Produits compatibles et limites

Cette page contient un tableau des produits et services compatibles avec VPC Service Controls, ainsi qu'une liste des limites connues concernant certains services et certaines interfaces.

Produits compatibles

VPC Service Controls est compatible avec les produits suivants :

Produits compatibles Description

Cloud Search

État	GA
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudsearch.googleapis.com`
Détail	Google Cloud Search est compatible avec les contrôles de sécurité du cloud privé virtuel (VPC-SC) pour améliorer la sécurité de vos données. VPC-SC vous permet de définir un périmètre de sécurité autour des ressources Google Cloud Platform afin de contenir les données et de limiter les risques d'exfiltration de données. Pour plus d'informations sur Cloud Search, consultez la documentation du produit.
Limites	Les ressources Cloud Search n'étant pas stockées dans un projet GCP, vous devez mettre à jour les paramètres client Cloud Search avec le projet protégé par périmètre VPC. Le projet VPC sert de conteneur de projet virtuel pour toutes vos ressources Cloud Search. Sans ce mappage, VPC Service Controls ne fonctionnera pas pour l'API Cloud Search. Pour connaître la procédure complète d'activation de VPC Service Controls avec Google Cloud Search, consultez la page Renforcer la sécurité pour Google Cloud Search.

Tests de connectivité

État	Bêta
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`networkmanagement.googleapis.com`
Détail	L'API pour les tests de connectivité peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les tests de connectivité, consultez la documentation du produit.
Limites	L'intégration des tests de connectivité à VPC Service Controls ne présente aucune limitation connue.

AI Platform Prediction

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`ml.googleapis.com`
Détail	VPC Service Controls est compatible avec la prédiction en ligne, mais pas la prédiction par lot. Pour plus d'informations sur AI Platform Prediction, consultez la documentation du produit.
Limites	Pour assurer une protection complète d'AI Platform Prediction, ajoutez toutes les API suivantes au périmètre de service : API AI Platform Training and Prediction (`ml.googleapis.com`) API Pub/Sub (`pubsub.googleapis.com`) API Cloud Storage (`storage.googleapis.com`) API Google Kubernetes Engine (`container.googleapis.com`) API Container Registry (`containerregistry.googleapis.com`) API Cloud Logging (`logging.googleapis.com`) Découvrez comment configurer VPC Service Controls pour AI Platform Prediction. La prédiction par lot n'est pas disponible lorsque vous utilisez AI Platform Prediction dans un périmètre de service. AI Platform Prediction et AI Platform Training utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Training.

AI Platform Training

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`ml.googleapis.com`
Détail	L'API pour AI Platform Training peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur AI Platform Training, consultez la documentation du produit.
Limites	Pour assurer une protection complète de vos tâches d'entraînement AI Platform Training, ajoutez toutes les API suivantes au périmètre de service : API AI Platform Training and Prediction (`ml.googleapis.com`) API Pub/Sub (`pubsub.googleapis.com`) API Cloud Storage (`storage.googleapis.com`) API Google Kubernetes Engine (`container.googleapis.com`) API Container Registry (`containerregistry.googleapis.com`) API Cloud Logging (`logging.googleapis.com`) Découvrez comment configurer VPC Service Controls pour AI Platform Training. L'entraînement à l'aide de TPU n'est pas disponible lorsque vous utilisez AI Platform Training dans un périmètre de service. AI Platform Training et AI Platform Prediction utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Prediction.

Notebooks

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`notebooks.googleapis.com`
Détail	L'API pour Notebooks peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Notebooks, reportez-vous à la documentation du produit.
Limites	Pour utiliser Notebooks dans un périmètre de service VPC Service Controls, vous devez ajouter ou configurer plusieurs entrées DNS pour diriger les domaines suivants vers l'adresse IP virtuelle restreinte : `.notebooks.googleapis.com` `.notebooks.cloud.google.com` `*.notebooks.googleusercontent.com`

Vertex AI

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`aiplatform.googleapis.com`
Détail	L'API pour Vertex AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Vertex AI, consultez la documentation du produit.
Limites	Pour en savoir plus sur les limites, consultez la section Limites de la documentation sur Vertex AI.

Apigee et Apigee hybride

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`apigee.googleapis.com, apigeeconnect.googleapis.com`
Détail	L'API pour Apigee et Apigee hybride peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Apigee et Apigee hybride, consultez la documentation du produit.
Limites	Les intégrations d'Apigee à VPC Service Controls présentent les limites suivantes : Les portails intégrés nécessitent des étapes supplémentaires de configuration. Vous devez déployer des portails Drupal dans le périmètre de service.

Anthos Service Mesh

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`meshca.googleapis.com`
Détail	L'API pour Anthos Service Mesh peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Découvrez comment configurer des clusters privés lors de l'installation de plusieurs clusters dans Anthos Service Mesh. Découvrez comment ajouter des services Anthos Service Mesh aux périmètres de service. Pour en savoir plus sur Anthos Service Mesh, consultez la documentation du produit.
Limites	Les périmètres de service ne sont actuellement pas compatibles avec le plan de contrôle géré d'Anthos Service Mesh.

Artifact Registry

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`artifactregistry.googleapis.com`
Détail	En plus de protéger l'API Artifact Registry, Artifact Registry peut être utilisé dans les périmètres de service avec GKE et Compute Engine. Pour plus d'informations sur Artifact Registry, reportez-vous à la documentation du produit.
Limites	Étant donné qu'Artifact Registry utilise le domaine `pkg.dev`, vous devez configurer le DNS pour que `*.pkg.dev` puisse être mappé à `private.googleapis.com` ou `restricted.googleapis.com`. Pour en savoir plus, consultez la page Sécuriser les dépôts dans un périmètre de service. Outre les artefacts situés à l'intérieur d'un périmètre qui sont accessibles par Artifact Registry, les dépôts Container Registry ci-après, gérés par Google et en lecture seule, sont disponibles pour tous les projets, quel que soit leur périmètre de service : `gcr.io/asci-toolchain` `gcr.io/cloud-airflow-releaser` `gcr.io/cloud-builders` `gcr.io/cloud-dataflow` `gcr.io/cloud-marketplace` `gcr.io/cloud-ssa` `gcr.io/cloudsql-docker` `gcr.io/config-management-release` `gcr.io/foundry-dev` `gcr.io/fn-img` `gcr.io/gke-node-images` `gcr.io/gke-release` `gcr.io/google-containers` `gcr.io/kubeflow` `gcr.io/kubeflow-images-public` `gcr.io/kubernetes-helm` `gcr.io/istio-release` `gcr.io/ml-pipeline` `gcr.io/projectcalico-org` `gcr.io/rbe-containers` `gcr.io/rbe-windows-test-images` `gcr.io/speckle-umbrella` `gcr.io/stackdriver-agents` `gcr.io/tensorflow` `gcr.io/vertex-ai` `gcr.io/vertex-ai-restricted` `gke.gcr.io` `k8s.gcr.io` Dans tous les cas, les versions régionales de ces dépôts sont également disponibles. Les images mises en cache sur `mirror.gcr.io` ne sont disponibles que si Container Registry se trouve également dans le périmètre.

AutoML Natural Language

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`automl.googleapis.com, eu-automl.googleapis.com`
Détail	Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre : API AutoML (`automl.googleapis.com`) API Cloud Storage (`storage.googleapis.com`) API Compute Engine (`compute.googleapis.com`) API BigQuery (`bigquery.googleapis.com`) Pour plus d'informations sur AutoML Natural Language, consultez la documentation du produit.
Limites	Tous les produits AutoML intégrés à VPC Service Controls utilisent la même adresse de service. Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.

AutoML Tables

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`automl.googleapis.com, eu-automl.googleapis.com`
Détail	Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre : API AutoML (`automl.googleapis.com`) API Cloud Storage (`storage.googleapis.com`) API Compute Engine (`compute.googleapis.com`) API BigQuery (`bigquery.googleapis.com`) Pour plus d'informations sur AutoML Tables, consultez la documentation du produit.
Limites	Tous les produits AutoML intégrés à VPC Service Controls utilisent la même adresse de service. Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.

AutoML Translation

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`automl.googleapis.com, eu-automl.googleapis.com`
Détail	Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre : API AutoML (`automl.googleapis.com`) API Cloud Storage (`storage.googleapis.com`) API Compute Engine (`compute.googleapis.com`) API BigQuery (`bigquery.googleapis.com`) Pour plus d'informations sur AutoML Translation, consultez la documentation du produit.
Limites	Tous les produits AutoML intégrés à VPC Service Controls utilisent la même adresse de service. Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.

AutoML Video Intelligence

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`automl.googleapis.com, eu-automl.googleapis.com`
Détail	Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre : API AutoML (`automl.googleapis.com`) API Cloud Storage (`storage.googleapis.com`) API Compute Engine (`compute.googleapis.com`) API BigQuery (`bigquery.googleapis.com`) Pour plus d'informations sur AutoML Video Intelligence, reportez-vous à la documentation du produit.
Limites	Tous les produits AutoML intégrés à VPC Service Controls utilisent la même adresse de service. Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.

AutoML Vision

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`automl.googleapis.com, eu-automl.googleapis.com`
Détail	Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre : API AutoML (`automl.googleapis.com`) API Cloud Storage (`storage.googleapis.com`) API Compute Engine (`compute.googleapis.com`) API BigQuery (`bigquery.googleapis.com`) Pour plus d'informations sur AutoML Vision, consultez la documentation du produit.
Limites	Tous les produits AutoML intégrés à VPC Service Controls utilisent la même adresse de service. Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.

BigQuery

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`bigquery.googleapis.com`
Détail	Lorsque vous protégez l'API BigQuery à l'aide d'un périmètre de service, l'API BigQuery Storage est également protégée. Vous n'avez pas besoin d'ajouter séparément l'API BigQuery Storage à la liste des services protégés de votre périmètre. Pour plus d'informations sur BigQuery, reportez-vous à la documentation du produit.
Limites	Les enregistrements de journal d'audit BigQuery n'incluent pas toujours la totalité des ressources utilisées lors de l'envoi de la requête, car le service traite en interne l'accès à plusieurs ressources. Lorsque vous accédez à une instance BigQuery protégée par un périmètre de service, la tâche BigQuery doit être exécutée dans un projet à l'intérieur du périmètre ou dans un projet autorisé par une règle de sortie du périmètre. Par défaut, les bibliothèques clientes BigQuery exécutent des tâches dans le compte de service ou le projet de l'utilisateur, ce qui entraîne le rejet de la requête par VPC Service Controls.

Service de transfert de données BigQuery

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`bigquerydatatransfer.googleapis.com`
Détail	Le périmètre de service ne protège que l'API du service de transfert de données BigQuery. La protection réelle des données est appliquée par BigQuery. Elle est conçue pour permettre l'importation de données provenant de différentes sources externes en dehors de Google Cloud, telles qu'Amazon S3, Redshift, Teradata, YouTube, Google Play et Google Ads, dans des ensembles de données BigQuery. Pour plus d'informations sur le service de transfert de données BigQuery, reportez-vous à la documentation du produit.
Limites	Le service de transfert de données BigQuery ne permet pas d'exporter des données en dehors d'un ensemble de données BigQuery. Pour en savoir plus, consultez la page Exporter des données de table. Le service de transfert de données BigQuery n'accepte pas les sources de données tierces pour transférer des données dans des projets protégés par un périmètre de service.

Cloud Bigtable

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`bigtable.googleapis.com, bigtableadmin.googleapis.com`
Détail	L'API pour Cloud Bigtable peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Bigtable, reportez-vous à la documentation du produit.
Limites	L'intégration de Cloud Bigtable à l'aide de VPC Service Controls ne présente aucune limitation connue.

Autorisation binaire

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`binaryauthorization.googleapis.com`
Détail	Lorsque vous utilisez plusieurs projets avec l'autorisation binaire, vous devez inclure chaque projet dans le périmètre VPC Service Controls. Pour en savoir plus sur ce cas d'utilisation, consultez la page Configuration multiprojets. Avec l'autorisation binaire, vous pouvez stocker respectivement les certificateurs et les attestations sous forme de notes et d'occurrences à l'aide de Container Analysis. Dans ce cas, vous devez également inclure Container Analysis dans le périmètre VPC Service Controls. Pour en savoir plus, consultez les conseils sur l'utilisation de VPC Service Controls avec Container Analysis. Pour en savoir plus sur l'autorisation binaire, consultez la documentation du produit.
Limites	L'intégration de l'autorisation binaire avec VPC Service Controls ne fait l'objet d'aucune limitation connue.

Certificate Authority Service

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`privateca.googleapis.com`
Détail	L'API pour Certificate Authority Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Certificate Authority Service, consultez la documentation sur le produit.
Limites	Pour utiliser Certificate Authority Service dans un environnement protégé, vous devez également ajouter l'API Cloud KMS (`cloudkms.googleapis.com`) et l'API Cloud Storage (`storage.googleapis.com`) à votre périmètre de service.

Data Catalog

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`datacatalog.googleapis.com`
Détail	Data Catalog respecte automatiquement les périmètres autour des autres services Google Cloud. Pour plus d'informations sur Data Catalog, reportez-vous à la documentation du produit.
Limites	L'intégration de Data Catalog à VPC Service Controls ne présente aucune limitation connue.

Cloud Data Fusion

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`datafusion.googleapis.com`
Détail	Pour protéger Cloud Data Fusion à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale. Pour plus d'informations sur Cloud Data Fusion, consultez la documentation du produit.
Limites	Établissez le périmètre de sécurité VPC Service Controls avant de créer votre instance privée Cloud Data Fusion. La protection périmétrique des instances créées avant la configuration de VPC Service Controls n'est pas disponible. Actuellement, l'interface utilisateur du plan de données Cloud Data Fusion ne permet pas le contrôle d'accès basé sur l'identité à l'aide de règles d'entrée ou de niveaux d'accès.

Compute Engine

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`compute.googleapis.com`
Détail	La compatibilité de VPC Service Controls avec Compute Engine offre les avantages suivants en termes de sécurité : Limite l'accès aux opérations d'API sensibles Limite les instantanés de disque persistant et les images personnalisées à un périmètre Limite l'accès aux métadonnées d'instance La compatibilité de VPC Service Controls avec Compute Engine vous permet également d'utiliser des réseaux cloud privés virtuels et des clusters privés Google Kubernetes Engine au sein des périmètres de service. Pour plus d'informations sur Compute Engine, reportez-vous à la documentation du produit.
Limites	Les pare-feu hiérarchiques ne sont pas affectés par les périmètres de service. Les opérations d'appairage de VPC n'appliquent pas les restrictions liées au périmètre de service VPC. La méthode API `projects.ListXpnHosts` pour le VPC partagé n'applique pas les restrictions du périmètre de service aux projets renvoyés. Pour qu'une image Compute Engine puisse être créée dans un projet Cloud Storage protégé par un périmètre de service, l'utilisateur qui crée l'image doit être ajouté temporairement à une règle d'entrée du périmètre. VPC Service Controls ne permet pas l'utilisation de la version Open Source de Kubernetes sur les VM Compute Engine dans un périmètre de service.

Dataflow

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`dataflow.googleapis.com`
Détail	Dataflow est compatible avec un certain nombre de connecteurs de service de stockage. Les connecteurs suivants ont été validés pour fonctionner avec Dataflow dans un périmètre de service : Cloud Storage (Java , Python ) BigQuery (Java, Python ) Pub/Sub ( Java , Python ) Cloud Bigtable (Java ) Cloud Spanner (Java ) Pour plus d'informations sur Dataflow, reportez-vous à la documentation du produit.
Limites	Les configurations BIND personnalisées ne sont pas compatibles avec Dataflow. Pour personnaliser la résolution DNS lors de l'utilisation de Dataflow avec VPC Service Controls, exploitez des zones privées Cloud DNS au lieu d'utiliser des serveurs BIND personnalisés. Pour utiliser votre propre résolution DNS sur site, envisagez d'employer une méthode de transfert DNS Google Cloud. Les connecteurs de service de stockage n'ont pas tous été validés pour fonctionner avec l'utilisation de Cloud Dataflow dans un périmètre de service. Pour obtenir la liste des connecteurs validés, consultez les informations sur Cloud Dataflow. Lorsque vous utilisez Python 3.5 avec le SDK Apache Beam 2.20.0–2.22.0, les tâches Dataflow échouent au démarrage si les nœuds de calcul ne disposent que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources. Si les nœuds de calcul Dataflow ne peuvent disposer que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources, n'utilisez pas Python 3.5 avec le SDK Apache Beam 2.20.0‐2.22.0. Cette combinaison entraîne l'échec des tâches au démarrage.

Dataproc

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`dataproc.googleapis.com`
Détail	Pour protéger Cloud Dataproc à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale. Pour plus d'informations sur Dataproc, reportez-vous à la documentation du produit.
Limites	Pour protéger un cluster Dataproc avec un périmètre de service, vous devez suivre les instructions sur la configuration d'une connectivité privée pour permettre au cluster de fonctionner à l'intérieur du périmètre.

Dataproc Metastore

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`metastore.googleapis.com`
Détail	L'API pour Dataproc Metastore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Dataproc Metastore, consultez la documentation du produit.
Limites	L'intégration de Dataproc Metastore avec VPC Service Controls n'a pas de limites connues.

Dialogflow

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`dialogflow.googleapis.com`
Détail	L'API pour Dialogflowl peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Dialogflow, reportez-vous à la documentation du produit.
Limites	Si votre agent n'intègre pas l'accès au réseau privé de l'annuaire des services, les appels webhook sont considérés comme extérieurs au périmètre de service et sont bloqués. L'annuaire des services accepte les points de terminaison limités. Pour en savoir plus, consultez l'annuaire des services.

Cloud Data Loss Prevention

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`dlp.googleapis.com`
Détail	L'API pour Cloud Data Loss Prevention peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Data Loss Prevention, consultez la documentation du produit.
Limites	Comme VPC Service Controls n'est actuellement pas compatible avec les ressources de dossier et d'organisation, les appels DLP peuvent renvoyer une réponse 403 lors de la tentative d'accès aux ressources au niveau de l'organisation. Nous vous recommandons de gérer les autorisations DLP au niveau des dossiers et de l'organisation à l'aide d'IAM.

Cloud DNS

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`dns.googleapis.com`
Détail	L'API pour Cloud DNS peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud DNS, consultez la documentation du produit.
Limites	Vous pouvez accéder à Cloud DNS via l'adresse IP virtuelle restreinte. Toutefois, vous ne pouvez pas créer ni mettre à jour des zones DNS publiques au sein de projets situés dans le périmètre VPC Service Controls.

Document AI

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`documentai.googleapis.com`
Détail	L'API pour Document AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Document AI, consultez la documentation du produit.
Limites	L'intégration de Document AI à VPC Service Controls n'a pas de limites connues.

Eventarc

Status	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`eventarc.googleapis.com`
Détail	Eventarc gère la diffusion d'événements vers Cloud Run à l'aide de sujets et d'abonnements push Pub/Sub. Pour accéder à l'API Pub/Sub et gérer les déclencheurs d'événements, l'API Eventarc doit être protégée dans le même périmètre de service VPC Service Controls que l'API Pub/Sub. Pour en savoir plus sur Eventarc, consultez la documentation du produit.
Limites	L'intégration d'Eventarc à VPC Service Controls n'a pas de limites connues.

Cloud Functions

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudfunctions.googleapis.com`
Détail	Consultez la documentation de Cloud Functions pour connaître la procédure de configuration. La protection VPC Service Controls ne s'applique pas à la phase de création lorsque des fonctions Cloud sont compilées à l'aide de Cloud Build. La protection VPC Service Controls s'applique à tous les déclencheurs de fonction, à l'exception des déclencheurs Firebase Realtime Database et Firebase Crashlytics. Pour plus d'informations, reportez-vous aux limites connues. Pour en savoir plus sur Cloud Functions, consultez la documentation du produit.
Limites	Cloud Functions crée votre code source dans un conteneur exécutable à l'aide de Cloud Build. Pour utiliser Cloud Functions à l'intérieur d'un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Build dans votre périmètre de service. Pour permettre à vos fonctions d'utiliser des dépendances externes, telles que des packages npm, Cloud Build dispose d'un accès illimité à Internet. Cet accès Internet pourrait permettre d'exfiltrer les données disponibles au moment de la compilation, par exemple le code source que vous avez importé. Pour atténuer les risques d'exfiltration que présente ce vecteur, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeur de Cloud Functions à des développeurs non approuvés. Pour les déclencheurs Firebase Realtime Database et Firebase Crashlytics, un utilisateur risquerait de déployer une fonction déclenchée par des modifications apportées à Firebase Realtime Database ou Firebase Crashlytics dans un autre projet, situé en dehors du périmètre de service du projet dans lequel la fonction est déployée. Si vous souhaitez atténuer les risques d'exfiltration que présente ce vecteur pour ces deux déclencheurs, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeur de Cloud Functions à des développeurs non approuvés.

Cloud Identity and Access Management

État	Bêta
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`iam.googleapis.com`
Détail	Lorsque vous limitez la portée d'IAM avec un périmètre, seules les actions qui utilisent l'API Cloud IAM sont limitées. Ces actions incluent la gestion des rôles IAM personnalisés, la gestion des pools d'identités de charge de travail, ainsi que la gestion des comptes de service et des clés. Le périmètre ne limite pas les actions qui utilisent d'autres API, telles que les suivantes : API IAM Policy Simulator API IAM Policy Troubleshooter API Security Token Service API Service Account Credentials (y compris les anciennes méthodes `signBlob` et `signJwt` dans l'API IAM) Le périmètre autour d'IAM ne limite pas non plus l'obtention ni la définition de stratégies IAM pour les ressources appartenant à d'autres services, tels que des instances de machines virtuelles Compute Engine. Pour restreindre l'obtention et la définition de stratégies IAM pour ces ressources, créez un périmètre qui limite le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies IAM et des services qui les possèdent, consultez la section Types de ressources qui acceptent les stratégies IAM. Pour plus d'informations sur Identity and Access Management, consultez la documentation du produit.
Limites	Si vous vous trouvez dans le périmètre, vous ne pouvez pas appeler la méthode `roles.list` en spécifiant une chaîne vide pour répertorier les rôles prédéfinis IAM. Si vous devez afficher les rôles prédéfinis, consultez la documentation sur les rôles IAM.

Accès au VPC sans serveur

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`vpcaccess.googleapis.com`
Détail	L'API pour la fonctionnalité Accès au VPC sans serveur peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur la fonctionnalité Accès au VPC sans serveur, consultez la documentation du produit.
Limites	L'intégration de la fonctionnalité Accès au VPC sans serveur à VPC Service Controls n'a pas de limites connues.

Cloud Key Management Service

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudkms.googleapis.com`
Détail	L'API pour Cloud Key Management Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Key Management Service, consultez la documentation du produit.
Limites	L'intégration de Cloud Key Management Service avec VPC Service Controls n'est soumise à aucune limitation connue.

Game Servers

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`gameservices.googleapis.com`
Détail	L'API pour Game Servers peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Game Servers, consultez la documentation du produit.
Limites	L'intégration de Game Servers à VPC Service Controls ne présente aucune limitation connue.

Identity-Aware Proxy for TCP

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`iaptunnel.googleapis.com`
Détail	L'API pour Identity-Aware Proxy for TCP peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Identity-Aware Proxy for TCP, consultez la documentation du produit.
Limites	Seule l'API d'utilisation d'IAP for TCP peut être protégée par un périmètre. L'API d'administration ne peut pas être protégée par un périmètre. Pour utiliser IAP for TCP dans un périmètre de service VPC Service Controls, vous devez ajouter ou configurer des entrées DNS pour faire pointer les domaines suivants vers l'adresse IP virtuelle restreinte : tunnel.cloudproxy.app *.tunnel.cloudproxy.app

Cloud Life Sciences

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`lifesciences.googleapis.com`
Détail	L'API pour Cloud Life Sciences peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Life Sciences, consultez la documentation du produit.
Limites	L'intégration de Cloud Life Sciences à VPC Service Controls n'a pas de limites connues.

Service géré pour Microsoft Active Directory

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`managedidentities.googleapis.com`
Détail	Configuration supplémentaire requise pour : l'accès sur site à l'API du service géré pour Microsoft AD ; VPC partagé Pour plus d'informations sur le service géré pour Microsoft Active Directory, consultez la documentation du produit.
Limites	L'intégration du service géré pour Microsoft Active Directory avec VPC Service Controls n'est soumise à aucune limitation connue.

reCAPTCHA Enterprise

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`recaptchaenterprise.googleapis.com beta`
Détail	L'API pour reCAPTCHA Enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur reCAPTCHA Enterprise, consultez la documentation du produit.
Limites	L'intégration de reCAPTCHA Enterprise à VPC Service Controls n'a pas de limites connues.

Outil de recommandation

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`recommender.googleapis.com`
Détail	L'API pour l'outil de recommandation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'outil de recommandation, reportez-vous à la documentation du produit.
Limites	L'intégration de l'outil de recommandation avec VPC Service Controls n'a pas de limites connues.

Secret Manager

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`secretmanager.googleapis.com`
Détail	L'API pour Secret Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Secret Manager, consultez la documentation du produit.
Limites	L'intégration de Secret Manager à VPC Service Controls ne présente aucune limitation connue.

Pub/Sub

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`pubsub.googleapis.com`
Détail	La protection VPC Service Controls s'applique à toutes les opérations d'administration, aux opérations d'éditeur et aux opérations d'abonné (à l'exception des abonnements push existants). Pour plus d'informations sur Pub/Sub, consultez la documentation du produit.
Limites	Dans les projets protégés par un périmètre de service, il est impossible de créer des abonnements push, sauf si les points de terminaison push sont définis sur des services Cloud Run avec des URL `run.app` par défaut (les domaines personnalisés ne fonctionnent pas). L'intégration de Cloud Run est disponible en aperçu. Les abonnements push Pub/Sub définis avant la création du périmètre de service ne sont pas bloqués.

Pub/Sub Lite

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`pubsublite.googleapis.com`
Détail	La protection VPC Service Controls s'applique à toutes les opérations d'abonné. Pour plus d'informations sur Pub/Sub Lite, consultez la documentation produit.
Limites	L'intégration de Pub/Sub Lite à VPC Service Controls n'a pas de limites connues.

Cloud Build

Status	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudbuild.googleapis.com`
Détail	Utilisez VPC Service Controls avec les pools privés Cloud Build pour renforcer la sécurité de vos compilations. Pour plus d'informations sur Cloud Build, consultez la documentation produit.
Limites	La protection VPC Service Controls n'est disponible que pour les compilations exécutées dans des pools privés.

Cloud Composer

État	GA
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`composer.googleapis.com`
Détail	Configurer Composer pour une utilisation avec VPC Service Controls Pour plus d'informations sur Cloud Composer, reportez-vous à la documentation produit.
Limites	L'activation de la sérialisation des DAG empêche Airflow d'afficher un modèle rendu avec des fonctions dans l'interface utilisateur Web. Il n'est pas possible de définir l'option `async_dagbag_loader` sur `True` lorsque la sérialisation des DAG est activée. L'activation de la sérialisation des DAG désactive tous les plug-ins du serveur Web Airflow, car ils peuvent compromettre la sécurité du réseau VPC sur lequel Cloud Composer est déployé. Cela n'a pas d'incidence sur le comportement des plug-ins du programmeur ou des nœuds de calcul, y compris les opérateurs et les capteurs Airflow. Lorsque Cloud Composer s'exécute à l'intérieur d'un périmètre, l'accès aux dépôts PyPI publics est restreint. Pour savoir comment installer les modules PyPI en mode d'adresse IP privée, consultez la page Installer des dépendances Python dans la documentation de Cloud Composer.

Cloud Run

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`run.googleapis.com`
Détail	Une configuration supplémentaire est requise pour Cloud Run. Suivez les instructions de la page de documentation VPC Service Controlsde Cloud Run. Pour en savoir plus sur Cloud Run, consultez la documentation du produit.
Limites	Pour Artifact Registry et Container Registry, le registre dans lequel vous stockez votre conteneur doit se trouver dans le même périmètre VPC Service Controls que le projet vers lequel vous effectuez le déploiement. Le code à compiler doit se trouver dans le même périmètre VPC Service Controls que le registre vers lequel le conteneur est transféré. La fonctionnalité de déploiement continu de Cloud Run n'est pas disponible pour les projets situés dans un périmètre VPC Service Controls.

Cloud Spanner

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`spanner.googleapis.com`
Détail	L'API pour Cloud Spanner peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Spanner, reportez-vous à la documentation du produit.
Limites	L'intégration de Cloud Spanner avec VPC Service Controls n'a pas de limites connues.

Speaker ID

Status	Bêta
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`speakerid.googleapis.com`
Détail	L'API de Speaker ID peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Speaker ID, consultez la documentation du produit.
Limites	L'intégration de Speaker ID avec VPC Service Controls n'a pas de limites connues.

Cloud Storage

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`storage.googleapis.com`
Détail	L'API pour Cloud Storage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Storage, reportez-vous à la documentation du produit.
Limites	Lorsque vous utilisez la fonctionnalité Paiements du demandeur à l'aide d'un bucket de stockage situé à l'intérieur d'un périmètre de service qui protège le service Cloud Storage, vous ne pouvez pas identifier un projet auquel imputer les frais s'il se situe en dehors du périmètre. Le projet cible doit se trouver dans le même périmètre que le bucket de stockage ou être associé au projet du bucket via une liaison de périmètre. Pour plus d'informations sur la fonctionnalité "Paiements du demandeur", consultez la section Exigences relatives à l'utilisation et aux accès de la fonctionnalité Paiements du demandeur. Pour les projets situés dans un périmètre de service, la page Cloud Storage dans Cloud Console n'est pas accessible si l'API Cloud Storage est protégée par ce périmètre. Si vous souhaitez autoriser l'accès à la page, vous devez créer une règle d'entrée et/ou un niveau d'accès incluant les comptes utilisateur et/ou la plage d'adresses IP publique pour lesquels vous souhaitez autoriser l'accès à l'API Cloud Storage. Dans les enregistrements du journal d'audit, le champ `resourceName` n'identifie pas le projet qui détient un bucket. Le projet doit être découvert séparément. Dans les enregistrements du journal d'audit, la valeur de `methodName` n'est pas toujours correcte. Nous vous conseillons de ne pas filtrer les enregistrements du journal d'audit Cloud Storage par `methodName`. Dans certains cas, les journaux des anciens buckets Cloud Storage peuvent être écrits vers des destinations situées en dehors d'un périmètre de service, même lorsque l'accès est refusé. Lorsque vous essayez d'utiliser `gsutil` pour la première fois dans un nouveau projet, vous pouvez être invité à activer le service `storage-api.googleapis.com`. Bien que vous ne puissiez pas protéger directement `storage-api.googleapis.com`, lorsque vous protégez l'API Cloud Storage à l'aide d'un périmètre de service, les opérations `gsutil` sont également protégées. Dans certains cas, les objets Cloud Storage qui étaient publics sont accessibles même après l'activation de VPC Service Controls sur les objets. Les objets sont accessibles jusqu'à leur expiration dans les caches intégrés et tout autre cache en amont sur le réseau entre l'utilisateur final et Cloud Storage. Par défaut, Cloud Storage met en cache les données publiques dans le réseau Cloud Storage. Pour en savoir plus sur la mise en cache des objets Cloud Storage, consultez la documentation de Cloud Storage. Pour en savoir plus sur la durée pendant laquelle un objet peut être mis en cache, consultez la section sur les métadonnées Cache-Control.

Cloud SQL

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`sqladmin.googleapis.com`
Détail	Les périmètres VPC Service Controls protègent l'API Cloud SQL Admin. Pour en savoir plus sur Cloud SQL, consultez la documentation du produit.
Limites	Les périmètres de service ne protègent que l'API Cloud SQL Admin. Ils ne protègent pas l'accès aux données basé sur une adresse IP sur les instances Cloud SQL. Vous devez utiliser une contrainte de règle d'administration pour limiter l'accès des adresses IP publiques aux instances Cloud SQL. Les opérations d'importation et d'exportation Cloud SQL ne peuvent effectuer des opérations de lecture et d'écriture à partir d'un bucket Cloud Storage qu'au sein du même périmètre de service que l'instance dupliquée Cloud SQL. Dans le flux de migration du serveur externe, vous devez ajouter le bucket Cloud Storage au même périmètre de service. Dans le flux de création de clé pour CMEK, vous devez créer la clé dans le même périmètre de service que les ressources qui l'utilisent. Lors de la restauration d'une instance à partir d'une sauvegarde, l'instance cible doit se situer dans le même périmètre de service que la sauvegarde.

API Video Intelligence

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`videointelligence.googleapis.com`
Détail	L'API pour l'API Video Intelligence peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Video Intelligence, consultez la documentation du produit.
Limites	L'intégration de l'API Video Intelligence à VPC Service Controls n'a pas de limites connues.

API Cloud Vision

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`vision.googleapis.com`
Détail	L'API pour l'API Cloud Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Cloud Vision, consultez la documentation du produit.
Limites	Même si vous créez une règle de sortie pour autoriser les appels vers des URL publiques depuis des périmètres VPC Service Controls, l'API Cloud Vision bloque les appels vers des URL publiques.

Container Analysis

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`containeranalysis.googleapis.com`
Détail	Pour utiliser Container Analysis avec VPC Service Controls, vous devrez peut-être ajouter d'autres services à votre périmètre VPC : Si vous utilisez des notifications Pub/Sub avec Container Analysis, ajoutez Pub/Sub à votre périmètre de service. Si vous utilisez l'API Container Scanning, ajoutez votre registre au périmètre Artifact Registry ou Container Registry. Étant donné que l'API Container Scanning est une API sans surface qui stocke les résultats dans Container Analysis, vous n'avez pas besoin de la protéger avec un périmètre de service. Pour plus d'informations sur Container Analysis, consultez la documentation du produit.
Limites	L'intégration de Container Analysis à VPC Service Controls ne présente aucune limite connue.

Container Registry

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`containerregistry.googleapis.com`
Détail	En plus de protéger l'API Container Registry, Container Registry peut être utilisé dans un périmètre de service avec GKE et Compute Engine. Pour plus d'informations sur Container Registry, reportez-vous à la documentation du produit.
Limites	Étant donné que Container Registry utilise le domaine `gcr.io`, vous devez configurer le DNS pour que `*.gcr.io` puisse être mappé sur `private.googleapis.com` ou `restricted.googleapis.com`. Pour plus d'informations, consultez la page Sécuriser Container Registry dans un périmètre de service. Outre les conteneurs situés à l'intérieur d'un périmètre qui sont accessibles par Container Registry, les dépôts ci-après, en lecture seule et gérés par Google, sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service : `gcr.io/asci-toolchain` `gcr.io/cloud-airflow-releaser` `gcr.io/cloud-builders` `gcr.io/cloud-dataflow` `gcr.io/cloud-marketplace` `gcr.io/cloud-ssa` `gcr.io/cloudsql-docker` `gcr.io/config-management-release` `gcr.io/foundry-dev` `gcr.io/fn-img` `gcr.io/gke-node-images` `gcr.io/gke-release` `gcr.io/google-containers` `gcr.io/kubeflow` `gcr.io/kubeflow-images-public` `gcr.io/kubernetes-helm` `gcr.io/istio-release` `gcr.io/ml-pipeline` `gcr.io/projectcalico-org` `gcr.io/rbe-containers` `gcr.io/rbe-windows-test-images` `gcr.io/speckle-umbrella` `gcr.io/stackdriver-agents` `gcr.io/tensorflow` `gcr.io/vertex-ai` `gcr.io/vertex-ai-restricted` `gke.gcr.io` `k8s.gcr.io` `mirror.gcr.io` Dans tous les cas, les versions multirégionales de ces dépôts sont également disponibles.

Google Kubernetes Engine

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`container.googleapis.com, gkeconnect.googleapis.com, gkehub.googleapis.com`
Détail	L'API pour Google Kubernetes Engine peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Google Kubernetes Engine, reportez-vous à la documentation du produit.
Limites	Seuls les clusters privés peuvent être protégés à l'aide de VPC Service Controls. Les clusters avec des adresses IP publiques ne sont pas compatibles avec VPC Service Controls.

Resource Manager

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudresourcemanager.googleapis.com beta`
Détail	L'API pour Resource Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Resource Manager, consultez la documentation du produit.
Limites	Les seules méthodes d'API Resource Manager qui sont protégées sont les versions v1 `project.setIAMPolicy` et v1beta1 `project.setIAMPolicy`.

Cloud Logging

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`logging.googleapis.com`
Détail	Comme VPC Service Controls n'est pas compatible avec les ressources Dossier et Organisation, les journaux au niveau des dossiers et de l'organisation ne sont pas protégés par VPC Service Controls. Pour en savoir plus, consultez les limitations connues associées au service. Pour plus d'informations sur Cloud Logging, consultez la documentation du produit.
Limites	Les récepteurs d'exportation agrégés (récepteurs de dossier ou d'organisation pour lesquels la valeur `includeChildren` est `true`) peuvent accéder aux données des projets situés à l'intérieur d'un périmètre de service. Nous vous recommandons de gérer les autorisations de Logging au niveau des dossiers et de l'organisation à l'aide d'IAM. Comme VPC Service Controls n'est actuellement pas compatible avec les ressources de dossier et d'organisation, les exportations de journaux au niveau de ces ressources (y compris les journaux agrégés) n'acceptent pas les périmètres de service. Nous vous recommandons d'exploiter IAM afin de limiter les exportations aux comptes de service requis pour interagir avec les services protégés par un périmètre. Pour configurer une exportation de journaux d'organisation ou de dossier vers une ressource protégée par un périmètre de service, vous devez ajouter une règle d'entrée dans le périmètre du service de destination, qui permet au compte de service de ce récepteur de journaux d'accéder au périmètre. Cette étape n'est pas nécessaire pour les exportations de journaux au niveau du projet. Pour en savoir plus, consultez les articles suivants : Règles d'entrée et de sortie Gérer les périmètres de service Présentation des exportations de journaux

Cloud Monitoring

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`monitoring.googleapis.com`
Détail	L'API pour Cloud Monitoring peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud Monitoring, consultez la documentation du produit.
Limites	Les canaux de notification, les règles d'alerte et les métriques personnalisées peuvent être utilisés conjointement pour exfiltrer des données/métadonnées. À l'heure actuelle, un utilisateur de Cloud Monitoring peut configurer un canal de notification pointant vers une entité extérieure à l'organisation, par exemple "baduser@badcompany.com". L'utilisateur configure ensuite des métriques personnalisées et les règles d'alerte correspondantes qui exploitent le canal de notification. Par conséquent, en manipulant les métriques personnalisées, l'utilisateur peut déclencher des alertes et envoyer des notifications de déclenchement d'alerte, exfiltrant ainsi des données sensibles vers l'adresse baduser@badcompany.com, c'est-à-dire en dehors du périmètre VPC Service Controls. Toutes les VM Compute Engine ou AWS sur lesquelles l'agent Monitoring est installé doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon l'écriture des données de métriques de l'agent échoue. Tous les pods GKE doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon la surveillance GKE ne peut pas fonctionner. Lorsque vous interrogez des métriques pour un champ d'application des métriques, seul le périmètre VPC Service Controls du projet du champ d'application de la métrique est pris en compte. Les périmètres des différents projets surveillés dans le champ d'application des métriques ne sont pas pris en compte. Vous ne pouvez ajouter un projet en tant que projet surveillé à un champ d'application des métriques existant que si ce projet se trouve dans le même périmètre VPC Service Controls que le projet de champ d'application des métriques. Pour accéder à Monitoring dans Cloud Console pour un projet hôte protégé par un périmètre de service, utilisez une règle d'entrée.

Cloud Profiler

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudprofiler.googleapis.com`
Détail	L'API pour Cloud Profiler peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud Profiler, consultez la documentation produit.
Limites	L'intégration de Cloud Profiler avec VPC Service Controls ne présente aucune limitation connue.

Cloud Trace

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudtrace.googleapis.com`
Détail	L'API pour Cloud Trace peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Trace, reportez-vous à la documentation du produit.
Limites	L'intégration de Cloud Trace avec VPC Service Controls ne fait l'objet d'aucune limite connue.

Cloud TPU

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`tpu.googleapis.com`
Détail	L'API pour Cloud TPU peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud TPU, consultez la documentation du produit.
Limites	L'intégration de Cloud TPU avec VPC Service Controls n'a pas de limites connues.

API Natural Language

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`language.googleapis.com`
Détail	L'API pour l'API Natural Language peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Natural Language, consultez la documentation produit.
Limites	L'intégration de l'API Natural Language avec VPC Service Controls n'est soumise à aucune limitation connue.

Network Connectivity Center

Status	Bêta
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`networkconnectivity.googleapis.com`
Détail	L'API pour Network Connectivity Center peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Network Connectivity Center, consultez la documentation du produit.
Limites	L'intégration de Network Connectivity Center à VPC Service Controls n'a pas de limites connues.

API Cloud Asset

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`cloudasset.googleapis.com`
Détail	Comme VPC Service Controls n'accepte pas les ressources Dossier et Organisation, l'accès aux éléments via l'API Cloud Asset au niveau du dossier ou de l'organisation n'est pas protégé. Pour en savoir plus, consultez les limitations connues associées au service. Pour plus d'informations sur l'API Cloud Asset, consultez la documentation produit.
Limites	Lorsque vous appelez l'API Cloud Asset au niveau du dossier ou de l'organisation, les données des projets situés à l'intérieur d'un périmètre de service appartenant au dossier ou à l'organisation sont toujours accessibles. Nous vous recommandons d'exploiter IAM pour gérer les autorisations Cloud Asset Inventory au niveau du dossier et de l'organisation.

Speech-to-Text

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`speech.googleapis.com`
Détail	L'API pour Speech-to-Text peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Speech-to-Text, consultez la documentation produit.
Limites	L'intégration de Speech-to-Text avec VPC Service Controls n'est soumise à aucune limitation connue.

Text-to-Speech

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`texttospeech.googleapis.com`
Détail	L'API pour la synthèse vocale peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Text-to-Speech, consultez la documentation produit.
Limites	L'intégration de Text-to-Speech avec VPC Service Controls n'est soumise à aucune limitation connue.

Translation

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`translate.googleapis.com`
Détail	L'API pour Translation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Translation, consultez la documentation produit.
Limites	L'intégration de Translation avec VPC Service Controls n'a pas de limites connues.

API Transcoder

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`transcoder.googleapis.com beta`
Détail	L'API pour l'API Transcoder peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Transcoder, consultez la documentation produit.
Limites	L'intégration de l'API Transcoder avec VPC Service Controls n'a pas de limites connues.

Access Approval

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`accessapproval.googleapis.com`
Détail	L'API pour Access Approval peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Access Approval, consultez la documentation produit.
Limites	L'intégration d'Access Approval avec VPC Service Controls ne présente aucune limitation connue.

API Cloud Healthcare

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`healthcare.googleapis.com`
Détail	L'API pour l'API Cloud Healthcare peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API Cloud Healthcare, consultez la documentation produit.
Limites	L'intégration de l'API Cloud Healthcare avec VPC Service Controls n'a pas de limites connues.

Service de transfert de stockage

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`storagetransfer.googleapis.com`
Détail	Nous vous recommandons de placer votre projet STS dans le même périmètre de service que vos ressources Cloud Storage. Ainsi, vous protégez à la fois le transfert et vos ressources Cloud Storage. Le service de transfert de stockage accepte également les scénarios dans lesquels le projet de service de transfert de stockage ne se trouve pas dans le même périmètre que vos buckets Cloud Storage, grâce à une liaison de périmètre ou aux niveaux d'accès. Pour plus d'informations sur la configuration, consultez la page Utiliser le service de transfert de stockage avec VPC Service Controls. Service de transfert des données sur site Le service de transfert des données sur site (transfert sur site) n'est compatible avec VPC Service Controls que pour les charges utiles de transfert. Cela s'applique également aux scénarios dans lesquels les agents du transfert de données sur site sont ajoutés à une règle d'entrée ou à un niveau d'accès qui leur permet d'accéder aux ressources du périmètre, ou lorsque ces agents se trouvent dans un périmètre partagé avec des buckets Cloud Storage cibles et des tâches de service de transfert des données sur site. Pour en savoir plus, consultez la page Utiliser le transfert sur site avec VPC Service Controls. Il n'est pas garanti que les métadonnées de fichiers, telles que les noms d'objets, restent dans le périmètre. Pour en savoir plus, consultez la page VPC Service Controls et métadonnées. Pour en savoir plus sur le service de transfert de stockage, consultez la documentation du produit.
Limites	Le service de transfert des données sur site ne propose pas d'API et ne fournit donc pas les fonctionnalités liées à l'API dans VPC Service Controls.

Service Control

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`servicecontrol.googleapis.com`
Détail	L'API pour Service Control peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Service Control, consultez la documentation du produit.
Limites	Lorsque vous appelez l'API Service Control à partir d'un réseau VPC situé dans un périmètre de service avec Service Control restreint, vous ne pouvez pas utiliser la méthode de rapport Service Control pour générer des rapports sur les métriques de facturation.

Memorystore pour Redis

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`redis.googleapis.com`
Détail	L'API pour Memorystore pour Redis peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Memorystore pour Redis, reportez-vous à la documentation produit.
Limites	Les périmètres de service ne protègent que l'API Memorystore pour Redis. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Redis au sein du même réseau. Si l'API Cloud Storage est également protégée, les opérations d'importation et d'exportation de Memorystore pour Redis ne peuvent être lues et écrites que dans un bucket Cloud Storage situé dans le même périmètre de service que l'instance Memorystore pour Redis. Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et le projet de service contenant l'instance Redis dans le même périmètre pour que les requêtes Redis réussissent. À tout moment, la séparation du projet hôte et du projet de service par un périmètre peut entraîner une défaillance de l'instance Redis, en plus des requêtes bloquées. Pour en savoir plus, consultez la section Configuration requise Memorystore pour Redis.

Memorystore pour Memcached

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`memcache.googleapis.com`
Détail	L'API pour Memorystore pour Memcached peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Memorystore pour Memcached, reportez-vous à la documentation produit.
Limites	Les périmètres de service ne protègent que l'API Memorystore pour Memcached. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Memcached au sein du même réseau.

Annuaire des services

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`servicedirectory.googleapis.com`
Détail	L'API pour l'annuaire des services peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'annuaire des services, consultez la documentation produit.
Limites	L'intégration de l'annuaire des services au service VPC Service Controls n'a pas de limites connues.

Transfer Appliance

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Non. L'API pour Transfer Appliance ne peut pas être protégée par des périmètres de service. Toutefois, Transfer Appliance peut être utilisé normalement dans les projets situés au sein d'un périmètre.
Détail	Transfer Appliance est entièrement compatible avec les projets utilisant VPC Service Controls. Transfer Appliance ne propose pas d'API et n'est donc pas compatible avec les fonctionnalités liées aux API dans VPC Service Controls. Pour plus d'informations sur Transfer Appliance, consultez la documentation produit.
Limites	Lorsque Cloud Storage est protégé par VPC Service Controls, la clé Cloud KMS que vous partagez avec l'équipe Transfer Appliance doit se trouver dans le même projet que le bucket Cloud Storage de destination.

OS Login

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`oslogin.googleapis.com`
Détail	Vous pouvez appeler l'API OS Login depuis des périmètres VPC Service Controls. Pour gérer OS Login depuis des périmètres VPC Service Controls, configurez OS Login. Les connexions SSH aux instances de VM ne sont pas protégées par VPC Service Controls. Pour plus d'informations sur OS Login, consultez la documentation produit.
Limites	L'intégration d'OS Login avec VPC Service Controls n'a pas de limites connues.

VM Manager

État	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`osconfig.googleapis.com`
Détail	Vous pouvez appeler l'API OS Config depuis des périmètres VPC Service Controls. Pour utiliser VM Manager à partir des périmètres VPC Service Controls, configurez VM Manager. Pour plus d'informations sur VM Manager, consultez la documentation produit.
Limites	Pour assurer une protection complète de VM Manager, vous devez inclure toutes les API suivantes dans votre périmètre : API OS Config (`osconfig.googleapis.com`) API Compute Engine (`compute.googleapis.com`) API Container Analysis (`containeranalysis.googleapis.com`) VM Manager n'héberge pas le contenu du package et du correctif. OS Patch Management utilise les outils de mise à jour du système d'exploitation, qui nécessitent la mise à jour des packages et des correctifs sur la VM. Pour que les correctifs fonctionnent, vous devrez peut-être utiliser Cloud NAT ou héberger votre propre dépôt de packages ou un service de mise à jour Windows Server Update Service dans votre cloud privé virtuel.

Filestore

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`file.googleapis.com`
Détail	L'API pour Filestore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Filestore, consultez la documentation du produit.
Limites	L'intégration de Filestore à VPC Service Controls n'a pas de limites connues.

Container Threat Detection

Status	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`containerthreatdetection.googleapis.com`
Détail	L'API pour Container Threat Detection peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Container Threat Detection, consultez la documentation du produit.
Limites	L'intégration de Container Threat Detection à VPC Service Controls n'a pas de limites connues.

Ads Data Hub

État	Bêta. Cette intégration de produit est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`adsdatahub.googleapis.com`
Détail	Pour plus d'informations sur Ads Data Hub, consultez la documentation du produit.
Limites	Ads Data Hub et VPC Service Controls sont soumis à des conditions d'utilisation différentes. Pour en savoir plus, consultez les conditions de chaque produit. Certaines fonctionnalités Ads Data Hub (telles que l'activation d'audiences personnalisées, les enchères personnalisées et les tableaux de correspondance LiveRamp) nécessitent l'exportation de certaines données utilisateur en dehors du périmètre de VPC Service Controls. Si Ads Data Hub est ajouté en tant que service restreint, il ignore les règles de VPC Service Controls associées à ces fonctionnalités afin de les conserver. Tous les services dépendants doivent être inclus en tant que services autorisés dans le même périmètre VPC Service Controls. Par exemple, étant donné que Ads Data Hub s'appuie sur BigQuery, BigQuery doit également être ajouté. En général, les bonnes pratiques de VPC Service Controls recommandent d'inclure tous les services dans le périmètre, c'est-à-dire de "limiter tous les services". Les clients disposant de structures de compte Ads Data Hub à plusieurs niveaux (par exemple, les agences avec des filiales) doivent placer tous leurs projets d'administration dans le même périmètre. Par souci de simplicité, Ads Data Hub recommande aux clients disposant de structures de compte à plusieurs niveaux de limiter leurs projets d'administration à la même organisation Google Cloud.

Traffic Director

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`trafficdirector.googleapis.com`
Détail	L'API pour Traffic Director peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Traffic Director, consultez la documentation du produit.
Limites	L'intégration de Traffic Director à VPC Service Controls n'a pas de limites connues.

Security Token Service

Status	Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?	Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service	`sts.googleapis.com`
Détail	VPC Service Controls ne limite les échanges de jetons que si l'audience de la requête est une ressource au niveau du projet. Par exemple, il ne limite pas les requêtes pour les jetons à champ d'application limité, car ces requêtes n'ont pas d'audience. Pour en savoir plus sur Security Token Service, consultez la documentation du produit.
Limites	L'intégration de Security Token Service avec VPC Service Controls n'a pas de limites connues.

Pour en savoir plus, consultez la section relative aux services compatibles et à ceux non compatibles.

Services compatibles avec les adresses IP virtuelles restreintes

L'adresse IP virtuelle restreinte permet aux VM situées dans un périmètre de service d'appeler les services Google Cloud sans exposer les requêtes sur Internet. Pour obtenir la liste complète des services disponibles sur une adresse IP virtuelle restreinte, consultez la section Services compatibles avec l'adresse IP virtuelle restreinte.

Services non compatibles

Avertissement : Bien qu'il soit possible d'activer des services non compatibles afin d'accéder aux données de produits et services compatibles, nous vous recommandons de ne pas le faire. Des problèmes inattendus peuvent survenir lors de la tentative d'accès, notamment au sein d'un projet.

Les services non compatibles peuvent ne pas fonctionner du tout lorsqu'ils sont activés dans un projet protégé par VPC Service Controls, en particulier lorsque des services de stockage de niveau inférieur tels que Cloud Storage ou Cloud Pub/Sub sont restreints. Nous vous conseillons de déployer les services non compatibles dans des projets situés en dehors des périmètres. Pour permettre à ces services d'accéder aux données de ressources situées à l'intérieur d'un périmètre, créez un niveau d'accès comprenant le compte de service du service visé et appliquez-le au périmètre.

Toute tentative visant à limiter un service non compatible à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager génère une erreur.

L'accès entre projets aux données de services non compatibles est bloqué par VPC Service Controls. De plus, il est possible d'utiliser une adresse IP virtuelle restreinte pour empêcher les charges de travail d'appeler des services incompatibles.

Autres limitations connues

Cette section décrit les limites connues concernant certains services, produits et interfaces Google Cloud, pouvant être rencontrées lors de l'utilisation de VPC Service Controls.

Pour connaître les limites applicables aux produits compatibles avec VPC Service Controls, reportez-vous au tableau des produits compatibles.

Pour découvrir comment résoudre les problèmes liés à VPC Service Controls, consultez la page Dépannage.

API AutoML

AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables et AutoML Video Intelligence utilisent tous l'API AutoML.

Lorsque vous utilisez un périmètre de service pour protéger automl.googleapis.com, l'accès à tous les produits AutoML intégrés à VPC Service Controls et utilisés dans ce périmètre est affecté. Vous devez configurer votre périmètre VPC Service Controls pour tous les produits AutoML intégrés utilisés dans ce périmètre.

Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
- API AutoML (automl.googleapis.com)
- API Cloud Storage (storage.googleapis.com)
- API Compute Engine (compute.googleapis.com)
- API BigQuery (bigquery.googleapis.com)

App Engine

App Engine (environnements standard et flexible) n'est pas compatible avec VPC Service Controls. N'incluez pas de projets App Engine dans les périmètres de service.

Toutefois, il est possible de permettre aux applications App Engine créées dans des projets situés en dehors des périmètres de service de lire et d'écrire des données dans des services protégés situés à l'intérieur des périmètres. Pour permettre à votre application d'accéder aux données des services protégés, créez un niveau d'accès incluant le compte de service App Engine du projet. Cette opération ne permet pas d'utiliser App Engine dans les périmètres de service.

Bibliothèques clientes

Les bibliothèques clientes Java et Python associées à tous les services compatibles peuvent entièrement être exploitées pour l'accès à l'aide de l'adresse IP virtuelle restreinte. La compatibilité avec d'autres langages de programmation est en phase alpha, et ces derniers ne devraient être utilisés qu'à des fins de test.
Les clients doivent utiliser des bibliothèques clientes dont la dernière mise à jour n'est pas antérieure au 1er novembre 2018.
Les clés de compte de service ou les métadonnées client OAuth2 utilisées par les clients doivent avoir été mises à jour le 1er novembre 2018 ou à une date ultérieure. Les clients plus anciens exploitant le point de terminaison du jeton doivent recourir au point de terminaison spécifié dans le nouveau matériel de clé ou les nouvelles métadonnées client.

Cloud Billing

Pour autoriser Cloud Billing à exporter des données vers un bucket Cloud Storage ou une instance BigQuery appartenant à un projet protégé par un périmètre de service, l'utilisateur qui configure l'exportation doit être ajouté temporairement à un niveau d'accès associé au périmètre.

Cloud Build

Il est possible d'autoriser Cloud Build dans les projets situés en dehors des périmètres de service afin de lire et d'écrire des données dans des services protégés situés à l'intérieur des périmètres. Pour autoriser Cloud Build à accéder aux données des services protégés, créez un niveau d'accès qui inclut le compte de service Cloud Build du projet. Cette opération ne permet pas d'utiliser Cloud Build à l'intérieur des périmètres de service.

Cloud Deployment Manager

Deployment Manager n'est pas compatible avec VPC Service Controls. Même si des utilisateurs sont en mesure d'appeler des services conformes à VPC Service Controls, il est préférable qu'ils procèdent autrement, car il est possible que cette fonctionnalité ne soit plus disponible dans le futur.
Comme alternative, vous pouvez ajouter le compte de service Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) aux niveaux d'accès afin d'autoriser les appels vers les API protégées par VPC Service Controls.

Cloud Shell

Cloud Shell n'est pas compatible avec VPC Service Controls. Il est considéré comme situé en dehors des périmètres de service et ne peut pas accéder aux données protégées par VPC Service Controls.

Google Cloud Console

Comme la console de gestion Cloud Console n'est accessible que par Internet, elle est considérée comme étant extérieure aux périmètres de service. Lorsque vous appliquez un périmètre de service, l'interface Cloud Console correspondant aux services que vous protégez peut devenir partiellement ou totalement inaccessible. Par exemple, si vous avez protégé Cloud Logging avec le périmètre, vous ne pourrez pas accéder à son interface dans Cloud Console.

Pour autoriser Cloud Console à accéder aux ressources protégées par un périmètre, vous devez créer un niveau d'accès pour une plage d'adresses IP publique incluant les machines des utilisateurs souhaitant utiliser Cloud Console avec des API protégées. Par exemple, vous pouvez ajouter la plage d'adresses IP publique de la passerelle NAT de votre réseau privé à un niveau d'accès, puis attribuer ce niveau d'accès au périmètre de service.

Si vous souhaitez limiter l'accès de Cloud Console au périmètre pour un groupe d'utilisateurs spécifique, vous pouvez également ajouter ces utilisateurs à un niveau d'accès. Dans ce cas, seuls les utilisateurs spécifiés pourront accéder à Cloud Console.