Unterstützte Produkte und Einschränkungen

Diese Seite enthält eine Tabelle mit Produkten und Diensten, die von VPC Service Controls unterstützt werden, sowie eine Liste bekannter Einschränkungen bei bestimmten Diensten und Schnittstellen.

Unterstützte Produkte

VPC Service Controls unterstützt die folgenden Produkte:

Unterstützte Produkte

AI Platform Training

Details

VPC Service Controls unterstützt zwar AI Platform Training-Jobs, jedoch keine AI Platform Prediction-Jobs (Batchvorhersage oder Onlinevorhersage), obwohl die beiden Produkte eine gemeinsame API verwenden.

Einschränkungen Bekannte Einschränkungen

AI Platform Notebooks

Details

Einschränkungen Bekannte Einschränkungen

Anthos Service Mesh

Details

VPC Service Controls-Perimeter können nur die Cloud Service Mesh Certificate Authority API schützen. Sie können einen Dienstperimeter hinzufügen, um Ihren Identitäts-Namespace zu schützen.

BigQuery

Details

Wenn Sie die BigQuery API mit einem Dienstperimeter schützen, ist auch die BigQuery Storage API geschützt. Sie müssen die BigQuery Storage API nicht separat der Liste der geschützten Dienste Ihres Perimeters hinzufügen.

Einschränkungen Bekannte Einschränkungen

Cloud Bigtable

Details

Cloud Data Fusion

Details

Cloud Data Fusion erfordert spezielle Schritte für den Schutz mit VPC Service Controls.

Einschränkungen Bekannte Einschränkungen

Compute Engine

Details

Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden.

Einschränkungen Bekannte Einschränkungen

Dataflow

Details

Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters überprüft:

Einschränkungen Bekannte Einschränkungen

Dataproc

Details

Cloud Dataproc erfordert besondere Schritte für den Schutz mit VPC Service Controls.

Einschränkungen Bekannte Einschränkungen

Cloud Data Loss Prevention

Details

Cloud Functions

Details

Während der Beta-Phase gilt der Schutz von VPC Service Controls nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Der Schutz von VPC Service Controls gilt für alle Funktionstrigger mit Ausnahme von Firebase Realtime Database-Triggern und Firebase Crashlytics-Triggern. Weitere Informationen finden Sie unter den bekannten Einschränkungen.

Einschränkungen Bekannte Einschränkungen

Cloud Key Management Service

Details

Managed Service for Microsoft Active Directory

Details

Zusätzliche Konfiguration erforderlich für:

Secret Manager

Details

Pub/Sub

Details

Der Schutz von VPC Service Controls gilt für alle Push- und Pull-Vorgänge mit Ausnahme von bestehenden Pub/Sub-Push-Abos.

Einschränkungen Bekannte Einschränkungen

Cloud Spanner

Details

Cloud Storage

Details

Einschränkungen Bekannte Einschränkungen

Cloud SQL

Details

VPC Service Controls-Perimeter schützen die Cloud SQL Admin API.

Einschränkungen Bekannte Einschränkungen

Video Intelligence API

Details

Cloud Vision API

Details

Container Registry

Details

Neben dem Schutz der Container Registry API bietet VPC Service Controls Unterstützung für den Einsatz von Container Registry in GKE und Compute Engine.

Einschränkungen Bekannte Einschränkungen

Google Kubernetes Engine

Details

Resource Manager

Details

Einschränkungen Bekannte Einschränkungen

Cloud Logging

Details

Der Schutz von VPC Service Controls gilt zwar für die meisten Logtypen, doch Ordner- und Organisationsressourcen werden noch nicht unterstützt. Daher werden Logs auf Ordner- und Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.

Einschränkungen Bekannte Einschränkungen

Cloud Monitoring

Details

Einschränkungen Bekannte Einschränkungen

Cloud Profiler

Details

Cloud Trace

Details

Cloud TPU

Details

Natural Language API

Details

Cloud Asset API

Details

Da VPC Service Controls noch keine Ordner- und Organisationsressourcen unterstützt, ist der Zugriff auf Assets über die Cloud Asset API auf Ordner- oder Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.

Einschränkungen Bekannte Einschränkungen

Sprachausgabe

Details

Übersetzung

Details

Cloud Healthcare API

Details

Einschränkungen Bekannte Einschränkungen

Weitere Informationen finden Sie in den Abschnitten zu unterstützten und nicht unterstützten Diensten.

APIs und Dienstperimeter

Nicht alle Produkte, die von VPC Service Controls unterstützt werden, haben einen Dienst, der durch einen Dienstperimeter geschützt werden kann. Nur die folgenden APIs können mit einem Perimeter geschützt werden:

APIs und Dienstadressen
AI Platform Training and Prediction API ml.googleapis.com
BigQuery API bigquery.googleapis.com
Cloud Bigtable API bigtable.googleapis.com
Cloud Asset Inventory API cloudasset.googleapis.com
Cloud Data Fusion API datafusion.googleapis.com
Dataflow API dataflow.googleapis.com
Dataproc API dataproc.googleapis.com
Cloud Data Loss Prevention API dlp.googleapis.com
Cloud Functions API cloudfunctions.googleapis.com
Cloud Key Management Service API cloudkms.googleapis.com
Secret Manager API secretmanager.googleapis.com
Cloud Natural Language API language.googleapis.com
Managed Service for Microsoft Active Directory API managedidentities.googleapis.com
Pub/Sub API pubsub.googleapis.com
Cloud Service Mesh Certificate Authority API meshca.googleapis.com
Cloud Spanner API spanner.googleapis.com
Cloud Storage API storage.googleapis.com
Cloud SQL API sqladmin.googleapis.com
Cloud Vision API vision.googleapis.com
Container Registry API containerregistry.googleapis.com
Google Kubernetes Engine API container.googleapis.com
GKE Connect API gkeconnect.googleapis.com
GKE Hub API gkehub.googleapis.com
Resource Manager API cloudresourcemanager.googleapis.com
Cloud Logging API logging.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Cloud Profiler API profiler.googleapis.com
Text-to-Speech API texttospeech.googleapis.com
Cloud Translation API translate.googleapis.com
Cloud Trace API cloudtrace.googleapis.com
Cloud TPU API tpu.googleapis.com
Video Intelligence API videointelligence.googleapis.com
Cloud Healthcare API healthcare.googleapis.com

Nicht unterstützte Dienste

Der Versuch, einen nicht unterstützten Dienst mit dem Befehlszeilentool gcloud oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.

Bekannte Einschränkungen

In diesem Abschnitt werden bekannte Einschränkungen für bestimmte Google Cloud-Dienste, -Produkte und -Schnittstelle beschrieben, die bei der Verwendung von VPC Service Controls auftreten können.

Weitere Informationen zum Beheben von Problemen mit VPC Service Controls finden Sie auf der Seite Fehlerbehebung.

AI Platform Training

  • Um Ihre AI Platform Training-Trainingsjobs vollständig zu schützen, fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

    • AI Platform Training und Prediction API (ml.googleapis.com)
    • Pub/Sub API (pubsub.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Google Kubernetes Engine API (container.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)

    Weitere Informationen zum Einrichten von VPC Service Controls für AI Platform Training

  • Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden.

  • Wenn Sie die AI Platform Training and Prediction API mithilfe eines Dienstperimeters schützen, schützen Sie nur AI Platform Training, nicht aber AI Platform Prediction. Einige Funktionen von AI Platform Prediction sind jedoch deaktiviert.

AI Platform Notebooks

  • Zur Verwendung von AI Platform Notebooks in einem VPC Service Controls-Dienstperimeter müssen Sie mehrere DNS-Einträge hinzufügen oder konfigurieren, um die folgenden Domains auf die eingeschränkte VIP zu verweisen:

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

App Engine

  • App Engine (Standardumgebung und flexible Umgebung) wird von VPC Service Controls nicht unterstützt. Fügen Sie keine App Engine-Projekte in Dienstperimeter ein.

    Es ist jedoch möglich, App Engine-Anwendungen, die in Projekten außerhalb von Dienstperimetern erstellt wurden, das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Ihre Anwendung auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das App Engine-Dienstkonto des Projekts enthält. App Engine kann daher nicht innerhalb von Dienstperimetern verwendet werden.

BigQuery

  • VPC Service Controls unterstützt das Kopieren von durch einen Dienstperimeter geschützten BigQuery-Ressourcen in eine andere Organisation nicht. Das organisationsübergreifende Kopieren ist mit Zugriffsebenen nicht möglich.

    Um geschützte BigQuery-Ressourcen in eine andere Organisation zu kopieren, laden Sie das Dataset herunter (z. B. als CSV-Datei) und laden Sie die Datei dann in die andere Organisation hoch.

  • Der BigQuery Data Transfer Service wird nur für die folgenden Dienste unterstützt:

    • Campaign Manager
    • Google Ad Manager
    • Google Ads
    • Google Cloud Storage
    • Google Merchant Center
    • Google Play
    • YouTube
  • Die klassische Web-UI von BigQuery wird nicht unterstützt. Sie können über die klassische Web-UI von BigQuery nicht auf eine BigQuery-Instanz zugreifen, die durch einen Dienstperimeter geschützt ist.

  • Der ODBC-Drittanbietertreiber für BigQuery kann derzeit nicht mit der eingeschränkten VIP verwendet werden.

  • BigQuery-Audit-Logdatensätze enthalten nicht immer alle Ressourcen, die zum Erstellen einer Anfrage verwendet wurden, da der Dienst den Zugriff auf mehrere Ressourcen intern verarbeitet.

  • Wenn ein Dienstkonto verwendet wird, um auf eine durch einen Dienstperimeter geschützte BigQuery-Instanz zuzugreifen, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden. Standardmäßig führen die BigQuery-Clientbibliotheken Jobs innerhalb des Dienstkontos oder des Projekts des Nutzers aus, wodurch die Abfrage von den VPC Service Controls abgelehnt wird.

Clientbibliotheken

  • Die Java- und Python-Clientbibliotheken für alle unterstützten Dienste werden für den Zugriff über die eingeschränkte VIP vollständig unterstützt. Die Unterstützung für andere Sprachen befindet sich in der Alphaphase und sollte nur zu Testzwecken verwendet werden.

  • Clients müssen Clientbibliotheken verwenden, die am 1. November 2018 oder später aktualisiert wurden.

  • Von Clients verwendete Dienstkontoschlüssel oder OAuth2-Client-Metadaten müssen am 1. November 2018 oder später aktualisiert worden sein. Ältere Clients, die den Token-Endpunkt verwenden, müssen auf den Endpunkt umgestellt werden, der in neueren Schlüsselmaterial- oder Clientmetadaten angegeben ist.

Cloud Billing

Cloud Build

  • Cloud Build wird von VPC Service Controls nicht unterstützt. Verwenden Sie Cloud Build nicht innerhalb von Dienstperimetern.

    Es ist jedoch möglich, Cloud Build in Projekten außerhalb von Dienstperimetern das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Cloud Build auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das Cloud Build-Dienstkonto des Projekts enthält. Dadurch kann Cloud Build nicht innerhalb von Dienstperimetern verwendet werden.

Cloud Composer

  • Cloud Composer wird von VPC Service Controls nicht unterstützt. Verwenden Sie Cloud Composer nicht innerhalb von Dienstperimetern.

    Damit Cloud Composer auf Ressourcen innerhalb eines Dienstperimeters zugreifen kann, aktivieren Sie Cloud Composer in einem Projekt außerhalb eines Dienstperimeters. Erstellen Sie dann eine Zugriffsebene für den Perimeter, die Anfragen aus dem Dienstkonto für Ihre Cloud Composer-Umgebung zulässt, und wenden Sie diese an.

Cloud Data Fusion

  • Wenn Sie VPC Service Controls-Instanzen mit einer privaten IP-Adresse erstellen, können Sie diese mit VPC Service Controls weiter schützen. Erstellen Sie Ihre privaten VPC Service Controls-Instanzen in Google Cloud-Projekten, die sich innerhalb Ihrer Dienstperimeter befinden. Innerhalb einer privaten Instanz folgen die darin enthaltenen Plug-ins den Einschränkungen, die vom Dienstperimeter angewendet werden.

  • VPC Service Controls-Pipelines werden auf Dataproc-Clustern ausgeführt. Um einen innerhalb des Dienstperimeters gestarteten Dataproc-Cluster zu schützen, muss dieser eine private IP-Adresse (keine öffentliche IP-Adresse) haben und sich im selben privaten VPC-Netzwerk wie Ihre VPC Service Controls-Instanz befinden. Eine VPC Service Controls-Instanz mit einer privaten IP-Adresse erstellt während der Ausführung der VPC Service Controls-Pipeline standardmäßig einen Dataproc-Cluster mit einer internen privaten IP-Adresse.

  • Verwenden Sie keine Plug-ins, die Google Cloud APIs nutzen, die nicht von VPC Service Controls unterstützt werden. Wenn Sie solche Plug-ins verwenden, blockiert VPC Service Controls die API-Aufrufe, was zu einer Pipelinevorschau und einem Ausführungsfehler führt.

Dataflow

  • Benutzerdefiniertes BIND und die restricted.googleapis.com-VIP können nicht für Dataflow verwendet werden, da die DNS-Auflösung von Dataflow nicht angepasst werden kann.
  • Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters überprüft. Eine Liste der überprüften Connectors finden Sie in den Dataflow-Details.

Dataproc

  • Wenn Sie einen Cloud Dataproc-Cluster mit einem Dienstperimeter schützen möchten, müssen Sie die Schritte zum Einrichten privater Verbindungen ausführen, damit der Cluster innerhalb des Perimeters funktionieren kann.

  • Cloud Dataproc Component Gateway bietet keine Unterstützung für VPC Service Controls.

Cloud Functions

  • Cloud Functions verwendet Cloud Build, um Ihren Quellcode in einem ausführbaren Container zu erstellen. Um Cloud Functions innerhalb eines Dienstperimeters verwenden zu können, müssen Sie eine Zugriffsebene für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren.

  • Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugang kann für die Exfiltration von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. den hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwäschen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter- oder -Entwickler nur an vertrauenswürdige Entwickler.

  • Als Firebase Realtime Database-Trigger und Firebase Crashlytics-Trigger könnte ein Nutzer eine Funktion bereitstellen, die durch Änderungen an einer Firebase Realtime Database oder an Firebase Crashlytics in einem anderen Projekt außerhalb des Dienstperimeters des Projekts, in dem die Funktion implementiert ist, ausgelöst wird. Wenn Sie den Exfiltrationsvektor für diese beiden Trigger abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter- oder -Entwickler nur an vertrauenswürdige Entwickler.

Pub/Sub

  • Pub/Sub-Push-Abos, die vor dem Dienstperimeter erstellt wurden, werden nicht blockiert.

Cloud Shell

  • Cloud Shell wird nicht unterstützt. Die Umgebung wird als Ressource behandelt, die sich außerhalb von Dienstperimetern befindet, und der Zugriff auf Daten, die durch VPC Service Controls geschützt werden, wird verweigert.

Cloud Storage

  • Wenn Sie die Funktion "Anfragesteller bezahlt" mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden.

    Weitere Informationen zur Funktion "Sender bezahlt" finden Sie im Artikel "Anfragesteller bezahlt" unter Anforderungen für Zugriff und Verwendung.

  • Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Zugriffsebene erstellen, die entweder einen öffentlichen IP-Bereich oder die Nutzerkonten enthält, für die Sie den Zugriff auf die Cloud Storage API freigeben möchten.

  • Das Feld resourceName in Audit-Logdatensätzen bezieht sich nicht auf das Projekt, das einen Bucket besitzt. Das Projekt muss separat ermittelt werden.

  • In Audit-Logdatensätzen ist der Wert für methodName nicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logdatensätze nicht nach methodName zu filtern.

  • In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird.

  • Wenn Sie versuchen, gsutil zum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, den storage-api.googleapis.com-Dienst zu aktivieren. Sie können zwar storage-api.googleapis.com nicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sind gsutil-Vorgänge ebenfalls geschützt.

Compute Engine

  • Derzeit können Sie die Compute Engine API nicht mithilfe eines Dienstperimeters schützen.

  • Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Zugriffsebene für den Perimeter hinzufügen.

  • Die Verwendung von Kubernetes mit Compute Engine in einem Dienstperimeter wird von VPC Service Controls nicht unterstützt.

Container Registry

  • Da die Domain googleapis.com nicht verwendet wird, muss die Container Registry über Private DNS oder BIND so konfiguriert werden, dass sie der eingeschränkten VIP getrennt von anderen APIs zugeordnet wird.

  • Neben den Containern in einem Perimeter, die für Container Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

Google Cloud Console

  • Da auf die Cloud Console nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie z. B. Logging mit dem Perimeter geschützt haben, können Sie nicht auf die Logging-Oberfläche in der Cloud Console zugreifen.

    Um den Zugriff von der Cloud Console auf durch einen Perimeter geschützte Ressourcen zu ermöglichen, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.

    Wenn Sie den Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Cloud Console.

Resource Manager

Cloud Logging

  • Aggregierte Exportsenken (Ordner- oder Organisationssenken, wobei includeChildren ist true) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Zum Verwalten von Logging-Berechtigungen auf Ordner- und Organisationsebene empfehlen wir Cloud IAM.

  • Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, bieten Logexporte auf Ordner- und Organisationsebene (einschließlich aggregierter Logs) keine Unterstützung für Dienstperimeter. Wenn Sie den Export auf Dienstkonten beschränken möchten, die zur Interaktion mit den durch Perimeter geschützten Diensten erforderlich sind, empfehlen wir den Einsatz von Cloud IAM.

  • Zum Einrichten eines Logexports für Organisationen oder Ordner in eine Ressource, die durch einen Dienstperimeter geschützt ist, müssen Sie das Dienstkonto für die jeweilige Logsenke einer Zugriffsebene hinzufügen und diese anschließend dem Zieldienstperimeter zuweisen. Für Logexporte auf Projektebene ist dies nicht erforderlich.

    Weitere Informationen finden Sie auf den folgenden Seiten:

Cloud Monitoring

  • Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch die Manipulation der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert.

  • Während das Monitoring in der Google Cloud Console VPC Service Controls unterstützt, werden VPC Service Controls für die klassische Cloud Monitoring-Konsole nicht vollständig unterstützt.

  • Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da sonst Schreibvorgänge von Agent-Messwerten fehlschlagen.

  • Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert die GKE-Überwachung nicht.

  • Beim Abfragen von Messwerten für einen Arbeitsbereich wird nur der VPC Service Controls-Perimeter des Host-Projekts des Arbeitsbereichs berücksichtigt, nicht jedoch die Perimeter der einzelnen überwachten Projekte im Arbeitsbereich.

  • Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Arbeitsbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter wie das Host-Projekt des Arbeitsbereichs befindet.

Cloud Asset API

  • Beim Aufrufen der Cloud Asset API auf Ordner- oder Organisationsebene können Sie weiterhin auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen, die zum Ordner oder zur Organisation gehören. Wir empfehlen die Verwendung von Cloud IAM zur Verwaltung von Cloud Asset Inventory-Berechtigungen auf Ordner- und Organisationsebene.

Cloud SQL

  • Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Organisationsrichtlinieneinschränkung verwenden, um den öffentlichen IP-Zugriff auf Cloud SQL-Instanzen einzuschränken.

  • Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket innerhalb desselben Dienstperimeters wie die Cloud SQL-Replikatinstanz ausführen. Im Migrationfluss für externe Server müssen Sie den Cloud Storage-Bucket demselben Dienstperimeter hinzufügen. Beim Erstellen eines Schlüsselablaufs für CMEK müssen Sie Folgendes tun: Erstellen Sie den Schlüssel im selben Dienstperimeter wie die Ressourcen, die ihn verwenden. Hinweis: Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.

Cloud Healthcare API

Wenn die Cloud Healthcare API durch einen Dienstperimeter geschützt ist, können Sie nicht von FHIR-Speichern nach BigQuery exportieren.