compatibilidade da integração com o vpcsc com a equipa de integração de aplicações.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
connectors.googleapis.com
Detalhes
A API Integration Connectors pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre os conectores de integração, consulte a
documentação do produto.
Limitações
Quando usar os VPC Service Controls, se a sua ligação estiver a estabelecer ligação a um recurso da CLI do Google Cloud que não seja do Google Cloud, o destino da ligação tem de ser uma associação do Private Service Connect. As ligações criadas sem a associação do Private Service Connect falham.
Se configurar um perímetro de serviço dos VPC Service Controls para o seu projeto da Google Cloud CLI, não pode usar a
funcionalidade de subscrição de eventos para o projeto.
As notificações enviadas quando é encontrado um grupo de erros novo ou recorrente
contêm informações sobre o grupo de erros. Para evitar a exfiltração de dados fora do perímetro dos VPC Service Controls, certifique-se de que os canais de notificação estão dentro da sua organização.
Para proteger totalmente o Cloud Workstations, tem de restringir a API Compute Engine no seu perímetro de serviço sempre que restringir a API Cloud Workstations.
Certifique-se de que a API Google Cloud Storage, a API Google Container Registry e a API Artifact Registry são
acessíveis através da VPC no seu perímetro
de serviço. Isto é necessário para transferir imagens para a sua estação de trabalho. Também recomendamos que permita que a API Cloud Logging e a API Cloud Error Reporting sejam acessíveis através da VPC no seu perímetro de serviço, embora isto não seja necessário para usar o Cloud Workstations.
Certifique-se de que o cluster da estação de trabalho é
privado.
A configuração de um cluster privado impede as ligações às suas estações de trabalho a partir de
fora do perímetro de serviço da VPC.
Certifique-se de que desativa os endereços IP públicos na configuração da estação de trabalho. Se não o fizer, as VMs têm endereços IP públicos no seu projeto. Recomendamos vivamente que use a restrição da política da organização para desativar os endereços IP públicos para todas as VMs no perímetro de serviço da VPC.constraints/compute.vmExternalIpAccess Para ver detalhes, consulte o artigo
Restringir endereços IP externos a VMs específicas.
Ao estabelecer ligação à sua estação de trabalho, o controlo de acesso baseia-se apenas no facto de a rede privada a partir da qual está a estabelecer ligação pertencer ao perímetro de segurança. O controlo de acesso baseado no
dispositivo, no endereço IP público ou na localização não é suportado.
O Cloud IDS usa o Cloud Logging para criar registos de ameaças no seu projeto. Se o Cloud Logging estiver restrito pelo perímetro de serviço, os VPC Service Controls bloqueiam os registos de ameaças do Cloud IDS, mesmo que o Cloud IDS não seja adicionado como um serviço restrito ao perímetro. Para usar o Cloud IDS num perímetro de serviço, tem de configurar uma regra de entrada para a conta de serviço do Cloud Logging no seu perímetro de serviço.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
policytroubleshooter.googleapis.com
Detalhes
Quando restringe a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas relativos às políticas de autorização da IAM se todos os recursos envolvidos no pedido estiverem no mesmo perímetro. Normalmente, existem dois recursos envolvidos numa solicitação de resolução de problemas:
O recurso para o qual está a resolver problemas de acesso. Este recurso pode ser de qualquer
tipo. Especifica explicitamente este recurso quando resolve problemas de uma política de autorização.
O recurso que está a usar para resolver problemas de acesso. Este recurso é
um projeto, uma pasta ou uma organização. Na Google Cloud consola e na
CLI gcloud, este recurso é inferido com base no projeto, na pasta
ou na organização que selecionou. Na API REST, especifica este recurso
através do cabeçalho x-goog-user-project.
Este recurso pode ser o mesmo que o recurso para o qual está a resolver problemas de acesso, mas não tem de o ser.
Se estes recursos não estiverem no mesmo perímetro, o pedido falha.
Para mais informações sobre a ferramenta de resolução de problemas de políticas, consulte a
documentação do produto.
Limitações
A integração da resolução de problemas de políticas com os VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
policysimulator.googleapis.com
Detalhes
Quando restringe a API Policy Simulator com um perímetro, os principais
só podem simular políticas de autorização se determinados recursos envolvidos na
simulação estiverem no mesmo perímetro. Existem vários recursos
envolvidos numa simulação:
O recurso cuja política de permissão está a
simular. Este recurso também é denominado recurso
de destino. Na Google Cloud consola, este é o recurso cuja política de permissão está a editar. Na CLI gcloud e na API REST, especifica explicitamente este recurso quando simula uma política de autorização.
O projeto, a pasta ou a organização que cria e executa
a simulação. Este recurso também é denominado recurso de
anfitrião. Na Google Cloud consola e na
CLI gcloud, este recurso é inferido com base no projeto, na pasta
ou na organização que selecionou. Na API REST, especifica este recurso
através do cabeçalho x-goog-user-project.
Este recurso pode ser o mesmo que o recurso para o qual está a simular o acesso, mas não tem de o ser.
O recurso que fornece registos de acesso para a simulação. Numa simulação, existe sempre um recurso que fornece registos de acesso para a simulação. Este recurso varia
consoante o tipo de recurso de destino:
Se estiver a simular uma política de permissão para um projeto ou uma organização, o Simulador de políticas obtém os registos de acesso desse projeto ou organização.
Se estiver a simular uma política de autorização para um tipo de recurso diferente,
o Simulador de políticas obtém os registos de acesso do projeto ou da organização principal desse recurso.
Se estiver a simular as políticas de autorização de vários recursos em simultâneo, o Policy Simulator obtém os registos de acesso do projeto ou da organização comum mais próximo dos recursos.
Todos os recursos suportados com políticas de permissão relevantes.
Quando o Simulador de políticas executa uma simulação, considera todas as políticas de permissão que possam afetar o acesso do utilizador, incluindo políticas de permissão nos recursos antecessores e descendentes do recurso de destino. Como resultado, estes recursos principais e subordinados também estão envolvidos em simulações.
Se o recurso de destino e o recurso anfitrião não estiverem no mesmo
perímetro, o pedido falha.
Se o recurso de destino e o recurso que fornece registos de acesso para a simulação não estiverem no mesmo perímetro, o pedido falha.
Se o recurso de destino e alguns recursos suportados com políticas de permissão relevantes não estiverem no mesmo perímetro, os pedidos são bem-sucedidos, mas os resultados podem estar incompletos. Por exemplo, se estiver a simular uma política
para um projeto num perímetro, os resultados não incluem a política de permissão
da organização principal do projeto, porque as organizações estão sempre
fora dos perímetros dos VPC Service Controls. Para obter resultados mais completos, pode configurar regras de entrada e saída para o perímetro.
Para proteger totalmente o Identity Platform, adicione a API Secure Token (securetoken.googleapis.com) ao perímetro de serviço para permitir a atualização de tokens. securetoken.googleapis.com não está
listado na página VPC Service Controls da consola Google Cloud .
Só pode adicionar este serviço com o comando
gcloud access-context-manager
perimeters update.
Se a sua aplicação também se integrar com a funcionalidade de funções de bloqueio, adicione funções do Cloud Run (cloudfunctions.googleapis.com) ao
perímetro de serviço.
A utilização da autenticação multifator (MFA) baseada em SMS, da autenticação por email ou de fornecedores de identidade de terceiros faz com que os dados sejam enviados para fora do perímetro. Se não usar a MFA com SMS, autenticação por email ou fornecedores de identidade de terceiros, desative estas funcionalidades.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Não. A API para o Google Distributed Cloud (apenas software) para bare metal não pode ser protegida por perímetros de serviço.
No entanto, o Google Distributed Cloud (apenas software) para bare metal pode ser usado normalmente em projetos dentro de um perímetro.
Detalhes
Pode criar um cluster no seu ambiente, que está ligado à VPC através do Cloud Interconnect ou da Cloud VPN.
Para mais informações sobre o Google Distributed Cloud (apenas software) para hardware sem sistema operativo, consulte a
documentação do produto.
Limitações
Para proteger os seus clusters, use o VIP restrito no Google Distributed Cloud (apenas software) para bare metal e adicione todas as seguintes APIs ao perímetro de serviço:
API Artifact Registry (artifactregistry.googleapis.com)
API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Connect Gateway (connectgateway.googleapis.com)
API Google Container Registry (containerregistry.googleapis.com)
API GKE Connect (gkeconnect.googleapis.com)
GKE Hub API (gkehub.googleapis.com)
API GKE On-Prem (gkeonprem.googleapis.com)
API Cloud IAM (iam.googleapis.com)
Cloud Logging API (logging.googleapis.com)
Cloud Monitoring API (monitoring.googleapis.com)
Config Monitoring for Ops API (opsconfigmonitoring.googleapis.com)
API Service Control (servicecontrol.googleapis.com)
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
looker.googleapis.com
Detalhes
A API do Looker (Google Cloud core) pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o Looker (Google Cloud core), consulte a
documentação do produto.
Limitações
Apenas as edições Enterprise ou Incorporação de instâncias do Looker (Google Cloud core) que usam ligações de IP privadas suportam a conformidade com os VPC Service Controls. As instâncias do Looker (Google Cloud core) com ligações de IP público ou ligações de IP público e privado não suportam a conformidade com os VPC Service Controls. Para criar uma instância que use uma ligação IP privada, selecione IP privado na secção Rede da página Criar instância da Google Cloud consola.
Quando coloca ou cria uma instância do Looker (Google Cloud core) num perímetro de serviço do VPC Service Controls, tem de remover a rota predefinida para a Internet chamando o método services.enableVpcServiceControls ou executando o seguinte comando gcloud:
A remoção da rota predefinida restringe o tráfego de saída apenas a serviços compatíveis com o VPC Service Controls. Por exemplo, o envio de email falha porque a API usada para enviar email não é compatível com os VPC Service Controls.
Se estiver a usar a VPC partilhada, certifique-se de que inclui o projeto de serviço do Looker (essencial para o Google Cloud) no mesmo perímetro de serviço que o projeto anfitrião da VPC partilhada ou cria uma ponte de perímetro entre os dois projetos. Se o projeto de serviço do Looker (essencial para o Google Cloud) e o projeto anfitrião da VPC partilhada não estiverem no mesmo perímetro ou não puderem comunicar através de uma ponte de perímetro, a criação de instâncias pode falhar ou a instância do Looker (essencial para o Google Cloud) pode não funcionar corretamente.
Se estiver a usar o Looker Studio Pro ou o Studio no Looker, o conetor do Looker não consegue estabelecer ligação a uma instância do Looker (essencial para o Google Cloud) que esteja dentro de um perímetro dos VPC Service Controls. Para mais informações sobre as limitações do conetor do Looker, consulte a página de documentação Limites do conetor do Looker.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
publicca.googleapis.com
Detalhes
A API para a autoridade de certificação pública pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca da autoridade de certificação pública, consulte a
documentação do produto.
Limitações
A integração da autoridade de certificação pública com os VPC Service Controls não tem limitações conhecidas.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
storagebatchoperations.googleapis.com
Detalhes
Para usar os VPC Service Controls com operações em lote de armazenamento, crie um perímetro de serviço para proteger o seguinte projeto e Google Cloud serviços:
Projeto do Cloud Storage
API Storage Batch Operations (storagebatchoperations.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Opcional: API Cloud KMS (cloudkms.googleapis.com), se usar o tipo de tarefa de atualizações da chave de encriptação de objetos).
Para permitir o acesso a operações em lote de armazenamento a partir do exterior do perímetro, tem de configurar políticas de entrada.
Para mais informações sobre as operações em lote de armazenamento, consulte a
documentação do produto.
Limitações
A integração das operações em lote do Storage com os VPC Service Controls não tem limitações conhecidas.
As APIs do Security Command Center podem ser protegidas pelos VPC Service Controls, e o Security Command Center pode ser usado
normalmente dentro dos perímetros de serviço.
Os serviços do securitycenter.googleapis.com e do securitycentermanagement.googleapis.com
estão agrupados. Quando restringe o serviço securitycenter.googleapis.com
num perímetro, o perímetro restringe o serviço securitycentermanagement.googleapis.com
por predefinição. Não pode adicionar o serviço securitycentermanagement.googleapis.com
à lista de serviços restritos num perímetro porque está incluído no pacote
securitycenter.googleapis.com.
Para mais informações acerca do Security Command Center, consulte a
documentação do produto.
Limitações
Os VPC Service Controls não suportam o acesso a recursos da API Security Command Center ao nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. Os VPC Service Controls
protegem os recursos da API Security Command Center ao nível do projeto. Pode especificar uma política de saída para impedir o acesso a recursos da API Security Command Center ao nível do projeto a partir de projetos dentro do perímetro.
O VPC Service Controls não suporta a adição de recursos da API Security Command Center ao nível da pasta ou da organização
a um perímetro de serviço. Não pode usar um perímetro para proteger
recursos da API Security Command Center ao nível da pasta ou da organização. Para gerir as autorizações do Security Command Center
ao nível da pasta ou da organização, recomendamos que use o IAM.
O VPC Service Controls não suporta o serviço de postura de segurança porque os recursos de postura de segurança (como posturas, implementações de posturas e modelos de posturas predefinidos) são recursos ao nível da organização.
Não pode exportar resultados ao nível da pasta ou da organização para destinos
dentro de um perímetro de serviço.
Tem de ativar o acesso ao perímetro nos seguintes cenários:
Quando exporta dados para o
BigQuery ao nível da pasta ou da organização e o BigQuery está dentro
de um perímetro de serviço.
Quando integra o Security Command Center com um produto SIEM ou SOAR e o produto é implementado dentro de um perímetro de serviço num ambiente da Google Cloud Platform. Os SIEMs e SOARs suportados incluem
Splunk e
IBM QRadar.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudsupport.googleapis.com
Detalhes
A API Cloud Customer Care pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações acerca do apoio técnico ao cliente do Google Cloud, consulte a
documentação do produto.
Limitações
Os VPC Service Controls protegem os dados acedidos através da API Cloud Support, mas não protegem os dados acedidos através da Google Cloud consola.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
discoveryengine.googleapis.com
Detalhes
A API for AI Applications – Vertex AI Search pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre as aplicações de IA – Vertex AI Search, consulte a
documentação do produto.
Limitações
Se configurar o widget
de pesquisa do Vertex AI para acesso público (ou seja, sem um token OAuth), as chamadas para
o back-end da API são feitas através de um agente de serviço gerido pela Google. Uma vez que este tráfego não contém o seu token de autenticação, o pedido pode ignorar eficazmente as regras de entrada dos VPC Service Controls configurados da sua organização. Mesmo que proteja o serviço discoveryengine.googleapis.com dentro de um perímetro dos VPC Service Controls, ainda é possível aceder a um widget com acesso público a partir do exterior desse perímetro. Se a sua organização exigir a aplicação dos VPC Service Controls para proteger dados confidenciais, não ative um widget com acesso público.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
confidentialcomputing.googleapis.com
Detalhes
Para garantir que o espaço confidencial funciona corretamente nos limites do perímetro,
tem de configurar
regras de saída.
Se o seu espaço confidencial precisar de aceder a contentores do Cloud Storage
fora do seu perímetro, crie uma
regra de saída para permitir o acesso a esses contentores.
Se estiver a ativar a API Confidential Space em recursos do Compute Engine
fora do seu perímetro, crie uma
regra de saída para permitir o acesso a esta API.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
ssh-serialport.googleapis.com
Detalhes
Para usar a proteção dos VPC Service Controls quando estabelecer ligação à consola série
para uma instância de máquina virtual (VM), tem de especificar uma regra de entrada
para o perímetro de serviço. Quando configurar a regra de entrada, o nível de acesso da origem tem de ser um valor baseado em IP e o nome do serviço tem de estar definido como ssh-serialport.googleapis.com.
A regra de entrada é necessária para aceder à consola série, mesmo que o pedido de origem e o recurso de destino estejam no mesmo perímetro.
Para mais informações sobre o Google Cloud VMware Engine, consulte a
documentação do produto.
Limitações
Quando adiciona redes do VMware Engine, nuvens privadas, políticas de rede e interligação de VPCs existentes a um perímetro de serviço da VPC, os recursos criados anteriormente não são verificados novamente para ver se continuam em conformidade com as políticas do perímetro.
Para usar a proteção do VPC Service Controls para o Dataform, tem de
definir a política da organização `dataform.restrictGitRemotes`
e restringir o BigQuery com o mesmo perímetro de serviço que o Dataform.
Deve garantir que as autorizações de gestão de identidade e acesso concedidas às suas contas de serviço
usadas no Dataform refletem a sua arquitetura de segurança.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
websecurityscanner.googleapis.com
Detalhes
O Web Security Scanner e o VPC Service Controls estão sujeitos a diferentes Termos de Utilização.
Reveja os termos de cada produto para ver detalhes.
O Web Security Scanner envia as conclusões ao Security Command Center a pedido. Pode ver ou transferir os
dados do painel de controlo do Security Command Center.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
securesourcemanager.googleapis.com
Detalhes
Tem de configurar o serviço de autoridade de certificação com uma autoridade de certificação funcional antes de criar instâncias do VPC Service Controls do Secure Source Manager.
Tem de configurar o Private Service Connect antes de aceder à instância do VPC Service Controls do Secure Source Manager.
As APIs para o proxy Web seguro podem ser protegidas pelos VPC Service Controls e o produto pode
ser usado normalmente dentro dos perímetros de serviço.
Se aprovisionar o seu proxy com um certificado, também tem de incluir a API Certificate Manager (certificatemanager.googleapis.com) no seu perímetro de serviço.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudcontrolspartner.googleapis.com
Detalhes
A API Cloud Controls Partner pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre a Partner Console nos controlos soberanos por parceiros, consulte a
documentação do produto.
Limitações
Este serviço tem de ser restrito a todos os não parceiros. Se for um parceiro que suporta os controlos soberanos por parte dos parceiros, pode proteger este serviço através de um perímetro de serviço.
Os serviços earthengine.googleapis.com e earthengine-highvolume.googleapis.com
estão incluídos num pacote. Quando restringe o serviço earthengine.googleapis.com
num perímetro, o perímetro restringe o serviço earthengine-highvolume.googleapis.com
por predefinição. Não pode adicionar o serviço earthengine-highvolume.googleapis.com à lista de serviços restritos num perímetro porque está incluído no pacote earthengine.googleapis.com.
O Code Editor do Earth Engine, um IDE baseado na Web para a Earth Engine JavaScript API, não é suportado e os VPC Service Controls não permitem a utilização do Earth Engine Code Editor com recursos e clientes dentro de um perímetro de serviço.
Os recursos
antigos não estão protegidos pelos VPC Service Controls.
As apps do Earth Engine
não são suportadas para recursos e clientes dentro de um perímetro de serviço.
O VPC Service Controls só está disponível para os planos de preços do Earth Engine Premium e Professional. Para mais informações sobre os planos de preços, consulte os
planos do Earth Engine.
Para mais informações sobre limitações e soluções alternativas de exemplo, consulte a documentação de controlo de acesso do Earth Engine.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
apphub.googleapis.com
Detalhes
O App Hub permite-lhe descobrir e organizar recursos de infraestrutura em aplicações. Pode usar os perímetros dos VPC Service Controls para proteger os recursos do App Hub.
Tem de configurar o VPC Service Controls nos projetos de serviço e anfitrião do App Hub
antes de criar uma aplicação e registar serviços e cargas de trabalho na aplicação.
O App Hub suporta os seguintes tipos de recursos:
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
cloudcode.googleapis.com
Detalhes
A API Cloud Code pode ser protegida pelos VPC Service Controls. Para usar funcionalidades com tecnologia Gemini
no Cloud Code, tem de configurar uma política de entrada para permitir tráfego de
clientes IDE. Consulte a documentação do Gemini para ver detalhes.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
commerceorggovernance.googleapis.com
Detalhes
O perímetro dos VPC Service Controls protege a API Commerce Org Governance para o Google Private Marketplace.
Para mais informações sobre a API Commerce Org Governance, consulte a
documentação do produto.
Limitações
Os recursos, como o pedido de aprovisionamento e o pedido de acesso, que a API Commerce Org Governance cria ao nível do projeto, são apresentados ao nível da organização e revistos pelo administrador da organização sem aplicar as políticas do VPC Service Controls.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
privilegedaccessmanager.googleapis.com
Detalhes
A API do Privileged Access Manager pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o Gestor de acesso privilegiado, consulte a
documentação do produto.
Limitações
O VPC Service Controls não suporta a adição de recursos ao nível da pasta ou da organização a um perímetro de serviço. Não pode usar um perímetro para proteger recursos do Gestor de acesso privilegiado ao nível da pasta ou da organização. Os VPC Service Controls protegem os recursos do Privileged Access Manager ao nível do projeto.
Para proteger o Gestor de acesso privilegiado, tem de incluir as seguintes APIs no seu perímetro:
API Privileged Access Manager (privilegedaccessmanager.googleapis.com)
Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
auditmanager.googleapis.com
Detalhes
A API do Gestor de auditorias pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Não pode usar um perímetro para proteger recursos do Gestor de auditoria ao nível da pasta ou da organização. Para gerir as autorizações do Audit Manager ao nível da pasta ou da organização, recomendamos que use o IAM.
Se executar uma auditoria ao nível do projeto, o projeto estiver protegido por um perímetro e o contentor do Cloud Storage não estiver dentro do mesmo perímetro, configure uma regra de saída para o projeto que contém o contentor do Cloud Storage.
Quando ativa os VPC Service Controls num projeto da Google Cloud Platform que contém uma app Google Agentspace, fica impedido de criar ou usar ações do Google Agentspace por predefinição, e qualquer tentativa de criar uma ação na IU é proibida. Para ativar e usar ações para serviços específicos no seu perímetro dos
VPC Service Controls, tem de contactar o seu representante da Google e pedir
para ser adicionado à lista de autorizações.
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
discoveryengine.googleapis.com
Detalhes
A API para o Google Agentspace – NotebookLM para empresas pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o Google Agentspace – NotebookLM para empresas, consulte a
documentação do produto.
Limitações
O Google Agentspace - NotebookLM para integração empresarial com os VPC Service Controls não tem limitações conhecidas.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
developerconnect.googleapis.com
Detalhes
A API Developer Connect pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
modelarmor.googleapis.com
Detalhes
A API Model Armor pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
A integração do Model Armor com os VPC Service Controls não tem limitações conhecidas.
Escala automática
Estado
GA. Esta integração de produtos é totalmente suportada pelos VPC Service Controls.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
autoscaling.googleapis.com
Detalhes
A API para o dimensionamento automático pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Limitações
A integração do dimensionamento automático com os VPC Service Controls não tem limitações conhecidas.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
addressvalidation.googleapis.com
Detalhes
A API Address Validation pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
places.googleapis.com
Detalhes
A API Places (New) pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Pré-visualizar. A integração deste produto com o VPC Service Controls está em pré-visualização
e está pronta para testes e utilização mais amplos, mas não é totalmente suportada para ambientes
de produção.
Proteger com perímetros?
Sim. Pode configurar os seus perímetros para proteger este serviço.
Nome do serviço
managedkafka.googleapis.com
Detalhes
A API do Google Cloud Managed Service para Apache Kafka pode ser protegida pelos VPC Service Controls e o produto pode ser usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o Google Cloud Managed Service para Apache Kafka, consulte a
documentação do produto.
Limitações
O Managed Service for Apache Kafka baseia-se em serviços de rede subjacentes. Para ajudar a
proteger este serviço, certifique-se de que todos os serviços necessários também estão incluídos no seu
perímetro de serviço:
API Compute Engine (compute.googleapis.com)
Cloud DNS API (dns.googleapis.com)
Para ajudar a proteger um conetor do Kafka Connect, inclua todos os serviços que o conetor chama no seu perímetro. Consoante o tipo de conetor, o conetor pode chamar um dos seguintes serviços:
O IP virtual (VIP) restrito oferece uma forma de as VMs que estão dentro de um perímetro de serviço fazerem chamadas para os serviços da Google Cloud Platform sem expor os pedidos à Internet. Para ver uma lista completa dos serviços disponíveis no VIP restrito, consulte o artigo Serviços suportados pelo VIP restrito.
Serviços não suportados
A tentativa de restringir um serviço não suportado através da ferramenta de linha de comandos gcloud ou da API Access Context Manager resulta num erro.
O acesso entre projetos aos dados dos serviços suportados é bloqueado pelos VPC Service Controls.
Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho de chamar serviços não suportados.
Outras limitações conhecidas
Esta secção descreve as limitações conhecidas com determinados
Google Cloud serviços, produtos e interfaces que podem ser
encontrados quando usa os VPC Service Controls.
Para ver as limitações dos produtos suportados pelos VPC Service Controls,
consulte a tabela de produtos suportados.
Para mais informações sobre a resolução de problemas com o VPC Service Controls,
consulte a página de Resolução de problemas.
API AutoML
Quando usa a API AutoML com os VPC Service Controls, aplicam-se as seguintes limitações:
Não pode adicionar os pontos finais regionais suportados, como eu-automl.googleapis.com, à lista de serviços restritos num perímetro. Quando protege o serviço automl.googleapis.com, o perímetro também protege os pontos finais regionais suportados, como eu-automl.googleapis.com.
Quando usa um perímetro de serviço para proteger o
automl.googleapis.com, o acesso a todos os produtos AutoML que
estão integrados com os VPC Service Controls e são usados dentro do
perímetro é afetado. Tem de configurar o perímetro dos VPC Service Controls
para todos os produtos AutoML integrados que são usados dentro
desse perímetro.
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no seu perímetro:
API AutoML (automl.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
API BigQuery (bigquery.googleapis.com)
App Engine
O App Engine (ambiente padrão e ambiente flexível) não é suportado pelos VPC Service Controls. Não inclua projetos do App Engine em perímetros de serviço.
No entanto, é possível permitir que as apps do App Engine criadas em projetos
fora dos perímetros de serviço leiam e escrevam dados em serviços protegidos
dentro dos perímetros. Para permitir que a sua app aceda aos dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do App Engine do projeto. Isto não permite a utilização do App Engine dentro dos perímetros de serviço.
Solução Bare Metal
A ligação dos VPC Service Controls ao seu ambiente do Bare Metal Solution não cumpre nenhuma garantia de controlo de serviços.
A API Bare Metal Solution pode ser adicionada a um perímetro seguro. No entanto, os perímetros do VPC Service Controls não se estendem ao ambiente da Bare Metal Solution nas extensões regionais.
Blockchain Node Engine
Os VPC Service Controls apenas protegem a API Blockchain Node Engine.
Quando um nó é criado, tem de indicar que se destina a uma rede privada configurada pelo utilizador com o Private Service Connect.
O tráfego ponto a ponto não é afetado pelos VPC Service Controls nem pelo Private Service Connect e continua a usar a Internet pública.
Bibliotecas cliente
As bibliotecas cliente Java e Python para todos os serviços suportados são totalmente
suportadas para acesso através do VIP restrito. O suporte para
outros idiomas está na fase alfa
e deve ser usado apenas para fins de teste.
Os clientes têm de usar bibliotecas de cliente que tenham sido atualizadas a 1 de novembro de 2018 ou posteriormente.
As chaves de contas de serviço ou os metadados de clientes OAuth2 usados pelos clientes têm de ser atualizados a partir de 1 de novembro de 2018 ou posteriormente. Os clientes mais antigos que usam o ponto final do token têm de mudar para o ponto final especificado no material de chaves ou nos metadados do cliente mais recentes.
Cloud Billing
Os VPC Service Controls não suportam o Cloud Billing. Pode
exportar dados de faturação do Google Cloud para um contentor do Cloud Storage ou uma
instância do BigQuery num projeto protegido por um perímetro
de serviço sem configurar um nível de acesso ou uma regra de entrada.
Cloud Deployment Manager
O Deployment Manager não é suportado pelos VPC Service Controls.
Os utilizadores podem conseguir ligar para serviços que estejam em conformidade com os
controlos de serviços da VPC, mas não devem confiar nisso porque pode deixar de funcionar.
Como solução alternativa, pode adicionar a conta de serviço do Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) aos níveis de acesso para permitir chamadas para APIs protegidas pelos VPC Service Controls.
Cloud Shell
Os VPC Service Controls não suportam o Cloud Shell. Os VPC Service Controls
tratam o Cloud Shell como estando fora dos perímetros de serviço e negam o acesso
a dados que os VPC Service Controls protegem. No entanto, os VPC Service Controls
permitem o acesso ao Cloud Shell se um dispositivo que cumpra os requisitos do
nível de acesso
do perímetro de serviço iniciar o Cloud Shell.
Google Cloud consola
Uma vez que a Google Cloud consola só é acessível através da Internet,
é tratada como estando fora dos perímetros de serviço. Quando aplica um perímetro de serviço, a interface da consola para os serviços que protegeu pode ficar parcial ou totalmente inacessível. Google Cloud Por exemplo, se tiver protegido o registo em registo com o perímetro, não vai poder aceder à interface de registo em registo na consola. Google Cloud
Para permitir o acesso a partir da consola Google Cloud a recursos protegidos por um perímetro, tem de criar um nível de acesso para um intervalo de IPs públicos que inclua as máquinas dos utilizadores que querem usar a consola Google Cloud com APIs protegidas. Por exemplo, pode adicionar o intervalo de IP público da gateway NAT da sua rede privada a um nível de acesso e, em seguida, atribuir esse nível de acesso ao perímetro de serviço.
Se quiser limitar Google Cloud o acesso à consola ao perímetro apenas a um conjunto específico de utilizadores, também pode adicionar esses utilizadores a um nível de acesso. Nesse caso, apenas os utilizadores especificados poderiam aceder à
Google Cloud consola.
Os pedidos através da Google Cloud consola de uma rede com o acesso privado da Google ativado, incluindo redes ativadas implicitamente pelo
Cloud NAT, podem ser bloqueados mesmo que a rede de origem do pedido
e o recurso de destino estejam no mesmo perímetro. Isto deve-se ao facto de o
Google Cloud acesso à consola através do acesso privado à Google não ser
suportado pelos VPC Service Controls.
O acesso a serviços privados suporta a implementação de uma instância de serviço numa rede de VPC partilhada.
Se usar esta configuração com os VPC Service Controls, certifique-se de que o projeto anfitrião que fornece a rede e o projeto de serviço que contém a instância de serviço estão dentro do mesmo perímetro dos VPC Service Controls. Caso contrário, os pedidos podem ser bloqueados e as instâncias de serviço podem não funcionar corretamente.
Para mais informações sobre os serviços que suportam o acesso a serviços privados,
consulte Serviços suportados.
GKE Multi-cloud
Os VPC Service Controls aplicam-se apenas aos recursos no seu projeto da Google Cloud Platform. O ambiente de nuvem de terceiros que aloja os seus clusters do GKE Multi-Cloud não cumpre nenhuma garantia de controlo do serviço.
Google Distributed Cloud
Os VPC Service Controls aplicam-se apenas a máquinas bare metal ligadas a projetos de rede da VPC que usam o VIP restrito.
Depois de ativar o perímetro de serviço, não pode transferir os dados de infraestrutura para o StratoZone.
Federação de identidade da força de trabalho
A Workforce Identity Federation não é suportada pelos VPC Service Controls.
Os workforce pools são recursos ao nível da organização e os recursos ao nível da organização não são suportados pelos VPC Service Controls.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-19 UTC."],[],[],null,[]]