Cette page contient un tableau des produits et services compatibles avec VPC Service Controls, ainsi qu'une liste des limites connues concernant certains services et interfaces.
Produits compatibles
VPC Service Controls est compatible avec les produits suivants :
| Produits compatibles | |||||
|---|---|---|---|---|---|
AI Platform Training |
|
||||
AI Platform Notebooks |
|
||||
Anthos Service Mesh |
|
||||
BigQuery |
|
||||
Cloud Bigtable |
|
||||
Cloud Data Fusion |
|
||||
Compute Engine |
|
||||
Dataflow |
|
||||
Dataproc |
|
||||
Cloud Data Loss Prevention |
|
||||
Cloud Functions |
|
||||
Cloud Key Management Service |
|
||||
Service géré pour Microsoft Active Directory |
|
||||
Secret Manager |
|
||||
Pub/Sub |
|
||||
Cloud Spanner |
|
||||
Cloud Storage |
|
||||
Cloud SQL |
|
||||
API Video Intelligence |
|
||||
API Cloud Vision |
|
||||
Container Registry |
|
||||
Google Kubernetes Engine |
|
||||
Resource Manager |
|
||||
Cloud Logging |
|
||||
Cloud Monitoring |
|
||||
Cloud Profiler |
|
||||
Cloud Trace |
|
||||
Cloud TPU |
|
||||
API Natural Language |
|
||||
API Cloud Asset |
|
||||
Text-to-Speech |
|
||||
Traduction |
|
||||
API Cloud Healthcare |
|
||||
Pour en savoir plus, consultez la section relative aux services compatibles et non compatibles.
API et périmètres de service
Les produits compatibles avec VPC Service Controls ne disposent pas tous d'un service pouvant être protégé par un périmètre de service. Seules les API suivantes peuvent être protégées par un périmètre :
| API et adresses de service | |
|---|---|
| API AI Platform Training and Prediction | ml.googleapis.com |
| API BigQuery | bigquery.googleapis.com |
| API Cloud Bigtable | bigtable.googleapis.com |
| API Cloud Asset Inventory | cloudasset.googleapis.com |
| API Cloud Data Fusion | datafusion.googleapis.com |
| API Dataflow | dataflow.googleapis.com |
| API Cloud Dataproc | dataproc.googleapis.com |
| API Cloud Data Loss Prevention | dlp.googleapis.com |
| API Cloud Functions | cloudfunctions.googleapis.com |
| API Cloud Key Management Service | cloudkms.googleapis.com |
| API Secret Manager | secretmanager.googleapis.com |
| API Cloud Natural Language | language.googleapis.com |
| API du service géré pour Microsoft Active Directory | managedidentities.googleapis.com |
| Pub/Sub API | pubsub.googleapis.com |
| API Cloud Service Mesh Certificate Authority | meshca.googleapis.com |
| API Cloud Spanner | spanner.googleapis.com |
| API Cloud Storage | storage.googleapis.com |
| API Cloud SQL | sqladmin.googleapis.com |
| API Cloud Vision | vision.googleapis.com |
| API Container Registry | containerregistry.googleapis.com |
| API Google Kubernetes Engine | container.googleapis.com |
| API GKE Connect | gkeconnect.googleapis.com |
| API GKE Hub | gkehub.googleapis.com |
| API Resource Manager | cloudresourcemanager.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| API Cloud Profiler | profiler.googleapis.com |
| API Cloud Text-to-Speech | texttospeech.googleapis.com |
| API Cloud Translation | translate.googleapis.com |
| Cloud Trace API | cloudtrace.googleapis.com |
| API Cloud TPU | tpu.googleapis.com |
| API Video Intelligence | videointelligence.googleapis.com |
| API Cloud Healthcare | healthcare.googleapis.com |
Services incompatibles
Toute tentative visant à limiter un service non compatible à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager génère une erreur.
L'accès entre projets aux données de services incompatibles est bloqué par VPC Service Controls. De plus, il est possible d'utiliser une adresse IP virtuelle restreinte pour empêcher les charges de travail d'appeler des services incompatibles.
Limites connues
Cette section décrit les limites connues concernant certains services, produits et interfaces Google Cloud pouvant être rencontrés lors de l'utilisation de VPC Service Controls..
Pour découvrir comment résoudre les problèmes liés à VPC Service Controls, consultez la page Dépannage.
AI Platform Training
Pour protéger entièrement vos tâches d'entraînement AI Platform Training, ajoutez toutes les API suivantes au périmètre de service :
- API AI Platform Training et API Prediction (
ml.googleapis.com) - API Pub/Sub (
pubsub.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Google Kubernetes Engine (
container.googleapis.com) - API Container Registry (
containerregistry.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Découvrez comment configurer VPC Service Controls pour AI Platform Training.
- API AI Platform Training et API Prediction (
L'entraînement à l'aide de TPU n'est pas disponible lorsque vous utilisez AI Platform Training dans un périmètre de service.
Lorsque vous protégez l'API AI Platform Training and Prediction à l'aide d'un périmètre de service, VPC Service Controls protège AI Platform Training, mais pas AI Platform Prediction. Cependant, certaines fonctionnalités AI Platform Prediction sont désactivées.
AI Platform Notebooks
Pour utiliser AI Platform Notebooks dans un périmètre de service, vous devez ajouter ou configurer plusieurs entrées DNS pour diriger les domaines suivants vers l'adresse IP virtuelle limitée :
- *.notebooks.googleapis.com
- *.datalab.cloud.google.com
- *.notebooks.cloud.google.com
- *.notebooks.googleusercontent.com
App Engine
App Engine (environnements standard et flexible) n'est pas compatible avec VPC Service Controls. N'incluez pas de projets App Engine dans les périmètres de service.
Toutefois, il est possible de permettre aux applications App Engine créées dans des projets situés en dehors des périmètres de service de lire et d'écrire des données dans des services protégés au sein des périmètres. Pour permettre à votre application d'accéder aux données des services protégés, créez un niveau d'accès incluant le compte de service App Engine du projet. Cette opération ne permet pas d'utiliser App Engine dans les périmètres de service.
BigQuery
VPC Service Controls ne permet pas de copier des ressources BigQuery protégées par un périmètre de service vers une autre organisation. Les niveaux d'accès ne vous permettent pas de copier des données d'une organisation à une autre.
Pour copier des ressources BigQuery protégées vers une autre organisation, téléchargez l'ensemble de données (par exemple, un fichier CSV), puis importez ce fichier dans l'autre organisation.
Le service de transfert de données BigQuery n'est compatible qu'avec les services suivants :
- Campaign Manager
- Google Ad Manager
- Google Ads
- Google Cloud Storage
- Google Merchant Center
- Google Play
- YouTube
L'interface utilisateur Web classique de BigQuery n'est pas compatible avec VPC Service Controls. Il n'est pas possible d'accéder à une instance BigQuery protégée par un périmètre de service depuis l'interface utilisateur Web classique de BigQuery.
Le pilote ODBC tiers pour BigQuery ne peut actuellement pas être utilisé avec l'adresse IP virtuelle limitée.
Les enregistrements de journal d'audit BigQuery n'incluent pas toujours la totalité des ressources utilisées lors de la requête, car le service traite en interne l'accès à plusieurs ressources.
Lorsque vous utilisez un compte de service pour accéder à une instance BigQuery protégée par un périmètre de service, la tâche BigQuery doit être exécutée dans un projet à l'intérieur du périmètre. Par défaut, les bibliothèques clientes BigQuery exécutent des tâches dans le compte de service ou le projet de l'utilisateur, ce qui entraîne le rejet de la requête par VPC Service Controls.
Bibliothèques clientes
Les bibliothèques clientes Java et Python associées à tous les services compatibles peuvent entièrement être exploitées pour l'accès à l'aide de l'adresse IP virtuelle limitée. La compatibilité avec d'autres langages de programmation est en phase alpha, et ces derniers ne devraient être utilisés qu'à des fins de test.
Les clients doivent utiliser des bibliothèques clientes qui ont été mises à jour le 1er novembre 2018 ou à une date ultérieure.
Les clés de compte de service ou les métadonnées client OAuth2 utilisées par les clients doivent avoir été mises à jour le 1er novembre 2018 ou à une date ultérieure. Les clients plus anciens exploitant le point de terminaison du jeton doivent recourir au point de terminaison spécifié dans le nouveau matériel de clé ou les nouvelles métadonnées client.
Cloud Billing
- Pour autoriser Cloud Billing à exporter des données vers un bucket Cloud Storage ou une instance BigQuery appartenant à un projet protégé par un périmètre de service, l'utilisateur qui configure l'exportation doit être ajouté temporairement à un niveau d'accès associé au périmètre.
Cloud Build
Cloud Build n'est pas compatible avec VPC Service Controls. N'utilisez pas Cloud Build dans les périmètres de service.
Toutefois, il est possible d'autoriser Cloud Build dans les projets situés en dehors des périmètres de service afin de lire et d'écrire des données dans des services protégés au sein des périmètres. Pour autoriser Cloud Build à accéder aux données des services protégés, créez un niveau d'accès qui inclut le compte de service Cloud Build du projet. Cette opération ne permet pas d'utiliser Cloud Build dans les périmètres de service.
Cloud Composer
Cloud Composer n'est pas compatible avec VPC Service Controls. N'utilisez pas Cloud Composer dans les périmètres de service.
Pour autoriser Cloud Composer à accéder aux ressources dans un périmètre de service, activez Cloud Composer dans un projet situé en dehors d'un périmètre de service. Ensuite, créez et appliquez un niveau d'accès au périmètre qui autorise les requêtes provenant du compte de service pour votre environnement Cloud Composer.
Cloud Data Fusion
Si vous créez des instances VPC Service Controls avec une adresse IP privée, vous pouvez renforcer leur protection à l'aide de VPC Service Controls. Créez vos instances privées VPC Service Controls dans les projets Google Cloud situés dans vos périmètres de service. Dans une instance privée, les plug-ins empaquetés avec l'instance respectent les limites appliquées par le périmètre de service.
Les pipelines VPC Service Controls sont exécutés sur des clusters Cloud Dataproc. Pour protéger un cluster Cloud Dataproc lancé dans le périmètre de service, le cluster doit posséder uneadresse IP privée interne uniquement (pas d'adresse IP publique) et se trouver dans le même réseau privé VPC que votre instance VPC Service Controls. Une instance VPC Service Controls disposant d'une adresse IP privée crée par défaut un cluster Cloud Dataproc avec une adresse IP privée interne lors de l'exécution du pipeline VPC Service Controls.
N'exécutez pas de plug-ins qui utilisent les API Google Cloud non compatibles avec VPC Service Controls. Si vous utilisez ces plug-ins, VPC Service Controls bloque les appels d'API, ce qui entraîne l'échec de l'aperçu et de l'exécution du pipeline.
Dataflow
- Il n'est pas possible d'utiliser la fonction BIND personnalisée et l'IPV
restricted.googleapis.compour Cloud Dataflow, car la résolution DNS de Cloud Dataflow ne peut pas être personnalisée. Les connecteurs de service de stockage n'ont pas tous été validés pour fonctionner l'utilisation de Cloud Dataflow dans un périmètre de service. Pour obtenir la liste des connecteurs validés, consultez la page Informations Cloud Dataflow.
Dataproc
Pour protéger un cluster Cloud Dataproc avec un périmètre de service, vous devez suivre les instructions sur la configuration d'une connectivité privée pour permettre au cluster de fonctionner dans le périmètre.
La passerelle des composants Cloud Dataproc n'est pas compatible avec VPC Service Controls.
Cloud Functions
Cloud Functions crée votre code source dans un conteneur exécutable à l'aide de Cloud Build. Pour utiliser Cloud Functions dans un périmètre de service, vous devez configurer un niveau d'accès pour le compte de service Cloud Build dans votre périmètre de service.
Pour permettre à vos fonctions d'utiliser des dépendances externes, telles que des packages npm, Cloud Build dispose d'un accès illimité à Internet. Cet accès Internet pourrait permettre d'exfiltrer les données disponibles au moment de la création, comme le code source que vous avez importé. Pour atténuer les risques que présente ce vecteur d'exfiltration, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'attribuez pas les roles IAM Propriétaire, Éditeur ou Développeur de Cloud Functions à des développeurs non approuvés.
Pour les déclencheurs Firebase Realtime Database et Firebase Crashlytics, un utilisateur risquerait de déployer une fonction déclenchée par des modifications apportées à Firebase Realtime Database ou Firebase Crashlytics dans un autre projet situé en dehors du périmètre de service. Si vous souhaitez atténuer les risques que présente le vecteur d'exfiltration pour ces deux déclencheurs, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeurs de Cloud Functions à des développeurs non approuvés.
Pub/Sub
- Les abonnements push Cloud Pub/Sub souscrits avant la création du périmètre de service ne sont pas bloqués.
Cloud Shell
- Cloud Shell n'est pas compatible avec VPC Service Controls. Il est considéré comme situé en dehors des périmètres de service et ne peut pas accéder aux données protégées par VPC Service Controls.
Cloud Storage
Lorsque vous utilisez la fonctionnalité Paiements du demandeur à l'aide d'un bucket de stockage dans un périmètre de service qui protège le service Cloud Storage, vous ne pouvez pas identifier un projet facturé s'il se situe en dehors du périmètre. Le projet cible doit se trouver dans le même périmètre que le bucket de stockage ou dans une liaison de périmètre avec le projet du bucket.
Pour plus d'informations sur la fonctionnalité "Paiements du demandeur", consultez la section Conditions d'utilisation et d'accès des Paiements du demandeur.
Pour les projets situés dans un périmètre de service, la page Cloud Storage dans Cloud Console n'est pas accessible si l'API Cloud Storage est protégée par ce périmètre. Si vous souhaitez autoriser l'accès à la page, vous devez créer un niveau d'accès incluant les comptes utilisateur ou une plage d'adresses IP publique autorisés à accéder à l'API Cloud Storage.
Dans les enregistrements du journal d'audit, le champ
resourceNamen'identifie pas le projet qui détient un bucket. Le projet doit être découvert séparément.Dans les enregistrements du journal d'audit, la valeur de
methodNamen'est pas toujours correcte. Nous vous déconseillons de filtrer les enregistrements du journal d'audit Cloud Storage parmethodName.Dans certains cas, les journaux des anciens buckets Cloud Storage peuvent être écrits vers des destinations situées en dehors d'un périmètre de service, même lorsque l'accès est refusé.
Lorsque vous essayez d'utiliser
gsutilpour la première fois dans un nouveau projet, vous pouvez être invité à activer le servicestorage-api.googleapis.com. Bien que vous ne puissiez pas protéger directementstorage-api.googleapis.com, lorsque vous protégez l'API Cloud Storage à l'aide d'un périmètre de service, les opérationsgsutilsont également protégées.
Instance
Actuellement, vous ne pouvez pas protéger l'API Compute Engine à l'aide d'un périmètre de service.
Pour qu'une image Compute Engine puisse être créée dans un projet Cloud Storage protégé par un périmètre de service, l'utilisateur qui crée l'image doit être ajouté temporairement à un niveau d'accès associé au périmètre.
L'utilisation de Kubernetes avec Compute Engine dans un périmètre de service n'est pas compatible avec les VPC Service Controls.
Container Registry
Comme il n'utilise pas le domaine
googleapis.com, Container Registry doit être configuré à l'aide d'un DNS privé ou de BIND pour être mappé à l'adresse IP virtuelle limitée séparément des autres API.Outre les conteneurs d'un périmètre qui sont accessibles par Container Registry, les dépôts en lecture seule et gérés par Google suivants sont disponibles pour tous les projets, quel que soit leur périmètre de service :
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
- mirror.gcr.io
Dans tous les cas, les versions régionales de ces dépôts sont également disponibles.
Google Cloud Console
Comme Cloud Console n'est accessible que par Internet, elle est traitée comme étant extérieure aux périmètres de service. Lorsque vous appliquez un périmètre de service, l'interface Cloud Console des services que vous protégez peut devenir partiellement ou totalement inaccessible. Par exemple, si vous avez protégé Cloud Logging avec le périmètre, vous ne pourrez pas accéder à son interface dans Cloud Console.
Pour autoriser Cloud Console à accéder aux ressources protégées par un périmètre, vous devez créer un niveau d'accès pour une plage d'adresses IP publique incluant les machines des utilisateurs souhaitant utiliser Cloud Console avec des API protégées. Par exemple, vous pouvez ajouter la plage d'adresses IP publique de la passerelle NAT de votre réseau privé à un niveau d'accès, puis attribuer ce niveau d'accès au périmètre de service.
Si vous souhaitez limiter l'accès à Cloud Console au périmètre d'un groupe d'utilisateurs spécifique, vous pouvez également ajouter ces utilisateurs à un niveau d'accès. Dans ce cas, seuls les utilisateurs spécifiés pourront accéder à Cloud Console.
Resource Manager
- Les seules méthodes d'API Resource Manager protégées sont les versions v1
project.setIAMPolicyet v1beta1project.setIAMPolicy.
Cloud Logging
Les récepteurs d'exportation agrégés (récepteurs de dossier ou d'organisation où la valeur
includeChildrenesttrue) peuvent accéder aux données des projets dans un périmètre de service. Nous vous recommandons de gérer les autorisations de Logging au niveau du dossier et de l'organisation à l'aide de Cloud IAM.Comme VPC Service Controls n'est actuellement pas compatible avec les ressources de dossier et d'organisation, les exportations de journaux au niveau de ces ressources (y compris les journaux agrégés) n'acceptent pas les périmètres de service. Nous vous recommandons d'exploiter Cloud IAM afin de limiter les exportations aux comptes de service requis pour interagir avec les services protégés par un périmètre.
Pour configurer une exportation de journaux d'organisation ou de dossier vers une ressource protégée par un périmètre de service, vous devez ajouter le compte de service de ce récepteur de journaux à un niveau d'accès, puis l'assigner au périmètre de service de destination. Cette étape n'est pas nécessaire pour les exportations de journaux au niveau du projet.
Pour en savoir plus, consultez les articles suivants :
Cloud Monitoring
Les canaux de notification, les règles d'alerte et les métriques personnalisées peuvent être utilisés conjointement pour extraire des données/métadonnées. À l'heure actuelle, un utilisateur de Cloud Monitoring peut configurer un canal de notification pointant vers une entité extérieure à l'organisation, par exemple "baduser@badcompany.com". L'utilisateur configure ensuite les métriques personnalisées et les règles d'alerte correspondantes qui exploitent le canal de notification. Par conséquent, en manipulant les métriques personnalisées, l'utilisateur peut déclencher des alertes et envoyer des notifications de déclenchement d'alerte, exfiltrant les données sensibles vers baduser@badcompany.com, en dehors du périmètre VPC Service Controls.
Bien que Cloud Monitoring dans Google Cloud Console soit compatible avec VPC Service Controls, les fonctionnalités de VPC Service Controls pour la console Cloud Monitoring classique ne sont pas entièrement compatibles.
Toutes les VM Compute Engine ou AWS avec l'agent Monitoring installé doivent se trouver dans le périmètre VPC Service Controls, sinon l'écriture des données de métriques de l'agent échoue.
Tous les pods GKE doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon la surveillance GKE ne peut pas fonctionner.
Lors de l'interrogation des métriques d'un espace de travail, seul le périmètre VPC Service Controls du projet hôte de l'espace de travail est pris en compte, et non les périmètres des projets individuels surveillés dans l'espace de travail.
Un projet ne peut être ajouté qu'en tant que projet surveillé dans un espace de travail si ce projet se trouve dans le même périmètre VPC Service Controls que le projet hôte de l'espace de travail.
API Cloud Asset
- Lorsque vous appelez l'API Cloud Asset au niveau Dossier ou Organisation, les données des projets situés dans un périmètre de service appartenant au dossier ou à l'organisation sont toujours accessibles. Nous recommandons d'utiliser Cloud IAM pour gérer les autorisations Cloud Asset Inventory au niveau du dossier et de l'organisation.
Cloud SQL
Les périmètres de service ne protègent que l'API Cloud SQL Admin. Ils ne protègent pas l'accès aux données basées sur une adresse IP sur les instances Cloud SQL. Vous devez utiliser une contrainte de règle d'organisation pour limiter l'accès des adresses IP publiques aux instances Cloud SQL.
Les opérations d'importation et d'exportation Cloud SQL ne peuvent effectuer des opérations de lecture et d'écriture à partir d'un bucket Cloud Storage qu'au sein du même périmètre de service que l'instance dupliquée Cloud SQL. Dans le flux de migration de serveur externe, vous devez ajouter le bucket Cloud Storage au même périmètre de service. Lors de la création d'un flux de clé pour CMEK, vous devez créer la clé dans le même périmètre de service que les ressources qui l'utilisent. Remarque: Lors de la restauration d'une instance à partir d'une sauvegarde, l'instance cible doit résider dans le même périmètre de service que la sauvegarde.
API Cloud Healthcare
Lorsque l'API Cloud Healthcare est protégée par un périmètre de service, vous ne pouvez pas exporter des magasins FHIR vers BigQuery.