Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página contém uma tabela de produtos e serviços compatíveis com o
VPC Service Controls e uma lista de limitações conhecidas com determinados
serviços e interfaces.
Listar todos os serviços compatíveis
Para recuperar a lista completa de todos os produtos e serviços compatíveis com o VPC Service Controls, execute o seguinte comando:
gcloud access-context-manager supported-services list
Você recebe uma resposta com uma lista de produtos e serviços.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Essa resposta inclui os seguintes valores:
Valor
Descrição
SERVICE_ADDRESS
Nome do serviço do produto ou serviço. Por exemplo, aiplatform.googleapis.com
SERVICE_NAME
Nome do produto ou serviço. Por exemplo, Vertex AI API
SERVICE_STATUS
O status da integração do serviço com o VPC Service Controls. Confira a seguir os valores possíveis:
GA: a integração do serviço tem suporte total dos perímetros do VPC Service Controls.
PREVIEW: a integração do serviço está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção nos perímetros do VPC Service Controls.
DEPRECATED: a integração do serviço está programada para ser encerrada e removida.
RESTRICTED_VIP_STATUS
Especifica se a integração de serviço com o VPC Service Controls tem suporte do VIP restrito. Confira a seguir os valores possíveis:
TRUE: a integração de serviços tem suporte total do VIP restrito e pode ser protegida por perímetros do VPC Service Controls.
FALSE: a integração de serviços não é compatível com o VIP restrito.
Especifica se a integração do serviço com o VPC Service Controls tem limitações. Confira a seguir os valores possíveis:
TRUE: a integração do serviço com o VPC Service Controls tem limitações conhecidas. Verifique a entrada correspondente do serviço na tabela Produtos compatíveis para saber mais sobre essas limitações.
FALSE: a integração do serviço com o VPC Service Controls não tem limitações conhecidas.
Listar os métodos compatíveis com um serviço
Para recuperar a lista de métodos e permissões com suporte do VPC Service Controls
para um serviço, execute o seguinte comando:
Nesta resposta, METHODS_LIST lista todos os métodos e
permissões aceitos pelo VPC Service Controls para o serviço especificado. Para uma
lista completa de todos os métodos e permissões de serviço com suporte, consulte
Restrições de método de serviço
com suporte.
Produtos compatíveis
O VPC Service Controls é compatível com os produtos a seguir:
Para usar o Gerenciador de infraestrutura em um perímetro:
Para o pool de workers usado pelo Infrastructure Manager, use um pool particular do Cloud Build. As chamadas públicas da Internet precisam estar ativadas para esse pool particular para que você possa fazer o download dos provedores e da configuração do Terraform. Não é possível usar o pool de workers padrão do Cloud Build.
Os itens a seguir precisam estar no mesmo perímetro:
A conta de serviço que o Gerente de infraestrutura usa.
O pool de workers do Cloud Build que o gerente de infraestrutura usa.
O bucket de armazenamento usado pelo Gerenciador de infraestrutura. É possível usar o bucket de armazenamento padrão.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
workloadmanager.googleapis.com
Detalhes
Para usar o Workload Manager em um perímetro do VPC Service Controls:
Use um pool de workers particular do Cloud Build para o ambiente de implantação no Workload Manager.
Não é possível usar o pool de workers padrão do Cloud Build.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
netapp.googleapis.com
Detalhes
A API do Google Cloud NetApp Volumes pode ser protegida pelo VPC Service Controls e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Google Cloud NetApp Volumes, consulte a documentação do produto.
Limitações
O VPC Service Controls não abrange caminhos de plano de dados, como leituras e gravações do sistema de arquivos de rede (NFS) e do bloco de mensagens do servidor (SMB). Além disso, se os projetos de host e de serviço estiverem configurados em perímetros diferentes, poderá ocorrer uma interrupção na implementação dos serviços do Google Cloud.
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
cloudsearch.googleapis.com
Detalhes
O Google Cloud Search é compatível com os controles de segurança da nuvem privada virtual (VPC Service Controls, na sigla em inglês) para aumentar
a segurança dos dados. O VPC Service Controls permite definir um perímetro de segurança em torno dos recursos do Google
Cloud Platform para restringir dados e ajudar a reduzir os riscos de exfiltração de dados.
Como os recursos do Cloud Search não são armazenados em um projeto do Google Cloud, é necessário atualizar as
configurações do cliente do Cloud Search com o projeto protegido do perímetro VPC. O projeto de VPC
atua como um contêiner de projeto virtual para todos os seus recursos do Cloud Search.
Sem criar esse mapeamento, o VPC Service Controls não funcionará para a API Cloud Search.
O treinamento com TPUs não é compatível
quando você usa o AI Platform Training dentro de um perímetro de serviço.
O AI Platform Training e o AI Platform Prediction usam a
API AI Platform Training and Prediction. Por isso, é necessário configurar o VPC Service Controls para
os dois produtos. Leia mais sobre como configurar o VPC Service Controls para
o AI Platform Prediction.
Os perímetros de serviço protegem apenas a API AlloyDB para PostgreSQL Admin. Eles não protegem
o acesso a dados com base em IP nos bancos de dados subjacentes, como as instâncias do AlloyDB para PostgreSQL. Para restringir o acesso de IPs públicos em instâncias do AlloyDB para PostgreSQL, use uma restrição de política da organização.
Antes de configurar o VPC Service Controls do AlloyDB para PostgreSQL, ative a API Service
Networking.
Quando você usa o AlloyDB para PostgreSQL com VPC compartilhada e VPC Service Controls, o projeto
host e o projeto de serviço precisam estar no mesmo perímetro de serviço do VPC Service Controls.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
visionai.googleapis.com
Detalhes
A API do Vertex AI Vision pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Quando constraints/visionai.disablePublicEndpoint está
ativado, desativamos o endpoint público do cluster. Os usuários precisam se conectar manualmente ao destino do PSC
e acessar o serviço da rede particular. Confira o destino do PSC no
recurso
cluster.
O tráfego para a API Vertex AI no Firebase tem como objetivo
originar-se de um cliente de dispositivo móvel ou navegador, que sempre estará
fora do perímetro de serviço. Portanto, você precisa configurar uma política de entrada explícita.
Se você precisar se conectar à API Vertex AI somente dentro do perímetro do serviço, use a API Vertex AI diretamente ou por um dos SDKs do servidor, o Firebase Genkit ou qualquer um dos outros serviços disponíveis para acessar a API Vertex AI no servidor.
A API para Apigee híbrida e a Apigee pode ser protegida pelo VPC Service Controls, e o produto pode ser usado
normalmente dentro de perímetros de serviço.
A API do Cloud Service Mesh pode ser protegida pelo VPC Service Controls, e o produto
pode ser usado normalmente dentro de perímetros de serviço.
Use mesh.googleapis.com para ativar as APIs necessárias para o Cloud Service Mesh.
Não é necessário restringir mesh.googleapis.com no seu perímetro, porque ele não expõe nenhuma API.
Além dos artefatos dentro de um perímetro que estão disponíveis para o Artifact Registry, os seguintes repositórios somente leitura do Container Registry gerenciados estão disponíveis para todos os projetos, independentemente dos perímetros de serviço:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Em todos os casos, as versões regionais desses repositórios também estão
disponíveis.
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
Não é possível adicionar os endpoints regionais compatíveis,
como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com.
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
automl.googleapis.com, eu-automl.googleapis.com
Detalhes
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
Não é possível adicionar os endpoints regionais compatíveis,
como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com.
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
Não é possível adicionar os endpoints regionais compatíveis,
como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com.
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
automl.googleapis.com, eu-automl.googleapis.com
Detalhes
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
API AutoML (automl.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
API BigQuery (bigquery.googleapis.com)
Para mais informações sobre o AutoML Video Intelligence, consulte a
documentação do produto.
Limitações
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
Não é possível adicionar os endpoints regionais compatíveis,
como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com.
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
Não é possível adicionar os endpoints regionais compatíveis,
como eu-automl.googleapis.com, à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com, o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com.
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Não. A API da Solução Bare Metal não pode ser protegida por perímetros de serviço.
No entanto, a Solução Bare Metal pode ser usada normalmente em projetos dentro de um perímetro.
Detalhes
A API da Solução Bare Metal pode ser adicionada a um perímetro seguro. No entanto, os
perímetros do VPC Service Controls não se estendem ao ambiente da Solução Bare Metal
nas extensões regionais.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
bigquery.googleapis.com
Detalhes
Quando você protege a API BigQuery usando um perímetro de serviço, a API BigQuery Storage, a API BigQuery Reservation e a API BigQuery Connection também são protegidas. Não é necessário
adicionar essas APIs separadamente à lista de serviços protegidos do seu perímetro.
Os registros de auditoria do BigQuery nem sempre incluem todos
os recursos que foram usados quando uma solicitação foi feita, devido ao serviço
que processa internamente o acesso a vários recursos.
Ao acessar uma instância do BigQuery protegida por um perímetro
de serviço, o job do BigQuery precisa ser executado em um projeto
dentro do perímetro ou em um projeto permitido por uma regra
de saída do perímetro. Por padrão, as bibliotecas de cliente do BigQuery executam jobs na conta de serviço ou no projeto do usuário, fazendo com que a consulta seja rejeitada pelo VPC Service Controls.
O BigQuery bloqueia o salvamento de resultados de consultas no Google Drive do
perímetro protegido do VPC Service Controls.
Se você conceder acesso usando uma regra de entrada com contas de usuário como o tipo de identidade, não será possível acessar a utilização de recursos do BigQuery ou o explorador de jobs administrativos na página Monitoramento. Para usar esses recursos, configure uma regra de entrada que use ANY_IDENTITY como o tipo de identidade.
Se você conceder aos usuários do BigQuery acesso aos dados usando uma regra de entrada, eles poderão usar o console do Google Cloud para consultar e salvar os resultados em um arquivo local.
O VPC Service Controls só é compatível com a análise por meio do
BigQuery Enterprise, Enterprise Plus ou
sob demanda.
A API BigQuery Reservation é parcialmente compatível.
A
API BigQuery Reservation, que cria o recurso de atribuição, não impõe
restrições de perímetro de serviço aos usuários atribuídos.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
bigquerydatatransfer.googleapis.com
Detalhes
O perímetro de serviço protege apenas a API do serviço de transferência de dados do BigQuery. A proteção de dados real é aplicada pelo BigQuery. Ele foi projetado para permitir a importação de dados de várias fontes externas fora do Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, para os conjuntos de dados do BigQuery. Para informações sobre os
requisitos do VPC Service Controls para migrar dados do Teradata, consulte este link.
Para mais informações sobre o serviço de transferência de dados do BigQuery, consulte a documentação do produto.
Limitações
O serviço de transferência de dados do BigQuery não
é compatível com a exportação de dados fora de um conjunto de dados do BigQuery. Para mais informações, consulte Como exportar dados de tabelas.
Para transferir dados entre projetos, o projeto de destino precisa estar dentro
do mesmo perímetro do projeto de origem. Caso contrário, uma regra de saída precisa permitir a transferência
de dados para fora do perímetro. Para informações sobre como definir as regras de saída, consulte Limitações em conjuntos de dados do BigQuery gerenciados.
As violações de entrada e saída para jobs do BigQuery iniciados por execuções de transferências off-line recorrentes do serviço de transferência de dados do BigQuery não contêm informações de contexto do usuário, como endereço IP e dispositivo do autor da chamada.
O serviço de transferência de dados do BigQuery só aceita a transferência de dados para projetos protegidos
por um perímetro de serviço usando um dos conectores listados em
Fontes de dados
compatíveis. O serviço de transferência de dados do BigQuery não é compatível com a transferência de dados para projetos protegidos por um perímetro de serviço usando um conector fornecido por outros parceiros terceirizados.
Os serviços bigtable.googleapis.com e bigtableadmin.googleapis.com
são agrupados. Quando você restringe o serviço
bigtable.googleapis.com em um perímetro, o perímetro restringe o serviço
bigtableadmin.googleapis.com por padrão. Não é possível adicionar o serviço
bigtableadmin.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com
bigtable.googleapis.com.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
binaryauthorization.googleapis.com
Detalhes
Ao usar vários projetos com autorização binária, cada projeto precisa ser
incluído no perímetro do VPC Service Controls. Para mais informações sobre esse caso de uso, consulte
Configuração de vários projetos.
Com a autorização binária, é possível usar o Artifact Analysis para armazenar
atestadores e atestados como observações e ocorrências, respectivamente. Nesse caso, você também precisa
incluir o Artifact Analysis no perímetro do VPC Service Controls.
Consulte Orientação do VPC Service Controls para Artifact Analysis
para mais detalhes.
As integrações do Blockchain Node Engine com o VPC Service Controls têm as
seguintes limitações:
O VPC Service Controls só protege a API Blockchain Node Engine.
Quando um nó é criado, ainda é necessário indicar que ele é destinado a uma rede particular
configurada pelo usuário com o
Private Service Connect.
O tráfego ponto a ponto não é afetado pelo VPC Service Controls ou
pelo Private Service Connect e continua usando a Internet pública.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
privateca.googleapis.com
Detalhes
A API do Certificate Authority Service pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Certificate Authority Service, consulte a
documentação do produto.
Limitações
Para usar o Certificate Authority Service em um ambiente protegido, você também precisa adicionar a API Cloud KMS (cloudkms.googleapis.com) e a API Cloud Storage (storage.googleapis.com) ao perímetro de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
krmapihosting.googleapis.com
Detalhes
Para usar o Config Controller com o VPC Service Controls, é necessário ativar as seguintes APIs no seu perímetro:
API Cloud Monitoring (monitoring.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
API Google Cloud Observability (logging.googleapis.com)
API Security Token Service (sts.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Se você provisionar recursos com o Config Controller, será necessário ativar a API para
esses recursos no perímetro de serviço. Por exemplo, se você quiser adicionar uma conta de serviço do IAM, será necessário adicionar a API IAM (iam.googleapis.com).
Estabeleça o perímetro de segurança do VPC Service Controls antes de criar
a instância particular do Cloud Data Fusion. A proteção de perímetro para
instâncias criadas antes da configuração do VPC Service Controls não é
compatível.
Atualmente, a IU do plano de dados do Cloud Data Fusion não é compatível com
acesso baseado na identidade usando regras de entrada ou
níveis
de acesso.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
compute.googleapis.com
Detalhes
O suporte do VPC Service Controls para o Compute Engine oferece os seguintes benefícios de
segurança:
Restringe o acesso a operações confidenciais da API.
Restringe snapshots de disco permanente e imagens personalizadas para um perímetro.
Restringe o acesso a metadados de instância.
O suporte do VPC Service Controls para o Compute Engine permite também que você utilize
redes de nuvem privada virtual e clusters particulares do Google Kubernetes Engine
dentro de perímetros de serviço.
As operações de peering de VPC não impõem restrições de perímetro de serviço à VPC.
O método da API
projects.ListXpnHosts para a VPC compartilhada não impõe restrições de perímetro de serviço
aos projetos retornados.
Para permitir a criação de uma imagem do Compute Engine em
um Cloud Storage em um projeto protegido por um
perímetro de serviço, o usuário que está criando a imagem precisa ser adicionado
temporariamente a uma regra de entrada do perímetro.
O VPC Service Controls não aceita o uso da versão de código aberto do Kubernetes em VMs do Compute Engine dentro de um perímetro de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
contactcenterinsights.googleapis.com
Detalhes
Para usar o Conversational Insights com o VPC Service Controls, é necessário ter as seguintes
APIs adicionais dentro do seu perímetro, dependendo da sua integração.
Para carregar dados no Conversational Insights, adicione a API Cloud Storage ao perímetro de serviço.
Para usar a exportação, adicione a API BigQuery ao seu perímetro de serviço.
Para integrar vários produtos CCAI, adicione a API Vertex AI ao perímetro de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
dataflow.googleapis.com
Detalhes
O Dataflow é compatível com vários
conectores de serviço de armazenamento (em inglês). Os seguintes conectores foram
verificados e funcionam com o Dataflow dentro de um perímetro de serviço:
O BIND personalizado não é compatível com o Dataflow. Para personalizar a resolução de DNS ao
usar o Dataflow com o VPC Service Controls, use as zonas particulares
do Cloud DNS em vez de usar servidores BIND personalizados. Para usar sua própria resolução de DNS local, use um
método de encaminhamento de DNS do Google Cloud.
Nem todos os conectores do serviço de armazenamento foram verificados quanto ao funcionamento quando usados
com o Dataflow dentro de um perímetro de serviço. Para conferir uma lista dos
conectores verificados, consulte "Detalhes" na seção anterior.
Ao usar o Python 3.5 com o SDK do Apache Beam 2.20.0‐2.22.0,
os jobs do Dataflow falharão na inicialização se os workers tiverem
apenas endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos.
Se os workers do Dataflow só puderem ter endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos,
não use o Python 3.5 com o SDK do Apache Beam 2.20.0-2.22.0. Essa combinação faz com que os jobs falhem na inicialização.
Antes de criar os recursos do Dataplex, configure o perímetro de segurança
do VPC Service Controls. Caso contrário, os recursos não terão proteção de perímetro.
O Dataplex é compatível com os seguintes tipos de recursos:
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
datamigration.googleapis.com
Detalhes
A API do Database Migration Service pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Os perímetros de serviço protegem apenas a API Database Migration Service Admin. Eles não protegem
o acesso a dados com base em IP nos bancos de dados subjacentes, como as instâncias do Cloud SQL. Para restringir o acesso de
IPs públicos em instâncias do Cloud SQL, use uma restrição de política da organização.
Ao usar um arquivo do Cloud Storage na fase de despejo inicial da migração,
adicione o bucket do Cloud Storage ao mesmo perímetro de serviço.
Ao usar uma chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês) no banco de dados de destino, verifique se ela está no
mesmo perímetro de serviço que o perfil de conexão que contém a chave.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
dialogflow.googleapis.com
Detalhes
A API do Dialogflow pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
dlp.googleapis.com
Detalhes
A API para proteção de dados confidenciais pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre proteção de dados confidenciais, consulte a documentação do produto.
Limitações
Como o VPC Service Controls atualmente não é compatível com recursos de pasta e organização, as chamadas de proteção de dados confidenciais podem retornar uma resposta 403 ao tentar acessar recursos no nível da organização. Recomendamos que o IAM seja usado para gerenciar permissões da proteção de dados confidenciais no nível da pasta e da organização.
É possível acessar o Cloud DNS pelo VIP restrito. No entanto, não é possível criar ou atualizar zonas DNS públicas em projetos dentro do perímetro do VPC Service Controls.
Os dados de configuração de DNS usados no
Cloud Domains, ou seja, os servidores de nomes
e as configurações de DNSSEC, são públicos. Se seu domínio delegar a uma zona de DNS pública, que é o
padrão, os dados de configuração de DNS dessa zona também serão públicos.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
eventarc.googleapis.com
Detalhes
Um barramento do Eventarc Advanced fora de um perímetro de serviço não pode receber eventos de projetos do Google Cloud dentro do perímetro. Um barramento do Eventarc Advanced dentro de um perímetro não pode encaminhar eventos para um consumidor fora dele.
Para publicar em um barramento do Eventarc Advanced, a origem de um evento precisa estar no mesmo perímetro de serviço que o barramento.
Para consumir uma mensagem, um consumidor de eventos precisa estar no mesmo perímetro de serviço que
a lixeira.
Em projetos protegidos por um perímetro de serviço, a seguinte limitação se aplica:
Não é possível criar um pipeline do Eventarc Advanced dentro de um perímetro de serviço. É possível verificar o suporte do VPC Service Controls para os recursos MessageBus,
GoogleApiSource e Enrollment conferindo os registros da plataforma
na entrada. No entanto, não é possível testar a saída do VPC Service Controls. Se algum desses recursos estiver em um perímetro de serviço, não será possível configurar o Eventarc Advanced para entregar eventos de ponta a ponta nesse perímetro.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
eventarc.googleapis.com
Detalhes
O Eventarc Standard processa a entrega de eventos usando tópicos do Pub/Sub
e envia assinaturas. Para acessar a API Pub/Sub e gerenciar gatilhos de
eventos, a API Eventarc precisa estar protegida no mesmo
perímetro de serviço do VPC Service Controls que a API Pub/Sub.
Em projetos protegidos por um perímetro de serviço, as seguintes limitações se aplicam:
O Eventarc Standard está vinculado às mesmas limitações do Pub/Sub:
Ao rotear eventos para destinos do Cloud Run, não é possível criar
novas assinaturas de push do Pub/Sub, a menos que os endpoints de push sejam configurados para
serviços do Cloud Run com URLs run.app padrão (domínios personalizados
não funcionam).
Ao rotear eventos para destinos do Workflows em que o
endpoint de push do Pub/Sub está definido como uma execução
do Workflows, só é possível criar novas assinaturas de push do Pub/Sub
pelo Eventarc Standard.
O VPC Service Controls bloqueia a criação de gatilhos do Eventarc Standard
para
endpoints HTTP
internos. A proteção do VPC Service Controls não se aplica ao roteamento
de eventos para esses destinos.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
edgenetwork.googleapis.com
Detalhes
A API da Distributed Cloud Edge Network pode ser protegida pelo VPC Service Controls
e usada normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Distributed Cloud Edge Network, consulte a
documentação do produto.
Limitações
A integração da API Distributed Cloud Edge Network com o VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
financialservices.googleapis.com
Detalhes
A API para IA antilavagem de dinheiro pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a IA antilavagem de dinheiro, consulte a documentação do produto.
Limitações
A integração da IA antilavagem de dinheiro com o VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
firebaseappcheck.googleapis.com
Detalhes
Quando você configura e troca tokens do Firebase App Check, o VPC Service Controls
protege apenas o serviço do Firebase App Check. Para proteger serviços que dependem do
Firebase App Check, configure perímetros de serviço para esses serviços.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
firebaserules.googleapis.com
Detalhes
Quando você gerencia as políticas de regras de segurança do Firebase, o VPC Service Controls protege
apenas o serviço de regras de segurança do Firebase. Para proteger serviços que dependem das regras de segurança do Firebase, configure permissões de serviço para esses serviços.
Para mais informações sobre as regras de segurança do Firebase, consulte a
documentação do produto.
Limitações
A integração das regras de segurança do Firebase com o VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
cloudfunctions.googleapis.com
Detalhes
Consulte a documentação das funções do Cloud Run
para ver as etapas de configuração. A proteção do VPC Service Controls não se aplica à fase de criação, quando
as funções do Cloud Run são criadas usando o Cloud Build. Para mais detalhes, consulte as limitações conhecidas.
O Cloud Run functions usa o Cloud Build, o Container Registry e
o Cloud Storage para criar e gerenciar o código-fonte em um contêiner executável. Se
algum desses serviços for restrito pelo perímetro de serviço, o VPC Service Controls
vai bloquear o build do Cloud Run functions, mesmo que o Cloud Run functions não seja adicionado como
um serviço restrito ao perímetro. Para usar o Cloud Run functions dentro de um perímetro
de serviço, configure uma regra de entrada para a
conta de serviço do Cloud Build no perímetro de serviço.
Para permitir que suas funções usem dependências externas, como pacotes npm,
o Cloud Build tem acesso ilimitado à Internet. Esse acesso à Internet
pode ser usado para exfiltrar dados disponíveis no momento da criação, como o
código-fonte enviado por upload. Se você quiser reduzir esse vetor de
exfiltração, recomendamos permitir que apenas desenvolvedores confiáveis implantem
as funções. Não conceda
os papéis do IAM "Proprietário", "Editor" ou "Desenvolvedor" das funções do Cloud Run
a desenvolvedores não confiáveis.
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para implantar funções do Cloud Run em uma máquina local.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Quando os serviços de funções do Cloud Run são invocados por gatilhos de HTTP, a aplicação da política do VPC Service Controls não usa as informações de autenticação do IAM do cliente. As regras da política de entrada do VPC Service Controls que usam os principais
do IAM não são compatíveis. Os níveis de acesso de perímetros do VPC Service Controls que usam principais
do IAM não são compatíveis.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
iam.googleapis.com
Detalhes
Quando você restringe o IAM com um perímetro, apenas as ações que
usam a API IAM são restritas. Essas ações incluem o gerenciamento
de papéis personalizados do IAM, o gerenciamento de pools de identidade da carga de trabalho e o gerenciamento
de contas e chaves de serviço. O perímetro não restringe as ações dos pools de força de trabalho, porque são recursos no nível da organização.
O perímetro ao redor do IAM não
restringe o gerenciamento de acesso, ou seja, receber ou definir políticas do IAM, para recursos pertencentes a outros serviços,
como projetos, pastas e organizações do Resource Manager ou instâncias de máquina virtual do Compute Engine. Para restringir o gerenciamento de acesso a esses recursos, crie um perímetro que restrinja o serviço ao qual os recursos pertencem. Consulte uma lista de recursos que aceitam políticas do IAM e os serviços que os possuem em Tipos de recursos que aceitam políticas do IAM.
Além disso, o perímetro ao redor do IAM não restringe ações que usam outras APIs, incluindo as seguintes:
API IAM Policy Simulator
API IAM Policy Troubleshooter
API Security Token Service
API Service Account Credentials (incluindo os métodos legados
signBlob e signJwt na API IAM)
Para mais informações sobre o Identity and Access Management, consulte a
documentação do produto.
Limitações
Se você estiver dentro do perímetro, não será possível chamar o método roles.list com uma string vazia para listar papéis predefinidos do IAM. Caso precise visualizar os papéis predefinidos, consulte a documentação de papéis do IAM.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
iamcredentials.googleapis.com
Detalhes
A API para credenciais de conta de serviço pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre as credenciais da conta de serviço, consulte a
documentação do produto.
Limitações
A integração das credenciais de conta de serviço com o VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
vpcaccess.googleapis.com
Detalhes
A API para acesso VPC sem servidor pode ser protegida pelo VPC Service Controls, e o produto pode ser usado
normalmente dentro de perímetros de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
cloudkms.googleapis.com
Detalhes
A API Cloud KMS pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado dentro de perímetros de serviço. O acesso aos serviços do Cloud HSM também é protegido
pelo VPC Service Controls e pode ser usado dentro de perímetros de serviço.
Para mais informações sobre o Cloud Key Management Service, consulte a
documentação do produto.
Limitações
A integração do Cloud Key Management Service com VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
iaptunnel.googleapis.com
Detalhes
A API para Identity-Aware Proxy pode ser protegida pelo VPC Service Controls, e o produto pode ser usado
normalmente dentro de perímetros de serviço.
Para mais informações sobre o Identity-Aware Proxy para TCP, consulte a documentação do produto.
Limitações
Somente a API de uso do IAP para TCP pode ser protegida por um perímetro.
A API administrativa não pode ser protegida por um perímetro.
Para usar o IAP para TCP em um perímetro de serviço do VPC Service Controls, é preciso adicionar ou configurar algumas entradas de DNS que apontem os seguintes domínios para o VIP restrito:
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
lifesciences.googleapis.com
Detalhes
A API para Cloud Life Sciences pode ser protegida pelo VPC Service Controls e o produto pode ser
usado normalmente dentro de perímetros de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
pubsub.googleapis.com
Detalhes
A proteção do VPC Service Controls se aplica a todas as operações de administrador, operações de editor e operações de assinante (exceto para assinaturas de push).
Em projetos protegidos por um perímetro de serviço, as seguintes limitações se aplicam:
Não é possível criar novas assinaturas de push, a menos que os endpoints de push estejam configurados para
serviços do Cloud Run com URLs run.app padrão ou uma
execução de Workflows
(domínios personalizados não funcionam). Para mais
informações sobre a integração com o Cloud Run, consulte
Como usar o VPC Service Controls.
Para assinaturas que não são push, é necessário criar uma assinatura no mesmo perímetro do tópico ou ativar regras de saída para permitir o acesso do tópico à assinatura.
Ao rotear eventos pelo Eventarc para destinos do
Workflows em que o endpoint de push está definido como uma execução do Workflows, só é possível criar novas assinaturas de push pelo Eventarc.
As assinaturas do Pub/Sub criadas antes do perímetro de serviço não são
bloqueadas.
Para usar o Cloud Deploy em um perímetro, você precisa usar um pool privado do Cloud Build para os ambientes de execução de destino.
Não use o pool de workers padrão do Cloud Build e nem um pool híbrido.
A ativação da serialização do DAG impede que o Airflow exiba um modelo renderizado
com funções na IU da Web.
A definição da sinalização async_dagbag_loader como True não é permitida com
a serialização do DAG ativada.
A ativação da serialização do DAG desativa todos os plug-ins do servidor da Web do Airflow, porque eles
podem prejudicar a segurança da rede VPC em que o Cloud Composer está
implantado. Isso não afeta o comportamento dos plug-ins do programador ou do worker,
incluindo os operadores e sensores do Airflow.
Quando o Cloud Composer está sendo executado em um perímetro, o acesso
a repositórios PyPI públicos é restrito. Na documentação do Cloud Composer,
consulte
Como instalar dependências do Python
para saber como instalar os módulos do PyPi no modo de IP particular.
Como o VPC Service Controls aplica limites no nível do projeto,
as solicitações de cotas do Cloud originadas de clientes dentro do
perímetro só poderão acessar os recursos da organização se a organização configurar uma
regra de saída.
Ao solicitar uma
redução de cota,
o Cloud Quotas executa uma chamada de serviço para serviço (S2S) para
o Monitoring.
Essa chamada S2S não é originada dentro do perímetro, mesmo que a solicitação de redução seja. Portanto, ela será bloqueada pelo VPC Service Controls.
Crie uma regra de entrada que permita a chamada S2S da sua identidade e de todas as origens para o monitoramento do projeto em que você solicita a redução da cota.
No Artifact Registry e no Container Registry, o registro em que você armazena o contêiner
precisa estar no mesmo perímetro do VPC Service Controls que o projeto em que você está implantando. O código que está sendo criado precisa estar no mesmo perímetro do VPC Service Controls que o registro para o qual o contêiner está sendo enviado.
O recurso de
implantação contínua
do Cloud Run não está disponível para projetos dentro de um perímetro do VPC Service Controls.
Quando os serviços do Cloud Run são invocados, a aplicação da política do VPC Service Controls não usa as informações de autenticação do IAM do cliente. Essas solicitações têm as seguintes limitações:
As regras da política de entrada do VPC Service Controls que usam os principais
do IAM não são compatíveis.
Não há suporte aos níveis de acesso de perímetros do VPC Service Controls
que usam principais do IAM.
Ao usar o recurso Pagamentos do solicitante com um
bucket de armazenamento dentro de um perímetro de serviço que protege o
serviço do Cloud Storage, não é possível identificar um projeto para pagar
fora do perímetro. O projeto de destino precisa estar no mesmo perímetro
do bucket de armazenamento ou em uma ponte do perímetro com o projeto do bucket.
Para projetos em um perímetro de serviço, a página do Cloud Storage no
console do Google Cloud não ficará acessível se a API Cloud Storage
estiver protegida por esse perímetro. Se você quiser conceder acesso à
página, crie uma regra de entrada e/ou um nível de acesso que inclua as contas de
usuário e/ou o intervalo de IPs públicos a que você quer permitir o acesso à
API Storage do Cloud.
Nos registros de auditoria, o valor de methodName nem sempre está correto. Recomendamos
não filtrar registros de auditoria do Cloud Storage por
methodName.
Em certos casos, os registros de buckets legados do Cloud Storage podem ser gravados
em destinos fora de um perímetro de serviço, mesmo quando o acesso é negado.
Em alguns casos, os objetos do Cloud Storage que eram públicos podem ser acessados mesmo depois que você ativa o VPC Service Controls nos objetos. Os objetos ficam acessíveis até que expirem dos caches integrados e quaisquer outros caches upstream na rede entre o usuário final e o Cloud Storage. O Cloud Storage armazena em cache dados acessíveis publicamente por padrão na rede do Cloud Storage.
Para mais informações sobre como os objetos do Cloud Storage são armazenados em cache, consulte Cloud Storage.
Para informações sobre o tempo que um objeto pode permanecer armazenado em cache,
consulte Metadados de controle de cache.
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Cloud Storage que usam URLs assinados.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Os URLs assinados são compatíveis com o VPC Service Controls.
O VPC Service Controls usa as credenciais de assinatura do usuário ou da conta de serviço que assinou o
URL assinado
para avaliar as verificações do VPC Service Controls, não o autor da chamada ou do usuário que iniciou a conexão.
Os perímetros de serviço protegem apenas a API Cloud SQL Admin. Eles
não protegem o acesso a dados com base em IP nas instâncias do Cloud SQL. Você precisa
usar uma restrição de política da organização
para restringir o acesso ao IP público nas instâncias do Cloud SQL.
Antes de configurar o VPC Service Controls para o Cloud SQL, ative a API Service
Networking.
As importações e exportações do Cloud SQL só podem executar leituras e gravações
de um bucket do Cloud Storage no mesmo perímetro de serviço da
instância de réplica do Cloud SQL.
Mesmo que você crie uma regra de saída para permitir chamadas para URLs públicos de
perímetros do VPC Service Controls, a API Cloud Vision bloqueia chamadas para URLs públicos.
Como a API Container Scanning não tem superfície e armazena os resultados no Artifact Analysis, você não precisa protegê-la com um perímetro de serviço.
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Container Registry.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Além dos contêineres dentro de um perímetro que estão disponíveis para o
Container Registry, os seguintes repositórios somente de leitura
estão disponíveis para todos os projetos, seja qual for a restrição aplicada pelos perímetros de serviço:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Em todos os casos, as versões multirregionais desses repositórios também estão
disponíveis.
Para proteger totalmente a API Google Kubernetes Engine, você também precisa incluir a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.
Somente clusters particulares podem ser protegidos usando o VPC Service Controls. Os clusters com
endereços IP públicos não são compatíveis com o VPC Service Controls.
O escalonamento automático funciona independentemente do GKE. Como o VPC Service Controls
não é compatível com autoscaling.googleapis.com, o escalonamento automático não funciona.
Ao usar o GKE, é possível ignorar a violação SERVICE_NOT_ALLOWED_FROM_VPC
nos registros de auditoria causados devido ao serviço autoscaling.googleapis.com.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
containerfilesystem.googleapis.com
Detalhes
O streaming de imagens é um recurso de streaming de dados do GKE que fornece
tempos de extração de imagem de contêiner menores para imagens armazenadas no Artifact Registry.
Caso o VPC Service Controls proteja suas imagens de contêiner e você use o streaming de imagens,
inclua também a API Image Streaming no perímetro de serviço.
Os seguintes repositórios somente leitura
estão disponíveis para todos os projetos, independentemente das restrições aplicadas pelos perímetros de serviço:
As APIs de gerenciamento de frota, incluindo o gateway de conexão, podem ser protegidas com o VPC Service Controls, e os recursos de gerenciamento de frotas podem ser usados normalmente dentro de perímetros de serviço.
Para ver mais informações, consulte os seguintes tópicos:
Embora todos os recursos de gerenciamento de frota possam ser usados normalmente, a ativação de um perímetro de serviço em torno da API Stackdriver impede a integração do recurso de frota do Policy Controller com o Security Command Center.
Ao usar o gateway do Connect para acessar clusters do GKE, o perímetro do VPC Service Controls para container.googleapis.com não é aplicado.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
cloudresourcemanager.googleapis.com
Detalhes
Os métodos da API Cloud Resource Manager a seguir podem ser protegidos pelo VPC Service Controls:
Usando o VPC Service Controls, só é possível proteger as chaves de tag subordinadas a um recurso do projeto e os valores de tag correspondentes. Quando um projeto é adicionado a um perímetro do VPC Service Controls, todas as chaves de tag e os valores de tag correspondentes no projeto são considerados recursos dentro do perímetro.
As chaves de tag subordinadas a um recurso da organização e os valores de tag correspondentes não podem ser incluídos em um perímetro do VPC Service Controls e não podem ser protegidos usando o VPC Service Controls.
Os clientes dentro de um perímetro do VPC Service Controls não podem acessar chaves de tag e valores correspondentes subordinados a um recurso da organização, a menos que uma regra de saída que permita acesso esteja definida no perímetro. Consulte mais informações sobre como definir regras de saída em Regras de entrada e saída.
As vinculações de tag são consideradas recursos dentro do mesmo perímetro do recurso a que o valor da tag está vinculado. Por exemplo, as vinculações de tag em uma instância do Compute Engine em um projeto são consideradas pertencentes a esse projeto, independentemente de onde a chave de tag está definida.
Alguns serviços, como o Compute Engine, permitem criar vinculações de tag usando as próprias APIs de serviço, além das APIs de serviço do Resource Manager. Por exemplo, adicionar tags a uma VM do Compute Engine durante a criação do recurso. Para proteger as vinculações de tag criadas ou excluídas usando essas APIs de serviço, adicione o serviço correspondente, como compute.googleapis.com, à lista de serviços restritos no perímetro.
As tags são compatíveis com restrições no nível do método. Assim, é possível definir o escopo do method_selectors para métodos específicos da API. Consulte uma lista de métodos restritos em Restrições de método de serviço compatíveis.
A atribuição do papel de proprietário em um projeto pelo console do Google Cloud agora é compatível com o
VPC Service Controls. Não é possível enviar um convite de proprietário nem aceitar convites
fora dos perímetros de serviço. Se tentar aceitar um convite de fora do perímetro,
você não vai receber o papel de proprietário e não haverá nenhum erro ou mensagem de aviso exibida.
Os coletores de registro agregados (coletores de pastas ou organizações em que
includeChildren é true) podem acessar dados de projetos dentro de um perímetro
de serviço. Para impedir que coletores de registros agregados acessem dados em um perímetro, recomendamos
usar o IAM para gerenciar as permissões do Logging nos coletores de registros agregados no nível da pasta
ou da organização.
O VPC Service Controls não é compatível com a adição de recursos de pasta
ou organização a perímetros de serviço. Portanto, não é possível usar o VPC Service Controls para
proteger os registros no nível da pasta e da organização, incluindo registros agregados. Para gerenciar as permissões
do Logging no nível da pasta ou da organização, recomendamos o uso do IAM.
Se você encaminhar registros, usando um coletor de registros no nível da organização ou da pasta, para um recurso protegido por um perímetro de serviço, será necessário adicionar uma regra de entrada ao
perímetro de serviço. A regra de entrada precisa permitir o acesso ao recurso da conta de serviço que o coletor de registros usa. Essa etapa não é necessária para coletores no nível do projeto.
Para mais informações, consulte as páginas a seguir:
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para exportar registros de um coletor do Cloud Logging para um recurso do Cloud Storage.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
certificatemanager.googleapis.com
Detalhes
A API do Gerenciador de certificados pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Gerenciador de certificados, consulte a
documentação do produto.
Limitações
A integração do Gerenciador de certificados com o VPC Service Controls não tem limitações conhecidas.
Canais de notificação, políticas de alertas e métricas personalizadas podem ser usados
juntos para exfiltrar dados ou metadados. Atualmente, um usuário do
Monitoring pode configurar um canal de notificação que aponta para
uma entidade fora da organização, por exemplo, "baduser@badcompany.com". Em seguida,
o usuário configura métricas personalizadas e políticas de alertas correspondentes que
utilizam o canal de notificação. Desse modo, ao manipular as métricas personalizadas,
o usuário pode acionar alertas e enviar notificações de disparo de alertas,
exfiltrando dados confidenciais para baduser@badcompany.com, fora do
perímetro do VPC Service Controls.
As VMs do Compute Engine ou da AWS com o
Agente do Monitoring
instalado precisam estar dentro do perímetro do VPC Service Controls,
senão as gravações de métricas do agente falharão.
Todos os pods do GKE precisam estar dentro
do perímetro do VPC Service Controls, senão o
GKE Monitoring não funcionará.
Nas consultas de um escopo de métricas, apenas o perímetro do VPC Service Controls do projeto de escopo do escopo da métrica é considerado. Os perímetros dos projetos individuais monitorados no escopo de métricas não são considerados.
Um projeto só pode ser adicionado como um projeto monitorado a um escopo de métricas existente se esse projeto estiver no mesmo perímetro do VPC Service Controls que o projeto de escopo do escopo de métricas.
Para acessar o Monitoring no console do Google Cloud para um projeto host protegido por um perímetro de serviço, use uma regra de entrada.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
networkconnectivity.googleapis.com
Detalhes
A API do Network Connectivity Center pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Network Connectivity Center, consulte a documentação do produto.
Limitações
A integração do Network Connectivity Center com o VPC Service Controls não tem limitações conhecidas.
O VPC Service Controls não é compatível com acesso a recursos da API Cloud Asset no nível da pasta ou da organização
a partir de recursos e clientes dentro de um perímetro de serviço. O VPC Service Controls
protege os recursos da API Cloud Asset no nível do projeto. É possível especificar uma política de saída para impedir
o acesso a recursos da API Cloud Asset no nível do projeto em projetos dentro do perímetro.
O VPC Service Controls não é compatível com a adição de recursos da API Cloud Asset no nível da pasta
ou da organização a um perímetro de serviço. Não é possível usar um perímetro para proteger os
recursos da API Cloud Asset no nível da pasta ou da organização. Para gerenciar as permissões do Cloud Asset Inventory no nível da pasta ou da organização, recomendamos o uso do IAM.
O Cloud Translation - Advanced (v3) é compatível com o VPC Service Controls, mas
não com o Cloud Translation - Basic (v2). Para aplicar o VPC Service Controls,
é necessário usar a versão Advanced do Cloud Translation (v3). Para mais informações
sobre as diferentes edições, consulte Comparar
as edições Basic e Advanced.
Para proteger os endpoints de entrada com um perímetro de serviço, siga
as instruções para configurar um pool particular e enviar streams de vídeo de entrada por uma
conexão particular.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
storagetransfer.googleapis.com
Detalhes
Recomendamos colocar o projeto do Serviço de transferência do Cloud Storage no mesmo
perímetro de serviço que os recursos do
Cloud Storage. Isso protege a transferência e o
recursos do Cloud Storage. O Serviço de transferência do Cloud Storage também
aceita cenários em que o projeto dele não
esteja no mesmo perímetro dos buckets do Cloud Storage usando
uma política de saída.
Quando você chama a API Service Control de uma rede VPC em um perímetro
de serviço com o Service Control restrito para gerar relatórios de métricas de faturamento ou análises, só é possível usar o
método Relatório do Service Control
para gerar relatórios de métricas para serviços compatíveis com o VPC Service Controls.
Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros
não protegem o acesso normal aos dados em instâncias do Memorystore for Redis
dentro da mesma rede.
Se a API Cloud Storage também estiver protegida,
as operações de importação e exportação do Memorystore for Redis só poderão ler e
gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da
instância do Memorystore for Redis.
Ao usar a VPC compartilhada e o VPC Service Controls, é necessário que você tenha o
projeto host que fornece a rede e o projeto de serviço que contém a
instância do Redis dentro do mesmo perímetro para que as solicitações do Redis sejam bem-sucedidas. A qualquer momento, separar o projeto host e o de serviço com um perímetro
pode causar uma falha na instância do Redis, além das solicitações bloqueadas. Para mais informações, consulte os requisitos de configuração do Memorystore para Redis.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
memcache.googleapis.com
Detalhes
A API Memorystore for Memcached pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre a Memorystore for Memcached, consulte a
documentação do produto.
Limitações
Os perímetros de serviço protegem apenas a API Memorystore for Memcached. Os perímetros
não protegem o acesso normal aos dados em instâncias da Memorystore for Memcached
dentro da mesma rede.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Não. A API do Transfer Appliance não pode ser protegida por perímetros de serviço.
No entanto, o Transfer Appliance pode ser usado normalmente em projetos dentro de um perímetro.
Detalhes
O Transfer Appliance é totalmente compatível com projetos que usam
VPC Service Controls.
O Transfer Appliance não oferece uma API e, portanto, não é
compatível com recursos relacionados à API no VPC Service Controls.
Quando o Cloud Storage é protegido pelo VPC Service Controls, a
chave do Cloud KMS que você compartilha com a equipe do
Transfer Appliance precisa estar no mesmo projeto que o bucket do
Cloud Storage de destino.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
orgpolicy.googleapis.com
Detalhes
A API do Organization Policy Service pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Organization Policy Service, consulte a
documentação do produto.
Limitações
O VPC Service Controls não aceita restrições de acesso a políticas da organização no nível da pasta ou
da organização que são herdadas pelo projeto.
O VPC Service Controls protege os recursos da API Service Policy Service para envolvidos no projeto.
Por exemplo, se uma regra de entrada restringir o acesso de um usuário à API Organization Policy Service, esse
usuário receberá um erro 403 ao consultar as políticas da organização aplicadas ao projeto. Mas
o usuário ainda pode acessar as políticas da organização da pasta
e da organização que contém o projeto.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
oslogin.googleapis.com
Detalhes
É possível chamar a API OS Login de dentro dos perímetros do VPC Service Controls. Para gerenciar
o login do SO nos perímetros do VPC Service Controls,
configure o login do SO.
As conexões SSH com instâncias de VM não são protegidas pelo VPC Service Controls.
Os métodos de Login do SO para ler e gravar chaves SSH não aplicam os perímetros do VPC Service Controls. Use os serviços acessíveis pelo VPC para desativar o acesso às APIs OS Login.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
servicehealth.googleapis.com
Detalhes
A API da integridade de serviço personalizada pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a integridade personalizada do serviço, consulte a
documentação do produto.
Limitações
O VPC Service Controls não oferece suporte aos recursos OrganizationEvents e OrganizationImpacts da API Service Health. Portanto, as verificações de política do VPC Service Controls não vão ocorrer quando você chamar os métodos
desses recursos. No entanto, é possível chamar os métodos de um perímetro de serviço usando um
VIP restrito.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
osconfig.googleapis.com
Detalhes
É possível chamar a API OS Config de dentro dos perímetros do VPC Service Controls. Para usar o
VM Manager a partir de perímetros do VPC Service Controls,
configure o VM Manager.
Para proteger totalmente o VM Manager, é preciso incluir todas as seguintes APIs no
seu perímetro:
API Config do SO (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Artifact Analysis (containeranalysis.googleapis.com)
O VM Manager não hospeda conteúdo de pacotes e patches. O Gerenciamento de correções do SO usa
as ferramentas de atualização do sistema operacional que exigem que as atualizações e os patches de pacotes sejam recuperáveis na VM. Para que o patch funcione, talvez seja necessário
usar o Cloud NAT ou hospedar seu próprio repositório de pacotes ou o serviço de atualização do Windows Server na sua nuvem privada virtual.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
workflows.googleapis.com
Detalhes
O Workflows é uma plataforma de orquestração que pode combinar serviços baseados no
Google Cloud e APIs baseadas em HTTP para executar serviços na ordem que você definir.
Quando você protege a API Workflows usando um perímetro de serviço, a API Workflow Executions também é protegida. Não é necessário adicionar workflowexecutions.googleapis.com
separadamente à lista de serviços protegidos do seu
perímetro.
As solicitações HTTP de uma execução de fluxos de trabalho são compatíveis da seguinte maneira:
São permitidas solicitações autenticadas para os endpoints do Google Cloud compatíveis com o VPC Service Controls.
As solicitações para funções e endpoints de serviço do Cloud Run são permitidas.
As solicitações para endpoints de terceiros são bloqueadas.
As solicitações para endpoints do Google Cloud não compatíveis com o VPC Service Controls
são bloqueadas.
Os perímetros de serviço protegem apenas a API Filestore. Os perímetros
não protegem o acesso normal a dados NFS em instâncias do Filestore
na mesma rede.
Ao usar a VPC compartilhada e o VPC Service Controls, o projeto
host que fornece a rede e o projeto de serviço que contém a instância do
Filestore precisam estar dentro do mesmo perímetro para que essa instância
funcione corretamente. Separar o projeto host e o projeto de serviço
com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e
impedir a criação de novas instâncias.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Ao usar a VPC compartilhada e o VPC Service Controls, o projeto host
que fornece a rede e o projeto de serviço que contém a
instância do Parallelstore precisam estar dentro do mesmo perímetro para que a instância
do Parallelstore funcione corretamente. Separar o projeto host e o projeto de serviço
com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e
impedir a criação de novas instâncias.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
containerthreatdetection.googleapis.com
Detalhes
A API do Container Threat Detection pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Container Threat Detection, consulte a documentação do produto.
Limitações
A integração do Container Threat Detection com o VPC Service Controls não tem limitações conhecidas.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
O Ads Data Hub e o VPC Service Controls estão sujeitos a termos de serviço diferentes. Veja os termos de cada
produto para mais detalhes.
Certos recursos do Ads Data Hub, como a ativação do público-alvo personalizado, lances personalizados e tabelas de correspondência do LiveRamp, exigem que alguns dados do usuário sejam exportados fora do perímetro do VPC Service Controls. Se o Ads Data Hub for adicionado como um serviço restrito, ele ignorará as políticas do VPC Service Controls para esses recursos para manter a funcionalidade.
Todos os serviços dependentes precisam ser incluídos como serviços permitidos no mesmo perímetro do VPC Service Controls. Por exemplo, como o Ads Data Hub depende do BigQuery, o BigQuery também precisa ser adicionado. Em geral, as práticas recomendadas do VPC Service Controls aconselham incluir todos os serviços no perímetro,
ou seja, "restringir todos os serviços".
Os clientes com estruturas de contas do Ads Data Hub de várias camadas (como agências com subsidiárias) precisam ter todos os seus projetos de administrador no mesmo perímetro. Para simplificar,
o Ads Data Hub recomenda que os clientes com estruturas de contas de várias camadas restrinjam
os projetos de administração à mesma organização do Google Cloud.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
sts.googleapis.com
Detalhes
O VPC Service Controls só restringe trocas de token se o
público
na solicitação for um recurso para envolvidos no projeto. Por exemplo, o VPC Service Controls não restringe solicitações de
tokens com escopo diminuído,
porque essas solicitações não têm público. O VPC Service Controls também não restringe solicitações para a
Federação de identidade da força de trabalho
porque o público-alvo é um recurso da organização.
O Ads Data Hub e o VPC Service Controls estão sujeitos a termos de serviço diferentes. Veja os termos de cada
produto para mais detalhes.
Certos recursos do Ads Data Hub, como a ativação do público-alvo personalizado, lances personalizados e tabelas de correspondência do LiveRamp, exigem que alguns dados do usuário sejam exportados fora do perímetro do VPC Service Controls. Se o Ads Data Hub for adicionado como um serviço restrito, ele ignorará as políticas do VPC Service Controls para esses recursos para manter a funcionalidade.
Todos os serviços dependentes precisam ser incluídos como serviços permitidos no mesmo perímetro do VPC Service Controls. Por exemplo, como o Ads Data Hub depende do BigQuery, o BigQuery também precisa ser adicionado. Em geral, as práticas recomendadas do VPC Service Controls aconselham incluir todos os serviços no perímetro,
ou seja, "restringir todos os serviços".
Os clientes com estruturas de contas do Ads Data Hub de várias camadas (como agências com subsidiárias) precisam ter todos os seus projetos de administrador no mesmo perímetro. Para simplificar,
o Ads Data Hub recomenda que os clientes com estruturas de contas de várias camadas restrinjam
os projetos de administração à mesma organização do Google Cloud.
Os serviços firestore.googleapis.com, datastore.googleapis.com
e firestorekeyvisualizer.googleapis.com são agrupados.
Quando você restringe o serviço firestore.googleapis.com em um perímetro,
o perímetro também restringe os serviços datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com.
Para ter proteção total de saída em operações de importação e exportação,
é necessário usar o agente de serviço do Firestore. Para saber mais, consulte os seguintes artigos:
As operações de importação e exportação não são totalmente protegidas, a menos que você
use o agente de serviço do Firestore. Para saber mais, consulte os seguintes artigos:
Os serviços em pacote legados do App Engine para Datastore
não são compatíveis com perímetros de serviço. Proteger o serviço do
Datastore com um perímetro de serviço bloqueia o tráfego de
serviços em pacote legados do App Engine. Os serviços agrupados legados incluem:
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
vmmigration.googleapis.com
Detalhes
A API de migração para máquinas virtuais pode ser protegida pelo VPC Service Controls, e o produto
pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a migração para máquinas virtuais, consulte a
documentação do produto.
Limitações
Para proteger totalmente a migração para máquinas virtuais, adicione todas as
APIs a seguir ao perímetro de serviço:
API Artifact Registry (artifactregistry.googleapis.com)
API Pub/Sub (pubsub.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Cloud Logging (logging.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
backupdr.googleapis.com
Detalhes
A API para o serviço de backup e DR pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Se você remover a rota padrão da Internet do projeto de produtor de serviço usando o comando gcloud services vpc-peerings enable-vpc-service-controls, talvez não seja possível acessar ou implantar o console de gerenciamento. Se você encontrar esse problema, entre em contato com o atendimento ao cliente do Google Cloud.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
gkebackup.googleapis.com
Detalhes
É possível usar o VPC Service Controls para proteger o backup do GKE e usar os recursos do GKE normalmente dentro de perímetros de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
integrations.googleapis.com
Detalhes
O Application Integration é um sistema de gerenciamento de fluxo de trabalho colaborativo que permite
criar, aumentar, depurar e entender os principais fluxos de trabalho do sistema de negócios.
Os fluxos de trabalho na integração do aplicativo são compostos por gatilhos e tarefas.
Há vários tipos de acionadores, como um acionador de API/acionador do Pub/Sub/acionador cron/acionador do SFDC.
O VPC Service Controls protege os registros do Application
Integration. Se você usa o Application Integration, verifique a compatibilidade do vpcsc
com a equipe responsável pela integração.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
connectors.googleapis.com
Detalhes
A API para o Integration Connectors pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Ao usar o VPC Service Controls, se sua conexão estiver se conectando a um recurso que não é da CLI do Google Cloud, o destino da conexão precisará ser um anexo do Private Service Connect. As conexões criadas sem o anexo do Private Service Connect falham.
Se você configurar um perímetro de serviço do VPC Service Controls para seu projeto da CLI do Google Cloud, não será possível usar o recurso de inscrição de eventos do projeto.
As notificações enviadas quando um grupo de erros novo ou recorrente é encontrado
contém informações sobre o grupo de erros. Para evitar a exfiltração de dados fora do perímetro do VPC Service Controls, verifique se os canais de notificação estão na sua organização.
Para proteger totalmente o Cloud Workstations, é preciso restringir a API
Compute Engine ao perímetro de serviço sempre que restringir
a API Cloud Workstations.
Verifique se as APIs do Google Cloud Storage, do Google Container Registry e
do Artifact Registry são
acessíveis pela VPC no seu perímetro de serviço. Isso é necessário para extrair imagens para a estação de trabalho. Também é
recomendável permitir que as APIs do Cloud Logging e Cloud Error Reporting
sejam acessíveis por VPC no
perímetro do serviço, embora isso não seja necessário para usar
as Cloud Workstations.
Verifique se o cluster da estação de trabalho é
particular.
A configuração de um cluster particular impede conexões de estações de trabalho
fora do perímetro de serviço do VPC.
Desative os endereços IP públicos na configuração da
estação de trabalho. Se isso não for feito, as VMs terão endereços IP públicos
no seu projeto. Recomendamos que você use a
restrição de política da organização
constraints/compute.vmExternalIpAccess
para desativar endereços IP públicos em todas as VMs
no perímetro do serviço da VPC. Para mais detalhes, consulte
Como restringir endereços IP externo a VMs específicas.
Durante a conexão com a estação de trabalho, o controle de acesso considera apenas se a rede
privada pertence ao perímetro de segurança. O controle de acesso com base no dispositivo, endereço IP público ou local não é
compatível.
O Cloud IDS usa o Cloud Logging para criar registros de ameaças no seu projeto. Se o Cloud Logging estiver restrito pelo perímetro de serviço, o VPC Service Controls vai bloquear os registros de ameaças do Cloud IDS, mesmo que o Cloud IDS não seja adicionado como um serviço restrito ao perímetro. Para usar o Cloud IDS dentro de um perímetro
de serviço, configure uma regra de entrada para a
conta de serviço do Cloud Logging no perímetro de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
policytroubleshooter.googleapis.com
Detalhes
Ao restringir a API Policy Troubleshooter com um perímetro,
os principais só podem resolver problemas de políticas de permissão do IAM se todos os recursos
envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há dois
recursos envolvidos em uma solicitação de solução de problemas:
O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser
de qualquer tipo. Especifique explicitamente esse recurso ao resolver problemas de uma
política de permissão.
O recurso que você está usando para resolver problemas de acesso. Esse recurso é
um projeto, uma pasta ou uma organização. No Console do Google Cloud e na
CLI gcloud, esse recurso é inferido com base no projeto, na pasta
ou na organização selecionada. Na API REST, você especifica esse recurso
usando o cabeçalho x-goog-user-project.
Esse recurso pode ser igual ao recurso para o qual você está resolvendo problemas de acesso, mas
não precisa ser.
Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.
Para mais informações sobre o Solucionador de problemas de políticas, consulte a
documentação do produto.
Limitações
A integração do Solucionador de problemas de políticas ao VPC Service Controls não tem limitações conhecidas.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
policysimulator.googleapis.com
Detalhes
Ao restringir a API do Simulador de política com um perímetro, os principais
podem simular políticas de permissão somente se determinados recursos envolvidos na
simulação estiverem no mesmo perímetro. Vários recursos são envolvidos em uma simulação:
O recurso com a política de permissão que você está
simulando. Esse recurso também é chamado de recurso de destino. No console do Google Cloud, esse é o recurso
com a política de permissão que você está editando. Na CLI gcloud e na API REST,
você especifica esse recurso explicitamente ao simular uma
política de permissão.
O projeto, a pasta ou a organização que cria e executa
a simulação. Esse recurso também é chamado de recurso
host. No Console do Google Cloud e na
CLI gcloud, esse recurso é inferido com base no projeto, na pasta
ou na organização selecionada. Na API REST, você especifica esse recurso
usando o cabeçalho x-goog-user-project.
Esse recurso pode ser igual ao recurso para que você está resolvendo problemas de acesso, mas
não precisa ser.
O recurso que fornece registros de acesso para a
simulação. Em uma simulação, sempre há um recurso
que fornece registros de acesso para a simulação. Esse recurso varia
de acordo com o tipo de recurso de destino:
Se você estiver simulando uma política de permissão para um projeto ou organização, o Simulador de política recupera os registros de acesso desse projeto ou
dessa organização.
Se você estiver simulando uma política de permissão para um tipo diferente de recurso,
o Simulador de política recupera os registros de acesso do projeto-pai ou da
organização-pai desse recurso.
Se você estiver simulando as políticas de permissão de vários recursos de uma só vez, o Simulador de políticas recupera os registros de acesso do projeto ou da organização comum mais
próximo dos recursos.
Todos os recursos com suporte e políticas de permissão relevantes.
Quando o Simulador de política executa uma simulação,
ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo as
políticas de permissão nos recursos ancestrais e descendentes do recurso de destino. Como
resultado, esses recursos ancestrais e descendentes também são envolvidos em
simulações.
Se o recurso de destino e o recurso de host não estiverem no mesmo
perímetro, a solicitação falhará.
Se o recurso de destino e o recurso que fornece registros de acesso para a simulação
não estiverem no mesmo perímetro, a solicitação falhará.
Se o recurso de destino e alguns recursos compatíveis com políticas de permissão
relevantes não estiverem no mesmo perímetro, as solicitações são bem-sucedidas, mas os
resultados podem ser incompletos. Por exemplo, se você estiver simulando uma política
para um projeto em um perímetro, os resultados não incluirão a política de permissão
da organização-pai do projeto, porque as organizações estão sempre
fora dos perímetros do VPC Service Controls. Para resultados mais completos, configure regras de entrada e
saída para o perímetro.
Para proteger totalmente o Identity Platform, adicione a API Secure Token (securetoken.googleapis.com) ao
perímetro de serviço para permitir a atualização do token. securetoken.googleapis.com não está listado na página VPC Service Controls do console do Google Cloud.
Esse serviço só pode ser adicionado com o comando
gcloud access-context-manager
perimeters update.
Se o aplicativo também for integrado ao recurso de funções de bloqueio, adicione o Cloud Run functions (cloudfunctions.googleapis.com) ao
perímetro de serviço.
O uso da autenticação multifator (MFA, na sigla em inglês) por SMS, da autenticação de e-mail ou de provedores de identidade de terceiros faz com que os dados sejam enviados para fora do perímetro. Se você não usa a MFA com SMS, autenticação de e-mail ou provedores de identidade de terceiros, desative esses recursos.
Para proteger totalmente a API GKE Multi-Cloud, você também precisa incluir a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Não. A API do Google Distributed Cloud (somente software) para bare metal não pode ser protegida por perímetros de serviço.
No entanto, o Google Distributed Cloud (somente software) em bare metal pode ser usado normalmente em projetos dentro de um perímetro.
Detalhes
É possível criar um cluster no ambiente conectado à VPC usando o Cloud Interconnect ou o Cloud VPN.
Para mais informações sobre o Google Distributed Cloud (somente software) em bare metal, consulte a
documentação do produto.
Limitações
Ao criar ou fazer upgrade de um cluster usando Google Distributed Cloud (somente software) para bare metal, use a
sinalização --skip-api-check em bmctl para evitar a chamada da API Service Usage (serviceusage.googleapis.com), porque a API Service Usage
(serviceusage.googleapis.com) não é compatível com o VPC Service Controls.
O Google Distributed Cloud (somente software) para bare metal invoca a API Service Usage para validar que as APIs necessárias
estão ativadas em um projeto. Ele não é usado para validar a acessibilidade do endpoint de API.
Para proteger seus clusters, use o VIP restrito no
Google Distributed Cloud (somente software) para bare metal e adicione todas as seguintes APIs ao perímetro de
serviço:
API Artifact Registry (artifactregistry.googleapis.com)
API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Connect Gateway (connectgateway.googleapis.com)
API Google Container Registry (containerregistry.googleapis.com)
API GKE Connect (gkeconnect.googleapis.com)
API GKE Hub (gkehub.googleapis.com)
API GKE On-Prem (gkeonprem.googleapis.com)
API Cloud IAM (iam.googleapis.com)
API Cloud Logging (logging.googleapis.com)
API Cloud Monitoring (monitoring.googleapis.com)
API Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
API Service Control (servicecontrol.googleapis.com)
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
ondemandscanning.googleapis.com
Detalhes
A API para API On-Demand Scanning pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
looker.googleapis.com
Detalhes
A API do Looker (Google Cloud Core) pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Looker (Google Cloud Core), consulte a
documentação do produto.
Limitações
Somente as edições Enterprise ou Embed de instâncias do Looker (Google Cloud Core) que usam conexões IP privadas são compatíveis com a conformidade do VPC Service Controls. As instâncias do Looker (Google Cloud Core) com conexões de IP público ou conexões de IP público e privado não são compatíveis com o VPC Service Controls. Para criar uma instância que usa uma conexão IP particular, selecione IP privado na seção Rede da página Criar instância do Console do Google Cloud.
Ao colocar ou criar uma instância do Looker (Google Cloud Core) em um perímetro de serviço do VPC Service Controls, é necessário remover a rota padrão para a Internet chamando o método services.enableVpcServiceControls ou executando o seguinte comando gcloud:
A remoção da rota padrão restringe o tráfego de saída apenas aos serviços compatíveis com o VPC Service Controls. Por exemplo, o envio de e-mail falhará porque a API usada para enviar e-mails não é compatível com o VPC Service Controls.
Se você estiver usando a VPC compartilhada, inclua o projeto de serviço do Looker (Google Cloud Core) no mesmo perímetro de serviço que o projeto host da VPC compartilhada ou crie uma ponte de perímetro entre os dois projetos. Se o projeto de serviço do Looker (Google Cloud Core) e o projeto host da VPC compartilhada não estiverem no mesmo perímetro ou não puderem se comunicar por uma ponte de perímetro, a criação de instâncias poderá falhar ou a instância do Looker (Google Cloud Core) não funcionará corretamente.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
publicca.googleapis.com
Detalhes
A API da Public Certificate Authority pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a Public Certificate Authority, consulte a
documentação do produto.
Limitações
A integração da Public Certificate Authority com o VPC Service Controls não tem limitações conhecidas.
As APIs do Security Command Center podem ser protegidas pelo VPC Service Controls, e o Security Command Center pode ser usado
normalmente dentro de perímetros de serviço.
Os serviços securitycenter.googleapis.com e securitycentermanagement.googleapis.com
são agrupados. Quando você restringe o serviço securitycenter.googleapis.com
em um perímetro, o perímetro restringe o serviço
securitycentermanagement.googleapis.com por padrão. Não é possível adicionar o serviço
securitycentermanagement.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com
securitycenter.googleapis.com.
O VPC Service Controls não oferece suporte ao acesso a recursos da API Security Command Center
no nível da pasta ou da organização provenientes de recursos e clientes dentro de um perímetro de serviço. Esse serviço
protege os recursos da API Security Command Center no nível do projeto. É possível especificar uma política de saída para impedir
o acesso a recursos da API Security Command Center no nível do projeto em projetos dentro do perímetro.
O VPC Service Controls não oferece suporte à adição de recursos da API
Security Command Center no nível da pasta ou da organização em um perímetro de serviço. Não é possível usar um perímetro para proteger
recursos da API Security Command Center no nível da pasta ou da organização. Para gerenciar as permissões do Security Command Center
no nível da pasta ou da organização, recomendamos o uso do IAM.
O VPC Service Controls não oferece suporte ao serviço de postura de segurança porque os recursos de postura de segurança (como posturas, implantações de postura e modelos de postura predefinidos) são recursos da organização.
Não é possível exportar descobertas no nível da pasta ou da organização para destinos
dentro de um perímetro de serviço.
Ative o acesso ao perímetro nos seguintes cenários:
Quando você ativa notificações de descoberta
no nível da pasta ou da organização e o tópico do Pub/Sub está dentro de um perímetro de serviço.
Quando você exporta dados para o
BigQuery do nível da pasta ou da organização e o BigQuery está dentro
de um perímetro de serviço.
Quando você integra o Security Command Center a um produto SIEM ou SOAR, e o produto é implantado dentro de um perímetro
de serviço em um ambiente do Google Cloud. As SIEMs e SOARs compatíveis incluem o Splunk e o
IBM QRadar.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
cloudsupport.googleapis.com
Detalhes
A API do Cloud Customer Care pode ser protegida pelo VPC Service Controls e o produto é usado normalmente dentro de perímetros de serviço.
O VPC Service Controls protege os dados acessados por meio da API Cloud Support, mas não protege os dados acessados por meio do console do Google Cloud.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
discoveryengine.googleapis.com
Detalhes
A API do Vertex AI Agent Builder - Vertex AI Search pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Vertex AI Agent Builder: Vertex AI Search, consulte a
documentação do produto.
Limitações
A integração do Vertex AI Agent Builder - Vertex AI Search com o VPC Service Controls não tem limitações conhecidas.
O Confidential Space exige acesso de leitura aos buckets do Cloud Storage para fazer o download dos certificados usados para validar o token de atestado. Se esses buckets do Cloud Storage estiverem localizados fora do perímetro, crie a seguinte regra de saída:
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
ssh-serialport.googleapis.com
Detalhes
Para usar a proteção do VPC Service Controls ao se conectar ao console serial de uma instância de máquina virtual (VM), é necessário especificar uma regra de entrada para o perímetro de serviço. Ao configurar a regra de entrada, o nível de acesso da origem precisa ser um valor baseado em IP e o nome do serviço definido como ssh-serialport.googleapis.com.
A regra de entrada é necessária para acessar o console serial, mesmo que a solicitação de origem e o recurso de destino estejam no mesmo perímetro.
Para mais informações sobre o Google Cloud VMware Engine, consulte a
documentação do produto.
Limitações
Ao adicionar redes atuais do VMware Engine, nuvens privadas, políticas de rede e peering de VPC a um perímetro de serviço VPC, os recursos criados anteriormente não são verificados novamente para confirmar se ainda obedecem às políticas do perímetro.
Para usar a proteção do VPC Service Controls para o Dataform, é necessário
definir a política de organização "dataform.restrictGitRemotes"
e restringir o BigQuery com o mesmo perímetro de serviço do Dataform.
Verifique se as permissões do Identity and Access Management concedidas às suas contas de serviço usadas no Dataform refletem sua arquitetura de segurança.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
websecurityscanner.googleapis.com
Detalhes
Web Security Scanner e o VPC Service Controls estão sujeitos a termos de serviço diferentes.
Confira os termos de cada produto para mais detalhes.
O Web Security Scanner envia as descobertas ao Security Command Center sob demanda. É possível conferir ou fazer o download dos dados no painel do Security Command Center.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
securesourcemanager.googleapis.com
Detalhes
É necessário configurar o Certificate Authority Service com uma autoridade de certificação funcional antes de criar instâncias do VPC Service Controls do Gerenciador de origem segura.
É necessário configurar o Private Service Connect antes de acessar a instância do Secure Source Manager VPC Service Controls.
GA. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
cloudcontrolspartner.googleapis.com
Detalhes
A API Cloud Controls Partner pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Partner console em Sovereign Controls by Partners, consulte a
documentação do produto.
Limitações
Esse serviço precisa ser restrito para todos os não parceiros. Se você é um parceiro que oferece suporte aos controles soberanos dos parceiros, pode proteger esse serviço usando um perímetro de serviço.
Os serviços earthengine.googleapis.com e earthengine-highvolume.googleapis.com
são agrupados. Quando você restringe o serviço earthengine.googleapis.com
em um perímetro, o perímetro restringe o serviço
earthengine-highvolume.googleapis.com por padrão. Não é possível adicionar o serviço
earthengine-highvolume.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com
earthengine.googleapis.com.
O Code Editor do Earth Engine, um ambiente de desenvolvimento integrado (IDE, na sigla em inglês) baseado na Web para a API JavaScript do Earth Engine, não tem suporte e o VPC Service Controls não permite o uso do Code Editor com recursos e clientes dentro de um perímetro de serviço.
Os ativos
legadas não são protegidos pelo VPC Service Controls.
Os apps do Earth Engine não têm suporte para recursos e clientes em um perímetro de serviço.
O VPC Service Controls só está disponível para os planos de preços Premium e Profissional do Earth Engine. Para mais informações sobre os planos de preços, consulte
Planos do Earth Engine.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
apphub.googleapis.com
Detalhes
O App Hub permite descobrir e organizar recursos de infraestrutura em
aplicativos. É possível usar perímetros do VPC Service Controls para proteger os recursos do App Hub.
É necessário configurar o VPC Service Controls no host do App Hub e nos projetos de serviço
antes de criar um aplicativo e registrar serviços e cargas de trabalho nele.
O App Hub é compatível com os seguintes tipos de recursos:
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
cloudcode.googleapis.com
Detalhes
A API Cloud Code pode ser protegida pelo VPC Service Controls. Para usar os recursos com tecnologia Gemini
no Cloud Code, é necessário configurar uma política de entrada para permitir o tráfego de
clientes de ambiente de desenvolvimento integrado. Consulte a documentação
do Gemini para saber mais.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
commerceorggovernance.googleapis.com
Detalhes
O perímetro do VPC Service Controls protege a API Commerce Org Governance para o Google Private Marketplace.
Para mais informações sobre a API Commerce Org Governance, consulte a
documentação do produto.
Limitações
Recursos como a solicitação de compra e a solicitação de acesso, que a API Commerce Org Governance cria no nível do projeto, são exibidos no nível da organização e analisados pelo administrador da organização sem aplicar as políticas do VPC Service Controls.
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
privilegedaccessmanager.googleapis.com
Detalhes
A API do Gerenciador de acesso privilegiado pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Privileged Access Manager, consulte a
documentação do produto.
Limitações
O VPC Service Controls não oferece suporte à adição de recursos no nível da pasta ou da organização a um perímetro de serviço. Não é possível usar um perímetro para proteger recursos do Privileged Access Manager no nível da pasta ou da organização. O VPC Service Controls protege os recursos do Privileged Access Manager no nível do projeto.
Para proteger o Privileged Access Manager, é preciso incluir as seguintes APIs no seu perímetro:
API Privileged Access Manager (privilegedaccessmanager.googleapis.com)
API Cloud Resource Manager (cloudresourcemanager.googleapis.com)
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes
de produção.
Proteção com perímetros?
Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço
auditmanager.googleapis.com
Detalhes
A API do Audit Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Não é possível usar um perímetro para proteger recursos do Audit Manager no nível da pasta ou da organização. Para gerenciar as permissões do Audit Manager no nível da pasta ou da organização, recomendamos o uso do IAM.
Se você executar uma auditoria no projeto, ele será protegido por um perímetro e o bucket do Cloud Storage não estará no mesmo perímetro. Configure uma regra de saída para o projeto que contém o bucket do Cloud Storage.
O IP virtual (VIP, na sigla em inglês) restrito fornece uma maneira para as VMs que estão dentro de um perímetro de
serviço fazer chamadas para os serviços do Google Cloud sem expor as
solicitações à Internet. Para ver uma lista completa dos serviços disponíveis no
VIP restrito, consulte
Serviços compatíveis com o VIP restrito.
Serviços incompatíveis
A tentativa de restringir um serviço incompatível usando a ferramenta de linha de comando gcloud ou
a API Access Context Manager gera erro.
O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls.
Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho
em chamar serviços sem suporte.
Outras limitações conhecidas
Nesta seção, descrevemos as limitações conhecidas para determinados
serviços, produtos e interfaces do Google Cloud que podem ser
encontradas ao usar VPC Service Controls.
Para mais informações sobre como resolver problemas com o VPC Service Controls,
consulte a página Solução de problemas.
API AutoML
Ao usar a API AutoML com o VPC Service Controls, as seguintes limitações se
aplicam:
Não é possível adicionar os endpoints regionais compatíveis,
como eu-automl.googleapis.com, à lista de serviços restritos em um
perímetro. Com a proteção do serviço automl.googleapis.com, o perímetro
também protege os endpoints regionais compatíveis, como eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation,
AutoML Tables
e AutoML Video Intelligence
,
todas usam a API AutoML.
Ao usar um perímetro de serviço para proteger o
automl.googleapis.com, o acesso a todos os produtos AutoML integrados ao VPC
Service
Controls e usados dentro do perímetro é afetado. É preciso configurar o perímetro do VPC Service Controls
em todos os produtos AutoML integrados usados dentro desse
perímetro.
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
API AutoML (automl.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
API BigQuery (bigquery.googleapis.com)
App Engine
O App Engine (ambientes padrão e flexível) não é
compatível com o VPC Service Controls. Não inclua
projetos do App Engine em perímetros de serviço.
No entanto, é possível permitir que aplicativos do App Engine criados em projetos
fora dos perímetros de serviço leiam e gravem dados em serviços protegidos
dentro de perímetros. Para permitir que seu app acesse dados de serviços
protegidos,
crie um nível de acesso
que inclua a conta de serviço do App Engine do projeto. Isso não
permite que o App Engine seja usado dentro de perímetros de serviço.
Solução Bare Metal
Ao conectar o VPC Service Controls ao ambiente da Solução Bare Metal, você não
mantém nenhuma garantia de controle de serviço.
A API da Solução Bare Metal pode ser adicionada a um perímetro seguro. No entanto, os
perímetros do VPC Service Controls não se estendem ao ambiente da Solução Bare Metal
nas extensões regionais.
Blockchain Node Engine
O VPC Service Controls só protege a API Blockchain Node Engine.
Quando um nó é criado, ainda é necessário indicar que ele é destinado a uma
rede particular configurada pelo usuário com o
Private Service Connect.
O tráfego ponto a ponto não é afetado pelo VPC Service Controls ou
pelo Private Service Connect e continua usando a Internet
pública.
Bibliotecas de cliente
As bibliotecas de cliente do Java e Python para todos os serviços com suporte têm permissão total
de acesso usando o VIP restrito. O suporte para
outras linguagens está no estágio Alfa
e deve ser usado apenas para fins de teste.
Os clientes precisam usar bibliotecas de cliente que foram atualizadas a partir
de 1º de novembro de 2018.
As chaves da conta de serviço ou os metadados do cliente OAuth2 usados pelos clientes precisam ser atualizados a partir de 1º de novembro de 2018. Os clientes mais antigos que usam o endpoint de token precisam mudar para o endpoint especificado nos metadados de material/cliente de chave mais recentes.
Cloud Billing
É possível exportar dados do Cloud Billing para um bucket do Cloud Storage ou instância do BigQuery em um projeto protegido por um perímetro de serviço sem configurar um nível de acesso ou uma regra de entrada.
Cloud Deployment Manager
O Deployment Manager não é compatível com o VPC Service Controls.
Os usuários podem chamar serviços que estejam em conformidade com o
VPC Service Controls, mas não devem confiar nisso, já que poderá ser interrompido no futuro.
Como solução alternativa, adicione a conta de serviço do Deployment
Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com)
aos níveis de acesso para permitir chamadas a APIs protegidas pelo VPC Service Controls.
Cloud Shell
O VPC Service Controls não é compatível com o Cloud Shell. O VPC Service Controls
trata o Cloud Shell como fora dos perímetros de serviço e nega acesso
a dados que o VPC Service Controls protege. No entanto, o VPC Service Controls permite o acesso ao Cloud Shell quando um dispositivo que atende aos requisitos de nível de acesso inicia o Cloud Shell.
Console do Google Cloud
Como o console do Google Cloud só pode ser acessado pela Internet,
ele é tratado como recurso externo aos perímetros de serviço. Quando você aplica um perímetro
de serviço, a interface do console do Google Cloud dos serviços
protegidos pode ficar parcial ou totalmente inacessível. Por exemplo, se você
protegeu o Logging com o perímetro, não será possível
acessar a interface dele no
console do Google Cloud.
Para permitir o acesso do console do Google Cloud a recursos protegidos por um
perímetro, você precisa criar um nível de acesso para um intervalo de IPs públicos que
inclua as máquinas dos usuários que querem usar o console do Google Cloud
com APIs protegidas. Por exemplo, adicione o intervalo de IPs públicos
do gateway NAT de sua rede particular a um nível de acesso e, em seguida, atribua esse
nível de acesso ao perímetro de serviço.
Se você quiser limitar o acesso do console do Google Cloud ao perímetro a apenas
um conjunto específico de usuários, também é possível adicioná-los a um nível de
acesso. Nesse caso, somente os usuários especificados poderão acessar o
console do Google Cloud.
As solicitações por meio do console do Google Cloud de uma rede com o acesso privado do Google ativado, incluindo redes ativadas implicitamente pelo Cloud NAT, podem ser bloqueadas mesmo que a rede de origem solicitante e o recurso de destino estejam no mesmo perímetro. Isso porque o acesso ao console do Google Cloud por meio do Acesso privado do Google não é compatível com o VPC Service Controls.
Acesso privado a serviços
O acesso a serviços privados é compatível com a implantação de uma instância de serviço em uma rede VPC compartilhada.
Se você usar essa configuração com o VPC Service Controls, verifique se o projeto host que fornece a rede e o projeto de serviço que contém a instância de serviço estão dentro do mesmo perímetro do VPC Service Controls. Caso contrário, as solicitações podem ser bloqueadas e as instâncias de serviço podem não funcionar corretamente.
Para mais informações sobre Serviços com suporte com acesso a serviços privados, consulte Serviços com suporte.
GKE Multi-cloud
O VPC Service Controls se aplica apenas aos recursos no projeto do
Google Cloud. O ambiente de nuvem de terceiros que hospeda os
clusters do GKE Multi-Cloud não mantém nenhuma garantia
de controle de serviço.
Google Distributed Cloud
O VPC Service Controls só se aplica a máquinas bare metal conectadas a projetos
de rede VPC que usam VIP restrito.
Depois de ativar o perímetro do serviço, não será possível transferir os dados da infraestrutura para o StratoZone.
Federação de identidade de colaboradores
A federação de identidade de colaboradores não é compatível com o VPC Service Controls.
Os pools de força de trabalho são recursos da organização, e o VPC Service Controls não oferece suporte a esse tipo de recurso.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2024-12-05 UTC."],[],[]]