Produtos e limitações compatíveis

Esta página contém uma tabela de produtos e serviços compatíveis com o VPC Service Controls e uma lista de limitações conhecidas com determinados serviços e interfaces.

Listar todos os serviços compatíveis

Recuperar a lista completa de todos os produtos e serviços compatíveis com o VPC Service Controls serviços, execute o seguinte comando:

gcloud access-context-manager supported-services list

Você recebe uma resposta com uma lista de produtos e serviços.

NAME                 TITLE             SERVICE_SUPPORT_STAGE   AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS          RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

Essa resposta inclui os seguintes valores:

Valor Descrição
SERVICE_ADDRESS Nome do serviço do produto ou serviço. Por exemplo, aiplatform.googleapis.com
SERVICE_NAME Nome do produto ou serviço. Por exemplo, Vertex AI API
SERVICE_STATUS O status da integração do serviço com o VPC Service Controls. Confira a seguir os valores possíveis:
  • GA: a integração de serviços tem suporte total aos perímetros do VPC Service Controls.
  • PREVIEW: a integração do serviço está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção por perímetros do VPC Service Controls.
  • DEPRECATED: a integração do serviço está programada para ser encerrada e removida.
RESTRICTED_VIP_STATUS Especifica se a integração do serviço com o VPC Service Controls tem suporte do VIP restrito. Estes são os valores possíveis:
  • TRUE: a integração de serviços tem suporte total do VIP restrito e pode ser protegida por perímetros do VPC Service Controls.
  • FALSE: o VIP restrito não oferece suporte à integração de serviços.
Para conferir uma lista completa dos serviços disponíveis no VIP restrito, consulte Serviços compatíveis com o VIP restrito.
LIMITATIONS_STATUS Especifica se a integração do serviço com o VPC Service Controls tem limitações. Confira a seguir os valores possíveis:
  • TRUE: a integração do serviço com o VPC Service Controls tem limitações conhecidas. Você pode verificar a entrada correspondente ao serviço na tabela Produtos com suporte para saber mais sobre essas limitações.
  • FALSE: a integração do serviço com o VPC Service Controls não tem limitações conhecidas.

Listar métodos compatíveis para um serviço

Para recuperar a lista de métodos e permissões com suporte do VPC Service Controls Para um serviço, execute o seguinte comando:

gcloud access-context-manager supported-services describe SERVICE_ADDRESS

Substitua SERVICE_ADDRESS pelo nome do serviço ou produto. Por exemplo, aiplatform.googleapis.com.

Você recebe uma resposta com uma lista de métodos e permissões.

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
serviceSupportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

Nesta resposta, METHODS_LIST lista todos os métodos e permissões com suporte do VPC Service Controls para o serviço especificado. Para um lista completa de todos os métodos e permissões de serviço suportados, consulte Método de serviço compatível restrições.

Produtos compatíveis

O VPC Service Controls é compatível com os produtos a seguir:

Produtos compatíveis Descrição

Gerente de infraestrutura

Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço config.googleapis.com
Detalhes

Para mais informações sobre o Infrastructure Manager, consulte a documentação do produto.

Limitações

Para usar o Gerenciador de infraestrutura em um perímetro:

  • Para o pool de workers usado pelo Infrastructure Manager, use um pool particular do Cloud Build. As chamadas públicas da Internet precisam estar ativadas para esse pool particular para que você possa fazer o download dos provedores e da configuração do Terraform. Não é possível usar o pool de workers padrão do Cloud Build.
  • Os itens a seguir precisam estar no mesmo perímetro:
    • A conta de serviço que o Gerente de infraestrutura usa.
    • O pool de workers do Cloud Build que o gerente de infraestrutura usa.
    • O bucket de armazenamento usado pelo Gerenciador de infraestrutura. É possível usar o bucket de armazenamento padrão.
  • Gerenciador de cargas de trabalho

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço workloadmanager.googleapis.com
    Detalhes

    Para usar o Workload Manager em um perímetro do VPC Service Controls:

    • Use um pool de workers particular do Cloud Build para o ambiente de implantação no gerenciador de cargas de trabalho. Não é possível usar o pool de workers padrão do Cloud Build.
    • O pool privado do Cloud Build precisa ter chamadas pela Internet públicas ativadas para fazer o download da configuração do Terraform.

    Para mais informações, consulte Usar um pool de workers particular do Cloud Build na documentação do Workload Manager.

    Para mais informações sobre o gerenciador de cargas de trabalho, acesse documentação do produto.

    Limitações

    Verifique se os recursos a seguir estão no mesmo VPC Service Controls perímetro de serviço:

    • conta de serviço do gerenciador de cargas de trabalho.
    • Pool de workers particulares do Cloud Build.
    • O bucket do Cloud Storage que o gerenciador de cargas de trabalho usa para implantação.

    Google Cloud NetApp Volumes

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço netapp.googleapis.com
    Detalhes

    A API do Google Cloud NetApp Volumes pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Google Cloud NetApp Volumes, consulte a documentação do produto.

    Limitações

    O VPC Service Controls não abrange caminhos de plano de dados, como leituras e gravações do sistema de arquivos de rede (NFS) e do bloco de mensagens do servidor (SMB). Além disso, se os projetos de host e de serviço estiverem configurados em perímetros diferentes, poderá ocorrer uma interrupção na implementação dos serviços do Google Cloud.

    Google Cloud Search

    Status GA
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudsearch.googleapis.com
    Detalhes

    O Google Cloud Search oferece suporte aos controles de segurança da nuvem privada virtual (VPC Service Controls) para aprimorar a segurança dos seus dados. O VPC Service Controls permite definir um perímetro de segurança em torno dos recursos do Google Cloud Platform para restringir dados e ajudar a reduzir os riscos de exfiltração de dados.

    Para mais informações sobre o Google Cloud Search, consulte a documentação do produto.

    Limitações

    Como os recursos do Cloud Search não são armazenados em um projeto do Google Cloud, é necessário atualizar as configurações do cliente do Cloud Search com o projeto protegido do perímetro VPC. O projeto de VPC atua como um contêiner de projeto virtual para todos os seus recursos do Cloud Search. Sem criar esse mapeamento, o VPC Service Controls não funcionará para a API Cloud Search.

    Para ver todas as etapas de ativação do VPC Service Controls com o Google Cloud Search, consulte Aumentar a segurança do Google Cloud Search.

    Connectivity Tests

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço networkmanagement.googleapis.com
    Detalhes

    A API do Testes de conectividade pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Testes de conectividade, consulte a documentação do produto.

    Limitações

    A integração do Testes de conectividade com o VPC Service Controls não tem limitações conhecidas.

    Previsão da AI Platform

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço ml.googleapis.com
    Detalhes

    O VPC Service Controls é compatível com a previsão on-line, mas não com a previsão em lote.

    Para mais informações sobre o AI Platform Prediction, consulte a documentação do produto.

    Limitações
    • Para proteger totalmente o AI Platform Prediction, adicione todas as APIs a seguir ao perímetro de serviço:

      • API AI Platform Training and Prediction (ml.googleapis.com)
      • API Pub/Sub (pubsub.googleapis.com)
      • API Cloud Storage (storage.googleapis.com)
      • API Google Kubernetes Engine (container.googleapis.com)
      • API Container Registry (containerregistry.googleapis.com)
      • API Cloud Logging (logging.googleapis.com)

      Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.

    • A previsão em lote não é compatível com o AI Platform Prediction dentro de um perímetro de serviço.

    • O AI Platform Prediction e o AI Platform Training usam a API AI Platform Training and Prediction. Por isso, é necessário configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.

    AI Platform Training

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço ml.googleapis.com
    Detalhes

    A API do AI Platform Training pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o AI Platform Training, consulte a documentação do produto.

    Limitações
    • Para proteger totalmente os jobs de treinamento do AI Platform Training, adicione todas as APIs a seguir ao perímetro de serviço:

      • API AI Platform Training and Prediction (ml.googleapis.com)
      • API Pub/Sub (pubsub.googleapis.com)
      • API Cloud Storage (storage.googleapis.com)
      • API Google Kubernetes Engine (container.googleapis.com)
      • API Container Registry (containerregistry.googleapis.com)
      • API Cloud Logging (logging.googleapis.com)

      Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.

    • O treinamento com TPUs não é compatível quando você usa o AI Platform Training dentro de um perímetro de serviço.

    • O AI Platform Training e o AI Platform Prediction usam a API AI Platform Training and Prediction. Por isso, é necessário configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.

    AlloyDB para PostgreSQL

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço alloydb.googleapis.com
    Detalhes

    Os perímetros do VPC Service Controls protegem a API AlloyDB.

    Para mais informações sobre o AlloyDB para PostgreSQL, consulte a documentação do produto.

    Limitações

    • Antes de configurar o VPC Service Controls do AlloyDB para PostgreSQL, ative a API Service Networking.
    • Quando você usa o AlloyDB para PostgreSQL com VPC compartilhada e VPC Service Controls, o projeto host e o projeto de serviço precisam estar no mesmo perímetro de serviço do VPC Service Controls.

    Vertex AI Workbench

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço notebooks.googleapis.com
    Detalhes

    A API do Vertex AI Workbench pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Vertex AI Workbench, consulte a documentação do produto.

    Limitações

    Vertex AI

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço aiplatform.googleapis.com
    Detalhes

    A API da Vertex AI pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Consulte o Colab Enterprise.

    Para mais informações sobre o Vertex AI, consulte a documentação do produto.

    Limitações

    Para mais informações sobre limitações, consulte limitações na documentação da Vertex AI.

    Vertex AI Vision

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço visionai.googleapis.com
    Detalhes

    A API do Vertex AI Vision pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Vertex AI Vision, consulte a documentação do produto.

    Limitações
    Quando constraints/visionai.disablePublicEndpoint está ativado, desativamos o endpoint público do cluster. Os usuários precisam se conectar manualmente ao destino do PSC e acessar o serviço da rede particular. Confira o destino do PSC no recurso cluster.

    Vertex AI no Firebase

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço firebasevertexai.googleapis.com
    Detalhes

    A API da Vertex AI no Firebase pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a Vertex AI no Firebase, consulte a documentação do produto.

    Limitações
    • A API Vertex AI no Firebase encaminha o tráfego para a API Vertex AI (aiplatform.googleapis.com).
      • Verifique se aiplatform.googleapis.com também foi adicionado à lista de serviços restritos no perímetro de serviço.
      • Qualquer um limitações conhecidas da API Vertex AI se aplicam à Vertex AI na API Firebase.
    • O tráfego para a API Vertex AI no Firebase tem como objetivo originar-se de um cliente de dispositivo móvel ou navegador, que sempre estará fora do perímetro de serviço. Portanto, você precisa configurar uma política de entrada explícita.

      Se você precisar se conectar à API Vertex AI somente dentro do perímetro do serviço, use a API Vertex AI diretamente ou por um dos SDKs do servidor, o Firebase Genkit ou qualquer um dos outros serviços disponíveis para acessar a API Vertex AI no servidor.

    Colab Enterprise

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço aiplatform.googleapis.com
    Detalhes

    A API do Colab Enterprise pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    O Colab Enterprise faz parte da Vertex AI. Consulte a Vertex AI.

    O Colab Enterprise usa o Dataform para armazenar notebooks. Consulte o Dataform.

    Para mais informações sobre o Colab Enterprise, consulte a documentação do produto.

    Limitações

    Para informações sobre limitações, consulte Limitações conhecidas na documentação do Colab Enterprise.

    Apigee e Apigee híbrida

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço apigee.googleapis.com,
    apigeeconnect.googleapis.com
    Detalhes

    A API para Apigee híbrida e a Apigee pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre Apigee e Apigee híbrida, consulte a documentação do produto.

    Limitações

    As integrações da Apigee com VPC Service Controls têm as seguintes limitações:

    • Os portais integrados exigem medidas adicionais para serem configuradas.
    • É necessário implantar os portais do Drupal dentro do perímetro de serviço.

    Analytics Hub

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço analyticshub.googleapis.com
    Detalhes O VPC Service Controls protege as listagens de dados e as listagens. Para proteger conjunto de dados vinculados e compartilhados com um perímetro de serviço, use a API BigQuery. Para mais informações, consulte Regras do VPC Service Controls do Analytics Hub.

    Para mais informações sobre o Analytics Hub, consulte a documentação do produto.

    Limitações
    O Analytics Hub não aceita regras com base em métodos. Você precisa permitir todos os métodos. Para mais informações, consulte Limitações das regras do VPC Service Controls do Analytics Hub.

    Cloud Service Mesh

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço meshca.googleapis.com,
    meshconfig.googleapis.com
    Detalhes

    A API do Anthos Service Mesh pode ser protegida pelo VPC Service Controls e pelo produto podem ser usados normalmente dentro de perímetros de serviço.

    É possível usar mesh.googleapis.com para ativar as APIs necessárias para o Cloud Service Mesh. Não é necessário restringir mesh.googleapis.com no perímetro, porque ele não expõe nenhuma API.

    Para mais informações sobre o Cloud Service Mesh, consulte documentação do produto.

    Limitações

    A integração do Cloud Service Mesh com o VPC Service Controls não tem limitações conhecidas.

    Artifact Registry

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço artifactregistry.googleapis.com
    Detalhes

    Além de proteger a API Artifact Registry, o Artifact Registry pode ser usado dentro de perímetros de serviço com o GKE e o Compute Engine.

    Para mais informações sobre o Artifact Registry, consulte a documentação do produto.

    Limitações
    • Como o Artifact Registry usa o domínio pkg.dev, configure o DNS para que *.pkg.dev mapeie para private.googleapis.com ou restricted.googleapis.com. Para mais informações, consulte Proteger repositórios em um perímetro de serviço.
    • Além dos artefatos dentro de um perímetro que estão disponíveis para o Artifact Registry, os seguintes repositórios somente leitura do Container Registry gerenciados estão disponíveis para todos os projetos, independentemente dos perímetros de serviço:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      Em todos os casos, as versões regionais desses repositórios também estão disponíveis.

    Assured Workloads

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço assuredworkloads.googleapis.com
    Detalhes

    A API do Assured Workloads pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Assured Workloads, consulte a documentação do produto.

    Limitações

    A integração do Assured Workloads com o VPC Service Controls não tem limitações conhecidas.

    AutoML Natural Language

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço automl.googleapis.com,
    eu-automl.googleapis.com
    Detalhes

    Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

    • API AutoML (automl.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Compute Engine (compute.googleapis.com)
    • API BigQuery (bigquery.googleapis.com)

    Para mais informações sobre o AutoML Natural Language, consulte a documentação do produto.

    Limitações
    • Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do serviço.
    • Não é possível adicionar os endpoints regionais compatíveis, como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro. Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais compatíveis, como eu-automl.googleapis.com.

    Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

    AutoML Tables

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço automl.googleapis.com,
    eu-automl.googleapis.com
    Detalhes

    Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

    • API AutoML (automl.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Compute Engine (compute.googleapis.com)
    • API BigQuery (bigquery.googleapis.com)

    Para mais informações sobre o AutoML Tables, consulte a documentação do produto.

    Limitações
    • Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do serviço.
    • Não é possível adicionar os endpoints regionais compatíveis, como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro. Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais compatíveis, como eu-automl.googleapis.com.

    Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

    AutoML Translation

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço automl.googleapis.com,
    eu-automl.googleapis.com
    Detalhes

    Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

    • API AutoML (automl.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Compute Engine (compute.googleapis.com)
    • API BigQuery (bigquery.googleapis.com)

    Para mais informações sobre o AutoML Translation, consulte a documentação do produto.

    Limitações
    • Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do serviço.
    • Não é possível adicionar os endpoints regionais compatíveis, como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro. Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais compatíveis, como eu-automl.googleapis.com.

    Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

    AutoML Video Intelligence

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço automl.googleapis.com,
    eu-automl.googleapis.com
    Detalhes

    Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

    • API AutoML (automl.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Compute Engine (compute.googleapis.com)
    • API BigQuery (bigquery.googleapis.com)

    Para mais informações sobre o AutoML Video Intelligence, consulte a documentação do produto.

    Limitações
    • Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do serviço.
    • Não é possível adicionar os endpoints regionais compatíveis, como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro. Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais compatíveis, como eu-automl.googleapis.com.

    Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

    AutoML Vision

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço automl.googleapis.com,
    eu-automl.googleapis.com
    Detalhes

    Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

    • API AutoML (automl.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Compute Engine (compute.googleapis.com)
    • API BigQuery (bigquery.googleapis.com)

    Para mais informações sobre o AutoML Vision, consulte a documentação do produto.

    Limitações
    • Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do serviço.
    • Não é possível adicionar os endpoints regionais compatíveis, como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro. Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais compatíveis, como eu-automl.googleapis.com.

    Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

    Solução Bare Metal

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Não. A API da Solução Bare Metal não pode ser protegida por perímetros de serviço. No entanto, a Solução Bare Metal pode ser usada normalmente em projetos dentro de um perímetro.
    Detalhes

    A API da Solução Bare Metal pode ser adicionada a um perímetro seguro. No entanto, os perímetros do VPC Service Controls não se estendem ao ambiente da Solução Bare Metal nas extensões regionais.

    Para mais informações sobre a Solução Bare Metal, consulte a documentação do produto.

    Limitações

    Ao conectar o VPC Service Controls ao ambiente da Solução Bare Metal, você não mantém nenhuma garantia de controle de serviço.

    Para mais informações sobre a limitação da Solução Bare Metal em relação ao VPC Service Controls, consulte Limitações e problemas conhecidos.

    Lote

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço batch.googleapis.com
    Detalhes

    A API do Batch pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Batch, consulte a documentação do produto.

    Limitações
    Para proteger totalmente o Batch, você precisa incluir as seguintes APIs no perímetro:
    • API Batch (batch.googleapis.com)
    • API Cloud Logging (logging.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)
    • API Artifact Registry (artifactregistry.googleapis.com)
    • API Filestore (file.googleapis.com)

    BigLake Metastore

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço biglake.googleapis.com
    Detalhes

    A API do Metastore do BigLake pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o metastore do BigLake, consulte a documentação do produto.

    Limitações

    A integração do metastore do BigLake com o VPC Service Controls não tem limitações conhecidas.

    BigQuery

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço bigquery.googleapis.com
    Detalhes

    Quando você protege a API BigQuery usando um perímetro de serviço, a API BigQuery Storage, a API BigQuery Reserva e As APIs BigQuery Connection também são protegidas. Não é necessário adicionar essas APIs separadamente à lista de serviços protegidos do seu perímetro.

    Para mais informações sobre o BigQuery, consulte a documentação do produto.

    Limitações
    • Os registros de auditoria do BigQuery nem sempre incluem todas recursos que foram usados quando uma solicitação foi feita, devido ao serviço que processam internamente o acesso a vários recursos.

    • Ao acessar uma instância do BigQuery protegida por um perímetro de serviço, o job do BigQuery precisa ser executado em um projeto dentro do perímetro ou em um projeto permitido por uma regra de saída do perímetro. Por padrão, as bibliotecas de cliente do BigQuery executam jobs na conta de serviço ou no projeto do usuário, fazendo com que a consulta seja rejeitada pelo VPC Service Controls.

    • O BigQuery bloqueia o salvamento de resultados de consultas no Google Drive do perímetro protegido do VPC Service Controls.

    • Se você conceder acesso usando uma regra de entrada com contas de usuário como o tipo de identidade, não é possível exibir utilização de recursos ou o explorador de jobs administrativos na Página Monitoramento. Para usar esses recursos, configure uma regra de entrada que use ANY_IDENTITY como o tipo de identidade.

    • O VPC Service Controls só é compatível com a análise por meio do BigQuery Enterprise, Enterprise Plus ou sob demanda.

    • A API BigQuery Reservation é parcialmente compatível. A API BigQuery Reservation, que cria o recurso de atribuição, não impõe restrições de perímetro de serviço aos usuários atribuídos.

    API BigQuery Data Policy

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço bigquerydatapolicy.googleapis.com
    Detalhes

    A API BigQuery Data Policy pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API BigQuery Data Policy, consulte a documentação do produto.

    Limitações

    A integração da API BigQuery Data Policy com o VPC Service Controls não tem limitações conhecidas.

    Serviço de transferência de dados do BigQuery

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço bigquerydatatransfer.googleapis.com
    Detalhes

    O perímetro de serviço protege apenas a API do serviço de transferência de dados do BigQuery. A proteção de dados real é aplicada pelo BigQuery. Ele foi projetado para permitir a importação de dados de várias fontes externas fora do Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, para os conjuntos de dados do BigQuery. Para informações sobre os requisitos do VPC Service Controls para migrar dados do Teradata, consulte este link.

    Para mais informações sobre o serviço de transferência de dados do BigQuery, consulte a documentação do produto.

    Limitações
    • O serviço de transferência de dados do BigQuery não é compatível com a exportação de dados fora de um conjunto de dados do BigQuery. Para mais informações, consulte Como exportar dados de tabelas.
    • Para transferir dados entre projetos, o projeto de destino precisa estar dentro do mesmo perímetro do projeto de origem. Caso contrário, uma regra de saída precisa permitir a transferência de dados para fora do perímetro. Para informações sobre como definir as regras de saída, consulte Limitações em conjuntos de dados do BigQuery.
    • O serviço de transferência de dados do BigQuery não é compatível com fontes de dados de terceiros para transferir dados em projetos protegidos por um perímetro de serviço.

    API BigQuery Migration

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço bigquerymigration.googleapis.com
    Detalhes

    A API BigQuery Migration pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API BigQuery Migration, consulte a documentação do produto.

    Limitações

    A integração da API BigQuery Migration com o VPC Service Controls não tem limitações conhecidas.

    Bigtable

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço bigtable.googleapis.com,
    bigtableadmin.googleapis.com
    Detalhes

    Os serviços bigtable.googleapis.com e bigtableadmin.googleapis.com são agrupados. Quando você restringe o serviço bigtable.googleapis.com em um perímetro, o perímetro restringe o serviço bigtableadmin.googleapis.com por padrão. Não é possível adicionar o serviço bigtableadmin.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com bigtable.googleapis.com.

    Para mais informações sobre o Bigtable, acesse documentação do produto.

    Limitações

    A integração do Bigtable com o VPC Service Controls não tem limitações conhecidas.

    Autorização binária

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço binaryauthorization.googleapis.com
    Detalhes

    Ao usar vários projetos com autorização binária, cada projeto precisa ser incluído no perímetro do VPC Service Controls. Para mais informações sobre esse caso de uso, consulte Configuração de vários projetos.

    Com a autorização binária, é possível usar o Artifact Analysis para armazenar atestadores e atestados como observações e ocorrências, respectivamente. Nesse caso, você também precisa incluir o Artifact Analysis no perímetro do VPC Service Controls. Consulte Orientação do VPC Service Controls para Artifact Analysis para mais detalhes.

    Para mais informações sobre a autorização binária, consulte a documentação do produto.

    Limitações

    A integração da autorização binária com o VPC Service Controls não tem limitações conhecidas.

    Blockchain Node Engine

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço blockchainnodeengine.googleapis.com
    Detalhes

    A API do Blockchain Node Engine pode ser protegida pelo VPC Service Controls e usada normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Blockchain Node Engine, consulte a documentação do produto.

    Limitações

    As integrações do Blockchain Node Engine com o VPC Service Controls têm as seguintes limitações:

    • O VPC Service Controls protege apenas a API Blockchain Node Engine. Quando um nó é criado, ainda é necessário indicar que ele é destinado a uma rede particular configurada pelo usuário com o Private Service Connect.
    • O tráfego ponto a ponto não é afetado pelo VPC Service Controls ou pelo Private Service Connect e continua usando a Internet pública.

    Certificate Authority Service

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço privateca.googleapis.com
    Detalhes

    A API do Certificate Authority Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Certificate Authority Service, consulte a documentação do produto.

    Limitações
    • Para usar o Certificate Authority Service em um ambiente protegido, você também precisa adicionar a API Cloud KMS (cloudkms.googleapis.com) e a API Cloud Storage (storage.googleapis.com) ao perímetro de serviço.

    Controlador de configuração

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço krmapihosting.googleapis.com
    Detalhes

    Para usar o Config Controller com o VPC Service Controls, é preciso ativar as seguintes APIs dentro no perímetro:

    • API Cloud Monitoring (monitoring.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)
    • API Google Cloud Observability (logging.googleapis.com)
    • API Security Token Service (sts.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)

    Se você provisionar recursos com o Config Controller, será necessário ativar a API para esses recursos no perímetro de serviço. Por exemplo, se você quiser adicionar uma conta de serviço do IAM, será necessário adicionar a API IAM (iam.googleapis.com).

    Para mais informações sobre o Config Controller, consulte a documentação do produto.

    Limitações

    A integração do Config Controller com o VPC Service Controls não tem limitações conhecidas.

    Data Catalog

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço datacatalog.googleapis.com
    Detalhes O Data Catalog respeita automaticamente os perímetros em outros serviços do Google Cloud.

    Para mais informações sobre o Data Catalog, consulte a documentação do produto.

    Limitações

    A integração do Data Catalog com o VPC Service Controls não tem limitações conhecidas.

    Cloud Data Fusion

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço datafusion.googleapis.com
    Detalhes

    O Cloud Data Fusion requer algumas etapas especiais para proteger usando o VPC Service Controls.

    Para mais informações sobre o Cloud Data Fusion, consulte a documentação do produto.

    Limitações
    • Estabeleça o perímetro de segurança do VPC Service Controls antes de criar a instância particular do Cloud Data Fusion. A proteção de perímetro para instâncias criadas antes da configuração do VPC Service Controls não é compatível.

    • Atualmente, a IU do plano de dados do Cloud Data Fusion não é compatível com acesso baseado na identidade usando regras de entrada ou níveis de acesso.

    API Data Lineage

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço datalineage.googleapis.com
    Detalhes

    A API Data Lineage pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Data Lineage, consulte a documentação do produto.

    Limitações

    A integração da API Data Lineage com o VPC Service Controls não tem limitações conhecidas.

    Compute Engine

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço compute.googleapis.com
    Detalhes

    O suporte do VPC Service Controls para o Compute Engine oferece os seguintes benefícios de segurança:

    • Restringe o acesso a operações confidenciais da API.
    • Restringe snapshots de disco permanente e imagens personalizadas para um perímetro.
    • Restringe o acesso a metadados de instância.

    O suporte do VPC Service Controls para o Compute Engine permite também que você utilize redes de nuvem privada virtual e clusters particulares do Google Kubernetes Engine dentro de perímetros de serviço.

    Para mais informações sobre o Compute Engine, consulte a documentação do produto.

    Limitações
    • Firewalls hierárquicos não são afetados por perímetros de serviço.

    • As operações de peering de VPC não impõem restrições de perímetro de serviço à VPC.

    • O método da API projects.ListXpnHosts para a VPC compartilhada não impõe restrições de perímetro de serviço aos projetos retornados.

    • Para permitir a criação de uma imagem do Compute Engine em um Cloud Storage em um projeto protegido por um perímetro de serviço, o usuário que está criando a imagem precisa ser adicionado temporariamente a uma regra de entrada do perímetro.

    • O VPC Service Controls não aceita o uso da versão de código aberto do Kubernetes em VMs do Compute Engine dentro de um perímetro de serviço.

    • O console serial interativo não é compatível com o VIP restrito. Se você precisar resolver problemas com sua instância usando o console serial, configure a resolução de DNS local para enviar comandos para ssh-serialport.googleapis.com pela Internet.

    Contact Center AI Insights

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço contactcenterinsights.googleapis.com
    Detalhes

    Para usar o Contact Center AI Insights com o VPC Service Controls, é necessário ter as seguintes APIs adicionais dentro do seu perímetro, dependendo da sua integração.

    • Para carregar dados no Contact Center AI Insights, adicione a API Cloud Storage ao perímetro de serviço.

    • Para usar a exportação, adicione a API BigQuery ao seu perímetro de serviço.

    • Para integrar vários produtos CCAI, adicione a API Vertex AI ao perímetro de serviço.

    Para mais informações sobre o Contact Center AI Insights, consulte a documentação do produto.

    Limitações

    A integração do Contact Center AI Insights com o VPC Service Controls não tem limitações conhecidas.

    Dataflow

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dataflow.googleapis.com
    Detalhes

    O Dataflow é compatível com vários conectores de serviço de armazenamento (em inglês). Os seguintes conectores foram verificados e funcionam com o Dataflow dentro de um perímetro de serviço:

    Para mais informações sobre o Dataflow, consulte a documentação do produto.

    Limitações

    • O BIND personalizado não é compatível com o Dataflow. Para personalizar a resolução de DNS ao usar o Dataflow com o VPC Service Controls, use as zonas particulares do Cloud DNS em vez de usar servidores BIND personalizados. Para usar sua própria resolução de DNS local, use um método de encaminhamento de DNS do Google Cloud.

    • O escalonamento automático vertical não pode ser protegido por um perímetro do VPC Service Controls. Para usar o escalonamento automático vertical em um perímetro do VPC Service Controls, é preciso desativar o recurso de serviços de acessibilidade por VPC.

    • Se você ativar o Dataflow Prime e lançar um novo job em um perímetro do VPC Service Controls, o job usará o Dataflow Prime sem o escalonamento automático vertical.

    • Nem todos os conectores do serviço de armazenamento foram verificados quanto ao funcionamento quando usados com o Dataflow dentro de um perímetro de serviço. Para conferir uma lista dos conectores verificados, consulte "Detalhes" na seção anterior.

    • Ao usar o Python 3.5 com o SDK do Apache Beam 2.20.0‐2.22.0, os jobs do Dataflow falharão na inicialização se os workers tiverem apenas endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos. Se os workers do Dataflow só puderem ter endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos, não use o Python 3.5 com o SDK do Apache Beam 2.20.0-2.22.0. Essa combinação faz com que os jobs falhem na inicialização.

    Dataplex

    Status GA
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dataplex.googleapis.com
    Detalhes

    A API do Dataplex pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Dataplex, consulte a documentação do produto.

    Limitações

    Antes de criar os recursos do Dataplex, configure o perímetro de segurança do VPC Service Controls. Caso contrário, os recursos não terão proteção de perímetro. O Dataplex é compatível com os seguintes tipos de recursos:

    • Lake
    • Verificação do perfil de dados
    • Verificação da qualidade de dados

    Dataproc

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dataproc.googleapis.com
    Detalhes

    O Dataproc exige etapas especiais para proteger usando o VPC Service Controls.

    Para mais informações sobre o Dataproc, consulte a documentação do produto.

    Limitações

    Para proteger um cluster do Dataproc com um perímetro de serviço, siga as instruções de redes do Dataproc e do VPC Service Controls.

    Dataproc Serverless para Spark

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dataproc.googleapis.com
    Detalhes

    O Dataproc Serverless exige etapas especiais para proteção com o VPC Service Controls.

    Para mais informações sobre o Dataproc sem servidor para Spark, consulte documentação do produto.

    Limitações

    Para proteger sua carga de trabalho sem servidor com um perímetro de serviço, siga as Redes sem servidor do Dataproc e do VPC Service Controls instruções.

    Metastore do Dataproc

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço metastore.googleapis.com
    Detalhes

    A API do metastore do Dataproc pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o metastore do Dataproc, consulte a documentação do produto.

    Limitações

    A integração do metastore do Dataproc com o VPC Service Controls não tem limitações conhecidas.

    Datastream

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço datastream.googleapis.com
    Detalhes

    A API do Datastream pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Datastream, consulte a documentação do produto.

    Limitações

    A integração do Datastream com o VPC Service Controls não tem limitações conhecidas.

    Database Migration Service

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço datamigration.googleapis.com
    Detalhes

    A API do Database Migration Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Saiba mais sobre o Database Migration Service na documentação do produto.

    Limitações
    • Os perímetros de serviço protegem apenas a API Database Migration Service Admin. Eles não protegem o acesso a dados com base em IP nos bancos de dados subjacentes, como as instâncias do Cloud SQL. Para restringir o acesso de IPs públicos em instâncias do Cloud SQL, use uma restrição de política da organização.
    • Ao usar um arquivo do Cloud Storage na fase de despejo inicial da migração, adicione o bucket do Cloud Storage ao mesmo perímetro de serviço.
    • Ao usar uma chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês) no banco de dados de destino, verifique se ela está no mesmo perímetro de serviço que o perfil de conexão que contém a chave.

    Dialogflow

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dialogflow.googleapis.com
    Detalhes

    A API do Dialogflow pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

    Para mais informações sobre o Dialogflow, consulte a documentação do produto.

    Limitações

    Proteção de dados confidenciais

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dlp.googleapis.com
    Detalhes

    A API para proteção de dados confidenciais pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre proteção de dados confidenciais, consulte a documentação do produto.

    Limitações
    • Como o VPC Service Controls atualmente não é compatível com recursos de pasta e organização, as chamadas de proteção de dados confidenciais podem retornar uma resposta 403 ao tentar acessar recursos no nível da organização. Recomendamos que o IAM seja usado para gerenciar permissões da proteção de dados confidenciais no nível da pasta e da organização.

    Cloud DNS

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dns.googleapis.com
    Detalhes

    A do API Cloud DNS pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud DNS, consulte a documentação do produto.

    Limitações

    • É possível acessar o Cloud DNS pelo VIP restrito. No entanto, não é possível criar ou atualizar zonas DNS públicas em projetos dentro do perímetro do VPC Service Controls.

    Document AI

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço documentai.googleapis.com
    Detalhes

    A API da Document AI pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a Document AI, consulte a documentação do produto.

    Limitações

    A integração da Document AI com o VPC Service Controls não tem limitações conhecidas.

    Document AI Warehouse

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço contentwarehouse.googleapis.com
    Detalhes

    A API da Document AI Warehouse pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a Document AI Warehouse, consulte a documentação do produto.

    Limitações

    A integração da Document AI Warehouse com o VPC Service Controls não tem limitações conhecidas.

    Cloud Domains

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço domains.googleapis.com
    Detalhes

    A API do Cloud Domains pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Domains, consulte a documentação do produto.

    Limitações

    Eventarc

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço eventarc.googleapis.com
    Detalhes

    Observação: o Eventarc gerencia a entrega de eventos usando tópicos e assinaturas de push do Pub/Sub. Para acessar a API Pub/Sub e gerenciar gatilhos de eventos, a API Eventarc precisa estar protegida no mesmo perímetro de serviço do VPC Service Controls que a API Pub/Sub.

    Para mais informações sobre o Eventarc, consulte a documentação do produto.

    Limitações

    Em projetos protegidos por um perímetro de serviço, as seguintes limitações se aplicam:

    • O Eventarc está vinculado às mesmas limitações do Pub/Sub:
      • Ao rotear eventos para destinos do Cloud Run, não é possível criar novas assinaturas de push do Pub/Sub, a menos que os endpoints de push sejam configurados para serviços do Cloud Run com URLs run.app padrão (domínios personalizados não funcionam).
      • Ao rotear eventos para destinos de fluxo de trabalho para os quais o endpoint de push do Pub/Sub está definido como uma execução de fluxos de trabalho, só é possível criar novas assinaturas de push do Pub/Sub por meio do Eventarc.
      Neste documento, consulte as limitações do Pub/Sub.
    • O VPC Service Controls bloqueia a criação de gatilhos do Eventarc para endpoints HTTP internos. A proteção do VPC Service Controls não se aplica ao roteamento de eventos para esses destinos.

    API Distributed Cloud Edge Network

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço edgenetwork.googleapis.com
    Detalhes

    A API da Distributed Cloud Edge Network pode ser protegida pelo VPC Service Controls e usada normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Distributed Cloud Edge Network, consulte a documentação do produto.

    Limitações

    A integração da API Distributed Cloud Edge Network com o VPC Service Controls não tem limitações conhecidas.

    IA antilavagem de dinheiro

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço financialservices.googleapis.com
    Detalhes

    A API para IA antilavagem de dinheiro pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a IA antilavagem de dinheiro, consulte a documentação do produto.

    Limitações

    A integração da IA antilavagem de dinheiro com o VPC Service Controls não tem limitações conhecidas.

    Firebase App Check

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço firebaseappcheck.googleapis.com
    Detalhes

    Quando você configura e troca tokens do Firebase App Check, o VPC Service Controls protege apenas o serviço do Firebase App Check. Para proteger serviços que dependem do Firebase App Check, configure perímetros de serviço para esses serviços.

    Para mais informações sobre o Firebase App Check, consulte a documentação do produto.

    Limitações

    A integração do Firebase App Check com o VPC Service Controls não tem limitações conhecidas.

    Regras de segurança do Firebase

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço firebaserules.googleapis.com
    Detalhes

    Quando você gerencia as políticas de regras de segurança do Firebase, o VPC Service Controls protege apenas o serviço de regras de segurança do Firebase. Para proteger serviços que dependem das regras de segurança do Firebase, configure permissões de serviço para esses serviços.

    Para mais informações sobre as regras de segurança do Firebase, consulte a documentação do produto.

    Limitações

    A integração das regras de segurança do Firebase com o VPC Service Controls não tem limitações conhecidas.

    Funções do Cloud Run

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudfunctions.googleapis.com
    Detalhes

    Consulte a documentação de funções do Cloud Run para conhecer as etapas de configuração. A proteção do VPC Service Controls não se aplica à fase de criação, quando as funções do Cloud Run são criadas usando o Cloud Build. Para mais detalhes, consulte as limitações conhecidas.

    Para mais informações sobre as funções do Cloud Run, consulte a documentação do produto.

    Limitações
    • As funções do Cloud Run usam o Cloud Build, o Container Registry e o Cloud Storage para criar e gerenciar seu código-fonte em um contêiner executável. Se qualquer um desses serviços é restrito pelo perímetro de serviço, VPC Service Controls bloqueia o build das funções do Cloud Run, mesmo que elas não sejam adicionadas como um serviço restrito ao perímetro. Para usar as funções do Cloud Run em um serviço perímetro, é preciso configurar uma regra de entrada para o Conta de serviço do Cloud Build no perímetro de serviço.

    • Para permitir que suas funções usem dependências externas, como pacotes npm, o Cloud Build tem acesso ilimitado à Internet. Esse acesso à Internet pode ser usado para exfiltrar dados disponíveis no momento da criação, como o código-fonte enviado por upload. Se você quiser reduzir esse vetor de exfiltração, recomendamos permitir que apenas desenvolvedores confiáveis implantem as funções. Não conceder Papéis do IAM de Proprietário, Editor ou Desenvolvedor das funções do Cloud Run para desenvolvedores não confiáveis.

    • Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade para implantar funções do Cloud Run em uma máquina local.

      Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.

    • Quando os serviços de funções do Cloud Run são invocados por gatilhos de HTTP, a aplicação da política do VPC Service Controls não usa as informações de autenticação do IAM do cliente. As regras da política de entrada do VPC Service Controls que usam os principais do IAM não são compatíveis. Os níveis de acesso de perímetros do VPC Service Controls que usam principais do IAM não são compatíveis.

    Identity and Access Management

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço iam.googleapis.com
    Detalhes

    Quando você restringe o IAM com um perímetro, apenas as ações que usam a API IAM são restritas. Essas ações incluem o gerenciamento de papéis personalizados do IAM, o gerenciamento de pools de identidade da carga de trabalho e o gerenciamento de contas e chaves de serviço. O perímetro não restringe as ações dos pools de força de trabalho, porque são recursos no nível da organização.

    O perímetro ao redor do IAM não restringe o gerenciamento de acesso, ou seja, receber ou definir políticas do IAM, para recursos pertencentes a outros serviços, como projetos, pastas e organizações do Resource Manager ou instâncias de máquina virtual do Compute Engine. Para restringir o gerenciamento de acesso a esses recursos, crie um perímetro que restrinja o serviço ao qual os recursos pertencem. Consulte uma lista de recursos que aceitam políticas do IAM e os serviços que os possuem em Tipos de recursos que aceitam políticas do IAM.

    Além disso, o perímetro ao redor do IAM não restringe ações que usam outras APIs, incluindo as seguintes:

    • API IAM Policy Simulator
    • API IAM Policy Troubleshooter
    • API Security Token Service
    • API Service Account Credentials (incluindo os métodos legados signBlob e signJwt na API IAM)

    Para mais informações sobre o Identity and Access Management, consulte a documentação do produto.

    Limitações

    Se você estiver dentro do perímetro, não será possível chamar o método roles.list com uma string vazia para listar papéis predefinidos do IAM. Caso precise visualizar os papéis predefinidos, consulte a documentação de papéis do IAM.

    API Admin do IAP

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço iap.googleapis.com
    Detalhes

    Com a API Admin do IAP, os usuários podem configurar o IAP.

    Para mais informações sobre a API Admin do IAP, consulte a documentação do produto.

    Limitações

    A integração da API Admin do IAP com o VPC Service Controls não tem limitações conhecidas.

    API Cloud KMS Inventory

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço kmsinventory.googleapis.com
    Detalhes

    A API Cloud KMS Inventory API pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Cloud KMS Inventory, consulte a documentação do produto.

    Limitações

    O método da API SearchProtectedResources não impõe restrições de perímetro de serviço em projetos retornados.

    Credenciais da conta de serviço

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço iamcredentials.googleapis.com
    Detalhes

    A API para credenciais de conta de serviço pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre as credenciais da conta de serviço, consulte a documentação do produto.

    Limitações

    A integração das credenciais de conta de serviço com o VPC Service Controls não tem limitações conhecidas.

    API Service Metadata

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloud.googleapis.com
    Detalhes

    A API Service Metadata pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Service Metadata, consulte a documentação do produto.

    Limitações

    A integração da API Service Metadata com o VPC Service Controls não tem limitações conhecidas.

    Acesso VPC sem servidor

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço vpcaccess.googleapis.com
    Detalhes

    A API para acesso VPC sem servidor pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o acesso VPC sem servidor, consulte a documentação do produto.

    Limitações

    A integração do acesso VPC sem servidor com o VPC Service Controls não tem limitações conhecidas.

    Cloud Key Management Service

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudkms.googleapis.com
    Detalhes

    A API Cloud KMS pode ser protegida pelo VPC Service Controls, e o produto pode ser usado dentro de perímetros de serviço. O acesso aos serviços do Cloud HSM também é protegido pelo VPC Service Controls e pode ser usado dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Key Management Service, consulte a documentação do produto.

    Limitações

    A integração do Cloud Key Management Service com VPC Service Controls não tem limitações conhecidas.

    Game Servers

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço gameservices.googleapis.com
    Detalhes

    A API do Game Servers pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Game Servers, consulte a documentação do produto.

    Limitações

    A integração do Game Servers com o VPC Service Controls não tem limitações conhecidas.

    Gemini Code Assist (link em inglês)

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudaicompanion.googleapis.com
    Detalhes

    A API do Gemini Code Assist pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Gemini Code Assist, consulte a documentação do produto.

    Limitações

    O controle de acesso com base no dispositivo, endereço IP público ou local não é aceito pelo Gemini no console do Google Cloud.

    Identity-Aware Proxy para TCP

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço iaptunnel.googleapis.com
    Detalhes

    A API para Identity-Aware Proxy pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Identity-Aware Proxy para TCP, consulte a documentação do produto.

    Limitações
    • Somente a API de uso do IAP para TCP pode ser protegida por um perímetro. A API administrativa não pode ser protegida por um perímetro.

    • Para usar o IAP para TCP em um perímetro de serviço do VPC Service Controls, é preciso adicionar ou configurar algumas entradas de DNS que apontem os seguintes domínios para o VIP restrito:

      • tunnel.cloudproxy.app
      • *.tunnel.cloudproxy.app

    Cloud Life Sciences

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço lifesciences.googleapis.com
    Detalhes

    A API para Cloud Life Sciences pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Life Sciences, consulte a documentação do produto.

    Limitações

    A integração do Cloud Life Sciences com o VPC Service Controls não tem limitações conhecidas.

    Serviço gerenciado para Microsoft Active Directory

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço managedidentities.googleapis.com
    Detalhes

    Configuração extra necessária para:

    Para mais informações sobre o serviço gerenciado para o Microsoft Active Directory, consulte a documentação do produto.

    Limitações

    A integração do serviço gerenciado para o Microsoft Active Directory com o VPC Service Controls não tem limitações conhecidas.

    reCAPTCHA

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço recaptchaenterprise.googleapis.com
    Detalhes

    A API do reCAPTCHA pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o reCAPTCHA, consulte a documentação do produto.

    Limitações

    A integração do reCAPTCHA com o VPC Service Controls não tem limitações conhecidas.

    Web Risk

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço webrisk.googleapis.com
    Detalhes

    A API do Web Risk pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Web Risk, consulte a documentação do produto.

    Limitações

    A API Evaluate e a API Submission não são compatíveis com o VPC Service Controls.

    Recomendador

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço recommender.googleapis.com
    Detalhes

    A API do Recomendador pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Recomendador, consulte a documentação do produto.

    Limitações

    • O VPC Service Controls não é compatível com recursos de organização, pasta ou conta de faturamento.

    Secret Manager

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço secretmanager.googleapis.com
    Detalhes

    A API do Secret Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Secret Manager, consulte a documentação do produto.

    Limitações

    A integração do Secret Manager com o VPC Service Controls não tem limitações conhecidas.

    Pub/Sub

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço pubsub.googleapis.com
    Detalhes

    A proteção do VPC Service Controls se aplica a todas as operações de administrador, operações de editor e operações de assinante (exceto para assinaturas de push).

    Para mais informações sobre o Pub/Sub, consulte a documentação do produto.

    Limitações

    Em projetos protegidos por um perímetro de serviço, as seguintes limitações se aplicam:

    • Não é possível criar novas assinaturas de push, a menos que os endpoints de push estejam configurados para serviços do Cloud Run com URLs run.app padrão ou uma execução de fluxos de trabalho (domínios personalizados não funcionam). Para mais informações sobre a integração com o Cloud Run, consulte Como usar o VPC Service Controls.
    • Para assinaturas que não são de push, é preciso criar uma assinatura no mesmo perímetro que ou ativar regras de saída para permitir o acesso do tópico à assinatura.
    • Ao rotear eventos pelo Eventarc para destinos do Workflows em que o endpoint de push está definido como uma execução do Workflows, só é possível criar novas assinaturas de push pelo Eventarc.
    • As assinaturas do Pub/Sub criadas antes do perímetro de serviço não está bloqueado.

    Pub/Sub Lite

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço pubsublite.googleapis.com
    Detalhes

    A proteção do VPC Service Controls se aplica a todas as operações do assinante.

    Para mais informações sobre o Pub/Sub Lite, consulte a documentação do produto.

    Limitações

    A integração do Pub/Sub Lite com o VPC Service Controls não tem limitações conhecidas.

    Cloud Build

    Status Disponibilidade geral. Esta integração de produtos é compatível com o VPC Service Controls. Consulte detalhes e limitações para obter mais informações.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudbuild.googleapis.com
    Detalhes

    Use o VPC Service Controls com pools particulares do Cloud Build para aumentar a segurança das suas compilações.

    Para mais informações sobre o Cloud Build, consulte a documentação do produto.

    Limitações

    Cloud Deploy

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço clouddeploy.googleapis.com
    Detalhes

    A API do Cloud Deploy pode ser protegida pelo VPC Service Controls e o produto é usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Deploy, consulte a documentação do produto.

    Limitações

    Para usar o Cloud Deploy em um perímetro, você precisa usar um pool privado do Cloud Build para os ambientes de execução de destino. Não use o pool de workers padrão do Cloud Build e nem um pool híbrido.

    Cloud Composer

    Status GA
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço composer.googleapis.com
    Detalhes

    Como configurar o Composer para uso com o VPC Service Controls

    Para mais informações sobre o Cloud Composer, consulte a documentação do produto.

    Limitações

    • A ativação da serialização do DAG impede que o Airflow exiba um modelo renderizado com funções na IU da Web.

    • A definição da sinalização async_dagbag_loader como True não é permitida com a serialização do DAG ativada.

    • A ativação da serialização do DAG desativa todos os plug-ins do servidor da Web do Airflow, porque eles podem prejudicar a segurança da rede VPC em que o Cloud Composer está implantado. Isso não afeta o comportamento dos plug-ins do programador ou do worker, incluindo os operadores e sensores do Airflow.

    • Quando o Cloud Composer está sendo executado em um perímetro, o acesso a repositórios PyPI públicos é restrito. Na documentação do Cloud Composer, consulte Como instalar dependências do Python para saber como instalar os módulos do PyPi no modo de IP particular.

    Cotas do Cloud

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudquotas.googleapis.com
    Detalhes

    A API para cotas do Cloud pode ser protegida pelo VPC Service Controls, e o produto pode ser normalmente dentro de perímetros de serviço.

    Para mais informações sobre as cotas do Cloud, consulte a documentação do produto.

    Limitações
    • Como o VPC Service Controls aplica limites no nível do projeto, as solicitações de cotas do Cloud originadas de clientes dentro do perímetro só poderão acessar os recursos da organização se a organização configurar uma regra de saída.
    • Ao solicitar uma redução de cota, o Cloud Quotas executa uma chamada de serviço para serviço (S2S) para o Monitoring.

      Essa chamada S2S não se origina no perímetro, mesmo que Nesse caso, ela será bloqueada pelo VPC Service Controls.

      Para evitar esse problema, você pode:

    Para configurar uma regra de entrada ou saída, consulte as instruções do VPC Service Controls para configurar políticas de entrada e saída.

    Cloud Run

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço run.googleapis.com
    Detalhes É necessário ter uma configuração adicional para o Cloud Run. Siga as instruções na página de documentação do VPC Service Controls.

    Para mais informações sobre o Cloud Run, consulte a documentação do produto.

    Limitações
    • No Artifact Registry e no Container Registry, o registro em que você armazena o contêiner precisa estar no mesmo perímetro do VPC Service Controls que o projeto em que você está implantando. O código que está sendo criado precisa estar no mesmo perímetro do VPC Service Controls que o registro para o qual o contêiner está sendo enviado.
    • O recurso de implantação contínua do Cloud Run não está disponível para projetos dentro de um perímetro do VPC Service Controls.
    • Quando os serviços do Cloud Run são invocados, a aplicação da política do VPC Service Controls não usa as informações de autenticação do IAM do cliente. Essas solicitações têm as seguintes limitações:
      • Regras da política de entrada do VPC Service Controls que usam o IAM principais não são compatíveis.
      • Não há suporte aos níveis de acesso de perímetros do VPC Service Controls que usam principais do IAM.
    • A aplicação da política de saída do VPC Service Controls só é garantida ao usar o endereço IP virtual (VIP) restrito.
    • As solicitações do mesmo projeto em VIPs não restritos são permitidas, mesmo que O Cloud Run não está configurado como um Serviço acessível pela VPC:

    Cloud Scheduler

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudscheduler.googleapis.com
    Detalhes O VPC Service Controls é aplicado nas ações a seguir:
    • Criação de job do Cloud Scheduler
    • Atualizações de jobs do Cloud Scheduler

    Para mais informações sobre o Cloud Scheduler, consulte a documentação do produto.

    Limitações
    O VPC Service Controls é compatível apenas com jobs do Cloud Scheduler apenas nos seguintes destinos:
    • Endpoints functions.net das funções do Cloud Run
    • Endpoints run.app do Cloud Run
    • API Dataflow (precisa estar no mesmo projeto do Google Cloud que o job do Cloud Scheduler)
    • Data pipelines (precisam estar no mesmo projeto do Google Cloud que o job do Cloud Scheduler)
    • Pub/Sub (precisa estar no mesmo projeto do Google Cloud que o job do Cloud Scheduler)

    Spanner

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço spanner.googleapis.com
    Detalhes

    A API do Spanner pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Spanner, consulte a documentação do produto.

    Limitações

    A integração do Spanner com o VPC Service Controls não tem limitações conhecidas.

    Speaker ID

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço speakerid.googleapis.com
    Detalhes

    A API do Speaker ID pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Speaker ID, consulte a documentação do produto.

    Limitações

    A integração do Speaker ID com o VPC Service Controls não tem limitações conhecidas.

    Cloud Storage

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço storage.googleapis.com
    Detalhes

    A API do Cloud Storage pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Storage, consulte a documentação do produto.

    Limitações
    • Ao usar o recurso Pagamentos do solicitante com um bucket de armazenamento dentro de um perímetro de serviço que protege o serviço do Cloud Storage, não é possível identificar um projeto para pagar fora do perímetro. O projeto de destino precisa estar no mesmo perímetro do bucket de armazenamento ou em uma ponte do perímetro com o projeto do bucket.

      Para mais informações sobre Pagamentos do solicitante, consulte os Requisitos de uso e acesso de Pagamentos do solicitante.

    • Para projetos em um perímetro de serviço, a página do Cloud Storage no console do Google Cloud não ficará acessível se a API Cloud Storage estiver protegida por esse perímetro. Se você quiser conceder acesso à página, crie uma regra de entrada e/ou um nível de acesso que inclua as contas de usuário e/ou o intervalo de IPs públicos a que você quer permitir o acesso à API Storage do Cloud.

    • Nos registros de auditoria, o campo resourceName não identifica o projeto a que o bucket pertence. O projeto precisa ser descoberto separadamente.

    • Nos registros de auditoria, o valor de methodName nem sempre está correto. Recomendamos não filtrar registros de auditoria do Cloud Storage por methodName.

    • Em certos casos, os registros de buckets legados do Cloud Storage podem ser gravados em destinos fora de um perímetro de serviço, mesmo quando o acesso é negado.

    • Em alguns casos, os objetos do Cloud Storage que eram públicos podem ser acessados mesmo depois que você ativa o VPC Service Controls nos objetos. Os objetos ficam acessíveis até que expirem dos caches integrados e quaisquer outros caches upstream na rede entre o usuário final e o Cloud Storage. O Cloud Storage armazena em cache dados acessíveis publicamente por padrão na rede do Cloud Storage. Para mais informações sobre como os objetos do Cloud Storage são armazenados em cache, consulte Cloud Storage. Para informações sobre o tempo que um objeto pode permanecer armazenado em cache, consulte Metadados de controle de cache.
    • Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Cloud Storage que usam URLs assinados.

      Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.

    • Os URLs assinados são compatíveis com o VPC Service Controls.

      O VPC Service Controls usa as credenciais de assinatura do usuário ou da conta de serviço que assinou o URL assinado para avaliar as verificações do VPC Service Controls, não o autor da chamada ou do usuário que iniciou a conexão.

    Cloud Tasks

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudtasks.googleapis.com
    Detalhes

    A API do Cloud Tasks pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    As solicitações HTTP das execuções do Cloud Tasks são compatíveis da seguinte maneira:

    • São permitidas solicitações autenticadas para funções do Cloud Run e endpoints do Cloud Run compatíveis com o VPC Service Controls.
    • As solicitações para funções que não são do Cloud Run e endpoints que não são do Cloud Run estão bloqueadas.
    • As solicitações para funções do Cloud Run e endpoints do Cloud Run que não são compatíveis com o VPC Service Controls são bloqueadas.

    Para mais informações sobre o Cloud Tasks, consulte a documentação do produto.

    Limitações
    O VPC Service Controls só é compatível com solicitações do Cloud Tasks para os seguintes objetivos:
    • Endpoints functions.net do Cloud Run functions
    • Endpoints run.app do Cloud Run

    Cloud SQL

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço sqladmin.googleapis.com
    Detalhes

    Os perímetros do VPC Service Controls protegem a API Cloud SQL Admin.

    Para mais informações sobre o Cloud SQL, consulte a documentação do produto.

    Limitações

    • Os perímetros de serviço protegem apenas a API Cloud SQL Admin. Eles não protegem o acesso a dados com base em IP nas instâncias do Cloud SQL. Você precisa usar uma restrição de política da organização para restringir o acesso ao IP público nas instâncias do Cloud SQL.
    • Antes de configurar o VPC Service Controls para o Cloud SQL, ative a API Service Networking.
    • As importações e exportações do Cloud SQL só podem executar leituras e gravações de um bucket do Cloud Storage no mesmo perímetro de serviço da instância de réplica do Cloud SQL.

    • No fluxo de migração do servidor externo, você precisa adicionar o bucket do Cloud Storage ao mesmo perímetro de serviço.
    • No fluxo de criação de chaves para a CMEK, você precisa criar a chave no mesmo perímetro de serviço dos recursos que a utilizam.
    • Durante a restauração de uma instância de um backup, a instância de destino precisa estar no mesmo perímetro de serviço que o backup.

    API Video Intelligence

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço videointelligence.googleapis.com
    Detalhes

    A API Video Intelligence pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Video Intelligence, consulte a documentação do produto.

    Limitações

    A integração da API Video Intelligence com o VPC Service Controls não tem limitações conhecidas.

    API Cloud Vision

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço vision.googleapis.com
    Detalhes

    A API Cloud Vision pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Cloud Vision, consulte a documentação do produto.

    Limitações
    Mesmo que você crie uma regra de saída para permitir chamadas para URLs públicos de perímetros do VPC Service Controls, a API Cloud Vision bloqueia chamadas para URLs públicos.

    Artifact Analysis

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço containeranalysis.googleapis.com
    Detalhes

    Para usar o Artifact Analysis com o VPC Service Controls, talvez seja necessário adicionar outros serviços ao perímetro do VPC:

    Como a API Container Scanning não tem superfície e armazena os resultados no Artifact Analysis, você não precisa protegê-la com um perímetro de serviço.

    Para mais informações sobre o Artifact Analysis, consulte a documentação do produto.

    Limitações

    A integração do Artifact Analysis com VPC Service Controls não tem limitações conhecidas.

    Container Registry

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço containerregistry.googleapis.com
    Detalhes

    Além de proteger a API Container Registry, O Container Registry pode ser usado dentro de um perímetro de serviço com GKE e Compute Engine.

    Para mais informações sobre o Container Registry, consulte a documentação do produto.

    Limitações

    • Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Container Registry.

      Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.

    • Como o Container Registry usa o domínio gcr.io, configure o DNS para que *.gcr.io mapeie para private.googleapis.com ou restricted.googleapis.com. Para mais informações, consulte Como proteger o Container Registry em um perímetro de serviço.

    • Além dos contêineres dentro de um perímetro que estão disponíveis para o Container Registry, os seguintes repositórios somente de leitura estão disponíveis para todos os projetos, seja qual for a restrição aplicada pelos perímetros de serviço:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      Em todos os casos, as versões multirregionais desses repositórios também estão disponíveis.

    Google Kubernetes Engine

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço container.googleapis.com
    Detalhes

    A API do Google Kubernetes Engine pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Google Kubernetes Engine, consulte a documentação do produto.

    Limitações

    • Para proteger totalmente a API Google Kubernetes Engine, você também precisa incluir a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.
    • Somente clusters particulares podem ser protegidos usando o VPC Service Controls. Os clusters com endereços IP públicos não são compatíveis com o VPC Service Controls.
    • O escalonamento automático funciona independentemente do GKE. Como o VPC Service Controls não é compatível com autoscaling.googleapis.com, o escalonamento automático não funciona. Ao usar o GKE, é possível ignorar a violação SERVICE_NOT_ALLOWED_FROM_VPC nos registros de auditoria causados devido ao serviço autoscaling.googleapis.com.

    API Container Security

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço containersecurity.googleapis.com
    Detalhes

    A API da API Container Security pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Container Security, consulte a documentação do produto.

    Limitações

    A integração da API Container Security com o VPC Service Controls não tem limitações conhecidas.

    Streaming de imagens

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço containerfilesystem.googleapis.com
    Detalhes

    O streaming de imagens é um recurso de streaming de dados do GKE que fornece tempos de extração de imagem de contêiner menores para imagens armazenadas no Artifact Registry. Caso o VPC Service Controls proteja suas imagens de contêiner e você use o streaming de imagens, inclua também a API Image Streaming no perímetro de serviço.

    Para mais informações sobre o streaming de imagens, consulte a documentação do produto.

    Limitações

    • Os seguintes repositórios somente leitura estão disponíveis para todos os projetos, independentemente das restrições aplicadas pelos perímetros de serviço:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

    Frotas

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço gkeconnect.googleapis.com,
    gkehub.googleapis.com,
    connectgateway.googleapis.com
    Detalhes

    As APIs de gerenciamento de frota, incluindo o gateway de conexão, podem ser protegidas com o VPC Service Controls, e os recursos de gerenciamento de frotas podem ser usados normalmente dentro de perímetros de serviço. Para ver mais informações, consulte os seguintes tópicos:

    Para mais informações sobre frotas, consulte a documentação do produto.

    Limitações

    • Embora todos os recursos de gerenciamento de frota possam ser usados normalmente, a ativação de um perímetro de serviço em torno da API Stackdriver impede a integração do recurso de frota do Policy Controller com o Security Command Center.

    Resource Manager

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudresourcemanager.googleapis.com
    Detalhes

    Os seguintes métodos da API Cloud Resource Manager podem ser protegidos pelo VPC Service Controls:

    Para mais informações sobre o Resource Manager, consulte a documentação do produto.

    Limitações

    • Usando o VPC Service Controls, só é possível proteger as chaves de tag subordinadas a um recurso do projeto e os valores de tag correspondentes. Quando um projeto é adicionado a um perímetro do VPC Service Controls, todas as chaves de tag e os valores de tag correspondentes no projeto são considerados recursos dentro do perímetro.
    • As chaves de tag subordinadas a um recurso da organização e os valores de tag correspondentes não podem ser incluídos em um perímetro do VPC Service Controls e não podem ser protegidos usando o VPC Service Controls.
    • Os clientes dentro de um perímetro do VPC Service Controls não podem acessar chaves de tag e valores correspondentes subordinados a um recurso da organização, a menos que uma regra de saída que permita acesso esteja definida no perímetro. Consulte mais informações sobre como definir regras de saída em Regras de entrada e saída.
    • As vinculações de tag são consideradas recursos dentro do mesmo perímetro do recurso a que o valor da tag está vinculado. Por exemplo, as vinculações de tag em uma instância do Compute Engine em um projeto são consideradas pertencentes a esse projeto, independentemente de onde a chave de tag está definida.
    • Alguns serviços, como o Compute Engine, permitem criar vinculações de tag usando as próprias APIs de serviço, além das APIs de serviço do Resource Manager. Por exemplo, adicionar tags a uma VM do Compute Engine durante a criação do recurso. Para proteger as vinculações de tag criadas ou excluídas usando essas APIs de serviço, adicione o serviço correspondente, como compute.googleapis.com, à lista de serviços restritos no perímetro.
    • As tags são compatíveis com restrições no nível do método. Assim, é possível definir o escopo do method_selectors para métodos específicos da API. Consulte uma lista de métodos restritos em Restrições de método de serviço compatíveis.
    • A atribuição do papel de proprietário em um projeto pelo console do Google Cloud agora é compatível com o VPC Service Controls. Não é possível enviar um convite de proprietário nem aceitar convites fora dos perímetros de serviço. Se tentar aceitar um convite de fora do perímetro, você não vai receber o papel de proprietário e não haverá nenhum erro ou mensagem de aviso exibida.

    Cloud Logging

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço logging.googleapis.com
    Detalhes

    A do API Cloud Logging pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Logging, consulte a documentação do produto.

    Limitações
    • Os coletores de registro agregados (coletores de pastas ou organizações em que includeChildren é true) podem acessar dados de projetos dentro de um perímetro de serviço. Para impedir que coletores de registros agregados acessem dados em um perímetro, recomendamos usar o IAM para gerenciar as permissões do Logging nos coletores de registros agregados no nível da pasta ou da organização.

    • O VPC Service Controls não é compatível com a adição de recursos de pasta ou organização a perímetros de serviço. Portanto, não é possível usar o VPC Service Controls para proteger os registros no nível da pasta e da organização, incluindo registros agregados. Para gerenciar as permissões do Logging no nível da pasta ou da organização, recomendamos o uso do IAM.

    • Se você encaminhar registros, usando um coletor de registros no nível da organização ou da pasta, para um recurso protegido por um perímetro de serviço, será necessário adicionar uma regra de entrada ao perímetro de serviço. A regra de entrada precisa permitir o acesso ao recurso da conta de serviço que o coletor de registros usa. Essa etapa não é necessária para coletores no nível do projeto.

      Para mais informações, consulte as páginas a seguir:

    • Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade para exportar registros de um coletor do Cloud Logging para um recurso do Cloud Storage.

      Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.

    Gerenciador de certificados

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço certificatemanager.googleapis.com
    Detalhes

    A API do Gerenciador de certificados pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Gerenciador de certificados, consulte a documentação do produto.

    Limitações

    A integração do Gerenciador de certificados com o VPC Service Controls não tem limitações conhecidas.

    Cloud Monitoring

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço monitoring.googleapis.com
    Detalhes

    A API do Cloud Monitoring pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Monitoring, consulte a documentação do produto.

    Limitações
    • Canais de notificação, políticas de alertas e métricas personalizadas podem ser usados juntos para exfiltrar dados ou metadados. Atualmente, um usuário do Monitoring pode configurar um canal de notificação que aponta para uma entidade fora da organização, por exemplo, "baduser@badcompany.com". Em seguida, o usuário configura métricas personalizadas e políticas de alertas correspondentes que utilizam o canal de notificação. Desse modo, ao manipular as métricas personalizadas, o usuário pode acionar alertas e enviar notificações de disparo de alertas, exfiltrando dados confidenciais para baduser@badcompany.com, fora do perímetro do VPC Service Controls.

    • As VMs do Compute Engine ou da AWS com o Agente do Monitoring instalado precisam estar dentro do perímetro do VPC Service Controls, senão as gravações de métricas do agente falharão.

    • Todos os pods do GKE precisam estar dentro do perímetro do VPC Service Controls, senão o GKE Monitoring não funcionará.

    • Nas consultas de um escopo de métricas, apenas o perímetro do VPC Service Controls do projeto de escopo do escopo da métrica é considerado. Os perímetros dos projetos individuais monitorados no escopo de métricas não são considerados.

    • Um projeto só pode ser adicionado como um projeto monitorado a um escopo de métricas existente se esse projeto estiver no mesmo perímetro do VPC Service Controls que o projeto de escopo do escopo de métricas.

    • Para acessar o Monitoring no console do Google Cloud para um projeto host protegido por um perímetro de serviço, use uma regra de entrada.

    Cloud Profiler

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudprofiler.googleapis.com
    Detalhes

    A API do Cloud Profiler pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Profiler, consulte a documentação do produto.

    Limitações

    A integração do Cloud Profiler com o VPC Service Controls não tem limitações conhecidas.

    API Timeseries Insights

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço timeseriesinsights.googleapis.com
    Detalhes

    A API Timeseries Insights pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API TimeSeries Insights, consulte a documentação do produto.

    Limitações

    A integração da API Timeseries Insights com o VPC Service Controls não tem limitações conhecidas.

    Cloud Trace

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudtrace.googleapis.com
    Detalhes

    A do API Cloud Trace pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Trace, consulte a documentação do produto.

    Limitações

    A integração do Cloud Trace com o VPC Service Controls não tem limitações conhecidas.

    Cloud TPU

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço tpu.googleapis.com
    Detalhes

    A API do Cloud TPU pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud TPU, consulte a documentação do produto.

    Limitações

    A integração do Cloud TPU com o VPC Service Controls não tem limitações conhecidas.

    API Natural Language

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço language.googleapis.com
    Detalhes

    Para mais informações sobre a API Natural Language, consulte a documentação do produto.

    Limitações

    Como a API Natural Language é uma API sem estado e não é executada em projetos, o uso do VPC Service Controls para protegê-la não tem efeito.

    Network Connectivity Center

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço networkconnectivity.googleapis.com
    Detalhes

    A API do Network Connectivity Center pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Network Connectivity Center, consulte a documentação do produto.

    Limitações

    A integração do Network Connectivity Center com o VPC Service Controls não tem limitações conhecidas.

    API Cloud Asset

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudasset.googleapis.com
    Detalhes

    A API Cloud Asset pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Cloud Asset, consulte a documentação do produto.

    Limitações

    • O VPC Service Controls não é compatível com acesso a recursos da API Cloud Asset no nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. O VPC Service Controls protege os recursos da API Cloud Asset no nível do projeto. É possível especificar uma política de saída para impedir o acesso a recursos da API Cloud Asset no nível do projeto em projetos dentro do perímetro.
    • O VPC Service Controls não é compatível com a adição de recursos da API Cloud Asset no nível da pasta ou da organização a um perímetro de serviço. Não é possível usar um perímetro para proteger os recursos da API Cloud Asset no nível da pasta ou da organização. Para gerenciar as permissões do Cloud Asset Inventory no nível da pasta ou da organização, recomendamos o uso do IAM.

    Speech-to-Text

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço speech.googleapis.com
    Detalhes

    A API do Speech-to-Text pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Speech-to-Text, consulte a documentação do produto.

    Limitações

    A integração do Speech-to-Text com o VPC Service Controls não tem limitações conhecidas.

    Text-to-Speech

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço texttospeech.googleapis.com
    Detalhes

    A API do Text-to-Speech pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Text-to-Speech, consulte a documentação do produto.

    Limitações

    A integração do Text-to-Speech com o VPC Service Controls não tem limitações conhecidas.

    Tradução

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço translate.googleapis.com
    Detalhes

    A API do Translation pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Translation, consulte a documentação do produto.

    Limitações

    O Cloud Translation - Advanced (v3) é compatível com o VPC Service Controls, mas não com o Cloud Translation - Basic (v2). Para aplicar o VPC Service Controls, é necessário usar a versão Advanced do Cloud Translation (v3). Para mais informações sobre as diferentes edições, consulte Comparar as edições Basic e Advanced.

    API Live Stream

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço livestream.googleapis.com
    Detalhes

    Use o VPC Service Controls com a API Live Stream para proteger seu pipeline.

    Para mais informações sobre a API Live Stream, consulte a documentação do produto.

    Limitações

    Para proteger os endpoints de entrada com um perímetro de serviço, siga as instruções para configurar um pool particular e enviar streams de vídeo de entrada por uma conexão particular.

    API Transcoder

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço transcoder.googleapis.com
    Detalhes

    A API Transcoder pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

    Para mais informações sobre a API Transcoder, consulte a documentação do produto.

    Limitações

    A integração da API Transcoder com o VPC Service Controls não tem limitações conhecidas.

    API Video Stitcher

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço videostitcher.googleapis.com
    Detalhes

    A API Video Stitcher pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Video Stitcher, consulte a documentação do produto.

    Limitações

    A integração da API Video Stitcher com o VPC Service Controls não tem limitações conhecidas.

    Access Approval

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço accessapproval.googleapis.com
    Detalhes

    A API do Access Approval pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Access Approval, consulte a documentação do produto.

    Limitações

    A integração do Access Approval com o VPC Service Controls não tem limitações conhecidas.

    API Cloud Healthcare

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço healthcare.googleapis.com
    Detalhes

    A API Cloud Healthcare pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Cloud Healthcare, consulte a documentação do produto.

    Limitações

    O VPC Service Controls não é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK) na API Cloud Healthcare.

    Serviço de transferência do Cloud Storage

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço storagetransfer.googleapis.com
    Detalhes

    Recomendamos colocar o projeto do Serviço de transferência do Cloud Storage no mesmo perímetro de serviço que os recursos do Cloud Storage. Isso protege a transferência e o recursos do Cloud Storage. O Serviço de transferência do Cloud Storage também aceita cenários em que o projeto dele não esteja no mesmo perímetro dos buckets do Cloud Storage usando uma política de saída.

    Para informações de configuração, consulte Como usar o serviço de transferência do Cloud Storage com VPC Service Controls

    Serviço de transferência de dados locais

    Consulte Como usar a transferência local com VPC Service Controls para ver detalhes e informações de configuração da transferência local.

    Para mais informações sobre o serviço de transferência do Cloud Storage, consulte a documentação do produto.

    Limitações
    A integração do Serviço de transferência do Cloud Storage com o VPC Service Controls não tem limitações conhecidas.

    Service Control

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço servicecontrol.googleapis.com
    Detalhes

    A API do Service Control pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Service Control, consulte a documentação do produto.

    Limitações

    • Quando você chama a API Service Control de uma rede VPC em um perímetro de serviço com o Service Control restrito para gerar relatórios de métricas de faturamento ou análises, só é possível usar o método Relatório do Service Control para gerar relatórios de métricas para serviços compatíveis com o VPC Service Controls.

    Memorystore para Redis

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço redis.googleapis.com
    Detalhes

    A API do Memorystore for Redis pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Memorystore para Redis, consulte a documentação do produto.

    Limitações

    • Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Redis dentro da mesma rede.

    • Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Redis só poderão ler e gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da instância do Memorystore for Redis.

    • Ao usar a VPC compartilhada e o VPC Service Controls, é necessário que você tenha o projeto host que fornece a rede e o projeto de serviço que contém a instância do Redis dentro do mesmo perímetro para que as solicitações do Redis sejam bem-sucedidas. A qualquer momento, separar o projeto host e o de serviço com um perímetro pode causar uma falha na instância do Redis, além das solicitações bloqueadas. Para mais informações, consulte os requisitos de configuração do Memorystore para Redis.

    Memorystore para Memcached

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço memcache.googleapis.com
    Detalhes

    A API Memorystore for Memcached pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

    Para mais informações sobre a Memorystore for Memcached, consulte a documentação do produto.

    Limitações

    • Os perímetros de serviço protegem apenas a API Memorystore for Memcached. Os perímetros não protegem o acesso normal aos dados em instâncias da Memorystore for Memcached dentro da mesma rede.

    Diretório de serviços

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço servicedirectory.googleapis.com
    Detalhes

    A API do Diretório de serviços pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Diretório de serviços, consulte a documentação do produto.

    Limitações

    A integração do Diretório de serviços com o VPC Service Controls não tem limitações conhecidas.

    Visual Inspection AI

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço visualinspection.googleapis.com
    Detalhes

    Para proteger totalmente a Visual Inspection AI, inclua todas as seguintes APIs no perímetro:

    • API Visual Inspection AI (visualinspection.googleapis.com)
    • API Vertex AI (aiplatform.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Artifact Registry (artifactregistry.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)

    Para mais informações sobre o Visual Inspection AI, consulte a documentação do produto.

    Limitações

    A integração da Visual Inspection AI com o VPC Service Controls não tem limitações conhecidas.

    Transfer Appliance

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Não. A API do Transfer Appliance não pode ser protegida por perímetros de serviço. No entanto, o Transfer Appliance pode ser usado normalmente em projetos dentro de um perímetro.
    Detalhes

    O Transfer Appliance é totalmente compatível com projetos que usam VPC Service Controls.

    O Transfer Appliance não oferece uma API e, portanto, não é compatível com recursos relacionados à API no VPC Service Controls.

    Para mais informações sobre o Transfer Appliance, consulte a documentação do produto.

    Limitações

    • Quando o Cloud Storage é protegido pelo VPC Service Controls, a chave do Cloud KMS que você compartilha com a equipe do Transfer Appliance precisa estar no mesmo projeto que o bucket do Cloud Storage de destino.

    Organization Policy Service

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço orgpolicy.googleapis.com
    Detalhes

    A API do Organization Policy Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Organization Policy Service, consulte a documentação do produto.

    Limitações

    O VPC Service Controls não aceita restrições de acesso a políticas da organização no nível da pasta ou da organização que são herdadas pelo projeto. O VPC Service Controls protege os recursos da API Service Policy Service para envolvidos no projeto.

    Por exemplo, se uma regra de entrada restringir o acesso de um usuário à API Organization Policy Service, esse usuário receberá um erro 403 ao consultar as políticas da organização aplicadas ao projeto. Mas o usuário ainda pode acessar as políticas da organização da pasta e da organização que contém o projeto.

    Login do SO

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço oslogin.googleapis.com
    Detalhes

    É possível chamar a API OS Login de dentro dos perímetros do VPC Service Controls. Para gerenciar o login do SO nos perímetros do VPC Service Controls, configure o login do SO.

    As conexões SSH com instâncias de VM não são protegidas pelo VPC Service Controls.

    Para mais informações sobre o login do SO, consulte a documentação do produto.

    Limitações

    Os métodos de Login do SO para ler e gravar chaves SSH não aplicam os perímetros do VPC Service Controls. Use os serviços acessíveis pelo VPC para desativar o acesso às APIs OS Login.

    Integridade do serviço personalizado

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço servicehealth.googleapis.com
    Detalhes

    A API para a integridade do serviço personalizado pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Personalized Service Health, consulte a documentação do produto.

    Limitações

    O VPC Service Controls não oferece suporte aos recursos OrganizationEvents e OrganizationImpacts da API Service Health. Portanto, as verificações de política do VPC Service Controls não vão ocorrer quando você chamar os métodos para esses recursos. No entanto, é possível chamar os métodos de um perímetro de serviço usando um VIP restrito.

    VM Manager

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço osconfig.googleapis.com
    Detalhes

    É possível chamar a API OS Config de dentro dos perímetros do VPC Service Controls. Para usar o VM Manager a partir de perímetros do VPC Service Controls, configure o VM Manager.

    Para mais informações sobre o VM Manager, consulte a documentação do produto.

    Limitações
    Para proteger totalmente o VM Manager, é preciso incluir todas as seguintes APIs no seu perímetro:
    • API Config do SO (osconfig.googleapis.com)
    • API Compute Engine (compute.googleapis.com)
    • API Artifact Analysis (containeranalysis.googleapis.com)
    O VM Manager não hospeda conteúdo de pacotes e patches. O Gerenciamento de correções do SO usa as ferramentas de atualização do sistema operacional que exigem que as atualizações e os patches de pacotes sejam recuperáveis na VM. Para que o patch funcione, talvez seja necessário usar o Cloud NAT ou hospedar seu próprio repositório de pacotes ou o serviço de atualização do Windows Server na sua nuvem privada virtual.

    Workflows

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço workflows.googleapis.com
    Detalhes

    O Workflows é uma plataforma de orquestração que pode combinar serviços baseados no Google Cloud e APIs baseadas em HTTP para executar serviços na ordem que você definir.

    Quando você protege a API Workflows usando um perímetro de serviço, a API Workflow Executions também é protegida. Não é necessário adicionar workflowexecutions.googleapis.com separadamente à lista de serviços protegidos do seu perímetro.

    As solicitações HTTP de uma execução de fluxos de trabalho são compatíveis da seguinte maneira:

    • São permitidas solicitações autenticadas para os endpoints do Google Cloud compatíveis com o VPC Service Controls.
    • As solicitações para funções e endpoints de serviço do Cloud Run são permitidas.
    • As solicitações para endpoints de terceiros são bloqueadas.
    • As solicitações para endpoints do Google Cloud não compatíveis com o VPC Service Controls são bloqueadas.

    Para mais informações sobre consulte a documentação do produto.

    Limitações

    A integração do workflows com o VPC Service Controls não tem limitações conhecidas.

    Filestore

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço file.googleapis.com
    Detalhes

    A API do Filestore pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Filestore, consulte a documentação do produto.

    Limitações

    • Os perímetros de serviço protegem apenas a API Filestore. Os perímetros não protegem o acesso normal a dados NFS em instâncias do Filestore na mesma rede.

    • Ao usar a VPC compartilhada e o VPC Service Controls, o projeto host que fornece a rede e o projeto de serviço que contém a instância do Filestore precisam estar dentro do mesmo perímetro para que essa instância funcione corretamente. Separar o projeto host e o projeto de serviço com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e impedir a criação de novas instâncias.

    Parallelstore

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço parallelstore.googleapis.com
    Detalhes

    Para mais informações sobre o Parallelstore, consulte a documentação do produto.

    Limitações

    • Se você usa a VPC compartilhada e o VPC Service Controls, precisa ter o host que fornece a rede e o projeto de serviço que contém a Instância do Parallelstore dentro do mesmo perímetro para o Parallelstore para funcionar corretamente. Como separar o projeto host e o projeto de serviço com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e pode não criar novas instâncias.

    Container Threat Detection

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço containerthreatdetection.googleapis.com
    Detalhes

    A API do Container Threat Detection pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Container Threat Detection, consulte a documentação do produto.

    Limitações

    A integração do Container Threat Detection com o VPC Service Controls não tem limitações conhecidas.

    Ads Data Hub

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço adsdatahub.googleapis.com
    Detalhes

    Para mais informações sobre o Ads Data Hub, consulte a documentação do produto.

    Limitações

    O Ads Data Hub e o VPC Service Controls estão sujeitos a termos de serviço diferentes. Veja os termos de cada produto para mais detalhes.

    Certos recursos do Ads Data Hub, como a ativação do público-alvo personalizado, lances personalizados e tabelas de correspondência do LiveRamp, exigem que alguns dados do usuário sejam exportados fora do perímetro do VPC Service Controls. Se o Ads Data Hub for adicionado como um serviço restrito, ele ignorará as políticas do VPC Service Controls para esses recursos para manter a funcionalidade.

    Todos os serviços dependentes precisam ser incluídos como serviços permitidos no mesmo perímetro do VPC Service Controls. Por exemplo, como o Ads Data Hub depende do BigQuery, o BigQuery também precisa ser adicionado. Em geral, as práticas recomendadas do VPC Service Controls aconselham incluir todos os serviços no perímetro, ou seja, "restringir todos os serviços".

    Os clientes com estruturas de contas do Ads Data Hub de várias camadas (como agências com subsidiárias) precisam ter todos os seus projetos de administrador no mesmo perímetro. Para simplificar, o Ads Data Hub recomenda que os clientes com estruturas de contas de várias camadas restrinjam os projetos de administração à mesma organização do Google Cloud.

    Cloud Service Mesh

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
    Detalhes

    A API do Cloud Service Mesh pode ser protegida pelo VPC Service Controls, e o produto pode ser normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Service Mesh, consulte documentação do produto.

    Limitações

    A integração do Cloud Service Mesh com o VPC Service Controls não tem limitações conhecidas.

    Serviço de token de segurança

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço sts.googleapis.com
    Detalhes

    O VPC Service Controls só restringe trocas de token se o público na solicitação for um recurso para envolvidos no projeto. Por exemplo, o VPC Service Controls não restringe solicitações de tokens com escopo diminuído, porque essas solicitações não têm público. O serviço VPC Service Controls também não restringe solicitações de Federação de identidade de colaboradores porque o público é um recurso no nível da organização.

    Para mais informações sobre o Security Token Service, consulte a documentação do produto.

    Limitações

    A integração do Security Token Service com o VPC Service Controls não tem limitações conhecidas.

    Firestore/Datastore

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
    Detalhes

    Os serviços firestore.googleapis.com, datastore.googleapis.com e firestorekeyvisualizer.googleapis.com são agrupados. Quando você restringe o serviço firestore.googleapis.com em um perímetro, o perímetro também restringe os serviços datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.

    Para restringir o serviço datastore.googleapis.com, use o nome de serviço firestore.googleapis.com.

    Para ter proteção total de saída em operações de importação e exportação, é necessário usar o agente de serviço do Firestore. Para saber mais, consulte os seguintes artigos:

    Para mais informações sobre o Firestore/Datastore, consulte a documentação do produto.

    Limitações

    Migrate to Virtual Machines

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço vmmigration.googleapis.com
    Detalhes

    A API de migração para máquinas virtuais pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a migração para máquinas virtuais, consulte a documentação do produto.

    Limitações

    • Para proteger totalmente a migração para máquinas virtuais, adicione todas as APIs a seguir ao perímetro de serviço:

      • API Artifact Registry (artifactregistry.googleapis.com)
      • API Pub/Sub (pubsub.googleapis.com)
      • API Cloud Storage (storage.googleapis.com)
      • API Cloud Logging (logging.googleapis.com)
      • API Container Registry (containerregistry.googleapis.com)
      • API Secret Manager (secretmanager.googleapis.com)
      • API Compute Engine (compute.googleapis.com)

      Para mais informações, consulte a documentação Migrar para máquinas virtuais.

    Migration Center

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço
    • migrationcenter.googleapis.com
    • rapidmigrationassessment.googleapis.com
    Detalhes

    O VPC Service Controls protege os dados da infraestrutura coletados com Central de migração com um perímetro de serviço.

    Para mais informações sobre a Central de migração, consulte documentação do produto.

    Limitações
    • Depois de ativar o perímetro do serviço, não será possível transferir os dados da infraestrutura para o StratoZone.
    • Não é possível exportar relatórios de preços detalhados com o perímetro de serviço ativado.

    Serviço de backup e DR

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço backupdr.googleapis.com
    Detalhes

    A API para o serviço de backup e DR pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o serviço de backup e DR, consulte a documentação do produto.

    Limitações

    Se você remover a rota padrão da Internet do projeto de produtor de serviço usando o comando gcloud services vpc-peerings enable-vpc-service-controls, talvez não seja possível acessar ou implantar o console de gerenciamento. Se você encontrar esse problema, entre em contato com o atendimento ao cliente do Google Cloud.

    Backup para GKE

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço gkebackup.googleapis.com
    Detalhes

    É possível usar o VPC Service Controls para proteger o backup do GKE e usar os recursos do GKE normalmente dentro de perímetros de serviço.

    Para mais informações sobre o backup no GKE, consulte a documentação do produto.

    Limitações

    A integração do Backup para GKE com o VPC Service Controls não tem limitações conhecidas.

    API Retail

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço retail.googleapis.com
    Detalhes

    A API Retail pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Retail, consulte a documentação do produto.

    Limitações

    A integração da API Retail com o VPC Service Controls não tem limitações conhecidas.

    Application Integration

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço integrations.googleapis.com
    Detalhes

    O Application Integration é um sistema de gerenciamento de fluxo de trabalho colaborativo que permite criar, aumentar, depurar e entender os principais fluxos de trabalho do sistema de negócios. Os fluxos de trabalho na integração do aplicativo são compostos por gatilhos e tarefas. Há vários tipos de acionadores, como um acionador de API/acionador do Pub/Sub/acionador cron/acionador do SFDC.

    Para mais informações sobre o Application Integration, consulte a documentação do produto.

    Limitações
    • O VPC Service Controls protege os registros do Application Integration. Se você usa o Application Integration, verifique a compatibilidade do vpcsc com a equipe responsável pela integração.

    Conectores de integração

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço connectors.googleapis.com
    Detalhes

    A API para o Integration Connectors pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Integration Connectors, consulte a documentação do produto.

    Limitações
    • Ao usar o VPC Service Controls, se sua conexão estiver se conectando a um recurso que não é da CLI do Google Cloud, o destino da conexão precisará ser um anexo do Private Service Connect. As conexões criadas sem o anexo do Private Service Connect falham.

    • Se você configurar um perímetro de serviço do VPC Service Controls para seu projeto da CLI do Google Cloud, não será possível usar o recurso de inscrição de eventos do projeto.

    Error Reporting

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço clouderrorreporting.googleapis.com
    Detalhes

    A API do Error Reporting pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Error Reporting, consulte a documentação do produto.

    Limitações
    Notificações enviadas quando um grupo de erros novo ou recorrente é encontrado contêm informações sobre o grupo de erros. Para evitar a exfiltração de dados fora da perímetro do VPC Service Controls, verifique se e os canais de notificação são da sua organização.

    Cloud Workstations

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço workstations.googleapis.com
    Detalhes

    A API do Cloud Workstations pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Workstations, consulte a documentação do produto.

    Limitações

    • Para proteger totalmente o Cloud Workstations, é preciso restringir a API Compute Engine ao perímetro de serviço sempre que restringir a API Cloud Workstations.
    • Verifique se as APIs do Google Cloud Storage, do Google Container Registry e do Artifact Registry são acessíveis pela VPC no seu perímetro de serviço. Isso é necessário para extrair imagens para a estação de trabalho. Também é recomendável permitir que as APIs do Cloud Logging e Cloud Error Reporting sejam acessíveis por VPC no perímetro do serviço, embora isso não seja necessário para usar as Cloud Workstations.
    • Verifique se o cluster da estação de trabalho é particular. A configuração de um cluster particular impede conexões de estações de trabalho fora do perímetro de serviço do VPC.
    • Desative os endereços IP públicos na configuração da estação de trabalho. Se isso não for feito, as VMs terão endereços IP públicos no seu projeto. Recomendamos que você use a restrição de política da organização constraints/compute.vmExternalIpAccess para desativar endereços IP públicos em todas as VMs no perímetro do serviço da VPC. Para mais detalhes, consulte Como restringir endereços IP externo a VMs específicas.
    • Durante a conexão com a estação de trabalho, o controle de acesso considera apenas se a rede privada pertence ao perímetro de segurança. O controle de acesso com base no dispositivo, endereço IP público ou local não é compatível.

    Cloud IDS

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço ids.googleapis.com
    Detalhes

    A API do Cloud IDS pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud IDS, consulte a documentação do produto.

    Limitações

    O Cloud IDS usa o Cloud Logging para criar registros de ameaças no seu projeto. Se O Cloud Logging é restrito pelo perímetro de serviço, pelo VPC Service Controls bloqueia os registros de ameaças do Cloud IDS, mesmo que o Cloud IDS não seja adicionado como um serviço restrito ao perímetro. Para usar o Cloud IDS dentro de um perímetro de serviço, configure uma regra de entrada para a conta de serviço do Cloud Logging no perímetro de serviço.

    Chrome Enterprise Premium

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço beyondcorp.googleapis.com
    Detalhes

    Para mais informações sobre o Chrome Enterprise Premium, consulte a documentação do produto.

    Limitações

    A integração do Chrome Enterprise Premium com o VPC Service Controls não tem limitações conhecidas.

    Solucionador de problemas de políticas

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço policytroubleshooter.googleapis.com
    Detalhes

    Ao restringir a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas de políticas de permissão do IAM se todos os recursos envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há dois recursos envolvidos em uma solicitação de solução de problemas:

    • O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser de qualquer tipo. Especifique explicitamente esse recurso ao resolver problemas de uma política de permissão.
    • O recurso que você está usando para resolver problemas de acesso. Esse recurso é um projeto, uma pasta ou uma organização. No Console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho x-goog-user-project.

      Esse recurso pode ser igual ao recurso para o qual você está resolvendo problemas de acesso, mas não precisa ser.

    Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.

    Para mais informações sobre o Solucionador de problemas de políticas, consulte a documentação do produto.

    Limitações

    A integração do Solucionador de problemas de políticas ao VPC Service Controls não tem limitações conhecidas.

    Simulador de política

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço policysimulator.googleapis.com
    Detalhes

    Ao restringir a API do Simulador de política com um perímetro, os principais podem simular políticas de permissão somente se determinados recursos envolvidos na simulação estiverem no mesmo perímetro. Vários recursos são envolvidos em uma simulação:

    • O recurso com a política de permissão que você e simulação. Esse recurso também é chamado de recurso. No console do Google Cloud, esse é o recurso com a política de permissão que você está editando. Na CLI gcloud e na API REST, você especifica esse recurso explicitamente ao simular uma política de permissão.
    • O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso host. No Console do Google Cloud e na CLI gcloud, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho x-goog-user-project.

      Esse recurso pode ser igual ao recurso para que você está resolvendo problemas de acesso, mas não precisa ser.

    • O recurso que fornece registros de acesso para a simulação. Em uma simulação, sempre há um recurso que fornece registros de acesso para a simulação. Esse recurso varia de acordo com o tipo de recurso de destino:

      • Se você estiver simulando uma política de permissão para um projeto ou organização, o Simulador de política recupera os registros de acesso desse projeto ou dessa organização.
      • Se você estiver simulando uma política de permissão para um tipo diferente de recurso, o Simulador de política recupera os registros de acesso do projeto-pai ou da organização-pai desse recurso.
      • Se você estiver simulando as políticas de permissão de vários recursos de uma só vez, o Simulador de políticas recupera os registros de acesso do projeto ou da organização comum mais próximo dos recursos.
    • Todos os recursos compatíveis com políticas de permissão relevantes. Quando o Simulador de política executa uma simulação, ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo as políticas de permissão nos recursos ancestrais e descendentes do recurso de destino. Como resultado, esses recursos ancestrais e descendentes também são envolvidos em simulações.

    Se o recurso de destino e o recurso de host não estiverem no mesmo perímetro, a solicitação falhará.

    Se o recurso de destino e o recurso que fornece registros de acesso para a simulação não estiverem no mesmo perímetro, a solicitação falhará.

    Se o recurso de destino e alguns recursos compatíveis com políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações são bem-sucedidas, mas os resultados podem ser incompletos. Por exemplo, se você estiver simulando uma política para um projeto em um perímetro, os resultados não incluirão a política de permissão da organização-pai do projeto, porque as organizações estão sempre fora dos perímetros do VPC Service Controls. Para conseguir informações mais completas é possível configurar registros de entrada e de entrada e saída no perímetro.

    Para mais informações sobre o Simulador de política, consulte a documentação do produto.

    Limitações

    A integração do Simulador de política com o VPC Service Controls não tem limitações conhecidas.

    Contatos essenciais

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço essentialcontacts.googleapis.com
    Detalhes

    A API para Essential Contacts pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre os Essential Contacts, consulte a documentação do produto.

    Limitações

    A integração do Essentials com o VPC Service Controls não tem limitações conhecidas.

    Identity Platform

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço identitytoolkit.googleapis.com,
    securetoken.googleapis.com
    Detalhes

    A API para Identity Platform pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Identity Platform, consulte a documentação do produto.

    Limitações

    • Para proteger totalmente o Identity Platform, adicione a API Secure Token (securetoken.googleapis.com) ao perímetro de serviço para permitir a atualização do token. securetoken.googleapis.com não está listado na página VPC Service Controls do console do Google Cloud. Esse serviço só pode ser adicionado com o comando gcloud access-context-manager perimeters update.

    • Se o aplicativo também for integrado ao recurso de funções de bloqueio, adicione o Cloud Run functions (cloudfunctions.googleapis.com) ao perímetro de serviço.

    • O uso da autenticação multifator (MFA, na sigla em inglês) por SMS, da autenticação de e-mail ou de provedores de identidade de terceiros faz com que os dados sejam enviados para fora do perímetro. Se você não usa a MFA com SMS, autenticação de e-mail ou provedores de identidade de terceiros, desative esses recursos.

    GKE Multi-Cloud

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço gkemulticloud.googleapis.com
    Detalhes

    A API do GKE Multi-Cloud pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o GKE Multi-Cloud, consulte documentação do produto.

    Limitações

    • Para proteger totalmente a API GKE Multi-Cloud, você precisa incluir a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no perímetro.

    API Anthos On-Prem

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço gkeonprem.googleapis.com
    Detalhes

    A API Anthos On-Prem pode ser protegida pelo VPC Service Controls, e a API pode ser usada normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API Anthos On-Prem, consulte a documentação do produto.

    Limitações

    • Para proteger totalmente a API Anthos On-Prem, adicione todas as APIs a seguir ao perímetro de serviço:

      • API Kubernetes Metadata (kubernetesmetadata.googleapis.com)
      • API Cloud Monitoring (monitoring.googleapis.com)
      • API Cloud Logging (logging.googleapis.com)
      • O VPC Service Controls não protege contra exportações de registros do Cloud Logging no nível de pasta ou organização.

    Google Distributed Cloud (somente software) para Bare Metal

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Não. A API do Google Distributed Cloud (somente software) para Bare Metal não pode ser protegida por perímetros de serviço. No entanto, o Google Distributed Cloud (somente software) para Bare Metal pode ser usado normalmente em projetos dentro de um perímetro.
    Detalhes

    É possível criar um cluster no ambiente conectado à VPC usando o Cloud Interconnect ou o Cloud VPN.

    Para mais informações sobre o Google Distributed Cloud (somente software) para bare metal, consulte a documentação do produto.

    Limitações

    • Ao criar ou fazer upgrade de um cluster usando a nuvem distribuída do Google (somente software) para bare metal, use a sinalização --skip-api-check em bmctl para evitar a chamada da API Service Usage (serviceusage.googleapis.com), porque a API Service Usage (serviceusage.googleapis.com) não é compatível com o VPC Service Controls. O Google Distributed Cloud (somente software) para bare metal invoca a API Service Usage para confirmar que os recursos As APIs são ativadas dentro de um projeto. não é usado para validar a acessibilidade do endpoint de API.

    • Para proteger seus clusters, use o VIP restrito na Google Distributed Cloud (somente software) para Bare Metal e adicionar todas as APIs a seguir ao serviço perímetro:

      • API Artifact Registry (artifactregistry.googleapis.com)
      • API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
      • API Compute Engine (compute.googleapis.com)
      • API Connect Gateway (connectgateway.googleapis.com)
      • API Google Container Registry (containerregistry.googleapis.com)
      • API GKE Connect (gkeconnect.googleapis.com)
      • API GKE Hub (gkehub.googleapis.com)
      • API GKE On-Prem (gkeonprem.googleapis.com)
      • API Cloud IAM (iam.googleapis.com)
      • API Cloud Logging (logging.googleapis.com)
      • API Cloud Monitoring (monitoring.googleapis.com)
      • API Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
      • API Service Control (servicecontrol.googleapis.com)
      • API Cloud Storage (storage.googleapis.com)

    API On-Demand Scanning

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço ondemandscanning.googleapis.com
    Detalhes

    A API para API On-Demand Scanning pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a API On-Demand Scanning, consulte a documentação do produto.

    Limitações

    A integração da API On-Demand Scanning com o VPC Service Controls não tem limitações conhecidas.

    Looker (Google Cloud Core)

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço looker.googleapis.com
    Detalhes

    A API do Looker (Google Cloud Core) pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Looker (Google Cloud Core), consulte a documentação do produto.

    Limitações

    • Somente as edições Enterprise ou Embed de instâncias do Looker (Google Cloud Core) que usam conexões IP privadas são compatíveis com a conformidade do VPC Service Controls. As instâncias do Looker (Google Cloud Core) com conexões de IP público ou conexões de IP público e privado não são compatíveis com o VPC Service Controls. Para criar uma instância que usa uma conexão IP particular, selecione IP privado na seção Rede da página Criar instância do Console do Google Cloud.

    • Ao colocar ou criar uma instância do Looker (núcleo do Google Cloud) em um perímetro de serviço do VPC Service Controls, é necessário remover a rota padrão para a Internet chamando o método services.enableVpcServiceControls ou executando o seguinte gcloud:

      gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

    Public Certificate Authority

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço publicca.googleapis.com
    Detalhes

    A API da Public Certificate Authority pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre a Public Certificate Authority, consulte a documentação do produto.

    Limitações

    A integração da Public Certificate Authority com o VPC Service Controls não tem limitações conhecidas.

    Storage Insights

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço storageinsights.googleapis.com
    Detalhes

    A API do Storage Insights pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre Storage Insights, consulte a documentação do produto.

    Limitações

    A integração do Storage Insights com o VPC Service Controls não tem limitações conhecidas.

    Pipelines de dados do Dataflow

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço datapipelines.googleapis.com
    Detalhes

    Para proteger totalmente os pipelines de dados do Dataflow, inclua todas as seguintes APIs no seu perímetro:

    • Dataflow API (dataflow.googleapis.com)
    • API Cloud Scheduler (cloudscheduler.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)

    Consulte mais informações sobre os pipelines de dados do Dataflow na documentação do produto.

    Limitações

    A integração dos pipelines de dados do Dataflow com o VPC Service Controls não tem limitações conhecidas.

    Security Command Center

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço securitycenter.googleapis.com,
    securitycentermanagement.googleapis.com
    Detalhes

    As APIs do Security Command Center podem ser protegidas pelo VPC Service Controls, e o Security Command Center pode ser usado normalmente dentro de perímetros de serviço.

    securitycenter.googleapis.com e securitycentermanagement.googleapis.com e serviços são agrupados. Quando você restringe o serviço securitycenter.googleapis.com em um perímetro, o perímetro restringe o serviço securitycentermanagement.googleapis.com por padrão. Não é possível adicionar o serviço securitycentermanagement.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com securitycenter.googleapis.com.

    Para mais informações sobre o Security Command Center, consulte a documentação do produto.

    Limitações

    • O VPC Service Controls não oferece suporte ao acesso a recursos da API Security Command Center no nível da pasta ou da organização provenientes de recursos e clientes dentro de um perímetro de serviço. Esse serviço protege os recursos da API Security Command Center no nível do projeto. É possível especificar uma política de saída para impedir o acesso a recursos da API Security Command Center no nível do projeto em projetos dentro do perímetro.
    • O VPC Service Controls não oferece suporte à adição de recursos da API Security Command Center no nível da pasta ou da organização em um perímetro de serviço. Não é possível usar um perímetro para proteger recursos da API Security Command Center no nível da pasta ou da organização. Para gerenciar as permissões do Security Command Center no nível da pasta ou da organização, recomendamos o uso do IAM.
    • O VPC Service Controls não oferece suporte ao serviço de postura de segurança porque os recursos de postura de segurança (como posturas, implantações de postura e modelos de postura predefinidos) são recursos da organização.
    • Não é possível exportar descobertas no nível da pasta ou da organização para destinos dentro de um perímetro de serviço.
    • Ative o acesso ao perímetro nos seguintes cenários:
      • Quando você ativa notificações de descoberta no nível da pasta ou da organização e o tópico do Pub/Sub está dentro de um perímetro de serviço.
      • Quando você exporta dados para o BigQuery do nível da pasta ou da organização e o BigQuery está dentro de um perímetro de serviço.
      • Quando você integra o Security Command Center a um produto SIEM ou SOAR, e o produto é implantado dentro de um perímetro de serviço em um ambiente do Google Cloud. As SIEMs e SOARs compatíveis incluem o Splunk e o IBM QRadar.

    Cloud Customer Care

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudsupport.googleapis.com
    Detalhes

    A API do Cloud Customer Care pode ser protegida pelo VPC Service Controls e o produto é usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Cloud Customer Care, consulte a documentação do produto.

    Limitações

    O VPC Service Controls protege os dados acessados por meio da API Cloud Support, mas não protege os dados acessados por meio do console do Google Cloud.

    Vertex AI Agent Builder: Vertex AI Search

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço discoveryengine.googleapis.com
    Detalhes

    A API do Vertex AI Agent Builder - Vertex AI Search pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Vertex AI Agent Builder: Vertex AI Search, consulte a documentação do produto.

    Limitações

    A integração do Vertex AI Agent Builder - Vertex AI Search com o VPC Service Controls não tem limitações conhecidas.

    Confidential Space

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço confidentialcomputing.googleapis.com
    Detalhes

    A API para Confidential Space pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Confidential Space, consulte a documentação do produto.

    Limitações

    O Confidential Space exige acesso de leitura aos buckets do Cloud Storage para fazer o download dos certificados usados para validar o token de atestado. Se esses buckets do Cloud Storage estiverem localizados fora do perímetro, crie a seguinte regra de saída:

      - egressTo:
          operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
            - method: google.storage.objects.get
          resources:
          - projects/870449385679
          - projects/180376494128
        egressFrom:
          identityType: ANY_IDENTITY

    Console serial

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço ssh-serialport.googleapis.com
    Detalhes

    Para usar a proteção do VPC Service Controls ao se conectar ao console serial de uma instância de máquina virtual (VM), é necessário especificar uma regra de entrada para o perímetro de serviço. Ao configurar a regra de entrada, o nível de acesso da origem precisa ser um valor baseado em IP e o nome do serviço definido como ssh-serialport.googleapis.com. A regra de entrada é necessária para acessar o console serial, mesmo que a solicitação de origem e o recurso de destino estejam no mesmo perímetro.

    Para mais informações sobre o console serial, consulte a documentação do produto.

    Limitações
    • Não é possível acessar um console serial usando o Acesso privado do Google. Só é possível acessar o console serial pela Internet pública.
    • Ao usar um console serial, as regras de entrada ou saída baseadas em identidade não podem ser usadas para permitir o acesso a esse console.

    Google Cloud VMware Engine

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço vmwareengine.googleapis.com
    Detalhes Para mais informações sobre o VMware Engine Service Controls, consulte VPC Service Controls com VMware Engine.

    Para mais informações sobre o Google Cloud VMware Engine, consulte a documentação do produto.

    Limitações
    Ao adicionar redes atuais do VMware Engine, nuvens privadas, políticas de rede e peering de VPC a um perímetro de serviço VPC, os recursos criados anteriormente não são verificados novamente para confirmar se ainda obedecem às políticas do perímetro.

    Dataform

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço dataform.googleapis.com
    Detalhes

    Para saber como controlar o acesso ao Dataform com o VPC Service Controls, consulte Configurar o VPC Service Controls para o Dataform.

    Para mais informações sobre o Dataform, consulte a documentação do produto.

    Limitações
    Para usar a proteção do VPC Service Controls para o Dataform, é necessário definir a política de organização "dataform.restrictGitRemotes" e restringir o BigQuery com o mesmo perímetro de serviço do Dataform. É preciso garantir que as permissões do Identity and Access Management concedidas às suas contas de serviço usados no Dataform refletem sua arquitetura de segurança.

    Web Security Scanner

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço websecurityscanner.googleapis.com
    Detalhes

    O Verificador de segurança da Web e o VPC Service Controls estão sujeitos a termos de serviço diferentes. Leia os termos de cada produto para mais detalhes.

    O Web Security Scanner envia as descobertas ao Security Command Center sob demanda. É possível conferir ou fazer o download dos dados no painel do Security Command Center.

    Para mais informações sobre o Web Security Scanner, consulte a documentação do produto.

    Limitações

    A integração do Web Security Scanner com o VPC Service Controls não tem limitações conhecidas.

    Secure Source Manager

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço securesourcemanager.googleapis.com
    Detalhes
    • Você precisa configurar o Certificate Authority Service com uma autoridade certificadora ativa antes de criar instâncias do VPC Service Controls no Secure Source Manager.
    • É necessário configurar o Private Service Connect antes de acessar a instância do Secure Source Manager VPC Service Controls.

    Para mais informações sobre o Secure Source Manager, consulte a documentação do produto.

    Limitações

    • A violação do registro de auditoria SERVICE_NOT_ALLOWED_FROM_VPC causada por limitações do GKE pode ser ignorada.
    • Para abrir a interface da Web do VPC Service Controls com um navegador, ele precisa ter acesso aos seguintes URLs:
      • https://accounts.google.com
      • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
        • Por exemplo, https://us-central1-sourcemanagerredirector-pa.client6.google.com.
      • https://lh3.googleusercontent.com

    Chaves de API

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço apikeys.googleapis.com
    Detalhes

    A API das chaves de API pode ser protegida pelo VPC Service Controls, e o produto pode ser normalmente dentro de perímetros de serviço.

    Para mais informações sobre chaves de API, consulte documentação do produto.

    Limitações

    A integração das chaves de API com o VPC Service Controls não tem limitações conhecidas.

    Console do parceiro no controle de soberania dos parceiros

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudcontrolspartner.googleapis.com
    Detalhes

    A API Cloud Controls Partner pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Console do parceiro no recurso "Controles de soberania dos parceiros", consulte a documentação do produto.

    Limitações
    • Esse serviço precisa ser restrito para todos os não parceiros. Se você é um parceiro que oferece suporte aos controles soberanos dos parceiros, pode proteger esse serviço usando um perímetro de serviço.

    Microsserviços

    Status Beta
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço microservices.googleapis.com
    Detalhes

    A API para Microservices pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

    Para mais informações sobre microsserviços, consulte documentação do produto.

    Limitações

    A integração de microsserviços com o VPC Service Controls não tem limitações conhecidas.

    Earth Engine

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço earthengine.googleapis.com,
    earthengine-highvolume.googleapis.com
    Detalhes

    earthengine.googleapis.com e earthengine-highvolume.googleapis.com e serviços são agrupados. Quando você restringe a earthengine.googleapis.com serviço em um perímetro, o perímetro vai restringir as earthengine-highvolume.googleapis.com por padrão. Não é possível adicionar o serviço earthengine-highvolume.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com earthengine.googleapis.com.

    Para mais informações sobre o Earth Engine, consulte a documentação do produto.

    Limitações
    • O Code Editor do Earth Engine, um ambiente de desenvolvimento integrado (IDE, na sigla em inglês) baseado na Web para a API JavaScript do Earth Engine, não tem suporte e o VPC Service Controls não permite o uso do Code Editor com recursos e clientes dentro de um perímetro de serviço.
    • Os ativos herdados não são protegidos pelo VPC Service Controls.
    • O Exportar para o Google Drive não é compatível com o VPC Service Controls.
    • Os apps do Earth Engine não têm suporte para recursos e clientes em um perímetro de serviço.
    • O VPC Service Controls só está disponível para os planos de preços Premium e Profissional do Earth Engine. Para mais informações sobre os planos de preços, consulte Planos do Earth Engine.

    Para mais informações sobre limitações e exemplos de soluções alternativas, consulte Earth Engine controle de acesso Documentação.

    App Hub (link em inglês)

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço apphub.googleapis.com
    Detalhes

    O App Hub permite que você descubra e organize recursos de infraestrutura em aplicativos conteinerizados. É possível usar perímetros do VPC Service Controls para proteger os recursos do App Hub.

    Para mais informações sobre o App Hub, consulte a documentação do produto.

    Limitações

    É necessário configurar o VPC Service Controls no host do App Hub e nos projetos de serviço antes de criar um aplicativo e registrar serviços e cargas de trabalho nele. O App Hub é compatível com os seguintes tipos de recursos:

    • Aplicativo
    • Serviço descoberto
    • Carga de trabalho descoberta
    • Serviço
    • Anexo do projeto de serviço
    • Carga de trabalho

    Cloud Code

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço cloudcode.googleapis.com
    Detalhes

    A API Cloud Code pode ser protegida pelo VPC Service Controls. Para usar os recursos com a tecnologia do Gemini no Cloud Code, é preciso configurar uma política de entrada para permitir clientes de IDE. Consulte a documentação do Gemini para mais detalhes.

    Para mais informações sobre o Cloud Code, consulte a documentação do produto.

    Limitações

    A integração do Cloud Code com o VPC Service Controls não tem limitações conhecidas.

    API Commerce Org Governance

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço commerceorggovernance.googleapis.com
    Detalhes

    O perímetro do VPC Service Controls protege a API Commerce Org Governance para o Marketplace privado do Google.

    Para mais informações sobre a API Commerce Org Governance, consulte a documentação do produto.

    Limitações

    Recursos como solicitações de compra e de acesso, que a API Commerce Org Governance cria no nível do projeto, aparecem no nível da organização e são revisados pelo administrador da organização sem aplicar as políticas do VPC Service Controls.

    Contact Center AI Platform

    Status GA. Essa integração de produto tem suporte total do VPC Service Controls.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço contactcenteraiplatform.googleapis.com
    Detalhes

    Para restringir o tráfego da Internet, use as políticas da organização. Invoque os métodos CREATE ou UPDATE da API Contact Center AI Platform para aplicar as restrições da política da organização manualmente.

    Para mais informações sobre a Contact Center AI Platform, consulte documentação do produto.

    Limitações

    A integração da plataforma de IA do contact center com o VPC Service Controls não tem limitações conhecidas.

    Gerenciador de acesso privilegiado

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço privilegedaccessmanager.googleapis.com
    Detalhes

    A API do Privileged Access Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Gerenciador de acesso privilegiado, acesse documentação do produto.

    Limitações
    • O VPC Service Controls não permite adicionar recursos no nível da pasta ou da organização a um perímetro de serviço. Não é possível usar um perímetro para proteger recursos do gerenciador de acesso privilegiado no nível da pasta ou da organização. O VPC Service Controls protege os recursos do Gerenciador de acesso privilegiado no nível do projeto.
    • Para proteger o Gerenciador de acesso privilegiado, é necessário incluir as seguintes APIs no seu perímetro:
      • API Privileged Access Manager (privilegedaccessmanager.googleapis.com)
      • API Cloud Resource Manager (cloudresourcemanager.googleapis.com)
      • API Cloud Logging (logging.googleapis.com)
      • API Cloud Asset (cloudasset.googleapis.com)

    Audit Manager

    Status Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
    Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
    Nome do serviço auditmanager.googleapis.com
    Detalhes

    A API do Audit Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser normalmente dentro de perímetros de serviço.

    Para mais informações sobre o Gerenciador de auditoria, acesse documentação do produto.

    Limitações
    • Não é possível usar um perímetro para proteger recursos do gerenciador de auditoria no nível da pasta ou da organização. Para gerenciar as permissões do gerenciador de auditoria no nível da pasta ou da organização, recomendamos o uso do IAM.
    • Ative o acesso ao perímetro usando regras de entrada e saída nos seguintes cenários:

    Para mais informações, leia sobre serviços com e sem suporte.

    Serviços VIP restritos compatíveis

    O IP virtual (VIP, na sigla em inglês) restrito fornece uma maneira para as VMs que estão dentro de um perímetro de serviço fazer chamadas para os serviços do Google Cloud sem expor as solicitações à Internet. Para ver uma lista completa dos serviços disponíveis no VIP restrito, consulte Serviços compatíveis com o VIP restrito.

    Serviços incompatíveis

    A tentativa de restringir um serviço incompatível usando a ferramenta de linha de comando gcloud ou a API Access Context Manager gera erro.

    O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

    Outras limitações conhecidas

    Nesta seção, descrevemos as limitações conhecidas para determinados serviços, produtos e interfaces do Google Cloud que podem ser encontradas ao usar VPC Service Controls.

    Para limitações com produtos compatíveis com o VPC Service Controls, consulte a tabela de produtos compatíveis.

    Para mais informações sobre como resolver problemas com o VPC Service Controls, consulte a página Solução de problemas.

    API AutoML

    Ao usar a API AutoML com o VPC Service Controls, as seguintes limitações se aplicam:

    • Não é possível adicionar os endpoints regionais compatíveis, como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro. Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais compatíveis, como eu-automl.googleapis.com.

    • AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables e AutoML Video Intelligence , todas usam a API AutoML.

      Ao usar um perímetro de serviço para proteger o automl.googleapis.com, o acesso a todos os produtos AutoML integrados ao VPC Service Controls e usados dentro do perímetro é afetado. É preciso configurar o perímetro do VPC Service Controls em todos os produtos AutoML integrados usados dentro desse perímetro.

      Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

      • API AutoML (automl.googleapis.com)
      • API Cloud Storage (storage.googleapis.com)
      • API Compute Engine (compute.googleapis.com)
      • API BigQuery (bigquery.googleapis.com)

    App Engine

    • O App Engine (ambientes padrão e flexível) não é compatível com o VPC Service Controls. Não inclua projetos do App Engine em perímetros de serviço.

      No entanto, é possível permitir que aplicativos do App Engine criados em projetos fora dos perímetros de serviço leiam e gravem dados em serviços protegidos dentro de perímetros. Para permitir que seu app acesse dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do App Engine do projeto. Isso não permite que o App Engine seja usado dentro de perímetros de serviço.

    Solução Bare Metal

    • Como conectar o VPC Service Controls à Solução Bare Metal não mantém nenhuma garantia de controle de serviço.

    • A API da Solução Bare Metal pode ser adicionada a um perímetro seguro. No entanto, os perímetros do VPC Service Controls não se estendem ao ambiente da Solução Bare Metal nas extensões regionais.

    Blockchain Node Engine

    • O VPC Service Controls protege apenas a API Blockchain Node Engine. Quando um nó é criado, ainda é necessário indicar que ele é destinado a uma rede particular configurada pelo usuário com o Private Service Connect.

    • O tráfego ponto a ponto não é afetado pelo VPC Service Controls Private Service Connect e vai continuar usando Internet.

    Bibliotecas de cliente

    • As bibliotecas de cliente do Java e Python para todos os serviços com suporte têm permissão total de acesso usando o VIP restrito. O suporte para outras linguagens está no estágio Alfa e deve ser usado apenas para fins de teste.

    • Os clientes precisam usar bibliotecas de cliente que foram atualizadas a partir de 1º de novembro de 2018.

    • As chaves da conta de serviço ou os metadados do cliente OAuth2 usados pelos clientes precisam ser atualizados a partir de 1º de novembro de 2018. Os clientes mais antigos que usam o endpoint de token precisam mudar para o endpoint especificado nos metadados de material/cliente de chave mais recentes.

    Cloud Billing

    • É possível exportar dados do Cloud Billing para um bucket do Cloud Storage ou instância do BigQuery em um projeto protegido por um perímetro de serviço sem configurar um nível de acesso ou uma regra de entrada.

    Cloud Deployment Manager

    • O Deployment Manager não é compatível com o VPC Service Controls. Os usuários podem chamar serviços que estejam em conformidade com o VPC Service Controls, mas não devem confiar nisso, já que poderá ser interrompido no futuro.

    • Como solução alternativa, adicione a conta de serviço do Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) aos níveis de acesso para permitir chamadas a APIs protegidas pelo VPC Service Controls.

    Cloud Shell

    O VPC Service Controls não é compatível com o Cloud Shell. O VPC Service Controls trata o Cloud Shell como fora dos perímetros de serviço e nega acesso a dados que o VPC Service Controls protege. No entanto, o VPC Service Controls permite o acesso ao Cloud Shell quando um dispositivo que atende aos requisitos de nível de acesso inicia o Cloud Shell.

    Console do Google Cloud

    • Como o console do Google Cloud só pode ser acessado pela Internet, ele é tratado como recurso externo aos perímetros de serviço. Quando você aplica um perímetro de serviço, a interface do console do Google Cloud dos serviços protegidos pode ficar parcial ou totalmente inacessível. Por exemplo, se você protegeu o Logging com o perímetro, não será possível acessar a interface dele no console do Google Cloud.

      Para permitir o acesso do console do Google Cloud a recursos protegidos por um perímetro, você precisa criar um nível de acesso para um intervalo de IPs públicos que inclua as máquinas dos usuários que querem usar o console do Google Cloud com APIs protegidas. Por exemplo, adicione o intervalo de IPs públicos do gateway NAT de sua rede particular a um nível de acesso e, em seguida, atribua esse nível de acesso ao perímetro de serviço.

      Se você quiser limitar o acesso do console do Google Cloud ao perímetro a apenas um conjunto específico de usuários, também é possível adicioná-los a um nível de acesso. Nesse caso, somente os usuários especificados poderão acessar o console do Google Cloud.

    • As solicitações por meio do console do Google Cloud de uma rede com o acesso privado do Google ativado, incluindo redes ativadas implicitamente pelo Cloud NAT, podem ser bloqueadas mesmo que a rede de origem solicitante e o recurso de destino estejam no mesmo perímetro. Isso porque o acesso ao console do Google Cloud por meio do Acesso privado do Google não é compatível com o VPC Service Controls.

    Acesso privado a serviços

    • O acesso a serviços privados é compatível com a implantação de uma instância de serviço em uma rede VPC compartilhada. Se você usar essa configuração com o VPC Service Controls, verifique se o projeto host que fornece a rede e o projeto de serviço que contém a instância de serviço estão dentro do mesmo perímetro do VPC Service Controls. Caso contrário, as solicitações podem ser bloqueadas e as instâncias de serviço podem não funcionar corretamente.

      Para mais informações sobre Serviços com suporte com acesso a serviços privados, consulte Serviços com suporte.

    GKE Multi-cloud

    • O VPC Service Controls se aplica apenas aos recursos no projeto do Google Cloud. O ambiente de nuvem de terceiros que hospeda Os clusters do GKE de várias nuvens não mantêm nenhum serviço de controle de qualidade.

    Google Distributed Cloud

    Central de migração

    • Depois de ativar o perímetro de serviço, não é possível transferir dados de infraestrutura para o StratoZone.

    • Não é possível exportar relatórios de preços detalhados com um perímetro de serviço ativado.

    Federação de identidade de colaboradores

    • A federação de identidade de colaboradores não é compatível com o VPC Service Controls. Os pools de força de trabalho são recursos da organização, e o VPC Service Controls não oferece suporte a esse tipo de recurso.

    A seguir