Produits compatibles et limites

Cette page contient un tableau des produits et services compatibles avec VPC Service Controls, ainsi qu'une liste des limites connues concernant certains services et interfaces.

Produits compatibles

VPC Service Controls est compatible avec les produits suivants :

Produits compatibles

AI Platform Training

Détails

VPC Service Controls est compatible avec les tâches AI Platform Training, mais ne fonctionne pas avec AI Platform Prediction (prédiction par lot ou en ligne), même si les deux produits partagent une seule API.

Limites Limites connues

AI Platform Notebooks

Détails

Aucun

Limites Limites connues

Anthos Service Mesh

Détails

Les périmètres VPC Service Controls ne peuvent protéger que l'API Cloud Service Mesh Certificate Authority. Vous pouvez ajouter un périmètre de service pour protéger votre espace de noms d'identité.

BigQuery

Détails

Lorsque vous protégez l'API BigQuery à l'aide d'un périmètre de service, l'API BigQuery Storage est également protégée. Vous n'avez pas besoin d'ajouter séparément l'API BigQuery Storage à la liste des services protégés de votre périmètre.

Limites Limites connues

Cloud Bigtable

Détails

None

Cloud Data Fusion

Détails

Pour protéger Cloud Dataproc à l'aide de VPC Service Controls, vous devez suivre une démarche spéciale.

Limites Limites connues

Compute Engine

Détails

La compatibilité de Compute Engine avec VPC Service Controls vous permet d'utiliser des réseaux VPC et des clusters privés Google Kubernetes Engine au sein des périmètres de service.

Limites Limites connues

Dataflow

Détails

Cloud Dataflow est compatible avec un certain nombre de connecteurs de service de stockage. Les connecteurs suivants ont été validés pour fonctionner avec Cloud Dataflow dans un périmètre de service :

Limites Limites connues

Dataproc

Détails

Pour protéger Cloud Dataproc à l'aide de VPC Service Controls, vous devez suivre une démarche spéciale.

Limites Limites connues

Cloud Data Loss Prevention

Détails

None

Cloud Functions

Détails

Pendant la phase bêta, la protection VPC Service Controls ne s'applique pas à la phase de création lorsque Cloud Functions est compilé à l'aide de Cloud Build. La protection VPC Service Controls s'applique à tous les déclencheurs de fonction, à l'exception des déclencheurs Firebase Realtime Database et Firebase Crashlytics. Pour plus d'informations, reportez-vous aux limites connues.

Limites Limites connues

Cloud Key Management Service

Détails

None

Service géré pour Microsoft Active Directory

Détails

Configuration supplémentaire requise pour :

Secret Manager

Détails

None

Pub/Sub

Détails

La protection VPC Service Controls s'applique à toutes les opérations de transmission et d'extraction, à l'exception des abonnements push Cloud Pub/Sub existants.

Limites Limites connues

Cloud Spanner

Détails

None

Cloud Storage

Détails

Aucun

Limites Limites connues

Cloud SQL

Détails

Les périmètres VPC Service Controls protègent l'API Cloud SQL Admin.

Limites Limites connues

API Video Intelligence

Détails

None

API Cloud Vision

Détails

None

Container Registry

Détails

En plus de pouvoir protéger l'API Container Registry, VPC Service Controls accepte l'utilisation de Container Registry avec GKE et Compute Engine.

Limites Limites connues

Google Kubernetes Engine

Détails

None

Resource Manager

Détails

Aucun

Limites Limites connues

Cloud Logging

Détails

Bien que VPC Service Controls protège la plupart des types de journaux, la solution n'est pas encore compatible avec les ressources Dossier et Organisation. Par conséquent, les journaux au niveau des dossiers et des organisations ne sont pas protégés par VPC Service Controls. Pour en savoir plus, consultez les limites connues associées au service.

Limites Limites connues

Cloud Monitoring

Détails

Aucun

Limites Limites connues

Cloud Profiler

Détails

None

Cloud Trace

Détails

None

Cloud TPU

Détails

None

API Natural Language

Détails

None

API Cloud Asset

Détails

Comme VPC Service Controls n'accepte pas encore les ressources Dossier et Organisation, l'accès aux éléments via l'API Cloud Asset au niveau du dossier ou de l'organisation n'est pas protégé. Pour en savoir plus, consultez les limites connues associées au service.

Limites Limites connues

Text-to-Speech

Détails

None

Traduction

Détails

None

API Cloud Healthcare

Détails

Aucun

Limites Limites connues

Pour en savoir plus, consultez la section relative aux services compatibles et non compatibles.

API et périmètres de service

Les produits compatibles avec VPC Service Controls ne disposent pas tous d'un service pouvant être protégé par un périmètre de service. Seules les API suivantes peuvent être protégées par un périmètre :

API et adresses de service
API AI Platform Training and Prediction ml.googleapis.com
API BigQuery bigquery.googleapis.com
API Cloud Bigtable bigtable.googleapis.com
API Cloud Asset Inventory cloudasset.googleapis.com
API Cloud Data Fusion datafusion.googleapis.com
API Dataflow dataflow.googleapis.com
API Cloud Dataproc dataproc.googleapis.com
API Cloud Data Loss Prevention dlp.googleapis.com
API Cloud Functions cloudfunctions.googleapis.com
API Cloud Key Management Service cloudkms.googleapis.com
API Secret Manager secretmanager.googleapis.com
API Cloud Natural Language language.googleapis.com
API du service géré pour Microsoft Active Directory managedidentities.googleapis.com
Pub/Sub API pubsub.googleapis.com
API Cloud Service Mesh Certificate Authority meshca.googleapis.com
API Cloud Spanner spanner.googleapis.com
API Cloud Storage storage.googleapis.com
API Cloud SQL sqladmin.googleapis.com
API Cloud Vision vision.googleapis.com
API Container Registry containerregistry.googleapis.com
API Google Kubernetes Engine container.googleapis.com
API GKE Connect gkeconnect.googleapis.com
API GKE Hub gkehub.googleapis.com
API Resource Manager cloudresourcemanager.googleapis.com
API Cloud Logging logging.googleapis.com
API Cloud Monitoring monitoring.googleapis.com
API Cloud Profiler profiler.googleapis.com
API Cloud Text-to-Speech texttospeech.googleapis.com
API Cloud Translation translate.googleapis.com
Cloud Trace API cloudtrace.googleapis.com
API Cloud TPU tpu.googleapis.com
API Video Intelligence videointelligence.googleapis.com
API Cloud Healthcare healthcare.googleapis.com

Services incompatibles

Toute tentative visant à limiter un service non compatible à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager génère une erreur.

L'accès entre projets aux données de services incompatibles est bloqué par VPC Service Controls. De plus, il est possible d'utiliser une adresse IP virtuelle restreinte pour empêcher les charges de travail d'appeler des services incompatibles.

Limites connues

Cette section décrit les limites connues concernant certains services, produits et interfaces Google Cloud pouvant être rencontrés lors de l'utilisation de VPC Service Controls..

Pour découvrir comment résoudre les problèmes liés à VPC Service Controls, consultez la page Dépannage.

AI Platform Training

  • Pour protéger entièrement vos tâches d'entraînement AI Platform Training, ajoutez toutes les API suivantes au périmètre de service :

    • API AI Platform Training et API Prediction (ml.googleapis.com)
    • API Pub/Sub (pubsub.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Google Kubernetes Engine (container.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)
    • API Cloud Logging (logging.googleapis.com)

    Découvrez comment configurer VPC Service Controls pour AI Platform Training.

  • L'entraînement à l'aide de TPU n'est pas disponible lorsque vous utilisez AI Platform Training dans un périmètre de service.

  • Lorsque vous protégez l'API AI Platform Training and Prediction à l'aide d'un périmètre de service, VPC Service Controls protège AI Platform Training, mais pas AI Platform Prediction. Cependant, certaines fonctionnalités AI Platform Prediction sont désactivées.

AI Platform Notebooks

  • Pour utiliser AI Platform Notebooks dans un périmètre de service, vous devez ajouter ou configurer plusieurs entrées DNS pour diriger les domaines suivants vers l'adresse IP virtuelle limitée :

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

App Engine

  • App Engine (environnements standard et flexible) n'est pas compatible avec VPC Service Controls. N'incluez pas de projets App Engine dans les périmètres de service.

    Toutefois, il est possible de permettre aux applications App Engine créées dans des projets situés en dehors des périmètres de service de lire et d'écrire des données dans des services protégés au sein des périmètres. Pour permettre à votre application d'accéder aux données des services protégés, créez un niveau d'accès incluant le compte de service App Engine du projet. Cette opération ne permet pas d'utiliser App Engine dans les périmètres de service.

BigQuery

  • VPC Service Controls ne permet pas de copier des ressources BigQuery protégées par un périmètre de service vers une autre organisation. Les niveaux d'accès ne vous permettent pas de copier des données d'une organisation à une autre.

    Pour copier des ressources BigQuery protégées vers une autre organisation, téléchargez l'ensemble de données (par exemple, un fichier CSV), puis importez ce fichier dans l'autre organisation.

  • Le service de transfert de données BigQuery n'est compatible qu'avec les services suivants :

    • Campaign Manager
    • Google Ad Manager
    • Google Ads
    • Google Cloud Storage
    • Google Merchant Center
    • Google Play
    • YouTube
  • L'interface utilisateur Web classique de BigQuery n'est pas compatible avec VPC Service Controls. Il n'est pas possible d'accéder à une instance BigQuery protégée par un périmètre de service depuis l'interface utilisateur Web classique de BigQuery.

  • Le pilote ODBC tiers pour BigQuery ne peut actuellement pas être utilisé avec l'adresse IP virtuelle limitée.

  • Les enregistrements de journal d'audit BigQuery n'incluent pas toujours la totalité des ressources utilisées lors de la requête, car le service traite en interne l'accès à plusieurs ressources.

  • Lorsque vous utilisez un compte de service pour accéder à une instance BigQuery protégée par un périmètre de service, la tâche BigQuery doit être exécutée dans un projet à l'intérieur du périmètre. Par défaut, les bibliothèques clientes BigQuery exécutent des tâches dans le compte de service ou le projet de l'utilisateur, ce qui entraîne le rejet de la requête par VPC Service Controls.

Bibliothèques clientes

  • Les bibliothèques clientes Java et Python associées à tous les services compatibles peuvent entièrement être exploitées pour l'accès à l'aide de l'adresse IP virtuelle limitée. La compatibilité avec d'autres langages de programmation est en phase alpha, et ces derniers ne devraient être utilisés qu'à des fins de test.

  • Les clients doivent utiliser des bibliothèques clientes qui ont été mises à jour le 1er novembre 2018 ou à une date ultérieure.

  • Les clés de compte de service ou les métadonnées client OAuth2 utilisées par les clients doivent avoir été mises à jour le 1er novembre 2018 ou à une date ultérieure. Les clients plus anciens exploitant le point de terminaison du jeton doivent recourir au point de terminaison spécifié dans le nouveau matériel de clé ou les nouvelles métadonnées client.

Cloud Billing

  • Pour autoriser Cloud Billing à exporter des données vers un bucket Cloud Storage ou une instance BigQuery appartenant à un projet protégé par un périmètre de service, l'utilisateur qui configure l'exportation doit être ajouté temporairement à un niveau d'accès associé au périmètre.

Cloud Build

  • Cloud Build n'est pas compatible avec VPC Service Controls. N'utilisez pas Cloud Build dans les périmètres de service.

    Toutefois, il est possible d'autoriser Cloud Build dans les projets situés en dehors des périmètres de service afin de lire et d'écrire des données dans des services protégés au sein des périmètres. Pour autoriser Cloud Build à accéder aux données des services protégés, créez un niveau d'accès qui inclut le compte de service Cloud Build du projet. Cette opération ne permet pas d'utiliser Cloud Build dans les périmètres de service.

Cloud Composer

  • Cloud Composer n'est pas compatible avec VPC Service Controls. N'utilisez pas Cloud Composer dans les périmètres de service.

    Pour autoriser Cloud Composer à accéder aux ressources dans un périmètre de service, activez Cloud Composer dans un projet situé en dehors d'un périmètre de service. Ensuite, créez et appliquez un niveau d'accès au périmètre qui autorise les requêtes provenant du compte de service pour votre environnement Cloud Composer.

Cloud Data Fusion

  • Si vous créez des instances VPC Service Controls avec une adresse IP privée, vous pouvez renforcer leur protection à l'aide de VPC Service Controls. Créez vos instances privées VPC Service Controls dans les projets Google Cloud situés dans vos périmètres de service. Dans une instance privée, les plug-ins empaquetés avec l'instance respectent les limites appliquées par le périmètre de service.

  • Les pipelines VPC Service Controls sont exécutés sur des clusters Cloud Dataproc. Pour protéger un cluster Cloud Dataproc lancé dans le périmètre de service, le cluster doit posséder uneadresse IP privée interne uniquement (pas d'adresse IP publique) et se trouver dans le même réseau privé VPC que votre instance VPC Service Controls. Une instance VPC Service Controls disposant d'une adresse IP privée crée par défaut un cluster Cloud Dataproc avec une adresse IP privée interne lors de l'exécution du pipeline VPC Service Controls.

  • N'exécutez pas de plug-ins qui utilisent les API Google Cloud non compatibles avec VPC Service Controls. Si vous utilisez ces plug-ins, VPC Service Controls bloque les appels d'API, ce qui entraîne l'échec de l'aperçu et de l'exécution du pipeline.

Dataflow

  • Il n'est pas possible d'utiliser la fonction BIND personnalisée et l'IPV restricted.googleapis.com pour Cloud Dataflow, car la résolution DNS de Cloud Dataflow ne peut pas être personnalisée.
  • Les connecteurs de service de stockage n'ont pas tous été validés pour fonctionner l'utilisation de Cloud Dataflow dans un périmètre de service. Pour obtenir la liste des connecteurs validés, consultez la page Informations Cloud Dataflow.

Dataproc

Cloud Functions

  • Cloud Functions crée votre code source dans un conteneur exécutable à l'aide de Cloud Build. Pour utiliser Cloud Functions dans un périmètre de service, vous devez configurer un niveau d'accès pour le compte de service Cloud Build dans votre périmètre de service.

  • Pour permettre à vos fonctions d'utiliser des dépendances externes, telles que des packages npm, Cloud Build dispose d'un accès illimité à Internet. Cet accès Internet pourrait permettre d'exfiltrer les données disponibles au moment de la création, comme le code source que vous avez importé. Pour atténuer les risques que présente ce vecteur d'exfiltration, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'attribuez pas les roles IAM Propriétaire, Éditeur ou Développeur de Cloud Functions à des développeurs non approuvés.

  • Pour les déclencheurs Firebase Realtime Database et Firebase Crashlytics, un utilisateur risquerait de déployer une fonction déclenchée par des modifications apportées à Firebase Realtime Database ou Firebase Crashlytics dans un autre projet situé en dehors du périmètre de service. Si vous souhaitez atténuer les risques que présente le vecteur d'exfiltration pour ces deux déclencheurs, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeurs de Cloud Functions à des développeurs non approuvés.

Pub/Sub

  • Les abonnements push Cloud Pub/Sub souscrits avant la création du périmètre de service ne sont pas bloqués.

Cloud Shell

  • Cloud Shell n'est pas compatible avec VPC Service Controls. Il est considéré comme situé en dehors des périmètres de service et ne peut pas accéder aux données protégées par VPC Service Controls.

Cloud Storage

  • Lorsque vous utilisez la fonctionnalité Paiements du demandeur à l'aide d'un bucket de stockage dans un périmètre de service qui protège le service Cloud Storage, vous ne pouvez pas identifier un projet facturé s'il se situe en dehors du périmètre. Le projet cible doit se trouver dans le même périmètre que le bucket de stockage ou dans une liaison de périmètre avec le projet du bucket.

    Pour plus d'informations sur la fonctionnalité "Paiements du demandeur", consultez la section Conditions d'utilisation et d'accès des Paiements du demandeur.

  • Pour les projets situés dans un périmètre de service, la page Cloud Storage dans Cloud Console n'est pas accessible si l'API Cloud Storage est protégée par ce périmètre. Si vous souhaitez autoriser l'accès à la page, vous devez créer un niveau d'accès incluant les comptes utilisateur ou une plage d'adresses IP publique autorisés à accéder à l'API Cloud Storage.

  • Dans les enregistrements du journal d'audit, le champ resourceName n'identifie pas le projet qui détient un bucket. Le projet doit être découvert séparément.

  • Dans les enregistrements du journal d'audit, la valeur de methodName n'est pas toujours correcte. Nous vous déconseillons de filtrer les enregistrements du journal d'audit Cloud Storage par methodName.

  • Dans certains cas, les journaux des anciens buckets Cloud Storage peuvent être écrits vers des destinations situées en dehors d'un périmètre de service, même lorsque l'accès est refusé.

  • Lorsque vous essayez d'utiliser gsutil pour la première fois dans un nouveau projet, vous pouvez être invité à activer le service storage-api.googleapis.com. Bien que vous ne puissiez pas protéger directement storage-api.googleapis.com, lorsque vous protégez l'API Cloud Storage à l'aide d'un périmètre de service, les opérations gsutil sont également protégées.

Instance

  • Actuellement, vous ne pouvez pas protéger l'API Compute Engine à l'aide d'un périmètre de service.

  • Pour qu'une image Compute Engine puisse être créée dans un projet Cloud Storage protégé par un périmètre de service, l'utilisateur qui crée l'image doit être ajouté temporairement à un niveau d'accès associé au périmètre.

  • L'utilisation de Kubernetes avec Compute Engine dans un périmètre de service n'est pas compatible avec les VPC Service Controls.

Container Registry

  • Comme il n'utilise pas le domaine googleapis.com, Container Registry doit être configuré à l'aide d'un DNS privé ou de BIND pour être mappé à l'adresse IP virtuelle limitée séparément des autres API.

  • Outre les conteneurs d'un périmètre qui sont accessibles par Container Registry, les dépôts en lecture seule et gérés par Google suivants sont disponibles pour tous les projets, quel que soit leur périmètre de service :

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    Dans tous les cas, les versions régionales de ces dépôts sont également disponibles.

Google Cloud Console

  • Comme Cloud Console n'est accessible que par Internet, elle est traitée comme étant extérieure aux périmètres de service. Lorsque vous appliquez un périmètre de service, l'interface Cloud Console des services que vous protégez peut devenir partiellement ou totalement inaccessible. Par exemple, si vous avez protégé Cloud Logging avec le périmètre, vous ne pourrez pas accéder à son interface dans Cloud Console.

    Pour autoriser Cloud Console à accéder aux ressources protégées par un périmètre, vous devez créer un niveau d'accès pour une plage d'adresses IP publique incluant les machines des utilisateurs souhaitant utiliser Cloud Console avec des API protégées. Par exemple, vous pouvez ajouter la plage d'adresses IP publique de la passerelle NAT de votre réseau privé à un niveau d'accès, puis attribuer ce niveau d'accès au périmètre de service.

    Si vous souhaitez limiter l'accès à Cloud Console au périmètre d'un groupe d'utilisateurs spécifique, vous pouvez également ajouter ces utilisateurs à un niveau d'accès. Dans ce cas, seuls les utilisateurs spécifiés pourront accéder à Cloud Console.

Resource Manager

Cloud Logging

  • Les récepteurs d'exportation agrégés (récepteurs de dossier ou d'organisation où la valeur includeChildren est true) peuvent accéder aux données des projets dans un périmètre de service. Nous vous recommandons de gérer les autorisations de Logging au niveau du dossier et de l'organisation à l'aide de Cloud IAM.

  • Comme VPC Service Controls n'est actuellement pas compatible avec les ressources de dossier et d'organisation, les exportations de journaux au niveau de ces ressources (y compris les journaux agrégés) n'acceptent pas les périmètres de service. Nous vous recommandons d'exploiter Cloud IAM afin de limiter les exportations aux comptes de service requis pour interagir avec les services protégés par un périmètre.

  • Pour configurer une exportation de journaux d'organisation ou de dossier vers une ressource protégée par un périmètre de service, vous devez ajouter le compte de service de ce récepteur de journaux à un niveau d'accès, puis l'assigner au périmètre de service de destination. Cette étape n'est pas nécessaire pour les exportations de journaux au niveau du projet.

    Pour en savoir plus, consultez les articles suivants :

Cloud Monitoring

  • Les canaux de notification, les règles d'alerte et les métriques personnalisées peuvent être utilisés conjointement pour extraire des données/métadonnées. À l'heure actuelle, un utilisateur de Cloud Monitoring peut configurer un canal de notification pointant vers une entité extérieure à l'organisation, par exemple "baduser@badcompany.com". L'utilisateur configure ensuite les métriques personnalisées et les règles d'alerte correspondantes qui exploitent le canal de notification. Par conséquent, en manipulant les métriques personnalisées, l'utilisateur peut déclencher des alertes et envoyer des notifications de déclenchement d'alerte, exfiltrant les données sensibles vers baduser@badcompany.com, en dehors du périmètre VPC Service Controls.

  • Bien que Cloud Monitoring dans Google Cloud Console soit compatible avec VPC Service Controls, les fonctionnalités de VPC Service Controls pour la console Cloud Monitoring classique ne sont pas entièrement compatibles.

  • Toutes les VM Compute Engine ou AWS avec l'agent Monitoring installé doivent se trouver dans le périmètre VPC Service Controls, sinon l'écriture des données de métriques de l'agent échoue.

  • Tous les pods GKE doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon la surveillance GKE ne peut pas fonctionner.

  • Lors de l'interrogation des métriques d'un espace de travail, seul le périmètre VPC Service Controls du projet hôte de l'espace de travail est pris en compte, et non les périmètres des projets individuels surveillés dans l'espace de travail.

  • Un projet ne peut être ajouté qu'en tant que projet surveillé dans un espace de travail si ce projet se trouve dans le même périmètre VPC Service Controls que le projet hôte de l'espace de travail.

API Cloud Asset

  • Lorsque vous appelez l'API Cloud Asset au niveau Dossier ou Organisation, les données des projets situés dans un périmètre de service appartenant au dossier ou à l'organisation sont toujours accessibles. Nous recommandons d'utiliser Cloud IAM pour gérer les autorisations Cloud Asset Inventory au niveau du dossier et de l'organisation.

Cloud SQL

  • Les périmètres de service ne protègent que l'API Cloud SQL Admin. Ils ne protègent pas l'accès aux données basées sur une adresse IP sur les instances Cloud SQL. Vous devez utiliser une contrainte de règle d'organisation pour limiter l'accès des adresses IP publiques aux instances Cloud SQL.

  • Les opérations d'importation et d'exportation Cloud SQL ne peuvent effectuer des opérations de lecture et d'écriture à partir d'un bucket Cloud Storage qu'au sein du même périmètre de service que l'instance dupliquée Cloud SQL. Dans le flux de migration de serveur externe, vous devez ajouter le bucket Cloud Storage au même périmètre de service. Lors de la création d'un flux de clé pour CMEK, vous devez créer la clé dans le même périmètre de service que les ressources qui l'utilisent. Remarque: Lors de la restauration d'une instance à partir d'une sauvegarde, l'instance cible doit résider dans le même périmètre de service que la sauvegarde.

API Cloud Healthcare

Lorsque l'API Cloud Healthcare est protégée par un périmètre de service, vous ne pouvez pas exporter des magasins FHIR vers BigQuery.