|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
ml.googleapis.com
beta
|
Details |
VPC Service Controls unterstützt Onlinevorhersagen, jedoch keine Batchvorhersagen.
Weitere Informationen zu AI Platform Prediction finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Zum vollständigen Schutz von AI Platform Prediction fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:
- AI Platform Training und Prediction API (
ml.googleapis.com )
- Pub/Sub API (
pubsub.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Google Kubernetes Engine API (
container.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
- Cloud Logging API (
logging.googleapis.com )
Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.
Batchvorhersagen werden nicht unterstützt, wenn Sie AI Platform Prediction innerhalb eines Dienstperimeters verwenden.
AI Platform Prediction und AI Platform Training verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
ml.googleapis.com
beta
|
Details |
Die API für AI Platform Training kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu AI Platform Training finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Zum vollständigen Schutz Ihrer Trainingsjobs von AI Platform Training fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:
- AI Platform Training und Prediction API (
ml.googleapis.com )
- Pub/Sub API (
pubsub.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Google Kubernetes Engine API (
container.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
- Cloud Logging API (
logging.googleapis.com )
Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.
Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden.
AI Platform Training und AI Platform Prediction verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
notebooks.googleapis.com
|
Details |
Die API für AI Platform Notebooks kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu AI Platform Notebooks finden Sie in der Produktdokumentation.
|
Einschränkungen
|
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
apigee.googleapis.com, apigeeconnect.googleapis.com
|
Details
|
Die API für Apigee und Apigee Hybrid kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Apigee und Apigee Hybrid finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Die Einbindung von Apigee in VPC Service Controls unterliegt folgenden Einschränkungen:
- Wenn Sie Portale verwenden, müssen Sie Drupal nutzen. Sie können keine eingebundenen Portale verwenden.
- Sie müssen Drupal-Portale innerhalb des Dienstperimeters bereitstellen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
meshca.googleapis.com
|
Details |
Die API für Anthos Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Anthos Service Mesh finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Dienstperimeter können nur die Cloud Service Mesh Certificate Authority API schützen. Sie können einen Dienstperimeter hinzufügen, um Ihren Identitäts-Namespace zu schützen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
artifactregistry.googleapis.com
|
Details |
Zusätzlich zum Schutz der Artifact Registry API kann Artifact Registry auch innerhalb von Dienstperimetern mit GKE und Compute Engine verwendet werden.
Weitere Informationen zu Artifact Registry finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Da die Domain
googleapis.com nicht verwendet wird, muss Artifact Registry über ein privates DNS oder BIND so konfiguriert werden, dass es der eingeschränkten VIP getrennt von anderen APIs zugeordnet wird. Weitere Informationen finden Sie unter Repositories in einem Dienstperimeter sichern.
Neben den Artefakten innerhalb eines Perimeters, die für Artifact Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Container Registry-Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung:
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.
Im Cache gespeicherte Images auf mirror.gcr.io sind nur verfügbar, wenn sich Container Registry auch im Perimeter befindet.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
automl.googleapis.com, eu-automl.googleapis.com
|
Details |
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
Weitere Informationen zu AutoML Natural Language finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
automl.googleapis.com, eu-automl.googleapis.com
|
Details |
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
Weitere Informationen zu AutoML Tables finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
automl.googleapis.com, eu-automl.googleapis.com
|
Details |
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
Weitere Informationen zu AutoML Translation finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
automl.googleapis.com, eu-automl.googleapis.com
|
Details |
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
Weitere Informationen zu AutoML Video Intelligence finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
automl.googleapis.com, eu-automl.googleapis.com
|
Details |
Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
Weitere Informationen zu AutoML Vision finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse. Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
bigquery.googleapis.com
|
Details |
Wenn Sie die BigQuery API mit einem Dienstperimeter schützen, ist auch die BigQuery Storage API geschützt. Sie müssen die BigQuery Storage API nicht separat der Liste der geschützten Dienste Ihres Perimeters hinzufügen.
Weitere Informationen zu BigQuery finden Sie in der Produktdokumentation.
|
Einschränkungen
|
VPC Service Controls unterstützt nicht das Kopieren von BigQuery-Ressourcen in eine andere Organisation, die durch einen Dienstperimeter geschützt sind.
Das organisationsübergreifende Kopieren ist mit Zugriffsebenen nicht möglich.
Wenn Sie geschützte BigQuery-Ressourcen in eine andere Organisation kopieren möchten, laden Sie das Dataset herunter (z. B. als CSV-Datei) und die Datei dann in die andere Organisation hoch.
BigQuery-Audit-Logeinträge enthalten nicht immer alle Ressourcen, die zum Erstellen einer Anfrage verwendet wurden, da der Dienst den Zugriff auf mehrere Ressourcen intern verarbeitet.
Wenn ein Dienstkonto verwendet wird, um auf eine durch einen Dienstperimeter geschützte BigQuery-Instanz zuzugreifen, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden. Standardmäßig führen die BigQuery-Clientbibliotheken Jobs innerhalb des Dienstkontos oder des Projekts des Nutzers aus, wodurch die Abfrage von VPC Service Controls abgelehnt wird.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
bigquerydatatransfer.googleapis.com
|
Details
|
Der Dienstperimeter schützt nur die BigQuery Data Transfer Service API. Der tatsächliche Datenschutz wird von BigQuery erzwungen. Der Schutz ist so konzipiert, dass Sie Daten aus verschiedenen externen Quellen außerhalb von Google Cloud in BigQuery-Datasets importieren können, darunter Amazon S3, Redshift, Teradata, YouTube, Google Play und Google Ads.
Weitere Informationen zum BigQuery Data Transfer Service finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Der BigQuery Data Transfer Service unterstützt nicht den Export von Daten aus einem BigQuery-Dataset. Weitere Informationen finden Sie unter Tabellendaten exportieren.
- Der BigQuery Data Transfer Service unterstützt Drittanbieter-Datenquellen nicht zum Transfer von durch Dienstperimeter geschützten Daten.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
bigtable.googleapis.com
|
Details |
Die API für Cloud Bigtable kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Bigtable finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Cloud Bigtable in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
binaryauthorization.googleapis.com
beta
|
Details
|
Wenn Sie mehrere Projekte mit Binärautorisierung verwenden, muss jedes Projekt im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Mehrere Projekte einrichten.
Mit der Binärautorisierung können Sie Container Analysis verwenden, um Attestierer und Attestierungen jeweils als Hinweise und Vorkommen zu speichern. In diesem Fall muss Container Analysis auch im VPC Service Controls-Perimeter enthalten sein.
Weitere Informationen finden Sie im VPC Service Controls-Leitfaden für Container Analysis.
Weitere Informationen zur Binärautorisierung finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden der Binärautorisierung in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
privateca.googleapis.com
beta
|
Details
|
Die API für den Certificate Authority Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Certificate Authority Service finden Sie in der Produktdokumentation.
|
Einschränkungen
|
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
datacatalog.googleapis.com
|
Details
|
Data Catalog berücksichtigt automatisch Perimeter bei anderen Google Cloud-Diensten. Weitere Informationen zu Data Catalog finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Data Catalog in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
datafusion.googleapis.com
|
Details
|
Cloud Data Fusion erfordert spezielle Schritte für den Schutz mit VPC Service Controls.
Weitere Informationen zu Cloud Data Fusion finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre private Cloud Data Fusion-Instanz erstellen. Der Perimeterschutz für Instanzen, die vor dem Einrichten von VPC Service Controls erstellt wurden, wird nicht unterstützt.
Derzeit unterstützt die Cloud Data Fusion-Datenebenen-UI nicht die Angabe von Zugriffsebenen mithilfe des identitätsbasierten Zugriffs.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
compute.googleapis.com
|
Details |
Die Unterstützung von VPC Service Controls für Compute Engine bietet die folgenden Sicherheitsvorteile:
- Zugriff auf vertrauliche API-Vorgänge wird eingeschränkt
- Snapshots von nichtflüchtigen Speichern und benutzerdefinierten Images sind auf einen Perimeter beschränkt
- Zugriff auf Instanzmetadaten wird eingeschränkt
Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie auch Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden.
Weitere Informationen zu Compute Engine finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Hierarchische Firewalls sind von Dienstperimetern nicht betroffen.
Von VPC-Peering-Prozessen werden keine Einschränkungen für VPC-Dienstperimeter erzwungen.
Von der API-Methode projects.ListXpnHosts für freigegebene VPC werden keine Dienstperimetereinschränkungen für zurückgegebene Projekte erzwungen.
Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Zugriffsebene für den Perimeter hinzufügen.
VPC Service Controls unterstützt nicht das Verwenden der Open Source-Version von Kubernetes auf Compute Engine-VMs innerhalb eines Dienstperimeters.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
dataflow.googleapis.com
|
Details
|
Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft:
Weitere Informationen zu Dataflow finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Benutzerdefiniertes BIND wird bei Verwendung von Dataflow nicht unterstützt. Wenn Sie die DNS-Auflösung bei Verwendung von Dataflow mit VPC Service Controls anpassen möchten, nutzen Sie private Zonen von Cloud DNS anstelle benutzerdefinierter BIND-Server. Zur Verwendung einer eigenen lokalen DNS-Auflösung können Sie eine lokale DNS-Weiterleitungsmethode von Google Cloud verwenden.
Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft. Eine Liste der geprüften Connectors finden Sie unter Dataflow-Details.
Bei Einsatz von Python 3.5 mit Apache Beam SDK 2.20.0-2.22.0 schlagen Dataflow-Jobs beim Start fehl, wenn die Worker nur private IP-Adressen haben, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird.
Wenn Dataflow-Worker nur private IP-Adressen haben können, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird, verwenden Sie Python 3.5 nicht mit Apache Beam SDK 2.20.0-2.22.0. Diese Kombination führt dazu, dass Jobs beim Start fehlschlagen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
dataproc.googleapis.com
|
Details
|
Dataproc erfordert besondere Schritte für den Schutz mit VPC Service Controls.
Weitere Informationen zu Dataproc finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Wenn Sie einen Dataproc-Cluster mit einem Dienstperimeter schützen möchten, müssen Sie die Schritte zum Einrichten privater Verbindungen ausführen, damit der Cluster innerhalb des Perimeters funktionieren kann.
|
|
|
Status
|
Vorschau
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
metastore.googleapis.com
|
Details
|
Die API für Dataproc Megastore kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Dataproc Metastore finden Sie in der Produktdokumentation.
|
Einschränkungen
|
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
dlp.googleapis.com
|
Details |
Die API für Cloud Data Loss Prevention kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.
Weitere Informationen zu Cloud Data Loss Prevention finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Cloud Data Loss Prevention in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
cloudfunctions.googleapis.com
|
Details
|
Informationen zur Einrichtung finden Sie in der Cloud Functions-Dokumentation. Der Schutz von VPC Service Controls gilt nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Der Schutz von VPC Service Controls gilt für alle Funktionstrigger mit Ausnahme von Firebase Realtime Database-Triggern und Firebase Crashlytics-Triggern. Weitere Informationen finden Sie unter den bekannten Einschränkungen.
Weitere Informationen zu Cloud Functions finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Cloud Functions verwendet Cloud Build, um Ihren Quellcode in einem ausführbaren Container zu erstellen. Damit Cloud Functions innerhalb eines Dienstperimeters verwendet werden kann, müssen Sie eine Zugriffsebene für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren.
Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugriff kann zum Exfiltrieren von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. dem hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.
Als Firebase Realtime Database-Trigger und Firebase Crashlytics-Trigger könnte ein Nutzer eine Funktion bereitstellen, die durch Änderungen an einer Firebase Realtime Database oder an Firebase Crashlytics in einem anderen Projekt außerhalb des Dienstperimeters des Projekts, in dem die Funktion bereitgestellt ist, ausgelöst wird. Wenn Sie den Exfiltrationsvektor für diese beiden Trigger abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
vpcaccess.googleapis.com
|
Details
|
Die API für serverlosen VPC-Zugriff kann durch VPC Service Controls geschützt werden und das Produkt kann in Dienstperimetern normal genutzt werden.
Weitere Informationen zum serverlosen VPC-Zugriff finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für die Einbindung von serverlosem VPC-Zugriff in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
cloudkms.googleapis.com
|
Details |
Die API für Cloud Key Management Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.
Weitere Informationen zum Cloud Key Management Service finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden des Cloud Key Management Service in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
gameservices.googleapis.com
|
Details |
Die API für Game Servers kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Game Servers finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Game Servers in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
iaptunnel.googleapis.com
|
Details
|
Die API für Identity-Aware Proxy for TCP kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Identity-Aware Proxy for TCP finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Nur die Nutzungs-API von IAP for TCP kann durch einen Perimeter geschützt werden.
Die administrative API kann nicht durch einen Perimeter geschützt werden.
Um IAP for TCP innerhalb eines VPC Service Controls-Dienstperimeters zu verwenden, müssen Sie einige DNS-Einträge hinzufügen oder konfigurieren, um folgende Domains auf die eingeschränkte VIP zu verweisen:
- tunnel.cloudproxy.app
- *.tunnel.cloudproxy.app
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
managedidentities.googleapis.com
|
Details |
Zusätzliche Konfiguration erforderlich für:
Weitere Informationen zum Managed Service for Microsoft Active Directory finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden des Managed Service for Microsoft Active Directory in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
secretmanager.googleapis.com
|
Details |
Die API für Secret Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Secret Manager finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden des Secret Manager in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
pubsub.googleapis.com
|
Details |
Der Schutz von VPC Service Controls gilt für alle Abonnentenvorgänge mit Ausnahme von vorhandenen Push-Abos.
Weitere Informationen zu Pub/Sub finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- In Projekten, die durch einen Dienstperimeter geschützt sind, können keine neuen Push-Abos erstellt werden.
- Pub/Sub-Push-Abos, die vor dem Dienstperimeter erstellt wurden, werden nicht blockiert.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
pubsublite.googleapis.com
|
Details
|
Der Schutz von VPC Service Controls gilt für alle Abonnentenvorgänge.
Weitere Informationen zu Pub/Sub Lite finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für die Einbindung von Pub/Sub Lite in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Vorschau. Diese Produkteinbindung ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
cloudbuild.googleapis.com
|
Details
|
Die Verwendung von VPC Service Controls mit Cloud Build steht nur einer begrenzten Gruppe von Nutzern zur Verfügung.
Weitere Informationen zu Cloud Build finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Die Verwendung von VPC Service Controls mit Cloud Build steht nur einer begrenzten Gruppe von Nutzern zur Verfügung.
|
|
|
Status
|
AV
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
composer.googleapis.com
beta
|
Details
|
Composer für die Verwendung mit VPC Service Controls konfigurieren Weitere Informationen zu Cloud Composer finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Durch Aktivieren der DAG-Serialisierung wird verhindert, dass Airflow eine gerenderte Vorlage mit Funktionen in der Web-UI anzeigt.
Das Flag async_dagbag_loader kann nicht auf True gesetzt werden, wenn die DAG-Serialisierung aktiviert ist.
Durch Aktivieren der DAG-Serialisierung werden alle Airflow-Webserver-Plug-ins deaktiviert, da sie die Sicherheit des VPC-Netzwerks beeinträchtigen können, in dem Cloud Composer bereitgestellt wird. Dies wirkt sich nicht auf das Verhalten von Planer- oder Worker-Plug-ins, einschließlich Airflow-Operatoren und Sensoren, aus.
Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPi-Modulen im privaten IP-Modus finden Sie in der Cloud Composer-Dokumentation unter Python-Abhängigkeiten installieren.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
spanner.googleapis.com
|
Details |
Die API für Cloud Spanner kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Spanner finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Cloud Spanner in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
storage.googleapis.com
|
Details |
Die API für Cloud Storage kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Storage finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Wenn Sie das Feature „Anforderer bezahlt“ mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden.
Weitere Informationen zum Feature „Anforderer bezahlt“ finden Sie im Artikel „Sender bezahlt“ unter Anforderungen für Zugriff und Verwendung.
Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Zugriffsebene erstellen, die entweder die Nutzerkonten oder einen öffentlichen IP-Bereich enthält, für die Sie den Zugriff auf die Cloud Storage API freigeben möchten.
Das Feld resourceName in Audit-Logeinträgen bezieht sich nicht auf das Projekt, das einen Bucket besitzt. Das Projekt muss separat ermittelt werden.
In Audit-Logeinträgen ist der Wert für methodName nicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logeinträge nicht nach methodName zu filtern.
In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird.
Wenn Sie versuchen, gsutil zum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, den storage-api.googleapis.com -Dienst zu aktivieren. Sie können zwar storage-api.googleapis.com nicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sind gsutil -Vorgänge ebenfalls geschützt.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
sqladmin.googleapis.com
|
Details |
VPC Service Controls-Perimeter schützen die Cloud SQL Admin API.
Weitere Informationen zu Cloud SQL finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Einschränkung für die Organisationsrichtlinie verwenden, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.
Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket ausführen, der sich im selben Dienstperimeter wie die Cloud SQL-Replikatinstanz befindet. Beim Migrationsprozess für den externen Server müssen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzufügen. Wenn Sie einen Schlüsselablauf für CMEK erstellen, müssen Sie den Schlüssel im selben Dienstperimeter erstellen wie die Ressourcen, für die er verwendet wird.
Hinweis: Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
videointelligence.googleapis.com
|
Details |
Die Video Intelligence API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal genutzt werden.
Weitere Informationen zur Video Intelligence API finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden der Video Intelligence API in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
vision.googleapis.com
|
Details |
Die Cloud Vision API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Cloud Vision API finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden der Cloud Vision API in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
containeranalysis.googleapis.com
|
Details |
Damit Sie Container Analysis mit VPC Service Controls verwenden können, müssen Sie dem VPC-Perimeter möglicherweise weitere Dienste hinzufügen:
Da es sich bei der Container Scanning API um eine API ohne Oberfläche handelt, die die Ergebnisse in Container Analysis speichert, müssen Sie die API nicht mit einem Dienstperimeter schützen.
Weitere Informationen zu Container Analysis finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Container Analysis in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
containerregistry.googleapis.com
|
Details |
Zusätzlich zum Schutz der Container Registry API kann Container Registry auch innerhalb eines Dienstperimeters mit GKE und Compute Engine verwendet werden.
Weitere Informationen zu Container Registry finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Da die Domain googleapis.com nicht verwendet wird, muss Container Registry über ein privates DNS oder BIND so konfiguriert werden, dass es der eingeschränkten VIP getrennt von anderen APIs zugeordnet wird. Weitere Informationen finden Sie unter Container Registry in einem Dienstperimeter sichern.
Neben den Containern innerhalb eines Perimeters, die für Container Registry verfügbar sind, stehen die folgenden von Google verwalteten, schreibgeschützten Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung:
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
- mirror.gcr.io
In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
container.googleapis.com, gkeconnect.googleapis.com, gkehub.googleapis.com
|
Details |
Die API für Google Kubernetes Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Google Kubernetes Engine finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Nur private Cluster können durch VPC Service Controls geschützt werden. Cluster mit öffentlichen IP-Adressen werden von VPC Service Controls nicht unterstützt.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
cloudresourcemanager.googleapis.com
beta
|
Details |
Die API für Resource Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zum Resource Manager finden Sie in der Produktdokumentation.
|
Einschränkungen
|
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
logging.googleapis.com
|
Details |
Da VPC Service Controls keine Ordner- und Organisationsressourcen unterstützt, werden Logs auf Ordner- und Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.
Weitere Informationen zu Cloud Logging finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Aggregierte Exportsenken (Ordner- oder Organisationssenken, wobei includeChildren den Wert true hat) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Zum Verwalten von Logging-Berechtigungen auf Ordner- und Organisationsebene empfehlen wir IAM.
Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, bieten Logexporte auf Ordner- und Organisationsebene (einschließlich aggregierter Logs) keine Unterstützung für Dienstperimeter. Wir empfehlen IAM, um Exporte auf Dienstkonten zu beschränken, die für die Interaktion mit den durch Perimeter geschützten Diensten erforderlich sind.
Zum Einrichten eines Logexports für eine Organisation oder einen Ordner in eine Ressource, die durch einen Dienstperimeter geschützt ist, müssen Sie das Dienstkonto für die jeweilige Logsenke einer Zugriffsebene hinzufügen und diese anschließend dem Zieldienstperimeter zuweisen.
Für Logexporte auf Projektebene ist dies nicht erforderlich.
Weitere Informationen finden Sie auf den folgenden Seiten:
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
monitoring.googleapis.com
|
Details |
Die API für Cloud Monitoring kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Monitoring finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch Änderung der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert.
Das Monitoring in der Google Cloud Console unterstützt zwar VPC Service Controls, aber VPC Service Controls wird für die klassische Cloud Monitoring-Konsole nicht vollständig unterstützt.
Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da Schreibvorgänge von Agent-Messwerten sonst fehlschlagen.
Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert das GKE-Monitoring nicht.
Beim Abfragen von Messwerten für einen Arbeitsbereich wird nur der VPC Service Controls-Perimeter des Host-Projekts des Arbeitsbereichs berücksichtigt, nicht jedoch die Perimeter der einzelnen überwachten Projekte im Arbeitsbereich.
Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Arbeitsbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter wie das Host-Projekt des Arbeitsbereichs befindet.
Für den Zugriff auf Monitoring in der Cloud Console für ein Hostprojekt, das durch einen Dienstperimeter geschützt ist, verwenden Sie Zugriffsebenen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
cloudprofiler.googleapis.com
|
Details |
Die API für Cloud Profiler kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Profiler finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Cloud Profiler in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
cloudtrace.googleapis.com
|
Details |
Die API für Cloud Trace kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud Trace finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Cloud Trace in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
tpu.googleapis.com
|
Details |
Die API für Cloud TPU kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Cloud TPU finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Cloud TPU in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
language.googleapis.com
|
Details |
Die Natural Language API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Natural Language API finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden der Natural Language API in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
cloudasset.googleapis.com
|
Details |
Da VPC Service Controls keine Ordner- und Organisationsressourcen unterstützt, ist der Zugriff auf Assets über die Cloud Asset API auf Ordner- oder Organisationsebene nicht durch VPC Service Controls geschützt. Mehr dazu erfahren Sie in den Informationen zu bekannten Diensteinschränkungen.
Weitere Informationen zur Cloud Asset API finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Beim Aufrufen der Cloud Asset API auf Ordner- oder Organisationsebene können Sie weiterhin auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen, die zum Ordner oder zur Organisation gehören. Wir empfehlen die Verwendung von IAM zur Verwaltung von Cloud Asset Inventory-Berechtigungen auf Ordner- und Organisationsebene.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
speech.googleapis.com
beta
|
Details |
Die Speech-to-Text API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Speech-to-Text finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Speech-to-Text in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
texttospeech.googleapis.com
|
Details |
Die Text-to-Speech API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Text-to-Speech finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Text-to-Speech in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
translate.googleapis.com
|
Details |
Die API für Translation kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Translation finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Translation in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
accessapproval.googleapis.com
beta
|
Details |
Die Access Approval API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Access Approval finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Access Approval in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
healthcare.googleapis.com
beta
|
Details |
Die Cloud Healthcare API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zur Cloud Healthcare API finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden der Cloud Healthcare API in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
storagetransfer.googleapis.com
|
Details |
Es wird empfohlen, das STS-Projekt im selben Dienstperimeter wie Ihre Cloud Storage-Ressourcen zu platzieren. So werden sowohl Ihre Übertragung als auch Ihre Cloud Storage-Ressourcen geschützt. Der Storage Transfer Service unterstützt auch Szenarien, in denen sich das Storage Transfer Service-Projekt nicht im selben Perimeter wie Ihre Cloud Storage-Buckets befindet und entweder eine Perimeter-Bridge oder Zugriffsebenen verwendet werden.
Informationen zum Einrichten finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.
Transfer Service for On Premises Data
Während der Betaphase unterstützt der Transfer Service for On Premises Data (Übertragung für lokale Umgebung) VPC Service Controls nur für Übertragungsnutzlasten. Dies gilt auch für Szenarien, in denen lokale Agents für die Übertragung einer Zugriffsebene hinzugefügt werden, mit der sie auf Ressourcen im Perimeter zugreifen können, oder wenn sich die lokalen Agents für die Übertragung innerhalb eines freigegebenen Perimeters mit Cloud Storage-Ziel-Buckets und Transfer Service for On Premises Data-Jobs befinden.
Weitere Informationen finden Sie unter Transfer for On-Premises mit VPC Service Controls verwenden.
Für Dateimetadaten wie Objektnamen kann nicht garantiert werden, dass sie im Perimeter bleiben. Weitere Informationen finden Sie unter VPC Service Controls und Metadaten.
Weitere Informationen zum Storage Transfer Service finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Transfer Service for On Premises Data bietet keine API und unterstützt daher in VPC Service Controls keine API-bezogenen Features.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
servicecontrol.googleapis.com
|
Details |
Die Service Control API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Service Control finden Sie in der Produktdokumentation.
|
Einschränkungen
|
- Wenn Sie die Service Control API aus einem VPC-Netzwerk in einem Dienstperimeter mit eingeschränkter Service Control aufrufen, können Sie die Service Control-Berichtsmethode nicht verwenden, um Abrechnungs- und Analysemesswerte zu melden.
|
|
|
Status
|
GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt. |
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
redis.googleapis.com
|
Details |
Die Memorystore for Redis API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Memorystore for Redis finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Dienstperimeter schützen nur die Memorystore for Redis API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Redis-Instanzen im selben Netzwerk.
Wenn die Cloud Storage API ebenfalls geschützt ist, können Import- und Exportvorgänge von Memorystore for Redis nur in einen Cloud Storage-Bucket innerhalb des Dienstperimeters lesen und schreiben, in dem sich die Memorystore for Redis-Instanz befindet.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
servicedirectory.googleapis.com
beta
|
Details |
Die Service Directory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.
Weitere Informationen zu Service Directory finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von Service Directory in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Nein. Die API für Transfer Appliance kann nicht durch Dienstperimeter geschützt werden.
Transfer Appliance kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
|
Details
|
Für Projekte, die VPC Service Controls verwenden, wird Transfer Appliance vollständig unterstützt.
Transfer Appliance bietet keine API und unterstützt daher keine API-bezogenen Features in VPC Service Controls.
Weitere Informationen zu Transfer Appliance finden Sie in der Produktdokumentation.
|
Einschränkungen
|
-
Wenn Cloud Storage durch VPC Service Controls geschützt wird, muss sich der Cloud KMS-Schlüssel, den Sie mit dem Transfer Appliance-Team gemeinsam nutzen, im selben Projekt wie der Cloud Storage-Ziel-Bucket befinden.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
oslogin.googleapis.com
|
Details
|
Sie können die OS Login API aus VPC Service Controls-Perimetern aufrufen. Für die Verwaltung von OS Login über VPC Service Controls-Perimeter richten Sie OS Login ein.
SSH-Verbindungen zu VM-Instanzen sind nicht durch VPC Service Controls geschützt.
Weitere Informationen zu OS Login finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für die Einbindung von OS Login in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|
|
Status
|
Beta. Diese Produktintegration ist für umfassendere Tests und eine allgemeine Verwendung ausgelegt, wird in Produktionsumgebungen jedoch nicht vollständig unterstützt.
|
Mit Perimeter schützen? |
Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
|
Adresse (wie beim aktuellen Anbieter hinterlegt) |
osconfig.googleapis.com
|
Details
|
Sie können die OS Config API aus VPC Service Controls-Perimetern aufrufen. Wenn Sie VM Manager innerhalb von VPC Service Controls-Perimetern verwenden möchten, richten Sie VM Manager ein.
Weitere Informationen zu VM Manager finden Sie in der Produktdokumentation.
|
Einschränkungen
|
Für das Einbinden von VM Manager in VPC Service Controls gelten keine bekannten Einschränkungen.
|
|