Unterstützte Produkte und Einschränkungen

Diese Seite enthält eine Tabelle mit Produkten und Diensten, die von VPC Service Controls unterstützt werden, sowie eine Liste bekannter Einschränkungen bei bestimmten Diensten und Schnittstellen.

Unterstützte Produkte

VPC Service Controls unterstützt die folgenden Produkte:

Unterstützte Produkte Beschreibung

Cloud Search

Status	AV
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudsearch.googleapis.com`
Details	Google Cloud Search unterstützt Virtual Private Cloud Security Controls (VPC-SC), um die Sicherheit Ihrer Daten zu erhöhen. Mit VPC-SC können Sie einen Sicherheitsbereich für Google Cloud Platform-Ressourcen festlegen, um Daten einzuschränken und die Risiken einer Daten-Exfiltration zu minimieren. Weitere Informationen zu Cloud Search finden Sie in der Produktdokumentation.
Einschränkungen	Da Cloud Search-Ressourcen nicht in einem GCP-Projekt gespeichert werden, müssen Sie die Cloud Search-Kundeneinstellungen mit dem VPC-Perimeter-geschützten Projekt aktualisieren. Das VPC-Projekt fungiert als virtueller Projektcontainer für alle Ihre Cloud Search-Ressourcen. Ohne diese Zuordnung funktioniert VPC Service Controls nicht für die Cloud Search API. Vollständige Schritte zum Aktivieren von VPC Service Controls für Google Cloud Search finden Sie unter Sicherheit für Google Cloud Search verbessern.

Konnektivitätstests

Status	Vorschau
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`networkmanagement.googleapis.com`
Details	Die API für Konnektivitätstests kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Konnektivitätstests finden Sie in der Produktdokumentation.
Einschränkungen	Für die Integration von Konnektivitätstests in VPC Service Controls gelten keine bekannten Einschränkungen.

AI Platform Prediction

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`ml.googleapis.com`
Details	VPC Service Controls unterstützt Onlinevorhersagen, jedoch keine Batchvorhersagen. Weitere Informationen zu AI Platform Prediction finden Sie in der Produktdokumentation.
Einschränkungen	Zum vollständigen Schutz von AI Platform Prediction fügen Sie dem Dienstperimeter alle folgenden APIs hinzu: AI Platform Training und Prediction API (`ml.googleapis.com`) Pub/Sub API (`pubsub.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Google Kubernetes Engine API (`container.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten. Batchvorhersagen werden nicht unterstützt, wenn Sie AI Platform Prediction innerhalb eines Dienstperimeters verwenden. AI Platform Prediction und AI Platform Training verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.

AI Platform Training

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`ml.googleapis.com`
Details	Die API für AI Platform Training kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu AI Platform Training finden Sie in der Produktdokumentation.
Einschränkungen	Zum vollständigen Schutz Ihrer Trainingsjobs von AI Platform Training fügen Sie dem Dienstperimeter alle folgenden APIs hinzu: AI Platform Training und Prediction API (`ml.googleapis.com`) Pub/Sub API (`pubsub.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Google Kubernetes Engine API (`container.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten. Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden. AI Platform Training und AI Platform Prediction verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.

AlloyDB for PostgreSQL

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`alloydb.googleapis.com`
Details	VPC Service Controls-Perimeter schützen die AlloyDB API. Weitere Informationen zu AlloyDB für PostgreSQL finden Sie in der Produktdokumentation.
Einschränkungen	Bevor Sie VPC Service Controls für AlloyDB für PostgreSQL konfigurieren, aktivieren Sie die Service Networking API. AlloyDB für PostgreSQL funktioniert nicht, wenn Sie durch Aufrufen der API enable-vpc-service-controls eine private Verbindung für ein VPC-Peering einrichten. Wenn Sie AlloyDB für PostgreSQL mit freigegebener VPC und VPC Service Controls verwenden, müssen sich Hostprojekt und Dienstprojekt im selben VPC Service Controls-Dienstperimeter befinden.

Vertex AI Workbench

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`notebooks.googleapis.com`
Details	Die API für Vertex AI Workbench kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Vertex AI Workbench finden Sie in der Produktdokumentation.
Einschränkungen	Wenn Sie Vertex AI Workbench in einem VPC Service Controls-Dienstperimeter verwenden möchten, müssen Sie mehrere DNS-Einträge hinzufügen oder konfigurieren, um mit den folgenden Domains auf die eingeschränkte VIP zu verweisen: `.notebooks.googleapis.com` `.notebooks.cloud.google.com` `*.notebooks.googleusercontent.com`

Vertex AI

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`aiplatform.googleapis.com`
Details	Die API für Vertex AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Vertex AI finden Sie in der Produktdokumentation.
Einschränkungen	Weitere Informationen zu Einschränkungen finden Sie in der Vertex AI-Dokumentation unter Einschränkungen.

Apigee und Apigee Hybrid

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`apigee.googleapis.com, apigeeconnect.googleapis.com`
Details	Die API für Apigee und Apigee Hybrid kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Apigee und Apigee Hybrid finden Sie in der Produktdokumentation.
Einschränkungen	Die Einbindung von Apigee in VPC Service Controls unterliegt folgenden Einschränkungen: Integrierte Portale erfordern zusätzliche Schritte für die Konfiguration. Sie müssen Drupal-Portale innerhalb des Dienstperimeters bereitstellen.

Anthos Service Mesh

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`meshca.googleapis.com`
Details	Die API für Anthos Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Private Cluster beim Installieren mehrerer Cluster in Anthos Service Mesh konfigurieren Weitere Informationen finden Sie unter Anthos Service Mesh-Dienste zu Dienstperimetern hinzufügen. Weitere Informationen zu Anthos Service Mesh finden Sie in der Produktdokumentation.
Einschränkungen	Dienstperimeter werden derzeit nicht von der verwalteten Steuerungsebene von Anthos Service Mesh unterstützt.

Artifact Registry

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`artifactregistry.googleapis.com`
Details	Zusätzlich zum Schutz der Artifact Registry API kann Artifact Registry auch innerhalb von Dienstperimetern mit GKE und Compute Engine verwendet werden. Weitere Informationen zu Artifact Registry finden Sie in der Produktdokumentation.
Einschränkungen	Da Artifact Registry die Domain `pkg.dev` verwendet, müssen Sie das DNS konfigurieren, damit `*.pkg.dev` entweder `private.googleapis.com` oder `restricted.googleapis.com` zugeordnet wird. Weitere Informationen finden Sie unter Repositories in einem Dienstperimeter sichern. Neben den Artefakten innerhalb eines Perimeters, die für Artifact Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Container Registry-Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung: `gcr.io/asci-toolchain` `gcr.io/cloud-airflow-releaser` `gcr.io/cloud-builders` `gcr.io/cloud-dataflow` `gcr.io/cloud-marketplace` `gcr.io/cloud-ssa` `gcr.io/cloudsql-docker` `gcr.io/config-management-release` `gcr.io/deeplearning-platform-release` `gcr.io/foundry-dev` `gcr.io/fn-img` `gcr.io/gae-runtimes` `gcr.io/gke-node-images` `gcr.io/gke-release` `gcr.io/google-containers` `gcr.io/kubeflow` `gcr.io/kubeflow-images-public` `gcr.io/kubernetes-helm` `gcr.io/istio-release` `gcr.io/ml-pipeline` `gcr.io/projectcalico-org` `gcr.io/rbe-containers` `gcr.io/rbe-windows-test-images` `gcr.io/speckle-umbrella` `gcr.io/stackdriver-agents` `gcr.io/tensorflow` `gcr.io/vertex-ai` `gcr.io/vertex-ai-restricted` `gke.gcr.io` `k8s.gcr.io` In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden. Im Cache gespeicherte Images auf `mirror.gcr.io` sind nur verfügbar, wenn sich Container Registry auch im Perimeter befindet.

Assured Workloads

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`assuredworkloads.googleapis.com`
Details	Die Assured Workloads API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Assured Workloads finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Assured Workloads in VPC Service Controls gelten keine bekannten Einschränkungen.

AutoML Natural Language

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`automl.googleapis.com, eu-automl.googleapis.com`
Details	Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen: AutoML API (`automl.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Compute Engine API (`compute.googleapis.com`) BigQuery API (`bigquery.googleapis.com`) Weitere Informationen zu AutoML Natural Language finden Sie in der Produktdokumentation.
Einschränkungen	Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Sie können die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com` nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst `automl.googleapis.com` schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com`. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Tables

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`automl.googleapis.com, eu-automl.googleapis.com`
Details	Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen: AutoML API (`automl.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Compute Engine API (`compute.googleapis.com`) BigQuery API (`bigquery.googleapis.com`) Weitere Informationen zu AutoML Tables finden Sie in der Produktdokumentation.
Einschränkungen	Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Sie können die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com` nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst `automl.googleapis.com` schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com`. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Translation

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`automl.googleapis.com, eu-automl.googleapis.com`
Details	Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen: AutoML API (`automl.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Compute Engine API (`compute.googleapis.com`) BigQuery API (`bigquery.googleapis.com`) Weitere Informationen zu AutoML Translation finden Sie in der Produktdokumentation.
Einschränkungen	Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Sie können die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com` nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst `automl.googleapis.com` schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com`. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Video Intelligence

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`automl.googleapis.com, eu-automl.googleapis.com`
Details	Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen: AutoML API (`automl.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Compute Engine API (`compute.googleapis.com`) BigQuery API (`bigquery.googleapis.com`) Weitere Informationen zu AutoML Video Intelligence finden Sie in der Produktdokumentation.
Einschränkungen	Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Sie können die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com` nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst `automl.googleapis.com` schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com`. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Vision

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`automl.googleapis.com, eu-automl.googleapis.com`
Details	Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen: AutoML API (`automl.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Compute Engine API (`compute.googleapis.com`) BigQuery API (`bigquery.googleapis.com`) Weitere Informationen zu AutoML Vision finden Sie in der Produktdokumentation.
Einschränkungen	Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Sie können die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com` nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst `automl.googleapis.com` schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie `eu-automl.googleapis.com`. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

BigQuery

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`bigquery.googleapis.com`
Details	Wenn Sie die BigQuery API mit einem Dienstperimeter schützen, ist auch die BigQuery Storage API geschützt. Sie müssen die BigQuery Storage API nicht separat der Liste der geschützten Dienste Ihres Perimeters hinzufügen. Weitere Informationen zu BigQuery finden Sie in der Produktdokumentation.
Einschränkungen	BigQuery-Audit-Logeinträge enthalten nicht immer alle Ressourcen, die zum Erstellen einer Anfrage verwendet wurden, da der Dienst den Zugriff auf mehrere Ressourcen intern verarbeitet. Beim Zugriff auf eine BigQuery-Instanz, die durch einen Dienstperimeter geschützt ist, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden oder in einem Projekt, das durch eine Regel für ausgehenden Traffic des Perimeters erlaubt ist. Standardmäßig führen die BigQuery-Clientbibliotheken Jobs innerhalb des Dienstkontos oder des Projekts des Nutzers aus, wodurch die Abfrage von VPC Service Controls abgelehnt wird.

BigQuery Data Transfer Service

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`bigquerydatatransfer.googleapis.com`
Details	Der Dienstperimeter schützt nur die BigQuery Data Transfer Service API. Der tatsächliche Datenschutz wird von BigQuery erzwungen. Es ist Absicht, dass Sie Daten aus verschiedenen externen Quellen außerhalb von Google Cloud, z. B. Amazon S3, Redshift, Teradata, YouTube, Google Play und Google Ads, in BigQuery-Datasets importieren können. Informationen zu den Anforderungen an VPC Service Controls zum Migrieren von Daten aus Teradata finden Sie unter Anforderungen an VPC Service Controls. Weitere Informationen zum BigQuery Data Transfer Service finden Sie in der Produktdokumentation.
Einschränkungen	Der BigQuery Data Transfer Service unterstützt nicht den Export von Daten aus einem BigQuery-Dataset. Weitere Informationen hierzu finden Sie unter Tabellendaten exportieren. Zum Übertragen von Daten zwischen Projekten muss sich das Zielprojekt entweder im selben Perimeter wie das Quellprojekt befinden oder eine Regel für ausgehenden Traffic muss die Übertragung von Daten aus dem Perimeter zulassen. Der BigQuery Data Transfer Service unterstützt Drittanbieter-Datenquellen nicht zum Transfer von durch Dienstperimeter geschützten Daten.

Cloud Bigtable

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`bigtable.googleapis.com, bigtableadmin.googleapis.com`
Details	Die Dienste `bigtable.googleapis.com` und `bigtableadmin.googleapis.com` werden gebündelt. Wenn Sie den Dienst `bigtable.googleapis.com` in einem Perimeter einschränken, beschränkt der Perimeter standardmäßig den Dienst `bigtableadmin.googleapis.com`. Sie können den Dienst `bigtableadmin.googleapis.com` nicht zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit `bigtable.googleapis.com` gebündelt ist. Weitere Informationen zu Cloud Bigtable finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Cloud Bigtable in VPC Service Controls gelten keine bekannten Einschränkungen.

Binärautorisierung

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`binaryauthorization.googleapis.com`
Details	Wenn Sie mehrere Projekte mit Binärautorisierung verwenden, muss jedes Projekt im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Mehrere Projekte einrichten. Mit der Binärautorisierung können Sie Container Analysis verwenden, um Attestierer und Attestierungen jeweils als Hinweise und Vorkommen zu speichern. In diesem Fall muss Container Analysis auch im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen finden Sie im VPC Service Controls-Leitfaden für Container Analysis. Weitere Informationen zur Binärautorisierung finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden der Binärautorisierung in VPC Service Controls gelten keine bekannten Einschränkungen.

Certificate Authority Service

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`privateca.googleapis.com`
Details	Die API für den Certificate Authority Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zum Certificate Authority Service finden Sie in der Produktdokumentation.
Einschränkungen	Um den Zertifizierungsdienstdienst in einer geschützten Umgebung zu verwenden, müssen Sie Ihrem Dienstperimeter auch die Cloud KMS API (`cloudkms.googleapis.com`) und die Cloud Storage API (`storage.googleapis.com`) hinzufügen.

Data Catalog

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`datacatalog.googleapis.com`
Details	Data Catalog berücksichtigt automatisch Perimeter bei anderen Google Cloud-Diensten. Weitere Informationen zu Data Catalog finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Data Catalog in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Data Fusion

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`datafusion.googleapis.com`
Details	Cloud Data Fusion erfordert spezielle Schritte für den Schutz mit VPC Service Controls. Weitere Informationen zu Cloud Data Fusion finden Sie in der Produktdokumentation.
Einschränkungen	Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre private Cloud Data Fusion-Instanz erstellen. Der Perimeterschutz für Instanzen, die vor dem Einrichten von VPC Service Controls erstellt wurden, wird nicht unterstützt. Derzeit unterstützt die Cloud Data Fusion-Datenebenen-UI nicht die identitätsbasierte Zugriffssteuerung mithilfe von Regeln für eingehenden Traffic oder Zugriffsebenen.

Compute Engine

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`compute.googleapis.com`
Details	Die Unterstützung von VPC Service Controls für Compute Engine bietet die folgenden Sicherheitsvorteile: Zugriff auf vertrauliche API-Vorgänge wird eingeschränkt Snapshots von nichtflüchtigen Speichern und benutzerdefinierten Images sind auf einen Perimeter beschränkt Zugriff auf Instanzmetadaten wird eingeschränkt Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie auch Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden. Weitere Informationen zu Compute Engine finden Sie in der Produktdokumentation.
Einschränkungen	Hierarchische Firewalls sind von Dienstperimetern nicht betroffen. Von VPC-Peering-Prozessen werden keine Einschränkungen für VPC-Dienstperimeter erzwungen. Von der API-Methode `projects.ListXpnHosts` für freigegebene VPC werden keine Dienstperimetereinschränkungen für zurückgegebene Projekte erzwungen. Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Regel für eingehenden Traffic für den Perimeter hinzufügen. VPC Service Controls unterstützt nicht das Verwenden der Open Source-Version von Kubernetes auf Compute Engine-VMs innerhalb eines Dienstperimeters. Die interaktive serielle Konsole unterstützt die eingeschränkte VIP nicht. Wenn Sie Probleme mit der Instanz mithilfe der seriellen Konsole beheben müssen, konfigurieren Sie die lokale DNS-Auflösung so, dass Ihre Befehle über das Internet an `ssh-serialport.googleapis.com` gesendet werden.

Contact Center AI Insights

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`contactcenterinsights.googleapis.com`
Details	Für die Verwendung von Contact Center AI Insights mit VPC Service Controls benötigen Sie je nach Integration die folgenden zusätzlichen APIs in Ihrem Perimeter. Fügen Sie die Cloud Storage API zu Ihrem Dienstperimeter hinzu, um Daten in Contact Center AI Insights zu laden. Um den Export zu verwenden, fügen Sie Ihrem Dienstperimeter die BigQuery API hinzu. Wenn Sie mehrere CCAI-Produkte integrieren möchten, fügen Sie Ihrem Dienstperimeter die Vertex AI API hinzu. Weitere Informationen zu Contact Center AI Insights finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Contact Center AI Insights in VPC Service Controls gelten keine bekannten Einschränkungen.

Dataflow

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`dataflow.googleapis.com`
Details	Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft: Cloud Storage (Java, Python) BigQuery (Java, Python) Pub/Sub (Java, Python) Cloud Bigtable (Java) Cloud Spanner (Java) Weitere Informationen zu Dataflow finden Sie in der Produktdokumentation.
Einschränkungen	Benutzerdefiniertes BIND wird bei Verwendung von Dataflow nicht unterstützt. Wenn Sie die DNS-Auflösung bei Verwendung von Dataflow mit VPC Service Controls anpassen möchten, nutzen Sie private Zonen von Cloud DNS anstelle benutzerdefinierter BIND-Server. Zur Verwendung einer eigenen lokalen DNS-Auflösung können Sie eine lokale DNS-Weiterleitungsmethode von Google Cloud verwenden. Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft. Eine Liste der geprüften Connectors finden Sie unter Dataflow-Details. Bei Einsatz von Python 3.5 mit Apache Beam SDK 2.20.0-2.22.0 schlagen Dataflow-Jobs beim Start fehl, wenn die Worker nur private IP-Adressen haben, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird. Wenn Dataflow-Worker nur private IP-Adressen haben können, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird, verwenden Sie Python 3.5 nicht mit Apache Beam SDK 2.20.0-2.22.0. Diese Kombination führt dazu, dass Jobs beim Start fehlschlagen.

Dataproc

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`dataproc.googleapis.com`
Details	Dataproc erfordert besondere Schritte für den Schutz mit VPC Service Controls. Weitere Informationen zu Dataproc finden Sie in der Produktdokumentation.
Einschränkungen	Wenn Sie einen Dataproc-Cluster mit einem Dienstperimeter schützen möchten, müssen Sie die Schritte zum Einrichten privater Verbindungen ausführen, damit der Cluster innerhalb des Perimeters funktionieren kann.

Dataproc Metastore

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`metastore.googleapis.com`
Details	Die API für Dataproc Megastore kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Dataproc Metastore finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Dataproc Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.

Datastream

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`datastream.googleapis.com`
Details	Die Datastream API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Datastream finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Datastream in VPC Service Controls gelten keine bekannten Einschränkungen.

Database Migration Service

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`datamigration.googleapis.com`
Details	Die API für Database Migration Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Database Migration Service finden Sie in der Produktdokumentation.
Einschränkungen	Dienstperimeter schützen nur die Database Migration Service Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf zugrunde liegende Datenbanken (z. B. Cloud SQL-Instanzen). Verwenden Sie eine Einschränkung der Organisationsrichtlinie, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken. Wenn Sie eine Cloud Storage-Datei in der ersten Dump-Phase der Migration verwenden, fügen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzu. Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) in der Zieldatenbank verwenden, muss sich der CMEK im selben Dienstperimeter befinden wie das Verbindungsprofil, das den Schlüssel enthält.

Dialogflow

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`dialogflow.googleapis.com`
Details	Die API für Dialogflow kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Dialogflow finden Sie in der Produktdokumentation.
Einschränkungen	Wenn der Agent nicht in den privaten Netzwerkzugriff in Service Directory eingebunden wird, werden Webhook-Aufrufe als außerhalb des Dienstperimeters betrachtet und blockiert. Eingeschränkte Endpunkte werden von Service Directory unterstützt. Weitere Informationen finden Sie unter Service Directory.

Cloud Data Loss Prevention

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`dlp.googleapis.com`
Details	Die API für Cloud Data Loss Prevention kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden. Weitere Informationen zu Cloud Data Loss Prevention finden Sie in der Produktdokumentation.
Einschränkungen	Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, geben DLP-Aufrufe bei dem Versuch, auf Ressourcen auf Organisationsebene zuzugreifen, die Antwort 403 zurück. Zum Verwalten von DLP-Berechtigungen auf Ordner- und Organisationsebene empfehlen wir IAM.

Cloud DNS

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`dns.googleapis.com`
Details	Die API für Cloud DNS kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud DNS finden Sie in der Produktdokumentation.
Einschränkungen	Sie können über die eingeschränkte VIP auf Cloud DNS zugreifen. Sie können jedoch keine öffentlichen DNS-Zonen in Projekten innerhalb des VPC Service Controls-Perimeters erstellen oder aktualisieren.

Document AI

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`documentai.googleapis.com`
Details	Die API für Document AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Document AI finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Document AI in VPC Service Controls gibt es keine bekannten Einschränkungen.

Cloud Domains

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`domains.googleapis.com`
Details	Die API für Cloud Domains kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Domains finden Sie in der Produktdokumentation.
Einschränkungen	Die in Cloud Domains verwendeten Kontaktdaten werden möglicherweise für die Registry für Domainendung oder Top-Level-Domain (TLD) freigegeben und können gemäß Ihren Einstellungen und entsprechend den ICANN-Regeln für WHOIS/RDAP öffentlich zugänglich sein. Weitere Informationen finden Sie unter Datenschutz. Die in Cloud Domains verwendeten DNS-Konfigurationsdaten – Nameserver und DNSSEC-Einstellungen – sind öffentlich. Wenn Ihre Domain an eine öffentliche DNS-Zone delegiert (Standardeinstellung), sind die DNS-Konfigurationsdaten dieser Zone ebenfalls öffentlich. Sie können über die Google Domains-Website außerhalb des Perimeters von VPC Service Controls auf Cloud Domains-Registrierungsressourcen zugreifen.

Eventarc

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`eventarc.googleapis.com`
Details	Eventarc übernimmt die Ereignisübermittlung mithilfe von Pub/Sub-Themen und Push-Abos. Für den Zugriff auf die Pub/Sub API und das Verwalten von Ereignistriggern muss die Eventarc API im selben VPC Service Controls-Dienstperimeter wie die Pub/Sub API geschützt sein. Weitere Informationen zu Filestore finden Sie in der Produktdokumentation.
Einschränkungen	Eventarc ist an dieselben Einschränkungen wie Pub/Sub gebunden: In Projekten, die durch einen Dienstperimeter geschützt sind, können neue Push-Abos nur erstellt werden, wenn die Push-Endpunkte auf Cloud Run-Dienste mit standardmäßigen `run.app`-URLs (benutzerdefinierte Domains funktionieren nicht) festgelegt sind. Siehe Pub/Sub-Einschränkungen in diesem Dokument.

Firebase App Check

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`firebaseappcheck.googleapis.com`
Details	Wenn Sie Firebase App Check-Tokens konfigurieren und austauschen, schützt VPC Service Controls nur den Firebase App Check-Dienst. Zum Schutz von Diensten, die auf Firebase App Check basieren, müssen Sie Dienstperimeter für diese Dienste einrichten. Weitere Informationen zu Firebase App Check finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Firebase App Check in VPC Service Controls gelten keine bekannten Einschränkungen.

Firebase-Sicherheitsregeln

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`firebaserules.googleapis.com`
Details	Wenn Sie Richtlinien für Firebase-Sicherheitsregeln verwalten, schützt VPC Service Controls nur den Dienst für Firebase-Sicherheitsregeln. Zum Schutz von Diensten, die auf Firebase-Sicherheitsregeln beruhen, müssen Sie Dienstperimeter für diese Dienste einrichten. Weitere Informationen zu Firebase-Sicherheitsregeln finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Firebase-Sicherheitsregeln in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Functions

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudfunctions.googleapis.com`
Details	Informationen zur Einrichtung finden Sie in der Cloud Functions-Dokumentation. Der Schutz von VPC Service Controls gilt nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Der Schutz von VPC Service Controls gilt für alle Funktionstrigger mit Ausnahme von Firebase Realtime Database-Triggern und Firebase Crashlytics-Triggern. Weitere Informationen finden Sie unter den bekannten Einschränkungen. Weitere Informationen zu Cloud Functions finden Sie in der Produktdokumentation.
Einschränkungen	Cloud Functions verwendet Cloud Build, um Ihren Quellcode in einem ausführbaren Container zu erstellen. Damit Cloud Functions innerhalb eines Dienstperimeters verwendet werden kann, müssen Sie eine Regel für eingehenden Traffic für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren. Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugriff kann zum Exfiltrieren von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. dem hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler. Als Firebase Realtime Database-Trigger und Firebase Crashlytics-Trigger könnte ein Nutzer eine Funktion bereitstellen, die durch Änderungen an einer Firebase Realtime Database oder an Firebase Crashlytics in einem anderen Projekt außerhalb des Dienstperimeters des Projekts, in dem die Funktion bereitgestellt ist, ausgelöst wird. Wenn Sie den Exfiltrationsvektor für diese beiden Trigger abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.

Identity and Access Management

Status	Beta
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`iam.googleapis.com`
Details	Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören die Verwaltung von benutzerdefinierten IAM-Rollen, die Verwaltung von Arbeitslast-Identitätspools und die Verwaltung von Dienstkonten und Schlüsseln. Der Perimeter schränkt keine Aktionen ein, die andere APIs verwenden, darunter: IAM Policy Simulator API IAM Policy Troubleshooter API Security Token Service API Service Account Credentials API (einschließlich der Legacy-Methoden `signBlob` und `signJwt` in der IAM API) Der Perimeter um IAM beschränkt nicht das Abrufen oder Festlegen von IAM-Richtlinien für Ressourcen, die anderen Diensten wie Compute Engine-VM-Instanzen gehören. Um das Abrufen und Festlegen von IAM-Richtlinien für diese Ressourcen zu beschränken, erstellen Sie einen Perimeter, der den Dienst beschränkt, der die Ressourcen besitzt. Eine Liste der Ressourcen, die IAM-Richtlinien annehmen, und der Dienste, die sie besitzen, finden Sie unter Ressourcentypen, die IAM-Richtlinien annehmen. Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie in der Produktdokumentation.
Einschränkungen	Wenn Sie sich im Perimeter befinden, können Sie die Methode `roles.list` mit einem leeren String aufrufen, um vordefinierte IAM-Rollen aufzulisten. Informationen zum Aufrufen vordefinierter Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Serverloser VPC-Zugriff

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`vpcaccess.googleapis.com`
Details	Die API für serverlosen VPC-Zugriff kann durch VPC Service Controls geschützt werden und das Produkt kann in Dienstperimetern normal genutzt werden. Weitere Informationen zum serverlosen VPC-Zugriff finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von serverlosem VPC-Zugriff in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Key Management Service

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudkms.googleapis.com`
Details	Die Cloud KMS API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern verwendet werden. Der Zugriff auf Cloud HSM-Dienste ist auch durch VPC Service Controls geschützt und kann innerhalb von Dienstperimetern verwendet werden. Weitere Informationen zum Cloud Key Management Service finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden des Cloud Key Management Service in VPC Service Controls gelten keine bekannten Einschränkungen.

Game Servers

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`gameservices.googleapis.com`
Details	Die API für Game Servers kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Game Servers finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Game Servers in VPC Service Controls gelten keine bekannten Einschränkungen.

Identity-Aware Proxy for TCP

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`iaptunnel.googleapis.com`
Details	Die API für Identity-Aware Proxy for TCP kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zum Identity-Aware Proxy for TCP finden Sie in der Produktdokumentation.
Einschränkungen	Nur die Nutzungs-API von IAP für TCP kann durch einen Perimeter geschützt werden. Die administrative API kann nicht durch einen Perimeter geschützt werden. Um IAP for TCP innerhalb eines VPC Service Controls-Dienstperimeters zu verwenden, müssen Sie einige DNS-Einträge hinzufügen oder konfigurieren, um folgende Domains auf die eingeschränkte VIP zu verweisen: tunnel.cloudproxy.app *.tunnel.cloudproxy.app

Cloud Life Sciences

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`lifesciences.googleapis.com`
Details	Die API für Cloud Life Sciences kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Life Sciences finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Cloud Life Sciences in VPC Service Controls gelten keine bekannten Einschränkungen.

Managed Service for Microsoft Active Directory

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`managedidentities.googleapis.com`
Details	Zusätzliche Konfiguration erforderlich für: Lokaler Zugriff auf die Managed Microsoft AD API Freigegebene VPC Weitere Informationen zum Managed Service for Microsoft Active Directory finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden des Managed Service for Microsoft Active Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

reCAPTCHA Enterprise

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`recaptchaenterprise.googleapis.com`
Details	Die API für reCAPTCHA Enterprise kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu reCAPTCHA Enterprise finden Sie in der Produktdokumentation.
Einschränkungen	Für die reCAPTCHA Enterprise-Integration in VPC Service Controls gelten keine bekannten Einschränkungen.

Web Risk

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`webrisk.googleapis.com`
Details	Die Web Risk API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Web Risk finden Sie in der Produktdokumentation.
Einschränkungen	Die Evaluate API und die Submission API werden von VPC Service Controls nicht unterstützt.

Recommender

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`recommender.googleapis.com`
Details	Die API für Recommender kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Recommender finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Recommender in VPC Service Controls gelten keine bekannten Einschränkungen.

Secret Manager

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`secretmanager.googleapis.com`
Details	Die API für Secret Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zum Secret Manager finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden des Secret Manager in VPC Service Controls gelten keine bekannten Einschränkungen.

Pub/Sub

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`pubsub.googleapis.com`
Details	Der Schutz von VPC Service Controls gilt für alle Administrator-, Publisher- und Abonnentenvorgänge (mit Ausnahme von vorhandenen Push-Abos). Weitere Informationen zu Pub/Sub finden Sie in der Produktdokumentation.
Einschränkungen	In Projekten, die durch einen Dienstperimeter geschützt sind, können neue Push-Abos nur erstellt werden, wenn die Push-Endpunkte auf Cloud Run-Dienste mit standardmäßigen `run.app`-URLs festgelegt sind (benutzerdefinierte Domains funktioniert nicht). Weitere Informationen zur Einbindung von Cloud Run finden Sie unter VPC Service Controls verwenden. Pub/Sub-Push-Abos, die vor dem Dienstperimeter erstellt wurden, werden nicht blockiert.

Pub/Sub Lite

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`pubsublite.googleapis.com`
Details	Der Schutz von VPC Service Controls gilt für alle Abonnentenvorgänge. Weitere Informationen zu Pub/Sub Lite finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Pub/Sub Lite in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Build

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudbuild.googleapis.com`
Details	Verwenden Sie VPC Service Controls mit privaten Cloud Build-Pools, um die Sicherheit Ihrer Builds zu erhöhen. Weitere Informationen zu Cloud Build finden Sie in der Produktdokumentation.
Einschränkungen	Der Schutz von VPC Service Controls ist nur für Builds verfügbar, die in privaten Pools ausgeführt werden.

Google Cloud Deploy

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`clouddeploy.googleapis.com`
Details	Die API für Google Cloud Deploy kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Google Cloud Deploy finden Sie in der Produktdokumentation.
Einschränkungen	Wenn Sie Google Cloud Deploy in einem Perimeter verwenden möchten, müssen Sie einen privaten Cloud Build-Pool für die Ausführungsumgebungen des Ziels verwenden. Verwenden Sie nicht den Standard-Worker-Pool (Cloud Build) und keinen Hybrid-Pool.

Cloud Composer

Status	AV
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`composer.googleapis.com`
Details	Composer für die Verwendung mit VPC Service Controls konfigurieren Weitere Informationen zu Cloud Composer finden Sie in der Produktdokumentation.
Einschränkungen	Durch Aktivieren der DAG-Serialisierung wird verhindert, dass Airflow eine gerenderte Vorlage mit Funktionen in der Web-UI anzeigt. Das Flag `async_dagbag_loader` kann nicht auf `True` gesetzt werden, wenn die DAG-Serialisierung aktiviert ist. Durch Aktivieren der DAG-Serialisierung werden alle Airflow-Webserver-Plug-ins deaktiviert, da sie die Sicherheit des VPC-Netzwerks beeinträchtigen können, in dem Cloud Composer bereitgestellt wird. Dies wirkt sich nicht auf das Verhalten von Planer- oder Worker-Plug-ins, einschließlich Airflow-Operatoren und Sensoren, aus. Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPi-Modulen im privaten IP-Modus finden Sie in der Cloud Composer-Dokumentation unter Python-Abhängigkeiten installieren.

Cloud Run

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`run.googleapis.com`
Details	Für Cloud Run ist eine zusätzliche Einrichtung erforderlich. Folgen Sie der Anleitung auf der Dokumentationsseite VPC Service Controls für Cloud Run. Weitere Informationen zu Cloud Run finden Sie in der Produktdokumentation.
Einschränkungen	Bei Artifact Registry und Container Registry muss sich die Registry, in der Sie den Container speichern, im selben VPC Service Controls-Perimeter wie das Projekt befinden, in dem Sie die Bereitstellung durchführen. Der erstellte Code muss sich im selben VPC Service Controls-Perimeter befinden wie die Registry, in die der Container übertragen wird. Die Cloud Run-Funktion Kontinuierliche Bereitstellung ist für Projekte in einem VPC Service Controls-Perimeter nicht verfügbar.

Cloud Spanner

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`spanner.googleapis.com`
Details	Die API für Cloud Spanner kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Spanner finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Cloud Spanner in VPC Service Controls gelten keine bekannten Einschränkungen.

Speaker ID

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`speakerid.googleapis.com`
Details	Die Speaker ID API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Speaker ID finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung der Speaker ID in VPC Service Controls gibt es keine bekannten Einschränkungen.

Cloud Storage

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`storage.googleapis.com`
Details	Die API für Cloud Storage kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Storage finden Sie in der Produktdokumentation.
Einschränkungen	Wenn Sie das Feature „Anforderer bezahlt“ mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden. Weitere Informationen zum Feature „Anforderer bezahlt“ finden Sie im Artikel „Anforderer bezahlt“ unter Anforderungen für Zugriff und Verwendung. Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Google Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Regel für eingehenden Traffic und/oder eine Zugriffsebene erstellen, die die Nutzerkonten und/oder den öffentlichen IP-Bereich enthält, für die Sie den Zugriff auf die Cloud Storage API zulassen möchten. Das Feld `resourceName` in Audit-Logeinträgen bezieht sich nicht auf das Projekt, das einen Bucket besitzt. Das Projekt muss separat ermittelt werden. In Audit-Logeinträgen ist der Wert für `methodName` nicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logeinträge nicht nach `methodName` zu filtern. In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird. Wenn Sie versuchen, `gsutil` zum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, den `storage-api.googleapis.com`-Dienst zu aktivieren. Sie können zwar `storage-api.googleapis.com` nicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sind `gsutil`-Vorgänge ebenfalls geschützt. In bestimmten Fällen sind öffentliche Cloud Storage-Objekte auch dann zugänglich, wenn Sie VPC Service Controls für die Objekte aktiviert haben. Die Objekte sind zugänglich, bis sie aus den integrierten Caches und anderen Upstream-Caches im Netzwerk zwischen dem Endnutzer und Cloud Storage ablaufen. Cloud Storage speichert öffentlich zugängliche Daten standardmäßig im Cloud Storage-Netzwerk. Weitere Informationen zum Zwischenspeichern von Cloud Storage-Objekten finden Sie unter Cloud Storage. Informationen zur Aufbewahrungsdauer von Objekten im Cache finden Sie unter Cache-Control-Metadaten:

Cloud SQL

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`sqladmin.googleapis.com`
Details	VPC Service Controls-Perimeter schützen die Cloud SQL Admin API. Weitere Informationen zu Cloud SQL finden Sie in der Produktdokumentation.
Einschränkungen	Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Einschränkung für die Organisationsrichtlinie verwenden, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken. Aktivieren Sie die Service Networking API, bevor Sie VPC Service Controls für Cloud SQL konfigurieren. Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket ausführen, der sich im selben Dienstperimeter wie die Cloud SQL-Replikatinstanz befindet. Beim Migrationsprozess für den externen Server müssen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzufügen. Bei der Schlüsselerstellung für CMEK müssen Sie den Schlüssel im selben Dienstperimeter erstellen wie die Ressourcen, für die er verwendet wird. Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.

Video Intelligence API

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`videointelligence.googleapis.com`
Details	Die Video Intelligence API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden. Weitere Informationen zur Video Intelligence API finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden der Video Intelligence API in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Vision API

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`vision.googleapis.com`
Details	Die Cloud Vision API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zur Cloud Vision API finden Sie in der Produktdokumentation.
Einschränkungen	Auch wenn Sie eine Regel für ausgehenden Traffic erstellen, um Aufrufe von öffentlichen URLs aus VPC Service Controls-Perimetern zuzulassen, blockiert die Cloud Vision API Aufrufe von öffentlichen URLs.

Container Analysis

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`containeranalysis.googleapis.com`
Details	Damit Sie Container Analysis mit VPC Service Controls verwenden können, müssen Sie dem VPC-Perimeter möglicherweise weitere Dienste hinzufügen: Wenn Sie Pub/Sub-Benachrichtigungen mit Container Analysis verwenden, fügen Sie Ihrem Dienstperimeter Pub/Sub hinzu. Wenn Sie die Container Scanning API verwenden, fügen Sie Ihre Registry dem Perimeter hinzu: Artifact Registry oder Container Registry. Da es sich bei der Container Scanning API um eine API ohne Oberfläche handelt, die die Ergebnisse in Container Analysis speichert, müssen Sie die API nicht mit einem Dienstperimeter schützen. Weitere Informationen zu Container Analysis finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Container Analysis in VPC Service Controls gelten keine bekannten Einschränkungen.

Container Registry

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`containerregistry.googleapis.com`
Details	Zusätzlich zum Schutz der Container Registry API kann Container Registry auch innerhalb eines Dienstperimeters mit GKE und Compute Engine verwendet werden. Weitere Informationen zu Container Registry finden Sie in der Produktdokumentation.
Einschränkungen	Da Container Registry die Domain `gcr.io` verwendet, müssen Sie das DNS konfigurieren, damit `*.gcr.io` entweder `private.googleapis.com` oder `restricted.googleapis.com` zugeordnet wird. Weitere Informationen finden Sie unter Container Registry in einem Dienstperimeter sichern. Neben den Containern innerhalb eines Perimeters, die für Container Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Repositories unabhängig von den durch Dienstperimeter durchgesetzten Einschränkungen für alle Projekte zur Verfügung: `gcr.io/asci-toolchain` `gcr.io/cloud-airflow-releaser` `gcr.io/cloud-builders` `gcr.io/cloud-dataflow` `gcr.io/cloud-marketplace` `gcr.io/cloud-ssa` `gcr.io/cloudsql-docker` `gcr.io/config-management-release` `gcr.io/deeplearning-platform-release` `gcr.io/foundry-dev` `gcr.io/fn-img` `gcr.io/gae-runtimes` `gcr.io/gke-node-images` `gcr.io/gke-release` `gcr.io/google-containers` `gcr.io/kubeflow` `gcr.io/kubeflow-images-public` `gcr.io/kubernetes-helm` `gcr.io/istio-release` `gcr.io/ml-pipeline` `gcr.io/projectcalico-org` `gcr.io/rbe-containers` `gcr.io/rbe-windows-test-images` `gcr.io/speckle-umbrella` `gcr.io/stackdriver-agents` `gcr.io/tensorflow` `gcr.io/vertex-ai` `gcr.io/vertex-ai-restricted` `gke.gcr.io` `k8s.gcr.io` `mirror.gcr.io` In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

Google Kubernetes Engine

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`container.googleapis.com`
Details	Die API für Google Kubernetes Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Google Kubernetes Engine finden Sie in der Produktdokumentation.
Einschränkungen	Nur private Cluster können durch VPC Service Controls geschützt werden. Cluster mit öffentlichen IP-Adressen werden von VPC Service Controls nicht unterstützt.

Image-Streaming

Status	Vorschau
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`containerfilesystem.googleapis.com`
Details	Image-Streaming ist eine GKE-Funktion zum Datenstreaming, die kürzere Pull-Zeiten für Container-Images für in Artifact Registry gespeicherte Images bietet. Wenn VPC Service Controls Ihre Container-Images schützt und Sie Image-Streaming verwenden, müssen Sie auch die Image-Streaming-API in den Dienstperimeter aufnehmen. Weitere Informationen zum Image-Streaming finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Image-Streaming in VPC Service Controls gelten keine bekannten Einschränkungen.

Flotten

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`gkeconnect.googleapis.com, gkehub.googleapis.com, connectgateway.googleapis.com`
Details	Flottenverwaltungs-APIs, einschließlich des Connect Gateways, können mit VPC Service Controls geschützt werden und Funktionen zur Flottenverwaltung können innerhalb von Dienstperimetern normal verwendet werden. Hier finden Sie weitere Informationen: VPC Service Controls mit dem Connect-Agent verwenden VPC Service Controls mit dem Connect-Gateway verwenden Weitere Informationen zu Flotten finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Flotten in VPC Service Controls gelten keine bekannten Einschränkungen.

Resource Manager

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudresourcemanager.googleapis.com beta`
Details	Die API für Resource Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zum Resource Manager finden Sie in der Produktdokumentation.
Einschränkungen	Die einzigen geschützten Resource Manager API-Methoden sind v1 `project.setIAMPolicy` und v1beta1 `project.setIAMPolicy`. Die Zuweisung der Inhaberrolle für ein Projekt wird von VPC Service Controls nicht unterstützt. Einem Nutzer kann die Inhaberrolle nicht mit `project.setIAMPolicy` zugewiesen werden. Einladungen zum Zuweisen der Inhaberrolle dürfen nur über die Google Cloud Console gesendet werden und können derzeit nicht über VPC Service Controls eingeschränkt werden.

Cloud Logging

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`logging.googleapis.com`
Details	Die API für Cloud Logging kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Logging finden Sie in der Produktdokumentation.
Einschränkungen	Aggregierte Logsenken (Ordner- oder Organisationssenken, wobei `includeChildren` den Wert `true` hat) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Wenn Sie verhindern möchten, dass aggregierte Logsenken auf Daten innerhalb eines Perimeters zugreifen, verwenden Sie IAM, um Logging-Berechtigungen für die aggregierten Log-Senken auf Ordner- oder Organisationsebene zu verwalten. VPC Service Controls unterstützt das Hinzufügen von Ordner- oder Organisationsressourcen zu Dienstperimetern nicht. Daher können Sie VPC Service Controls nicht zum Schutz von Logs auf Ordner- und Organisationsebene verwenden, einschließlich aggregierter Logs. Zum Verwalten von Logging-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM. Wenn Sie Logs mithilfe einer Logsenke auf Organisationsebene oder Ordnerebene an eine Ressource weiterleiten, die durch einen Dienstperimeter geschützt wird, müssen Sie dem Dienstperimeter eine Regel für eingehenden Traffic hinzufügen. Die Regel für eingehenden Traffic muss den Zugriff auf die Ressource über das Dienstkonto zulassen, das von der Logsenke verwendet wird. Dieser Schritt ist für Senken auf Projektebene nicht erforderlich. Weitere Informationen finden Sie auf den folgenden Seiten: Regeln für ein- und ausgehenden Traffic Dienstperimeter verwalten Senken konfigurieren und verwalten

Cloud Monitoring

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`monitoring.googleapis.com`
Details	Die API für Cloud Monitoring kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Monitoring finden Sie in der Produktdokumentation.
Einschränkungen	Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch Änderung der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert. Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da Schreibvorgänge von Agent-Messwerten sonst fehlschlagen. Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert das GKE-Monitoring nicht. Beim Abfragen von Messwerten für einen Messwertbereich wird nur der VPC Service Controls-Perimeter des für den Messwertbereich verantwortlichen Messprojekts berücksichtigt. Die Perimeter der einzelnen überwachten Projekte im Messwertbereich werden dabei nicht berücksichtigt. Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Messwertbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter befindet wie das für den Messwertbereich verantwortliche Messprojekt. Für den Zugriff auf Monitoring in der Google Cloud Console für ein Hostprojekt, das durch einen Dienstperimeter geschützt ist, verwenden Sie eine Regel für eingehenden Traffic.

Cloud Profiler

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudprofiler.googleapis.com`
Details	Die API für Cloud Profiler kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Profiler finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Cloud Profiler in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Trace

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudtrace.googleapis.com`
Details	Die API für Cloud Trace kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Trace finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Cloud Trace in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud TPU

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`tpu.googleapis.com`
Details	Die API für Cloud TPU kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud TPU finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Cloud TPU in VPC Service Controls gelten keine bekannten Einschränkungen.

Natural Language API

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`language.googleapis.com`
Details	Die Natural Language API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zur Natural Language API finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden der Natural Language API in VPC Service Controls gelten keine bekannten Einschränkungen.

Network Connectivity Center

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`networkconnectivity.googleapis.com`
Details	Die API für Network Connectivity Center kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zum Network Connectivity Center finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung des Network Connectivity Centers in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Asset API

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`cloudasset.googleapis.com`
Details	Die Cloud Asset API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zur Cloud Asset API finden Sie in der Produktdokumentation.
Einschränkungen	VPC Service Controls unterstützt nicht den Zugriff auf Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene durch Ressourcen und Clients innerhalb eines Dienstperimeters. VPC Service Controls schützt Cloud Asset API-Ressourcen auf Projektebene. Sie können eine Richtlinie für ausgehenden Traffic festlegen, um den Zugriff auf Cloud Asset API-Ressourcen auf Projektebene von Projekten innerhalb des Perimeters zu verhindern. VPC Service Controls unterstützt nicht das Hinzufügen von Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu einem Dienstperimeter. Sie können keinen Perimeter verwenden, um Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu schützen. Zum Verwalten von Cloud Asset Inventory-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM. Sie können Assets auf Ordner- oder Organisationsebene nicht in Ziele innerhalb eines Dienstperimeters exportieren. Sie können keine Echtzeit-Feeds für Assets auf Ordner- oder Organisationsebene mit einem Pub/Sub-Thema innerhalb eines Dienstperimeters erstellen.

Speech-to-Text

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`speech.googleapis.com`
Details	Die Speech-to-Text API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Speech-to-Text finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Speech-to-Text in VPC Service Controls gelten keine bekannten Einschränkungen.

Text-to-Speech

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`texttospeech.googleapis.com`
Details	Die Text-to-Speech API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Text-to-Speech finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Text-to-Speech in VPC Service Controls gelten keine bekannten Einschränkungen.

Translation

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`translate.googleapis.com`
Details	Die API für Translation kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Translation finden Sie in der Produktdokumentation.
Einschränkungen	Cloud Translation Advanced (v3) unterstützt VPC Service Controls, aber nicht Cloud Translation – Basic (v2). Sie müssen Cloud Translation Advanced (v3) verwenden, um VPC Service Controls anzuwenden. Weitere Informationen zu den verschiedenen Versionen finden Sie unter Einfache und erweiterte Versionen vergleichen.

Transcoder API

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`transcoder.googleapis.com`
Details	Die Transcoder API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zur Transcoder API finden Sie in der Produktdokumentation.
Einschränkungen	Die Transcoder API-Integration in VPC Service Controls hat keine bekannten Einschränkungen.

Zugriffsgenehmigung

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`accessapproval.googleapis.com`
Details	Die Access Approval API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Access Approval finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Access Approval in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Healthcare API

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`healthcare.googleapis.com`
Details	Die Cloud Healthcare API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zur Cloud Healthcare API finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden der Cloud Healthcare API in VPC Service Controls gelten keine bekannten Einschränkungen.

Storage Transfer Service

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`storagetransfer.googleapis.com`
Details	Es wird empfohlen, das STS-Projekt im selben Dienstperimeter wie Ihre Cloud Storage-Ressourcen zu platzieren. So werden sowohl Ihre Übertragung als auch Ihre Cloud Storage-Ressourcen geschützt. Der Storage Transfer Service unterstützt mithilfe einer Richtlinie für ausgehenden Traffic auch Szenarien, in denen sich das Storage Transfer Service-Projekt nicht im selben Perimeter wie Ihre Cloud Storage-Buckets befindet. Informationen zum Einrichten finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden. Transfer Service for On Premises Data Weitere Informationen und Einrichtungsinformationen zu lokalen Datenübertragungen finden Sie unter Lokale Datenübertragung mit VPC Service Controls verwenden. Weitere Informationen zum Storage Transfer Service finden Sie in der Produktdokumentation.
Einschränkungen	Transfer Service for On Premises Data bietet keinen VPC Service Controls API-bezogenen Schutz in der Google Cloud Console.

Service Control

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`servicecontrol.googleapis.com`
Details	Die Service Control API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Service Control finden Sie in der Produktdokumentation.
Einschränkungen	Wenn Sie die Service Control API aus einem VPC-Netzwerk in einem Dienstperimeter mit eingeschränkter Service Control aufrufen, können Sie die Service Control-Berichtsmethode nicht verwenden, um Abrechnungsmesswerte zu melden.

Memorystore for Redis

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`redis.googleapis.com`
Details	Die Memorystore for Redis API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Memorystore for Redis finden Sie in der Produktdokumentation.
Einschränkungen	Dienstperimeter schützen nur die Memorystore for Redis API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Redis-Instanzen im selben Netzwerk. Wenn die Cloud Storage API ebenfalls geschützt ist, können Import- und Exportvorgänge von Memorystore for Redis nur in einen Cloud Storage-Bucket innerhalb des Dienstperimeters lesen und schreiben, in dem sich die Memorystore for Redis-Instanz befindet. Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt mit der Redis-Instanz im selben Perimeter bereitstellt, damit Redis-Anfragen erfolgreich sind. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, können neben blockierten Anfragen auch jederzeit Fehler in der Redis-Instanz auftreten. Weitere Informationen finden Sie unter Konfigurationsanforderungen für Memorystore for Redis.

Memorystore for Memcached

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`memcache.googleapis.com`
Details	Die Memorystore for Memcache API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Memorystore for Memcache finden Sie in der Produktdokumentation.
Einschränkungen	Dienstperimeter schützen nur die Memorystore for Memcache API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Memcache-Instanzen im selben Netzwerk.

Service Directory

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`servicedirectory.googleapis.com`
Details	Die Service Directory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Service Directory finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Service Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

Transfer Appliance

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Nein. Die API für Transfer Appliance kann nicht durch Dienstperimeter geschützt werden. Transfer Appliance kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
Details	Für Projekte, die VPC Service Controls verwenden, wird Transfer Appliance vollständig unterstützt. Transfer Appliance bietet keine API und unterstützt daher keine API-bezogenen Features in VPC Service Controls. Weitere Informationen zu Transfer Appliance finden Sie in der Produktdokumentation.
Einschränkungen	Wenn Cloud Storage durch VPC Service Controls geschützt wird, muss sich der Cloud KMS-Schlüssel, den Sie mit dem Transfer Appliance-Team gemeinsam nutzen, im selben Projekt wie der Cloud Storage-Ziel-Bucket befinden.

OS Login

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`oslogin.googleapis.com`
Details	Sie können die OS Login API aus VPC Service Controls-Perimetern aufrufen. Für die Verwaltung von OS Login über VPC Service Controls-Perimeter richten Sie OS Login ein. SSH-Verbindungen zu VM-Instanzen sind nicht durch VPC Service Controls geschützt. Weitere Informationen zu OS Login finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von OS Login in VPC Service Controls gelten keine bekannten Einschränkungen.

VM Manager

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`osconfig.googleapis.com`
Details	Sie können die OS Config API aus VPC Service Controls-Perimetern aufrufen. Wenn Sie VM Manager innerhalb von VPC Service Controls-Perimetern verwenden möchten, richten Sie VM Manager ein. Weitere Informationen zu VM Manager finden Sie in der Produktdokumentation.
Einschränkungen	Zum vollständigen Schutz von VM Manager müssen Sie alle folgenden APIs in Ihrem Perimeter einschließen: OS Config API (`osconfig.googleapis.com`) Compute Engine API (`compute.googleapis.com`) Container Analysis API (`containeranalysis.googleapis.com`) VM Manager hostet keine Paket- und Patchinhalte. OS Patch Management verwendet die Update-Tools für das Betriebssystem, die erfordern, dass Paketaktualisierungen und Patches auf der VM abgerufen werden können. Damit Patches funktionieren, müssen Sie möglicherweise Cloud NAT verwenden oder Ihr eigenes Package Repository oder Ihren Windows Server Update Service in Ihrer Virtual Private Cloud hosten.

Workflows

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`workflows.googleapis.com`
Details	Workflows ist eine Orchestrierungsplattform, die Google Cloud-Dienste und HTTP-basierte APIs kombinieren kann, um Dienste in einer von Ihnen definierten Reihenfolge auszuführen. Wenn Sie die Workflows API mit einem Dienstperimeter schützen, ist auch die Workflow Executions API geschützt. Sie müssen `workflowexecutions.googleapis.com` nicht separat zur Liste der geschützten Dienste Ihres Perimeters hinzufügen. HTTP-Anfragen von einer Workflows-Ausführung werden so unterstützt: Authentifizierte Anfragen an VPC Service Controls-kompatible Google Cloud-Endpunkte sind zulässig. Anfragen an Cloud Functions- und Cloud Run-Dienstendpunkte sind zulässig. Anfragen an Endpunkte von Drittanbietern werden blockiert. Anfragen an nicht-VPC Service Controls-konforme Google Cloud-Endpunkte werden blockiert. Weitere Informationen zu Workflows finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Workflows in VPC Service Controls gelten keine bekannten Einschränkungen.

Filestore

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`file.googleapis.com`
Details	Die Filestore API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Filestore finden Sie in der Produktdokumentation.
Einschränkungen	Dienstperimeter schützen nur die Filestore API. Perimeter schützen nicht den normalen Zugriff auf NFS-Daten auf Filestore-Instanzen innerhalb desselben Netzwerks. Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt enthält, das die Filestore-Instanz im selben Perimeter enthält, damit die Filestore-Instanz ordnungsgemäß funktioniert. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und erstellen möglicherweise keine neuen Instanzen.

Container Threat Detection

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`containerthreatdetection.googleapis.com`
Details	Die API für Container Threat Detection kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Container Threat Detection finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Container Threat Detection in VPC Service Controls gelten keine bekannten Einschränkungen.

Ads Data Hub

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`adsdatahub.googleapis.com`
Details	Weitere Informationen zu Ads Data Hub finden Sie in der Produktdokumentation.
Einschränkungen	Für Ads Data Hub und VPC Service Controls gelten unterschiedliche Nutzungsbedingungen. Weitere Informationen finden Sie in den Nutzungsbedingungen der einzelnen Produkte. Bei bestimmten Funktionen von Ads Data Hub (z. B. benutzerdefinierte Zielgruppenaktivierung, benutzerdefinierte Gebote und LiveRamp-Match-Tables) müssen bestimmte Nutzerdaten außerhalb des Perimeters von VPC Service Controls exportiert werden. Wird Ads Data Hub als eingeschränkter Dienst hinzugefügt, werden die VPC Service Controls-Richtlinien für diese Funktionen umgangen, damit die Funktionen erhalten bleiben. Alle abhängigen Dienste müssen als zulässige Dienste im selben VPC Service Controls-Perimeter enthalten sein. Da Ads Data Hub beispielsweise auf BigQuery basiert, muss auch BigQuery hinzugefügt werden. Im Allgemeinen empfiehlt VPC Service Controls, alle Dienste im Perimeter zu berücksichtigen, d. h. alle Dienste einzuschränken. Kunden mit mehrstufigen Ads Data Hub-Kontostrukturen (z. B. Agenturen mit Tochterunternehmen) sollten alle ihre Administratorprojekte im selben Perimeter haben. Der Einfachheit halber empfiehlt Ads Data Hub, dass Kunden mit mehrstufigen Kontostrukturen ihre Administratorprojekte auf eine Google Cloud-Organisation beschränken.

Traffic Director

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`trafficdirector.googleapis.com`
Details	Die Traffic Director API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Traffic Director finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von Traffic Director in VPC Service Controls gelten keine bekannten Einschränkungen.

Security Token Service

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`sts.googleapis.com`
Details	VPC Service Controls schränkt den Tokenaustausch nur dann ein, wenn die Zielgruppe in der Anfrage eine Ressource auf Projektebene ist. Beispielsweise werden Anfragen für herabgestufte Tokens nicht eingeschränkt, da diese Anfragen keine Zielgruppe haben. Weitere Informationen zum Security Token Service finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung des Security Token Service in VPC Service Controls gelten keine bekannten Einschränkungen.

Firestore/Datastore

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com`
Details	Die Dienste `firestore.googleapis.com`, `datastore.googleapis.com` und `firestorekeyvisualizer.googleapis.com` sind gebündelt. Wenn Sie den Dienst `firestore.googleapis.com` in einem Perimeter einschränken, beschränkt der Perimeter auch die Dienste `datastore.googleapis.com` und `firestorekeyvisualizer.googleapis.com`. Um den Dienst `datastore.googleapis.com` einzuschränken, verwenden Sie den Dienstnamen `firestore.googleapis.com`. Für den vollständigen Schutz vor ausgehendem Import und Export müssen Sie den Firestore-Dienst-Agent verwenden. Weitere Informationen finden Sie hier: Firestore-Import- und Exportvorgänge mit VPC Service Controls sichern Datastore-Import- und Exportvorgänge mit VPC Service Controls sichern Weitere Informationen zu Firestore/Datastore finden Sie in der Produktdokumentation.
Einschränkungen	Import- und Exportvorgänge sind nur dann vollständig geschützt, wenn Sie den Firestore-Dienst-Agent verwenden. Weitere Informationen finden Sie hier: Firestore-Import- und Exportvorgänge mit VPC Service Controls sichern Datastore-Import- und Exportvorgänge mit VPC Service Controls sichern Gebündelte Legacy-Dienste von App Engine für Datastore unterstützen keine Dienstperimeter. Der Schutz des Datastore-Dienstes mit einem Dienstperimeter blockiert den Traffic von gebündelten Legacy-Diensten von App Engine. Zu den gebündelten Legacy-Diensten gehören: Java 8 Datastore mit App Engine APIs Python 2-NDB-Clientbibliothek für Datastore Go 1.11 Datastore mit App Engine APIs

Migrate for Compute Engine

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`vmmigration.googleapis.com`
Details	Die API für Migrate for Compute Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Migrate for Compute Engine finden Sie in der Produktdokumentation.
Einschränkungen	Um Migrate for Compute Engine vollständig zu schützen, fügen Sie dem Dienstperimeter alle der folgenden APIs hinzu: Pub/Sub API (`pubsub.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) Secret Manager API (`secretmanager.googleapis.com`) Compute Engine API (`compute.googleapis.com`) Weitere Informationen finden Sie in der Dokumentation zu Migrate for Compute Engine.

Sicherung für GKE

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`gkebackup.googleapis.com`
Details	Sie können VPC Service Controls zum Schutz von GKE-Sicherungen verwenden und die Sicherung von GKE-Features normalerweise innerhalb von Dienstperimetern verwenden. Weitere Informationen zu Sicherungen für GKE finden Sie in der Produktdokumentation.
Einschränkungen	Für die Einbindung von GKE-Sicherungen in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Debugger

Status	Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`clouddebugger.googleapis.com`
Details	Die API für Cloud Debugger kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zu Cloud Debugger finden Sie in der Produktdokumentation.
Einschränkungen	Für das Einbinden von Cloud Debugger in VPC Service Controls gelten keine bekannten Einschränkungen.

Retail API

Status	GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen?	Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname	`retail.googleapis.com`
Details	Die Retail API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden. Weitere Informationen zur Retail API finden Sie in der Produktdokumentation.
Einschränkungen	Die Retail API-Integration in VPC Service Controls hat keine bekannten Einschränkungen.

Weitere Informationen finden Sie in den Abschnitten zu unterstützten und nicht unterstützten Diensten.

Unterstützte Dienste für eingeschränkte VIP

Mit der eingeschränkten virtuellen IP (VIP) können VMs, die sich in einem Dienstperimeter befinden, Aufrufe an Google Cloud-Dienste senden, ohne die Anfragen im Internet verfügbar zu machen. Eine vollständige Liste der Dienste, die auf der eingeschränkten VIP verfügbar sind, finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.

Nicht unterstützte Dienste

Warnung: Möglicherweise können Sie nicht unterstützte Dienste für den Zugriff auf Daten von unterstützten Produkten und Diensten aktivieren. Dies wird jedoch nicht empfohlen. Wenn Sie versuchen, mit einem nicht unterstützten Dienst auf einen unterstützten zuzugreifen, können unerwartete Probleme auftreten. Dies gilt insbesondere für Zugriffe innerhalb desselben Projekts.

Bei Aktivierung in einem durch VPC Service Controls geschützten Projekt funktionieren nicht unterstützte Dienste möglicherweise gar nicht, vor allem wenn Speicherdienste auf niedriger Ebene wie Cloud Storage oder Cloud Pub/Sub eingeschränkt sind. Wir empfehlen, nicht unterstützte Dienste in Projekten außerhalb von Perimetern bereitzustellen. Damit diese Dienste auf Daten in Ressourcen innerhalb eines Perimeters zugreifen können, erstellen Sie eine Zugriffsebene, die das Dienstkonto für diesen Dienst enthält und wenden Sie es nach Bedarf auf Perimeter an.

Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.

Weitere bekannte Einschränkungen

In diesem Abschnitt werden bekannte Einschränkungen für bestimmte Google Cloud-Dienste, -Produkte und -Schnittstelle beschrieben, die bei der Verwendung von VPC Service Controls auftreten können.

Informationen zu Einschränkungen für Produkte, die von VPC Service Controls unterstützt werden, finden Sie in der Tabelle der unterstützten Produkte.

Weitere Informationen zum Beheben von Problemen mit VPC Service Controls finden Sie auf der Seite Fehlerbehebung.

AutoML API

Wenn Sie die AutoML API mit VPC Service Controls verwenden, gelten die folgenden Einschränkungen:

Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables und AutoML Video Intelligence verwenden alle die AutoML API.

Wenn Sie einen Dienstperimeter zum Schutz von automl.googleapis.com verwenden, wirkt sich das auf den Zugriff auf alle AutoML-Produkte aus, die in VPC Service Controls eingebunden sind und innerhalb des Perimeters verwendet werden. Sie müssen den VPC Service Controls-Perimeter für alle eingebundenen AutoML-Produkte konfigurieren, die innerhalb des Perimeters verwendet werden.

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
- AutoML API (automl.googleapis.com)
- Cloud Storage API (storage.googleapis.com)
- Compute Engine API (compute.googleapis.com)
- BigQuery API (bigquery.googleapis.com)

App Engine

App Engine (Standardumgebung und flexible Umgebung) wird von VPC Service Controls nicht unterstützt. Fügen Sie keine App Engine-Projekte in Dienstperimeter ein.

Es ist jedoch möglich, App Engine-Anwendungen, die in Projekten außerhalb von Dienstperimetern erstellt wurden, das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Ihre Anwendung auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das App Engine-Dienstkonto des Projekts enthält. App Engine kann daher nicht innerhalb von Dienstperimetern verwendet werden.

Clientbibliotheken

Die Java- und Python-Clientbibliotheken für alle unterstützten Dienste werden für den Zugriff über die eingeschränkte VIP vollständig unterstützt. Die Unterstützung für andere Sprachen befindet sich in der Alphaphase und sollte nur zu Testzwecken verwendet werden.
Clients müssen Clientbibliotheken verwenden, die am 1. November 2018 oder später aktualisiert wurden.
Von Clients verwendete Dienstkontoschlüssel oder OAuth2-Client-Metadaten müssen am 1. November 2018 oder später aktualisiert worden sein. Ältere Clients, die den Token-Endpunkt verwenden, müssen auf den Endpunkt umgestellt werden, der in neueren Schlüsselmaterial- oder Clientmetadaten angegeben ist.

Cloud Billing

Wenn Sie Cloud Billing-Exporte in einen Cloud Storage-Bucket oder eine BigQuery-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befinden, sollten Sie den Nutzer, der den Export konfiguriert, vorübergehend einer Zugriffsebene für den Perimeter hinzufügen.

Cloud Build

Es ist möglich, Cloud Build in Projekten außerhalb von Dienstperimetern das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Cloud Build auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das Cloud Build-Dienstkonto des Projekts enthält. Dadurch kann Cloud Build nicht innerhalb von Dienstperimetern verwendet werden.

Cloud Deployment Manager

Deployment Manager wird von VPC Service Controls nicht unterstützt. Nutzer können möglicherweise Dienste aufrufen, die mit VPC Service Controls kompatibel sind. Sie sollten sich jedoch nicht darauf verlassen, da diese Kompatibilität nicht dauerhaft gewährleistet ist.
Als Behelfslösung können Sie das Deployment Manager-Dienstkonto (PROJECT_NUMBER@cloudservices.gserviceaccount.com) zu den Zugriffsebenen hinzufügen, um Aufrufe von APIs zuzulassen, die durch VPC Service Controls geschützt sind.

Cloud Shell

Cloud Service Controls unterstützt Cloud Shell nicht. VPC Service Controls behandelt Cloud Shell als außerhalb von Dienstperimetern und verweigert den Zugriff auf Daten, die durch VPC Service Controls geschützt werden. VPC Service Controls ermöglicht jedoch den Zugriff auf Cloud Shell, wenn ein Gerät, das die Zugriffsebenenanforderungen des Dienstperimeters erfüllt, Cloud Shell initiiert.

Google Cloud Console

Da auf die Google Cloud Console nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Google Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie z. B. Logging mit dem Perimeter geschützt haben, können Sie nicht auf die Logging-Oberfläche in der Google Cloud Console zugreifen.

Wenn Sie den Zugriff von der Google Cloud Console auf durch einen Perimeter geschützte Ressourcen ermöglichen möchten, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Google Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.

Wenn Sie den Google Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Google Cloud Console.
Anfragen über die Google Cloud Console von einem Netzwerk, für das der private Google-Zugriff aktiviert ist, darunter Netzwerke, die implizit von Cloud NAT aktiviert wurden, werden möglicherweise blockiert. Das kann auch dann passieren, wenn sich das anfragende Quellnetzwerk und die Zielressource im selben Perimeter befinden. Das liegt daran, dass der Zugriff auf die Google Cloud Console über den privaten Google-Zugriff von VPC Service Controls nicht unterstützt wird.