Unterstützte Produkte und Einschränkungen

Diese Seite enthält eine Tabelle mit Produkten und Diensten, die von VPC Service Controls unterstützt werden, sowie eine Liste bekannter Einschränkungen bei bestimmten Diensten und Schnittstellen.

Unterstützte Produkte

VPC Service Controls unterstützt die folgenden Produkte:

Unterstützte Produkte Beschreibung

AI Platform Prediction

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) ml.googleapis.com
Details

VPC Service Controls unterstützt Onlinevorhersagen, jedoch keine Batchvorhersagen.

Weitere Informationen zu AI Platform Prediction finden Sie in der Produktdokumentation.

Einschränkungen
  • Zum vollständigen Schutz von AI Platform Prediction fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

    • AI Platform Training und Prediction API (ml.googleapis.com)
    • Pub/Sub API (pubsub.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Google Kubernetes Engine API (container.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)

    Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.

  • Batchvorhersagen werden nicht unterstützt, wenn Sie AI Platform Prediction innerhalb eines Dienstperimeters verwenden.

  • AI Platform Prediction und AI Platform Training verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.

AI Platform Training

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) ml.googleapis.com
Details

Die API für AI Platform Training kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu AI Platform Training finden Sie in der Produktdokumentation.

Einschränkungen
  • Zum vollständigen Schutz Ihrer Trainingsjobs von AI Platform Training fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

    • AI Platform Training und Prediction API (ml.googleapis.com)
    • Pub/Sub API (pubsub.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Google Kubernetes Engine API (container.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)

    Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.

  • Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden.

  • AI Platform Training und AI Platform Prediction verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.

AI Platform Notebooks

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) notebooks.googleapis.com
Details

Die API für AI Platform Notebooks kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu AI Platform Notebooks finden Sie in der Produktdokumentation.

Einschränkungen
  • Zur Verwendung von AI Platform Notebooks innerhalb eines Dienstperimeters von VPC Service Controls müssen Sie mehrere DNS-Einträge hinzufügen oder konfigurieren, um die folgenden Domains auf die eingeschränkte VIP zu verweisen:

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

Anthos Service Mesh

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) meshca.googleapis.com
Details

Die API für Anthos Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Anthos Service Mesh finden Sie in der Produktdokumentation.

Einschränkungen

  • Dienstperimeter können nur die Cloud Service Mesh Certificate Authority API schützen. Sie können einen Dienstperimeter hinzufügen, um Ihren Identitäts-Namespace zu schützen.

Artifact Registry

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) artifactregistry.googleapis.com
Details

Zusätzlich zum Schutz der Artifact Registry API kann Artifact Registry auch innerhalb von Dienstperimetern mit GKE und Compute Engine verwendet werden.

Weitere Informationen zu Artifact Registry finden Sie in der Produktdokumentation.

Einschränkungen

Da die Domain googleapis.com nicht verwendet wird, muss Artifact Registry über ein privates DNS oder BIND so konfiguriert werden, dass es der eingeschränkten VIP getrennt von anderen APIs zugeordnet wird. Weitere Informationen finden Sie unter Repositories in einem Dienstperimeter sichern.

AutoML Natural Language

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Natural Language finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Tables

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Tables finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Translation

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Translation finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Video Intelligence

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Video Intelligence finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Vision

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Vision finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

BigQuery

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) bigquery.googleapis.com
Details

Wenn Sie die BigQuery API mit einem Dienstperimeter schützen, ist auch die BigQuery Storage API geschützt. Sie müssen die BigQuery Storage API nicht separat der Liste der geschützten Dienste Ihres Perimeters hinzufügen.

Weitere Informationen zu BigQuery finden Sie in der Produktdokumentation.

Einschränkungen
  • VPC Service Controls unterstützt nicht das Kopieren von BigQuery-Ressourcen in eine andere Organisation, die durch einen Dienstperimeter geschützt sind. Das organisationsübergreifende Kopieren ist mit Zugriffsebenen nicht möglich.

    Wenn Sie geschützte BigQuery-Ressourcen in eine andere Organisation kopieren möchten, laden Sie das Dataset herunter (z. B. als CSV-Datei) und laden Sie die Datei dann in die andere Organisation hoch.

  • Der BigQuery Data Transfer Service wird für die folgenden Dienste unterstützt:

    SaaS-Anwendungen (Software as a Service) von Google

    Externe Cloud Storage-Anbieter Data Warehouses Darüber hinaus stehen im Google Cloud Marketplace mehrere Drittanbieter-Übertragungen zur Verfügung.

    Hinweis: Der BigQuery Data Transfer Service unterstützt nicht den Export von Daten aus einem BigQuery-Dataset. Weitere Informationen finden Sie unter Tabellendaten exportieren.

  • Die klassische Web-UI von BigQuery wird nicht unterstützt. Sie können über die klassische Web-UI von BigQuery nicht auf eine BigQuery-Instanz zugreifen, die durch einen Dienstperimeter geschützt ist.

  • BigQuery-Audit-Logeinträge enthalten nicht immer alle Ressourcen, die zum Erstellen einer Anfrage verwendet wurden, da der Dienst den Zugriff auf mehrere Ressourcen intern verarbeitet.

  • Wenn ein Dienstkonto verwendet wird, um auf eine durch einen Dienstperimeter geschützte BigQuery-Instanz zuzugreifen, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden. Standardmäßig führen die BigQuery-Clientbibliotheken Jobs innerhalb des Dienstkontos oder des Projekts des Nutzers aus, wodurch die Abfrage von VPC Service Controls abgelehnt wird.

Cloud Bigtable

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) bigtable.googleapis.com
Details

Die API für Cloud Bigtable kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Bigtable finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Bigtable in VPC Service Controls gelten keine bekannten Einschränkungen.

Binärautorisierung

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) binaryauthorization.googleapis.com
Details

Wenn Sie mehrere Projekte mit Binärautorisierung verwenden, muss jedes Projekt im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Mehrere Projekte einrichten.

Mit der Binärautorisierung können Sie Container Analysis verwenden, um Attestierer und Attestierungen jeweils als Hinweise und Vorkommen zu speichern. In diesem Fall muss Container Analysis auch im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen finden Sie im VPC Service Controls-Leitfaden für Container Analysis.

Weitere Informationen zur Binärautorisierung finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Binärautorisierung in VPC Service Controls gelten keine bekannten Einschränkungen.

Data Catalog

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) datacatalog.googleapis.com
Details Data Catalog berücksichtigt automatisch Perimeter bei anderen Google Cloud-Diensten.

Weitere Informationen zu Data Catalog finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Data Catalog in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Data Fusion

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) datafusion.googleapis.com
Details

Cloud Data Fusion erfordert spezielle Schritte für den Schutz mit VPC Service Controls.

Weitere Informationen zu Cloud Data Fusion finden Sie in der Produktdokumentation.

Einschränkungen
  • Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre private Cloud Data Fusion-Instanz erstellen. Der Perimeterschutz für Instanzen, die vor dem Einrichten von VPC Service Controls erstellt wurden, wird nicht unterstützt.

  • Derzeit unterstützt die Cloud Data Fusion-Datenebenen-UI nicht die Angabe von Zugriffsebenen mithilfe des identitätsbasierten Zugriffs.

Compute Engine

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) compute.googleapis.com
Details

Die Unterstützung von VPC Service Controls für Compute Engine bietet die folgenden Sicherheitsvorteile:

  • Zugriff auf vertrauliche API-Vorgänge wird eingeschränkt
  • Snapshots von nichtflüchtigen Speichern und benutzerdefinierten Images sind auf einen Perimeter beschränkt
  • Zugriff auf Instanzmetadaten wird eingeschränkt

Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie auch Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden.

Weitere Informationen zu Compute Engine finden Sie in der Produktdokumentation.

Einschränkungen
  • Hierarchische Firewalls sind von Dienstperimetern nicht betroffen.

  • Von VPC-Peering-Prozessen werden keine Einschränkungen für VPC-Dienstperimeter erzwungen.

  • Von der API-Methode projects.ListXpnHosts für freigegebene VPC werden keine Dienstperimetereinschränkungen für zurückgegebene Projekte erzwungen.

  • Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Zugriffsebene für den Perimeter hinzufügen.

  • VPC Service Controls unterstützt nicht das Verwenden der Open Source-Version von Kubernetes auf Compute Engine-VMs innerhalb eines Dienstperimeters.

Dataflow

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) dataflow.googleapis.com
Details

Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft:

Weitere Informationen zu Dataflow finden Sie in der Produktdokumentation.

Einschränkungen

  • Benutzerdefiniertes BIND wird bei Verwendung von Dataflow nicht unterstützt. Wenn Sie die DNS-Auflösung bei Verwendung von Dataflow mit VPC Service Controls anpassen möchten, nutzen Sie private Zonen von Cloud DNS anstelle benutzerdefinierter BIND-Server. Zur Verwendung einer eigenen lokalen DNS-Auflösung können Sie eine lokale DNS-Weiterleitungsmethode von Google Cloud verwenden.

  • Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft. Eine Liste der geprüften Connectors finden Sie unter Dataflow-Details.

  • Bei Einsatz von Python 3.5 mit Apache Beam SDK 2.20.0-2.22.0 schlagen Dataflow-Jobs beim Start fehl, wenn die Worker nur private IP-Adressen haben, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird. Wenn Dataflow-Worker nur private IP-Adressen haben können, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird, verwenden Sie Python 3.5 nicht mit Apache Beam SDK 2.20.0-2.22.0. Diese Kombination führt dazu, dass Jobs beim Start fehlschlagen.

Dataproc

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) dataproc.googleapis.com
Details

Dataproc erfordert besondere Schritte für den Schutz mit VPC Service Controls.

Weitere Informationen zu Dataproc finden Sie in der Produktdokumentation.

Einschränkungen

  • Wenn Sie einen Dataproc-Cluster mit einem Dienstperimeter schützen möchten, müssen Sie die Schritte zum Einrichten privater Verbindungen ausführen, damit der Cluster innerhalb des Perimeters funktionieren kann.

Cloud Data Loss Prevention

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) dlp.googleapis.com
Details

Die API für Cloud Data Loss Prevention kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.

Weitere Informationen zu Cloud Data Loss Prevention finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Data Loss Prevention in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Functions

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) cloudfunctions.googleapis.com
Details

Informationen zu den Einrichtungsschritten finden Sie in der Cloud Functions-Dokumentation. Der Schutz von VPC Service Controls gilt nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Der Schutz von VPC Service Controls gilt für alle Funktionstrigger mit Ausnahme von Firebase Realtime Database-Triggern und Firebase Crashlytics-Triggern. Weitere Informationen finden Sie unter den bekannten Einschränkungen.

Weitere Informationen zu Cloud Functions finden Sie in der Produktdokumentation.

Einschränkungen
  • Cloud Functions verwendet Cloud Build, um Ihren Quellcode in einem ausführbaren Container zu erstellen. Damit Cloud Functions innerhalb eines Dienstperimeters verwendet werden kann, müssen Sie eine Zugriffsebene für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren.

  • Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugriff kann zum Exfiltrieren von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. dem hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.

  • Als Firebase Realtime Database-Trigger und Firebase Crashlytics-Trigger könnte ein Nutzer eine Funktion bereitstellen, die durch Änderungen an einer Firebase Realtime Database oder an Firebase Crashlytics in einem anderen Projekt außerhalb des Dienstperimeters des Projekts, in dem die Funktion bereitgestellt ist, ausgelöst wird. Wenn Sie den Exfiltrationsvektor für diese beiden Trigger abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.

Cloud Key Management Service

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) cloudkms.googleapis.com
Details

Die API für Cloud Key Management Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.

Weitere Informationen zum Cloud Key Management Service finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden des Cloud Key Management Service in VPC Service Controls gelten keine bekannten Einschränkungen.

Game Servers

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) gameservices.googleapis.com
Details

Die API für Game Servers kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Game Servers finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Game Servers in VPC Service Controls gelten keine bekannten Einschränkungen.

Managed Service for Microsoft Active Directory

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) managedidentities.googleapis.com
Details

Zusätzliche Konfiguration erforderlich für:

Weitere Informationen zum Managed Service for Microsoft Active Directory finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden des Managed Service for Microsoft Active Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

Secret Manager

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) secretmanager.googleapis.com
Details

Die API für Secret Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Secret Manager finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden des Secret Manager in VPC Service Controls gelten keine bekannten Einschränkungen.

Pub/Sub

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) pubsub.googleapis.com
Details

Der Schutz von VPC Service Controls gilt für alle Abonnentenvorgänge mit Ausnahme von vorhandenen Push-Abos.

Weitere Informationen zu Pub/Sub finden Sie in der Produktdokumentation.

Einschränkungen

  • In Projekten, die durch einen Dienstperimeter geschützt sind, können keine neuen Push-Abos erstellt werden.
  • Pub/Sub-Push-Abos, die vor dem Dienstperimeter erstellt wurden, werden nicht blockiert.

Cloud Composer

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) composer.googleapis.com
Details Composer für die Verwendung mit VPC Service Controls konfigurieren

Weitere Informationen zu Cloud Composer finden Sie in der Produktdokumentation.

Einschränkungen
  • Durch Aktivieren der DAG-Serialisierung wird verhindert, dass Airflow eine gerenderte Vorlage mit Funktionen in der Web-UI anzeigt.

  • Das Flag async_dagbag_loader kann nicht auf True gesetzt werden, wenn die DAG-Serialisierung aktiviert ist.

  • Durch Aktivieren der DAG-Serialisierung werden alle Airflow-Webserver-Plug-ins deaktiviert, da sie die Sicherheit des VPC-Netzwerks beeinträchtigen können, in dem Cloud Composer bereitgestellt wird. Dies wirkt sich nicht auf das Verhalten von Planer- oder Worker-Plug-ins, einschließlich Airflow-Operatoren und Sensoren, aus.

  • Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPi-Modulen im privaten IP-Modus finden Sie in der Cloud Composer-Dokumentation unter Python-Abhängigkeiten installieren.

Cloud Spanner

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) spanner.googleapis.com
Details

Die API für Cloud Spanner kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Spanner finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Spanner in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Storage

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) storage.googleapis.com
Details

Die API für Cloud Storage kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Storage finden Sie in der Produktdokumentation.

Einschränkungen
  • Wenn Sie das Feature "Anforderer bezahlt" mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden.

    Weitere Informationen zum Feature "Anforderer bezahlt" finden Sie im Artikel "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.

  • Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Zugriffsebene erstellen, die entweder die Nutzerkonten oder einen öffentlichen IP-Bereich enthält, für die Sie den Zugriff auf die Cloud Storage API freigeben möchten.

  • Das Feld resourceName in Audit-Logeinträgen bezieht sich nicht auf das Projekt, das einen Bucket besitzt. Das Projekt muss separat ermittelt werden.

  • In Audit-Logeinträgen ist der Wert für methodName nicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logeinträge nicht nach methodName zu filtern.

  • In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird.

  • Wenn Sie versuchen, gsutil zum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, den storage-api.googleapis.com-Dienst zu aktivieren. Sie können zwar storage-api.googleapis.com nicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sind gsutil-Vorgänge ebenfalls geschützt.

Cloud SQL

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) sqladmin.googleapis.com
Details

VPC Service Controls-Perimeter schützen die Cloud SQL Admin API.

Weitere Informationen zu Cloud SQL finden Sie in der Produktdokumentation.

Einschränkungen

  • Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Einschränkung für die Organisationsrichtlinie verwenden, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.

  • Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket ausführen, der sich im selben Dienstperimeter wie die Cloud SQL-Replikatinstanz befindet. Beim Migrationsprozess für den externen Server müssen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzufügen. Wenn Sie einen Schlüsselablauf für CMEK erstellen, müssen Sie den Schlüssel im selben Dienstperimeter erstellen wie die Ressourcen, für die er verwendet wird. Hinweis: Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.

Video Intelligence API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) videointelligence.googleapis.com
Details

Die Video Intelligence API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.

Weitere Informationen zur Video Intelligence API finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Video Intelligence API in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Vision API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) vision.googleapis.com
Details

Die Cloud Vision API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud Vision API finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Cloud Vision API in VPC Service Controls gelten keine bekannten Einschränkungen.

Container Analysis

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) containeranalysis.googleapis.com
Details

Damit Sie Container Analysis mit VPC Service Controls verwenden können, müssen Sie dem VPC-Perimeter möglicherweise weitere Dienste hinzufügen:

Da es sich bei der Container Scanning API um eine API ohne Oberfläche handelt, die die Ergebnisse in Container Analysis speichert, müssen Sie die API nicht mit einem Dienstperimeter schützen.

Weitere Informationen zu Container Analysis finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Container Analysis in VPC Service Controls gelten keine bekannten Einschränkungen.

Container Registry

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) containerregistry.googleapis.com
Details

Zusätzlich zum Schutz der Container Registry API kann Container Registry auch innerhalb eines Dienstperimeters mit GKE und Compute Engine verwendet werden.

Weitere Informationen zu Container Registry finden Sie in der Produktdokumentation.

Einschränkungen

  • Da die Domain googleapis.com nicht verwendet wird, muss Container Registry über ein privates DNS oder BIND so konfiguriert werden, dass es der eingeschränkten VIP getrennt von anderen APIs zugeordnet wird. Weitere Informationen finden Sie unter Container Registry in einem Dienstperimeter sichern.

  • Neben den Containern innerhalb eines Perimeters, die für Container Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

Google Kubernetes Engine

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
Details

Die API für Google Kubernetes Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Google Kubernetes Engine finden Sie in der Produktdokumentation.

Einschränkungen

  • Nur private Cluster können durch VPC Service Controls geschützt werden. Cluster mit öffentlichen IP-Adressen werden von VPC Service Controls nicht unterstützt.

Resource Manager

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) cloudresourcemanager.googleapis.com
Details

Die API für Resource Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Resource Manager finden Sie in der Produktdokumentation.

Einschränkungen

Cloud Logging

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) logging.googleapis.com
Details

Da VPC Service Controls keine Ordner- und Organisationsressourcen unterstützt, werden Logs auf Ordner- und Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.

Weitere Informationen zu Cloud Logging finden Sie in der Produktdokumentation.

Einschränkungen
  • Aggregierte Exportsenken (Ordner- oder Organisationssenken, wobei includeChildren den Wert true hat) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Zum Verwalten von Logging-Berechtigungen auf Ordner- und Organisationsebene empfehlen wir IAM.

  • Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, bieten Logexporte auf Ordner- und Organisationsebene (einschließlich aggregierter Logs) keine Unterstützung für Dienstperimeter. Wir empfehlen IAM, um Exporte auf Dienstkonten zu beschränken, die für die Interaktion mit den durch Perimeter geschützten Diensten erforderlich sind.

  • Zum Einrichten eines Logexports für eine Organisation oder einen Ordner in eine Ressource, die durch einen Dienstperimeter geschützt ist, müssen Sie das Dienstkonto für die jeweilige Logsenke einer Zugriffsebene hinzufügen und diese anschließend dem Zieldienstperimeter zuweisen. Für Logexporte auf Projektebene ist dies nicht erforderlich.

    Weitere Informationen finden Sie auf den folgenden Seiten:

Cloud Monitoring

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) monitoring.googleapis.com
Details

Die API für Cloud Monitoring kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Monitoring finden Sie in der Produktdokumentation.

Einschränkungen
  • Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch Änderung der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert.

  • Das Monitoring in der Google Cloud Console unterstützt zwar VPC Service Controls, aber VPC Service Controls wird für die klassische Cloud Monitoring-Konsole nicht vollständig unterstützt.

  • Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da Schreibvorgänge von Agent-Messwerten sonst fehlschlagen.

  • Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert das GKE-Monitoring nicht.

  • Beim Abfragen von Messwerten für einen Arbeitsbereich wird nur der VPC Service Controls-Perimeter des Host-Projekts des Arbeitsbereichs berücksichtigt, nicht jedoch die Perimeter der einzelnen überwachten Projekte im Arbeitsbereich.

  • Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Arbeitsbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter wie das Host-Projekt des Arbeitsbereichs befindet.

  • Für den Zugriff auf Monitoring in der Cloud Console für ein Hostprojekt, das durch einen Dienstperimeter geschützt ist, verwenden Sie Zugriffsebenen.

Cloud Profiler

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) cloudprofiler.googleapis.com
Details

Die API für Cloud Profiler kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Profiler finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Profiler in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Trace

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) cloudtrace.googleapis.com
Details

Die API für Cloud Trace kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Trace finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Trace in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud TPU

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) tpu.googleapis.com
Details

Die API für Cloud TPU kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud TPU finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud TPU in VPC Service Controls gelten keine bekannten Einschränkungen.

Natural Language API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) language.googleapis.com
Details

Die Natural Language API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Natural Language API finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Natural Language API in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Asset API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) cloudasset.googleapis.com
Details

Da VPC Service Controls keine Ordner- und Organisationsressourcen unterstützt, ist der Zugriff auf Assets über die Cloud Asset API auf Ordner- oder Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.

Weitere Informationen zur Cloud Asset API finden Sie in der Produktdokumentation.

Einschränkungen

  • Beim Aufrufen der Cloud Asset API auf Ordner- oder Organisationsebene können Sie weiterhin auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen, die zum Ordner oder zur Organisation gehören. Wir empfehlen die Verwendung von IAM zur Verwaltung von Cloud Asset Inventory-Berechtigungen auf Ordner- und Organisationsebene.

Speech-to-Text

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) speech.googleapis.com
Details

Die Speech-to-Text API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Speech-to-Text finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Speech-to-Text in VPC Service Controls gelten keine bekannten Einschränkungen.

Text-to-Speech

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) texttospeech.googleapis.com
Details

Die Text-to-Speech API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Text-to-Speech finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Text-to-Speech in VPC Service Controls gelten keine bekannten Einschränkungen.

Translation

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) translate.googleapis.com
Details

Die API für Translation kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Translation finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Translation in VPC Service Controls gelten keine bekannten Einschränkungen.

Zugriffsgenehmigung

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) accessapproval.googleapis.com
Details

Die Access Approval API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Access Approval finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Access Approval in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Healthcare API

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) healthcare.googleapis.com
Details

Die Cloud Healthcare API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud Healthcare API finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Cloud Healthcare API in VPC Service Controls gelten keine bekannten Einschränkungen.

Storage Transfer Service

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) storagetransfer.googleapis.com
Details

Es wird empfohlen, das STS-Projekt im selben Dienstperimeter wie Ihre Cloud Storage-Ressourcen zu platzieren. So werden sowohl Ihre Übertragung als auch Ihre Cloud Storage-Ressourcen geschützt. Der Storage Transfer Service unterstützt auch Szenarien, in denen sich das Storage Transfer Service-Projekt nicht im selben Perimeter wie Ihre Cloud Storage-Buckets befindet und entweder eine Perimeter-Bridge oder Zugriffsebenen verwendet werden.

Informationen zum Einrichten finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.

Transfer Service for On Premises Data

Während der Betaphase unterstützt der Transfer Service for On Premises Data (Übertragung für lokale Umgebung) VPC Service Controls nur für Übertragungsnutzlasten. Dies gilt auch für Szenarien, in denen lokale Agents für die Übertragung einer Zugriffsebene hinzugefügt werden, mit der sie auf Ressourcen im Perimeter zugreifen können, oder wenn sich die lokalen Agents für die Übertragung innerhalb eines freigegebenen Perimeters mit Cloud Storage-Ziel-Buckets und Transfer Service for On Premises Data-Jobs befinden.

Weitere Informationen finden Sie unter Transfer for On-Premises mit VPC Service Controls verwenden.

Für Dateimetadaten wie Objektnamen kann nicht garantiert werden, dass sie im Perimeter bleiben. Weitere Informationen finden Sie unter VPC Service Controls und Metadaten.

Weitere Informationen zum Storage Transfer Service finden Sie in der Produktdokumentation.

Einschränkungen

  • Transfer Service for On Premises Data bietet keine API und unterstützt daher in VPC Service Controls keine API-bezogenen Features.

Service Control

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) servicecontrol.googleapis.com
Details

Die Service Control API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Service Control finden Sie in der Produktdokumentation.

Einschränkungen

  • Wenn Sie die Service Control API aus einem VPC-Netzwerk in einem Dienstperimeter mit eingeschränkter Service Control aufrufen, können Sie die Service Control-Berichtsmethode nicht verwenden, um Abrechnungs- und Analysemesswerte zu melden.

Memorystore for Redis

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) redis.googleapis.com
Details

Die Memorystore for Redis API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Memorystore for Redis finden Sie in der Produktdokumentation.

Einschränkungen

  • Dienstperimeter schützen nur die Memorystore for Redis API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Redis-Instanzen im selben Netzwerk.

  • Wenn die Cloud Storage API ebenfalls geschützt ist, können Import- und Exportvorgänge von Memorystore for Redis nur in einen Cloud Storage-Bucket innerhalb des Dienstperimeters lesen und schreiben, in dem sich die Memorystore for Redis-Instanz befindet.

Service Directory

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Adresse (wie beim aktuellen Anbieter hinterlegt) servicedirectory.googleapis.com
Details

Die Service Directory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Service Directory finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Service Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

Weitere Informationen finden Sie in den Abschnitten zu unterstützten und nicht unterstützten Diensten.

Unterstützte Dienste für eingeschränkte VIP

Mit der eingeschränkten virtuellen IP (VIP) können VMs, die sich in einem Dienstperimeter befinden, Aufrufe an Google Cloud-Dienste senden, ohne die Anfragen im Internet verfügbar zu machen. Eine vollständige Liste der Dienste, die auf der eingeschränkten VIP verfügbar sind, finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.

Nicht unterstützte Dienste

Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.

Weitere bekannte Einschränkungen

In diesem Abschnitt werden bekannte Einschränkungen für bestimmte Google Cloud-Dienste, -Produkte und -Schnittstelle beschrieben, die bei der Verwendung von VPC Service Controls auftreten können.

Informationen zu Einschränkungen für Produkte, die von VPC Service Controls unterstützt werden, finden Sie in der Tabelle der unterstützten Produkte.

Weitere Informationen zum Beheben von Problemen mit VPC Service Controls finden Sie auf der Seite Fehlerbehebung.

AutoML API

  • AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables und AutoML Video Intelligence verwenden alle die AutoML API.

    Wenn Sie einen Dienstperimeter zum Schutz von automl.googleapis.com verwenden, wirkt sich das auf den Zugriff auf alle AutoML-Produkte aus, die in VPC Service Controls eingebunden sind und innerhalb des Perimeters verwendet werden. Sie müssen den VPC Service Controls-Perimeter für alle eingebundenen AutoML-Produkte konfigurieren, die innerhalb des Perimeters verwendet werden.

    Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

App Engine

  • App Engine (Standardumgebung und flexible Umgebung) wird von VPC Service Controls nicht unterstützt. Fügen Sie keine App Engine-Projekte in Dienstperimeter ein.

    Es ist jedoch möglich, App Engine-Anwendungen, die in Projekten außerhalb von Dienstperimetern erstellt wurden, das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Ihre Anwendung auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das App Engine-Dienstkonto des Projekts enthält. App Engine kann daher nicht innerhalb von Dienstperimetern verwendet werden.

Clientbibliotheken

  • Die Java- und Python-Clientbibliotheken für alle unterstützten Dienste werden für den Zugriff über die eingeschränkte VIP vollständig unterstützt. Die Unterstützung für andere Sprachen befindet sich in der Alphaphase und sollte nur zu Testzwecken verwendet werden.

  • Clients müssen Clientbibliotheken verwenden, die am 1. November 2018 oder später aktualisiert wurden.

  • Von Clients verwendete Dienstkontoschlüssel oder OAuth2-Client-Metadaten müssen am 1. November 2018 oder später aktualisiert worden sein. Ältere Clients, die den Token-Endpunkt verwenden, müssen auf den Endpunkt umgestellt werden, der in neueren Schlüsselmaterial- oder Clientmetadaten angegeben ist.

Cloud Billing

Cloud Build

  • Cloud Build wird von VPC Service Controls nicht unterstützt. Sie können die Cloud Build API nicht schützen und dürfen Cloud Build nicht in Projekten innerhalb eines Dienstperimeters aktivieren.

    Wenn Sie Cloud Build-Instanzen in Projekten außerhalb von Dienstperimetern das Lesen und Schreiben der Daten von geschützten Diensten innerhalb von Perimetern erlauben möchten, können Sie Access Context Manager verwenden. Erstellen Sie eine Zugriffsebene, mit der dem Cloud Build-Dienstkonto der Zugriff auf die geschützten Dienste innerhalb eines Perimeters gewährt wird.

Cloud Shell

  • Cloud Shell wird nicht unterstützt. Die Umgebung wird als Ressource behandelt, die sich außerhalb von Dienstperimetern befindet, und der Zugriff auf Daten, die durch VPC Service Controls geschützt werden, wird verweigert.

Google Cloud Console

  • Da auf die Cloud Console nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie z. B. Logging mit dem Perimeter geschützt haben, können Sie nicht auf die Logging-Oberfläche in der Cloud Console zugreifen.

    Wenn Sie den Zugriff von der Cloud Console auf durch einen Perimeter geschützte Ressourcen ermöglichen möchten, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.

    Wenn Sie den Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Cloud Console.