Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina contiene una tabella dei prodotti e dei servizi supportati da
Controlli di servizio VPC, nonché un elenco di limitazioni note con
e le interfacce Google Cloud.
Elenca tutti i servizi supportati
Per recuperare l'elenco completo di tutti i prodotti supportati e dei controlli di servizio VPC
esegui questo comando:
gcloud access-context-manager supported-services list
Riceverai una risposta con un elenco di prodotti e servizi.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Questa risposta include i seguenti valori:
Valore
Descrizione
SERVICE_ADDRESS
Nome del servizio o del prodotto. Ad esempio, aiplatform.googleapis.com.
SERVICE_NAME
Nome del prodotto o servizio. Ad esempio, Vertex AI API.
SERVICE_STATUS
Lo stato dell'integrazione del servizio con i Controlli di servizio VPC. Di seguito sono riportati i valori possibili:
GA: l'integrazione del servizio è completamente supportata dai perimetri Controlli di servizio VPC.
PREVIEW: l'integrazione del servizio è pronta per un test e un uso più ampi, ma non è completamente supportata per gli ambienti di produzione dai perimetri Controlli di servizio VPC.
DEPRECATED: è stata pianificata l'interruzione e la rimozione dell'integrazione del servizio.
RESTRICTED_VIP_STATUS
Specifica se l'integrazione del servizio con i Controlli di servizio VPC è supportata dal VIP limitato. Di seguito sono riportati i valori possibili:
TRUE: l'integrazione del servizio è completamente supportata dal VIP limitato e può essere protetta dai perimetri Controlli di servizio VPC.
FALSE: l'integrazione del servizio non è supportata dal VIP con limitazioni.
Specifica se l'integrazione del servizio con i Controlli di servizio VPC ha limitazioni. Di seguito sono riportati i valori possibili:
TRUE: l'integrazione del servizio con i Controlli di servizio VPC presenta limitazioni note. Per saperne di più su queste limitazioni, puoi controllare la voce corrispondente al servizio nella tabella Prodotti supportati.
FALSE: l'integrazione del servizio con i Controlli di servizio VPC non ha limitazioni note.
Elenca i metodi supportati per un servizio
recuperare l'elenco di metodi e autorizzazioni supportati dai Controlli di servizio VPC
per un servizio, esegui questo comando:
In questa risposta, METHODS_LIST elenca tutti i metodi e
autorizzazioni supportate dai Controlli di servizio VPC per il servizio specificato. Per un
per un elenco completo di tutti i metodi di servizio e le autorizzazioni supportati, consulta
Metodo di servizio supportato
limitazioni.
Prodotti supportati
questa tabella include tutte
prodotti supportati dai Controlli di servizio VPC e che funzionano normalmente
all'interno di un perimetro di servizio. Tuttavia, non tutti i prodotti supportati offrono servizi
che possono essere protette da un perimetro.
Controlli di servizio VPC supporta i seguenti prodotti:
Per utilizzare Infrastructure Manager in un perimetro:
Devi utilizzare un pool privato di Cloud Build per il pool di worker utilizzato da Infrastructure Manager. In questo pool privato devono essere abilitate le chiamate internet pubbliche per scaricare i provider Terraform e la configurazione Terraform. Non puoi utilizzare il pool di worker predefinito di Cloud Build.
I seguenti elementi devono trovarsi nello stesso perimetro:
L'account di servizio utilizzato da Infrastructure Manager.
Il pool di worker di Cloud Build utilizzato da Infrastructure Manager.
Il bucket di archiviazione utilizzato da Infrastructure Manager. Puoi usare il bucket di archiviazione predefinito.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
workloadmanager.googleapis.com
Dettagli
Per utilizzare Gestore carichi di lavoro in un perimetro dei Controlli di servizio VPC:
Devi utilizzare un pool di worker privato di Cloud Build
per l'ambiente di deployment in Gestore carichi di lavoro.
Non puoi utilizzare il pool di worker predefinito di Cloud Build.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
netapp.googleapis.com
Dettagli
L'API per Google Cloud NetApp Volumes può essere protetta dai Controlli di servizio VPC
e utilizzate normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non copre i percorsi del piano dati come le letture e le scritture SMB (Network File System) e Server Message Block (SMB). Inoltre, se i progetti host e di servizio sono configurati in perimetri diversi, potresti riscontrare un'interruzione nell'implementazione dei servizi Google Cloud.
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudsearch.googleapis.com
Dettagli
Google Cloud Search supporta i controlli di sicurezza del virtual private cloud (Controlli di servizio VPC) per migliorare
la sicurezza dei tuoi dati. Controlli di servizio VPC consente di definire un perimetro di sicurezza attorno a Google
Risorse della piattaforma Cloud per limitare l'accesso ai dati e contribuire a mitigare i rischi di esfiltrazione di dati.
Poiché le risorse di Cloud Search non sono archiviate in un progetto Google Cloud, devi
aggiorna le impostazioni cliente di Cloud Search con il progetto protetto dal perimetro VPC. La
Il progetto VPC funge da container di progetto virtuale per tutte le risorse Cloud Search.
Senza creare questa mappatura, i Controlli di servizio VPC non funzioneranno per l'API Cloud Search.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
networkmanagement.googleapis.com
Dettagli
L'API per Connectivity Tests può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
ml.googleapis.com
Dettagli
L'API per AI Platform Training può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Prima di configurare Controlli di servizio VPC per AlloyDB per PostgreSQL, abilita Service Networking
tramite Google Cloud CLI
o tramite l'API Compute Engine.
Quando utilizzi AlloyDB per PostgreSQL con il VPC condiviso e i Controlli di servizio VPC,
il progetto e il progetto di servizio devono trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
notebooks.googleapis.com
Dettagli
L'API per Vertex AI Workbench può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
aiplatform.googleapis.com
Dettagli
L'API per Vertex AI può essere protetta dai Controlli di servizio VPC
e il prodotto può essere utilizzato normalmente
all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
visionai.googleapis.com
Dettagli
L'API per Vertex AI Vision può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Quando il valore di constraints/visionai.disablePublicEndpoint è
disabilitiamo l'endpoint pubblico del cluster. Gli utenti devono connettersi manualmente alla PSC
e accedere al servizio dalla rete privata. Puoi ottenere il target PSC
il
cluster risorsa.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
aiplatform.googleapis.com
Dettagli
L'API per Colab Enterprise può essere protetta dai Controlli di servizio VPC
e il prodotto può essere utilizzato normalmente
all'interno dei perimetri di servizio.
Colab Enterprise fa parte di Vertex AI.
Vedi Vertex AI.
Colab Enterprise utilizza Dataform per l'archiviazione dei blocchi note.
Vedi Dataform.
L'API per Apigee e Apigee hybrid può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
meshca.googleapis.com, meshconfig.googleapis.com
Dettagli
L'API per Anthos Service Mesh può essere protetta dai Controlli di servizio VPC e dal prodotto
possono essere utilizzati normalmente
all'interno dei perimetri di servizio.
Puoi utilizzare mesh.googleapis.com per abilitare le API richieste per Cloud Service Mesh.
Non è necessario limitare mesh.googleapis.com nel perimetro poiché non espone nessuna API.
Poiché Artifact Registry utilizza il dominio pkg.dev, devi
configurare il DNS
per *.pkg.dev per mappare private.googleapis.com o restricted.googleapis.com.
Per ulteriori informazioni, consulta la sezione Protezione
in un perimetro di servizio.
Oltre agli artefatti all'interno di un perimetro disponibili
Artifact Registry, i seguenti repository di sola lettura in Container Registry
sono disponibili per tutti i progetti indipendentemente dai perimetri di servizio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In tutti i casi, le versioni regionali di questi repository vengono
disponibili.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
assuredworkloads.googleapis.com
Dettagli
L'API per Assured Workloads può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso servizio
.
Non puoi aggiungere gli endpoint a livello di regione supportati,
come eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche i servizi supportati
a livello di regione, come eu-automl.googleapis.com.
Per saperne di più, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
automl.googleapis.com, eu-automl.googleapis.com
Dettagli
Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso servizio
.
Non puoi aggiungere gli endpoint a livello di regione supportati,
come eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche i servizi supportati
a livello di regione, come eu-automl.googleapis.com.
Per saperne di più, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso servizio
.
Non puoi aggiungere gli endpoint a livello di regione supportati,
come eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche i servizi supportati
a livello di regione, come eu-automl.googleapis.com.
Per saperne di più, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
automl.googleapis.com, eu-automl.googleapis.com
Dettagli
Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso servizio
.
Non puoi aggiungere gli endpoint a livello di regione supportati,
come eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche i servizi supportati
a livello di regione, come eu-automl.googleapis.com.
Per saperne di più, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso servizio
.
Non puoi aggiungere gli endpoint a livello di regione supportati,
come eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche i servizi supportati
a livello di regione, come eu-automl.googleapis.com.
Per saperne di più, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
No. L'API per Bare Metal Solution non può essere protetta dai perimetri di servizio.
Tuttavia, Bare Metal Solution può essere utilizzata normalmente in progetti all'interno di un perimetro.
Dettagli
L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia,
I perimetri Controlli di servizio VPC non si estendono alla soluzione Bare Metal Solution
delle estensioni a livello di regione.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
batch.googleapis.com
Dettagli
L'API per Batch può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
biglake.googleapis.com
Dettagli
L'API per BigLake Metastore può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
bigquery.googleapis.com
Dettagli
Quando proteggi l'API BigQuery
utilizzando un perimetro di servizio, l'API BigQuery Storage, l'API BigQuery Reservation
Anche le API BigQuery Connection sono protette. Non è necessario separare
aggiungi queste API all'elenco di servizi protetti del tuo perimetro.
I record del log di controllo di BigQuery non includono sempre tutti
di risorse che sono state usate quando è stata effettuata una richiesta a causa del servizio
per l'elaborazione interna dell'accesso a più risorse.
Quando accedi a un'istanza BigQuery protetta da un servizio
il job BigQuery deve essere eseguito all'interno di un progetto
all'interno del perimetro o in un progetto consentito da un traffico in uscita
del perimetro. Per impostazione predefinita, il client BigQuery
le librerie eseguono job all'interno dell'account di servizio o del progetto dell'utente
causando il rifiuto della query da parte dei Controlli di servizio VPC.
BigQuery blocca il salvataggio dei risultati delle query su Google Drive dal
Perimetro protetto Controlli di servizio VPC.
Se concedi l'accesso utilizzando una regola in entrata con gli account utente
come tipo di identità, non puoi visualizzare BigQuery
dell'utilizzo delle risorse o l'esplorazione dei job amministrativi
Monitoring. Per utilizzare queste funzionalità, configura un
regola in entrata che
usa ANY_IDENTITY come tipo di identità.
Controlli di servizio VPC è supportato solo quando si esegue l'analisi tramite
BigQuery Enterprise, Enterprise Plus o
On demand.
L'API BigQuery Reservation è parzialmente supportata.
Lo
L'API BigQuery Reservation, che crea la risorsa di assegnazione, non applica
limitazioni per perimetro di servizio
per gli assegnatari dell'assegnazione.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
bigquerydatapolicy.googleapis.com
Dettagli
L'API BigQuery Data Policy può essere protetta dai Controlli di servizio VPC e il prodotto
possono essere utilizzati normalmente
all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
bigquerydatatransfer.googleapis.com
Dettagli
Il perimetro di servizio protegge solo l'API BigQuery Data Transfer Service. L'effettiva protezione dei dati è
applicato da BigQuery. È progettato per consentire l'importazione di dati da
da origini esterne a Google Cloud, come Amazon S3, Redshift, Teradata, YouTube
Google Play e Google Ads in set di dati BigQuery. Per informazioni su
Requisiti dei Controlli di servizio VPC per la migrazione dei dati da Teradata, consulta
Controlli di servizio
requisiti.
BigQuery Data Transfer Service non supporta l'esportazione di dati da un
set di dati BigQuery. Per ulteriori informazioni,
consulta Esportazione dei dati di una tabella.
Per trasferire i dati tra progetti, il progetto di destinazione deve trovarsi all'interno del percorso
stesso perimetro del progetto di origine, altrimenti una regola in uscita deve consentire il trasferimento
di dati fuori dal perimetro. Per informazioni sull'impostazione delle regole di traffico in uscita, consulta
Limitazioni in Gestisci
Set di dati BigQuery.
BigQuery Data Transfer Service non supporta origini dati di terze parti per il trasferimento
in progetti protetti da un perimetro di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
bigquerymigration.googleapis.com
Dettagli
L'API BigQuery Migration può essere protetta dai Controlli di servizio VPC e il prodotto
possono essere utilizzati normalmente
all'interno dei perimetri di servizio.
bigtable.googleapis.com e bigtableadmin.googleapis.com
sono in bundle. Se limiti bigtable.googleapis.com
servizio in un perimetro, limita il valore bigtableadmin.googleapis.com
per impostazione predefinita. Non puoi aggiungere bigtableadmin.googleapis.com
all'elenco dei servizi limitati in un perimetro perché è in bundle con
bigtable.googleapis.com.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
binaryauthorization.googleapis.com
Dettagli
Se usi più progetti con Autorizzazione binaria, ogni progetto deve essere
incluse nel perimetro dei Controlli di servizio VPC. Per ulteriori informazioni su questo caso d'uso, vedi
Configurazione per più progetti.
Con Autorizzazione binaria, puoi utilizzare Artifact Analysis per archiviare
attestanti e attestazioni come note e occorrenze. In questo caso, devi
Includere anche Artifact Analysis nel perimetro dei Controlli di servizio VPC.
Consulta le indicazioni sui Controlli di servizio VPC per Artifact Analysis
per ulteriori dettagli.
Le integrazioni Blockchain Node Engine con i Controlli di servizio VPC hanno
seguenti:
I Controlli di servizio VPC proteggono solo l'API Blockchain Node Engine.
Quando viene creato un nodo, devi comunque indicare che è destinato a un ambiente privato configurato dall'utente
rete con
Private Service Connect.
Il traffico peer-to-peer non è influenzato dai Controlli di servizio VPC o
Private Service Connect e continuerà a utilizzare la rete internet pubblica.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
privateca.googleapis.com
Dettagli
L'API per Certificate Authority Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Per utilizzare Certificate Authority Service in un ambiente protetto, devi aggiungere anche
API Cloud KMS (cloudkms.googleapis.com) e API Cloud Storage
(storage.googleapis.com) al perimetro di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
krmapihosting.googleapis.com
Dettagli
Per utilizzare Config Controller con Controlli di servizio VPC, devi abilitare le seguenti API all'interno
il tuo perimetro:
API Cloud Monitoring (monitoring.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
API Google Cloud Observability (logging.googleapis.com)
API Security Token Service (sts.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Se esegui il provisioning delle risorse con Config Controller, devi abilitare l'API per
per le risorse nel tuo perimetro di servizio. Ad esempio, se vuoi aggiungere un IAM
devi aggiungere l'API IAM (iam.googleapis.com).
Stabilisci il perimetro di sicurezza dei Controlli di servizio VPC prima di creare
Istanza privata di Cloud Data Fusion. Protezione perimetrale per
le istanze create prima di configurare i Controlli di servizio VPC
supportati.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
datalineage.googleapis.com
Dettagli
L'API for Data Lineage può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
compute.googleapis.com
Dettagli
Il supporto dei Controlli di servizio VPC per Compute Engine offre le seguenti opzioni di sicurezza
vantaggi:
Limita l'accesso a operazioni API sensibili
Limita gli snapshot di disco permanente e le immagini personalizzate a un perimetro
Limita l'accesso ai metadati dell'istanza
Il supporto dei Controlli di servizio VPC per Compute Engine consente inoltre di utilizzare
Reti Virtual Private Cloud e cluster privati di Google Kubernetes Engine
all'interno dei perimetri di servizio.
Le operazioni di peering VPC non applicano le restrizioni per perimetro di servizio VPC.
La projects.ListXpnHosts
Il metodo API per il VPC condiviso non applica restrizioni per i perimetro di servizio
i progetti restituiti.
per abilitare la creazione di un'immagine Compute Engine da un
Cloud Storage in un progetto protetto da
perimetro di servizio, l'utente che sta creando l'immagine deve essere aggiunto
temporaneamente a una regola in entrata del perimetro.
Controlli di servizio VPC non supporta l'utilizzo della versione open source di Kubernetes sulle VM di Compute Engine all'interno di un perimetro di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
contactcenterinsights.googleapis.com
Dettagli
Per utilizzare Contact Center AI Insights con i Controlli di servizio VPC, devi disporre di quanto segue
di API aggiuntive all'interno del tuo perimetro, a seconda dell'integrazione.
Per caricare i dati in Contact Center AI Insights, aggiungi l'API Cloud Storage al perimetro di servizio.
Per utilizzare l'esportazione, aggiungi l'API BigQuery al perimetro di servizio.
Per integrare più prodotti CCAI, aggiungi l'API Vertex AI al perimetro di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
dataflow.googleapis.com
Dettagli
Dataflow supporta una serie di
connettori per i servizi di archiviazione. I seguenti connettori sono stati
verificato per funzionare con Dataflow all'interno di un perimetro di servizio:
L'associazione BIND personalizzata non è supportata quando si utilizza Dataflow. Per personalizzare la risoluzione DNS quando
utilizzando Dataflow con i Controlli di servizio VPC, usa le zone private di Cloud DNS
anziché utilizzare server BIND personalizzati. Per utilizzare la tua risoluzione DNS on-premise, valuta la possibilità di usare un
Metodo di forwarding DNS di Google Cloud.
Non è stato verificato che tutti i connettori dei servizi di archiviazione funzionino quando vengono utilizzati
con Dataflow all'interno di un perimetro di servizio. Per un elenco di
connettori verificati, consulta "Dettagli" nella sezione precedente.
Quando si utilizza Python 3.5 con Apache Beam SDK 2.20.0‐2.22.0,
I job Dataflow non riusciranno all'avvio se i worker hanno
solo indirizzi IP privati, ad esempio quando utilizzi Controlli di servizio VPC per proteggere le risorse.
Se i worker Dataflow possono avere solo indirizzi IP privati, ad esempio quando si utilizzano Controlli di servizio VPC per proteggere le risorse,
non usare Python 3.5 con Apache Beam SDK 2.20.0‐2.22.0. Questa combinazione causa la mancata riuscita dei job all'avvio.
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
dataplex.googleapis.com
Dettagli
L'API per Dataplex può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Prima di creare le risorse Dataplex, configura i Controlli di servizio VPC
perimetro di sicurezza. In caso contrario, le tue risorse non dispongono di protezione perimetrale.
Dataplex supporta i seguenti tipi di risorse:
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
metastore.googleapis.com
Dettagli
L'API per Dataproc Metastore può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
datastream.googleapis.com
Dettagli
L'API per Datastream può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
datamigration.googleapis.com
Dettagli
L'API per Database Migration Service può essere protetta dai Controlli di servizio VPC e il prodotto può
e utilizzate normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Database Migration Service Admin. Non proteggono
Accesso ai dati basato su IP ai database sottostanti (ad esempio istanze Cloud SQL). Limitare l'accesso pubblico
Per l'accesso IP sulle istanze Cloud SQL, utilizza un vincolo dei criteri dell'organizzazione.
Quando utilizzi un file Cloud Storage nella fase di dump iniziale della migrazione,
e aggiungere il bucket Cloud Storage allo stesso perimetro di servizio.
Quando utilizzi una chiave di crittografia gestita dal cliente (CMEK) nel database di destinazione, assicurati che si trovi nella
lo stesso perimetro di servizio del profilo di connessione che contiene la chiave.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
dialogflow.googleapis.com
Dettagli
L'API per Dialogflow può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
dlp.googleapis.com
Dettagli
L'API Sensitive Data Protection può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Poiché al momento Controlli di servizio VPC non supporta cartelle
risorse dell'organizzazione, le chiamate di Sensitive Data Protection potrebbero restituire una risposta 403 quando tenti di accedere
a livello di organizzazione. Consigliamo di utilizzare IAM per gestire
Autorizzazioni di Sensitive Data Protection a livello di cartella e organizzazione.
Puoi accedere a Cloud DNS tramite il VIP con restrizioni. Tuttavia,
non puoi creare o aggiornare zone DNS pubbliche all'interno di progetti all'interno del
Perimetro Controlli di servizio VPC.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
contentwarehouse.googleapis.com
Dettagli
L'API per Document AI Warehouse può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
domains.googleapis.com
Dettagli
L'API per Cloud Domains può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
I dati di configurazione DNS utilizzati in
Cloud Domains: server dei nomi
e le impostazioni DNSSEC:
pubblico. Se il tuo dominio delega a una zona DNS pubblica, ovvero
predefinita, anche i dati di configurazione DNS di quella zona saranno pubblici.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
eventarc.googleapis.com
Dettagli
Eventarc gestisce la consegna degli eventi utilizzando Pub/Sub
argomenti e sottoscrizioni push. per accedere all'API Pub/Sub e gestire l'evento
dei trigger, l'API Eventarc deve essere protetta all'interno degli stessi Controlli di servizio VPC
il perimetro di servizio
come l'API Pub/Sub.
Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:
Eventarc è vincolato dalle stesse limitazioni di Pub/Sub:
Quando si instradano eventi alle destinazioni di Cloud Run, viene usato il nuovo Pub/Sub
non è possibile creare sottoscrizioni push a meno che gli endpoint push non siano impostati su
Servizi Cloud Run con URL run.app predefiniti (dati personalizzati
non funzionano).
Quando si instradano eventi a destinazioni di Workflows per cui
L'endpoint push di Pub/Sub è impostato su Workflows
puoi solo creare nuove sottoscrizioni push di Pub/Sub
tramite Eventarc.
I Controlli di servizio VPC bloccano la creazione di trigger Eventarc
per interni
Endpoint HTTP. La protezione dei Controlli di servizio VPC non si applica durante il routing
per eventi a tali destinazioni.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
edgenetwork.googleapis.com
Dettagli
L'API per Distributed Cloud Edge Network può essere protetta dai Controlli di servizio VPC
e utilizzati normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sull'API Distributed Cloud Edge Network, fai riferimento alle
documentazione sul prodotto.
Limitazioni
L'integrazione dell'API Distributed Cloud Edge Network con i Controlli di servizio VPC non presenta limitazioni note.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
firebaseappcheck.googleapis.com
Dettagli
Quando configuri e scambi i token Firebase App Check, Controlli di servizio VPC
protegge solo il servizio Firebase App Check. Per proteggere i servizi che si basano su
Firebase App Check, devi configurare i perimetri di servizio per questi servizi.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
firebaserules.googleapis.com
Dettagli
Quando gestisci i criteri delle regole di sicurezza di Firebase, Controlli di servizio VPC protegge
solo il servizio Regole di sicurezza Firebase. Per proteggere i servizi che si basano su
Regole di sicurezza di Firebase, devi impostare le autorizzazioni di servizio per questi servizi.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudfunctions.googleapis.com
Dettagli
Consulta la documentazione sulle funzioni di Cloud Run
per la procedura di configurazione. La protezione dei Controlli di servizio VPC non si applica alla fase di creazione quando
Le funzioni di Cloud Run vengono create
con Cloud Build. Per ulteriori dettagli, consulta le limitazioni note.
Le funzioni Cloud Run utilizzano Cloud Build, Container Registry
Cloud Storage per creare e gestire il codice sorgente in un container eseguibile. Se
uno qualsiasi di questi servizi è limitato dal perimetro di servizio, dai Controlli di servizio VPC
blocca la build delle funzioni di Cloud Run, anche se le funzioni Cloud Run non vengono aggiunte come
un servizio limitato al perimetro. Per utilizzare le funzioni di Cloud Run all'interno di un servizio
devi configurare una regola in entrata per il perimetro
l'account di servizio Cloud Build
nel tuo perimetro di servizio.
Per consentire alle tue funzioni di usare dipendenze esterne come i pacchetti npm,
Cloud Build ha accesso a internet illimitato. Questo accesso a internet
potrebbe essere utilizzata per esfiltrare i dati disponibili al momento della creazione, come
al codice sorgente caricato. Se vuoi mitigare questa esfiltrazione
di deployment, ti consigliamo di consentire
solo agli sviluppatori attendibili
funzioni. Non concedere
Ruoli IAM Proprietario, Editor o Sviluppatore delle funzioni Cloud Run
a sviluppatori non attendibili.
Se specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per eseguire il deployment di funzioni Cloud Run da una macchina locale.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Quando i servizi per le funzioni di Cloud Run vengono richiamati da trigger HTTP, i Controlli di servizio VPC
l'applicazione dei criteri non utilizza l'autenticazione IAM del client
informazioni. Regole dei criteri in entrata dei Controlli di servizio VPC che utilizzano IAM
e non sono supportate. Livelli di accesso per i perimetri Controlli di servizio VPC che utilizzano
Le entità IAM non sono supportate.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
iam.googleapis.com
Dettagli
Quando limiti IAM con un perimetro, vengono applicate solo le azioni
di usare l'API IAM sono limitate. Queste azioni includono la gestione
ruoli IAM personalizzati, gestione dei pool di identità per i carichi di lavoro
e chiavi di Google Cloud. Il perimetro non
limita le azioni dei pool di forza lavoro perché i pool di forza lavoro sono
a livello di organizzazione.
Il perimetro attorno a IAM non
limitare la gestione degli accessi, ovvero ottenere
IAM) per le risorse di proprietà di altri servizi,
come progetti, cartelle e organizzazioni di Resource Manager oppure
di Compute Engine. Limitare l'accesso
gestire la gestione di queste risorse, crei un perimetro che limiti
proprietario delle risorse. Per un elenco di risorse che accettano
ai criteri IAM e ai servizi che li possiedono, consulta
Tipi di risorse che accettano
criteri IAM.
Inoltre, il perimetro che circonda IAM non
limita le azioni che utilizzano altre API, tra cui:
API IAM Policy Simulator
API IAM Policy Troubleshooter
API Security Token Service
API Service Account Credentials (inclusi signBlob e
signJwt nell'API IAM)
Se ci si trova all'interno del perimetro, non è possibile chiamare il metodo
Metodo roles.list con
una stringa vuota per elencare i ruoli IAM predefiniti. Per visualizzare
sui ruoli predefiniti, consulta
Ruolo IAM
documentazione.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
kmsinventory.googleapis.com
Dettagli
L'API per l'inventario di Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
iamcredentials.googleapis.com
Dettagli
L'API per le credenziali dell'account di servizio può essere protetta dai Controlli di servizio VPC
e utilizzate normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sulle credenziali dell'account di servizio, consulta
documentazione sul prodotto.
Limitazioni
L'integrazione delle credenziali dell'account di servizio con i Controlli di servizio VPC non ha limitazioni note.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloud.googleapis.com
Dettagli
L'API per i metadati di servizio può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
vpcaccess.googleapis.com
Dettagli
L'API per l'accesso VPC serverless può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudkms.googleapis.com
Dettagli
L'API Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzate all'interno dei perimetri di servizio. Anche l'accesso ai servizi Cloud HSM è protetto
dai Controlli di servizio VPC e possono essere
utilizzate all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudaicompanion.googleapis.com
Dettagli
L'API per Gemini Code Assist può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
iaptunnel.googleapis.com
Dettagli
L'API Identity-Aware Proxy per TCP può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Solo l'API di utilizzo di IAP per TCP può essere protetta da un perimetro.
L'API amministrativa non può essere protetta da un perimetro.
Per utilizzare IAP per TCP all'interno di un perimetro di servizio Controlli di servizio VPC,
aggiungi o configura DNS
per indirizzare i seguenti domini al VIP con restrizioni:
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
lifesciences.googleapis.com
Dettagli
L'API per Cloud Life Sciences può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
recaptchaenterprise.googleapis.com
Dettagli
L'API per reCAPTCHA può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
webrisk.googleapis.com
Dettagli
L'API per Web Risk può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
recommender.googleapis.com
Dettagli
L'API per il motore per suggerimenti può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
secretmanager.googleapis.com
Dettagli
L'API per Secret Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
pubsub.googleapis.com
Dettagli
La protezione dei Controlli di servizio VPC si applica a tutte le operazioni dell'amministratore, alle operazioni del publisher e
operazioni con gli abbonati (ad eccezione delle sottoscrizioni push esistenti).
Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:
Non è possibile creare nuove sottoscrizioni push a meno che gli endpoint push non siano impostati su
Servizi Cloud Run con URL run.app predefiniti o un
Esecuzione di Workflows
(i domini personalizzati non funzionano). Per maggiori informazioni
informazioni sull'integrazione con Cloud Run, consulta
Utilizzo dei Controlli di servizio VPC.
Per le sottoscrizioni non push, devi creare una sottoscrizione nello stesso perimetro di
all'argomento o abilitare le regole in uscita per consentire l'accesso dall'argomento alla sottoscrizione.
Durante il routing degli eventi tramite Eventarc a Workflows
i target per i quali l'endpoint push è impostato su un'esecuzione di Workflows,
può creare nuove sottoscrizioni push solo tramite Eventarc.
Le sottoscrizioni Pub/Sub create prima del perimetro di servizio
non bloccato.
Per utilizzare Cloud Deploy in un perimetro, devi utilizzare un pool privato di Cloud Build per gli ambienti di esecuzione della destinazione.
Non utilizzare il pool di worker predefinito (Cloud Build) e non utilizzare un pool ibrido.
L'abilitazione della serializzazione DAG impedisce ad Airflow di visualizzare un rendering
con funzioni nella UI web.
L'impostazione del flag async_dagbag_loader su True non è supportata durante il DAG
la serializzazione sia abilitata.
L'abilitazione della serializzazione dei DAG disabilita tutti i plug-in dei server web di Airflow, che
rischiano la sicurezza della rete VPC in cui Cloud Composer
di cui è stato eseguito il deployment. Questo non influisce sul comportamento dei plug-in di scheduler o worker,
inclusi operatori e sensori Airflow.
Quando Cloud Composer è in esecuzione all'interno di un perimetro,
I repository PyPI sono limitati. In Cloud Composer
consulta la documentazione
Installare le dipendenze Python
per scoprire come installare i moduli PyPi in modalità IP privato.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudquotas.googleapis.com
Dettagli
L'API per le quote di Cloud può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Poiché i Controlli di servizio VPC applicano i confini a livello di progetto,
Richieste di Cloud Quotas provenienti da client all'interno del
può accedere alle risorse dell'organizzazione solo se l'organizzazione configura
regola di traffico in uscita.
Quando si richiede un
diminuzione della quota
, Cloud Quotas esegue una chiamata da service to service (S2S)
monitoraggio.
Questa chiamata S2S non ha origine all'interno del perimetro
Di conseguenza, se la richiesta di riduzione viene bloccata dai Controlli di servizio VPC,
Crea un
Regola in entrata
che consente alla chiamata S2S dalla tua identità e da tutte le origini di
Monitoraggio al progetto per cui richiedi la quota
una diminuzione costante.
di Gemini Advanced.
Per configurare una regola in entrata o in uscita, consulta le istruzioni dei Controlli di servizio VPC per
configurazione
in entrata e in uscita.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
run.googleapis.com
Dettagli
È richiesta una configurazione aggiuntiva per Cloud Run. Segui
le istruzioni riportate nella pagina della documentazione relativa ai Controlli di servizio VPC di Cloud Run.
Per Artifact Registry e Container Registry, il registry in cui archivi il tuo container
deve trovarsi nello stesso perimetro dei Controlli di servizio VPC del progetto in cui viene eseguito il deployment. La
il codice da creare deve trovarsi nello stesso perimetro dei Controlli di servizio VPC del registro in cui
viene eseguito il push del container.
Cloud Run
deployment continuo
non è disponibile per i progetti all'interno di un perimetro dei Controlli di servizio VPC.
Quando i servizi Cloud Run vengono richiamati, i Controlli di servizio VPC
l'applicazione dei criteri non utilizza l'autenticazione IAM del client
informazioni. Tali richieste presentano le seguenti limitazioni:
Regole dei criteri in entrata dei Controlli di servizio VPC che utilizzano IAM
e non sono supportate.
Livelli di accesso per i perimetri Controlli di servizio VPC che utilizzano IAM
e non sono supportate.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
spanner.googleapis.com
Dettagli
L'API per Spanner può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
speakerid.googleapis.com
Dettagli
L'API per Speaker ID può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
storage.googleapis.com
Dettagli
L'API per Cloud Storage può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Quando utilizzi la funzionalità Pagamenti a carico del richiedente con
in un bucket di archiviazione all'interno di un perimetro di servizio che
Cloud Storage, non puoi identificare un progetto da pagare che
all'esterno del perimetro. Il progetto di destinazione deve trovarsi nello stesso perimetro
come bucket di archiviazione o in un bridge del perimetro con il progetto del bucket.
Per i progetti in un perimetro di servizio, la pagina Cloud Storage nella
La console Google Cloud non è accessibile se l'API Cloud Storage
è protetta da quel perimetro. Se vuoi concedere l'accesso ai
devi creare una regola in entrata e/o un livello di accesso che includa l'utente
e/o l'intervallo IP pubblico a cui vuoi consentire l'accesso
l'API Cloud Storage.
Nei record degli audit log, il valore per methodName non è sempre corretto. Me
consigliamo di non filtrare i record degli audit log di Cloud Storage
di methodName.
In alcuni casi, i log dei bucket legacy di Cloud Storage possono essere
verso destinazioni esterne al perimetro di servizio anche quando l'accesso è negato.
Quando provi a utilizzare gsutil per la prima volta in un nuovo progetto,
potrebbe essere richiesto di abilitare il servizio storage-api.googleapis.com. Mentre
non puoi proteggere direttamente storage-api.googleapis.com, quando
utilizzando un perimetro di servizio, le operazioni gsutil vengono
anche protetti.
In alcuni casi, gli oggetti Cloud Storage che erano pubblici sono accessibili anche
dopo aver abilitato i Controlli di servizio VPC sugli oggetti. Gli oggetti sono accessibili finché non
scadono dalle cache integrate e da eventuali altre cache upstream sulla rete
l'utente finale e Cloud Storage. Cloud Storage memorizza nella cache pubblicamente
accessibili per impostazione predefinita nella rete Cloud Storage.
Per ulteriori informazioni su come gli oggetti Cloud Storage vengono memorizzati nella cache,
consulta Cloud Storage
Per informazioni sul periodo di tempo in cui un oggetto può essere memorizzato nella cache, consulta
Metadati di controllo della cache.
Quando specifichi un criterio di traffico in entrata o in uscita per un perimetro di servizio, non puoi
utilizza ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come identità
per tutte le operazioni di Cloud Storage che utilizzano
URL firmati.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
URL firmati
che supportano i Controlli di servizio VPC.
Controlli di servizio VPC utilizza le credenziali di firma dell'account utente o di servizio che ha firmato
URL firmato
per valutare i controlli dei Controlli di servizio VPC, non il chiamante o le credenziali dell'utente che avviano la connessione.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudtasks.googleapis.com
Dettagli
L'API per Cloud Tasks può essere protetta dai Controlli di servizio VPC
può essere usato normalmente all'interno dei perimetri di servizio.
Le richieste HTTP dalle esecuzioni di Cloud Tasks sono supportate come segue:
Richieste autenticate ai controlli di servizio VPC conformi ai Controlli di servizio VPC
Le funzioni di Cloud Run e gli endpoint Cloud Run sono consentiti.
Richieste a funzioni non Cloud Run e non Cloud Run
sono bloccati.
Richieste a funzioni Cloud Run non conformi a Controlli di servizio VPC
e gli endpoint Cloud Run sono bloccati.
I perimetri di servizio proteggono solo l'API Cloud SQL Admin. Loro
non proteggono l'accesso ai dati basato su IP alle istanze Cloud SQL. Devi
Utilizzare un vincolo dei criteri dell'organizzazione
per limitare l'accesso IP pubblico
sulle istanze Cloud SQL.
Prima di configurare Controlli di servizio VPC per Cloud SQL, abilita Service Networking
tramite Google Cloud CLI
o tramite l'API Compute Engine.
Le importazioni e le esportazioni di Cloud SQL possono eseguire letture e scritture solo da un
nello stesso perimetro di servizio del bucket Cloud Storage
dell'istanza di replica Cloud SQL.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
videointelligence.googleapis.com
Dettagli
L'API per Video Intelligence può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
vision.googleapis.com
Dettagli
L'API per l'API Cloud Vision può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Anche se crei una regola in uscita per consentire le chiamate agli URL pubblici da
all'interno dei perimetri Controlli di servizio VPC, l'API Cloud Vision blocca le chiamate agli URL pubblici.
Poiché l'API Container Scanning è un'API senza superficie che archivia i risultati,
In Artifact Analysis, non è necessario proteggere l'API con un servizio
perimetrale.
Se specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Container Registry.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Oltre ai container all'interno di un perimetro disponibili
di Container Registry, dei seguenti repository di sola lettura
sono disponibili per tutti i progetti, indipendentemente dalle restrizioni imposte dai perimetri di servizio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In tutti i casi, le versioni multiregionali di questi repository vengono
disponibili.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
container.googleapis.com
Dettagli
L'API per Google Kubernetes Engine può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Per proteggere completamente l'API Google Kubernetes Engine, devi includere l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) anche nel tuo perimetro.
Solo i cluster privati possono essere protetti utilizzando i Controlli di servizio VPC. Cluster con
gli indirizzi IP pubblici non sono supportati dai Controlli di servizio VPC.
La scalabilità automatica funziona indipendentemente da GKE. Poiché i Controlli di servizio VPC
non supporta autoscaling.googleapis.com, la scalabilità automatica non funziona.
Quando utilizzi GKE, puoi ignorare SERVICE_NOT_ALLOWED_FROM_VPC
negli audit log causata dal servizio autoscaling.googleapis.com.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
containersecurity.googleapis.com
Dettagli
L'API per Container Security può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
containerfilesystem.googleapis.com
Dettagli
Flusso di immagini è una funzionalità di flussi di dati di GKE che fornisce
tempi di pull delle immagini container più brevi per le immagini archiviate in Artifact Registry.
Se Controlli di servizio VPC protegge le immagini container e utilizzi il flusso di immagini,
devi includere anche l'API Image Streaming nel perimetro di servizio.
Le API di gestione del parco risorse, incluso il gateway Connect, possono essere protette con i Controlli di servizio VPC e le funzionalità di gestione del parco risorse possono essere utilizzate normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni, consulta le seguenti risorse:
Sebbene tutte le funzionalità di gestione del parco risorse possano essere utilizzate normalmente, l'attivazione di un servizio
il perimetro attorno all'API Stackdriver limita il parco risorse di Policy Controller
funzionalità di integrazione con Security Command Center.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudresourcemanager.googleapis.com
Dettagli
I seguenti metodi dell'API Cloud Resource Manager possono essere protetti dai Controlli di servizio VPC:
Solo le chiavi tag associate direttamente da una risorsa di progetto e valori dei tag corrispondenti
può essere protetto
tramite i Controlli di servizio VPC. Quando un progetto viene aggiunto
Perimetro dei Controlli di servizio VPC, tutte le chiavi tag e i valori tag corrispondenti in
sono considerate risorse all'interno del perimetro.
Chiavi tag associate a una risorsa organizzazione e valori tag corrispondenti
non possono essere incluse in un perimetro dei Controlli di servizio VPC e non possono essere protette utilizzando
Controlli di servizio VPC.
I client all'interno di un perimetro dei Controlli di servizio VPC non possono accedere alle chiavi tag e
valori corrispondenti associati a una risorsa organizzazione, a meno che non venga applicata una regola in uscita
l'autorizzazione dell'accesso è impostata
sul perimetro. Per ulteriori informazioni sull'impostazione del traffico in uscita
vedi le regole, consulta
Regole in entrata e in uscita.
Le associazioni di tag sono considerate risorse all'interno dello stesso perimetro della risorsa
a cui è associato il valore tag. Ad esempio, le associazioni di tag su un
di un progetto è considerata appartenente al progetto indipendentemente da dove
chiave tag definita.
Alcuni servizi, come Compute Engine, consentono
creare associazioni di tag
usando le proprie API di servizio, oltre alle API di servizio Resource Manager. Per
dell'aggiunta di tag a una VM Compute Engine durante la creazione delle risorse. Per proteggere
associazioni di tag create o eliminate utilizzando queste API di servizio, aggiungi il corrispondente
come compute.googleapis.com, all'elenco delle restrizioni
dei servizi nel perimetro.
I tag supportano restrizioni a livello di metodo, quindi puoi definire l'ambito
method_selectors a specifici metodi dell'API. Per un elenco di
, consulta
Limitazioni dei metodi di servizio supportati.
La concessione del ruolo di proprietario in un progetto tramite la console Google Cloud è ora supportata da
Controlli di servizio VPC. Non puoi inviare un invito come proprietario o accettare un invito
fuori dai perimetri di servizio. Se provi ad accettare un invito dall'esterno del perimetro
non ti verrà concesso il ruolo di proprietario e non verrà visualizzato alcun messaggio di errore o di avviso.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
logging.googleapis.com
Dettagli
L'API per Cloud Logging può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Sink di log aggregati (sink di cartelle o organizzazioni in cui
includeChildren è true) può accedere ai dati dei progetti all'interno di un servizio
perimetrale. Per impedire ai sink di log aggregati di accedere ai dati all'interno di un perimetro, consigliamo di
utilizzando IAM per gestire le autorizzazioni di Logging a livello di cartella
di log aggregati a livello di organizzazione.
Controlli di servizio VPC non supporta l'aggiunta di cartelle o
dell'organizzazione ai perimetri di servizio. Pertanto, non puoi utilizzare Controlli di servizio VPC
proteggere i log a livello di cartella e organizzazione, inclusi i log aggregati. Per gestire il logging
a livello di cartella o di organizzazione, consigliamo di utilizzare IAM.
Se esegui il routing dei log, utilizzando un sink di log a livello di organizzazione o di cartella, a un
risorsa protetta da un perimetro di servizio, devi aggiungere una regola in entrata
perimetro di servizio. La regola in entrata deve consentire l'accesso alla risorsa dal servizio
utilizzato dal sink di log. Questo passaggio non è necessario per i sink a livello di progetto.
Se specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per esportare i log da un sink Cloud Logging a una risorsa Cloud Storage.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
certificatemanager.googleapis.com
Dettagli
L'API per il Gestore certificati può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
monitoring.googleapis.com
Dettagli
L'API per Cloud Monitoring può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
È possibile usare canali di notifica, criteri di avviso e metriche personalizzate
per esfiltrare dati/metadati. A oggi, un utente di
Monitoring può impostare un canale di notifica che rimandi a
una persona giuridica esterna all'organizzazione, ad es. "utentenonvalido@aziendanonvalida.it". La
poi configura metriche personalizzate e criteri di avviso corrispondenti che
utilizzare il canale di notifica. Di conseguenza, manipolando il modello
metriche, l'utente può attivare avvisi e inviare notifiche di attivazione degli avvisi,
di esfiltrare i dati sensibili in baduser@badcompany.com, al di fuori di
il perimetro dei Controlli di servizio VPC.
Qualsiasi VM di Compute Engine o AWS con il
Agente Monitoring
installato deve trovarsi all'interno del perimetro o dell'agente dei Controlli di servizio VPC
le scritture delle metriche avranno esito negativo.
Tutti i pod GKE devono trovarsi all'interno
il perimetro dei Controlli di servizio VPC
GKE Monitoring non funzionerà.
Quando esegui query sulle metriche per un
ambito delle metriche, solo
Il perimetro dei Controlli di servizio VPC del progetto di definizione dell'ambito per l'ambito delle metriche è
considerati. I perimetri dei singoli progetti monitorati
nell'ambito delle metriche non vengono prese in considerazione.
Un progetto può essere aggiunto solo come progetto monitorato a un progetto esistente
ambito delle metriche se il progetto si trova
lo stesso perimetro dei Controlli di servizio VPC del progetto di definizione dell'ambito dell'ambito delle metriche.
Accedere a Monitoring nella console Google Cloud per un host
protetto da un perimetro di servizio, utilizza
regola in entrata.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudprofiler.googleapis.com
Dettagli
L'API per Cloud Profiler può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
timeseriesinsights.googleapis.com
Dettagli
L'API Timeseries Insights può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Poiché l'API Natural Language è un'API stateless e non viene eseguita su progetti,
l'utilizzo dei Controlli di servizio VPC per proteggere l'API Natural Language non ha alcun effetto.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
networkconnectivity.googleapis.com
Dettagli
L'API per Network Connectivity Center può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudasset.googleapis.com
Dettagli
L'API per l'API Cloud Asset può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta l'accesso a livello di cartella o organizzazione
Risorse API Cloud Asset da risorse e client all'interno di un perimetro di servizio. Controlli di servizio VPC
protegge le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare un criterio in uscita per impedire
accesso alle risorse dell'API Cloud Asset a livello di progetto dai progetti all'interno del perimetro.
Controlli di servizio VPC non supporta l'aggiunta a livello di cartella o di organizzazione
risorse API Cloud Asset in un perimetro di servizio. Non puoi usare un perimetro per proteggere
risorse dell'API Cloud Asset a livello di cartella
o organizzazione. Per gestire le autorizzazioni di Cloud Asset Inventory
a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
speech.googleapis.com
Dettagli
L'API per Speech-to-Text può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
texttospeech.googleapis.com
Dettagli
L'API per Text-to-Speech può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
translate.googleapis.com
Dettagli
L'API Translation può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Cloud Translation - Advanced (v3) supporta i Controlli di servizio VPC,
non Cloud Translation - Basic (v2). Per applicare i Controlli di servizio VPC,
devi utilizzare Cloud Translation - Advanced (v3). Per ulteriori informazioni
sulle diverse versioni, consulta la sezione Confronta
Di base e avanzato.
Per proteggere gli endpoint di input con un perimetro di servizio, devi seguire
le istruzioni per configurare un pool privato e inviare stream video di input su un
connessione.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
transcoder.googleapis.com
Dettagli
L'API per la transcodifica dell'API può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
videostitcher.googleapis.com
Dettagli
L'API for Video Stitcher può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
accessapproval.googleapis.com
Dettagli
L'API per Access Approval può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
healthcare.googleapis.com
Dettagli
L'API per l'API Cloud Healthcare può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
storagetransfer.googleapis.com
Dettagli
Ti consigliamo di inserire il tuo progetto Storage Transfer Service all'interno dello stesso
è il perimetro di servizio
Google Cloud. In questo modo il trasferimento è protetto
di risorse Cloud Storage. Storage Transfer Service
supporta scenari in cui il progetto Storage Transfer Service
non nello stesso perimetro dei bucket Cloud Storage,
mediante un criterio di traffico in uscita.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
servicecontrol.googleapis.com
Dettagli
L'API per Service Control può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Quando chiami l'API Service Control da una rete VPC in un servizio
con Service Control limitato alle metriche di fatturazione o di analisi dei report, puoi utilizzare solo
Report Service Control
per generare report sulle metriche per i servizi supportati dai Controlli di servizio VPC.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
redis.googleapis.com
Dettagli
L'API per Memorystore for Redis può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Memorystore for Redis. Perimetri
non proteggono il normale accesso ai dati sulle istanze Memorystore for Redis
all'interno della stessa rete.
Se anche l'API Cloud Storage è protetta,
Le operazioni di importazione ed esportazione di Memorystore for Redis possono solo leggere e
scrivere in un bucket Cloud Storage all'interno dello stesso perimetro di servizio di
l'istanza Memorystore for Redis.
Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere l'host
progetto che fornisce la rete e il progetto di servizio che contiene il Redis
all'interno dello stesso perimetro affinché le richieste Redis abbiano esito positivo. In qualsiasi momento,
la separazione del progetto host dal progetto di servizio con un perimetro può causare
un errore dell'istanza, oltre alle richieste bloccate. Per saperne di più, consulta i requisiti di configurazione di Memorystore for Redis.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
memcache.googleapis.com
Dettagli
L'API per Memorystore for Memcached può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Memorystore for Memcached. Perimetri
non proteggono il normale accesso ai dati su istanze Memorystore for Memcached
all'interno della stessa rete.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
servicedirectory.googleapis.com
Dettagli
L'API per Service Directory può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
No. L'API per Transfer Appliance non può essere protetta dai perimetri di servizio.
Tuttavia, Transfer Appliance può essere utilizzato normalmente in progetti all'interno di un perimetro.
Dettagli
Transfer Appliance è completamente supportato per i progetti che utilizzano
Controlli di servizio VPC.
Transfer Appliance non offre un'API e, pertanto,
non supporta le funzionalità relative all'API nei Controlli di servizio VPC.
Quando Cloud Storage è protetto dai Controlli di servizio VPC,
Chiave Cloud KMS condivisa con Transfer Appliance
Il team deve trovarsi all'interno dello stesso progetto della destinazione
nel bucket Cloud Storage.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
orgpolicy.googleapis.com
Dettagli
L'API per il servizio Criteri dell'organizzazione può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta le limitazioni di accesso a livello di cartella o
criteri dell'organizzazione a livello di organizzazione ereditati dal progetto.
Controlli di servizio VPC protegge le risorse dell'API Organization Policy Service a livello di progetto.
Ad esempio, se una regola in entrata impedisce a un utente di accedere all'API Organization Policy Service,
l'utente riceve un errore 403 quando esegue una query sui criteri dell'organizzazione applicati al progetto. Tuttavia,
l'utente sia ancora in grado di accedere ai criteri dell'organizzazione della cartella e dell'organizzazione
contenente il progetto.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
oslogin.googleapis.com
Dettagli
Puoi chiamare l'API OS Login dall'interno dei perimetri Controlli di servizio VPC. Per gestire
OS Login dai perimetri Controlli di servizio VPC
configurare OS Login.
Le connessioni SSH alle istanze VM non sono protette dai Controlli di servizio VPC.
I metodi di accesso al sistema operativo per la lettura e la scrittura di chiavi SSH non applicano i perimetri Controlli di servizio VPC. Utilizza i servizi accessibili da VPC per disabilitare l'accesso alle API OS Login.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
servicehealth.googleapis.com
Dettagli
L'API per Personalized Service Health può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta le risorse OrganizationEvents e OrganizationImpacts di
l'API Service Health. Di conseguenza, i controlli dei criteri dei Controlli di servizio VPC non verranno eseguiti quando chiami i metodi
per queste risorse. Tuttavia, puoi chiamare i metodi da un perimetro di servizio utilizzando un
VIP con limitazioni.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
osconfig.googleapis.com
Dettagli
Puoi chiamare l'API OS Config dai perimetri Controlli di servizio VPC. Per utilizzare
VM Manager dai perimetri Controlli di servizio VPC
configurare VM Manager.
Per proteggere completamente VM Manager, devi includere tutte le API seguenti in
il tuo perimetro:
API OS Config (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Artifact Analysis (containeranalysis.googleapis.com)
di Gemini Advanced.
VM Manager non ospita contenuti di pacchetti e patch. OS Patch Management utilizza
gli strumenti di aggiornamento per il sistema operativo che richiedono gli aggiornamenti del pacchetto e
Le patch sono recuperabili sulla VM. Affinché l'applicazione di patch funzioni, potrebbe essere necessario usare
Cloud NAT oppure ospitare il tuo repository di pacchetti o il servizio di aggiornamento di Windows Server
all'interno del tuo virtual private cloud.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
workflows.googleapis.com
Dettagli
Workflows è una piattaforma di orchestrazione in grado di combinare i servizi e
API basate su HTTP per eseguire i servizi in un ordine definito da te.
Quando proteggi l'API Workflows utilizzando un perimetro di servizio,
Anche API Workflow Execution è protetta. Non è necessario separare
aggiungi workflowexecutions.googleapis.com all'elenco di indirizzi protetti del tuo perimetro
i servizi di machine learning.
Le richieste HTTP da un'esecuzione di Workflows sono supportate come segue:
Autenticato
richieste agli endpoint Google Cloud conformi ai Controlli di servizio VPC
consentito.
Sono consentite le richieste alle funzioni di Cloud Run e agli endpoint di servizio Cloud Run.
Le richieste agli endpoint di terze parti sono bloccate.
Richieste a endpoint Google Cloud non conformi a Controlli di servizio VPC
sono bloccati.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
file.googleapis.com
Dettagli
L'API per Filestore può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Filestore. Perimetri
non proteggono il normale accesso ai dati NFS sulle istanze Filestore
all'interno della stessa rete.
Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere l'host
che fornisce la rete e il progetto di servizio che contiene
Istanza Filestore all'interno dello stesso perimetro per Filestore
per il corretto funzionamento dell'istanza. Separazione del progetto host dal progetto di servizio
con un perimetro potrebbe rendere le istanze esistenti non disponibili
potrebbero non creare nuove istanze.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere l'host
che fornisce la rete e il progetto di servizio che contiene
Istanza Parallelstore all'interno dello stesso perimetro per Parallelstore
per il corretto funzionamento dell'istanza. Separazione del progetto host dal progetto di servizio
con un perimetro, le istanze esistenti potrebbero non essere più disponibili
potrebbero non creare nuove istanze.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
containerthreatdetection.googleapis.com
Dettagli
L'API per Container Threat Detection può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Ads Data Hub e Controlli di servizio VPC sono soggetti a Termini di servizio diversi. Leggi i termini di ogni
prodotto per maggiori dettagli.
Alcune funzionalità di Ads Data Hub (come l'attivazione di segmenti di pubblico personalizzati, le offerte personalizzate e
le tabelle delle corrispondenze LiveRamp) richiedono l'esportazione di determinati dati utente al di fuori dei Controlli di servizio VPC
perimetrale. Se viene aggiunto come servizio limitato, Ads Data Hub ignorerà i Controlli di servizio VPC
i criteri relativi a tali funzioni per mantenerne la funzionalità.
Tutti i servizi dipendenti devono essere inclusi come servizi consentiti nello stesso perimetro dei Controlli di servizio VPC. Per
Ad esempio, poiché Ads Data Hub si basa su BigQuery, anche BigQuery deve
aggiunto. In generale, le best practice per i Controlli di servizio VPC consigliano di includere tutti i servizi nel perimetro,
ossia "limitare tutti i servizi".
Clienti con strutture di account Ads Data Hub multilivello (come le agenzie con
società controllate) devono avere tutti i progetti di amministrazione nello stesso perimetro. Per semplicità,
Ads Data Hub consiglia ai clienti con strutture di account multilivello di limitare
i propri progetti amministratore
nella stessa organizzazione Google Cloud.
L'API per Cloud Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
sts.googleapis.com
Dettagli
Controlli di servizio VPC limita gli scambi di token solo se
pubblico
nella richiesta è una risorsa a livello di progetto. Ad esempio, non limita le richieste di
token con ambito limitato,
perché quelle richieste non hanno
pubblico. Inoltre, non limita le richieste per la forza lavoro
federazione delle identità poiché il pubblico è una risorsa a livello di organizzazione.
firestore.googleapis.com, datastore.googleapis.com,
e firestorekeyvisualizer.googleapis.com servizi sono in bundle.
Quando limiti il servizio firestore.googleapis.com in un perimetro,
il perimetro limita anche datastore.googleapis.com e
Servizi firestorekeyvisualizer.googleapis.com.
Per una protezione completa in uscita
sulle operazioni di importazione ed esportazione,
devi usare l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:
Le operazioni di importazione ed esportazione non sono completamente protette, a meno che
usa l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:
Servizi in bundle legacy di App Engine per Datastore
.
non supportano i perimetri di servizio. Protezione del datastore
con un perimetro di servizio blocca il traffico
Servizi in bundle legacy di App Engine. I servizi in bundle legacy includono:
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
vmmigration.googleapis.com
Dettagli
L'API per Migrate to Virtual Machines può essere protetta dai Controlli di servizio VPC, mentre il prodotto
possono essere utilizzati normalmente
all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
backupdr.googleapis.com
Dettagli
L'API per il servizio Backup & DR può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Se rimuovi la route predefinita di internet dal progetto di producer di servizi utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls,
potresti non essere in grado di accedere alla console di gestione o eseguirne il deployment. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
gkebackup.googleapis.com
Dettagli
Puoi utilizzare Controlli di servizio VPC per proteggere il backup per GKE e il backup per le funzionalità GKE che normalmente si trovano all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
retail.googleapis.com
Dettagli
L'API API for Retail può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
integrations.googleapis.com
Dettagli
Application Integration è un sistema collaborativo di gestione dei flussi di lavoro
per creare, potenziare, eseguire il debug e comprendere i flussi di lavoro principali dei sistemi aziendali.
I flussi di lavoro in Application Integration sono costituiti da trigger e attività.
Esistono diversi tipi di trigger, come trigger API/Trigger Pub/Sub/cron.
o sfdc.
I Controlli di servizio VPC proteggono Application Integration
logaritmi. Se utilizzi Application Integration, verifica il supporto per vpcsc
con il team di Application Integration.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
connectors.googleapis.com
Dettagli
L'API per Integration Connectors può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Quando utilizzi Controlli di servizio VPC, se la connessione si connette a una risorsa non Google Cloud CLI, la destinazione della connessione deve essere un collegamento Private Service Connect. Connessioni
creato senza il collegamento di Private Service Connect non riuscito.
Se configuri un perimetro di servizio Controlli di servizio VPC per il tuo progetto Google Cloud CLI, non puoi utilizzare
funzionalità di sottoscrizione agli eventi per il progetto.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
clouderrorreporting.googleapis.com
Dettagli
L'API per Error Reporting può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Notifiche inviate quando viene trovato un gruppo di errori nuovo o ricorrente
contengono informazioni sul gruppo di errori. Per impedire l'esfiltrazione di dati al di fuori
perimetrale Controlli di servizio VPC, assicurati che
canali di notifica sono interni alla tua organizzazione.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
workstations.googleapis.com
Dettagli
L'API per Cloud Workstations può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Per proteggere completamente Cloud Workstations, devi limitare il
all'API Compute Engine nel tuo perimetro di servizio, ogni volta che limiti
l'API Cloud Workstations.
Assicurati che l'API Google Cloud Storage, l'API Google Container Registry,
e l'API Artifact Registry sono
VPC accessibile nel tuo servizio
perimetrale. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Abbiamo anche
ti consigliamo di consentire l'API Cloud Logging e i servizi
l'API Error Reporting in modo che sia accessibile al VPC
perimetro di servizio, anche se non è necessario per l'uso
Cloud Workstations.
Assicurati che il cluster di workstation sia
private.
La configurazione di un cluster privato impedisce che le connessioni alle tue workstation
all'esterno del perimetro di servizio VPC.
Assicurati di disabilitare gli indirizzi IP pubblici nella tua workstation
configurazione. Se non lo fai, si verificheranno VM con IP pubblico
indirizzi IP esterni nel tuo progetto. Ti consigliamo vivamente di utilizzare
constraints/compute.vmExternalIpAccess
vincolo dei criteri dell'organizzazione per disabilitare gli indirizzi IP pubblici per tutte le VM
nel tuo perimetro di servizio VPC. Per maggiori dettagli, vedi
Limitazione degli indirizzi IP esterni a VM specifiche.
Durante la connessione alla workstation, il controllo dell'accesso si basa solo sul fatto che l'accesso privato
la rete da cui ti stai connettendo appartiene al perimetro di sicurezza. Controllo dell'accesso basato su
dispositivo, indirizzo IP pubblico o località non sono supportati.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
ids.googleapis.com
Dettagli
L'API per Cloud IDS può essere protetta dai Controlli di servizio VPC e il prodotto
possono essere utilizzati normalmente
all'interno dei perimetri di servizio.
Cloud IDS utilizza Cloud Logging per creare log delle minacce nel tuo progetto. Se
Cloud Logging è limitato dal perimetro di servizio, Controlli di servizio VPC
blocca i log delle minacce di Cloud IDS, anche se Cloud IDS non viene aggiunto come
un servizio limitato al perimetro. Per utilizzare Cloud IDS all'interno di un servizio
devi configurare una regola in entrata per il perimetro
account di servizio Cloud Logging nel tuo perimetro di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
policytroubleshooter.googleapis.com
Dettagli
Quando limiti l'API Policy Troubleshooter con un perimetro,
le entità possono risolvere i problemi relativi ai criteri di autorizzazione IAM solo se tutte le risorse
coinvolti nella richiesta si trovano nello stesso perimetro. Di solito ci sono due
risorse coinvolte in una richiesta di risoluzione dei problemi:
La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere qualsiasi
di testo. Puoi specificare esplicitamente questa risorsa quando risolvi i problemi
di autorizzazione.
La risorsa che utilizzi per risolvere i problemi di accesso. Questa risorsa è
un progetto, una cartella o un'organizzazione. Nella console Google Cloud
gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella
o organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa
utilizzando l'intestazione x-goog-user-project.
Questa risorsa può essere uguale alla risorsa per cui stai risolvendo i problemi di accesso, ma
non è necessario.
Se queste risorse non si trovano nello stesso perimetro, la richiesta non riesce.
Per saperne di più sullo strumento per la risoluzione dei problemi relativi ai criteri, consulta la
documentazione sul prodotto.
Limitazioni
L'integrazione dello strumento per la risoluzione dei problemi relativi ai criteri con i Controlli di servizio VPC non ha limitazioni note.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
policysimulator.googleapis.com
Dettagli
Quando limiti l'API Policy Simulator con un perimetro, le entità
può simulare criteri di autorizzazione solo se determinate risorse coinvolte
si trovano nello stesso perimetro. Esistono diverse risorse
coinvolti in una simulazione:
La risorsa di cui hai il criterio di autorizzazione
durante la simulazione. Questa risorsa è anche chiamata
risorsa. Nella console Google Cloud, questa è la risorsa
di cui stai modificando il criterio di autorizzazione. In gcloud CLI
API REST, devi specificare esplicitamente questa risorsa quando si simula un
di autorizzazione.
Il progetto, la cartella o l'organizzazione che crea ed esegue
la simulazione. Questa risorsa è anche denominata host
risorsa. Nella console Google Cloud
gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella
o organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa
utilizzando l'intestazione x-goog-user-project.
Questa risorsa può essere uguale a quella che stai simulando
ma non è necessario che lo sia.
La risorsa che fornisce i log di accesso
simulata. In una simulazione, c'è sempre una risorsa
che fornisce i log degli accessi per la simulazione. Questa risorsa varia
a seconda del tipo di risorsa di destinazione:
Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Controller
Il simulatore recupera i log di accesso per il progetto o l'organizzazione.
Se stai simulando un criterio di autorizzazione per un altro tipo di risorsa,
Policy Simulator recupera i log di accesso per l'elemento padre di quella risorsa
progetto o organizzazione.
Se stai simulando più risorse consentire i criteri contemporaneamente, Policy Controller
Il simulatore recupera i log di accesso per le risorse comune più prossimo
progetto o organizzazione.
Tutte le risorse supportate con criteri di autorizzazione pertinenti.
Quando il Simulatore di criteri esegue una simulazione, considera tutti
I criteri che potrebbero influire sull'accesso dell'utente, tra cui i criteri di autorizzazione.
sulle risorse predecessore e discendente della risorsa di destinazione. Come
anche queste risorse predecessori e discendenti sono coinvolte
in tempo reale.
Se la risorsa di destinazione e la risorsa host non sono nella stessa
il perimetro, la richiesta non va a buon fine.
Se la risorsa di destinazione e quella che fornisce i log di accesso
non si trovano nello stesso perimetro, la richiesta non riesce.
Se la risorsa di destinazione e alcune risorse supportate con il
che non si trovano nello stesso perimetro, le richieste hanno esito positivo,
i risultati potrebbero essere incompleti. Ad esempio, se stai simulando un criterio
per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione
dell'organizzazione principale del progetto, perché le organizzazioni sono sempre
al di fuori dei perimetri Controlli di servizio VPC. Per completarli
puoi configurare il traffico in entrata
di traffico in uscita per il perimetro.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
essentialcontacts.googleapis.com
Dettagli
L'API per i contatti necessari può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
L'API per Identity Platform può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al
il perimetro di servizio
per consentire l'aggiornamento dei token. securetoken.googleapis.com non è
elencati nella pagina Controlli di servizio VPC della console Google Cloud.
Puoi aggiungere questo servizio solo con
gcloud access-context-manager
kubectl update.
Se la tua applicazione si integra anche con la funzionalità di blocco delle funzioni, aggiungi le funzioni di Cloud Run (cloudfunctions.googleapis.com) alla
perimetro di servizio.
L’utilizzo dell’autenticazione a più fattori (MFA) basata su SMS, dell’autenticazione email o di provider di identità di terze parti fa sì che i dati vengano inviati al di fuori del perimetro. Se non utilizzi la MFA con gli SMS, l'autenticazione email o i provider di identità di terze parti, disattiva queste funzionalità.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
gkemulticloud.googleapis.com
Dettagli
L'API per GKE Multi-Cloud può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Per proteggere completamente l'API GKE Multi-Cloud, devi includere l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) anche nel tuo perimetro.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
No. L'API per Google Distributed Cloud non può essere protetta dai perimetri di servizio.
Tuttavia, Google Distributed Cloud può essere utilizzato normalmente in progetti all'interno di un perimetro.
Dettagli
Puoi creare un cluster nel tuo ambiente, che è connesso al VPC tramite Cloud Interconnect o Cloud VPN.
Quando crei o esegui l'upgrade di un cluster utilizzando Distributed Cloud, utilizza
flag --skip-api-check in bmctl per bypassare la chiamata a Service Usage
(serviceusage.googleapis.com), perché l'API Service Usage
(serviceusage.googleapis.com) non è supportato dai Controlli di servizio VPC.
Distributed Cloud richiama l'API Service Usage per verificare che la risorsa
le API siano abilitate all'interno di un progetto. ma non per convalidare la raggiungibilità degli endpoint API.
Per proteggere Distributed Cloud, utilizza un VIP con restrizioni in
Distributed Cloud, e aggiungi tutte le seguenti API al servizio
perimetro:
API Artifact Registry (artifactregistry.googleapis.com)
API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Connect Gateway (connectgateway.googleapis.com)
API Google Container Registry (containerregistry.googleapis.com)
API GKE Connect (gkeconnect.googleapis.com)
API GKE Hub (gkehub.googleapis.com)
API GKE On-Prem (gkeonprem.googleapis.com)
API Cloud IAM (iam.googleapis.com)
API Cloud Logging (logging.googleapis.com)
API Cloud Monitoring (monitoring.googleapis.com)
API Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
API Service Control (servicecontrol.googleapis.com)
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
ondemandscanning.googleapis.com
Dettagli
L'API per la scansione on demand può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
looker.googleapis.com
Dettagli
L'API per Looker (Google Cloud core) può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Solo le versioni Enterprise o Embed di istanze Looker (Google Cloud core) che utilizzano connessioni IP private supportano la conformità dei Controlli di servizio VPC. Le istanze di Looker (Google Cloud core) con connessioni IP pubbliche o con connessioni IP pubbliche e private non supportano la conformità di Controlli di servizio VPC. Per creare un'istanza che utilizza una connessione IP privato, seleziona IP privato nella sezione Networking della pagina Crea istanza della console Google Cloud.
Quando posizioni o crei un'istanza di Looker (Google Cloud core) all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi rimuovere la route predefinita verso internet chiamando il metodo services.enableVpcServiceControls o eseguendo questo comando gcloud:
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
publicca.googleapis.com
Dettagli
L'API per Public Certificate Authority può essere protetta dai Controlli di servizio VPC
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
storageinsights.googleapis.com
Dettagli
L'API per Storage Insights può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Le API per Security Command Center possono essere protette dai Controlli di servizio VPC e Security Command Center può essere utilizzato
di solito all'interno dei perimetri di servizio.
securitycenter.googleapis.com e securitycentermanagement.googleapis.com
sono in bundle. Se limiti securitycenter.googleapis.com
servizio in un perimetro, limita il valore securitycentermanagement.googleapis.com
per impostazione predefinita. Non puoi aggiungere securitycentermanagement.googleapis.com
all'elenco dei servizi limitati in un perimetro perché è in bundle con
securitycenter.googleapis.com.
Controlli di servizio VPC non supporta l'accesso a livello di cartella o organizzazione
Risorse API Security Command Center da risorse e client all'interno di un perimetro di servizio. Controlli di servizio VPC
protegge le risorse API Security Command Center a livello di progetto. Puoi specificare un criterio in uscita per impedire
accesso alle risorse dell'API Security Command Center a livello di progetto dai progetti all'interno del perimetro.
Controlli di servizio VPC non supporta l'aggiunta a livello di cartella o di organizzazione
risorse API Security Command Center in un perimetro di servizio. Non puoi usare un perimetro per proteggere
Risorse API Security Command Center a livello di cartella o di organizzazione. Per gestire le autorizzazioni di Security Command Center
a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
Controlli di servizio VPC non supporta il servizio security posture perché le risorse a livello di organizzazione sono risorse a livello di organizzazione, ad esempio posture, deployment e modelli di postura predefiniti.
Impossibile esportare i risultati a livello di cartella o organizzazione nelle destinazioni
all'interno di un perimetro di servizio.
Devi abilitare l'accesso perimetrale nei seguenti scenari:
Quando attivi le notifiche sui risultati
a livello di cartella o organizzazione e l'argomento Pub/Sub si trova all'interno di un perimetro di servizio.
Quando esporti i dati in
BigQuery dal livello di cartella o organizzazione e BigQuery
un perimetro di servizio.
Quando integri Security Command Center con un prodotto SIEM o SOAR e il deployment del prodotto viene eseguito all'interno di un servizio
in un ambiente Google Cloud. I sistemi SIEM e SOAR supportati includono Splunk e
IBM QRadar.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudsupport.googleapis.com
Dettagli
L'API per l'assistenza clienti Google Cloud può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC protegge i dati a cui si accede tramite l'API Cloud Support, ma non li protegge
a cui si accede tramite la console Google Cloud.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
discoveryengine.googleapis.com
Dettagli
L'API Vertex AI Agent Builder - Vertex AI Search può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
confidentialcomputing.googleapis.com
Dettagli
L'API per Confidential Space può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
Confidential Space richiede l'accesso in lettura ai bucket Cloud Storage per scaricare i certificati utilizzati per convalidare il token di attestazione. Se i bucket Cloud Storage si trovano all'esterno del perimetro, devi creare la seguente regola in uscita:
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
ssh-serialport.googleapis.com
Dettagli
Per utilizzare la protezione dei Controlli di servizio VPC durante la connessione alla console seriale
Per un'istanza di una macchina virtuale (VM), devi specificare una regola in entrata
per il perimetro di servizio. Quando configuri la regola in entrata, il livello di accesso per l'origine deve
essere un valore basato su IP e il nome del servizio è impostato su ssh-serialport.googleapis.com.
La regola in entrata è necessaria per accedere alla console seriale anche se la richiesta di origine e la risorsa di destinazione si trovano nello stesso perimetro.
Non puoi accedere a una console seriale utilizzando l'accesso privato Google. Puoi accedere alla console seriale
solo dalla rete internet pubblica.
Quando si utilizza una console seriale, non è possibile utilizzare regole di traffico in entrata o in uscita basate sull'identità per consentire l'accesso alla console seriale.
Quando aggiungi reti VMware Engine, cloud privati, criteri di rete e peering VPC esistenti a un perimetro di servizio VPC, le risorse create in precedenza non vengono controllate di nuovo per verificare se sono ancora conformi ai criteri del perimetro.
Per utilizzare la protezione dei Controlli di servizio VPC per Dataform, devi
imposta il criterio dell'organizzazione "dataform.restrictGitRemotes"
e limitare BigQuery con lo stesso perimetro di servizio di Dataform.
Devi assicurarti che le autorizzazioni di Identity and Access Management siano concesse ai tuoi account di servizio
utilizzati in Dataform riflettono la tua architettura di sicurezza.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
websecurityscanner.googleapis.com
Dettagli
Web Security Scanner e Controlli di servizio VPC sono soggetti a Termini di servizio diversi.
Leggi i termini di ciascun prodotto per conoscere i dettagli.
Web Security Scanner invia i risultati a Security Command Center on demand. Puoi visualizzare o scaricare
direttamente dalla dashboard di Security Command Center.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
securesourcemanager.googleapis.com
Dettagli
Prima di creare istanze Controlli di servizio VPC di Secure Source Manager, devi configurare Certificate Authority Service con un'autorità di certificazione funzionante.
Devi configurare Private Service Connect prima di accedere all'istanza Controlli di servizio VPC di Secure Source Manager.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
apikeys.googleapis.com
Dettagli
L'API per le chiavi API può essere protetta dai Controlli di servizio VPC e il prodotto può essere
e utilizzate normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione di prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudcontrolspartner.googleapis.com
Dettagli
L'API Cloud Controls Partner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per saperne di più sulla Console partner nei Controlli di sovranità dei partner, consulta le
documentazione sul prodotto.
Limitazioni
Questo servizio deve essere limitato per tutti i non partner. Se sei un partner che supporta i Controlli di sovranità dei partner, puoi proteggere questo servizio utilizzando un perimetro di servizio.
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
microservices.googleapis.com
Dettagli
L'API per i microservizi può essere protetta dai Controlli di servizio VPC e il prodotto
e utilizzate normalmente all'interno dei perimetri di servizio.
earthengine.googleapis.com e earthengine-highvolume.googleapis.com
sono in bundle. Se limiti earthengine.googleapis.com
servizio in un perimetro, limita il valore earthengine-highvolume.googleapis.com
per impostazione predefinita. Non puoi aggiungere earthengine-highvolume.googleapis.com
all'elenco dei servizi limitati in un perimetro perché è in bundle con
earthengine.googleapis.com.
L'editor di codice di Earth Engine,
basato sul web per l'API JavaScript di Earth Engine, non è supportato
Controlli di servizio VPC non consente di utilizzare l'editor di codice Earth Engine con risorse e
all'interno di un perimetro di servizio.
Precedente
asset non sono protetti dai Controlli di servizio VPC.
App Earth Engine
non sono supportate per le risorse e i client all'interno di un perimetro di servizio.
Controlli di servizio VPC è disponibile solo per le versioni Premium e Professional
Piani tariffari di Earth Engine. Per ulteriori informazioni sui piani tariffari, vedi
Piani di Earth Engine.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
apphub.googleapis.com
Dettagli
App Hub consente di scoprire e organizzare le risorse dell'infrastruttura
diverse applicazioni. Puoi utilizzare i perimetri Controlli di servizio VPC per proteggere App Hub
Google Cloud.
Devi configurare Controlli di servizio VPC nei progetti host e di servizio di App Hub
prima di creare un'applicazione e registrare servizi e carichi di lavoro nell'applicazione.
App Hub supporta i seguenti tipi di risorse:
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
cloudcode.googleapis.com
Dettagli
L'API Cloud Code può essere protetta dai Controlli di servizio VPC. Per utilizzare le funzionalità basate su Gemini
in Cloud Code, è necessario configurare un criterio in entrata per consentire il traffico
client IDE. Vedi la Gemini
documentazione per i dettagli.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
commerceorggovernance.googleapis.com
Dettagli
Il perimetro dei Controlli di servizio VPC protegge l'API Commerce Org Governance per Google Private Marketplace.
Risorse come la richiesta di approvvigionamento e la richiesta di accesso, che l'API Commerce Org Governance crea a livello di progetto, vengono visualizzate a livello di organizzazione e vengono esaminate dall'Amministratore organizzazione senza applicare i criteri di Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con Controlli di servizio VPC è in anteprima
ed è pronto per un test e un utilizzo più ampio, ma non è completamente supportato per la produzione
ambienti cloud-native.
Proteggere con i perimetri?
Sì. Puoi configurare i tuoi perimetri per proteggere questo servizio.
Nome servizio
contactcenteraiplatform.googleapis.com
Dettagli
Per limitare il traffico internet, utilizza i criteri dell'organizzazione.
Richiama i metodi CREATE o UPDATE dell'API Contact Center AI Platform per applicare i vincoli dei criteri dell'organizzazione manualmente.
L'IP virtuale limitato (VIP) fornisce un modo per le VM che si trovano all'interno di un servizio
per effettuare chiamate ai servizi Google Cloud senza esporre il traffico
richieste a internet. Per un elenco completo dei servizi disponibili nella
VIP con restrizioni, consulta
Servizi supportati dal VIP con limitazioni.
Servizi non supportati
Tentativo di limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud oppure
l'API Access Context Manager genererà un errore.
L'accesso tra progetti ai dati dei servizi supportati verrà bloccato dai Controlli di servizio VPC.
Inoltre, il VIP con restrizioni può essere utilizzato per bloccare la capacità dei carichi di lavoro
per chiamare i servizi non supportati.
Altre limitazioni note
Questa sezione descrive le limitazioni note con alcune
i servizi, i prodotti e le interfacce Google Cloud che possono
riscontrati durante l'utilizzo dei Controlli di servizio VPC.
Per le limitazioni relative ai prodotti supportati dai Controlli di servizio VPC,
consulta la tabella Prodotti supportati.
Per ulteriori informazioni sulla risoluzione dei problemi relativi ai Controlli di servizio VPC,
consulta la pagina Risoluzione dei problemi.
API AutoML
Quando utilizzi l'API AutoML con i Controlli di servizio VPC, vengono applicate le seguenti limitazioni
applica:
Non puoi aggiungere gli endpoint a livello di regione supportati,
come eu-automl.googleapis.com, all'elenco dei servizi limitati in una
perimetrale. Quando proteggi il servizio automl.googleapis.com, il perimetro
protegge anche gli endpoint a livello di regione supportati, come eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation
AutoML Tables
e AutoML Video Intelligence
usano tutti l'API AutoML.
Quando utilizzi un perimetro di servizio per proteggere
automl.googleapis.com, accedi a tutti i prodotti AutoML che
sono integrati con i Controlli di servizio VPC e vengono utilizzati all'interno
il perimetro. Devi configurare i Controlli di servizio VPC
per tutti i prodotti AutoML integrati utilizzati all'interno
per quel perimetro.
Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:
API AutoML (automl.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
API BigQuery (bigquery.googleapis.com)
App Engine
App Engine (ambiente standard e ambiente flessibile)
non supportata dai Controlli di servizio VPC. Non includere
Progetti App Engine nei perimetri di servizio.
Tuttavia, è possibile consentire le app di App Engine create nei progetti
all'esterno dei perimetri di servizio per leggere e scrivere dati nei servizi protetti
all'interno dei perimetri. Per consentire alla tua app di accedere ai dati dell'account
servizi,
creare un livello di accesso
che include l'account di servizio App Engine del progetto. In questo modo
non consentire l'utilizzo di App Engine all'interno dei perimetri di servizio.
Soluzione Bare Metal
Connessione dei controlli di servizio VPC a Bare Metal Solution
in un ambiente completamente gestito non garantisce
alcuna garanzia di Service Control.
L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia,
I perimetri Controlli di servizio VPC non si estendono alla soluzione Bare Metal Solution
delle estensioni a livello di regione.
Blockchain Node Engine
I Controlli di servizio VPC proteggono solo l'API Blockchain Node Engine.
Quando viene creato un nodo, devi comunque indicare che è destinato a
e configurata dall'utente come rete privata
Private Service Connect.
Il traffico peer-to-peer non è influenzato dai Controlli di servizio VPC o
Private Service Connect e continuerà a utilizzare il pubblico
internet.
Librerie client
Le librerie client Java e Python per tutti i servizi supportati sono completamente
supportato per l'accesso mediante il VIP con restrizioni. Supporto per
altre lingue sono in fase Alpha
e devono essere utilizzati
solo a scopo di test.
I client devono utilizzare librerie client aggiornate il 1° novembre.
2018 o anni successivi.
Le chiavi dell'account di servizio o i metadati del client OAuth2 utilizzati dai client devono essere
aggiornate al 1° novembre 2018 o in una data successiva. Clienti meno recenti che utilizzano il token
l'endpoint deve passare all'endpoint specificato nel materiale/client della chiave più recente
metadati.
Cloud Billing
Puoi esportare i dati di fatturazione Cloud Storage in un
un bucket o un'istanza BigQuery in un progetto protetto da
senza configurare un livello di accesso o una regola in entrata.
Cloud Deployment Manager
Deployment Manager non è supportato dai Controlli di servizio VPC.
Gli utenti potrebbero riuscire a chiamare servizi conformi
controlli di servizio VPC, ma non dovrebbero fare affidamento su questo aspetto poiché potrebbe interrompere
per il futuro.
Come soluzione alternativa, puoi aggiungere il servizio Deployment Manager
account (PROJECT_NUMBER@cloudservices.gserviceaccount.com)
ai livelli di accesso per consentire le chiamate alle API protette dai Controlli di servizio VPC.
Cloud Shell
Controlli di servizio VPC non supporta Cloud Shell. Controlli di servizio VPC
tratta Cloud Shell come al di fuori dei perimetri di servizio e nega l'accesso
ai dati protetti da Controlli di servizio VPC. Tuttavia, i Controlli di servizio VPC
consente di accedere a Cloud Shell se un dispositivo
livello di accesso
dei requisiti del perimetro di servizio avvia Cloud Shell.
Console Google Cloud
Poiché la console Google Cloud è accessibile solo tramite internet,
viene considerato al di fuori dei perimetri di servizio. Quando applichi un servizio
perimetro, l'interfaccia della console Google Cloud per i servizi
potrebbe diventare parzialmente o completamente inaccessibile. Ad esempio, se
con il perimetro, non potrai
per accedere all'interfaccia di Logging
la console Google Cloud.
Per consentire l'accesso dalla console Google Cloud alle risorse protette da un
devi creare un livello di accesso per un intervallo IP pubblico
include le macchine degli utenti che vogliono utilizzare la console Google Cloud
con API protette. Ad esempio, potresti aggiungere l'intervallo IP pubblico
il gateway NAT della tua rete privata a un livello di accesso, quindi assegnalo
di accesso al perimetro di servizio.
Se vuoi limitare l'accesso alla console Google Cloud al perimetro solo
per un insieme specifico di utenti, puoi anche aggiungerli a un
livello. In tal caso, solo gli utenti specificati potranno accedere ai
nella console Google Cloud.
Richieste tramite la console Google Cloud da una rete
Accesso privato Google abilitato, incluse le reti implicitamente abilitate da
Cloud NAT, potrebbe essere bloccato anche se la rete di origine richiedente
e la risorsa di destinazione si trovano nello stesso perimetro. Questo perché
L'accesso alla console Google Cloud tramite l'accesso privato Google non è
supportate dai Controlli di servizio VPC.
Accesso privato ai servizi
L'accesso privato ai servizi supporta
il deployment di un'istanza di servizio
Rete VPC condivisa.
Se utilizzi questa configurazione con i Controlli di servizio VPC, assicurati che
che fornisce la rete e il progetto di servizio che
contiene l'istanza di servizio si trova all'interno degli stessi Controlli di servizio VPC
perimetrale. In caso contrario, le richieste potrebbero essere bloccate e le istanze di servizio
potrebbero non funzionare correttamente.
Per ulteriori informazioni sui servizi che supportano l'accesso privato ai servizi,
vedi Servizi supportati.
GKE Multi-cloud
I Controlli di servizio VPC si applicano solo alle risorse all'interno di Google Cloud
progetto. L'ambiente cloud di terze parti che ospita i tuoi
I cluster GKE Multi-Cloud non supportano alcun servizio
garanzie di controllo.
Google Distributed Cloud
I Controlli di servizio VPC si applicano solo alle macchine bare metal connesse al VPC
a progetti di rete che usano un VIP con restrizioni.
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"Problema di traduzione"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"Altra"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"Facile da capire"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"Il problema è stato risolto"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"Altra"
}]
{"lastModified": "Ultimo aggiornamento 2024-09-07 UTC."}
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2024-09-07 UTC."]]