Unterstützte Produkte und Einschränkungen

Diese Seite enthält eine Tabelle mit Produkten und Diensten, die von VPC Service Controls unterstützt werden, sowie eine Liste bekannter Einschränkungen bei bestimmten Diensten und Schnittstellen.

Alle unterstützten Dienste auflisten

Führen Sie den folgenden Befehl aus, um die vollständige Liste aller von VPC Service Controls unterstützten Produkte und Dienste abzurufen:

gcloud beta access-context-manager supported-services list

Sie erhalten eine Antwort mit einer Liste von Produkten und Diensten.

NAME                 TITLE             SUPPORT_STAGE       AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS      RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

Diese Antwort enthält die folgenden Werte:

Wert Beschreibung
SERVICE_ADDRESS Der Name der Dienstleistung. Beispiel: aiplatform.googleapis.com.
SERVICE_NAME Name des Produkts oder der Dienstleistung. Beispiel: Vertex AI API.
SERVICE_STATUS Der Status der Dienstintegration in VPC Service Controls. Folgende Werte sind möglich:
  • GA: Die Dienstintegration wird von VPC Service Controls-Perimetern vollständig unterstützt.
  • BETA: Die Dienstintegration ist für umfassendere Tests und eine umfassende Verwendung bereit, wird jedoch von VPC Service Controls-Perimetern für Produktionsumgebungen nicht vollständig unterstützt.
RESTRICTED_VIP_STATUS Gibt an, ob die Dienstintegration in VPC Service Controls von der eingeschränkten VIP unterstützt wird. Folgende Werte sind möglich:
  • TRUE: Die Dienstintegration wird von der eingeschränkten VIP vollständig unterstützt und kann durch VPC Service Controls-Perimeter geschützt werden.
  • FALSE: Die Dienstintegration wird von der eingeschränkten VIP nicht unterstützt.
Eine vollständige Liste der Dienste, die auf der eingeschränkten VIP verfügbar sind, finden Sie unter Von der eingeschränkten VIP unterstützte Dienste.
LIMITATIONS_STATUS Gibt an, ob für die Diensteinbindung in VPC Service Controls Einschränkungen gelten. Folgende Werte sind möglich:
  • TRUE: Für das Einbinden des Dienstes in VPC Service Controls gelten bekannte Einschränkungen. Weitere Informationen zu den Einschränkungen finden Sie in der Tabelle Unterstützte Produkte im entsprechenden Eintrag für den Dienst.
  • FALSE: Für das Einbinden des Dienstes in VPC Service Controls gelten keine bekannten Einschränkungen.

Unterstützte Methoden für einen Dienst auflisten

Führen Sie den folgenden Befehl aus, um die Liste der Methoden und Berechtigungen abzurufen, die von VPC Service Controls für einen Dienst unterstützt werden:

gcloud beta access-context-manager supported-services describe SERVICE_ADDRESS

Ersetzen Sie SERVICE_ADDRESS durch den Dienstnamen des Produkts oder Dienstes. Beispiel: aiplatform.googleapis.com.

Sie erhalten eine Antwort mit einer Liste von Methoden und Berechtigungen.

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
supportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

In dieser Antwort listet METHODS_LIST alle Methoden und Berechtigungen auf, die von VPC Service Controls für den angegebenen Dienst unterstützt werden. Eine vollständige Liste aller unterstützten Dienstmethoden und -berechtigungen finden Sie unter Einschränkungen für unterstützte Dienstmethoden.

Produkte, für die Supportleistungen genutzt werden können

In dieser Tabelle sind alle Produkte aufgeführt, die von VPC Service Controls unterstützt und in der Regel innerhalb eines Dienstperimeters ausgeführt werden. Nicht alle unterstützten Produkte haben jedoch Dienste, die durch einen Perimeter geschützt werden können.

VPC Service Controls unterstützt die folgenden Produkte:

Unterstützte Produkte Beschreibung

Infrastructure Manager

Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
Dienstname config.googleapis.com
Details

Weitere Informationen zu Infrastructure Manager finden Sie in der Produktdokumentation.

Beschränkungen

So verwenden Sie Infrastructure Manager in einem Perimeter:

  • Für den von Infrastructure Manager verwendeten Worker-Pool müssen Sie einen privaten Cloud Build-Pool verwenden. Für diesen privaten Pool müssen öffentliche Internetanrufe aktiviert sein, damit die Terraform-Anbieter und die Terraform-Konfiguration heruntergeladen werden können. Sie können den Cloud Build-Standard-Worker-Pool nicht verwenden.
  • Folgendes muss sich im selben Perimeter befinden:
    • Das von Infrastructure Manager verwendete Dienstkonto.
    • Der von Infrastructure Manager verwendete Cloud Build-Worker-Pool.
    • Der von Infrastructure Manager verwendete Storage-Bucket. Sie können den Standard-Storage-Bucket verwenden.
  • Google Cloud NetApp Volumes

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname netapp.googleapis.com
    Details

    Die API für Google Cloud NetApp Volumes kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Google Cloud NetApp Volumes finden Sie in der Produktdokumentation.

    Beschränkungen

    VPC Service Controls deckt keine Pfade auf Datenebene wie Netzwerkdateisysteme (Network File System, NFS) und SMB-Lese- und -Schreibvorgänge (Server Message Block) ab. Wenn Ihre Host- und Dienstprojekte in verschiedenen Perimetern konfiguriert sind, kann es außerdem zu einer Störung bei der Implementierung von Google Cloud-Diensten kommen.

    Google Cloud Search

    Status GA
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudsearch.googleapis.com
    Details

    Google Cloud Search unterstützt Virtual Private Cloud Security Controls (VPC Service Controls), um die Sicherheit Ihrer Daten zu verbessern. Mit VPC Service Controls können Sie einen Sicherheitsbereich für Google Cloud Platform-Ressourcen definieren, um Daten einzuschränken und das Risiko der Daten-Exfiltration zu minimieren.

    Weitere Informationen zu Google Cloud Search finden Sie in der Produktdokumentation.

    Beschränkungen

    Da Cloud Search-Ressourcen nicht in einem Google Cloud-Projekt gespeichert werden, müssen Sie die Cloud Search-Kundeneinstellungen mit dem VPC-Perimeter-geschützten Projekt aktualisieren. Das VPC-Projekt fungiert als virtueller Projektcontainer für alle Ihre Cloud Search-Ressourcen. Ohne diese Zuordnung funktioniert VPC Service Controls nicht für die Cloud Search API.

    Vollständige Schritte zum Aktivieren von VPC Service Controls für Google Cloud Search finden Sie unter Sicherheit für Google Cloud Search verbessern.

    Konnektivitätstests

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname networkmanagement.googleapis.com
    Details

    Die API für Konnektivitätstests kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Konnektivitätstests finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Integration von Konnektivitätstests in VPC Service Controls gelten keine bekannten Einschränkungen.

    AI Platform Prediction

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname ml.googleapis.com
    Details

    VPC Service Controls unterstützt Onlinevorhersagen, jedoch keine Batchvorhersagen.

    Weitere Informationen zu AI Platform Prediction finden Sie in der Produktdokumentation.

    Beschränkungen
    • Zum vollständigen Schutz von AI Platform Prediction fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

      • AI Platform Training und Prediction API (ml.googleapis.com)
      • Pub/Sub API (pubsub.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Google Kubernetes Engine API (container.googleapis.com)
      • Container Registry API (containerregistry.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)

      Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.

    • Batchvorhersagen werden nicht unterstützt, wenn Sie AI Platform Prediction innerhalb eines Dienstperimeters verwenden.

    • AI Platform Prediction und AI Platform Training verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.

    AI Platform Training

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname ml.googleapis.com
    Details

    Die API für AI Platform Training kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu AI Platform Training finden Sie in der Produktdokumentation.

    Beschränkungen
    • Zum vollständigen Schutz Ihrer Trainingsjobs von AI Platform Training fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

      • AI Platform Training und Prediction API (ml.googleapis.com)
      • Pub/Sub API (pubsub.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Google Kubernetes Engine API (container.googleapis.com)
      • Container Registry API (containerregistry.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)

      Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Training einrichten.

    • Das Training mit TPUs wird nicht unterstützt, wenn Sie AI Platform Training innerhalb eines Dienstperimeters verwenden.

    • AI Platform Training und AI Platform Prediction verwenden beide die AI Platform Training and Prediction API. Daher müssen Sie VPC Service Controls für beide Produkte konfigurieren. Weitere Informationen finden Sie unter VPC Service Controls für AI Platform Prediction einrichten.

    AlloyDB for PostgreSQL

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname alloydb.googleapis.com
    Details

    VPC Service Controls-Perimeter schützen die AlloyDB API.

    Weitere Informationen zu AlloyDB für PostgreSQL finden Sie in der Produktdokumentation.

    Beschränkungen

    • Bevor Sie VPC Service Controls für AlloyDB für PostgreSQL konfigurieren, aktivieren Sie die Service Networking API.
    • Wenn Sie AlloyDB für PostgreSQL mit freigegebener VPC und VPC Service Controls verwenden, müssen sich Hostprojekt und Dienstprojekt im selben VPC Service Controls-Dienstperimeter befinden.

    Vertex AI Workbench

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname notebooks.googleapis.com
    Details

    Die API für Vertex AI Workbench kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Vertex AI Workbench finden Sie in der Produktdokumentation.

    Beschränkungen

    Informationen zu Einschränkungen finden Sie in der Vertex AI Workbench-Dokumentation zu Dienstperimetern für nutzerverwaltete Notebooks und Dienstperimeter für verwaltete Notebooks.

    Vertex AI

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname aiplatform.googleapis.com
    Details

    Die API für Vertex AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Siehe Colab Enterprise.

    Weitere Informationen zu Vertex AI finden Sie in der Produktdokumentation.

    Beschränkungen

    Weitere Informationen zu Einschränkungen finden Sie in der Vertex AI-Dokumentation unter Einschränkungen.

    Vertex AI Vision

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname visionai.googleapis.com
    Details

    Die API für Vertex AI Vision kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Vertex AI Vision finden Sie in der Produktdokumentation.

    Beschränkungen
    Wenn constraints/visionai.disablePublicEndpoint aktiviert ist, wird der öffentliche Endpunkt des Clusters deaktiviert. Nutzer müssen manuell eine Verbindung zum PSC-Ziel herstellen und über das private Netzwerk auf den Dienst zugreifen. Sie können das PSC-Ziel aus der Ressource cluster abrufen.

    Colab Enterprise

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname aiplatform.googleapis.com
    Details

    Die API für Colab Enterprise kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Colab Enterprise ist Teil von Vertex AI. Siehe Vertex AI.

    Colab Enterprise verwendet Dataform zum Speichern von Notebooks. Siehe Dataform.

    Weitere Informationen zu Colab Enterprise finden Sie in der Produktdokumentation.

    Beschränkungen

    Informationen zu Einschränkungen finden Sie unter Bekannte Einschränkungen in der Colab Enterprise-Dokumentation.

    Apigee und Apigee Hybrid

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname apigee.googleapis.com,
    apigeeconnect.googleapis.com
    Details

    Die API für Apigee und Apigee Hybrid kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Apigee und Apigee Hybrid finden Sie in der Produktdokumentation.

    Beschränkungen

    Die Einbindung von Apigee in VPC Service Controls unterliegt folgenden Einschränkungen:

    • Integrierte Portale erfordern zusätzliche Schritte für die Konfiguration.
    • Sie müssen Drupal-Portale innerhalb des Dienstperimeters bereitstellen.

    Analytics Hub

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname analyticshub.googleapis.com
    Details VPC Service Controls schützt Datenaustausche und Einträge. Verwenden Sie für den Schutz von freigegeben und verknüpften Datasets über einen Dienstperimeter die BigQuery API. Weitere Informationen finden Sie unter VPC Service Controls-Regeln für Analytics Hub.

    Weitere Informationen zu Analytics Hub finden Sie in der Produktdokumentation.

    Beschränkungen
    Analytics Hub unterstützt keine methodenbasierten Regeln und Sie müssen alle Methoden zulassen. Weitere Informationen finden Sie unter Einschränkungen für VPC Service Controls-Regeln in Analytics Hub.

    Anthos Service Mesh

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname meshca.googleapis.com,
    meshconfig.googleapis.com
    Details

    Die API für Anthos Service Mesh kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Sie können mesh.googleapis.com verwenden, um die erforderlichen APIs für Anthos Service Mesh zu aktivieren. Sie müssen mesh.googleapis.com in Ihrem Perimeter nicht einschränken, da keine APIs verfügbar gemacht werden.

    Weitere Informationen zu Anthos Service Mesh finden Sie in der Produktdokumentation.

    Beschränkungen

    Dienstperimeter werden derzeit nicht von der verwalteten Steuerungsebene von Anthos Service Mesh unterstützt.

    Artifact Registry

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname artifactregistry.googleapis.com
    Details

    Neben dem Schutz der Artifact Registry API kann Artifact Registry auch innerhalb von Dienstperimetern mit der GKE und der Compute Engine verwendet werden.

    Weitere Informationen zu Artifact Registry finden Sie in der Produktdokumentation.

    Beschränkungen
    • Da Artifact Registry die Domain pkg.dev verwendet, müssen Sie das DNS konfigurieren, damit *.pkg.dev entweder private.googleapis.com oder restricted.googleapis.com zugeordnet wird. Weitere Informationen finden Sie unter Repositories in einem Dienstperimeter sichern.
    • Zusätzlich zu den Artefakten innerhalb eines Perimeters, die für Artifact Registry zur Verfügung stehen, stehen die folgenden schreibgeschützten Repositories in Container Registry-Repositories unabhängig von den Dienstperimetern für alle Projekte zur Verfügung:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

    Assured Workloads

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname assuredworkloads.googleapis.com
    Details

    Die Assured Workloads API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Assured Workloads finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Assured Workloads in VPC Service Controls gelten keine bekannten Einschränkungen.

    AutoML Natural Language

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname automl.googleapis.com,
    eu-automl.googleapis.com
    Details

    Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    Weitere Informationen zu AutoML Natural Language finden Sie in der Produktdokumentation.

    Beschränkungen
    • Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
    • Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.

    Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

    AutoML Tables

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname automl.googleapis.com,
    eu-automl.googleapis.com
    Details

    Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    Weitere Informationen zu AutoML Tables finden Sie in der Produktdokumentation.

    Beschränkungen
    • Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
    • Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.

    Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

    AutoML Translation

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname automl.googleapis.com,
    eu-automl.googleapis.com
    Details

    Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    Weitere Informationen zu AutoML Translation finden Sie in der Produktdokumentation.

    Beschränkungen
    • Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
    • Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.

    Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

    AutoML Video Intelligence

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname automl.googleapis.com,
    eu-automl.googleapis.com
    Details

    Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    Weitere Informationen zu AutoML Video Intelligence finden Sie in der Produktdokumentation.

    Beschränkungen
    • Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
    • Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.

    Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

    AutoML Vision

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname automl.googleapis.com,
    eu-automl.googleapis.com
    Details

    Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    Weitere Informationen zu AutoML Vision finden Sie in der Produktdokumentation.

    Beschränkungen
    • Alle in VPC Service Controls eingebundenen AutoML-Produkte verwenden dieselbe Dienstadresse.
    • Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.

    Weitere Informationen finden Sie im Abschnitt zu den Einschränkungen für das Verwenden von AutoML-Produkten mit VPC Service Controls.

    Bare-Metal-Lösung

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Nein. Die API für Bare-Metal-Lösung kann nicht durch Dienstperimeter geschützt werden. Die Bare-Metal-Lösung kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
    Details

    Die API der Bare-Metal-Lösung kann einem sicheren Perimeter hinzugefügt werden. Die VPC Service Controls-Perimeter gelten jedoch nicht für die Bare-Metal-Lösungsumgebung in den regionalen Erweiterungen.

    Weitere Informationen zur Bare-Metal-Lösung finden Sie in der Produktdokumentation.

    Beschränkungen

    Die Bare-Metal-Lösung unterstützt VPC Service Controls nicht. Durch das Verbinden einer VPC mit aktivierten Service Controls mit Ihrer Bare-Metal-Lösungsumgebung werden Dienstkontrollgarantien nicht aufrechterhalten.

    Weitere Informationen zu den Einschränkungen der Bare-Metal-Lösung in Bezug auf VPC Service Controls finden Sie unter Bekannte Probleme und Einschränkungen.

    Batch

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname batch.googleapis.com
    Details

    Die API für Batch kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Batch finden Sie in der Produktdokumentation.

    Beschränkungen
    Für den vollständigen Schutz von Batch müssen Sie die folgenden APIs in Ihren Perimeter aufnehmen:
    • Batch API (batch.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Artifact Registry API (artifactregistry.googleapis.com)
    • Filestore API (file.googleapis.com)

    BigLake Metastore

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname biglake.googleapis.com
    Details

    Die API für BigLake Metastore kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu BigLake Metastore finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von BigLake Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.

    BigQuery

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname bigquery.googleapis.com
    Details

    Wenn Sie die BigQuery API mit einem Dienstperimeter schützen, sind auch die BigQuery Storage API, die BigQuery Reservation API und die BigQuery Connection API geschützt. Sie müssen diese APIs nicht separat zur Liste der geschützten Dienste des Perimeters hinzufügen.

    Weitere Informationen zu BigQuery finden Sie in der Produktdokumentation.

    Beschränkungen
    • BigQuery-Audit-Logeinträge enthalten nicht immer alle Ressourcen, die zum Erstellen einer Anfrage verwendet wurden, da der Dienst den Zugriff auf mehrere Ressourcen intern verarbeitet.

    • Beim Zugriff auf eine BigQuery-Instanz, die durch einen Dienstperimeter geschützt ist, muss der BigQuery-Job in einem Projekt innerhalb des Perimeters ausgeführt werden oder in einem Projekt, das durch eine Regel für ausgehenden Traffic des Perimeters erlaubt ist. Standardmäßig führen die BigQuery-Clientbibliotheken Jobs innerhalb des Dienstkontos oder des Projekts des Nutzers aus, wodurch die Abfrage von VPC Service Controls abgelehnt wird.

    • BigQuery blockiert das Speichern von Abfrageergebnissen in Google Drive aus dem geschützten Perimeter von VPC Service Controls.

    • Wenn Sie Zugriff mithilfe einer Regel für eingehenden Traffic mit Nutzerkonten als Identitätstyp gewähren, können Sie die BigQuery-Ressourcenauslastung oder den Explorer für administrative Jobs auf der Seite Monitoring nicht aufrufen. Konfigurieren Sie eine Regel für eingehenden Traffic, die ANY_IDENTITY als Identitätstyp verwendet, um diese Features zu verwenden.

    • VPC Service Controls wird nur für Analysen über BigQuery Enterprise, Enterprise Plus oder On-Demand unterstützt.

    • Die BigQuery Reservation API wird teilweise unterstützt. Die BigQuery Reservation API, mit der die Zuweisungsressource erstellt wird, erzwingt keine Dienstperimetereinschränkungen für die Zuweisungsbeauftragten.

    BigQuery DataPolicy API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname bigquerydatapolicy.googleapis.com
    Details

    Die BigQuery Data Policy API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur BigQuery Data Policy API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung der BigQuery Data Policy API in VPC Service Controls gibt es keine bekannten Einschränkungen.

    BigQuery Data Transfer Service

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname bigquerydatatransfer.googleapis.com
    Details

    Der Dienstperimeter schützt nur die BigQuery Data Transfer Service API. Der tatsächliche Datenschutz wird von BigQuery erzwungen. Es ist Absicht, dass Sie Daten aus verschiedenen externen Quellen außerhalb von Google Cloud, z. B. Amazon S3, Redshift, Teradata, YouTube, Google Play und Google Ads, in BigQuery-Datasets importieren können. Informationen zu den Anforderungen an VPC Service Controls zum Migrieren von Daten aus Teradata finden Sie unter Anforderungen an VPC Service Controls.

    Weitere Informationen zum BigQuery Data Transfer Service finden Sie in der Produktdokumentation.

    Beschränkungen
    • Der BigQuery Data Transfer Service unterstützt nicht den Export von Daten aus einem BigQuery-Dataset. Weitere Informationen hierzu finden Sie unter Tabellendaten exportieren.
    • Zum Übertragen von Daten zwischen Projekten muss sich das Zielprojekt entweder im selben Perimeter wie das Quellprojekt befinden oder eine Regel für ausgehenden Traffic muss die Übertragung von Daten aus dem Perimeter zulassen. Informationen zum Festlegen der Regeln für ausgehenden Traffic finden Sie unter Einschränkungen beim Verwalten von BigQuery-Datasets.
    • Der BigQuery Data Transfer Service unterstützt Drittanbieter-Datenquellen nicht zum Transfer von durch Dienstperimeter geschützten Daten.

    BigQuery Migration API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname bigquerymigration.googleapis.com
    Details

    Die BigQuery Migration API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur BigQuery Migration API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung der BigQuery Migration API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Bigtable

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname bigtable.googleapis.com,
    bigtableadmin.googleapis.com
    Details

    Die Dienste bigtable.googleapis.com und bigtableadmin.googleapis.com werden gebündelt. Wenn Sie den Dienst bigtable.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter standardmäßig den Dienst bigtableadmin.googleapis.com. Sie können den Dienst bigtableadmin.googleapis.com nicht zur Liste der eingeschränkten Dienste in einem Perimeter hinzufügen, da er mit bigtable.googleapis.com gebündelt ist.

    Weitere Informationen zu Bigtable finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Bigtable in VPC Service Controls gelten keine bekannten Einschränkungen.

    Binärautorisierung

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname binaryauthorization.googleapis.com
    Details

    Wenn Sie mehrere Projekte mit Binärautorisierung verwenden, muss jedes Projekt im VPC Service Controls-Perimeter enthalten sein. Weitere Informationen zu diesem Anwendungsfall finden Sie unter Mehrere Projekte einrichten.

    Mit der Binärautorisierung können Sie die Artefaktanalyse verwenden, um Attestierer und Attestierungen jeweils als Hinweise bzw. Vorkommen zu speichern. In diesem Fall müssen Sie auch die Artefaktanalyse in den VPC Service Controls-Perimeter einschließen. Weitere Informationen finden Sie im VPC Service Controls-Leitfaden für die Artefaktanalyse.

    Weitere Informationen zur Binärautorisierung finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Binärautorisierung in VPC Service Controls gelten keine bekannten Einschränkungen.

    Blockchain Node Engine

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname blockchainnodeengine.googleapis.com
    Details

    Die API für Blockchain Node Engine kann durch VPC Service Controls geschützt und innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Blockchain Node Engine finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Blockchain Node Engine mit VPC Service Controls gelten die folgenden Einschränkungen:

    • VPC Service Controls schützt nur die Blockchain Node Engine API. Wenn ein Knoten erstellt wird, müssen Sie trotzdem mit Private Service Connect angeben, dass er für ein vom Nutzer konfiguriertes privates Netzwerk bestimmt ist.
    • Der Peer-to-Peer-Traffic wird nicht von VPC Service Controls oder Private Service Connect beeinflusst und verwendet weiterhin das öffentliche Internet.

    Certificate Authority Service

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname privateca.googleapis.com
    Details

    Die API für den Certificate Authority Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zum Certificate Authority Service finden Sie in der Produktdokumentation.

    Beschränkungen
    • Um den Zertifizierungsdienstdienst in einer geschützten Umgebung zu verwenden, müssen Sie Ihrem Dienstperimeter auch die Cloud KMS API (cloudkms.googleapis.com) und die Cloud Storage API (storage.googleapis.com) hinzufügen.

    Config Controller

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname krmapihosting.googleapis.com
    Details

    Damit Sie Config Controller mit VPC Service Controls verwenden können, müssen Sie die folgenden APIs in Ihrem Perimeter aktivieren:

    • Cloud Monitoring API (monitoring.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Google Cloud Observability API (logging.googleapis.com)
    • Security Token Service API (sts.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)

    Wenn Sie Ressourcen mit Config Controller bereitstellen, müssen Sie die API für diese Ressourcen in Ihrem Dienstperimeter aktivieren. Wenn Sie beispielsweise ein IAM-Dienstkonto hinzufügen möchten, müssen Sie die IAM API (iam.googleapis.com) hinzufügen.

    Weitere Informationen zu Config Controller finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Config Controller in VPC Service Controls gibt es keine bekannten Einschränkungen.

    Data Catalog

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname datacatalog.googleapis.com
    Details Data Catalog berücksichtigt automatisch Perimeter bei anderen Google Cloud-Diensten.

    Weitere Informationen zu Data Catalog finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Data Catalog in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Data Fusion

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname datafusion.googleapis.com
    Details

    Cloud Data Fusion erfordert besondere Schritte für den Schutz mit VPC Service Controls.

    Weitere Informationen zu Cloud Data Fusion finden Sie in der Produktdokumentation.

    Beschränkungen
    • Richten Sie den VPC Service Controls-Sicherheitsperimeter ein, bevor Sie Ihre private Cloud Data Fusion-Instanz erstellen. Der Perimeterschutz für Instanzen, die vor dem Einrichten von VPC Service Controls erstellt wurden, wird nicht unterstützt.

    • Derzeit unterstützt die Cloud Data Fusion-Datenebenen-UI nicht die identitätsbasierte Zugriffssteuerung mithilfe von Regeln für eingehenden Traffic oder Zugriffsebenen.

    Data Lineage API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname datalineage.googleapis.com
    Details

    Die Data Lineage API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Data Lineage API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Data Lineage API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Compute Engine

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname compute.googleapis.com
    Details

    Die Unterstützung von VPC Service Controls für Compute Engine bietet folgende Sicherheitsvorteile:

    • Zugriff auf vertrauliche API-Vorgänge wird eingeschränkt
    • Snapshots von nichtflüchtigen Speichern und benutzerdefinierten Images sind auf einen Perimeter beschränkt
    • Zugriff auf Instanzmetadaten wird eingeschränkt

    Durch die Unterstützung von VPC Service Controls für Compute Engine können Sie auch Virtual Private Cloud-Netzwerke und private Cluster von Google Kubernetes Engine innerhalb von Dienstperimetern verwenden.

    Weitere Informationen zu Compute Engine finden Sie in der Produktdokumentation.

    Beschränkungen
    • Hierarchische Firewalls sind von Dienstperimetern nicht betroffen.

    • Von VPC-Peering-Prozessen werden keine Einschränkungen für VPC-Dienstperimeter erzwungen.

    • Von der API-Methode projects.ListXpnHosts für freigegebene VPC werden keine Dienstperimetereinschränkungen für zurückgegebene Projekte erzwungen.

    • Wenn Sie die Erstellung eines Compute Engine-Images aus einer Cloud Storage-Instanz zulassen möchten, die sich in einem durch einen Dienstperimeter geschützten Projekt befindet, sollten Sie den Nutzer, der das Image erstellt, vorübergehend einer Regel für eingehenden Traffic für den Perimeter hinzufügen.

    • VPC Service Controls unterstützt nicht das Verwenden der Open Source-Version von Kubernetes auf Compute Engine-VMs innerhalb eines Dienstperimeters.

    • Die interaktive serielle Konsole unterstützt die eingeschränkte VIP nicht. Wenn Sie Probleme mit der Instanz mithilfe der seriellen Konsole beheben müssen, konfigurieren Sie die lokale DNS-Auflösung so, dass Ihre Befehle über das Internet an ssh-serialport.googleapis.com gesendet werden.

    Contact Center AI Insights

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname contactcenterinsights.googleapis.com
    Details

    Für die Verwendung von Contact Center AI Insights mit VPC Service Controls benötigen Sie je nach Integration die folgenden zusätzlichen APIs in Ihrem Perimeter.

    • Fügen Sie die Cloud Storage API zu Ihrem Dienstperimeter hinzu, um Daten in Contact Center AI Insights zu laden.

    • Um den Export zu verwenden, fügen Sie Ihrem Dienstperimeter die BigQuery API hinzu.

    • Wenn Sie mehrere CCAI-Produkte integrieren möchten, fügen Sie Ihrem Dienstperimeter die Vertex AI API hinzu.

    Weitere Informationen zu Contact Center AI Insights finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Contact Center AI Insights in VPC Service Controls gelten keine bekannten Einschränkungen.

    Dataflow

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dataflow.googleapis.com
    Details

    Dataflow unterstützt eine Reihe von Speicherdienst-Connectors. Die folgenden Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft:

    Weitere Informationen zu Dataflow finden Sie in der Produktdokumentation.

    Beschränkungen

    • Benutzerdefiniertes BIND wird bei Verwendung von Dataflow nicht unterstützt. Wenn Sie die DNS-Auflösung bei Verwendung von Dataflow mit VPC Service Controls anpassen möchten, nutzen Sie private Zonen von Cloud DNS anstelle benutzerdefinierter BIND-Server. Zur Verwendung einer eigenen lokalen DNS-Auflösung können Sie eine lokale DNS-Weiterleitungsmethode von Google Cloud verwenden.

    • Vertikales Autoscaling kann nicht durch einen VPC Service Controls-Perimeter geschützt werden. Wenn Sie vertikales Autoscaling in einem VPC Service Controls-Perimeter verwenden möchten, müssen Sie das Feature für zugängliche VPC-Dienste deaktivieren.

    • Wenn Sie Dataflow Prime aktivieren und einen neuen Job innerhalb eines VPC Service Controls-Perimeters starten, verwendet der Job Dataflow Prime ohne vertikales Autoscaling.

    • Nicht alle Speicherdienst-Connectors wurden auf ihre Funktionsfähigkeit bei Verwendung mit Dataflow innerhalb eines Dienstperimeters geprüft. Eine Liste der geprüften Connectors finden Sie im vorherigen Abschnitt unter „Details“.

    • Bei Einsatz von Python 3.5 mit Apache Beam SDK 2.20.0-2.22.0 schlagen Dataflow-Jobs beim Start fehl, wenn die Worker nur private IP-Adressen haben, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird. Wenn Dataflow-Worker nur private IP-Adressen haben können, z. B. wenn VPC Service Controls zum Schutz der Ressourcen verwendet wird, verwenden Sie Python 3.5 nicht mit Apache Beam SDK 2.20.0-2.22.0. Diese Kombination führt dazu, dass Jobs beim Start fehlschlagen.

    Dataplex

    Status GA
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dataplex.googleapis.com
    Details

    Die API für Dataplex kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Dataplex finden Sie in der Produktdokumentation.

    Beschränkungen

    Richten Sie den Sicherheitsperimeter von VPC Service Controls ein, bevor Sie Ihre Dataplex-Ressourcen erstellen. Andernfalls haben Ihre Ressourcen keinen Perimeterschutz. Dataplex unterstützt die folgenden Ressourcentypen:

    • Lake
    • Datenprofilscan
    • Datenqualitätsscan

    Dataproc

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dataproc.googleapis.com
    Details

    Dataproc erfordert besondere Schritte für den Schutz mit VPC Service Controls.

    Weitere Informationen zu Dataproc finden Sie in der Produktdokumentation.

    Beschränkungen

    Folgen Sie der Anleitung unter Dataproc- und VPC Service Controls-Netzwerke, um einen Dataproc-Cluster mit einem Dienstperimeter zu schützen.

    Dataproc Serverless für Spark

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dataproc.googleapis.com
    Details

    Dataproc Serverless erfordert besondere Schritte für den Schutz mit VPC Service Controls.

    Weitere Informationen zu Dataproc Serverless for Spark finden Sie in der Produktdokumentation.

    Beschränkungen

    Folgen Sie der Anleitung unter Dataproc Serverless- und VPC Service Controls-Netzwerke, um Ihre serverlose Arbeitslast mit einem Dienstperimeter zu schützen.

    Dataproc Metastore

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname metastore.googleapis.com
    Details

    Die API für Dataproc Metastore kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Dataproc Metastore finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Dataproc Metastore in VPC Service Controls gelten keine bekannten Einschränkungen.

    Datastream

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname datastream.googleapis.com
    Details

    Die Datastream API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Datastream finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Datastream in VPC Service Controls gelten keine bekannten Einschränkungen.

    Database Migration Service

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname datamigration.googleapis.com
    Details

    Die API für Database Migration Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Database Migration Service finden Sie in der Produktdokumentation.

    Beschränkungen
    • Dienstperimeter schützen nur die Database Migration Service Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf zugrunde liegende Datenbanken (z. B. Cloud SQL-Instanzen). Verwenden Sie eine Einschränkung der Organisationsrichtlinie, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.
    • Wenn Sie eine Cloud Storage-Datei in der ersten Dump-Phase der Migration verwenden, fügen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzu.
    • Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) in der Zieldatenbank verwenden, muss sich der CMEK im selben Dienstperimeter befinden wie das Verbindungsprofil, das den Schlüssel enthält.

    Dialogflow

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dialogflow.googleapis.com
    Details

    Die API für Dialogflow kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Dialogflow finden Sie in der Produktdokumentation.

    Beschränkungen

    Sensitive Data Protection

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dlp.googleapis.com
    Details

    Die API für den Schutz sensibler Daten kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zum Schutz sensibler Daten finden Sie in der Produktdokumentation.

    Beschränkungen
    • Da VPC Service Controls derzeit keine Ordner- und Organisationsressourcen unterstützt, können Aufrufe zum Schutz sensibler Daten beim Versuch, auf Ressourcen auf Organisationsebene zuzugreifen, eine 403-Antwort zurückgeben. Zur Verwaltung von Berechtigungen für den Schutz sensibler Daten auf Ordner- und Organisationsebene empfehlen wir IAM.

    Cloud DNS

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dns.googleapis.com
    Details

    Die API für Cloud DNS kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud DNS finden Sie in der Produktdokumentation.

    Beschränkungen

    • Sie können über die eingeschränkte VIP auf Cloud DNS zugreifen. Sie können jedoch keine öffentlichen DNS-Zonen in Projekten innerhalb des VPC Service Controls-Perimeters erstellen oder aktualisieren.

    Document AI

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname documentai.googleapis.com
    Details

    Die Document AI API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Document AI finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Document AI in VPC Service Controls gibt es keine bekannten Einschränkungen.

    Document AI Warehouse

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname contentwarehouse.googleapis.com
    Details

    Die API für Document AI Warehouse kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Document AI Warehouse finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Document AI Warehouse in VPC Service Controls gibt es keine bekannten Einschränkungen.

    Cloud Domains

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname domains.googleapis.com
    Details

    Die API für Cloud Domains kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Domains finden Sie in der Produktdokumentation.

    Beschränkungen

    • Die in Cloud Domains verwendeten Kontaktdaten werden möglicherweise für die Registry für Domainendung oder Top-Level-Domain (TLD) freigegeben und können gemäß Ihren Einstellungen und entsprechend den ICANN-Regeln für WHOIS/RDAP öffentlich zugänglich sein. Weitere Informationen finden Sie unter Datenschutz.

    • Die in Cloud Domains verwendeten DNS-Konfigurationsdaten – Nameserver und DNSSEC-Einstellungen – sind öffentlich. Wenn Ihre Domain an eine öffentliche DNS-Zone delegiert (Standardeinstellung), sind die DNS-Konfigurationsdaten dieser Zone ebenfalls öffentlich.

    Eventarc

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname eventarc.googleapis.com
    Details

    Eventarc übernimmt die Ereignisübermittlung mithilfe von Pub/Sub-Themen und Push-Abos. Damit Sie auf die Pub/Sub API zugreifen und Ereignistrigger verwalten können, muss die Eventarc API im selben VPC Service Controls-Dienstperimeter geschützt sein wie die Pub/Sub API.

    Weitere Informationen zu Eventarc finden Sie in der Produktdokumentation.

    Beschränkungen

    In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:

    • Für Eventarc gelten dieselben Einschränkungen wie für Pub/Sub:
      • Beim Routing von Ereignissen an Cloud Run-Ziele können nur neue Pub/Sub-Push-Abos erstellt werden, sofern die Push-Endpunkte auf Cloud Run-Dienste mit run.app-Standard-URLs festgelegt sind (benutzerdefinierte Domains funktionieren nicht).
      • Wenn Sie Ereignisse an Workflows-Ziele weiterleiten, für die der Pub/Sub-Push-Endpunkt auf eine Workflow-Ausführung festgelegt ist, können Sie neue Pub/Sub-Push-Abos nur über Eventarc erstellen.
      In diesem Dokument finden Sie Informationen zu den Pub/Sub-Einschränkungen.
    • VPC Service Controls blockiert das Erstellen von Eventarc-Triggern für interne HTTP-Endpunkte. Der VPC Service Controls-Schutz gilt nicht, wenn Ereignisse an solche Ziele weitergeleitet werden.

    Anti Money Laundering AI

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname financialservices.googleapis.com
    Details

    Die API für Anti Money Laundering AI kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Anti Money Laundering AI finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Anti Money Laundering AI in VPC Service Controls gelten keine bekannten Einschränkungen.

    Firebase App Check

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname firebaseappcheck.googleapis.com
    Details

    Wenn Sie Firebase App Check-Tokens konfigurieren und austauschen, schützt VPC Service Controls nur den Firebase App Check-Dienst. Zum Schutz von Diensten, die auf Firebase App Check basieren, müssen Sie Dienstperimeter für diese Dienste einrichten.

    Weitere Informationen zu Firebase App Check finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Firebase App Check in VPC Service Controls gelten keine bekannten Einschränkungen.

    Firebase-Sicherheitsregeln

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname firebaserules.googleapis.com
    Details

    Wenn Sie Richtlinien für Firebase-Sicherheitsregeln verwalten, schützt VPC Service Controls nur den Dienst für Firebase-Sicherheitsregeln. Zum Schutz von Diensten, die auf Firebase-Sicherheitsregeln beruhen, müssen Sie Dienstperimeter für diese Dienste einrichten.

    Weitere Informationen zu Firebase-Sicherheitsregeln finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Firebase-Sicherheitsregeln in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Functions

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudfunctions.googleapis.com
    Details

    Informationen zur Einrichtung finden Sie in der Cloud Functions-Dokumentation. Der Schutz von VPC Service Controls gilt nicht für die Build-Phase, wenn Cloud Functions-Funktionen mit Cloud Build erstellt werden. Weitere Informationen finden Sie unter den bekannten Einschränkungen.

    Weitere Informationen zu Cloud Functions finden Sie in der Produktdokumentation.

    Beschränkungen
    • Cloud Functions verwendet Cloud Build, Container Registry und Cloud Storage, um Ihren Quellcode in einem ausführbaren Container zu erstellen und zu verwalten. Wenn einer dieser Dienste durch den Dienstperimeter eingeschränkt ist, blockiert VPC Service Controls den Cloud Functions-Build, selbst wenn Cloud Functions nicht als eingeschränkter Dienst zum Perimeter hinzugefügt wird. Um Cloud Functions innerhalb eines Dienstperimeters zu verwenden, müssen Sie eine Regel für eingehenden Traffic für das Cloud Build-Dienstkonto in Ihrem Dienstperimeter konfigurieren.

    • Damit Ihre Funktionen externe Abhängigkeiten wie npm-Pakete nutzen können, verfügt Cloud Build über unbegrenzten Internetzugriff. Dieser Internetzugriff kann zum Exfiltrieren von Daten genutzt werden, die zum Build-Zeitpunkt verfügbar sind, z. B. dem hochgeladenen Quellcode. Wenn Sie diesen Exfiltrationsvektor abschwächen möchten, empfehlen wir Ihnen, nur vertrauenswürdigen Entwicklern die Bereitstellung von Funktionen zu gestatten. Vergeben Sie die IAM-Rollen Cloud Functions-Inhaber, -Bearbeiter oder -Entwickler nur an vertrauenswürdige Entwickler.

    • Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter angeben, können Sie ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht als Identitätstyp verwenden, um Cloud Functions von einem lokalen Computer bereitzustellen.

      Verwenden Sie ANY_IDENTITY als Identitätstyp, um das Problem zu umgehen.

    • Wenn Cloud Functions-Dienste durch HTTP-Trigger aufgerufen werden, verwendet die Erzwingung der VPC Service Controls-Richtlinie nicht die IAM-Authentifizierungsinformationen des Clients. Regeln für VPC Service Controls-Richtlinien für eingehenden Traffic, die IAM-Hauptkonten verwenden, werden nicht unterstützt. Zugriffsebenen für VPC Service Controls-Perimeter, die IAM-Hauptkonten verwenden, werden nicht unterstützt.

    Identity and Access Management

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname iam.googleapis.com
    Details

    Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören die Verwaltung von benutzerdefinierten IAM-Rollen, die Verwaltung von Arbeitslast-Identitätspools und die Verwaltung von Dienstkonten und Schlüsseln. Der Perimeter schränkt Aktionen für Personalpools nicht ein, da Personalpools Ressourcen auf Organisationsebene sind.

    Der Perimeter um IAM schränkt die Zugriffsverwaltung (d. h. das Abrufen oder Festlegen von IAM-Richtlinien) für Ressourcen, die anderen Diensten gehören, wie Resource Manager-Projekte, -Ordner und -Organisationen oder Compute Engine-VM-Instanzen, nicht ein. Wenn Sie die Zugriffsverwaltung für diese Ressourcen einschränken möchten, erstellen Sie einen Perimeter, der den Dienst einschränkt, dem die Ressourcen gehören. Eine Liste der Ressourcen, die IAM-Richtlinien akzeptieren, und der Dienste, die ihnen gehören, finden Sie unter Ressourcentypen, die IAM-Richtlinien akzeptieren.

    Darüber hinaus beschränkt der Perimeter um IAM keine Aktionen, die andere APIs verwenden. Dazu gehören:

    • IAM Policy Simulator API
    • IAM Policy Troubleshooter API
    • Security Token Service API
    • Service Account Credentials API (einschließlich der Legacy-Methoden signBlob und signJwt in der IAM API)

    Weitere Informationen zur Identitäts- und Zugriffsverwaltung finden Sie in der Produktdokumentation.

    Beschränkungen

    Wenn Sie sich im Perimeter befinden, können Sie die Methode roles.list mit einem leeren String aufrufen, um vordefinierte IAM-Rollen aufzulisten. Informationen zum Aufrufen vordefinierter Rollen finden Sie in der Dokumentation zu IAM-Rollen.

    IAP Admin API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname iap.googleapis.com
    Details

    Mit der IAP Admin API können Nutzer IAP konfigurieren.

    Weitere Informationen zur IAP Admin API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der IAP Admin API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud KMS Inventory API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname kmsinventory.googleapis.com
    Details

    Die Cloud KMS Inventory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Cloud KMS Inventory API finden Sie in der Produktdokumentation.

    Beschränkungen

    Von der SearchProtectedResources API-Methode werden keine Dienstperimeter-Einschränkungen für zurückgegebene Projekte erzwungen.

    Dienstkonto-Anmeldedaten

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname iamcredentials.googleapis.com
    Details

    Die API für Dienstkonto-Anmeldedaten kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Dienstkonto-Anmeldedaten finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Integration von Dienstkonto-Anmeldedaten in VPC Service Controls gelten keine bekannten Einschränkungen.

    Dienst-Metadata API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloud.googleapis.com
    Details

    Die Service Metadata API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Service Metadata API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung der Service Metadata API in VPC Service Controls gibt es keine bekannten Einschränkungen.

    Serverless VPC Access

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname vpcaccess.googleapis.com
    Details

    Die API für serverlosen VPC-Zugriff kann durch VPC Service Controls geschützt werden und das Produkt kann in Dienstperimetern normal genutzt werden.

    Weitere Informationen zum serverlosen VPC-Zugriff finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von serverlosem VPC-Zugriff in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Key Management Service

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudkms.googleapis.com
    Details

    Die Cloud KMS API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern verwendet werden. Der Zugriff auf Cloud HSM-Dienste ist auch durch VPC Service Controls geschützt und kann innerhalb von Dienstperimetern verwendet werden.

    Weitere Informationen zum Cloud Key Management Service finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden des Cloud Key Management Service in VPC Service Controls gelten keine bekannten Einschränkungen.

    Game Servers

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname gameservices.googleapis.com
    Details

    Die API für Game Servers kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Game Servers finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Game Servers in VPC Service Controls gelten keine bekannten Einschränkungen.

    Gemini für Code

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudaicompanion.googleapis.com
    Details

    Die API für Gemini for Code kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Gemini für Code finden Sie in der Produktdokumentation.

    Beschränkungen

    Die Zugriffssteuerung auf Grundlage des Geräts, der öffentlichen IP-Adresse oder des Standorts wird für Gemini in der Google Cloud Console nicht unterstützt.

    Identity-Aware Proxy for TCP

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname iaptunnel.googleapis.com
    Details

    Die API für Identity-Aware Proxy for TCP kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zum Identity-Aware Proxy for TCP finden Sie in der Produktdokumentation.

    Beschränkungen
    • Nur die Nutzungs-API von IAP für TCP kann durch einen Perimeter geschützt werden. Die administrative API kann nicht durch einen Perimeter geschützt werden.

    • Um IAP for TCP innerhalb eines VPC Service Controls-Dienstperimeters zu verwenden, müssen Sie einige DNS-Einträge hinzufügen oder konfigurieren, um folgende Domains auf die eingeschränkte VIP zu verweisen:

      • tunnel.cloudproxy.app
      • *.tunnel.cloudproxy.app

    Cloud Life Sciences

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname lifesciences.googleapis.com
    Details

    Die Cloud Life Sciences API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Life Sciences finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Cloud Life Sciences in VPC Service Controls gelten keine bekannten Einschränkungen.

    Managed Service for Microsoft Active Directory

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname managedidentities.googleapis.com
    Details

    Zusätzliche Konfiguration erforderlich für:

    Weitere Informationen zu Managed Service for Microsoft Active Directory finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Managed Service for Microsoft Active Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

    reCAPTCHA Enterprise

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname recaptchaenterprise.googleapis.com
    Details

    Die API für reCAPTCHA Enterprise kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu reCAPTCHA Enterprise finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die reCAPTCHA Enterprise-Integration in VPC Service Controls gelten keine bekannten Einschränkungen.

    Web Risk

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname webrisk.googleapis.com
    Details

    Die Web Risk API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Web Risk finden Sie in der Produktdokumentation.

    Beschränkungen

    Die Evaluate API und die Submission API werden von VPC Service Controls nicht unterstützt.

    Recommender

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname recommender.googleapis.com
    Details

    Die API für Recommender kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Recommender finden Sie in der Produktdokumentation.

    Beschränkungen

    • VPC Service Controls unterstützt keine Organisations-, Ordner- oder Rechnungskontoressourcen.

    Secret Manager

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname secretmanager.googleapis.com
    Details

    Die API für Secret Manager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Secret Manager finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Secret Manager in VPC Service Controls gelten keine bekannten Einschränkungen.

    Pub/Sub

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname pubsub.googleapis.com
    Details

    Der Schutz von VPC Service Controls gilt für alle Administrator-, Publisher- und Abonnentenvorgänge (mit Ausnahme von vorhandenen Push-Abos).

    Weitere Informationen zu Pub/Sub finden Sie in der Produktdokumentation.

    Beschränkungen

    In Projekten, die durch einen Dienstperimeter geschützt sind, gelten die folgenden Einschränkungen:

    • Neue Push-Abos können nur erstellt werden, wenn die Push-Endpunkte auf Cloud Run-Dienste mit Standard-run.app-URLs oder einer Workflows-Ausführung festgelegt sind (benutzerdefinierte Domains funktionieren nicht). Weitere Informationen zur Einbindung in Cloud Run finden Sie unter VPC Service Controls verwenden.
    • Bei Nicht-Push-Abos müssen Sie ein Abo im selben Perimeter wie das Thema erstellen oder Regeln für ausgehenden Traffic aktivieren, um den Zugriff vom Thema auf das Abo zu erlauben.
    • Wenn Sie Ereignisse über Eventarc an Workflows-Ziele weiterleiten, für die der Push-Endpunkt auf eine Workflow-Ausführung festgelegt ist, können Sie nur neue Push-Abos über Eventarc erstellen.
    • Pub/Sub-Abos, die vor dem Dienstperimeter erstellt wurden, werden nicht blockiert.

    Pub/Sub Lite

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname pubsublite.googleapis.com
    Details

    Der Schutz von VPC Service Controls gilt für alle Abonnentenvorgänge.

    Weitere Informationen zu Pub/Sub Lite finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Pub/Sub Lite in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Build

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudbuild.googleapis.com
    Details

    Verwenden Sie VPC Service Controls mit privaten Cloud Build-Pools, um die Sicherheit Ihrer Builds zu erhöhen.

    Weitere Informationen zu Cloud Build finden Sie in der Produktdokumentation.

    Beschränkungen

    Der Schutz von VPC Service Controls ist nur für Builds verfügbar, die in privaten Pools ausgeführt werden.

    Cloud Deploy

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname clouddeploy.googleapis.com
    Details

    Die API für Cloud Deploy kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Deploy finden Sie in der Produktdokumentation.

    Beschränkungen

    Wenn Sie Cloud Deploy in einem Perimeter verwenden möchten, müssen Sie einen privaten Cloud Build-Pool für die Ausführungsumgebungen des Ziels verwenden. Verwenden Sie nicht den Standard-Worker-Pool (Cloud Build) und keinen Hybrid-Pool.

    Cloud Composer

    Status GA
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname composer.googleapis.com
    Details

    Composer für die Verwendung mit VPC Service Controls konfigurieren

    Weitere Informationen zu Cloud Composer finden Sie in der Produktdokumentation.

    Beschränkungen

    • Durch Aktivieren der DAG-Serialisierung wird verhindert, dass Airflow eine gerenderte Vorlage mit Funktionen in der Web-UI anzeigt.

    • Das Flag async_dagbag_loader kann nicht auf True gesetzt werden, wenn die DAG-Serialisierung aktiviert ist.

    • Durch Aktivieren der DAG-Serialisierung werden alle Airflow-Webserver-Plug-ins deaktiviert, da sie die Sicherheit des VPC-Netzwerks beeinträchtigen können, in dem Cloud Composer bereitgestellt wird. Dies wirkt sich nicht auf das Verhalten von Planer- oder Worker-Plug-ins, einschließlich Airflow-Operatoren und Sensoren, aus.

    • Wenn Cloud Composer innerhalb eines Perimeters ausgeführt wird, ist der Zugriff auf öffentliche PyPI-Repositories eingeschränkt. Informationen zum Installieren von PyPi-Modulen im privaten IP-Modus finden Sie in der Cloud Composer-Dokumentation unter Python-Abhängigkeiten installieren.

    Cloud-Kontingente

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudquotas.googleapis.com
    Details

    Die API für Cloud-Kontingente kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud-Kontingenten finden Sie in der Produktdokumentation.

    Beschränkungen

    Da VPC Service Controls Grenzen auf Projektebene erzwingt, können Anfragen von Cloud-Kontingenten von Clients innerhalb des Perimeters nur dann auf Organisationsressourcen zugreifen, wenn die Organisation eine Regel für ausgehenden Traffic einrichtet. Informationen zum Einrichten einer Regel für ausgehenden Traffic finden Sie in der Anleitung für VPC Service Controls unter Richtlinien für eingehenden und ausgehenden Traffic konfigurieren.

    Cloud Run

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname run.googleapis.com
    Details Für Cloud Run ist eine zusätzliche Einrichtung erforderlich. Folgen Sie der Anleitung auf der Dokumentationsseite VPC Service Controls für Cloud Run.

    Weitere Informationen zu Cloud Run finden Sie in der Produktdokumentation.

    Beschränkungen
    • Bei Artifact Registry und Container Registry muss sich die Registry, in der Sie den Container speichern, im selben VPC Service Controls-Perimeter wie das Projekt befinden, in dem Sie die Bereitstellung durchführen. Der erstellte Code muss sich im selben VPC Service Controls-Perimeter befinden wie die Registry, in die der Container übertragen wird.
    • Die Cloud Run-Funktion Kontinuierliche Bereitstellung ist für Projekte in einem VPC Service Controls-Perimeter nicht verfügbar.
    • Wenn Cloud Run-Dienste aufgerufen werden, werden bei der Durchsetzung der Richtlinien von VPC Service Controls nicht die IAM-Authentifizierungsinformationen des Clients verwendet. Solche Anfragen unterliegen den folgenden Einschränkungen:
      • Regeln für VPC Service Controls-Richtlinien für eingehenden Traffic, die IAM-Hauptkonten verwenden, werden nicht unterstützt.
      • Zugriffsebenen für VPC Service Controls-Perimeter, die IAM-Hauptkonten verwenden, werden nicht unterstützt.

    Cloud Scheduler

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudscheduler.googleapis.com
    Details VPC Service Controls wird für die folgenden Aktionen erzwungen:
    • Cloud Scheduler-Joberstellung
    • Aktualisierungen von Cloud Scheduler-Jobs

    Weitere Informationen zu Cloud Scheduler finden Sie in der Produktdokumentation.

    Beschränkungen
    VPC Service Controls unterstützt Cloud Scheduler-Jobs nur mit den folgenden Zielen:
    • functions.net-Endpunkte von Cloud Functions
    • run.app-Endpunkte von Cloud Run
    • Dataflow API (muss sich im selben Google Cloud-Projekt wie Ihr Cloud Scheduler-Job befinden)
    • Datenpipelines (müssen sich im selben Google Cloud-Projekt wie Ihr Cloud Scheduler-Job befinden)
    • Pub/Sub (muss sich im selben Google Cloud-Projekt wie Ihr Cloud Scheduler-Job befinden)

    Cloud Spanner

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname spanner.googleapis.com
    Details

    Die API für Spanner kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Spanner finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Spanner in VPC Service Controls gelten keine bekannten Einschränkungen.

    Speaker ID

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname speakerid.googleapis.com
    Details

    Die Speaker ID API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Speaker ID finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung der Speaker ID in VPC Service Controls gibt es keine bekannten Einschränkungen.

    Cloud Storage

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname storage.googleapis.com
    Details

    Die API für Cloud Storage kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Storage finden Sie in der Produktdokumentation.

    Beschränkungen
    • Wenn Sie das Feature „Anforderer bezahlt“ mit einem Storage-Bucket innerhalb eines Dienstperimeters verwenden, der den Cloud Storage-Dienst schützt, können Sie kein zu bezahlendes Projekt außerhalb des Perimeters identifizieren. Das Zielprojekt muss sich im selben Perimeter wie der Storage-Bucket oder in einer Perimeter-Bridge mit dem Projekt des Buckets befinden.

      Weitere Informationen zum Feature „Anforderer bezahlt“ finden Sie im Artikel „Anforderer bezahlt“ unter Anforderungen für Zugriff und Verwendung.

    • Bei Projekten in einem Dienstperimeter kann nicht auf die Cloud Storage-Seite in der Google Cloud Console zugegriffen werden, wenn die Cloud Storage API durch diesen Perimeter geschützt ist. Wenn Sie Zugriff auf die Seite gewähren möchten, müssen Sie eine Regel für eingehenden Traffic und/oder eine Zugriffsebene erstellen, die die Nutzerkonten und/oder den öffentlichen IP-Bereich enthält, für die Sie den Zugriff auf die Cloud Storage API zulassen möchten.

    • Das Feld resourceName in Audit-Logeinträgen bezieht sich nicht auf das Projekt, das einen Bucket besitzt. Das Projekt muss separat ermittelt werden.

    • In Audit-Logeinträgen ist der Wert für methodName nicht immer korrekt. Wir empfehlen, Cloud Storage-Audit-Logeinträge nicht nach methodName zu filtern.

    • In bestimmten Fällen können Legacy-Bucket-Logs von Cloud Storage in Ziele außerhalb eines Dienstperimeters geschrieben werden, selbst wenn der Zugriff verweigert wird.

    • Wenn Sie versuchen, gsutil zum ersten Mal in einem neuen Projekt zu verwenden, werden Sie möglicherweise aufgefordert, den storage-api.googleapis.com-Dienst zu aktivieren. Sie können zwar storage-api.googleapis.com nicht direkt schützen, aber wenn Sie die Cloud Storage API mit einem Dienstperimeter schützen, sind gsutil-Vorgänge ebenfalls geschützt.

    • In bestimmten Fällen sind öffentliche Cloud Storage-Objekte auch dann zugänglich, wenn Sie VPC Service Controls für die Objekte aktiviert haben. Die Objekte sind zugänglich, bis sie aus den integrierten Caches und anderen Upstream-Caches im Netzwerk zwischen dem Endnutzer und Cloud Storage ablaufen. Cloud Storage speichert öffentlich zugängliche Daten standardmäßig im Cloud Storage-Netzwerk. Weitere Informationen zum Zwischenspeichern von Cloud Storage-Objekten finden Sie unter Cloud Storage. Informationen zur Aufbewahrungsdauer von Objekten im Cache finden Sie unter Cache-Control-Metadaten:
    • Wenn Sie für einen Dienstperimeter eine Richtlinie für eingehenden oder ausgehenden Traffic festlegen, können Sie ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht als Identitätstyp für alle Cloud Storage-Vorgänge mit signierten URLs verwenden.

      Verwenden Sie ANY_IDENTITY als Identitätstyp, um das Problem zu umgehen.

    • Signierte URLs unterstützen VPC Service Controls.

      VPC Service Controls verwendet zur Auswertung von VPC Service Controls-Prüfungen die Anmeldedaten des Nutzers oder Dienstkontos, der bzw. das die signierte URL signiert hat, und nicht die Anmeldedaten des Aufrufers oder Nutzers, der die Verbindung initiiert.

    Cloud Tasks

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudtasks.googleapis.com
    Details

    Die API für Cloud Tasks kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    HTTP-Anfragen von Cloud Tasks-Ausführungen werden so unterstützt:

    • Authentifizierte Anfragen an VPC Service Controls-konforme Cloud Functions- und Cloud Run-Endpunkte sind zulässig.
    • Anfragen an Nicht-Cloud Functions- und Nicht-Cloud Run-Endpunkte werden blockiert.
    • Anfragen an nicht VPC Service Controls-konforme Cloud Functions- und Cloud Run-Endpunkte werden blockiert.

    Weitere Informationen zu Cloud Tasks finden Sie in der Produktdokumentation.

    Beschränkungen
    VPC Service Controls unterstützt nur Cloud Tasks-Anfragen an die folgenden Ziele:
    • functions.net-Endpunkte von Cloud Functions
    • run.app-Endpunkte von Cloud Run

    Cloud SQL

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname sqladmin.googleapis.com
    Details

    VPC Service Controls-Perimeter schützen die Cloud SQL Admin API.

    Weitere Informationen zu Cloud SQL finden Sie in der Produktdokumentation.

    Beschränkungen

    • Dienstperimeter schützen nur die Cloud SQL Admin API. Sie schützen nicht den IP-basierten Datenzugriff auf Cloud SQL-Instanzen. Sie müssen eine Einschränkung für die Organisationsrichtlinie verwenden, um den Zugriff auf Cloud SQL-Instanzen über öffentliche IP-Adressen einzuschränken.
    • Aktivieren Sie die Service Networking API, bevor Sie VPC Service Controls für Cloud SQL konfigurieren.
    • Cloud SQL-Importe und -Exporte können nur Lese- und Schreibvorgänge aus einem Cloud Storage-Bucket ausführen, der sich im selben Dienstperimeter wie die Cloud SQL-Replikatinstanz befindet.

    • Beim Migrationsprozess für den externen Server müssen Sie den Cloud Storage-Bucket dem gleichen Dienstperimeter hinzufügen.
    • Bei der Schlüsselerstellung für CMEK müssen Sie den Schlüssel im selben Dienstperimeter erstellen wie die Ressourcen, für die er verwendet wird.
    • Beim Wiederherstellen einer Instanz aus einer Sicherung muss sich die Zielinstanz im selben Dienstperimeter wie die Sicherung befinden.

    Video Intelligence API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname videointelligence.googleapis.com
    Details

    Die Video Intelligence API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Video Intelligence API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Video Intelligence API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Vision API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname vision.googleapis.com
    Details

    Die Cloud Vision API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Cloud Vision API finden Sie in der Produktdokumentation.

    Beschränkungen
    Auch wenn Sie eine Regel für ausgehenden Traffic erstellen, um Aufrufe von öffentlichen URLs aus VPC Service Controls-Perimetern zuzulassen, blockiert die Cloud Vision API Aufrufe von öffentlichen URLs.

    Artefaktanalyse

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname containeranalysis.googleapis.com
    Details

    Wenn Sie die Artefaktanalyse mit VPC Service Controls verwenden möchten, müssen Sie dem VPC-Perimeter möglicherweise weitere Dienste hinzufügen:

    Da es sich bei der Container Scanning API um eine API ohne Oberfläche handelt, die die Ergebnisse in Artefaktanalyse speichert, müssen Sie die API nicht mit einem Dienstperimeter schützen.

    Weitere Informationen zur Artefaktanalyse finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Artefaktanalyse in VPC Service Controls gelten keine bekannten Einschränkungen.

    Container Registry

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname containerregistry.googleapis.com
    Details

    Zusätzlich zum Schutz der Container Registry API kann Container Registry auch innerhalb eines Dienstperimeters mit GKE und Compute Engine verwendet werden.

    Weitere Informationen zu Container Registry finden Sie in der Produktdokumentation.

    Beschränkungen

    • Wenn Sie für einen Dienstperimeter eine Richtlinie für eingehenden oder ausgehenden Traffic festlegen, können Sie ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht als Identitätstyp für alle Container Registry-Vorgänge verwenden.

      Verwenden Sie ANY_IDENTITY als Identitätstyp, um das Problem zu umgehen.

    • Da Container Registry die Domain gcr.io verwendet, müssen Sie das DNS konfigurieren, damit *.gcr.io entweder private.googleapis.com oder restricted.googleapis.com zugeordnet wird. Weitere Informationen finden Sie unter Container Registry in einem Dienstperimeter sichern.

    • Zusätzlich zu den Containern innerhalb eines Perimeters, die für Container Registry zur Verfügung stehen, sind die folgenden schreibgeschützten Repositories für alle Projekte verfügbar, unabhängig von den durch Dienstperimeter erzwungenen Einschränkungen:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      In allen Fällen können auch die regionalen Versionen dieser Repositories verwendet werden.

    Google Kubernetes Engine

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname container.googleapis.com
    Details

    Die API für Google Kubernetes Engine kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Google Kubernetes Engine finden Sie in der Produktdokumentation.

    Beschränkungen

    • Nur private Cluster können durch VPC Service Controls geschützt werden. Cluster mit öffentlichen IP-Adressen werden von VPC Service Controls nicht unterstützt.
    • Autoscaling funktioniert unabhängig von GKE. Da autoscaling.googleapis.com von VPC Service Controls nicht unterstützt wird, funktioniert das Autoscaling nicht. Wenn Sie GKE verwenden, können Sie den SERVICE_NOT_ALLOWED_FROM_VPC-Verstoß in den Audit-Logs ignorieren, der durch den autoscaling.googleapis.com-Dienst verursacht wird.

    Container Security API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname containersecurity.googleapis.com
    Details

    Die API für Container Security API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Container Security API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Container Security API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Image-Streaming

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname containerfilesystem.googleapis.com
    Details

    Image-Streaming ist eine GKE-Funktion zum Datenstreaming, die kürzere Pull-Zeiten für Container-Images für in Artifact Registry gespeicherte Images bietet. Wenn VPC Service Controls Ihre Container-Images schützt und Sie Image-Streaming verwenden, müssen Sie auch die Image-Streaming-API in den Dienstperimeter aufnehmen.

    Weitere Informationen zum Image-Streaming finden Sie in der Produktdokumentation.

    Beschränkungen

    • Die folgenden schreibgeschützten Repositories sind unabhängig von den durch Dienstperimeter erzwungenen Einschränkungen für alle Projekte verfügbar:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

    Flotten

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname gkeconnect.googleapis.com,
    gkehub.googleapis.com,
    connectgateway.googleapis.com
    Details

    Flottenverwaltungs-APIs, einschließlich des Connect Gateways, können mit VPC Service Controls geschützt werden und Funktionen zur Flottenverwaltung können innerhalb von Dienstperimetern normal verwendet werden. Hier finden Sie weitere Informationen:

    Weitere Informationen zu Flotten finden Sie in der Produktdokumentation.

    Beschränkungen

    • Obwohl alle Flottenverwaltungsfunktionen normal verwendet werden können, wird durch das Aktivieren eines Dienstperimeters um die Stackdriver API die Einbindung des Flottenfeatures für Policy Controller in Security Command Center eingeschränkt.

    Resource Manager

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudresourcemanager.googleapis.com
    Details

    Die folgenden Cloud Resource Manager API-Methoden können durch VPC Service Controls geschützt werden:

    Weitere Informationen zu Resource Manager finden Sie in der Produktdokumentation.

    Beschränkungen

    • Nur Tag-Schlüssel, denen eine Projektressource direkt übergeordnet ist, und entsprechende Tag-Werte können mit VPC Service Controls geschützt werden. Wenn ein Projekt einem VPC Service Controls-Perimeter hinzugefügt wird, werden alle Tag-Schlüssel und zugehörigen Tag-Werte im Projekt als Ressourcen im Perimeter betrachtet.
    • Tag-Schlüssel, denen eine Organisationsressource übergeordnet ist, und ihre entsprechenden Tag-Werte können nicht in einen VPC Service Controls-Perimeter aufgenommen und nicht mit VPC Service Controls geschützt werden.
    • Clients innerhalb eines VPC Service Controls-Perimeters können nicht auf Tag-Schlüssel und entsprechende Werte zugreifen, die einer Organisationsressource übergeordnet sind, es sei denn, für den Perimeter ist eine Regel für ausgehenden Traffic festgelegt, die den Zugriff zulässt. Weitere Informationen zum Festlegen von Regeln für ausgehenden Traffic finden Sie unter Regeln für eingehenden und ausgehenden Traffic.
    • Tag-Bindungen werden als Ressourcen im selben Perimeter wie die Ressource betrachtet, an die der Tag-Wert gebunden ist. Beispielsweise werden die Tag-Bindungen an eine Compute Engine-Instanz in einem Projekt unabhängig davon, wo der Tag-Schlüssel definiert ist, als zu diesem Projekt gehören betrachtet.
    • Bei einigen Diensten wie Compute Engine können neben den Resource Manager-Dienst-APIs das Erstellen von Tag-Bindungen mit ihren eigenen Dienst-APIs verwendet werden. Beispielsweise können Sie einer Compute Engine-VM während der Ressourcenerstellung Tags hinzufügen. Fügen Sie den entsprechenden Dienst, z. B. compute.googleapis.com, der Liste der eingeschränkten Dienste im Perimeter hinzu, um Tag-Bindungen zu schützen, die mit diesen Dienst-APIs erstellt oder gelöscht wurden.
    • Tags unterstützen Einschränkungen auf Methodenebene, sodass Sie den method_selectors auf bestimmte API-Methoden festlegen können. Eine Liste der einschränkbaren Methoden finden Sie unter Einschränkungen für unterstützte Dienstmethoden.
    • Die Zuweisung der Inhaberrolle für ein Projekt über die Google Cloud Console wird jetzt von VPC Service Controls unterstützt. Sie können außerhalb von Dienstperimetern keine Inhabereinladung senden und keine Einladung annehmen. Wenn Sie versuchen, eine Einladung von außerhalb des Perimeters zu akzeptieren, erhalten Sie nicht die Inhaberrolle und es wird keine Fehler- oder Warnmeldung angezeigt.

    Cloud Logging

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname logging.googleapis.com
    Details

    Die API für Cloud Logging kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Logging finden Sie in der Produktdokumentation.

    Beschränkungen
    • Aggregierte Logsenken (Ordner- oder Organisationssenken, wobei includeChildren den Wert true hat) können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Wenn Sie verhindern möchten, dass aggregierte Logsenken auf Daten innerhalb eines Perimeters zugreifen, verwenden Sie IAM, um Logging-Berechtigungen für die aggregierten Log-Senken auf Ordner- oder Organisationsebene zu verwalten.

    • VPC Service Controls unterstützt das Hinzufügen von Ordner- oder Organisationsressourcen zu Dienstperimetern nicht. Daher können Sie VPC Service Controls nicht zum Schutz von Logs auf Ordner- und Organisationsebene verwenden, einschließlich aggregierter Logs. Zum Verwalten von Logging-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM.

    • Wenn Sie Logs mithilfe einer Logsenke auf Organisationsebene oder Ordnerebene an eine Ressource weiterleiten, die durch einen Dienstperimeter geschützt wird, müssen Sie dem Dienstperimeter eine Regel für eingehenden Traffic hinzufügen. Die Regel für eingehenden Traffic muss den Zugriff auf die Ressource über das Dienstkonto zulassen, das von der Logsenke verwendet wird. Dieser Schritt ist für Senken auf Projektebene nicht erforderlich.

      Weitere Informationen finden Sie auf den folgenden Seiten:

    • Wenn Sie für einen Dienstperimeter eine Richtlinie für eingehenden oder ausgehenden Traffic festlegen, können Sie ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht als Identitätstyp verwenden, um Logs von einer Cloud Logging-Senke in eine Cloud Storage-Ressource zu exportieren.

      Verwenden Sie ANY_IDENTITY als Identitätstyp, um das Problem zu umgehen.

    Zertifikatmanager

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname certificatemanager.googleapis.com
    Details

    Die API für den Zertifikatmanager kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zum Zertifikatmanager finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden des Zertifikatmanagers in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Monitoring

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname monitoring.googleapis.com
    Details

    Die API für Cloud Monitoring kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Monitoring finden Sie in der Produktdokumentation.

    Beschränkungen
    • Benachrichtigungskanäle, Benachrichtigungsrichtlinien und benutzerdefinierte Messwerte können zusammen zur Exfiltration von Daten und Metadaten verwendet werden. Derzeit kann ein Monitoring-Nutzer einen Benachrichtigungskanal einrichten, der auf eine Entität außerhalb der Organisation verweist, z. B. "baduser@badcompany.com". Der Nutzer richtet dann benutzerdefinierte Messwerte und entsprechende Benachrichtigungsrichtlinien ein, die den Benachrichtigungskanal nutzen. Durch Änderung der benutzerdefinierten Messwerte kann der Nutzer daher Warnungen auslösen und Benachrichtigungen zum Auslösen von Warnungen senden. Dabei werden sensible Daten außerhalb des VPC Service Controls-Perimeters an baduser@badcompany.com exfiltriert.

    • Alle Compute Engine- oder AWS-VMs mit installiertem Monitoring-Agent müssen sich innerhalb des VPC Service Controls-Perimeters befinden, da Schreibvorgänge von Agent-Messwerten sonst fehlschlagen.

    • Alle GKE-Pods müssen sich innerhalb des VPC Service Controls-Perimeters befinden, sonst funktioniert das GKE-Monitoring nicht.

    • Beim Abfragen von Messwerten für einen Messwertbereich wird nur der VPC Service Controls-Perimeter des für den Messwertbereich verantwortlichen Messprojekts berücksichtigt. Die Perimeter der einzelnen überwachten Projekte im Messwertbereich werden dabei nicht berücksichtigt.

    • Ein Projekt kann nur als überwachtes Projekt zu einem vorhandenen Messwertbereich hinzugefügt werden, wenn sich dieses Projekt im selben VPC Service Controls-Perimeter befindet wie das für den Messwertbereich verantwortliche Messprojekt.

    • Für den Zugriff auf Monitoring in der Google Cloud Console für ein Hostprojekt, das durch einen Dienstperimeter geschützt ist, verwenden Sie eine Regel für eingehenden Traffic.

    Cloud Profiler

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudprofiler.googleapis.com
    Details

    Die API für Cloud Profiler kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Profiler finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Cloud Profiler in VPC Service Controls gelten keine bekannten Einschränkungen.

    Timeseries Insights API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname timeseriesinsights.googleapis.com
    Details

    Die Timeseries Insights API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Timeseries Insights API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung der Timeseries Insights API in VPC Service Controls gibt es keine bekannten Einschränkungen.

    Cloud Trace

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudtrace.googleapis.com
    Details

    Die API für Cloud Trace kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Trace finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Cloud Trace in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud TPU

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname tpu.googleapis.com
    Details

    Die API für Cloud TPU kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud TPU finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Cloud TPU in VPC Service Controls gelten keine bekannten Einschränkungen.

    Natural Language API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname language.googleapis.com
    Details

    Weitere Informationen zur Natural Language API finden Sie in der Produktdokumentation.

    Beschränkungen

    Da die Natural Language API eine zustandslose API ist und nicht für Projekte ausgeführt wird, hat die Verwendung von VPC Service Controls zum Schutz der Natural Language API keine Auswirkungen.

    Network Connectivity Center

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname networkconnectivity.googleapis.com
    Details

    Die API für Network Connectivity Center kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zum Network Connectivity Center finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung des Network Connectivity Centers in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Asset API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudasset.googleapis.com
    Details

    Die Cloud Asset API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Cloud Asset API finden Sie in der Produktdokumentation.

    Beschränkungen

    • VPC Service Controls unterstützt nicht den Zugriff auf Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene durch Ressourcen und Clients innerhalb eines Dienstperimeters. VPC Service Controls schützt Cloud Asset API-Ressourcen auf Projektebene. Sie können eine Richtlinie für ausgehenden Traffic festlegen, um den Zugriff auf Cloud Asset API-Ressourcen auf Projektebene von Projekten innerhalb des Perimeters zu verhindern.
    • VPC Service Controls unterstützt nicht das Hinzufügen von Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu einem Dienstperimeter. Sie können keinen Perimeter verwenden, um Cloud Asset API-Ressourcen auf Ordner- oder Organisationsebene zu schützen. Zum Verwalten von Cloud Asset Inventory-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM.
    • Sie können Assets auf Ordner- oder Organisationsebene nicht in Ziele innerhalb eines Dienstperimeters exportieren.
    • Sie können keine Echtzeit-Feeds für Assets auf Ordner- oder Organisationsebene mit einem Pub/Sub-Thema innerhalb eines Dienstperimeters erstellen.

    Speech-to-Text

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname speech.googleapis.com
    Details

    Die Speech-to-Text API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Speech-to-Text finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Speech-to-Text in VPC Service Controls gelten keine bekannten Einschränkungen.

    Text-to-Speech

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname texttospeech.googleapis.com
    Details

    Die Text-to-Speech API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Text-to-Speech finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Text-to-Speech in VPC Service Controls gelten keine bekannten Einschränkungen.

    Translation

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname translate.googleapis.com
    Details

    Die API für Translation kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Translation finden Sie in der Produktdokumentation.

    Beschränkungen

    Cloud Translation Advanced (v3) unterstützt VPC Service Controls, aber nicht Cloud Translation – Basic (v2). Sie müssen Cloud Translation Advanced (v3) verwenden, um VPC Service Controls anzuwenden. Weitere Informationen zu den verschiedenen Versionen finden Sie unter Einfache und erweiterte Versionen vergleichen.

    Live Stream API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname livestream.googleapis.com
    Details

    Schützen Sie Ihre Pipeline mithilfe von VPC Service Controls mit der Live Stream API.

    Weitere Informationen zur Live Stream API findest du in der Produktdokumentation.

    Beschränkungen

    Wenn Sie Eingabeendpunkte mit einem Dienstperimeter schützen möchten, müssen Sie der Anleitung zum Einrichten eines privaten Pools folgen und Eingabe-Videostreams über eine private Verbindung senden.

    Transcoder API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname transcoder.googleapis.com
    Details

    Die API für die Transcoder API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Transcoder API finden Sie in der Produktdokumentation.

    Beschränkungen

    Die Transcoder API-Integration in VPC Service Controls hat keine bekannten Einschränkungen.

    Video Stitcher API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname videostitcher.googleapis.com
    Details

    Die Video Stitcher API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Video Stitcher API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Video Stitcher API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Zugriffsgenehmigung

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname accessapproval.googleapis.com
    Details

    Die API für die Zugriffsgenehmigung kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Access Approval finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Access Approval in VPC Service Controls gelten keine bekannten Einschränkungen.

    Cloud Healthcare API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname healthcare.googleapis.com
    Details

    Die Cloud Healthcare API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Cloud Healthcare API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Cloud Healthcare API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Storage Transfer Service

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname storagetransfer.googleapis.com
    Details

    Es empfiehlt sich, das Storage Transfer Service-Projekt im selben Dienstperimeter wie Ihre Cloud Storage-Ressourcen zu platzieren. So werden sowohl Ihre Übertragung als auch Ihre Cloud Storage-Ressourcen geschützt. Der Storage Transfer Service unterstützt mithilfe einer Richtlinie für ausgehenden Traffic auch Szenarien, in denen sich das Storage Transfer Service-Projekt nicht im selben Perimeter wie Ihre Cloud Storage-Buckets befindet.

    Informationen zur Einrichtung finden Sie unter Storage Transfer Service mit VPC Service Controls verwenden.

    Transfer Service for On Premises Data

    Weitere Informationen und Einrichtungsinformationen zu lokalen Datenübertragungen finden Sie unter Lokale Datenübertragung mit VPC Service Controls verwenden.

    Weitere Informationen zum Storage Transfer Service finden Sie in der Produktdokumentation.

    Beschränkungen
    Für das Einbinden von Storage Transfer Service in VPC Service Controls gelten keine bekannten Einschränkungen.

    Service Control

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname servicecontrol.googleapis.com
    Details

    Die Service Control API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Service Control finden Sie in der Produktdokumentation.

    Beschränkungen

    • Wenn Sie die Service Control API aus einem VPC-Netzwerk in einem Dienstperimeter aufrufen, in dem Service Control auf Abrechnungs- oder Analysemesswerte beschränkt ist, können Sie nur die Service Control-Berichtsmethode verwenden, um Messwerte für von VPC Service Controls unterstützte Dienste zu melden.

    Memorystore for Redis

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname redis.googleapis.com
    Details

    Die API für Memorystore for Redis kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Memorystore for Redis finden Sie in der Produktdokumentation.

    Beschränkungen

    • Dienstperimeter schützen nur die Memorystore for Redis API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Redis-Instanzen im selben Netzwerk.

    • Wenn die Cloud Storage API ebenfalls geschützt ist, können Import- und Exportvorgänge von Memorystore for Redis nur in einen Cloud Storage-Bucket innerhalb des Dienstperimeters lesen und schreiben, in dem sich die Memorystore for Redis-Instanz befindet.

    • Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt mit der Redis-Instanz im selben Perimeter bereitstellt, damit Redis-Anfragen erfolgreich sind. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, können neben blockierten Anfragen auch jederzeit Fehler in der Redis-Instanz auftreten. Weitere Informationen finden Sie unter Konfigurationsanforderungen für Memorystore for Redis.

    Memorystore for Memcached

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname memcache.googleapis.com
    Details

    Die Memorystore for Memcached API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Memorystore for Memcached finden Sie in der Produktdokumentation.

    Beschränkungen

    • Dienstperimeter schützen nur die Memorystore for Memcache API. Perimeter schützen nicht den normalen Datenzugriff auf Memorystore for Memcache-Instanzen im selben Netzwerk.

    Service Directory

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname servicedirectory.googleapis.com
    Details

    Die Service Directory API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Service Directory finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Service Directory in VPC Service Controls gelten keine bekannten Einschränkungen.

    Visual Inspection AI

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname visualinspection.googleapis.com
    Details

    Nehmen Sie alle folgenden APIs in Ihren Perimeter auf, um die Visual Inspection AI vollständig zu schützen:

    • Visual Inspection AI API (visualinspection.googleapis.com)
    • Vertex AI API (aiplatform.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Artifact Registry API (artifactregistry.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)

    Weitere Informationen zu Visual Inspection AI finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Visual Inspection AI in VPC Service Controls gelten keine bekannten Einschränkungen.

    Transfer Appliance

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Nein. Die API für Transfer Appliance kann nicht durch Dienstperimeter geschützt werden. Transfer Appliance kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
    Details

    Für Projekte, die VPC Service Controls verwenden, wird Transfer Appliance vollständig unterstützt.

    Transfer Appliance bietet keine API und unterstützt daher keine API-bezogenen Features in VPC Service Controls.

    Weitere Informationen zu Transfer Appliance finden Sie in der Produktdokumentation.

    Beschränkungen

    • Wenn Cloud Storage durch VPC Service Controls geschützt wird, muss sich der Cloud KMS-Schlüssel, den Sie mit dem Transfer Appliance-Team gemeinsam nutzen, im selben Projekt wie der Cloud Storage-Ziel-Bucket befinden.

    Organisationsrichtliniendienst

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname orgpolicy.googleapis.com
    Details

    Die API für Organization Policy Service kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Organization Policy Service finden Sie in der Produktdokumentation.

    Beschränkungen

    VPC Service Controls unterstützt keine Zugriffsbeschränkungen für Organisationsrichtlinien auf Ordner- oder Organisationsebene, die vom Projekt übernommen werden. VPC Service Controls schützt die Organization Policy Service API-Ressourcen auf Projektebene.

    Wenn beispielsweise ein Nutzer durch eine Regel für eingehenden Traffic auf die Organization Policy Service API zugreift, erhält dieser Nutzer den Fehler 403, wenn er nach Organisationsrichtlinien sucht, die für das Projekt erzwungen werden. Der Nutzer kann jedoch weiterhin auf die Organisationsrichtlinien des Ordners und der Organisation zugreifen, die das Projekt enthält.

    OS Login

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname oslogin.googleapis.com
    Details

    Sie können die OS Login API aus VPC Service Controls-Perimetern aufrufen. Für die Verwaltung von OS Login über VPC Service Controls-Perimeter richten Sie OS Login ein.

    SSH-Verbindungen zu VM-Instanzen sind nicht durch VPC Service Controls geschützt.

    Weitere Informationen zu OS Login finden Sie in der Produktdokumentation.

    Beschränkungen

    Die OS Login-Methoden zum Lesen und Schreiben von SSH-Schlüsseln erzwingen keine VPC Service Controls-Perimeter. Verwenden Sie über VPC zugängliche Dienste, um den Zugriff auf OS Login APIs zu deaktivieren.

    Individuelle Dienstintegrität

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname servicehealth.googleapis.com
    Details

    Die API für Personalized Service Health kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Personalized Service Health finden Sie in der Produktdokumentation.

    Beschränkungen

    VPC Service Controls unterstützt die Ressourcen OrganizationEvents und OrganizationImpacts der Service Health API nicht. Daher finden keine VPC Service Controls-Richtlinienprüfungen statt, wenn Sie die Methoden für diese Ressourcen aufrufen. Sie können die Methoden jedoch aus einem Dienstperimeter mit einer eingeschränkten VIP aufrufen.

    VM Manager

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname osconfig.googleapis.com
    Details

    Sie können die OS Config API aus VPC Service Controls-Perimetern aufrufen. Wenn Sie VM Manager innerhalb von VPC Service Controls-Perimetern verwenden möchten, richten Sie VM Manager ein.

    Weitere Informationen zu VM Manager finden Sie in der Produktdokumentation.

    Beschränkungen
    Zum vollständigen Schutz von VM Manager müssen Sie alle folgenden APIs in Ihrem Perimeter einschließen:
    • OS Config API (osconfig.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • Artifact Analysis API (containeranalysis.googleapis.com)
    VM Manager hostet keine Paket- und Patchinhalte. OS Patch Management verwendet die Update-Tools für das Betriebssystem, die erfordern, dass Paketaktualisierungen und Patches auf der VM abgerufen werden können. Damit Patches funktionieren, müssen Sie möglicherweise Cloud NAT verwenden oder Ihr eigenes Package Repository oder Ihren Windows Server Update Service in Ihrer Virtual Private Cloud hosten.

    Workflows

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname workflows.googleapis.com
    Details

    Workflows ist eine Orchestrierungsplattform, die Google Cloud-Dienste und HTTP-basierte APIs kombinieren kann, um Dienste in einer von Ihnen definierten Reihenfolge auszuführen.

    Wenn Sie die Workflows API mit einem Dienstperimeter schützen, ist auch die Workflow Executions API geschützt. Sie müssen workflowexecutions.googleapis.com nicht separat zur Liste der geschützten Dienste Ihres Perimeters hinzufügen.

    HTTP-Anfragen von einer Workflows-Ausführung werden so unterstützt:

    • Authentifizierte Anfragen an VPC Service Controls-kompatible Google Cloud-Endpunkte sind zulässig.
    • Anfragen an Cloud Functions- und Cloud Run-Dienstendpunkte sind zulässig.
    • Anfragen an Endpunkte von Drittanbietern werden blockiert.
    • Anfragen an nicht-VPC Service Controls-konforme Google Cloud-Endpunkte werden blockiert.

    Weitere Informationen zu Workflows finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Workflows in VPC Service Controls gelten keine bekannten Einschränkungen.

    Filestore

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname file.googleapis.com
    Details

    Die Filestore API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Filestore finden Sie in der Produktdokumentation.

    Beschränkungen

    • Dienstperimeter schützen nur die Filestore API. Perimeter schützen nicht den normalen Zugriff auf NFS-Daten auf Filestore-Instanzen innerhalb desselben Netzwerks.

    • Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, benötigen Sie das Hostprojekt, das das Netzwerk und das Dienstprojekt enthält, das die Filestore-Instanz im selben Perimeter enthält, damit die Filestore-Instanz ordnungsgemäß funktioniert. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen möglicherweise nicht mehr verfügbar und erstellen möglicherweise keine neuen Instanzen.

    Parallelstore

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname parallelstore.googleapis.com
    Details

    Weitere Informationen zu Parallelstore finden Sie in der Produktdokumentation.

    Beschränkungen

    • Wenn Sie sowohl eine freigegebene VPC als auch VPC Service Controls verwenden, müssen Sie das Hostprojekt für das Netzwerk und das Dienstprojekt mit der Parallelstore-Instanz innerhalb desselben Perimeters haben, damit die Parallelstore-Instanz ordnungsgemäß funktioniert. Wenn Sie das Hostprojekt und das Dienstprojekt durch einen Perimeter trennen, sind die vorhandenen Instanzen unter Umständen nicht mehr verfügbar und es werden keine neuen Instanzen erstellt.

    Container Threat Detection

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname containerthreatdetection.googleapis.com
    Details

    Die API für Container Threat Detection kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Container Threat Detection finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Container Threat Detection in VPC Service Controls gelten keine bekannten Einschränkungen.

    Ads Data Hub

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname adsdatahub.googleapis.com
    Details

    Weitere Informationen zu Ads Data Hub finden Sie in der Produktdokumentation.

    Beschränkungen

    Für Ads Data Hub und VPC Service Controls gelten unterschiedliche Nutzungsbedingungen. Weitere Informationen finden Sie in den Nutzungsbedingungen der einzelnen Produkte.

    Bei bestimmten Funktionen von Ads Data Hub (z. B. benutzerdefinierte Zielgruppenaktivierung, benutzerdefinierte Gebote und LiveRamp-Match-Tables) müssen bestimmte Nutzerdaten außerhalb des Perimeters von VPC Service Controls exportiert werden. Wird Ads Data Hub als eingeschränkter Dienst hinzugefügt, werden die VPC Service Controls-Richtlinien für diese Funktionen umgangen, damit die Funktionen erhalten bleiben.

    Alle abhängigen Dienste müssen als zulässige Dienste im selben VPC Service Controls-Perimeter enthalten sein. Da Ads Data Hub beispielsweise auf BigQuery basiert, muss auch BigQuery hinzugefügt werden. Im Allgemeinen empfiehlt VPC Service Controls, alle Dienste im Perimeter zu berücksichtigen, d. h. alle Dienste einzuschränken.

    Kunden mit mehrstufigen Ads Data Hub-Kontostrukturen (z. B. Agenturen mit Tochterunternehmen) sollten alle ihre Administratorprojekte im selben Perimeter haben. Der Einfachheit halber empfiehlt Ads Data Hub, dass Kunden mit mehrstufigen Kontostrukturen ihre Administratorprojekte auf eine Google Cloud-Organisation beschränken.

    Traffic Director

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
    Details

    Die Traffic Director API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Traffic Director finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von Traffic Director in VPC Service Controls gelten keine bekannten Einschränkungen.

    Security Token Service

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname sts.googleapis.com
    Details

    VPC Service Controls schränkt den Tokenaustausch nur dann ein, wenn die Zielgruppe in der Anfrage eine Ressource auf Projektebene ist. Beispielsweise werden Anfragen für herabgestufte Tokens nicht eingeschränkt, da diese Anfragen keine Zielgruppe haben. Anfragen für die Identitätsföderation von Mitarbeitern werden auch nicht eingeschränkt, da die Zielgruppe eine Ressource auf Organisationsebene ist.

    Weitere Informationen zum Security Token Service finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung des Security Token Service in VPC Service Controls gelten keine bekannten Einschränkungen.

    Firestore/Datastore

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
    Details

    Die Dienste firestore.googleapis.com, datastore.googleapis.com und firestorekeyvisualizer.googleapis.com sind gebündelt. Wenn Sie den Dienst firestore.googleapis.com in einem Perimeter einschränken, beschränkt der Perimeter auch die Dienste datastore.googleapis.com und firestorekeyvisualizer.googleapis.com.

    Um den Dienst datastore.googleapis.com einzuschränken, verwenden Sie den Dienstnamen firestore.googleapis.com.

    Für den vollständigen Schutz vor ausgehendem Import und Export müssen Sie den Firestore-Dienst-Agent verwenden. Weitere Informationen finden Sie hier:

    Weitere Informationen zu Firestore/Datastore finden Sie in der Produktdokumentation.

    Beschränkungen

    Migrate to Virtual Machines

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname vmmigration.googleapis.com
    Details

    Die API für die Migration zu virtuellen Maschinen kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Migrate for Virtual Machines finden Sie in der Produktdokumentation.

    Beschränkungen

    • Um die Migration zu virtuellen Maschinen vollständig zu schützen, fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

      • Pub/Sub API (pubsub.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)
      • Secret Manager API (secretmanager.googleapis.com)
      • Compute Engine API (compute.googleapis.com)

      Weitere Informationen finden Sie in der Dokumentation Zu virtuellen Maschinen migrieren.

    Migration Center

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname
    • migrationcenter.googleapis.com
    • rapidmigrationassessment.googleapis.com
    Details

    Mit VPC Service Controls können Sie die Infrastrukturdaten, die Sie mit dem Migrationscenter erfassen, mit einem Dienstperimeter schützen.

    Weitere Informationen zum Migrationscenter finden Sie in der Produktdokumentation.

    Beschränkungen
    • Nachdem Sie den Dienstperimeter aktiviert haben, können Sie Ihre Infrastrukturdaten nicht mehr an StratoZone übertragen.
    • Detaillierte Preisberichte können nicht exportiert werden, wenn der Dienstperimeter aktiviert ist.

    Sicherung und Notfallwiederherstellung

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname backupdr.googleapis.com
    Details

    Die API für den Sicherungs‐ und Notfallwiederherstellungsdienst kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zum Sicherungs‐ und Notfallwiederherstellungsdienst finden Sie in der Produktdokumentation.

    Beschränkungen

    Wenn Sie die Internetstandardroute mit dem Befehl gcloud services vpc-peerings enable-vpc-service-controls aus dem Diensterstellerprojekt entfernen, können Sie möglicherweise nicht auf die Verwaltungskonsole zugreifen oder sie nicht bereitstellen. Wenden Sie sich in diesem Fall an Google Cloud Customer Care.

    Sicherung für GKE

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname gkebackup.googleapis.com
    Details

    Sie können VPC Service Controls zum Schutz von GKE-Sicherungen verwenden und die Sicherung von GKE-Features normalerweise innerhalb von Dienstperimetern verwenden.

    Weitere Informationen zu Sicherungen für GKE finden Sie in der Produktdokumentation.

    Beschränkungen

    Für die Einbindung von GKE-Sicherungen in VPC Service Controls gelten keine bekannten Einschränkungen.

    Retail API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname retail.googleapis.com
    Details

    Die Retail API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Retail API finden Sie in der Produktdokumentation.

    Beschränkungen

    Die Retail API-Integration in VPC Service Controls hat keine bekannten Einschränkungen.

    Application Integration

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname integrations.googleapis.com
    Details

    Application Integration ist ein kollaboratives Workflow-Managementsystem, mit dem Sie die zentralen System-Workflows eines Unternehmens erstellen, erweitern, debuggen und verstehen können. Die Workflows bei Application Integration bestehen aus Triggern und Aufgaben. Es gibt verschiedene Arten von Triggern, z. B. API-Trigger/Pub/Sub-Trigger/Cron-Trigger/Sfdc-Trigger.

    Weitere Informationen zu Application Integration finden Sie in der Produktdokumentation.

    Beschränkungen
    • VPC Service Controls schützt Logs zur Anwendungsintegration. Wenn Sie Application Integration verwenden, fragen Sie das Application Integration-Team nach der Unterstützung für die vpcsc-Integration.

    Integration Connectors

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname connectors.googleapis.com
    Details

    Die API for Integration Connectors kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Integration Connectors finden Sie in der Produktdokumentation.

    Beschränkungen
    • Wenn Sie bei Verwendung von VPC Service Controls eine Verbindung zu einer Ressource herstellen, die nicht zu Google Cloud CLI gehört, muss das Ziel der Verbindung ein Private Service Connect-Anhang sein. Verbindungen, die ohne den Private Service Connect-Anhang erstellt wurden, schlagen fehl.

    • Wenn Sie einen VPC Service Controls-Dienstperimeter für Ihr Google Cloud CLI-Projekt einrichten, können Sie das Abo-Feature für Ereignisse für dieses Projekt nicht verwenden.

    Error Reporting

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname clouderrorreporting.googleapis.com
    Details

    Die API für Error Reporting kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Error Reporting finden Sie in der Produktdokumentation.

    Beschränkungen
    Benachrichtigungen, die gesendet werden, wenn eine neue oder wiederkehrende Fehlergruppe gefunden wird, enthalten Informationen zur Fehlergruppe. Sorgen Sie dafür, dass sich Benachrichtigungskanäle in Ihrer Organisation befinden, um eine Daten-Exfiltration außerhalb des VPC Service Controls-Perimeters zu verhindern.

    Cloud Workstations

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname workstations.googleapis.com
    Details

    Die API für Cloud Workstations kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Workstations finden Sie in der Produktdokumentation.

    Beschränkungen

    • Für den vollständigen Schutz von Cloud Workstations müssen Sie die Compute Engine API in Ihrem Dienstperimeter einschränken, wenn Sie die Cloud Workstations API einschränken.
    • Achten Sie darauf, dass die Google Cloud Storage API, die Google Container Registry API und die Artifact Registry API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist erforderlich, um Images auf Ihre Workstation zu übertragen. Es wird außerdem empfohlen, dass die Cloud Logging API und die Cloud Error Reporting API in Ihrem Dienstperimeter über VPC zugänglich sind. Dies ist jedoch nicht erforderlich, um Cloud Workstations zu verwenden.
    • Der Workstation-Cluster muss privat sein. Durch das Konfigurieren eines privaten Clusters werden Verbindungen zu Ihren Workstations von außerhalb Ihres VPC-Dienstperimeters verhindert.
    • Deaktivieren Sie öffentliche IP-Adressen in Ihrer Workstation-Konfiguration. Andernfalls werden in Ihrem Projekt VMs mit öffentlichen IP-Adressen erstellt. Es wird dringend empfohlen, die Einschränkung der Organisationsrichtlinie constraints/compute.vmExternalIpAccess zu verwenden, um öffentliche IP-Adressen für alle VMs in Ihrem VPC-Dienstperimeter zu deaktivieren. Weitere Informationen finden Sie unter Externe IP-Adressen auf bestimmte VMs beschränken.
    • Beim Herstellen einer Verbindung zu Ihrer Workstation basiert die Zugriffssteuerung nur darauf, ob das private Netzwerk, von dem aus Sie eine Verbindung herstellen, zum Sicherheitsperimeter gehört. Die Zugriffssteuerung auf Grundlage des Geräts, der öffentlichen IP-Adresse oder des Standorts wird nicht unterstützt.

    Cloud IDS

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname ids.googleapis.com
    Details

    Die API für Cloud IDS kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud IDS finden Sie in der Produktdokumentation.

    Beschränkungen

    Cloud IDS verwendet Cloud Logging, um Bedrohungslogs in Ihrem Projekt zu erstellen. Wenn Cloud Logging durch den Dienstperimeter eingeschränkt ist, blockiert VPC Service Controls die Cloud IDS-Bedrohungslogs, auch wenn Cloud IDS nicht als eingeschränkter Dienst zum Perimeter hinzugefügt wurde. Um Cloud IDS innerhalb eines Dienstperimeters zu verwenden, müssen Sie eine Regel für eingehenden Traffic für das Cloud Logging-Dienstkonto in Ihrem Dienstperimeter konfigurieren.

    BeyondCorp Enterprise

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname beyondcorp.googleapis.com
    Details

    Weitere Informationen zu BeyondCorp Enterprise finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von BeyondCorp Enterprise in VPC Service Controls gelten keine bekannten Einschränkungen.

    Richtlinien-Fehlerbehebung

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname policytroubleshooter.googleapis.com
    Details

    Wenn Sie die Policy Fehlerbehebung API mit einem Perimeter einschränken, können Hauptkonten Fehler bei IAM-Zulassungsrichtlinien nur dann beheben, wenn sich alle an der Anfrage beteiligten Ressourcen im selben Perimeter befinden. Normalerweise sind zwei Ressourcen an einer Anfrage zur Fehlerbehebung beteiligt:

    • Die Ressource, für die Sie Probleme mit dem Zugriff beheben. Diese Ressource kann einen beliebigen Typ haben. Sie geben diese Ressource explizit an, wenn Sie Fehler in einer Zulassungsrichtlinie beheben.
    • Die Ressource, die Sie für die Fehlerbehebung beim Zugriff verwenden. Diese Ressource ist ein Projekt, ein Ordner oder eine Organisation. In der Google Cloud Console und in der gcloud CLI wird diese Ressource aus dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header x-goog-user-project an.

      Diese Ressource kann mit der Ressource identisch sein, für die Sie die Fehlerbehebung für den Zugriff durchführen. Das ist aber nicht zwingend erforderlich.

    Wenn sich diese Ressourcen nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

    Weitere Informationen zur Richtlinien-Fehlerbehebung finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der Richtlinien-Fehlerbehebung in VPC Service Controls gelten keine bekannten Einschränkungen.

    Policy Simulator

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname policysimulator.googleapis.com
    Details

    Wenn Sie die Policy Simulator API mit einem Perimeter einschränken, können Hauptkonten Zulassungsrichtlinien nur dann simulieren, wenn sich bestimmte an der Simulation beteiligte Ressourcen im selben Perimeter befinden. An einer Simulation sind mehrere Ressourcen beteiligt:

    • Die Ressource, deren Zulassungsrichtlinie Sie simulieren. Diese Ressource wird auch als Zielressource bezeichnet. In der Google Cloud Console ist dies die Ressource, deren Zulassungsrichtlinie Sie bearbeiten. In der gcloud CLI und der REST API geben Sie diese Ressource explizit an, wenn Sie eine Zulassungsrichtlinie simulieren.
    • Das Projekt, der Ordner oder die Organisation, das oder die die Simulation erstellt und ausführt. Diese Ressource wird auch als Hostressource bezeichnet. In der Google Cloud Console und in der gcloud CLI wird diese Ressource aus dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation abgeleitet. In der REST API geben Sie diese Ressource mit dem Header x-goog-user-project an.

      Diese Ressource kann mit der Ressource identisch sein, für die Sie den Zugriff simulieren. Dies ist jedoch nicht erforderlich.

    • Die Ressource, die Zugriffslogs für die Simulation bereitstellt. In einer Simulation gibt es immer eine Ressource, die Zugriffslogs für die Simulation bereitstellt. Diese Ressource variiert je nach Zielressourcentyp:

      • Wenn Sie eine Zulassungsrichtlinie für ein Projekt oder eine Organisation simulieren, ruft Policy Simulator die Zugriffslogs für dieses Projekt oder diese Organisation ab.
      • Wenn Sie eine Zulassungsrichtlinie für einen anderen Ressourcentyp simulieren, ruft Policy Simulator die Zugriffslogs für das übergeordnete Projekt oder die übergeordnete Organisation dieser Ressource ab.
      • Wenn Sie die Zulassungsrichtlinien für mehrere Ressourcen gleichzeitig simulieren, ruft Policy Simulator die Zugriffslogs für das nächstgelegene gemeinsame Projekt oder die nächstgelegene Organisation ab.
    • Alle unterstützten Ressourcen mit relevanten Zulassungsrichtlinien. Wenn Policy Simulator eine Simulation ausführt, werden alle Zulassungsrichtlinien berücksichtigt, die sich auf den Zugriff des Nutzers auswirken können, einschließlich Zulassungsrichtlinien für den Ancestor und die untergeordneten Ressourcen der Zielressource. Daher sind diese Ancestor- und Nachfolgerressourcen auch an Simulationen beteiligt.

    Wenn sich die Zielressource und die Hostressource nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

    Wenn sich die Zielressource und die Ressource, die Zugriffslogs für die Simulation bereitstellt, nicht im selben Perimeter befinden, schlägt die Anfrage fehl.

    Wenn sich die Zielressource und einige unterstützte Ressourcen mit relevanten Zulassungsrichtlinien nicht im selben Perimeter befinden, sind die Anfragen erfolgreich, die Ergebnisse sind jedoch möglicherweise unvollständig. Wenn Sie beispielsweise eine Richtlinie für ein Projekt in einem Perimeter simulieren, enthalten die Ergebnisse nicht die Zulassungsrichtlinie der übergeordneten Organisation des Projekts, da sich die Organisationen immer außerhalb der VPC Service Controls-Perimeter befinden. Wenn Sie umfassendere Ergebnisse erhalten möchten, können Sie für den Perimeter Regeln für ein- und ausgehenden Traffic konfigurieren.

    Weitere Informationen zum Policy Simulator finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Policy Simulator in VPC Service Controls gelten keine bekannten Einschränkungen.

    Wichtige Kontakte

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname essentialcontacts.googleapis.com
    Details

    Die API für wichtige Kontakte kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu wichtigen Kontakten finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden wichtiger Kontakte in VPC Service Controls gelten keine bekannten Einschränkungen.

    Identity Platform

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname identitytoolkit.googleapis.com,
    securetoken.googleapis.com
    Details

    Die API für Identity Platform kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Identity Platform finden Sie in der Produktdokumentation.

    Beschränkungen

    • Fügen Sie dem Dienstperimeter die Secure Token API (securetoken.googleapis.com) hinzu, um die Identity Platform vollständig zu schützen und die Aktualisierung von Tokens zuzulassen. securetoken.googleapis.com ist nicht auf der Seite „VPC Service Controls“ der Google Cloud Console aufgeführt. Sie können diesen Dienst nur mit dem Befehl gcloud access-context-manager perimeters update hinzufügen.

    • Wenn Ihre Anwendung auch in die Blockierfunktion eingebunden werden kann, fügen Sie dem Dienstperimeter Cloud Functions (cloudfunctions.googleapis.com) hinzu.

    • Bei Verwendung von SMS-basierter Multi-Faktor-Authentifizierung (MFA), E-Mail-Authentifizierung oder externen Identitätsanbietern werden Daten außerhalb des Perimeters gesendet. Wenn Sie MFA nicht mit SMS, E-Mail-Authentifizierung oder externen Identitätsanbietern verwenden, deaktivieren Sie diese Funktionen.

    GKE Multi-Cloud

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname gkemulticloud.googleapis.com
    Details

    Die API für GKE Multi-Cloud kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu GKE Multi-Cloud finden Sie in der Produktdokumentation.

    Beschränkungen

    • Fügen Sie dem Dienstperimeter die Secure Token API (securetoken.googleapis.com) hinzu, um die Identity Platform vollständig zu schützen und die Aktualisierung von Tokens zuzulassen. securetoken.googleapis.com ist nicht auf der Seite „VPC Service Controls“ der Google Cloud Console aufgeführt. Sie können diesen Dienst nur mit dem Befehl gcloud access-context-manager perimeters update hinzufügen.

    • Wenn Ihre Anwendung auch in die Blockierfunktion eingebunden werden kann, fügen Sie dem Dienstperimeter Cloud Functions (cloudfunctions.googleapis.com) hinzu.

    • Bei Verwendung von SMS-basierter Multi-Faktor-Authentifizierung (MFA), E-Mail-Authentifizierung oder externen Identitätsanbietern werden Daten außerhalb des Perimeters gesendet. Wenn Sie MFA nicht mit SMS, E-Mail-Authentifizierung oder externen Identitätsanbietern verwenden, deaktivieren Sie diese Funktionen.

    Anthos On-Prem API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname gkeonprem.googleapis.com
    Details

    Die Anthos On-Prem API kann durch VPC Service Controls geschützt werden und die API kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Anthos On-Prem API finden Sie in der Produktdokumentation.

    Beschränkungen

    • Fügen Sie dem Dienstperimeter alle folgenden APIs hinzu, um die Anthos On-Prem API vollständig zu schützen:

      • Cloud Monitoring API (monitoring.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)
      • Beachten Sie, dass VPC Service Controls nicht vor Cloud Logging-Logexporten auf Ordner- oder Organisationsebene schützt.

    Google Distributed Cloud Virtual for Bare Metal

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Nein. Die API für Google Distributed Cloud Virtual for Bare Metal kann nicht durch Dienstperimeter geschützt werden. Google Distributed Cloud Virtual for Bare Metal kann jedoch normal in Projekten innerhalb eines Perimeters verwendet werden.
    Details

    Sie können einen Cluster in Ihrer Umgebung erstellen, der über Cloud Interconnect oder Cloud VPN mit der VPC verbunden ist.

    Weitere Informationen zu Google Distributed Cloud Virtual for Bare Metal finden Sie in der Produktdokumentation.

    Beschränkungen

    • Wenn Sie einen Cluster mit GDCV für Bare Metal erstellen oder upgraden, verwenden Sie das Flag --skip-api-check in bmctl, um den Aufruf der Service Usage API (serviceusage.googleapis.com) zu umgehen, da die Service Usage API (serviceusage.googleapis.com) von VPC Service Controls nicht unterstützt wird. GDCV für Bare Metal ruft die Service Usage API auf, um zu prüfen, ob die erforderlichen APIs in einem Projekt aktiviert sind. Sie wird nicht verwendet, um die Erreichbarkeit von API-Endpunkt zu prüfen.

    • Verwenden Sie zum Schutz von GDCV für Bare Metal die eingeschränkte VIP in GDCV für Bare Metal und fügen Sie dem Dienstperimeter alle folgenden APIs hinzu:

      • Artifact Registry API (artifactregistry.googleapis.com)
      • Google Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
      • Compute Engine API (compute.googleapis.com)
      • Connect Gateway API (connectgateway.googleapis.com)
      • Google Container Registry API (containerregistry.googleapis.com)
      • GKE Connect API (gkeconnect.googleapis.com)
      • GKE Hub API (gkehub.googleapis.com)
      • GKE On-Prem API (gkeonprem.googleapis.com)
      • Cloud IAM API (iam.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)
      • Cloud Monitoring API (monitoring.googleapis.com)
      • Config Monitoring for Ops API (opsconfigmonitoring.googleapis.com)
      • Service Control API (servicecontrol.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)

    On-Demand Scanning API

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname ondemandscanning.googleapis.com
    Details

    Die API for On-Demand Scanning API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur On-Demand Scanning API finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der On-Demand Scanning API in VPC Service Controls gelten keine bekannten Einschränkungen.

    Looker (Google Cloud Core)

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname looker.googleapis.com
    Details

    Die API für Looker (Google Cloud Core) kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Looker (Google Cloud Core) finden Sie in der Produktdokumentation.

    Beschränkungen

    • Die VPC Service Controls-Compliance wird nur von Enterprise- oder Embed-Versionen von Looker (Google Cloud Core)-Instanzen mit privaten IP-Verbindungen unterstützt. Looker (Google Cloud Core)-Instanzen mit öffentlichen IP-Verbindungen oder öffentlichen und privaten IP-Verbindungen unterstützen die VPC Service Controls-Compliance nicht. Um eine Instanz zu erstellen, die eine private IP-Verbindung verwendet, wählen Sie in der Google Cloud Console auf der Seite Instanz erstellen im Abschnitt Netzwerk die Option Private IP-Adresse aus.

    • Wenn Sie eine Looker (Google Cloud Core)-Instanz innerhalb eines VPC Service Controls-Dienstperimeters platzieren oder erstellen, müssen Sie die Standardroute zum Internet entfernen. Rufen Sie dazu die Methode services.enableVpcServiceControls auf oder führen Sie den folgenden gcloud-Befehl aus:

      gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

    Öffentliche Zertifizierungsstelle

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname publicca.googleapis.com
    Details

    Die API für Public Certificate Authority kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Public Certificate Authority finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden der öffentlichen Zertifizierungsstelle in VPC Service Controls gelten keine bekannten Einschränkungen.

    Speicherstatistiken

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname storageinsights.googleapis.com
    Details

    Die API für Storage Insights kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Storage Insights finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Storage Insights in VPC Service Controls gelten keine bekannten Einschränkungen.

    Dataflow-Datenpipelines

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname datapipelines.googleapis.com
    Details

    Nehmen Sie alle folgenden APIs in Ihren Perimeter auf, um Dataflow-Datenpipelines vollständig zu schützen:

    • Dataflow API (dataflow.googleapis.com)
    • Cloud Scheduler API (cloudscheduler.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)

    Weitere Informationen zu Dataflow-Datenpipelines finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Dataflow Data Pipelines in VPC Service Controls gelten keine bekannten Einschränkungen.

    Security Command Center

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname securitycenter.googleapis.com, securitycentermanagement.googleapis.com
    Details

    Die APIs für Security Command Center können durch VPC Service Controls geschützt werden und Security Command Center kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Security Command Center finden Sie in der Produktdokumentation.

    Beschränkungen

    • VPC Service Controls unterstützt nicht den Zugriff auf Ressourcen und Clients der Security Command Center API auf Ordner- oder Organisationsebene innerhalb eines Dienstperimeters. VPC Service Controls schützt die Security Command Center API-Ressourcen auf Projektebene. Sie können eine Richtlinie für ausgehenden Traffic festlegen, um den Zugriff auf Security Command Center API-Ressourcen auf Projektebene von Projekten innerhalb des Perimeters zu verhindern.
    • VPC Service Controls unterstützt nicht das Hinzufügen von Security Command Center API-Ressourcen auf Ordner- oder Organisationsebene zu einem Dienstperimeter. Sie können einen Perimeter nicht verwenden, um Security Command Center API-Ressourcen auf Ordner- oder Organisationsebene zu schützen. Zum Verwalten von Security Command Center-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM.
    • VPC Service Controls unterstützt den Dienst für den Sicherheitsstatus nicht, da Ressourcen für den Sicherheitsstatus (z. B. für den Sicherheitsstatus, Bereitstellungen des Sicherheitsstatus und vordefinierte Vorlagen für den Sicherheitsstatus) Ressourcen auf Organisationsebene sind.
    • Sie können Ergebnisse auf Ordner- oder Organisationsebene nicht in Ziele innerhalb eines Dienstperimeters exportieren.
    • In den folgenden Szenarien müssen Sie den Perimeterzugriff aktivieren:

    Cloud Customer Care

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudsupport.googleapis.com
    Details

    Die API für Cloud Customer Care kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Cloud Customer Care finden Sie in der Produktdokumentation.

    Beschränkungen

    VPC Service Controls schützt Daten, auf die über die Cloud Support API zugegriffen wird, aber nicht Daten, auf die über die Google Cloud Console zugegriffen wird.

    Vertex AI Search and Conversation – Vertex AI Search

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname discoveryengine.googleapis.com
    Details

    Die API für Vertex AI Search and Conversation – Vertex AI Search kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Vertex AI Search and Conversation – Vertex AI Search finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Vertex AI Search and Conversation – Vertex AI Search in VPC Service Controls gelten keine bekannten Einschränkungen.

    Vertraulicher Gruppenbereich

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname confidentialcomputing.googleapis.com
    Details

    Die Confidential Space API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Confidential Space finden Sie in der Produktdokumentation.

    Beschränkungen

    Confidential Space benötigt Lesezugriff auf Cloud Storage-Buckets, um die Zertifikate herunterzuladen, die zum Validieren des Attestierungstokens verwendet werden. Wenn sich diese Cloud Storage-Buckets außerhalb des Perimeters befinden, müssen Sie die folgende Regel für ausgehenden Traffic erstellen:

    
      - egressTo:
          operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
            - method: google.storage.objects.get
          resources:
          - projects/870449385679
          - projects/180376494128
        egressFrom:
          identityType: ANY_IDENTITY

    Serielle Konsole

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname ssh-serialport.googleapis.com
    Details

    Wenn Sie beim Herstellen einer Verbindung zur seriellen Konsole für eine VM-Instanz den Schutz von VPC Service Controls verwenden möchten, müssen Sie eine Regel für eingehenden Traffic für den Dienstperimeter angeben. Beim Einrichten der Regel für eingehenden Traffic muss die Zugriffsebene für die Quelle ein IP-basierter Wert sein und der Dienstname muss auf ssh-serialport.googleapis.com festgelegt sein. Die Eingangsregel ist für den Zugriff auf die serielle Konsole erforderlich, auch wenn sich Quellanfrage und Zielressource im selben Perimeter befinden.

    Weitere Informationen zur seriellen Konsole finden Sie in der Produktdokumentation.

    Beschränkungen
    • Mit dem privater Google-Zugriff können Sie nicht auf eine serielle Konsole zugreifen. Sie können nur über das öffentliche Internet auf die serielle Konsole zugreifen.
    • Bei Verwendung einer seriellen Konsole können identitätsbasierte Regeln für eingehenden oder ausgehenden Traffic nicht verwendet werden, um den Zugriff auf die serielle Konsole zu ermöglichen.

    Google Cloud VMware Engine

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname vmwareengine.googleapis.com
    Details Weitere Informationen zu VMware Engine Service Controls finden Sie unter VPC Service Controls mit VMware Engine.

    Weitere Informationen zur Google Cloud VMware Engine finden Sie in der Produktdokumentation.

    Beschränkungen
    Wenn Sie einem VPC-Dienstperimeter vorhandene VMware Engine-Netzwerke, Private Clouds, Netzwerkrichtlinien und VPC-Peering hinzufügen, werden zuvor erstellte Ressourcen nicht noch einmal daraufhin überprüft, ob sie noch den Richtlinien des Perimeters entsprechen.

    Dataform

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname dataform.googleapis.com
    Details

    Informationen zum Steuern des Zugriffs auf Dataform mit VPC Service Controls finden Sie unter VPC Service Controls für Dataform konfigurieren.

    Weitere Informationen zu Dataform finden Sie in der Produktdokumentation.

    Beschränkungen
    Wenn Sie den Schutz von VPC Service Controls für Dataform verwenden möchten, müssen Sie die Organisationsrichtlinie „dataform.restrictGitRemotes“ festlegen und BigQuery auf denselben Dienstperimeter wie Dataform einschränken. Achten Sie darauf, dass die Berechtigungen von Identity and Access Management, die den in Dataform verwendeten Dienstkonten gewährt wurden, Ihre Sicherheitsarchitektur widerspiegeln.

    Web Security Scanner

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname websecurityscanner.googleapis.com
    Details

    Für Web Security Scanner und VPC Service Controls gelten unterschiedliche Nutzungsbedingungen. Weitere Informationen finden Sie in den Nutzungsbedingungen der einzelnen Produkte.

    Web Security Scanner sendet die Ergebnisse bei Bedarf an Security Command Center. Sie können die Daten über das Security Command Center-Dashboard ansehen oder herunterladen.

    Weitere Informationen zu Web Security Scanner finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Web Security Scanner in VPC Service Controls gelten keine bekannten Einschränkungen.

    Secure Source Manager

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname securesourcemanager.googleapis.com
    Details
    • Sie müssen den Certificate Authority Service mit einer funktionierenden Zertifizierungsstelle konfigurieren, bevor Sie Secure Source Manager VPC Service Controls-Instanzen erstellen.
    • Sie müssen Private Service Connect konfigurieren, bevor Sie auf die VPC Service Controls-Instanz von Secure Source Manager zugreifen können.

    Weitere Informationen zu Secure Source Manager finden Sie in der Produktdokumentation.

    Beschränkungen

    • Der durch GKE-Einschränkungen verursachte Audit-Log-Verstoß SERVICE_NOT_ALLOWED_FROM_VPC kann ignoriert werden.
    • Wenn Sie die Weboberfläche von VPC Service Controls mit einem Browser öffnen möchten, benötigt der Browser Zugriff auf die folgenden URLs:
      • https://accounts.google.com
      • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
        • Beispiel: https://us-central1-sourcemanagerredirector-pa.client6.google.com
      • https://lh3.googleusercontent.com

    API-Schlüssel

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname apikeys.googleapis.com
    Details

    Die API für API-Schlüssel kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu API-Schlüsseln finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von API-Schlüsseln in VPC Service Controls gelten keine bekannten Einschränkungen.

    Partnerkonsole in der Datenhoheitskontrollen durch Partner

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudcontrolspartner.googleapis.com
    Details

    Die Cloud Controls Partner API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Partnerkonsole in der Datenhoheitskontrollen durch Partner finden Sie in der Produktdokumentation.

    Beschränkungen
    • Dieser Dienst muss für alle Nicht-Partner eingeschränkt werden. Wenn Sie Partner sind, der Datenhoheitskontrollen durch Partner unterstützt, können Sie diesen Dienst mit einem Dienstperimeter schützen.

    Mikrodienste

    Status Beta
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname microservices.googleapis.com
    Details

    Die API für Mikrodienste kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zu Mikrodiensten finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Mikrodiensten in VPC Service Controls gelten keine bekannten Einschränkungen.

    Earth Engine

    Status GA: Diese Produktintegration wird von VPC Service Controls vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname earthengine.googleapis.com,
    earthengine-highvolume.googleapis.com
    Details

    Die Earth Engine API kann durch VPC Service Controls geschützt werden und das Produkt kann innerhalb von Dienstperimetern normal verwendet werden.

    Weitere Informationen zur Earth Engine finden Sie in der Produktdokumentation.

    Beschränkungen
    • Der Codeeditor von Earth Engine, eine webbasierte IDE für die Earth Engine JavaScript API, wird nicht unterstützt. Außerdem ist die Verwendung des Earth Engine-Codeeditors mit Ressourcen und Clients innerhalb eines Dienstperimeters von VPC Service Controls nicht möglich.
    • Legacy-Assets sind nicht durch VPC Service Controls geschützt.
    • Der Export nach Google Drive wird von VPC Service Controls nicht unterstützt.
    • Earth Engine-Anwendungen werden für Ressourcen und Clients innerhalb eines Dienstperimeters nicht unterstützt.
    • VPC Service Controls ist nur für die Earth Engine-Preismodelle Premium und Professional verfügbar. Weitere Informationen zu den Preismodellen finden Sie unter Earth Engine-Tarife.

    Weitere Informationen zu Einschränkungen und Beispiel-Problemumgehungen finden Sie in der Dokumentation zur Zugriffssteuerung von Earth Engine.

    App Hub

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname apphub.googleapis.com
    Details

    Mit App Hub können Sie Infrastrukturressourcen ermitteln und in Anwendungen organisieren. Sie können App Hub-Ressourcen mit VPC Service Controls-Perimetern schützen.

    Weitere Informationen zu App Hub finden Sie in der Produktdokumentation.

    Beschränkungen

    Sie müssen VPC Service Controls in den App Hub-Host- und Dienstprojekten einrichten, bevor Sie eine Anwendung erstellen und Dienste und Arbeitslasten bei der Anwendung registrieren. App Hub unterstützt die folgenden Ressourcentypen:

    • Anwendung
    • Erkannter Dienst
    • Erkannte Arbeitslast
    • Dienst
    • Dienstprojektanhang
    • Arbeitslast

    Cloud Code

    Status Vorschau. Die Einbindung dieses Produkts in VPC Service Controls befindet sich in der Vorabversion und kann umfassender getestet und genutzt werden. In Produktionsumgebungen wird sie jedoch nicht vollständig unterstützt.
    Mit Perimetern schützen? Ja. Sie können Ihre Perimeter so konfigurieren, dass sie diesen Dienst schützen.
    Dienstname cloudcode.googleapis.com
    Details

    Die Cloud Code API kann durch VPC Service Controls geschützt werden. Wenn Sie Features von Gemini in Cloud Code verwenden möchten, muss eine Richtlinie für eingehenden Traffic so konfiguriert werden, dass Traffic von IDE-Clients zugelassen wird. Weitere Informationen finden Sie in der Gemini-Dokumentation.

    Weitere Informationen zu Cloud Code finden Sie in der Produktdokumentation.

    Beschränkungen

    Für das Einbinden von Cloud Code in VPC Service Controls gelten keine bekannten Einschränkungen.

    Weitere Informationen finden Sie in den Abschnitten zu unterstützten und nicht unterstützten Diensten.

    Unterstützte Dienste für eingeschränkte VIP

    Mit der eingeschränkten virtuellen IP (VIP) können VMs, die sich in einem Dienstperimeter befinden, Aufrufe an Google Cloud-Dienste senden, ohne die Anfragen im Internet verfügbar zu machen. Eine vollständige Liste der Dienste, die auf der eingeschränkten VIP verfügbar sind, finden Sie unter Dienste, die von der eingeschränkten VIP unterstützt werden.

    Nicht unterstützte Dienste

    Der Versuch, einen nicht unterstützten Dienst mit dem gcloud-Befehlszeilentool oder der Access Context Manager API einzuschränken, führt zu einem Fehler.

    Der projektübergreifende Zugriff auf Daten von unterstützten Diensten wird von VPC Service Controls blockiert. Außerdem können Sie die eingeschränkte VIP verwenden, um den Aufruf nicht unterstützter Dienste durch Workloads zu blockieren.

    Weitere bekannte Einschränkungen

    In diesem Abschnitt werden bekannte Einschränkungen für bestimmte Google Cloud-Dienste, -Produkte und -Schnittstelle beschrieben, die bei der Verwendung von VPC Service Controls auftreten können.

    Informationen zu Einschränkungen für Produkte, die von VPC Service Controls unterstützt werden, finden Sie in der Tabelle der unterstützten Produkte.

    Weitere Informationen zum Beheben von Problemen mit VPC Service Controls finden Sie auf der Seite Fehlerbehebung.

    AutoML API

    Wenn Sie die AutoML API mit VPC Service Controls verwenden, gelten die folgenden Einschränkungen:

    • Sie können die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com nicht der Liste der eingeschränkten Dienste in einem Perimeter hinzufügen. Wenn Sie den Dienst automl.googleapis.com schützen, schützt der Perimeter die unterstützten regionalen Endpunkte wie eu-automl.googleapis.com.

    • AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables und AutoML Video Intelligence verwenden alle die AutoML API.

      Wenn Sie einen Dienstperimeter zum Schutz von automl.googleapis.com verwenden, wirkt sich das auf den Zugriff auf alle AutoML-Produkte aus, die in VPC Service Controls eingebunden sind und innerhalb des Perimeters verwendet werden. Sie müssen den VPC Service Controls-Perimeter für alle eingebundenen AutoML-Produkte konfigurieren, die innerhalb des Perimeters verwendet werden.

      Fügen Sie alle folgenden APIs in Ihren Perimeter ein, um die AutoML API vollständig zu schützen:

      • AutoML API (automl.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Compute Engine API (compute.googleapis.com)
      • BigQuery API (bigquery.googleapis.com)

    App Engine

    • App Engine (Standardumgebung und flexible Umgebung) wird von VPC Service Controls nicht unterstützt. Fügen Sie keine App Engine-Projekte in Dienstperimeter ein.

      Es ist jedoch möglich, App Engine-Anwendungen, die in Projekten außerhalb von Dienstperimetern erstellt wurden, das Lesen und Schreiben von Daten in geschützte Dienste innerhalb von Perimetern zu gestatten. Damit Ihre Anwendung auf die Daten von geschützten Diensten zugreifen kann, erstellen Sie eine Zugriffsebene, die das App Engine-Dienstkonto des Projekts enthält. App Engine kann daher nicht innerhalb von Dienstperimetern verwendet werden.

    Bare-Metal-Lösung

    • Die Bare-Metal-Lösung unterstützt VPC Service Controls nicht. Durch das Verbinden einer VPC mit aktivierten Service Controls mit Ihrer Bare-Metal-Lösungsumgebung werden Service Control-Garantien nicht aufrechterhalten.

    • Die API der Bare-Metal-Lösung kann einem sicheren Perimeter hinzugefügt werden. Die Perimeter von VPC Service Controls gelten jedoch nicht für die Bare-Metal-Lösungsumgebung in den regionalen Erweiterungen.

    Blockchain Node Engine

    • VPC Service Controls schützt nur die Blockchain Node Engine API. Wenn ein Knoten erstellt wird, müssen Sie trotzdem angeben, dass er für ein vom Nutzer konfiguriertes privates Netzwerk mit Private Service Connect bestimmt ist.

    • Der Peer-to-Peer-Traffic wird nicht von VPC Service Controls oder Private Service Connect beeinflusst und verwendet weiterhin das öffentliche Internet.

    Clientbibliotheken

    • Die Java- und Python-Clientbibliotheken für alle unterstützten Dienste werden für den Zugriff über die eingeschränkte VIP vollständig unterstützt. Die Unterstützung anderer Sprachen befindet sich in der Alphaphase und sollte nur zu Testzwecken verwendet werden.

    • Clients müssen Clientbibliotheken verwenden, die am 1. November 2018 oder später aktualisiert wurden.

    • Von Clients verwendete Dienstkontoschlüssel oder OAuth2-Client-Metadaten müssen am 1. November 2018 oder später aktualisiert worden sein. Ältere Clients, die den Token-Endpunkt verwenden, müssen auf den Endpunkt umgestellt werden, der in neueren Schlüsselmaterial- oder Clientmetadaten angegeben ist.

    Cloud Billing

    • Sie können Cloud Billing-Daten in einen Cloud Storage-Bucket oder eine BigQuery-Instanz in ein Projekt exportieren, das durch einen Dienstperimeter geschützt ist, ohne eine Zugriffsebene oder Eingangsregel zu konfigurieren.

    Cloud Deployment Manager

    • Deployment Manager wird von VPC Service Controls nicht unterstützt. Nutzer können möglicherweise Dienste aufrufen, die mit VPC Service Controls kompatibel sind. Sie sollten sich jedoch nicht darauf verlassen, da diese Kompatibilität nicht dauerhaft gewährleistet ist.

    • Als Behelfslösung können Sie das Deployment Manager-Dienstkonto (PROJECT_NUMBER@cloudservices.gserviceaccount.com) zu den Zugriffsebenen hinzufügen, um Aufrufe von APIs zuzulassen, die durch VPC Service Controls geschützt sind.

    Cloud Shell

    Cloud Service Controls unterstützt Cloud Shell nicht. VPC Service Controls behandelt Cloud Shell als außerhalb von Dienstperimetern und verweigert den Zugriff auf Daten, die durch VPC Service Controls geschützt werden. VPC Service Controls erlaubt jedoch den Zugriff auf Cloud Shell, wenn ein Gerät, das die Anforderungen des Dienstperimeters an die Zugriffsebene erfüllt, Cloud Shell initiiert.

    Google Cloud Console

    • Da auf die Google Cloud Console nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Google Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie z. B. Logging mit dem Perimeter geschützt haben, können Sie nicht auf die Logging-Oberfläche in der Google Cloud Console zugreifen.

      Wenn Sie den Zugriff von der Google Cloud Console auf durch einen Perimeter geschützte Ressourcen ermöglichen möchten, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Google Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.

      Wenn Sie den Google Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Google Cloud Console.

    • Anfragen über die Google Cloud Console von einem Netzwerk, für das der private Google-Zugriff aktiviert ist, darunter Netzwerke, die implizit von Cloud NAT aktiviert wurden, werden möglicherweise blockiert. Das kann auch dann passieren, wenn sich das anfragende Quellnetzwerk und die Zielressource im selben Perimeter befinden. Das liegt daran, dass der Zugriff auf die Google Cloud Console über den privaten Google-Zugriff von VPC Service Controls nicht unterstützt wird.

    Zugriff auf private Dienste

    • Der Zugriff auf private Dienste unterstützt das Bereitstellen einer Dienstinstanz in einem freigegebenen VPC-Netzwerk. Wenn Sie diese Konfiguration mit VPC Service Controls verwenden, müssen Sie dafür sorgen, dass sich das Hostprojekt, das das Netzwerk bereitstellt, und das Dienstprojekt, das die Dienstinstanz enthält, im selben VPC Service Controls-Perimeter befinden. Andernfalls werden Anfragen möglicherweise blockiert und Dienstinstanzen funktionieren möglicherweise nicht ordnungsgemäß.

      Weitere Informationen zu Diensten, die den Zugriff auf private Dienste unterstützen, finden Sie unter Unterstützte Dienste.

    GKE Multi-Cloud

    • VPC Service Controls gilt nur für Ressourcen innerhalb Ihres Google Cloud-Projekts. Die Drittanbieter-Cloud-Umgebung, in der Ihre GKE-Multi-Cloud-Cluster gehostet werden, hält keine Service Controls-Garantien.

    Google Distributed Cloud Virtual for Bare Metal

    • VPC Service Controls gilt nur für Bare-Metal-Maschinen, die mit VPC-Netzwerkprojekten verbunden sind und die eingeschränkte VIP verwenden.

    • OpenID Connect (OIDC)- und Lightweight Directory Access Protocol (LDAP)-Dienste müssen sich im selben VPC Service Controls-Perimeter befinden. Die Anfragen an externe Endpunkte werden blockiert.

    Migrationscenter

    • Nachdem Sie den Dienstperimeter aktiviert haben, können Sie Ihre Infrastrukturdaten nicht mehr an StratoZone übertragen.

    • Detaillierte Preisberichte können nicht mit einem aktivierten Dienstperimeter exportiert werden.

    Nächste Schritte