Diese Seite enthält eine Tabelle mit Produkten und Diensten, die von VPC Service Controls unterstützt werden, sowie eine Liste bekannter Einschränkungen bei bestimmten Diensten und Schnittstellen.
Unterstützte Produkte
VPC Service Controls unterstützt die folgenden Produkte:
| Unterstützte Produkte | |||||
|---|---|---|---|---|---|
AI Platform Training |
|
||||
AI Platform Notebooks |
|
||||
Anthos Service Mesh |
|
||||
BigQuery |
|
||||
Cloud Bigtable |
|
||||
Cloud Data Fusion |
|
||||
Compute Engine |
|
||||
Dataflow |
|
||||
Dataproc |
|
||||
Cloud Data Loss Prevention |
|
||||
Cloud Functions |
|
||||
Cloud Key Management Service |
|
||||
Managed Service for Microsoft Active Directory |
|
||||
Secret Manager |
|
||||
Pub/Sub |
|
||||
Cloud Spanner |
|
||||
Cloud Storage |
|
||||
Cloud SQL |
|
||||
Video Intelligence API |
|
||||
Cloud Vision API |
|
||||
Container Registry |
|
||||
Google Kubernetes Engine |
|
||||
Resource Manager |
|
||||
Cloud Logging |
|
||||
Cloud Monitoring |
|
||||
Cloud Profiler |
|
||||
Cloud Trace |
|
||||
Cloud TPU |
|
||||
Natural Language API |
|
||||
Cloud Asset API |
|
||||
Sprachausgabe |
|
||||
Übersetzung |
|
||||
Cloud Healthcare API |
|
||||
Weitere Informationen finden Sie in den Abschnitten zu unterstützten und nicht unterstützten Diensten.
APIs und Dienstperimeter
Nicht alle Produkte, die von VPC Service Controls unterstützt werden, haben einen Dienst, der durch einen Dienstperimeter geschützt werden kann. Nur die folgenden APIs können mit einem Perimeter geschützt werden:
| APIs und Dienstadressen | |
|---|---|
| AI Platform Training and Prediction API | ml.googleapis.com |
| BigQuery API | bigquery.googleapis.com |
| Cloud Bigtable API | bigtable.googleapis.com |
| Cloud Asset Inventory API | cloudasset.googleapis.com |
| Cloud Data Fusion API | datafusion.googleapis.com |
| Dataflow API | dataflow.googleapis.com |
| Dataproc API | dataproc.googleapis.com |
| Cloud Data Loss Prevention API | dlp.googleapis.com |
| Cloud Functions API | cloudfunctions.googleapis.com |
| Cloud Key Management Service API | cloudkms.googleapis.com |
| Secret Manager API | secretmanager.googleapis.com |
| Cloud Natural Language API | language.googleapis.com |
| Managed Service for Microsoft Active Directory API | managedidentities.googleapis.com |
| Pub/Sub API | pubsub.googleapis.com |
| Cloud Service Mesh Certificate Authority API | meshca.googleapis.com |
| Cloud Spanner API | spanner.googleapis.com |
| Cloud Storage API | storage.googleapis.com |
| Cloud SQL API | sqladmin.googleapis.com |
| Cloud Vision API | vision.googleapis.com |
| Container Registry API | containerregistry.googleapis.com |
| Google Kubernetes Engine API | container.googleapis.com |
| GKE Connect API | gkeconnect.googleapis.com |
| GKE Hub API | gkehub.googleapis.com |
| Resource Manager API | cloudresourcemanager.googleapis.com |
| Cloud Logging API | logging.googleapis.com |
| Cloud Monitoring API | monitoring.googleapis.com |
| Cloud Profiler API | profiler.googleapis.com |
| Text-to-Speech API | texttospeech.googleapis.com |
| Cloud Translation API | translate.googleapis.com |
| Cloud Trace API | cloudtrace.googleapis.com |
| Cloud TPU API | tpu.googleapis.com |
| Video Intelligence API | videointelligence.googleapis.com |
| Cloud Healthcare API | healthcare.googleapis.com |
Nicht unterstützte Dienste
Der Versuch, einen nicht unterstützten Dienst mit dem Befehlszeilentool gcloud oder der Access Context Manager API einzuschränken, führt zu einem Fehler.
Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.
Bekannte Einschränkungen
In diesem Abschnitt werden bekannte Einschränkungen für bestimmte Google Cloud-Dienste, -Produkte und -Schnittstelle beschrieben, die bei der Verwendung von VPC Service Controls auftreten können.
Weitere Informationen zum Beheben von Problemen mit VPC Service Controls finden Sie auf der Seite Fehlerbehebung.
AI Platform Training
Um Ihre AI Platform Training-Trainingsjobs vollständig zu schützen, fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:
- AI Platform Training und Prediction API (
ml.googleapis.com) - Pub/Sub API (
pubsub.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Google Kubernetes Engine API (
container.googleapis.com) - Container Registry API (
containerregistry.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
Weitere Informationen zum Einrichten von VPC Service Controls für AI Platform Training
- AI Platform Training und Prediction API (
Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden.
Wenn Sie die AI Platform Training and Prediction API mithilfe eines Dienstperimeters schützen, schützen Sie nur AI Platform Training, nicht aber AI Platform Prediction. Einige Funktionen von AI Platform Prediction sind jedoch deaktiviert.
AI Platform Notebooks
Zur Verwendung von AI Platform Notebooks in einem VPC Service Controls-Dienstperimeter müssen Sie mehrere DNS-Einträge hinzufügen oder konfigurieren, um die folgenden Domains auf die eingeschränkte VIP zu verweisen:
- *.notebooks.googleapis.com
- *.datalab.cloud.google.com
- *.notebooks.cloud.google.com
- *.notebooks.googleusercontent.com
App Engine
App Engine (Standardumgebung und flexible Umgebung) wird von VPC Service Controls nicht unterstützt. Fügen Sie keine App Engine-Projekte in Dienstperimeter ein.
Es ist jedoch möglich, App Engine-Anwendungen, die in Projekten außerhalb von Dienstperimetern erstellt wurden, das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Ihre Anwendung auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das App Engine-Dienstkonto des Projekts enthält. App Engine kann daher nicht innerhalb von Dienstperimetern verwendet werden.
BigQuery
VPC Service Controls unterstützt das Kopieren von durch einen Dienstperimeter geschützten BigQuery-Ressourcen in eine andere Organisation nicht. Das organisationsübergreifende Kopieren ist mit Zugriffsebenen nicht möglich.
Um geschützte BigQuery-Ressourcen in eine andere Organisation zu kopieren, laden Sie das Dataset herunter (z. B. als CSV-Datei) und laden Sie die Datei dann in die andere Organisation hoch.
Der BigQuery Data Transfer Service wird nur für die folgenden Dienste unterstützt:
- Campaign Manager
- Google Ad Manager
- Google Ads
- Google Cloud Storage
- Google Merchant Center
- Google Play
- YouTube
Die klassische Web-UI von BigQuery wird nicht unterstützt. Sie können über die klassische Web-UI von BigQuery nicht auf eine BigQuery-Instanz zugreifen, die durch einen Dienstperimeter geschützt ist.
Der ODBC-Drittanbietertreiber für BigQuery kann derzeit nicht mit der eingeschränkten VIP verwendet werden.
BigQuery-Audit-Logdatensätze enthalten nicht immer alle Ressourcen, die zum Erstellen einer Anfrage verwendet wurden, da der Dienst den Zugriff auf mehrere Ressourcen intern verarbeitet.
Wenn ein Dienstkonto verwendet wird, um auf eine durch einen Dienstperimeter geschützte BigQuery-Instanz zuzugreifen, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden. Standardmäßig führen die BigQuery-Clientbibliotheken Jobs innerhalb des Dienstkontos oder des Projekts des Nutzers aus, wodurch die Abfrage von den VPC Service Controls abgelehnt wird.
Clientbibliotheken
Die Java- und Python-Clientbibliotheken für alle unterstützten Dienste werden für den Zugriff über die eingeschränkte VIP vollständig unterstützt. Die Unterstützung für andere Sprachen befindet sich in der Alphaphase und sollte nur zu Testzwecken verwendet werden.
Clients müssen Clientbibliotheken verwenden, die am 1. November 2018 oder später aktualisiert wurden.
Von Clients verwendete Dienstkontoschlüssel oder OAuth2-Client-Metadaten müssen am 1. November 2018 oder später aktualisiert worden sein. Ältere Clients, die den Token-Endpunkt verwenden, müssen auf den Endpunkt umgestellt werden, der in neueren Schlüsselmaterial- oder Clientmetadaten angegeben ist.
Cloud Billing
- Wenn Sie Cloud Billing-Exporte in einen Cloud Storage-Bucket oder eine BigQuery-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befinden, sollten Sie den Nutzer, der den Export konfiguriert, vorübergehend einer Zugriffsebene für den Perimeter hinzufügen.
Cloud Build
Cloud Build wird von VPC Service Controls nicht unterstützt. Verwenden Sie Cloud Build nicht innerhalb von Dienstperimetern.
Es ist jedoch möglich, Cloud Build in Projekten außerhalb von Dienstperimetern das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Cloud Build auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das Cloud Build-Dienstkonto des Projekts enthält. Dadurch kann Cloud Build nicht innerhalb von Dienstperimetern verwendet werden.
Cloud Composer
Cloud Composer wird von VPC Service Controls nicht unterstützt. Verwenden Sie Cloud Composer nicht innerhalb von Dienstperimetern.
Damit Cloud Composer auf Ressourcen innerhalb eines Dienstperimeters zugreifen kann, aktivieren Sie Cloud Composer in einem Projekt außerhalb eines Dienstperimeters. Erstellen Sie dann eine Zugriffsebene für den Perimeter, die Anfragen aus dem Dienstkonto für Ihre Cloud Composer-Umgebung zulässt, und wenden Sie diese an.
Cloud Data Fusion
Wenn Sie VPC Service Controls-Instanzen mit einer privaten IP-Adresse erstellen, können Sie diese mit VPC Service Controls weiter schützen. Erstellen Sie Ihre privaten VPC Service Controls-Instanzen in Google Cloud-Projekten, die sich innerhalb Ihrer Dienstperimeter befinden. Innerhalb einer privaten Instanz folgen die darin enthaltenen Plug-ins den Einschränkungen, die vom Dienstperimeter angewendet werden.
VPC Service Controls-Pipelines werden auf Dataproc-Clustern ausgeführt. Um einen innerhalb des Dienstperimeters gestarteten Dataproc-Cluster zu schützen, muss dieser eine private IP-Adresse (keine öffentliche IP-Adresse) haben und sich im selben privaten VPC-Netzwerk wie Ihre VPC Service Controls-Instanz befinden. Eine VPC Service Controls-Instanz mit einer privaten IP-Adresse erstellt während der Ausführung der VPC Service Controls-Pipeline standardmäßig einen Dataproc-Cluster mit einer internen privaten IP-Adresse.
Verwenden Sie keine Plug-ins, die Google Cloud APIs nutzen, die nicht von VPC Service Controls unterstützt werden. Wenn Sie solche Plug-ins verwenden, blockiert VPC Service Controls die API-Aufrufe, was zu einer Pipelinevorschau und einem Ausführungsfehler führt.
Dataflow
- Benutzerdefiniertes BIND und die
restricted.googleapis.com-VIP können nicht für Dataflow verwendet werden, da die DNS-Auflösung von Dataflow nicht angepasst werden kann. Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters überprüft. Eine Liste der überprüften Connectors finden Sie in den Dataflow-Details.
Dataproc
Wenn Sie einen Cloud Dataproc-Cluster mit einem Dienstperimeter schützen möchten, müssen Sie die Schritte zum Einrichten privater Verbindungen ausführen, damit der Cluster innerhalb des Perimeters funktionieren kann.
Cloud Dataproc Component Gateway bietet keine Unterstützung für VPC Service Controls.
Cloud Functions
Cloud Functions verwendet Cloud Build, um Ihren Quellcode in einem ausführbaren Container zu erstellen. Um Cloud Functions innerhalb eines Dienstperimeters verwenden zu können, müssen Sie eine Zugriffsebene für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren.
Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugang kann für die Exfiltration von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. den hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwäschen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter- oder -Entwickler nur an vertrauenswürdige Entwickler.
Als Firebase Realtime Database-Trigger und Firebase Crashlytics-Trigger könnte ein Nutzer eine Funktion bereitstellen, die durch Änderungen an einer Firebase Realtime Database oder an Firebase Crashlytics in einem anderen Projekt außerhalb des Dienstperimeters des Projekts, in dem die Funktion implementiert ist, ausgelöst wird. Wenn Sie den Exfiltrationsvektor für diese beiden Trigger abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter- oder -Entwickler nur an vertrauenswürdige Entwickler.
Pub/Sub
- Pub/Sub-Push-Abos, die vor dem Dienstperimeter erstellt wurden, werden nicht blockiert.
Cloud Shell
- Cloud Shell wird nicht unterstützt. Die Umgebung wird als Ressource behandelt, die sich außerhalb von Dienstperimetern befindet, und der Zugriff auf Daten, die durch VPC Service Controls geschützt werden, wird verweigert.
Cloud Storage
Wenn Sie die Funktion "Anfragesteller bezahlt" mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden.
Weitere Informationen zur Funktion "Sender bezahlt" finden Sie im Artikel "Anfragesteller bezahlt" unter Anforderungen für Zugriff und Verwendung.
Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Zugriffsebene erstellen, die entweder einen öffentlichen IP-Bereich oder die Nutzerkonten enthält, für die Sie den Zugriff auf die Cloud Storage API freigeben möchten.
Das Feld
resourceNamein Audit-Logdatensätzen bezieht sich nicht auf das Projekt, das einen Bucket besitzt. Das Projekt muss separat ermittelt werden.In Audit-Logdatensätzen ist der Wert für
methodNamenicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logdatensätze nicht nachmethodNamezu filtern.In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird.
Wenn Sie versuchen,
gsutilzum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, denstorage-api.googleapis.com-Dienst zu aktivieren. Sie können zwarstorage-api.googleapis.comnicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sindgsutil-Vorgänge ebenfalls geschützt.
Compute Engine
Derzeit können Sie die Compute Engine API nicht mithilfe eines Dienstperimeters schützen.
Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Zugriffsebene für den Perimeter hinzufügen.
Die Verwendung von Kubernetes mit Compute Engine in einem Dienstperimeter wird von VPC Service Controls nicht unterstützt.
Container Registry
Da die Domain
googleapis.comnicht verwendet wird, muss die Container Registry über Private DNS oder BIND so konfiguriert werden, dass sie der eingeschränkten VIP getrennt von anderen APIs zugeordnet wird.Neben den Containern in einem Perimeter, die für Container Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung:
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
- mirror.gcr.io
In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.
Google Cloud Console
Da auf die Cloud Console nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie z. B. Logging mit dem Perimeter geschützt haben, können Sie nicht auf die Logging-Oberfläche in der Cloud Console zugreifen.
Um den Zugriff von der Cloud Console auf durch einen Perimeter geschützte Ressourcen zu ermöglichen, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.
Wenn Sie den Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Cloud Console.
Resource Manager
- Die einzigen geschützten Resource Manager API-Methoden sind v1
project.setIAMPolicyund v1beta1project.setIAMPolicy.
Cloud Logging
Aggregierte Exportsenken (Ordner- oder Organisationssenken, wobei
includeChildrenisttrue) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Zum Verwalten von Logging-Berechtigungen auf Ordner- und Organisationsebene empfehlen wir Cloud IAM.Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, bieten Logexporte auf Ordner- und Organisationsebene (einschließlich aggregierter Logs) keine Unterstützung für Dienstperimeter. Wenn Sie den Export auf Dienstkonten beschränken möchten, die zur Interaktion mit den durch Perimeter geschützten Diensten erforderlich sind, empfehlen wir den Einsatz von Cloud IAM.
Zum Einrichten eines Logexports für Organisationen oder Ordner in eine Ressource, die durch einen Dienstperimeter geschützt ist, müssen Sie das Dienstkonto für die jeweilige Logsenke einer Zugriffsebene hinzufügen und diese anschließend dem Zieldienstperimeter zuweisen. Für Logexporte auf Projektebene ist dies nicht erforderlich.
Weitere Informationen finden Sie auf den folgenden Seiten:
Cloud Monitoring
Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch die Manipulation der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert.
Während das Monitoring in der Google Cloud Console VPC Service Controls unterstützt, werden VPC Service Controls für die klassische Cloud Monitoring-Konsole nicht vollständig unterstützt.
Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da sonst Schreibvorgänge von Agent-Messwerten fehlschlagen.
Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert die GKE-Überwachung nicht.
Beim Abfragen von Messwerten für einen Arbeitsbereich wird nur der VPC Service Controls-Perimeter des Host-Projekts des Arbeitsbereichs berücksichtigt, nicht jedoch die Perimeter der einzelnen überwachten Projekte im Arbeitsbereich.
Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Arbeitsbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter wie das Host-Projekt des Arbeitsbereichs befindet.
Cloud Asset API
- Beim Aufrufen der Cloud Asset API auf Ordner- oder Organisationsebene können Sie weiterhin auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen, die zum Ordner oder zur Organisation gehören. Wir empfehlen die Verwendung von Cloud IAM zur Verwaltung von Cloud Asset Inventory-Berechtigungen auf Ordner- und Organisationsebene.
Cloud SQL
Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Organisationsrichtlinieneinschränkung verwenden, um den öffentlichen IP-Zugriff auf Cloud SQL-Instanzen einzuschränken.
Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket innerhalb desselben Dienstperimeters wie die Cloud SQL-Replikatinstanz ausführen. Im Migrationfluss für externe Server müssen Sie den Cloud Storage-Bucket demselben Dienstperimeter hinzufügen. Beim Erstellen eines Schlüsselablaufs für CMEK müssen Sie Folgendes tun: Erstellen Sie den Schlüssel im selben Dienstperimeter wie die Ressourcen, die ihn verwenden. Hinweis: Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.
Cloud Healthcare API
Wenn die Cloud Healthcare API durch einen Dienstperimeter geschützt ist, können Sie nicht von FHIR-Speichern nach BigQuery exportieren.