Unterstützte Produkte und Einschränkungen

Diese Seite enthält eine Tabelle mit Produkten und Diensten, die von VPC Service Controls unterstützt werden, sowie eine Liste bekannter Einschränkungen bei bestimmten Diensten und Schnittstellen.

Unterstützte Produkte

VPC Service Controls unterstützt die folgenden Produkte:

Unterstützte Produkte Beschreibung

Cloud Search

Status AV
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudsearch.googleapis.com
Details

Google Cloud Search unterstützt Virtual Private Cloud Security Controls (VPC-SC), um die Sicherheit Ihrer Daten zu erhöhen. Mit VPC-SC können Sie einen Sicherheitsbereich für Google Cloud Platform-Ressourcen festlegen, um Daten einzuschränken und die Risiken einer Daten-Exfiltration zu minimieren.

Weitere Informationen zu Cloud Search finden Sie in der Produktdokumentation.

Einschränkungen

Da Cloud Search-Ressourcen nicht in einem GCP-Projekt gespeichert werden, müssen Sie die Cloud Search-Kundeneinstellungen mit dem VPC-Perimeter-geschützten Projekt aktualisieren. Das VPC-Projekt fungiert als virtueller Projektcontainer für alle Ihre Cloud Search-Ressourcen. Ohne diese Zuordnung funktioniert VPC Service Controls nicht für die Cloud Search API.

Vollständige Schritte zum Aktivieren von VPC Service Controls für Google Cloud Search finden Sie unter Sicherheit für Google Cloud Search verbessern.

Konnektivitätstests

Status Vorschau
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname networkmanagement.googleapis.com
Details

Die API für Konnektivitätstests kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Konnektivitätstests finden Sie in der Produktdokumentation.

Einschränkungen

Für die Integration von Konnektivitätstests in VPC Service Controls gelten keine bekannten Einschränkungen.

AI Platform Prediction

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname ml.googleapis.com
Details

VPC Service Controls unterstützt Onlinevorhersagen, jedoch keine Batchvorhersagen.

Weitere Informationen zu AI Platform Prediction finden Sie in der Produktdokumentation.

Einschränkungen
  • Zum vollständigen Schutz von AI Platform Prediction fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

    • AI Platform Training und Prediction API (ml.googleapis.com)
    • Pub/Sub API (pubsub.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Google Kubernetes Engine API (container.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)

    Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.

  • Batchvorhersagen werden nicht unterstützt, wenn Sie AI Platform Prediction innerhalb eines Dienstperimeters verwenden.

  • AI Platform Prediction und AI Platform Training verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.

AI Platform Training

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname ml.googleapis.com
Details

Die API für AI Platform Training kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu AI Platform Training finden Sie in der Produktdokumentation.

Einschränkungen
  • Zum vollständigen Schutz Ihrer Trainingsjobs von AI Platform Training fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

    • AI Platform Training und Prediction API (ml.googleapis.com)
    • Pub/Sub API (pubsub.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Google Kubernetes Engine API (container.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)

    Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.

  • Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden.

  • AI Platform Training und AI Platform Prediction verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.

Notebooks

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname notebooks.googleapis.com
Details

Die API für Notebooks kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Notebooks finden Sie in der Produktdokumentation.

Einschränkungen
  • Zur Verwendung von Notebooks innerhalb eines Dienstperimeters von VPC Service Controls müssen Sie mehrere DNS-Einträge hinzufügen oder konfigurieren, um die folgenden Domains auf die eingeschränkte VIP zu verweisen:

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

Vertex AI

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname aiplatform.googleapis.com
Details

Die API für Vertex AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Vertex AI finden Sie in der Produktdokumentation.

Einschränkungen

Weitere Informationen zu Einschränkungen finden Sie in der Vertex AI-Dokumentation unter Einschränkungen.

Apigee und Apigee Hybrid

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname apigee.googleapis.com,
apigeeconnect.googleapis.com
Details

Die API für Apigee und Apigee Hybrid kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Apigee und Apigee Hybrid finden Sie in der Produktdokumentation.

Einschränkungen

Die Einbindung von Apigee in VPC Service Controls unterliegt folgenden Einschränkungen:

  • Integrierte Portale erfordern zusätzliche Schritte für die Konfiguration.
  • Sie müssen Drupal-Portale innerhalb des Dienstperimeters bereitstellen.

Anthos Service Mesh

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname meshca.googleapis.com
Details

Die API für Anthos Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Anthos Service Mesh finden Sie in der Produktdokumentation.

Einschränkungen

Dienstperimeter werden derzeit nicht von der verwalteten Steuerungsebene von Anthos Service Mesh unterstützt.

Artifact Registry

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname artifactregistry.googleapis.com
Details

Zusätzlich zum Schutz der Artifact Registry API kann Artifact Registry auch innerhalb von Dienstperimetern mit GKE und Compute Engine verwendet werden.

Weitere Informationen zu Artifact Registry finden Sie in der Produktdokumentation.

Einschränkungen
  • Da Artifact Registry die Domain pkg.dev verwendet, müssen Sie das DNS konfigurieren, damit *.pkg.dev entweder private.googleapis.com oder restricted.googleapis.com zugeordnet wird. Weitere Informationen finden Sie unter Repositories in einem Dienstperimeter sichern.
  • Neben den Artefakten innerhalb eines Perimeters, die für Artifact Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Container Registry-Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gcr.io/vertex-ai
    • gcr.io/vertex-ai-restricted
    • gke.gcr.io
    • k8s.gcr.io

    In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

    Im Cache gespeicherte Images auf mirror.gcr.io sind nur verfügbar, wenn sich Container Registry auch im Perimeter befindet.

AutoML Natural Language

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Natural Language finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Tables

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Tables finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Translation

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Translation finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Video Intelligence

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Video Intelligence finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

AutoML Vision

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname automl.googleapis.com,
eu-automl.googleapis.com
Details

Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

  • AutoML API (automl.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • BigQuery API (bigquery.googleapis.com)

Weitere Informationen zu AutoML Vision finden Sie in der Produktdokumentation.

Einschränkungen
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

BigQuery

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname bigquery.googleapis.com
Details

Wenn Sie die BigQuery API mit einem Dienstperimeter schützen, ist auch die BigQuery Storage API geschützt. Sie müssen die BigQuery Storage API nicht separat der Liste der geschützten Dienste Ihres Perimeters hinzufügen.

Weitere Informationen zu BigQuery finden Sie in der Produktdokumentation.

Einschränkungen
  • BigQuery-Audit-Logeinträge enthalten nicht immer alle Ressourcen, die zum Erstellen einer Anfrage verwendet wurden, da der Dienst den Zugriff auf mehrere Ressourcen intern verarbeitet.

  • Beim Zugriff auf eine BigQuery-Instanz, die durch einen Dienstperimeter geschützt ist, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden oder in einem Projekt, das durch eine Regel für ausgehenden Traffic des Perimeters erlaubt ist. Standardmäßig führen die BigQuery-Clientbibliotheken Jobs innerhalb des Dienstkontos oder des Projekts des Nutzers aus, wodurch die Abfrage von VPC Service Controls abgelehnt wird.

BigQuery Data Transfer Service

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname bigquerydatatransfer.googleapis.com
Details

Der Dienstperimeter schützt nur die BigQuery Data Transfer Service API. Der tatsächliche Datenschutz wird von BigQuery erzwungen. Es ist Absicht, dass Sie Daten aus verschiedenen externen Quellen außerhalb von Google Cloud, z. B. Amazon S3, Redshift, Teradata, YouTube, Google Play und Google Ads, in BigQuery-Datasets importieren können.

Weitere Informationen zum BigQuery Data Transfer Service finden Sie in der Produktdokumentation.

Einschränkungen
  • Der BigQuery Data Transfer Service unterstützt nicht den Export von Daten aus einem BigQuery-Dataset. Weitere Informationen finden Sie unter Tabellendaten exportieren.
  • Der BigQuery Data Transfer Service unterstützt Drittanbieter-Datenquellen nicht zum Transfer von durch Dienstperimeter geschützten Daten.

Cloud Bigtable

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname bigtable.googleapis.com,
bigtableadmin.googleapis.com
Details

Die API für Cloud Bigtable kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Bigtable finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Bigtable in VPC Service Controls gelten keine bekannten Einschränkungen.

Binärautorisierung

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname binaryauthorization.googleapis.com
Details

Wenn Sie mehrere Projekte mit Binärautorisierung verwenden, muss jedes Projekt im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Mehrere Projekte einrichten.

Mit der Binärautorisierung können Sie Container Analysis verwenden, um Attestierer und Attestierungen jeweils als Hinweise und Vorkommen zu speichern. In diesem Fall muss Container Analysis auch im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen finden Sie im VPC Service Controls-Leitfaden für Container Analysis.

Weitere Informationen zur Binärautorisierung finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Binärautorisierung in VPC Service Controls gelten keine bekannten Einschränkungen.

Certificate Authority Service

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname privateca.googleapis.com
Details

Die API für den Certificate Authority Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Certificate Authority Service finden Sie in der Produktdokumentation.

Einschränkungen
  • Um den Zertifizierungsdienstdienst in einer geschützten Umgebung zu verwenden, müssen Sie Ihrem Dienstperimeter auch die Cloud KMS API (cloudkms.googleapis.com) und die Cloud Storage API (storage.googleapis.com) hinzufügen.

Data Catalog

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname datacatalog.googleapis.com
Details Data Catalog berücksichtigt automatisch Perimeter bei anderen Google Cloud-Diensten.

Weitere Informationen zu Data Catalog finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Data Catalog in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Data Fusion

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname datafusion.googleapis.com
Details

Cloud Data Fusion erfordert spezielle Schritte für den Schutz mit VPC Service Controls.

Weitere Informationen zu Cloud Data Fusion finden Sie in der Produktdokumentation.

Einschränkungen
  • Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre private Cloud Data Fusion-Instanz erstellen. Der Perimeterschutz für Instanzen, die vor dem Einrichten von VPC Service Controls erstellt wurden, wird nicht unterstützt.

  • Derzeit unterstützt die Cloud Data Fusion-Datenebenen-UI nicht die identitätsbasierte Zugriffssteuerung mithilfe von Regeln für eingehenden Traffic oder Zugriffsebenen.

Compute Engine

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname compute.googleapis.com
Details

Die Unterstützung von VPC Service Controls für Compute Engine bietet die folgenden Sicherheitsvorteile:

  • Zugriff auf vertrauliche API-Vorgänge wird eingeschränkt
  • Snapshots von nichtflüchtigen Speichern und benutzerdefinierten Images sind auf einen Perimeter beschränkt
  • Zugriff auf Instanzmetadaten wird eingeschränkt

Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie auch Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden.

Weitere Informationen zu Compute Engine finden Sie in der Produktdokumentation.

Einschränkungen
  • Hierarchische Firewalls sind von Dienstperimetern nicht betroffen.

  • Von VPC-Peering-Prozessen werden keine Einschränkungen für VPC-Dienstperimeter erzwungen.

  • Von der API-Methode projects.ListXpnHosts für freigegebene VPC werden keine Dienstperimetereinschränkungen für zurückgegebene Projekte erzwungen.

  • Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Regel für eingehenden Traffic für den Perimeter hinzufügen.

  • VPC Service Controls unterstützt nicht das Verwenden der Open Source-Version von Kubernetes auf Compute Engine-VMs innerhalb eines Dienstperimeters.

Dataflow

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname dataflow.googleapis.com
Details

Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft:

Weitere Informationen zu Dataflow finden Sie in der Produktdokumentation.

Einschränkungen

  • Benutzerdefiniertes BIND wird bei Verwendung von Dataflow nicht unterstützt. Wenn Sie die DNS-Auflösung bei Verwendung von Dataflow mit VPC Service Controls anpassen möchten, nutzen Sie private Zonen von Cloud DNS anstelle benutzerdefinierter BIND-Server. Zur Verwendung einer eigenen lokalen DNS-Auflösung können Sie eine lokale DNS-Weiterleitungsmethode von Google Cloud verwenden.

  • Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft. Eine Liste der geprüften Connectors finden Sie unter Dataflow-Details.

  • Bei Einsatz von Python 3.5 mit Apache Beam SDK 2.20.0-2.22.0 schlagen Dataflow-Jobs beim Start fehl, wenn die Worker nur private IP-Adressen haben, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird. Wenn Dataflow-Worker nur private IP-Adressen haben können, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird, verwenden Sie Python 3.5 nicht mit Apache Beam SDK 2.20.0-2.22.0. Diese Kombination führt dazu, dass Jobs beim Start fehlschlagen.

Dataproc

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname dataproc.googleapis.com
Details

Dataproc erfordert besondere Schritte für den Schutz mit VPC Service Controls.

Weitere Informationen zu Dataproc finden Sie in der Produktdokumentation.

Einschränkungen

  • Wenn Sie einen Dataproc-Cluster mit einem Dienstperimeter schützen möchten, müssen Sie die Schritte zum Einrichten privater Verbindungen ausführen, damit der Cluster innerhalb des Perimeters funktionieren kann.

Dataproc Metastore

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname metastore.googleapis.com
Details

Die API für Dataproc Megastore kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Dataproc Metastore finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Dataproc Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.

Dialogflow

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname dialogflow.googleapis.com
Details

Die API für Dialogflow kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Dialogflow finden Sie in der Produktdokumentation.

Einschränkungen

Cloud Data Loss Prevention

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname dlp.googleapis.com
Details

Die API für Cloud Data Loss Prevention kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.

Weitere Informationen zu Cloud Data Loss Prevention finden Sie in der Produktdokumentation.

Einschränkungen
  • Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, geben DLP-Aufrufe bei dem Versuch, auf Ressourcen auf Organisationsebene zuzugreifen, die Antwort 403 zurück. Zum Verwalten von DLP-Berechtigungen auf Ordner- und Organisationsebene empfehlen wir IAM.

Cloud DNS

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname dns.googleapis.com
Details

Die API für Cloud DNS kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud DNS finden Sie in der Produktdokumentation.

Einschränkungen

  • Sie können über die eingeschränkte VIP auf Cloud DNS zugreifen. Sie können jedoch keine öffentlichen DNS-Zonen in Projekten innerhalb des VPC Service Controls-Perimeters erstellen oder aktualisieren.

Document AI

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname documentai.googleapis.com
Details

Die API für Document AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Document AI finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung von Document AI in VPC Service Controls gibt es keine bekannten Einschränkungen.

Eventarc

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname eventarc.googleapis.com
Details

Eventarc verarbeitet die Ereignisübermittlung mithilfe von Pub/Sub-Themen und überträgt Push-Abos an Cloud Run. Für den Zugriff auf die Pub/Sub API und das Verwalten von Ereignis-Triggern muss die Eventarc API im selben VPC Service Controls-Dienstperimeter wie die Pub/Sub API geschützt sein.

Weitere Informationen zu Filestore finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung von Eventarc in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Functions

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudfunctions.googleapis.com
Details

Informationen zur Einrichtung finden Sie in der Cloud Functions-Dokumentation. Der Schutz von VPC Service Controls gilt nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Der Schutz von VPC Service Controls gilt für alle Funktionstrigger mit Ausnahme von Firebase Realtime Database-Triggern und Firebase Crashlytics-Triggern. Weitere Informationen finden Sie unter den bekannten Einschränkungen.

Weitere Informationen zu Cloud Functions finden Sie in der Produktdokumentation.

Einschränkungen
  • Cloud Functions verwendet Cloud Build, um Ihren Quellcode in einem ausführbaren Container zu erstellen. Damit Cloud Functions innerhalb eines Dienstperimeters verwendet werden kann, müssen Sie eine Regel für eingehenden Traffic für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren.

  • Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugriff kann zum Exfiltrieren von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. dem hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.

  • Als Firebase Realtime Database-Trigger und Firebase Crashlytics-Trigger könnte ein Nutzer eine Funktion bereitstellen, die durch Änderungen an einer Firebase Realtime Database oder an Firebase Crashlytics in einem anderen Projekt außerhalb des Dienstperimeters des Projekts, in dem die Funktion bereitgestellt ist, ausgelöst wird. Wenn Sie den Exfiltrationsvektor für diese beiden Trigger abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.

Identity and Access Management

Status Beta
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname iam.googleapis.com
Details

Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören die Verwaltung von benutzerdefinierten IAM-Rollen, die Verwaltung von Arbeitslast-Identitätspools und die Verwaltung von Dienstkonten und Schlüsseln. Der Perimeter schränkt keine Aktionen ein, die andere APIs verwenden, darunter:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API (einschließlich der Legacy-Methoden signBlob und signJwt in der IAM API)

Der Perimeter um IAM beschränkt nicht das Abrufen oder Festlegen von IAM-Richtlinien für Ressourcen, die anderen Diensten wie Compute Engine-VM-Instanzen gehören. Um das Abrufen und Festlegen von IAM-Richtlinien für diese Ressourcen zu beschränken, erstellen Sie einen Perimeter, der den Dienst beschränkt, der die Ressourcen besitzt. Eine Liste der Ressourcen, die IAM-Richtlinien annehmen, und der Dienste, die sie besitzen, finden Sie unter Ressourcentypen, die IAM-Richtlinien annehmen.

Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie in der Produktdokumentation.

Einschränkungen

Wenn Sie sich im Perimeter befinden, können Sie die Methode roles.list mit einem leeren String aufrufen, um vordefinierte IAM-Rollen aufzulisten. Informationen zum Aufrufen vordefinierter Rollen finden Sie in der Dokumentation zu IAM-Rollen.

Serverloser VPC-Zugriff

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname vpcaccess.googleapis.com
Details

Die API für serverlosen VPC-Zugriff kann durch VPC Service Controls geschützt werden und das Produkt kann in Dienstperimetern normal genutzt werden.

Weitere Informationen zum serverlosen VPC-Zugriff finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung von serverlosem VPC-Zugriff in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Key Management Service

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudkms.googleapis.com
Details

Die API für Cloud Key Management Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.

Weitere Informationen zum Cloud Key Management Service finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden des Cloud Key Management Service in VPC Service Controls gelten keine bekannten Einschränkungen.

Game Servers

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname gameservices.googleapis.com
Details

Die API für Game Servers kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Game Servers finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Game Servers in VPC Service Controls gelten keine bekannten Einschränkungen.

Identity-Aware Proxy for TCP

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname iaptunnel.googleapis.com
Details

Die API für Identity-Aware Proxy for TCP kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Identity-Aware Proxy for TCP finden Sie in der Produktdokumentation.

Einschränkungen
  • Nur die Nutzungs-API von IAP für TCP kann durch einen Perimeter geschützt werden. Die administrative API kann nicht durch einen Perimeter geschützt werden.

  • Um IAP for TCP innerhalb eines VPC Service Controls-Dienstperimeters zu verwenden, müssen Sie einige DNS-Einträge hinzufügen oder konfigurieren, um folgende Domains auf die eingeschränkte VIP zu verweisen:

    • tunnel.cloudproxy.app
    • *.tunnel.cloudproxy.app

Cloud Life Sciences

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname lifesciences.googleapis.com
Details

Die API für Cloud Life Sciences kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Life Sciences finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Life Sciences in VPC Service Controls gelten keine bekannten Einschränkungen.

Managed Service for Microsoft Active Directory

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname managedidentities.googleapis.com
Details

Zusätzliche Konfiguration erforderlich für:

Weitere Informationen zum Managed Service for Microsoft Active Directory finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden des Managed Service for Microsoft Active Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

reCAPTCHA Enterprise

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname recaptchaenterprise.googleapis.com
Details

Die API für reCAPTCHA Enterprise kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu reCAPTCHA Enterprise finden Sie in der Produktdokumentation.

Einschränkungen

Für die reCAPTCHA Enterprise-Integration in VPC Service Controls gelten keine bekannten Einschränkungen.

Recommender

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname recommender.googleapis.com
Details

Die API für Recommender kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Recommender finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Recommender in VPC Service Controls gelten keine bekannten Einschränkungen.

Secret Manager

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname secretmanager.googleapis.com
Details

Die API für Secret Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Secret Manager finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden des Secret Manager in VPC Service Controls gelten keine bekannten Einschränkungen.

Pub/Sub

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname pubsub.googleapis.com
Details

Der Schutz von VPC Service Controls gilt für alle Administrator-, Publisher- und Abonnentenvorgänge (mit Ausnahme von vorhandenen Push-Abos).

Weitere Informationen zu Pub/Sub finden Sie in der Produktdokumentation.

Einschränkungen

  • In Projekten, die durch einen Dienstperimeter geschützt sind, können neue Push-Abos nur erstellt werden, wenn die Push-Endpunkte auf Cloud Run-Dienste mit standardmäßigen run.app-URLs festgelegt sind (benutzerdefinierte Domains funktioniert nicht). Die Cloud Run-Integration befindet sich in der Vorschau.
  • Pub/Sub-Push-Abos, die vor dem Dienstperimeter erstellt wurden, werden nicht blockiert.

Pub/Sub Lite

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname pubsublite.googleapis.com
Details

Der Schutz von VPC Service Controls gilt für alle Abonnentenvorgänge.

Weitere Informationen zu Pub/Sub Lite finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung von Pub/Sub Lite in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Build

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudbuild.googleapis.com
Details

Verwenden Sie VPC Service Controls mit privaten Cloud Build-Pools, um die Sicherheit Ihrer Builds zu erhöhen.

Weitere Informationen zu Cloud Build finden Sie in der Produktdokumentation.

Einschränkungen

Der Schutz von VPC Service Controls ist nur für Builds verfügbar, die in privaten Pools ausgeführt werden.

Cloud Composer

Status AV
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname composer.googleapis.com
Details

Composer für die Verwendung mit VPC Service Controls konfigurieren

Weitere Informationen zu Cloud Composer finden Sie in der Produktdokumentation.

Einschränkungen

  • Durch Aktivieren der DAG-Serialisierung wird verhindert, dass Airflow eine gerenderte Vorlage mit Funktionen in der Web-UI anzeigt.

  • Das Flag async_dagbag_loader kann nicht auf True gesetzt werden, wenn die DAG-Serialisierung aktiviert ist.

  • Durch Aktivieren der DAG-Serialisierung werden alle Airflow-Webserver-Plug-ins deaktiviert, da sie die Sicherheit des VPC-Netzwerks beeinträchtigen können, in dem Cloud Composer bereitgestellt wird. Dies wirkt sich nicht auf das Verhalten von Planer- oder Worker-Plug-ins, einschließlich Airflow-Operatoren und Sensoren, aus.

  • Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPi-Modulen im privaten IP-Modus finden Sie in der Cloud Composer-Dokumentation unter Python-Abhängigkeiten installieren.

Cloud Run

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname run.googleapis.com
Details Für Cloud Run ist eine zusätzliche Einrichtung erforderlich. Folgen Sie der Anleitung auf der Dokumentationsseite VPC Service Controls für Cloud Run.

Weitere Informationen zu Cloud Run finden Sie in der Produktdokumentation.

Einschränkungen
  • Bei Artifact Registry und Container Registry muss sich die Registry, in der Sie den Container speichern, im selben VPC Service Controls-Perimeter wie das Projekt befinden, in dem Sie die Bereitstellung durchführen. Der erstellte Code muss sich im selben VPC Service Controls-Perimeter befinden wie die Registry, in die der Container übertragen wird.
  • Die Cloud Run-Funktion Kontinuierliche Bereitstellung ist für Projekte in einem VPC Service Controls-Perimeter nicht verfügbar.

Cloud Spanner

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname spanner.googleapis.com
Details

Die API für Cloud Spanner kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Spanner finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Spanner in VPC Service Controls gelten keine bekannten Einschränkungen.

Speaker ID

Status Vorschau
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname speakerid.googleapis.com
Details

Die Speaker ID API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Speaker ID finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung der Speaker ID in VPC Service Controls gibt es keine bekannten Einschränkungen.

Cloud Storage

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname storage.googleapis.com
Details

Die API für Cloud Storage kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Storage finden Sie in der Produktdokumentation.

Einschränkungen
  • Wenn Sie das Feature „Anforderer bezahlt“ mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden.

    Weitere Informationen zum Feature „Anforderer bezahlt“ finden Sie im Artikel „Anforderer bezahlt“ unter Anforderungen für Zugriff und Verwendung.

  • Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Regel für eingehenden Traffic und/oder eine Zugriffsebene erstellen, die die Nutzerkonten und/oder den öffentlichen IP-Bereich enthält, für die Sie den Zugriff auf die Cloud Storage API zulassen möchten.

  • Das Feld resourceName in Audit-Logeinträgen bezieht sich nicht auf das Projekt, das einen Bucket besitzt. Das Projekt muss separat ermittelt werden.

  • In Audit-Logeinträgen ist der Wert für methodName nicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logeinträge nicht nach methodName zu filtern.

  • In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird.

  • Wenn Sie versuchen, gsutil zum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, den storage-api.googleapis.com-Dienst zu aktivieren. Sie können zwar storage-api.googleapis.com nicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sind gsutil-Vorgänge ebenfalls geschützt.

  • In bestimmten Fällen sind öffentliche Cloud Storage-Objekte auch dann zugänglich, wenn Sie VPC Service Controls für die Objekte aktiviert haben. Die Objekte sind zugänglich, bis sie aus den integrierten Caches und anderen Upstream-Caches im Netzwerk zwischen dem Endnutzer und Cloud Storage ablaufen. Cloud Storage speichert öffentlich zugängliche Daten standardmäßig im Cloud Storage-Netzwerk. Weitere Informationen zum Zwischenspeichern von Cloud Storage-Objekten finden Sie unter Cloud Storage. Informationen zur Aufbewahrungsdauer von Objekten im Cache finden Sie unter Cache-Control-Metadaten:

Cloud SQL

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname sqladmin.googleapis.com
Details

VPC Service Controls-Perimeter schützen die Cloud SQL Admin API.

Weitere Informationen zu Cloud SQL finden Sie in der Produktdokumentation.

Einschränkungen

  • Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Einschränkung für die Organisationsrichtlinie verwenden, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.
  • Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket ausführen, der sich im selben Dienstperimeter wie die Cloud SQL-Replikatinstanz befindet.

  • Beim Migrationsprozess für den externen Server müssen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzufügen.
  • Bei der Schlüsselerstellung für CMEK müssen Sie den Schlüssel im selben Dienstperimeter erstellen wie die Ressourcen, für die er verwendet wird.
  • Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.

Video Intelligence API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname videointelligence.googleapis.com
Details

Die Video Intelligence API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.

Weitere Informationen zur Video Intelligence API finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Video Intelligence API in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Vision API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname vision.googleapis.com
Details

Die Cloud Vision API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud Vision API finden Sie in der Produktdokumentation.

Einschränkungen
Auch wenn Sie eine Regel für ausgehenden Traffic erstellen, um Aufrufe von öffentlichen URLs aus VPC Service Controls-Perimetern zuzulassen, blockiert die Cloud Vision API Aufrufe von öffentlichen URLs.

Container Analysis

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname containeranalysis.googleapis.com
Details

Damit Sie Container Analysis mit VPC Service Controls verwenden können, müssen Sie dem VPC-Perimeter möglicherweise weitere Dienste hinzufügen:

Da es sich bei der Container Scanning API um eine API ohne Oberfläche handelt, die die Ergebnisse in Container Analysis speichert, müssen Sie die API nicht mit einem Dienstperimeter schützen.

Weitere Informationen zu Container Analysis finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Container Analysis in VPC Service Controls gelten keine bekannten Einschränkungen.

Container Registry

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname containerregistry.googleapis.com
Details

Zusätzlich zum Schutz der Container Registry API kann Container Registry auch innerhalb eines Dienstperimeters mit GKE und Compute Engine verwendet werden.

Weitere Informationen zu Container Registry finden Sie in der Produktdokumentation.

Einschränkungen

  • Da Container Registry die Domain gcr.io verwendet, müssen Sie das DNS konfigurieren, damit *.gcr.io entweder private.googleapis.com oder restricted.googleapis.com zugeordnet wird. Weitere Informationen finden Sie unter Container Registry in einem Dienstperimeter sichern.

  • Neben den Containern innerhalb eines Perimeters, die für Container Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Repositories unabhängig von den durch Dienstperimeter durchgesetzten Einschränkungen für alle Projekte zur Verfügung:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gcr.io/vertex-ai
    • gcr.io/vertex-ai-restricted
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

Google Kubernetes Engine

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
Details

Die API für Google Kubernetes Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Google Kubernetes Engine finden Sie in der Produktdokumentation.

Einschränkungen

  • Nur private Cluster können durch VPC Service Controls geschützt werden. Cluster mit öffentlichen IP-Adressen werden von VPC Service Controls nicht unterstützt.

Resource Manager

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudresourcemanager.googleapis.com
Details

Die API für Resource Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Resource Manager finden Sie in der Produktdokumentation.

Einschränkungen

  • Die einzigen geschützten Resource Manager API-Methoden sind v1 project.setIAMPolicy und v1beta1 project.setIAMPolicy.
  • Die Zuweisung der Inhaberrolle für ein Projekt wird von VPC Service Controls nicht unterstützt. Einem Nutzer kann die Inhaberrolle nicht mit project.setIAMPolicy zugewiesen werden. Einladungen zum Zuweisen der Inhaberrolle dürfen nur über die Google Cloud Console gesendet werden und können derzeit nicht mit VPC Service Controls eingeschränkt werden.

Cloud Logging

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname logging.googleapis.com
Details

Da VPC Service Controls keine Ordner- und Organisationsressourcen unterstützt, werden Logs auf Ordner- und Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.

Weitere Informationen zu Cloud Logging finden Sie in der Produktdokumentation.

Einschränkungen
  • Aggregierte Exportsenken (Ordner- oder Organisationssenken, wobei includeChildren den Wert true hat) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Zum Verwalten von Logging-Berechtigungen auf Ordner- und Organisationsebene empfehlen wir IAM.

  • Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, bieten Logexporte auf Ordner- und Organisationsebene (einschließlich aggregierter Logs) keine Unterstützung für Dienstperimeter. Wir empfehlen IAM, um Exporte auf Dienstkonten zu beschränken, die für die Interaktion mit den durch Perimeter geschützten Diensten erforderlich sind.

  • Wenn Sie Logs mithilfe einer Logsenke auf Organisationsebene oder Ordnerebene an eine Ressource weiterleiten, die durch einen Dienstperimeter geschützt wird, müssen Sie dem Dienstperimeter eine Regel für eingehenden Traffic hinzufügen. Die Regel für eingehenden Traffic muss den Zugriff auf die Ressource über das Dienstkonto zulassen, das von der Logsenke verwendet wird. Dieser Schritt ist für Logexporte auf Projektebene nicht erforderlich.

    Weitere Informationen finden Sie auf den folgenden Seiten:

Cloud Monitoring

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname monitoring.googleapis.com
Details

Die API für Cloud Monitoring kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Monitoring finden Sie in der Produktdokumentation.

Einschränkungen
  • Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch Änderung der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert.

  • Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da Schreibvorgänge von Agent-Messwerten sonst fehlschlagen.

  • Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert das GKE-Monitoring nicht.

  • Beim Abfragen von Messwerten für einen Messwertbereich wird nur der VPC Service Controls-Perimeter des für den Messwertbereich verantwortlichen Messprojekts berücksichtigt. Die Perimeter der einzelnen überwachten Projekte im Messwertbereich werden dabei nicht berücksichtigt.

  • Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Messwertbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter befindet wie das für den Messwertbereich verantwortliche Messprojekt.

  • Für den Zugriff auf Monitoring in der Cloud Console für ein Hostprojekt, das durch einen Dienstperimeter geschützt ist, verwenden Sie eine Regel für eingehenden Traffic.

Cloud Profiler

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudprofiler.googleapis.com
Details

Die API für Cloud Profiler kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Profiler finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Profiler in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Trace

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudtrace.googleapis.com
Details

Die API für Cloud Trace kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud Trace finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud Trace in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud TPU

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname tpu.googleapis.com
Details

Die API für Cloud TPU kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Cloud TPU finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Cloud TPU in VPC Service Controls gelten keine bekannten Einschränkungen.

Natural Language API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname language.googleapis.com
Details

Die Natural Language API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Natural Language API finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Natural Language API in VPC Service Controls gelten keine bekannten Einschränkungen.

Network Connectivity Center

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname networkconnectivity.googleapis.com
Details

Die API für Network Connectivity Center kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zum Network Connectivity Center finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung des Network Connectivity Centers in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Asset API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname cloudasset.googleapis.com
Details

Da VPC Service Controls keine Ordner- und Organisationsressourcen unterstützt, ist der Zugriff auf Assets über die Cloud Asset API auf Ordner- oder Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.

Weitere Informationen zur Cloud Asset API finden Sie in der Produktdokumentation.

Einschränkungen

  • Beim Aufrufen der Cloud Asset API auf Ordner- oder Organisationsebene können Sie weiterhin auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen, die zum Ordner oder zur Organisation gehören. Wir empfehlen die Verwendung von IAM zur Verwaltung von Cloud Asset Inventory-Berechtigungen auf Ordner- und Organisationsebene.

Speech-to-Text

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname speech.googleapis.com
Details

Die Speech-to-Text API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Speech-to-Text finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Speech-to-Text in VPC Service Controls gelten keine bekannten Einschränkungen.

Text-to-Speech

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname texttospeech.googleapis.com
Details

Die Text-to-Speech API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Text-to-Speech finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Text-to-Speech in VPC Service Controls gelten keine bekannten Einschränkungen.

Translation

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname translate.googleapis.com
Details

Die API für Translation kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Translation finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Translation in VPC Service Controls gelten keine bekannten Einschränkungen.

Transcoder API

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname transcoder.googleapis.com
Details

Die Transcoder API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Transcoder API finden Sie in der Produktdokumentation.

Einschränkungen

Die Transcoder API-Integration in VPC Service Controls hat keine bekannten Einschränkungen.

Zugriffsgenehmigung

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname accessapproval.googleapis.com
Details

Die Access Approval API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Access Approval finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Access Approval in VPC Service Controls gelten keine bekannten Einschränkungen.

Cloud Healthcare API

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname healthcare.googleapis.com
Details

Die Cloud Healthcare API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zur Cloud Healthcare API finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden der Cloud Healthcare API in VPC Service Controls gelten keine bekannten Einschränkungen.

Storage Transfer Service

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname storagetransfer.googleapis.com
Details

Es wird empfohlen, das STS-Projekt im selben Dienstperimeter wie Ihre Cloud Storage-Ressourcen zu platzieren. So werden sowohl Ihre Übertragung als auch Ihre Cloud Storage-Ressourcen geschützt. Der Storage Transfer Service unterstützt auch Szenarien, in denen sich das Storage Transfer Service-Projekt nicht im selben Perimeter wie Ihre Cloud Storage-Buckets befindet und entweder eine Perimeter-Bridge oder Zugriffsebenen verwendet werden.

Informationen zum Einrichten finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.

Transfer Service for On Premises Data

Transfer Service for On Premises Data (Übertragung für lokale Umgebung) unterstützt VPC Service Controls nur für Übertragungsnutzlasten. Dies gilt auch für Szenarien, in denen lokale Agents für die Übertragung einer Regel für eingehenden Traffic oder einer Zugriffsebene hinzugefügt werden, mit der sie auf Ressourcen im Perimeter zugreifen können, oder wenn sich die lokalen Agents für die Übertragung innerhalb eines freigegebenen Perimeters mit Cloud Storage-Ziel-Buckets und Transfer Service for On Premises Data-Jobs befinden.

Weitere Informationen finden Sie unter Transfer for On-Premises mit VPC Service Controls verwenden.

Für Dateimetadaten wie Objektnamen kann nicht garantiert werden, dass sie im Perimeter bleiben. Weitere Informationen finden Sie unter VPC Service Controls und Metadaten.

Weitere Informationen zum Storage Transfer Service finden Sie in der Produktdokumentation.

Einschränkungen

  • Transfer Service for On Premises Data bietet keine API und unterstützt daher in VPC Service Controls keine API-bezogenen Features.

Service Control

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname servicecontrol.googleapis.com
Details

Die Service Control API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Service Control finden Sie in der Produktdokumentation.

Einschränkungen

  • Wenn Sie die Service Control API aus einem VPC-Netzwerk in einem Dienstperimeter mit eingeschränkter Service Control aufrufen, können Sie die Service Control-Berichtsmethode nicht verwenden, um Abrechnungsmesswerte zu melden.

Memorystore for Redis

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname redis.googleapis.com
Details

Die Memorystore for Redis API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Memorystore for Redis finden Sie in der Produktdokumentation.

Einschränkungen

  • Dienstperimeter schützen nur die Memorystore for Redis API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Redis-Instanzen im selben Netzwerk.

  • Wenn die Cloud Storage API ebenfalls geschützt ist, können Import- und Exportvorgänge von Memorystore for Redis nur in einen Cloud Storage-Bucket innerhalb des Dienstperimeters lesen und schreiben, in dem sich die Memorystore for Redis-Instanz befindet.

  • Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt mit der Redis-Instanz im selben Perimeter bereitstellt, damit Redis-Anfragen erfolgreich sind. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, können neben blockierten Anfragen auch jederzeit Fehler in der Redis-Instanz auftreten. Weitere Informationen finden Sie unter Konfigurationsanforderungen für Memorystore for Redis.

Memorystore for Memcached

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname memcache.googleapis.com
Details

Die Memorystore for Memcache API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Memorystore for Memcache finden Sie in der Produktdokumentation.

Einschränkungen

  • Dienstperimeter schützen nur die Memorystore for Memcache API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Memcache-Instanzen im selben Netzwerk.

Service Directory

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname servicedirectory.googleapis.com
Details

Die Service Directory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Service Directory finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Service Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

Transfer Appliance

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Nein. Die API für Transfer Appliance kann nicht durch Dienstperimeter geschützt werden. Transfer Appliance kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
Details

Für Projekte, die VPC Service Controls verwenden, wird Transfer Appliance vollständig unterstützt.

Transfer Appliance bietet keine API und unterstützt daher keine API-bezogenen Features in VPC Service Controls.

Weitere Informationen zu Transfer Appliance finden Sie in der Produktdokumentation.

Einschränkungen

  • Wenn Cloud Storage durch VPC Service Controls geschützt wird, muss sich der Cloud KMS-Schlüssel, den Sie mit dem Transfer Appliance-Team gemeinsam nutzen, im selben Projekt wie der Cloud Storage-Ziel-Bucket befinden.

OS Login

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname oslogin.googleapis.com
Details

Sie können die OS Login API aus VPC Service Controls-Perimetern aufrufen. Für die Verwaltung von OS Login über VPC Service Controls-Perimeter richten Sie OS Login ein.

SSH-Verbindungen zu VM-Instanzen sind nicht durch VPC Service Controls geschützt.

Weitere Informationen zu OS Login finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung von OS Login in VPC Service Controls gelten keine bekannten Einschränkungen.

VM Manager

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname osconfig.googleapis.com
Details

Sie können die OS Config API aus VPC Service Controls-Perimetern aufrufen. Wenn Sie VM Manager innerhalb von VPC Service Controls-Perimetern verwenden möchten, richten Sie VM Manager ein.

Weitere Informationen zu VM Manager finden Sie in der Produktdokumentation.

Einschränkungen
Zum vollständigen Schutz von VM Manager müssen Sie alle folgenden APIs in Ihrem Perimeter einschließen:
  • OS Config API (osconfig.googleapis.com)
  • Compute Engine API (compute.googleapis.com)
  • Container Analysis API (containeranalysis.googleapis.com)
VM Manager hostet keine Paket- und Patchinhalte. OS Patch Management verwendet die Update-Tools für das Betriebssystem, die erfordern, dass Paketaktualisierungen und Patches auf der VM abgerufen werden können. Damit Patches funktionieren, müssen Sie möglicherweise Cloud NAT verwenden oder Ihr eigenes Package Repository oder Ihren Windows Server Update Service in Ihrer Virtual Private Cloud hosten.

Filestore

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname file.googleapis.com
Details

Die Filestore API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Filestore finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Filestore in VPC Service Controls gelten keine bekannten Einschränkungen.

Container Threat Detection

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname containerthreatdetection.googleapis.com
Details

Die API für Container Threat Detection kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Container Threat Detection finden Sie in der Produktdokumentation.

Einschränkungen

Für das Einbinden von Container Threat Detection in VPC Service Controls gelten keine bekannten Einschränkungen.

Ads Data Hub

Status Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname adsdatahub.googleapis.com
Details

Weitere Informationen zu Ads Data Hub finden Sie in der Produktdokumentation.

Einschränkungen

Für Ads Data Hub und VPC Service Controls gelten unterschiedliche Nutzungsbedingungen. Weitere Informationen finden Sie in den Nutzungsbedingungen der einzelnen Produkte.

Bei bestimmten Funktionen von Ads Data Hub (z. B. benutzerdefinierte Zielgruppenaktivierung, benutzerdefinierte Gebote und LiveRamp-Match-Tables) müssen bestimmte Nutzerdaten außerhalb des Perimeters von VPC Service Controls exportiert werden. Wird Ads Data Hub als eingeschränkter Dienst hinzugefügt, werden die VPC Service Controls-Richtlinien für diese Funktionen umgangen, damit die Funktionen erhalten bleiben.

Alle abhängigen Dienste müssen als zulässige Dienste im selben VPC Service Controls-Perimeter enthalten sein. Da Ads Data Hub beispielsweise auf BigQuery basiert, muss auch BigQuery hinzugefügt werden. Im Allgemeinen empfiehlt VPC Service Controls, alle Dienste im Perimeter zu berücksichtigen, d. h. alle Dienste einzuschränken.

Kunden mit mehrstufigen Ads Data Hub-Kontostrukturen (z. B. Agenturen mit Tochterunternehmen) sollten alle ihre Administratorprojekte im selben Perimeter haben. Der Einfachheit halber empfiehlt Ads Data Hub, dass Kunden mit mehrstufigen Kontostrukturen ihre Administratorprojekte auf eine Google Cloud-Organisation beschränken.

Traffic Director

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname trafficdirector.googleapis.com
Details

Die Traffic Director API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

Weitere Informationen zu Traffic Director finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung von Traffic Director in VPC Service Controls gelten keine bekannten Einschränkungen.

Security Token Service

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimeter schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname sts.googleapis.com
Details

VPC Service Controls schränkt den Tokenaustausch nur dann ein, wenn die Zielgruppe in der Anfrage eine Ressource auf Projektebene ist. Beispielsweise werden Anfragen für herabgestufte Tokens nicht eingeschränkt, da diese Anfragen keine Zielgruppe haben.

Weitere Informationen zum Security Token Service finden Sie in der Produktdokumentation.

Einschränkungen

Für die Einbindung des Security Token Service in VPC Service Controls gelten keine bekannten Einschränkungen.

Weitere Informationen finden Sie in den Abschnitten zu unterstützten und nicht unterstützten Diensten.

Unterstützte Dienste für eingeschränkte VIP

Mit der eingeschränkten virtuellen IP (VIP) können VMs, die sich in einem Dienstperimeter befinden, Aufrufe an Google Cloud-Dienste senden, ohne die Anfragen im Internet verfügbar zu machen. Eine vollständige Liste der Dienste, die auf der eingeschränkten VIP verfügbar sind, finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.

Nicht unterstützte Dienste

Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.

Weitere bekannte Einschränkungen

In diesem Abschnitt werden bekannte Einschränkungen für bestimmte Google Cloud-Dienste, -Produkte und -Schnittstelle beschrieben, die bei der Verwendung von VPC Service Controls auftreten können.

Informationen zu Einschränkungen für Produkte, die von VPC Service Controls unterstützt werden, finden Sie in der Tabelle der unterstützten Produkte.

Weitere Informationen zum Beheben von Problemen mit VPC Service Controls finden Sie auf der Seite Fehlerbehebung.

AutoML API

  • AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables und AutoML Video Intelligence verwenden alle die AutoML API.

    Wenn Sie einen Dienstperimeter zum Schutz von automl.googleapis.com verwenden, wirkt sich das auf den Zugriff auf alle AutoML-Produkte aus, die in VPC Service Controls eingebunden sind und innerhalb des Perimeters verwendet werden. Sie müssen den VPC Service Controls-Perimeter für alle eingebundenen AutoML-Produkte konfigurieren, die innerhalb des Perimeters verwendet werden.

    Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

App Engine

  • App Engine (Standardumgebung und flexible Umgebung) wird von VPC Service Controls nicht unterstützt. Fügen Sie keine App Engine-Projekte in Dienstperimeter ein.

    Es ist jedoch möglich, App Engine-Anwendungen, die in Projekten außerhalb von Dienstperimetern erstellt wurden, das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Ihre Anwendung auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das App Engine-Dienstkonto des Projekts enthält. App Engine kann daher nicht innerhalb von Dienstperimetern verwendet werden.

Clientbibliotheken

  • Die Java- und Python-Clientbibliotheken für alle unterstützten Dienste werden für den Zugriff über die eingeschränkte VIP vollständig unterstützt. Die Unterstützung für andere Sprachen befindet sich in der Alphaphase und sollte nur zu Testzwecken verwendet werden.

  • Clients müssen Clientbibliotheken verwenden, die am 1. November 2018 oder später aktualisiert wurden.

  • Von Clients verwendete Dienstkontoschlüssel oder OAuth2-Client-Metadaten müssen am 1. November 2018 oder später aktualisiert worden sein. Ältere Clients, die den Token-Endpunkt verwenden, müssen auf den Endpunkt umgestellt werden, der in neueren Schlüsselmaterial- oder Clientmetadaten angegeben ist.

Cloud Billing

Cloud Build

  • Es ist möglich, Cloud Build in Projekten außerhalb von Dienstperimetern das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Cloud Build auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das Cloud Build-Dienstkonto des Projekts enthält. Dadurch kann Cloud Build nicht innerhalb von Dienstperimetern verwendet werden.

Cloud Deployment Manager

  • Deployment Manager wird von VPC Service Controls nicht unterstützt. Nutzer können möglicherweise Dienste aufrufen, die mit VPC Service Controls kompatibel sind. Sie sollten sich jedoch nicht darauf verlassen, da diese Kompatibilität nicht dauerhaft gewährleistet ist.

  • Als Behelfslösung können Sie das Deployment Manager-Dienstkonto (PROJECT_NUMBER@cloudservices.gserviceaccount.com) zu den Zugriffsebenen hinzufügen, um Aufrufe von APIs zuzulassen, die durch VPC Service Controls geschützt sind.

Cloud Shell

  • Cloud Shell wird nicht unterstützt. Die Umgebung wird als Ressource behandelt, die sich außerhalb von Dienstperimetern befindet, und der Zugriff auf Daten, die durch VPC Service Controls geschützt werden, wird verweigert.

Google Cloud Console

  • Da auf die Cloud Console nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie z. B. Logging mit dem Perimeter geschützt haben, können Sie nicht auf die Logging-Oberfläche in der Cloud Console zugreifen.

    Wenn Sie den Zugriff von der Cloud Console auf durch einen Perimeter geschützte Ressourcen ermöglichen möchten, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.

    Wenn Sie den Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Cloud Console.