Unterstützte Produkte und Einschränkungen

Weitere Informationen zu Infrastructure Manager finden Sie in der Produktdokumentation.

So verwenden Sie den Arbeitslastmanager in einem VPC Service Controls-Perimeter:

• Sie müssen einen privaten Cloud Build-Worker-Pool verwenden für Ihre Bereitstellungsumgebung im Arbeitslastmanager. Sie können den Cloud Build-Standard-Worker-Pool nicht verwenden.
• Der private Cloud Build-Pool muss öffentliche Internetanrufe aktiviert um die Terraform-Konfiguration herunterzuladen.

Weitere Informationen finden Sie unter Privaten Cloud Build-Worker-Pool verwenden in der Dokumentation zum Arbeitslastmanager.

Weitere Informationen zum Arbeitslastmanager finden Sie in der Produktdokumentation.

Die API für Google Cloud NetApp Volumes kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu NetApp Volumes von Google Cloud finden Sie in der Produktdokumentation.

Google Cloud Search unterstützt Virtual Private Cloud Security Controls (VPC Service Controls), um die die Sicherheit Ihrer Daten. Mit VPC Service Controls können Sie einen Sicherheitsbereich um Google definieren Cloud Platform-Ressourcen, um Daten einzuschränken und das Risiko der Daten-Exfiltration zu minimieren.

Weitere Informationen zu Google Cloud Search finden Sie in der Produktdokumentation.

Die API für Konnektivitätstests kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Konnektivitätstests finden Sie in der Produktdokumentation.

Für die Integration von Konnektivitätstests in VPC Service Controls gelten keine bekannten Einschränkungen.

VPC Service Controls unterstützt Onlinevorhersagen, jedoch keine Batchvorhersagen.

Weitere Informationen zu AI Platform Prediction finden Sie in der Produktdokumentation.

Die API für AI Platform Training kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu AI Platform Training finden Sie in der Produktdokumentation.

VPC Service Controls-Perimeter schützen die AlloyDB API.

Weitere Informationen zu AlloyDB für PostgreSQL finden Sie in der Produktdokumentation.

• Bevor Sie VPC Service Controls für AlloyDB für PostgreSQL konfigurieren, aktivieren Sie die Service Networking API.
• Wenn Sie AlloyDB für PostgreSQL mit freigegebener VPC und VPC Service Controls verwenden, müssen sich Hostprojekt und Dienstprojekt im selben VPC Service Controls-Dienstperimeter befinden.

Die API für Vertex AI Workbench kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Vertex AI Workbench finden Sie in der Produktdokumentation.

Die API für Vertex AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Siehe Colab Enterprise.

Weitere Informationen zu Vertex AI finden Sie in der Produktdokumentation.

Die API für Vertex AI Vision kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Vertex AI Vision finden Sie in den Produktdokumentation.

Die API für Colab Enterprise kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Colab Enterprise ist Teil von Vertex AI. Weitere Informationen finden Sie unter Vertex AI.

Colab Enterprise verwendet Dataform zum Speichern von Notebooks. Siehe Dataform.

Weitere Informationen zu Colab Enterprise finden Sie in der Produktdokumentation.

Die API für Apigee und Apigee Hybrid kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Apigee und Apigee Hybrid finden Sie in der Produktdokumentation.

Weitere Informationen zu Analytics Hub finden Sie in der Produktdokumentation.

Die API für Anthos Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt innerhalb von Dienstperimetern normal verwendet werden.

Sie können mesh.googleapis.com verwenden, um die erforderlichen APIs für das Cloud Service Mesh zu aktivieren. Sie müssen mesh.googleapis.com in Ihrem Perimeter nicht einschränken, da keine APIs verfügbar sind.

• Weitere Informationen Private Cluster beim Installieren mehrerer Cluster in Cloud Service Mesh konfigurieren
• Weitere Informationen finden Sie unter Anthos Service Mesh-Dienste zu Dienstperimetern hinzufügen.

Weitere Informationen zum Cloud Service Mesh finden Sie in den Produktdokumentation.

Dienstperimeter werden derzeit in der von Cloud Service Mesh verwalteten Steuerungsebene nicht unterstützt.

Neben dem Schutz der Artifact Registry API Artifact Registry kann innerhalb von Dienstperimetern verwendet werden mit GKE und Compute Engine.

Weitere Informationen zu Artifact Registry finden Sie in der Produktdokumentation.

Die Assured Workloads API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Assured Workloads finden Sie in der Produktdokumentation.

Für die Einbindung von Assured Workloads in VPC Service Controls gelten keine bekannten Einschränkungen.

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• Compute Engine API (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Natural Language finden Sie in der Produktdokumentation.

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• Compute Engine API (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Tables finden Sie in der Produktdokumentation.

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• Compute Engine API (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Translation finden Sie in der Produktdokumentation.

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• Compute Engine API (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Video Intelligence finden Sie in der Produktdokumentation.

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

• AutoML API (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• Compute Engine API (compute.googleapis.com)
• BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Vision finden Sie in der Produktdokumentation.

Die Bare-Metal-Lösungs-API kann einem sicheren Perimeter hinzugefügt werden. Die VPC Service Controls-Perimeter werden nicht auf die Bare-Metal-Lösung erweitert in den regionalen Erweiterungen.

Weitere Informationen zur Bare-Metal-Lösung finden Sie in den Produktdokumentation.

VPC Service Controls wird von der Bare-Metal-Lösung nicht unterstützt. VPC mit einem Dienst verbinden Kontrollen, die für Ihre Bare-Metal-Lösungsumgebung aktiviert sind, halten keine Dienstkontrolle aufrecht Garantien.

Weitere Informationen zur Einschränkung der Bare-Metal-Lösung in Bezug auf VPC Service Controls finden Sie unter Bekannt Probleme und Einschränkungen.

Die API für Batch kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Batch finden Sie in der Produktdokumentation.

Die API für BigLake Metastore kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu BigLake Metastore finden Sie in der Produktdokumentation.

Für das Einbinden von BigLake Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.

Wenn Sie die BigQuery API schützen mit einem Dienstperimeter, der BigQuery Storage API, der BigQuery Reservation API und Die BigQuery Connection API ist ebenfalls geschützt. Sie müssen nicht separat Fügen Sie diese APIs der Liste der geschützten Dienste Ihres Perimeters hinzu.

Weitere Informationen zu BigQuery finden Sie in der Produktdokumentation.

Die BigQuery Data Policy API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur BigQuery Data Policy API finden Sie in der Produktdokumentation.

Für die Einbindung der BigQuery Data Policy API in VPC Service Controls gibt es keine bekannten Einschränkungen.

Der Dienstperimeter schützt nur die BigQuery Data Transfer Service API. Der tatsächliche Datenschutz wird von BigQuery erzwungen. Es ist Absicht, dass Sie Daten aus verschiedenen externen Quellen außerhalb von Google Cloud, z. B. Amazon S3, Redshift, Teradata, YouTube, Google Play und Google Ads, in BigQuery-Datasets importieren können. Informationen zu den Anforderungen an VPC Service Controls zum Migrieren von Daten aus Teradata finden Sie unter Anforderungen an VPC Service Controls.

Weitere Informationen zum BigQuery Data Transfer Service finden Sie in der Produktdokumentation.

Die BigQuery Migration API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur BigQuery Migration API finden Sie in der Produktdokumentation.

Für die Einbindung der BigQuery Migration API in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Dienste bigtable.googleapis.com und bigtableadmin.googleapis.com werden gebündelt. Wenn Sie den Dienst bigtable.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter standardmäßig den Dienst bigtableadmin.googleapis.com. Sie können den Dienst bigtableadmin.googleapis.com nicht zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit bigtable.googleapis.com gebündelt ist.

Weitere Informationen zu Bigtable finden Sie in der Produktdokumentation.

Für das Einbinden von Bigtable in VPC Service Controls gelten keine bekannten Einschränkungen.

Wenn Sie mehrere Projekte mit Binärautorisierung verwenden, muss jedes Projekt im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Mehrere Projekte einrichten.

Mit der Binärautorisierung können Sie die Artefaktanalyse verwenden, um Attestierer und Attestierungen jeweils als Hinweise und Vorkommen. In diesem Fall müssen Sie Artefaktanalyse in den VPC Service Controls-Perimeter aufnehmen. Siehe VPC Service Controls-Anleitung für die Artefaktanalyse .

Weitere Informationen zur Binärautorisierung finden Sie in der Produktdokumentation.

Für das Einbinden der Binärautorisierung in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Blockchain Node Engine kann durch VPC Service Controls geschützt werden und innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Blockchain Node Engine finden Sie in der Produktdokumentation.

Die API für den Certificate Authority Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Certificate Authority Service finden Sie in der Produktdokumentation.

Damit Sie Config Controller mit VPC Service Controls verwenden können, müssen Sie die folgenden APIs in Ihrem Perimeter aktivieren:

• Cloud Monitoring API (monitoring.googleapis.com)
• Container Registry API (containerregistry.googleapis.com)
• Google Cloud Observability API (logging.googleapis.com)
• Security Token Service API (sts.googleapis.com)
• Cloud Storage API (storage.googleapis.com)

Wenn Sie Ressourcen mit Config Controller bereitstellen, müssen Sie die API für diese Ressourcen in Ihrem Dienstperimeter aktivieren. Wenn Sie beispielsweise ein IAM-Dienstkonto hinzufügen möchten, müssen Sie die IAM API (iam.googleapis.com) hinzufügen.

Weitere Informationen zu Config Controller finden Sie in der Produktdokumentation.

Für die Einbindung von Config Controller in VPC Service Controls gibt es keine bekannten Einschränkungen.

Weitere Informationen zu Data Catalog finden Sie in der Produktdokumentation.

Für das Einbinden von Data Catalog in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Data Fusion erfordert einige spezielle Maßnahmen zum Schutz mit VPC Service Controls.

Weitere Informationen zu Cloud Data Fusion finden Sie in der Produktdokumentation.

Die Data Lineage API kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zur Data Lineage API finden Sie in der Produktdokumentation.

Für das Einbinden der Data Lineage API in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Unterstützung von VPC Service Controls für Compute Engine bietet die folgenden Sicherheitsvorteile:

• Zugriff auf vertrauliche API-Vorgänge wird eingeschränkt
• Snapshots von nichtflüchtigen Speichern und benutzerdefinierten Images sind auf einen Perimeter beschränkt
• Zugriff auf Instanzmetadaten wird eingeschränkt

Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie auch Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden.

Weitere Informationen zu Compute Engine finden Sie in der Produktdokumentation.

Für die Verwendung von Contact Center AI Insights mit VPC Service Controls benötigen Sie je nach Integration die folgenden zusätzlichen APIs in Ihrem Perimeter.

• Fügen Sie die Cloud Storage API zu Ihrem Dienstperimeter hinzu, um Daten in Contact Center AI Insights zu laden.

• Um den Export zu verwenden, fügen Sie Ihrem Dienstperimeter die BigQuery API hinzu.

• Wenn Sie mehrere CCAI-Produkte integrieren möchten, fügen Sie Ihrem Dienstperimeter die Vertex AI API hinzu.

Weitere Informationen zu Contact Center AI Insights finden Sie in der Produktdokumentation.

Für die Einbindung von Contact Center AI Insights in VPC Service Controls gelten keine bekannten Einschränkungen.

Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft:

• Cloud Storage (Java, Python)
• BigQuery (Java, Python)
• Pub/Sub (Java, Python)
• Bigtable (Java )
• Spanner (Java )

Weitere Informationen zu Dataflow finden Sie in der Produktdokumentation.

• Benutzerdefiniertes BIND wird bei Verwendung von Dataflow nicht unterstützt. Wenn Sie die DNS-Auflösung bei Verwendung von Dataflow mit VPC Service Controls anpassen möchten, nutzen Sie private Zonen von Cloud DNS anstelle benutzerdefinierter BIND-Server. Zur Verwendung einer eigenen lokalen DNS-Auflösung können Sie eine lokale DNS-Weiterleitungsmethode von Google Cloud verwenden.

• Vertikales Autoscaling kann nicht geschützt werden VPC Service Controls-Perimeter. So verwenden Sie vertikales Autoscaling in einem VPC Service Controls-Perimeter: müssen Sie den Feature für zugängliche VPC-Dienste.

• Wenn Sie Dataflow Prime aktivieren und einen neuen Job in VPC Service Controls starten Perimeter definieren, verwendet der Job Dataflow Prime ohne vertikales Autoscaling

• Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit geprüft mit Dataflow innerhalb eines Dienstperimeters. Eine Liste mit Bestätigte Connectors finden Sie unter „Details“ im vorherigen Abschnitt.

• Bei Einsatz von Python 3.5 mit Apache Beam SDK 2.20.0-2.22.0 schlagen Dataflow-Jobs beim Start fehl, wenn die Worker nur private IP-Adressen haben, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird. Wenn Dataflow-Worker nur private IP-Adressen haben können, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird, verwenden Sie Python 3.5 nicht mit Apache Beam SDK 2.20.0-2.22.0. Diese Kombination führt dazu, dass Jobs beim Start fehlschlagen.

Die Dataplex API kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Dataplex finden Sie in der Produktdokumentation.

Dataproc erfordert spezielle Maßnahmen zum Schutz mit VPC Service Controls.

Weitere Informationen zu Dataproc finden Sie in der Produktdokumentation.

Um einen Dataproc-Cluster mit einem Dienstperimeter zu schützen, folgen Sie den Dataproc- und VPC Service Controls-Netzwerke instructions.

Für Dataproc Serverless erfordert spezielle Maßnahmen zum Schutz mit VPC Service Controls.

Weitere Informationen zu Dataproc Serverless für Spark finden Sie in der Produktdokumentation.

Folgen Sie der Anleitung, um Ihre serverlose Arbeitslast mit einem Dienstperimeter zu schützen. Dataproc Serverless- und VPC Service Controls-Netzwerke instructions.

Die API für Dataproc Megastore kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Dataproc Metastore finden Sie in der Produktdokumentation.

Für das Einbinden von Dataproc Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Datastream API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Datastream finden Sie in der Produktdokumentation.

Für die Einbindung von Datastream in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Database Migration Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Database Migration Service finden Sie in der Produktdokumentation.

Die API für Dialogflow kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Dialogflow finden Sie in der Produktdokumentation.

Die API für den Schutz sensibler Daten kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zum Schutz sensibler Daten finden Sie in den Produktdokumentation.

Die API für Cloud DNS kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud DNS finden Sie in der Produktdokumentation.

• Sie können über die eingeschränkte VIP auf Cloud DNS zugreifen. Sie können jedoch keine öffentlichen DNS-Zonen in Projekten innerhalb des VPC Service Controls-Perimeters erstellen oder aktualisieren.

Die API für Document AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Document AI finden Sie in der Produktdokumentation.

Für die Einbindung von Document AI in VPC Service Controls gibt es keine bekannten Einschränkungen.

Die API für Document AI Warehouse kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Document AI Warehouse finden Sie in der Produktdokumentation.

Für die Einbindung von Document AI Warehouse in VPC Service Controls gibt es keine bekannten Einschränkungen.

Die API für Cloud Domains kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Domains finden Sie in der Produktdokumentation.

• Die in Cloud Domains verwendeten Kontaktdaten werden möglicherweise für die Registry für Domainendung oder Top-Level-Domain (TLD) freigegeben und können gemäß Ihren Einstellungen und entsprechend den ICANN-Regeln für WHOIS/RDAP öffentlich zugänglich sein. Weitere Informationen finden Sie unter Datenschutz.

• Die in Cloud Domains verwendeten DNS-Konfigurationsdaten – Nameserver und DNSSEC-Einstellungen – sind öffentlich. Wenn Ihre Domain an eine öffentliche DNS-Zone delegiert (Standardeinstellung), sind die DNS-Konfigurationsdaten dieser Zone ebenfalls öffentlich.

Eventarc übernimmt die Ereignisübermittlung mithilfe von Pub/Sub-Themen und Push-Abos. Auf die Pub/Sub API zugreifen und Ereignisse verwalten Triggern, muss die Eventarc API innerhalb derselben VPC Service Controls geschützt sein. Dienstperimeter als Pub/Sub API festgelegt werden.

Weitere Informationen zu Filestore finden Sie in der Produktdokumentation.

In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:

• Für Eventarc gelten dieselben Einschränkungen wie für Pub/Sub: <ph type="x-smartling-placeholder">
  </ph>
  • Beim Weiterleiten von Ereignissen an Cloud Run-Ziele wird das neue Pub/Sub Push-Abos können nur erstellt werden, wenn für die Push-Endpunkte Folgendes festgelegt ist: Cloud Run-Dienste mit run.app-Standard-URLs (benutzerdefiniert) Domains nicht funktionieren).
  • Beim Weiterleiten von Ereignissen an Workflow-Ziele, für die der Pub/Sub-Push-Endpunkt ist auf einen Workflow festgelegt können Sie nur neue Pub/Sub-Push-Abos erstellen, über Eventarc.
  In diesem Dokument finden Sie Pub/Sub .
• VPC Service Controls blockiert das Erstellen von Eventarc-Triggern für intern HTTP-Endpunkte Der Schutz von VPC Service Controls gilt nicht beim Routing an diese Ziele zu senden.

Die API für die Distributed Cloud Edge Network API kann durch VPC Service Controls geschützt werden und innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zur Distributed Cloud Edge Network API finden Sie in der Produktdokumentation.

Für das Einbinden der Distributed Cloud Edge Network API in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Anti Money Laundering AI kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Anti Money Laundering AI finden Sie in den Produktdokumentation.

Für das Einbinden von Anti Money Laundering AI in VPC Service Controls gelten keine bekannten Einschränkungen.

Wenn Sie Firebase App Check-Tokens konfigurieren und austauschen, schützt VPC Service Controls nur den Firebase App Check-Dienst. Zum Schutz von Diensten, die auf Firebase App Check basieren, müssen Sie Dienstperimeter für diese Dienste einrichten.

Weitere Informationen zu Firebase App Check finden Sie in der Produktdokumentation.

Für die Einbindung von Firebase App Check in VPC Service Controls gelten keine bekannten Einschränkungen.

Wenn Sie Richtlinien für Firebase-Sicherheitsregeln verwalten, schützt VPC Service Controls nur den Dienst für Firebase-Sicherheitsregeln. Zum Schutz von Diensten, die auf Firebase-Sicherheitsregeln beruhen, müssen Sie Dienstperimeter für diese Dienste einrichten.

Weitere Informationen zu Firebase-Sicherheitsregeln finden Sie in der Produktdokumentation.

Für die Einbindung von Firebase-Sicherheitsregeln in VPC Service Controls gelten keine bekannten Einschränkungen.

Informationen zur Einrichtung finden Sie in der Cloud Functions-Dokumentation. Der Schutz von VPC Service Controls gilt nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Weitere Informationen finden Sie unter den bekannten Einschränkungen.

Weitere Informationen zu Cloud Functions finden Sie in der Produktdokumentation.

Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören die Verwaltung von benutzerdefinierten IAM-Rollen, die Verwaltung von Arbeitslast-Identitätspools und die Verwaltung von Dienstkonten und Schlüsseln. Der Perimeter ist nicht Aktionen für Personalpools einschränken, auf Organisationsebene erstellen.

Der Perimeter um IAM ist nicht die Zugriffsverwaltung einschränken, d. h. das Abrufen oder Festlegen IAM-Richtlinien) für Ressourcen, die anderen Diensten gehören, wie Resource Manager-Projekte, -Ordner und -Organisationen VM-Instanzen von Compute Engine So schränken Sie den Zugriff ein: für diese Ressourcen verwalten, erstellen Sie einen Perimeter, zu dem die Ressourcen gehören. Für eine Liste der Ressourcen, die IAM-Richtlinien und die Dienste, denen sie gehören, finden Sie unter Ressourcentypen, die akzeptieren IAM-Richtlinien

Darüber hinaus ist der Perimeter um IAM nicht Aktionen einschränken, die andere APIs verwenden, darunter:

• IAM Policy Simulator API
• IAM Policy Troubleshooter API
• Security Token Service API
• Service Account Credentials API (einschließlich der Legacy-Methoden signBlob und signJwt in der IAM API)

Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie in der Produktdokumentation.

Wenn Sie sich im Perimeter befinden, können Sie die Methode roles.list mit einem leeren String aufrufen, um vordefinierte IAM-Rollen aufzulisten. Informationen zum Aufrufen vordefinierter Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Mit der IAP Admin API können Nutzer IAP konfigurieren.

Weitere Informationen zur IAP Admin API finden Sie in der Produktdokumentation.

Für das Einbinden der IAP Admin API in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Cloud KMS Inventory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud KMS Inventory API finden Sie in der Produktdokumentation.

Von der SearchProtectedResources API-Methode werden keine Dienstperimeter-Einschränkungen für zurückgegebene Projekte erzwungen.

Die API für Dienstkonto-Anmeldedaten kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Dienstkonto-Anmeldedaten finden Sie in der Produktdokumentation.

Für die Integration von Dienstkonto-Anmeldedaten in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Service Metadata API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Service Metadata API finden Sie in der Produktdokumentation.

Für die Einbindung der Service Metadata API in VPC Service Controls gibt es keine bekannten Einschränkungen.

Die API für serverlosen VPC-Zugriff kann durch VPC Service Controls geschützt werden und das Produkt kann in Dienstperimetern normal genutzt werden.

Weitere Informationen zum serverlosen VPC-Zugriff finden Sie in der Produktdokumentation.

Für die Einbindung von serverlosem VPC-Zugriff in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Cloud KMS API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern verwendet werden. Der Zugriff auf Cloud HSM-Dienste ist auch durch VPC Service Controls geschützt und kann innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zum Cloud Key Management Service finden Sie in der Produktdokumentation.

Für das Einbinden des Cloud Key Management Service in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Game Servers kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Game Servers finden Sie in der Produktdokumentation.

Für das Einbinden von Game Servers in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Gemini Code Assist kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Gemini Code Assist finden Sie in der Produktdokumentation.

Die Zugriffssteuerung basierend auf Gerät, öffentlicher IP-Adresse oder Standort ist wird in der Google Cloud Console für Gemini nicht unterstützt.

Die API für Identity-Aware Proxy for TCP kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Identity-Aware Proxy for TCP finden Sie in der Produktdokumentation.

Die API für Cloud Life Sciences kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Life Sciences finden Sie in der Produktdokumentation.

Für das Einbinden von Cloud Life Sciences in VPC Service Controls gelten keine bekannten Einschränkungen.

Zusätzliche Konfiguration erforderlich für:

• Lokaler Zugriff auf die Managed Microsoft AD API
• Freigegebene VPC

Weitere Informationen zum Managed Service for Microsoft Active Directory finden Sie in der Produktdokumentation.

Für das Einbinden des Managed Service for Microsoft Active Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für reCAPTCHA kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu reCAPTCHA finden Sie in der Produktdokumentation.

Für das Einbinden von reCAPTCHA in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Web Risk API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Web Risk finden Sie in der Produktdokumentation.

Die Evaluate API und die Submission API werden von VPC Service Controls nicht unterstützt.

Die API für Recommender kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Recommender finden Sie in der Produktdokumentation.

• VPC Service Controls unterstützt keine Organisations-, Ordner- oder Rechnungskontoressourcen.

Die API für Secret Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Secret Manager finden Sie in der Produktdokumentation.

Für das Einbinden des Secret Manager in VPC Service Controls gelten keine bekannten Einschränkungen.

Der Schutz von VPC Service Controls gilt für alle Administrator-, Publisher- und Abonnentenvorgänge (mit Ausnahme von vorhandenen Push-Abos).

Weitere Informationen zu Pub/Sub finden Sie in der Produktdokumentation.

In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:

• Neue Push-Abos können nur erstellt werden, wenn für die Push-Endpunkte Folgendes festgelegt ist: Cloud Run-Dienste mit run.app-Standard-URLs oder einem Ausführung von Workflows benutzerdefinierte Domains funktionieren nicht. Weitere Informationen Informationen zur Einbindung in Cloud Run finden Sie unter VPC Service Controls verwenden
• Für Nicht-Push-Abos müssen Sie ein Abo im selben Perimeter wie das Thema aus oder aktivieren Sie Ausgangsregeln, um den Zugriff vom Thema auf das Abo zu ermöglichen.
• Beim Weiterleiten von Ereignissen über Eventarc an Workflows für die der Push-Endpunkt auf eine Workflows-Ausführung festgelegt ist, können neue Push-Abos nur über Eventarc erstellen.
• Pub/Sub-Abos, die vor dem Dienstperimeter erstellt wurden, nicht blockiert.

Der Schutz von VPC Service Controls gilt für alle Abonnentenvorgänge.

Weitere Informationen zu Pub/Sub Lite finden Sie in der Produktdokumentation.

Für die Einbindung von Pub/Sub Lite in VPC Service Controls gelten keine bekannten Einschränkungen.

Verwenden Sie VPC Service Controls mit privaten Cloud Build-Pools, um die Sicherheit Ihrer Builds zu erhöhen.

Weitere Informationen zu Cloud Build finden Sie in der Produktdokumentation.

• Der Schutz von VPC Service Controls ist nur für Builds verfügbar, die in privaten Pools ausgeführt werden.

• Cloud Build Pub/Sub-Trigger werden nicht unterstützt.

Die API für Cloud Deploy kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Cloud Deploy finden Sie in der Produktdokumentation.

Wenn Sie Cloud Deploy in einem Perimeter verwenden möchten, müssen Sie einen privaten Cloud Build-Pool für die Ausführungsumgebungen des Ziels verwenden. Verwenden Sie nicht den Standard-Worker-Pool (Cloud Build) und keinen Hybrid-Pool.

Composer für die Verwendung mit VPC Service Controls konfigurieren

Weitere Informationen zu Cloud Composer finden Sie in der Produktdokumentation.

• Durch Aktivieren der DAG-Serialisierung wird verhindert, dass Airflow eine gerenderte Vorlage mit Funktionen in der Web-UI anzeigt.

• Das Flag async_dagbag_loader kann nicht auf True gesetzt werden, wenn die DAG-Serialisierung aktiviert ist.

• Durch Aktivieren der DAG-Serialisierung werden alle Airflow-Webserver-Plug-ins deaktiviert, da sie die Sicherheit des VPC-Netzwerks beeinträchtigen können, in dem Cloud Composer bereitgestellt wird. Dies wirkt sich nicht auf das Verhalten von Planer- oder Worker-Plug-ins, einschließlich Airflow-Operatoren und Sensoren, aus.

• Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPi-Modulen im privaten IP-Modus finden Sie in der Cloud Composer-Dokumentation unter Python-Abhängigkeiten installieren.

Die API für Cloud-Kontingente kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Cloud-Kontingenten finden Sie in den Produktdokumentation.

Weitere Informationen zu Cloud Run finden Sie in der Produktdokumentation.

• Cloud Scheduler-Joberstellung
• Cloud Scheduler-Jobupdates

Weitere Informationen zu Cloud Scheduler finden Sie in der Produktdokumentation.

Die API für Spanner kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Spanner finden Sie in der Produktdokumentation.

Für das Einbinden von Spanner in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Speaker ID API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Speaker ID finden Sie in der Produktdokumentation.

Für die Einbindung der Speaker ID in VPC Service Controls gibt es keine bekannten Einschränkungen.

Die API für Cloud Storage kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Storage finden Sie in der Produktdokumentation.

Die API für Cloud Tasks kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

HTTP-Anfragen von Cloud Tasks-Ausführungen werden so unterstützt:

• Authentifizierte Anfragen, die mit VPC Service Controls kompatibel sind Cloud Functions- und Cloud Run-Endpunkte sind zulässig.
• Anfragen an Nicht-Cloud Functions- und Nicht-Cloud Run-Endpunkte werden blockiert.
• Anfragen an nicht VPC Service Controls-konforme Cloud Functions- und Cloud Run-Endpunkte werden blockiert.

Weitere Informationen zu Cloud Tasks finden Sie in der Produktdokumentation.

VPC Service Controls-Perimeter schützen die Cloud SQL Admin API.

Weitere Informationen zu Cloud SQL finden Sie in der Produktdokumentation.

• Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Einschränkung für die Organisationsrichtlinie verwenden, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.
• Aktivieren Sie die Service Networking API, bevor Sie VPC Service Controls für Cloud SQL konfigurieren.

• Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket ausführen, der sich im selben Dienstperimeter wie die Cloud SQL-Replikatinstanz befindet.

• Beim Migrationsprozess für den externen Server müssen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzufügen.
• Bei der Schlüsselerstellung für CMEK müssen Sie den Schlüssel im selben Dienstperimeter erstellen wie die Ressourcen, für die er verwendet wird.
• Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.

Die Video Intelligence API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.

Weitere Informationen zur Video Intelligence API finden Sie in der Produktdokumentation.

Für das Einbinden der Video Intelligence API in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Cloud Vision API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud Vision API finden Sie in der Produktdokumentation.

Zur Verwendung der Artefaktanalyse mit VPC Service Controls haben Sie möglicherweise So fügen Sie Ihrem VPC-Perimeter weitere Dienste hinzu:

• Wenn Sie Pub/Sub mit der Artefaktanalyse, fügen Sie Pub/Sub für Ihren Dienst des Perimeters.
• Wenn Sie die Container Scanning API verwenden, fügen Sie Ihre Registry dem Perimeter hinzu: Artifact Registry oder Container Registry.

Die Container Scanning API ist eine API ohne Oberfläche, mit der die Ergebnisse gespeichert werden. in der Artefaktanalyse müssen Sie die API nicht mit einem Dienst schützen, des Perimeters.

Weitere Informationen zur Artefaktanalyse finden Sie in den Produktdokumentation.

Für das Einbinden der Artefaktanalyse in VPC Service Controls gelten keine bekannten Einschränkungen.

Zusätzlich zum Schutz der Container Registry API Container Registry kann innerhalb eines Dienstperimeters mit GKE und Compute Engine

Weitere Informationen zu Container Registry finden Sie in der Produktdokumentation.

• Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter festlegen, können Sie ANY_SERVICE_ACCOUNT nicht verwenden und ANY_USER_ACCOUNT als Identitätstyp für alle Container Registry-Vorgänge.

  Als Behelfslösung können Sie ANY_IDENTITY als Identitätstyp verwenden.

• Da Container Registry die Domain gcr.io verwendet, müssen Sie das DNS konfigurieren, damit *.gcr.io entweder private.googleapis.com oder restricted.googleapis.com zugeordnet wird. Weitere Informationen finden Sie unter Container Registry in einem Dienstperimeter sichern.

• Zusätzlich zu den Containern innerhalb eines Perimeters, die für Container Registry, die folgenden schreibgeschützten Repositories sind unabhängig von Einschränkungen, die durch Dienstperimeter erzwungen werden, für alle Projekte verfügbar:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

Die API für Google Kubernetes Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Google Kubernetes Engine finden Sie in der Produktdokumentation.

• Zum vollständigen Schutz der Google Kubernetes Engine API müssen Sie auch die Kubernetes Metadata API (kubernetesmetadata.googleapis.com) in den Perimeter aufnehmen.
• Nur private Cluster können durch VPC Service Controls geschützt werden. Cluster mit öffentlichen IP-Adressen werden von VPC Service Controls nicht unterstützt.

• Autoscaling funktioniert unabhängig von GKE. Da VPC Service Controls unterstützt autoscaling.googleapis.com nicht, Autoscaling funktioniert nicht. Wenn Sie GKE verwenden, können Sie die SERVICE_NOT_ALLOWED_FROM_VPC ignorieren. Verstoß in den Audit-Logs, der durch den Dienst autoscaling.googleapis.com verursacht wird.

Die API für die Container Security API kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zur Container Security API finden Sie in der Produktdokumentation.

Für das Einbinden der Container Security API in VPC Service Controls gelten keine bekannten Einschränkungen.

Image-Streaming ist eine GKE-Funktion zum Datenstreaming, die kürzere Pull-Zeiten für Container-Images für in Artifact Registry gespeicherte Images bietet. Wenn VPC Service Controls Ihre Container-Images schützt und Sie Image-Streaming verwenden, müssen Sie auch die Image-Streaming-API in den Dienstperimeter aufnehmen.

Weitere Informationen zum Image-Streaming finden Sie in der Produktdokumentation.

• Die folgenden schreibgeschützten Repositories sind unabhängig von Einschränkungen, die durch Dienstperimeter erzwungen werden, für alle Projekte verfügbar:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Flottenverwaltungs-APIs, einschließlich des Connect Gateways, können mit VPC Service Controls geschützt werden und Funktionen zur Flottenverwaltung können innerhalb von Dienstperimetern normal verwendet werden. Hier finden Sie weitere Informationen:

• VPC Service Controls mit dem Connect-Agent verwenden
• VPC Service Controls mit dem Connect-Gateway verwenden

Weitere Informationen zu Flotten finden Sie in der Produktdokumentation.

• Obwohl alle Features zur Flottenverwaltung normal verwendet werden können, Der Perimeter um die Stackdriver API schränkt die Policy Controller-Flotte ein die in Security Command Center eingebunden sind.

Die folgenden Cloud Resource Manager API-Methoden können durch VPC Service Controls geschützt werden:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Weitere Informationen zum Resource Manager finden Sie in der Produktdokumentation.

• Taggen Sie nur Schlüssel, denen eine Projektressource direkt übergeordnet ist, und entsprechende Tag-Werte mit VPC Service Controls geschützt werden. Wenn ein Projekt zu einem VPC Service Controls-Perimeter, alle Tag-Schlüssel und zugehörigen Tag-Werte unter werden als Ressourcen innerhalb des Perimeters betrachtet.
• Tag-Schlüssel, denen eine Organisationsressource übergeordnet ist, und die zugehörigen Tag-Werte können nicht in einen VPC Service Controls-Perimeter aufgenommen und nicht mit VPC Service Controls
• Clients innerhalb eines VPC Service Controls-Perimeters können nicht auf Tag-Schlüssel und entsprechende Werte, denen eine Organisationsressource übergeordnet ist, es sei denn, es gibt eine Regel für ausgehenden Traffic dass der Zugriff im Perimeter festgelegt wird. Weitere Informationen zum Einrichten von ausgehendem Traffic finden Sie unter Regeln für ein- und ausgehenden Traffic:
• Tag-Bindungen werden als Ressourcen betrachtet, die sich im selben Perimeter wie die Ressource befinden an die der Tag-Wert gebunden ist. Beispiel: Die Tag-Bindungen in einer Compute Engine Instanz in einem Projekt als zu diesem Projekt gehören, unabhängig davon, Tag-Schlüssel definiert ist.
• Einige Dienste wie Compute Engine ermöglichen Tag-Bindungen erstellen die zusätzlich zu den Resource Manager-Dienst-APIs eigene Dienst-APIs verwenden. Für Beispiel: Hinzufügen von Tags zu einer Compute Engine-VM während der Ressourcenerstellung. Zum Schutz Tag-Bindungen, die mit diesen Dienst-APIs erstellt oder gelöscht wurden, Dienst, z. B. compute.googleapis.com, in die Liste der eingeschränkten Dienste Dienste im Perimeter.
• Tags unterstützen Einschränkungen auf Methodenebene, sodass Sie die method_selectors zu bestimmten API-Methoden. Für eine Liste von eingeschränkten Methoden finden Sie unter Einschränkungen für unterstützte Dienstmethoden.
• Die Zuweisung der Inhaberrolle für ein Projekt über die Google Cloud Console wird jetzt von VPC Service Controls unterstützt. Sie können außerhalb von Dienstperimetern keine Inhabereinladung senden und keine Einladung annehmen. Wenn Sie versuchen, eine Einladung von außerhalb des Perimeters zu akzeptieren, erhalten Sie nicht die Inhaberrolle und es wird keine Fehler- oder Warnmeldung angezeigt.

Die API für Cloud Logging kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Logging finden Sie in der Produktdokumentation.

Die API für Certificate Manager kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zum Zertifikatmanager finden Sie in der Produktdokumentation.

Für das Einbinden des Zertifikatmanagers in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Cloud Monitoring kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Monitoring finden Sie in der Produktdokumentation.

Die API für Cloud Profiler kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Profiler finden Sie in der Produktdokumentation.

Für das Einbinden von Cloud Profiler in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Timeseries Insights API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Timeseries Insights API finden Sie in der Produktdokumentation.

Für die Einbindung der Timeseries Insights API in VPC Service Controls gibt es keine bekannten Einschränkungen.

Die API für Cloud Trace kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Trace finden Sie in der Produktdokumentation.

Für das Einbinden von Cloud Trace in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Cloud TPU kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud TPU finden Sie in der Produktdokumentation.

Für das Einbinden von Cloud TPU in VPC Service Controls gelten keine bekannten Einschränkungen.

Weitere Informationen zur Natural Language API finden Sie in der Produktdokumentation.

Da die Natural Language API eine zustandslose API ist und nicht in Projekten ausgeführt wird, Die Verwendung von VPC Service Controls zum Schutz der Natural Language API hat keine Auswirkungen.

Die API für Network Connectivity Center kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Network Connectivity Center finden Sie in der Produktdokumentation.

Für die Einbindung des Network Connectivity Centers in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Cloud Asset API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud Asset API finden Sie in der Produktdokumentation.

• VPC Service Controls unterstützt nicht den Zugriff auf Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene durch Ressourcen und Clients innerhalb eines Dienstperimeters. VPC Service Controls schützt Cloud Asset API-Ressourcen auf Projektebene. Sie können eine Richtlinie für ausgehenden Traffic festlegen, um den Zugriff auf Cloud Asset API-Ressourcen auf Projektebene von Projekten innerhalb des Perimeters zu verhindern.
• VPC Service Controls unterstützt nicht das Hinzufügen von Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu einem Dienstperimeter. Sie können keinen Perimeter verwenden, um Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu schützen. Zum Verwalten von Cloud Asset Inventory-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM.
• Sie können Assets auf Ordner- oder Organisationsebene nicht in Ziele innerhalb eines Dienstperimeters exportieren.
• Sie können keine Echtzeit-Feeds für Assets auf Ordner- oder Organisationsebene mit einem Pub/Sub-Thema innerhalb eines Dienstperimeters erstellen.

Die Speech-to-Text API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Speech-to-Text finden Sie in der Produktdokumentation.

Für das Einbinden von Speech-to-Text in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Text-to-Speech API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Text-to-Speech finden Sie in der Produktdokumentation.

Für das Einbinden von Text-to-Speech in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Translation kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Translation finden Sie in der Produktdokumentation.

Cloud Translation Advanced (v3) unterstützt VPC Service Controls, aber nicht Cloud Translation – Basic (v2). Sie müssen Cloud Translation Advanced (v3) verwenden, um VPC Service Controls anzuwenden. Weitere Informationen zu den verschiedenen Versionen finden Sie unter Einfache und erweiterte Versionen vergleichen.

VPC Service Controls verwenden mit der Live Stream API, um Ihre Pipeline zu sichern.

Weitere Informationen zur Live Stream API findest du in der Produktdokumentation.

Zum Schutz von Eingabeendpunkten mit einem Dienstperimeter müssen Sie die Anweisungen zum Einrichten eines privaten Pools und zum Senden von Eingabevideostreams über einen privaten Pool,

Die Transcoder API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Transcoder API finden Sie in der Produktdokumentation.

Die Transcoder API-Integration in VPC Service Controls hat keine bekannten Einschränkungen.

Die Video Stitcher API kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zur Video Stitcher API finden Sie in der Produktdokumentation.

Für das Einbinden der Video Stitcher API in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Access Approval API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Access Approval finden Sie in der Produktdokumentation.

Für das Einbinden von Access Approval in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Cloud Healthcare API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud Healthcare API finden Sie in der Produktdokumentation.

VPC Service Controls unterstützt keine vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) in der Cloud Healthcare API.

Wir empfehlen, das Storage Transfer Service-Projekt im selben Dienstperimeter als Cloud Storage- Ressourcen. So werden sowohl Ihre Übertragung als auch Ihre Cloud Storage-Ressourcen geschützt. Der Storage Transfer Service unterstützt mithilfe einer Richtlinie für ausgehenden Traffic auch Szenarien, in denen sich das Storage Transfer Service-Projekt nicht im selben Perimeter wie Ihre Cloud Storage-Buckets befindet.

Informationen zum Einrichten finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.

Transfer Service for On Premises Data

Weitere Informationen und Einrichtungsinformationen zu lokalen Datenübertragungen finden Sie unter Lokale Datenübertragung mit VPC Service Controls verwenden.

Weitere Informationen zum Storage Transfer Service finden Sie in der Produktdokumentation.

Die Service Control API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Service Control finden Sie in der Produktdokumentation.

• Wenn Sie die Service Control API über ein VPC-Netzwerk in einem Dienst aufrufen Perimeter mit Service Control eingeschränkt ist, um Abrechnungs- oder Analysemesswerte zu melden, können Sie nur den Service Control-Bericht Methode zum Melden von Messwerten für von VPC Service Controls unterstützte Dienste.

Die Memorystore for Redis API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Memorystore for Redis finden Sie in der Produktdokumentation.

• Dienstperimeter schützen nur die Memorystore for Redis API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Redis-Instanzen im selben Netzwerk.

• Wenn die Cloud Storage API ebenfalls geschützt ist, können Import- und Exportvorgänge von Memorystore for Redis nur in einen Cloud Storage-Bucket innerhalb des Dienstperimeters lesen und schreiben, in dem sich die Memorystore for Redis-Instanz befindet.

• Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt mit der Redis-Instanz im selben Perimeter bereitstellt, damit Redis-Anfragen erfolgreich sind. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, können neben blockierten Anfragen auch jederzeit Fehler in der Redis-Instanz auftreten. Weitere Informationen finden Sie unter Konfigurationsanforderungen für Memorystore for Redis.

Die Memorystore for Memcache API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Memorystore for Memcache finden Sie in der Produktdokumentation.

• Dienstperimeter schützen nur die Memorystore for Memcache API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Memcache-Instanzen im selben Netzwerk.

Die Service Directory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Service Directory finden Sie in der Produktdokumentation.

Für das Einbinden von Service Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

Zum vollständigen Schutz von Visual Inspection AI sollten Sie alle folgenden APIs einbinden in Ihrem Perimeter:

• Visual Inspection AI API (visualinspection.googleapis.com)
• Vertex AI API (aiplatform.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• Artifact Registry API (artifactregistry.googleapis.com)
• Container Registry API (containerregistry.googleapis.com)

Weitere Informationen zu Visual Inspection AI finden Sie in den Produktdokumentation.

Für das Einbinden von Visual Inspection AI in VPC Service Controls gelten keine bekannten Einschränkungen.

Für Projekte, die VPC Service Controls verwenden, wird Transfer Appliance vollständig unterstützt.

Transfer Appliance bietet keine API und unterstützt daher keine API-bezogenen Features in VPC Service Controls.

Weitere Informationen zu Transfer Appliance finden Sie in der Produktdokumentation.

• Wenn Cloud Storage durch VPC Service Controls geschützt wird, muss sich der Cloud KMS-Schlüssel, den Sie mit dem Transfer Appliance-Team gemeinsam nutzen, im selben Projekt wie der Cloud Storage-Ziel-Bucket befinden.

Die API für Organization Policy Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Organization Policy Service finden Sie in der Produktdokumentation.

VPC Service Controls unterstützt keine Zugriffsbeschränkungen für Organisationsrichtlinien auf Ordner- oder Organisationsebene, die vom Projekt übernommen werden. VPC Service Controls schützt die Organization Policy Service API-Ressourcen auf Projektebene.

Wenn beispielsweise ein Nutzer durch eine Regel für eingehenden Traffic auf die Organization Policy Service API zugreift, erhält dieser Nutzer den Fehler 403, wenn er nach Organisationsrichtlinien sucht, die für das Projekt erzwungen werden. Der Nutzer kann jedoch weiterhin auf die Organisationsrichtlinien des Ordners und der Organisation zugreifen, die das Projekt enthält.

Sie können die OS Login API aus VPC Service Controls-Perimetern aufrufen. Für die Verwaltung von OS Login über VPC Service Controls-Perimeter richten Sie OS Login ein.

SSH-Verbindungen zu VM-Instanzen sind nicht durch VPC Service Controls geschützt.

Weitere Informationen zu OS Login finden Sie in der Produktdokumentation.

Die OS Login-Methoden zum Lesen und Schreiben von SSH-Schlüsseln erzwingen keine VPC Service Controls-Perimeter. Verwenden Sie über VPC zugängliche Dienste, um den Zugriff auf OS Login APIs zu deaktivieren.

Die API for Personalized Service Health kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Personalized Service Health finden Sie in den Produktdokumentation.

VPC Service Controls unterstützt nicht die Ressourcen OrganizationEvents und OrganizationImpacts von die Service Health API. Daher werden VPC Service Controls-Richtlinienprüfungen nicht durchgeführt, wenn Sie die Methoden aufrufen für diese Ressourcen. Sie können die Methoden jedoch von einem Dienstperimeter aus mit einem eingeschränkte VIP.

Sie können die OS Config API aus VPC Service Controls-Perimetern aufrufen. Wenn Sie VM Manager innerhalb von VPC Service Controls-Perimetern verwenden möchten, richten Sie VM Manager ein.

Weitere Informationen zu VM Manager finden Sie in der Produktdokumentation.

Workflows ist eine Orchestrierungsplattform, die Google Cloud-Dienste und HTTP-basierte APIs kombinieren kann, um Dienste in einer von Ihnen definierten Reihenfolge auszuführen.

Wenn Sie die Workflows API mit einem Dienstperimeter schützen, ist auch die Workflow Executions API geschützt. Sie müssen workflowexecutions.googleapis.com nicht separat zur Liste der geschützten Dienste Ihres Perimeters hinzufügen.

HTTP-Anfragen von einer Workflows-Ausführung werden so unterstützt:

• Authentifizierte Anfragen an VPC Service Controls-kompatible Google Cloud-Endpunkte sind zulässig.
• Anfragen an Cloud Functions- und Cloud Run-Dienstendpunkte sind zulässig.
• Anfragen an Endpunkte von Drittanbietern werden blockiert.
• Anfragen an nicht-VPC Service Controls-konforme Google Cloud-Endpunkte werden blockiert.

Weitere Informationen zu Workflows finden Sie in der Produktdokumentation.

Für die Einbindung von Workflows in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Filestore API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Filestore finden Sie in der Produktdokumentation.

• Dienstperimeter schützen nur die Filestore API. Perimeter schützen nicht den normalen Zugriff auf NFS-Daten auf Filestore-Instanzen innerhalb desselben Netzwerks.

• Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt enthält, das die Filestore-Instanz im selben Perimeter enthält, damit die Filestore-Instanz ordnungsgemäß funktioniert. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und erstellen möglicherweise keine neuen Instanzen.

Weitere Informationen zu Parallelstore finden Sie in der Produktdokumentation.

• Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie den Host das das Netzwerk bereitstellt, und das Dienstprojekt, das die Parallelstore-Instanz im selben Perimeter für Parallelstore um ordnungsgemäß zu funktionieren. Hostprojekt und Dienstprojekt trennen mit einem Perimeter kann dazu führen, dass die Instanzen nicht mehr erstellt möglicherweise keine neuen Instanzen.

Die API für Container Threat Detection kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Container Threat Detection finden Sie in der Produktdokumentation.

Für das Einbinden von Container Threat Detection in VPC Service Controls gelten keine bekannten Einschränkungen.

Weitere Informationen zu Ads Data Hub finden Sie in der Produktdokumentation.

Die API für Cloud Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zum Cloud Service Mesh finden Sie in den Produktdokumentation.

Für das Einbinden von Cloud Service Mesh in VPC Service Controls gelten keine bekannten Einschränkungen.

VPC Service Controls schränkt den Tokenaustausch nur dann ein, wenn die Zielgruppe in der Anfrage eine Ressource auf Projektebene ist. Beispielsweise werden Anfragen für herabgestufte Tokens nicht eingeschränkt, da diese Anfragen keine Zielgruppe haben. Anfragen für die Identitätsföderation von Mitarbeitern werden auch nicht eingeschränkt, da die Zielgruppe eine Ressource auf Organisationsebene ist.

Weitere Informationen zum Security Token Service finden Sie in der Produktdokumentation.

Für die Einbindung des Security Token Service in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Dienste firestore.googleapis.com, datastore.googleapis.com und firestorekeyvisualizer.googleapis.com sind gebündelt. Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter auch die Dienste datastore.googleapis.com und firestorekeyvisualizer.googleapis.com.

Um den Dienst datastore.googleapis.com einzuschränken, verwenden Sie den Dienstnamen firestore.googleapis.com.

Für den vollständigen Schutz vor ausgehendem Import und Export müssen Sie den Firestore-Dienst-Agent verwenden. Weitere Informationen finden Sie hier:

• Firestore-Import- und Exportvorgänge mit VPC Service Controls sichern
• Datastore-Import- und Exportvorgänge mit VPC Service Controls sichern

Weitere Informationen zu Firestore/Datastore finden Sie in der Produktdokumentation.

Die API für die Migration zu virtuellen Maschinen kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Migrate for Virtual Machines finden Sie in der Produktdokumentation.

• Um die Migration zu virtuellen Maschinen vollständig zu schützen, fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

  • Pub/Sub API (pubsub.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  • Secret Manager API (secretmanager.googleapis.com)
  • Compute Engine API (compute.googleapis.com)

  Weitere Informationen finden Sie in der Dokumentation Zu virtuellen Maschinen migrieren.

Mit VPC Service Controls können Sie die Infrastrukturdaten schützen, die Sie mit Migrationscenter mit einem Dienstperimeter.

Weitere Informationen zum Migrationscenter finden Sie in der Produktdokumentation.

Die API für den Sicherungs‐ und Notfallwiederherstellungsdienst kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zum Dienst für Sicherung und Notfallwiederherstellung finden Sie in der Produktdokumentation.

Wenn Sie die Internet-Standardroute mit dem Befehl gcloud services vpc-peerings enable-vpc-service-controls aus dem Diensterstellerprojekt entfernen, können Sie möglicherweise nicht auf die Verwaltungskonsole zugreifen oder sie bereitstellen. Wenn dieses Problem auftritt, wenden Sie sich an Google Cloud Customer Care.

Sie können VPC Service Controls zum Schutz von GKE-Sicherungen verwenden und die Sicherung von GKE-Features normalerweise innerhalb von Dienstperimetern verwenden.

Weitere Informationen zu Sicherungen für GKE finden Sie in der Produktdokumentation.

Für die Einbindung von GKE-Sicherungen in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Retail API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Retail API finden Sie in der Produktdokumentation.

Die Retail API-Integration in VPC Service Controls hat keine bekannten Einschränkungen.

Application Integration ist ein kollaboratives Workflow-Management-System, zum Erstellen, Erweitern, Debuggen und Verstehen der wichtigsten Geschäftssystem-Workflows. Die Workflows in Application Integration bestehen aus Triggern und Aufgaben. Es gibt verschiedene Arten von Triggern, z. B. API-Trigger/Pub/Sub-Trigger/Cron-Trigger/Sfdc-Trigger.

Weitere Informationen zu Application Integration finden Sie in der Produktdokumentation.

Die API für Integration Connectors kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Integration Connectors finden Sie in der Produktdokumentation.

Die API für Error Reporting kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Error Reporting finden Sie in der Produktdokumentation.

Die API für Cloud Workstations kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Workstations finden Sie in der Produktdokumentation.

• Für den vollständigen Schutz von Cloud Workstations müssen Sie die Compute Engine API in Ihrem Dienstperimeter einschränken, wenn Sie die Cloud Workstations API einschränken.
• Achten Sie darauf, dass die Google Cloud Storage API, die Google Container Registry API und die Artifact Registry API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist erforderlich, um Images auf Ihre Workstation zu übertragen. Es wird außerdem empfohlen, dass die Cloud Logging API und die Cloud Error Reporting API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist jedoch nicht erforderlich, um Cloud Workstations zu verwenden.
• Der Workstation-Cluster muss privat sein. Durch das Konfigurieren eines privaten Clusters werden Verbindungen zu Ihren Workstations von außerhalb Ihres VPC-Dienstperimeters verhindert.
• Deaktivieren Sie öffentliche IP-Adressen in Ihrer Workstation-Konfiguration. Andernfalls werden in Ihrem Projekt VMs mit öffentlichen IP-Adressen erstellt. Wir empfehlen Ihnen dringend, die Methode constraints/compute.vmExternalIpAccess Einschränkung der Organisationsrichtlinie zum Deaktivieren öffentlicher IP-Adressen für alle VMs in Ihrem VPC-Dienstperimeter an. Weitere Informationen finden Sie unter Externe IP-Adressen auf bestimmte VMs beschränken
• Beim Herstellen einer Verbindung zu Ihrer Workstation basiert die Zugriffssteuerung nur darauf, ob die private Netzwerk, von dem aus Sie eine Verbindung herstellen, zum Sicherheitsperimeter gehört. Zugriffssteuerung basierend auf Gerät, öffentliche IP-Adresse oder Standort wird nicht unterstützt.

Die API für Cloud IDS kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud IDS finden Sie in der Produktdokumentation.

Cloud IDS verwendet Cloud Logging, um Bedrohungslogs in Ihrem Projekt zu erstellen. Wenn Cloud Logging durch den Dienstperimeter eingeschränkt ist, blockiert VPC Service Controls die Cloud IDS-Bedrohungslogs, auch wenn Cloud IDS nicht als eingeschränkter Dienst zum Perimeter hinzugefügt wurde. Um Cloud IDS innerhalb eines Dienstperimeters zu verwenden, müssen Sie eine Regel für eingehenden Traffic für das Cloud Logging-Dienstkonto in Ihrem Dienstperimeter konfigurieren.

Weitere Informationen zu Chrome Enterprise Premium finden Sie in der Produktdokumentation.

Für das Einbinden von Chrome Enterprise Premium in VPC Service Controls gelten keine bekannten Einschränkungen.

Wenn Sie die Policy Troubleshooter API mit einem Perimeter einschränken, Hauptkonten können Probleme mit IAM-Zulassungsrichtlinien nur dann beheben, wenn alle Ressourcen die an der Anfrage beteiligt sind, sich im selben Perimeter befinden. Normalerweise gibt es zwei Ressourcen, die an einer Anfrage zur Fehlerbehebung beteiligt sind:

• Die Ressource, für die Sie eine Fehlerbehebung für den Zugriff durchführen. Diese Ressource kann ein beliebiger Typ. Sie geben diese Ressource bei der Fehlerbehebung Zulassungsrichtlinie.

• Die Ressource, die Sie zur Fehlerbehebung beim Zugriff verwenden. Diese Ressource ist ein Projekt, einen Ordner oder eine Organisation. In der Google Cloud Console und gcloud CLI verwenden, wird diese Ressource aus Projekt, Ordner, Organisation, die Sie ausgewählt haben. In der REST API geben Sie diese Ressource an. mit dem x-goog-user-project-Header.

  Diese Ressource kann mit der Ressource identisch sein, für die Sie eine Fehlerbehebung für den Zugriff durchführen, das muss nicht sein.

Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

Weitere Informationen zur Richtlinien-Fehlerbehebung finden Sie in der Produktdokumentation.

Für das Einbinden von Policy Troubleshooter in VPC Service Controls gelten keine bekannten Einschränkungen.

Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, können Hauptkonten können Zulassungsrichtlinien nur dann simulieren, wenn bestimmte Ressourcen im selben Perimeter befinden. Es gibt verschiedene Ressourcen, die an einer Simulation beteiligt sind:

• Die Ressource, deren Zulassungsrichtlinie Sie verwenden durch Simulationen. Diese Ressource wird auch als Ziel Ressource. In der Google Cloud Console ist dies die Ressource wessen Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und REST API zu verwenden, geben Sie diese Ressource explizit an, wenn Sie eine Zulassungsrichtlinie.

• Das Projekt, der Ordner oder die Organisation, das bzw. die erstellt und ausgeführt wird für die Simulation. Diese Ressource wird auch als Host Ressource. In der Google Cloud Console und gcloud CLI verwenden, wird diese Ressource aus Projekt, Ordner, Organisation, die Sie ausgewählt haben. In der REST API geben Sie diese Ressource an. mit dem x-goog-user-project-Header.

  Diese Ressource kann mit der Ressource identisch sein, die Sie simulieren Zugriff erhalten, aber das muss nicht der Fall sein.

• Die Ressource, die Zugriffslogs für die Simulationsspiele. In einer Simulation gibt es immer eine Ressource mit Zugriffslogs für die Simulation. Diese Ressource variiert je nach Zielressourcentyp:

  • Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, Der Simulator ruft die Zugriffslogs für das Projekt oder die Organisation ab.
  • Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, Policy Simulator ruft die Zugriffslogs für das übergeordnete Element dieser Ressource ab für ein Projekt oder eine Organisation.
  • Wenn Sie mehrere Ressourcen simulieren, Richtlinien gleichzeitig zulassen, Richtlinie Der Simulator ruft die Zugriffslogs für die Ressourcen nächster Neutralleiter für ein Projekt oder eine Organisation.
• Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien. Beim Ausführen einer Simulation durch Policy Simulator werden alle zulässigen Richtlinien, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Zulassungsrichtlinien für die Ancestor- und untergeordneten Ressourcen der Zielressource. Als sind diese Vorgänger- und Nachfolgerressourcen ebenfalls an Simulationen.

Wenn sich die Zielressource und die Hostressource nicht in derselben Perimeter-Perimeter, schlägt die Anfrage fehl.

Wenn die Zielressource und die Ressource, die Zugriffslogs bereitstellt, sich nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

Wenn die Zielressource und einige unterstützte Ressourcen mit entsprechendem Zulassen nicht im selben Perimeter befinden, sind die Anfragen erfolgreich, aber der Ergebnisse sind möglicherweise unvollständig. Wenn Sie z. B. eine Richtlinie simulieren, für ein Projekt in einem Perimeter enthalten die Ergebnisse nicht die Zulassungsrichtlinie der Dachorganisation des Projekts, da Unternehmen Perimetern außerhalb von VPC Service Controls-Perimetern. Um noch mehr umfassende können Sie eingehenden Traffic und Ausgangsregeln für den Perimeter.

Weitere Informationen zum Policy Simulator finden Sie in der Produktdokumentation.

Für das Einbinden von Policy Simulator in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API for Essential Contacts kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu „Wichtige Kontakte“ finden Sie in der Produktdokumentation.

Für das Einbinden der wichtigen Kontakte in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Identity Platform kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zur Identity Platform finden Sie in der Produktdokumentation.

• Zum vollständigen Schutz der Identity Platform fügen Sie die Secure Token API (securetoken.googleapis.com) zur Dienstperimeter, um die Aktualisierung von Tokens zuzulassen. securetoken.googleapis.com ist nicht der Google Cloud Console auf der Seite „VPC Service Controls“ aufgeführt ist. Sie können diesen Dienst nur mit der gcloud access-context-manager perimeters update-Befehl.

• Wenn in Ihre Anwendung auch Blockierfunktionen eingebunden sind, fügen Sie Cloud Functions (cloudfunctions.googleapis.com) zum Dienstperimeter.

• Wenn SMS-basierte Multi-Faktor-Authentifizierung (MFA), E-Mail-Authentifizierung oder externe Identitätsanbieter verwendet werden, werden Daten aus dem Perimeter heraus gesendet. Wenn Sie MFA nicht mit SMS, E-Mail-Authentifizierung oder externen Identitätsanbietern verwenden, deaktivieren Sie diese Funktionen.

Die API für GKE Multi-Cloud kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu GKE Multi-Cloud finden Sie in der Produktdokumentation.

• Zum vollständigen Schutz der GKE Multi-Cloud API müssen Sie auch die Kubernetes Metadata API (kubernetesmetadata.googleapis.com) in den Perimeter aufnehmen.

Die Anthos On-Prem API kann durch VPC Service Controls geschützt und die API verwendet werden normalerweise innerhalb von Dienstperimetern.

Weitere Informationen zur Anthos On-Prem API finden Sie in der Produktdokumentation.

• Fügen Sie zum vollständigen Schutz der Anthos On-Prem API alle folgenden APIs zum Dienstperimeter:

  • Kubernetes Metadata API (kubernetesmetadata.googleapis.com)
  • Cloud Monitoring API (monitoring.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  Beachten Sie, dass VPC Service Controls bietet keinen Schutz vor Cloud Logging-Logexporten aus einem Ordner oder Organisationsebene.

Sie können einen Cluster in Ihrer Umgebung erstellen, der über Cloud Interconnect oder Cloud VPN mit der VPC verbunden ist.

Weitere Informationen zu Google Distributed Cloud finden Sie in der Produktdokumentation.

• Wenn Sie einen Cluster mit Distributed Cloud erstellen oder aktualisieren, verwenden Sie die Methode Flag --skip-api-check in bmctl, um den Aufruf der Service Usage zu umgehen API (serviceusage.googleapis.com), da die Service Usage API (serviceusage.googleapis.com) wird von VPC Service Controls nicht unterstützt. Distributed Cloud ruft die Service Usage API auf, um zu prüfen, ob die erforderliche APIs werden in einem Projekt aktiviert. Er wird nicht verwendet, um die Erreichbarkeit des API-Endpunkt zu prüfen.

• Verwenden Sie zum Schutz von Distributed Cloud eine eingeschränkte VIP in Distributed Cloud und fügen Sie dem Dienst alle folgenden APIs hinzu. Perimeter:

• Artifact Registry API (artifactregistry.googleapis.com)
• Google Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
• Compute Engine API (compute.googleapis.com)
• Connect Gateway API (connectgateway.googleapis.com)
• Google Container Registry API (containerregistry.googleapis.com)
• GKE Connect API (gkeconnect.googleapis.com)
• GKE Hub API (gkehub.googleapis.com)
• GKE On-Prem API (gkeonprem.googleapis.com)
• Cloud IAM API (iam.googleapis.com)
• Cloud Logging API (logging.googleapis.com)
• Cloud Monitoring API (monitoring.googleapis.com)
• Config Monitoring for Ops API (opsconfigmonitoring.googleapis.com)
• Service Control API (servicecontrol.googleapis.com)
• Cloud Storage API (storage.googleapis.com)

Die API für die On-Demand Scanning API kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zur On-Demand Scanning API finden Sie in der Produktdokumentation.

Für das Einbinden der On-Demand Scanning API in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Looker (Google Cloud Core) kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Looker (Google Cloud Core) finden Sie in der Produktdokumentation.

• VPC Service Controls wird nur von Enterprise- oder Embed-Versionen von Looker (Google Cloud Core)-Instanzen mit privaten IP-Verbindungen unterstützt. Looker (Google Cloud Core)-Instanzen mit öffentlichen IP-Verbindungen oder sowohl öffentlichen als auch privaten IP-Verbindungen unterstützen keine VPC Service Controls-Compliance. Wenn Sie eine Instanz erstellen möchten, die eine private IP-Verbindung verwendet, wählen Sie auf der Seite Instanz erstellen der Google Cloud Console im Abschnitt Netzwerk die Option Private IP-Adresse aus.

• Wenn Sie eine Looker (Google Cloud Core)-Instanz in einem VPC Service Controls-Dienstperimeter platzieren oder erstellen, müssen Sie die Standardroute zum Internet entfernen. Rufen Sie dazu die Methode services.enableVpcServiceControls auf oder führen Sie den folgenden gcloud-Befehl aus:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

Die API für Public Certificate Authority kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Public Certificate Authority finden Sie in der Produktdokumentation.

Für das Einbinden einer öffentlichen Zertifizierungsstelle in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Storage Insights kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Storage Insights finden Sie in den Produktdokumentation.

Für das Einbinden von Storage Insights in VPC Service Controls gelten keine bekannten Einschränkungen.

Schließen Sie zum vollständigen Schutz von Dataflow-Datenpipelines alle folgenden APIs in Ihrem Perimeter:

• Dataflow API (dataflow.googleapis.com)
• Cloud Scheduler API (cloudscheduler.googleapis.com)
• Container Registry API (containerregistry.googleapis.com)

Weitere Informationen zu Dataflow-Datenpipelines finden Sie in den Produktdokumentation.

Für das Einbinden von Dataflow-Datenpipelines in VPC Service Controls gelten keine bekannten Einschränkungen.

Die APIs für Security Command Center können durch VPC Service Controls geschützt werden und Security Command Center kann verwendet werden normalerweise innerhalb von Dienstperimetern.

securitycenter.googleapis.com und securitycentermanagement.googleapis.com gebündelt sind. Wenn Sie die securitycenter.googleapis.com einschränken Dienst in einem Perimeter schränkt der Perimeter den securitycentermanagement.googleapis.com standardmäßig aktiviert. Sie können securitycentermanagement.googleapis.com nicht hinzufügen Dienst zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit securitycenter.googleapis.com.

Weitere Informationen zu Security Command Center finden Sie in der Produktdokumentation.

• VPC Service Controls unterstützt keinen Zugriff auf Ordner- oder Organisationsebene Security Command Center API-Ressourcen von Ressourcen und Clients innerhalb eines Dienstperimeters. VPC Service Controls schützt Security Command Center API-Ressourcen auf Projektebene. Sie können eine Richtlinie für ausgehenden Traffic festlegen, Zugriff auf Security Command Center API-Ressourcen auf Projektebene von Projekten innerhalb des Perimeters.
• VPC Service Controls unterstützt das Hinzufügen von Ordner- oder Organisationsebene nicht Security Command Center API-Ressourcen in einem Dienstperimeter. Sie können keinen Perimeter verwenden, um Security Command Center API-Ressourcen auf Ordner- oder Organisationsebene. So verwalten Sie Security Command Center-Berechtigungen auf Ordner- oder Organisationsebene haben, empfehlen wir die Verwendung von IAM.
• VPC Service Controls unterstützt den Dienst für den Sicherheitsstatus nicht, da Ressourcen für den Sicherheitsstatus (z. B. Postures, Posture-Bereitstellungen und vordefinierte Statusvorlagen) Ressourcen auf Organisationsebene sind.
• Sie können Ergebnisse auf Ordner- oder Organisationsebene nicht in Ziele exportieren innerhalb eines Dienstperimeters.
• In den folgenden Fällen müssen Sie den Perimeterzugriff aktivieren: <ph type="x-smartling-placeholder">
  </ph>
  • Wenn Sie Benachrichtigungen zu Ergebnisbenachrichtigungen aktivieren auf Ordner- oder Organisationsebene und das Pub/Sub-Thema befindet sich innerhalb eines Dienstperimeters.
  • Wenn Sie Daten exportieren in BigQuery aus der Ordner- oder Organisationsebene und BigQuery befindet sich darin einen Dienstperimeter.
  • Wenn Sie Security Command Center in ein SIEM- oder SOAR-Produkt einbinden und das Produkt in einem Dienst bereitgestellt wird Perimeter in einer Google Cloud-Umgebung. Unterstützte SIEMs und SOARs sind unter anderem Splunk und IBM QRadar

Die API für Cloud Customer Care kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Cloud Customer Care finden Sie in den Produktdokumentation.

Die API für Vertex AI Agent Builder – Vertex AI Search kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Vertex AI Agent Builder – Vertex AI Search finden Sie in der Produktdokumentation.

Für das Einbinden von Vertex AI Agent Builder in VPC Service Controls gelten keine bekannten Einschränkungen.

Die API für Confidential Space kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Confidential Space finden Sie in der Produktdokumentation.

So verwenden Sie den VPC Service Controls-Schutz beim Herstellen einer Verbindung zur seriellen Konsole: Für eine VM-Instanz müssen Sie eine Regel für eingehenden Traffic festlegen. für den Dienstperimeter. Beim Einrichten der Regel für eingehenden Traffic muss die Zugriffsebene für die Quelle ein IP-basierter Wert und der Dienstname auf ssh-serialport.googleapis.com festgelegt ist. Die Eingangsregel ist für den Zugriff auf die serielle Konsole erforderlich, auch wenn sich die Quellanfrage und die Zielressource im selben Perimeter befinden.

Weitere Informationen zur seriellen Konsole finden Sie in der Produktdokumentation.

Weitere Informationen zur Google Cloud VMware Engine finden Sie in der Produktdokumentation.

Informationen zum Steuern des Zugriffs auf Dataform mit VPC Service Controls finden Sie unter VPC Service Controls für Dataform konfigurieren

Weitere Informationen zu Dataform finden Sie in der Produktdokumentation.

Für Web Security Scanner und VPC Service Controls gelten unterschiedliche Nutzungsbedingungen. Weitere Informationen finden Sie in den Nutzungsbedingungen der einzelnen Produkte.

Web Security Scanner sendet die Ergebnisse bei Bedarf an Security Command Center. Sie können die aus dem Security Command Center-Dashboard.

Weitere Informationen zu Web Security Scanner finden Sie in der Produktdokumentation.

Für das Einbinden von Web Security Scanner in VPC Service Controls gelten keine bekannten Einschränkungen.

• Sie müssen den Certificate Authority Service mit einer funktionierenden Zertifizierungsstelle konfigurieren, bevor Sie Secure Source Manager VPC Service Controls-Instanzen erstellen.
• Sie müssen Private Service Connect konfigurieren, bevor Sie auf die VPC Service Controls-Instanz von Secure Source Manager zugreifen.

Weitere Informationen zu Secure Source Manager finden Sie in der Produktdokumentation.

• SERVICE_NOT_ALLOWED_FROM_VPC-Audit-Log-Verstoß aufgrund von GKE-Einschränkungen kann ignoriert werden.
• Zum Öffnen der Weboberfläche von VPC Service Controls in einem Browser benötigt der Browser Zugriff auf die folgenden URLs: <ph type="x-smartling-placeholder">
  </ph>
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Beispiel: https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

Die API für API-Schlüssel kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu API-Schlüsseln finden Sie in der Produktdokumentation.

Für das Einbinden von API-Schlüsseln in VPC Service Controls gelten keine bekannten Einschränkungen.

Die Cloud Controls Partner API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Partnerkonsole im Bereich Datenhoheitskontrollen durch Partner finden Sie in den Produktdokumentation.

Die API für Mikrodienste kann durch VPC Service Controls geschützt werden und das Produkt kann die normalerweise innerhalb von Dienstperimetern verwendet werden.

Weitere Informationen zu Mikrodiensten finden Sie in den Produktdokumentation.

Für das Einbinden von Mikrodiensten in VPC Service Controls gelten keine bekannten Einschränkungen.

earthengine.googleapis.com und earthengine-highvolume.googleapis.com gebündelt sind. Wenn Sie die earthengine.googleapis.com einschränken Dienst in einem Perimeter schränkt der Perimeter den earthengine-highvolume.googleapis.com standardmäßig aktiviert. Sie können earthengine-highvolume.googleapis.com nicht hinzufügen Dienst zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit earthengine.googleapis.com.

Weitere Informationen zu Earth Engine finden Sie in der Produktdokumentation.

Mit App Hub können Sie Infrastrukturressourcen in Anwendungen. Sie können VPC Service Controls-Perimeter verwenden, um den App Hub zu schützen Ressourcen.

Weitere Informationen zu App Hub finden Sie in der Produktdokumentation.

Die Cloud Code API kann durch VPC Service Controls geschützt werden. So verwenden Sie Funktionen von Gemini muss in Cloud Code eine Richtlinie für eingehenden Traffic konfiguriert werden, um Traffic von IDE-Clients. Gemini ansehen finden Sie in der Dokumentation.

Weitere Informationen zu Cloud Code finden Sie in der Produktdokumentation.

Für das Einbinden von Cloud Code in VPC Service Controls gelten keine bekannten Einschränkungen.

Der VPC Service Controls-Perimeter schützt die Commerce Org Governance API für den privaten Marktplatz von Google.

Weitere Informationen zur Commerce Org Governance API finden Sie in den Produktdokumentation.