|
Status
|
DG
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudsearch.googleapis.com
|
Détails
|
Google Cloud Search est compatible avec les contrôles de sécurité du cloud privé virtuel (VPC-SC) pour améliorer la sécurité de vos données. VPC-SC vous permet de définir un périmètre de sécurité autour des ressources Google Cloud Platform afin de contenir les données et de limiter les risques d'exfiltration de données.
Pour en savoir plus sur Google Cloud Search, consultez la documentation du produit.
|
Limites
|
Les ressources Cloud Search n'étant pas stockées dans un projet Google Cloud, vous devez mettre à jour les paramètres client Cloud Search avec le projet protégé par périmètre VPC. Le projet VPC sert de conteneur de projet virtuel pour toutes vos ressources Cloud Search.
Sans ce mappage, VPC Service Controls ne fonctionnera pas pour l'API Cloud Search.
Pour connaître la procédure complète d'activation de VPC Service Controls avec Google Cloud Search, consultez la page Renforcer la sécurité pour Google Cloud Search.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
networkmanagement.googleapis.com
|
Détail
|
L'API pour les tests de connectivité peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur les tests de connectivité, consultez la documentation du produit.
|
Limites
|
L'intégration des tests de connectivité à VPC Service Controls ne présente aucune limitation connue.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
ml.googleapis.com
|
Détails
|
VPC Service Controls est compatible avec la prédiction en ligne, mais pas la prédiction par lot.
Pour en savoir plus sur AI Platform Prediction, consultez la documentation du produit.
|
Limites
|
Pour assurer une protection complète d'AI Platform Prediction, ajoutez toutes les API suivantes au périmètre de service :
- API AI Platform Training and Prediction (
ml.googleapis.com )
- API Pub/Sub (
pubsub.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Google Kubernetes Engine (
container.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
Découvrez comment configurer VPC Service Controls pour AI Platform Prediction.
La prédiction par lot n'est pas disponible lorsque vous utilisez AI Platform Prediction dans un périmètre de service.
AI Platform Prediction et AI Platform Training utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Training.
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
ml.googleapis.com
|
Détails
|
L'API pour AI Platform Training peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur AI Platform Training, consultez la documentation du produit.
|
Limites
|
Pour assurer une protection complète de vos tâches d'entraînement AI Platform Training, ajoutez toutes les API suivantes au périmètre de service :
- API AI Platform Training and Prediction (
ml.googleapis.com )
- API Pub/Sub (
pubsub.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Google Kubernetes Engine (
container.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
Découvrez comment configurer VPC Service Controls pour AI Platform Training.
L'entraînement à l'aide de TPU n'est pas disponible lorsque vous utilisez AI Platform Training dans un périmètre de service.
AI Platform Training et AI Platform Prediction utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Prediction.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
alloydb.googleapis.com
|
Détail
|
Les périmètres VPC Service Controls protègent l'API AlloyDB.
Pour en savoir plus sur AlloyDB pour PostgreSQL, consultez la documentation du produit.
|
Limites
|
- Avant de configurer VPC Service Controls pour AlloyDB pour PostgreSQL, activez l'API Service Networking.
- Lorsque vous utilisez AlloyDB pour PostgreSQL avec un VPC partagé et VPC Service Controls, le projet hôte et le projet de service doivent se trouver dans le même périmètre de service VPC Service Controls.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
notebooks.googleapis.com
|
Détails
|
L'API pour Vertex AI Workbench peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Vertex AI Workbench, consultez la documentation du produit.
|
Limites
|
Pour utiliser Vertex AI Workbench dans un périmètre de service VPC Service Controls, vous devez ajouter ou configurer plusieurs entrées DNS pour pointer les domaines suivants vers l'adresse IP virtuelle restreinte :
*.accounts.google.com
*.accounts.youtube.com
*.googleusercontent.com
*.kernels.googleusercontent.com
*.gstatic.com
*.notebooks.cloud.google.com
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour toutes les opérations Vertex AI Workbench.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d’identité.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
aiplatform.googleapis.com
|
Détails
|
L'API pour Vertex AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Vertex AI, consultez la documentation du produit.
|
Limites
|
Pour en savoir plus sur les limites, consultez la section Limites de la documentation sur Vertex AI.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
visionai.googleapis.com
|
Détails
|
L'API pour Vertex AI Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Vertex AI Vision, consultez la documentation du produit.
|
Limites
|
Lorsque constraints/visionai.disablePublicEndpoint est activé, nous désactivons le point de terminaison public du cluster. Les utilisateurs doivent se connecter manuellement à la cible PSC et accéder au service à partir du réseau privé. Vous pouvez obtenir la cible PSC à partir de la ressource cluster .
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
apigee.googleapis.com, apigeeconnect.googleapis.com
|
Détail
|
L'API pour Apigee et Apigee hybride peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Apigee et Apigee hybride, consultez la documentation du produit.
|
Limites
|
Les intégrations d'Apigee à VPC Service Controls présentent les limites suivantes :
- Les portails intégrés nécessitent des étapes supplémentaires de configuration.
- Vous devez déployer des portails Drupal dans le périmètre de service.
|
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
meshca.googleapis.com, meshconfig.googleapis.com
|
Détails
|
L'API pour Anthos Service Mesh peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Anthos Service Mesh, consultez la documentation du produit.
|
Limites
|
Les périmètres de service ne sont actuellement pas compatibles avec le plan de contrôle géré d'Anthos Service Mesh.
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
artifactregistry.googleapis.com
|
Détails
|
En plus de protéger l'API Artifact Registry, Artifact Registry peut être utilisé dans les périmètres de service avec GKE et Compute Engine.
Pour plus d'informations sur Artifact Registry, reportez-vous à la documentation du produit.
|
Limites
|
- Étant donné qu'Artifact Registry utilise le domaine
pkg.dev , vous devez configurer le DNS pour que *.pkg.dev puisse être mappé à private.googleapis.com ou restricted.googleapis.com .
Pour en savoir plus, consultez la page Sécuriser les dépôts dans un périmètre de service.
Outre les artefacts situés à l'intérieur d'un périmètre qui sont accessibles par Artifact Registry, les dépôts Container Registry ci-après, gérés par Google et en lecture seule, sont disponibles pour tous les projets, quel que soit leur périmètre de service :
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dans tous les cas, les versions régionales de ces dépôts sont également disponibles.
Les images mises en cache sur mirror.gcr.io ne sont disponibles que si Container Registry se trouve également dans le périmètre.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
assuredworkloads.googleapis.com
|
Détail
|
L'API pour Assured Workloads peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Assured Workloads, consultez la documentation du produit.
|
Limites
|
L'intégration d'Assured Workloads avec VPC Service Controls ne fait l'objet d'aucune limitation connue.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
automl.googleapis.com, eu-automl.googleapis.com
|
Détail
|
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Pour plus d'informations sur AutoML Natural Language, consultez la documentation du produit.
|
Limites
|
- Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
- Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que
eu-automl.googleapis.com , à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com , le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com .
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
automl.googleapis.com, eu-automl.googleapis.com
|
Détail
|
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Pour plus d'informations sur AutoML Tables, consultez la documentation du produit.
|
Limites
|
- Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
- Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que
eu-automl.googleapis.com , à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com , le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com .
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
automl.googleapis.com, eu-automl.googleapis.com
|
Détail
|
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Pour plus d'informations sur AutoML Translation, consultez la documentation du produit.
|
Limites
|
- Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
- Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que
eu-automl.googleapis.com , à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com , le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com .
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
automl.googleapis.com, eu-automl.googleapis.com
|
Détail
|
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Pour plus d'informations sur AutoML Video Intelligence, consultez la documentation du produit.
|
Limites
|
- Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
- Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que
eu-automl.googleapis.com , à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com , le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com .
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
automl.googleapis.com, eu-automl.googleapis.com
|
Détail
|
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Pour plus d'informations sur AutoML Vision, consultez la documentation du produit.
|
Limites
|
- Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
- Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que
eu-automl.googleapis.com , à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com , le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com .
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Non. L'API pour la solution Bare Metal ne peut pas être protégée par des périmètres de service.
Toutefois, la solution Bare Metal peut être utilisée normalement dans les projets situés à l'intérieur d'un périmètre.
|
Détails
|
L'API de la solution Bare Metal peut être ajoutée à un périmètre sécurisé. Toutefois, les périmètres VPC Service Controls ne s'étendent pas à l'environnement de la solution Bare Metal dans les extensions régionales.
Pour en savoir plus sur la solution Bare Metal, consultez la documentation du produit.
|
Limites
|
La solution Bare Metal n'est pas compatible avec VPC Service Controls. La connexion d'un VPC avec des contrôles de service activés dans votre environnement de solution Bare Metal ne garantit aucune garantie de service.
Pour en savoir plus sur les limitations de la solution Bare Metal concernant VPC Service Controls, consultez la page Limites et problèmes connus.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
batch.googleapis.com
|
Détails
|
L'API Batch peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Batch, reportez-vous à la documentation du produit.
|
Limites
|
Pour protéger entièrement Batch, vous devez inclure les API suivantes dans votre périmètre :
- API Batch (
batch.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API Artifact Registry (
artifactregistry.googleapis.com )
- API Filestore (
file.googleapis.com )
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
bigquery.googleapis.com
|
Détails
|
Lorsque vous protégez l'API BigQuery à l'aide d'un périmètre de service, l'API BigQuery Storage est également protégée. Vous n'avez pas besoin d'ajouter séparément l'API BigQuery Storage à la liste des services protégés de votre périmètre.
Pour plus d'informations sur BigQuery, reportez-vous à la documentation du produit.
|
Limites
|
Les enregistrements de journal d'audit BigQuery n'incluent pas toujours la totalité des ressources utilisées lors de l'envoi de la requête, car le service traite en interne l'accès à plusieurs ressources.
Lorsque vous accédez à une instance BigQuery protégée par un périmètre de service, la tâche BigQuery doit être exécutée dans un projet à l'intérieur du périmètre ou dans un projet autorisé par une règle de sortie du périmètre. Par défaut, les bibliothèques clientes BigQuery exécutent des tâches dans le compte de service ou le projet de l'utilisateur, ce qui entraîne le rejet de la requête par VPC Service Controls.
L'API BigQuery Connection n'est pas compatible.
BigQuery bloque l'enregistrement des résultats de requête dans Google Drive depuis le périmètre protégé VPC Service Controls.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
bigquerydatapolicy.googleapis.com
|
Détails
|
L'API BigQuery Data Policy peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API BigQuery Data Policy, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API BigQuery Data Policy avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
bigquerydatatransfer.googleapis.com
|
Détail
|
Le périmètre de service ne protège que l'API du service de transfert de données BigQuery. La protection réelle des données est appliquée par BigQuery. Elle est conçue pour permettre l'importation de données provenant de différentes sources externes en dehors de Google Cloud, telles qu'Amazon S3, Redshift, Teradata, YouTube, Google Play et Google Ads, dans des ensembles de données BigQuery. Pour en savoir plus sur les exigences de VPC Service Controls concernant la migration de données depuis Teradata, consultez la page Exigences relatives à VPC Service Controls.
Pour plus d'informations sur le service de transfert de données BigQuery, reportez-vous à la documentation du produit.
|
Limites
|
- Le service de transfert de données BigQuery ne permet pas d'exporter des données en dehors d'un ensemble de données BigQuery. Pour en savoir plus, consultez la page Exporter des données de table.
- Pour transférer des données entre projets, le projet de destination doit se trouver dans le même périmètre que le projet source, ou une règle de sortie doit autoriser le transfert de données en dehors du périmètre.
- Le service de transfert de données BigQuery n'accepte pas les sources de données tierces pour transférer des données dans des projets protégés par un périmètre de service.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
bigquerymigration.googleapis.com
|
Détails
|
L'API BigQuery Migration peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'API BigQuery Migration, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API BigQuery Migration avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
bigqueryreservation.googleapis.com
|
Détails
|
Un périmètre de service restreint l'accès aux réservations, aux engagements et aux attributions BigQuery au sein des projets d'administration qui sont spécifiés dans le périmètre.
Pour en savoir plus sur l'API BigQuery Reservation, consultez la documentation du produit.
|
Limites
|
Lorsque vous attribuez un projet à une réservation, assurez-vous que l'une des conditions suivantes est remplie :
Le projet attribué et le projet d'administration des réservations sont situés dans le même périmètre de service.
L'accès entre le projet attribué et le projet d'administration des réservations est autorisé à l'aide de règles d'entrée et de sortie.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
bigtable.googleapis.com, bigtableadmin.googleapis.com
|
Détails
|
Les services bigtable.googleapis.com et bigtableadmin.googleapis.com sont liés. Lorsque vous limitez le service bigtable.googleapis.com dans un périmètre, le périmètre limite le service bigtableadmin.googleapis.com par défaut. Vous ne pouvez pas ajouter le service bigtableadmin.googleapis.com à la liste des services limités dans un périmètre, car il est lié à bigtable.googleapis.com .
Pour plus d'informations sur Cloud Bigtable, reportez-vous à la documentation du produit.
|
Limites
|
L'intégration de Cloud Bigtable avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
binaryauthorization.googleapis.com
|
Détail
|
Lorsque vous utilisez plusieurs projets avec l'autorisation binaire, vous devez inclure chaque projet dans le périmètre VPC Service Controls. Pour en savoir plus sur ce cas d'utilisation, consultez la page Configuration multiprojets.
Avec l'autorisation binaire, vous pouvez stocker respectivement les certificateurs et les attestations sous forme de notes et d'occurrences à l'aide de Container Analysis. Dans ce cas, vous devez également inclure Container Analysis dans le périmètre VPC Service Controls.
Pour en savoir plus, consultez les conseils sur l'utilisation de VPC Service Controls avec Container Analysis.
Pour en savoir plus sur l'autorisation binaire, consultez la documentation du produit.
|
Limites
|
L'intégration de l'autorisation binaire avec VPC Service Controls n'a pas de limites connues.
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
privateca.googleapis.com
|
Détails
|
L'API pour Certificate Authority Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Certificate Authority Service, consultez la documentation du produit.
|
Limites
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
krmapihosting.googleapis.com
|
Détails
|
Pour utiliser Config Controller avec VPC Service Controls, vous devez activer les API suivantes dans votre périmètre :
- API Cloud Monitoring (
monitoring.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API de la suite Google Cloud Operations (
logging.googleapis.com )
- API Security Token Service (
sts.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
Si vous provisionnez des ressources à l'aide de Config Controller, vous devez activer l'API pour ces ressources dans votre périmètre de service. Par exemple, si vous souhaitez ajouter un compte de service IAM, vous devez ajouter l'API IAM (iam.googleapis.com ).
Pour plus d'informations sur Config Controller, reportez-vous à la documentation du produit.
|
Limites
|
L'intégration de Config Controller avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
datacatalog.googleapis.com
|
Détails
|
Data Catalog respecte automatiquement les périmètres autour des autres services Google Cloud.
Pour plus d'informations sur Data Catalog, reportez-vous à la documentation du produit.
|
Limites
|
L'intégration de Data Catalog à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
datafusion.googleapis.com
|
Détail
|
Pour protéger Cloud Data Fusion à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale.
Pour en savoir plus sur Cloud Data Fusion, consultez la documentation du produit.
|
Limites
|
Établissez le périmètre de sécurité VPC Service Controls avant de créer votre instance privée Cloud Data Fusion. La protection périmétrique des instances créées avant la configuration de VPC Service Controls n'est pas disponible.
Actuellement, l'interface utilisateur du plan de données Cloud Data Fusion ne permet pas le contrôle d'accès basé sur l'identité à l'aide de règles d'entrée ou de niveaux d'accès.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
datalineage.googleapis.com
|
Détails
|
L'API pour la traçabilité des données peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'API Data Lineage, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Data Lineage à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
compute.googleapis.com
|
Détails
|
La compatibilité de VPC Service Controls avec Compute Engine offre les avantages suivants en matière de sécurité:
- Limite l'accès aux opérations d'API sensibles
- Limite les instantanés de disque persistant et les images personnalisées à un périmètre
- Limite l'accès aux métadonnées d'instance
La compatibilité de VPC Service Controls avec Compute Engine vous permet également d'utiliser des réseaux cloud privés virtuels et des clusters privés Google Kubernetes Engine au sein des périmètres de service.
Pour en savoir plus sur Compute Engine, consultez la documentation du produit.
|
Limites
|
Les pare-feu hiérarchiques ne sont pas affectés par les périmètres de service.
Les opérations d'appairage de VPC n'appliquent pas les restrictions liées au périmètre de service VPC.
La méthode API projects.ListXpnHosts pour le VPC partagé n'applique pas les restrictions du périmètre de service aux projets renvoyés.
Pour qu'une image Compute Engine puisse être créée dans un projet Cloud Storage protégé par un périmètre de service, l'utilisateur qui crée l'image doit être ajouté temporairement à une règle d'entrée du périmètre.
VPC Service Controls ne permet pas l'utilisation de la version Open Source de Kubernetes sur les VM Compute Engine dans un périmètre de service.
La console série interactive n'est pas compatible avec l'adresse IP virtuelle restreinte. Si vous devez résoudre des problèmes liés à votre instance à l'aide de la console série, configurez votre résolution DNS sur site pour envoyer vos commandes à ssh-serialport.googleapis.com via Internet.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
contactcenterinsights.googleapis.com
|
Détail
|
Pour utiliser Contact Center AI Insights avec VPC Service Controls, vous devez disposer des API supplémentaires suivantes dans votre périmètre, en fonction de votre intégration.
Pour charger des données dans Contact Center AI Insights, ajoutez l'API Cloud Storage à votre périmètre de service.
Pour utiliser l'exportation, ajoutez l'API BigQuery à votre périmètre de service.
Pour intégrer plusieurs produits CCAI, ajoutez l'API Vertex AI à votre périmètre de service.
Pour plus d'informations sur Contact Center AI Insights, consultez la documentation du produit.
|
Limites
|
L'intégration de Contact Center AI Insights à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
dataflow.googleapis.com
|
Détails
|
Dataflow est compatible avec un certain nombre de connecteurs de service de stockage. Les connecteurs suivants ont été validés pour fonctionner avec Dataflow dans un périmètre de service :
Pour en savoir plus sur Dataflow, consultez la documentation du produit.
|
Limites
|
Les configurations BIND personnalisées ne sont pas compatibles avec Dataflow. Pour personnaliser la résolution DNS lors de l'utilisation de Dataflow avec VPC Service Controls, exploitez des zones privées Cloud DNS au lieu d'utiliser des serveurs BIND personnalisés. Pour utiliser votre propre résolution DNS sur site, envisagez d'employer une méthode de transfert DNS Google Cloud.
Les connecteurs de service de stockage n'ont pas tous été validés pour fonctionner avec l'utilisation de Cloud Dataflow dans un périmètre de service. Pour obtenir la liste des connecteurs validés, consultez la section "Détails" de la section précédente.
Lorsque vous utilisez Python 3.5 avec le SDK Apache Beam 2.20.0–2.22.0, les tâches Dataflow échouent au démarrage si les nœuds de calcul ne disposent que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources.
Si les nœuds de calcul Dataflow ne peuvent disposer que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources, n'utilisez pas Python 3.5 avec le SDK Apache Beam 2.20.0‐2.22.0. Cette combinaison entraîne l'échec des tâches au démarrage.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
dataproc.googleapis.com
|
Détails
|
Pour protéger Cloud Dataproc à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale.
Pour plus d'informations sur Dataproc, consultez la documentation du produit.
|
Limites
|
- Pour protéger un cluster Dataproc avec un périmètre de service, vous devez suivre les instructions sur la configuration d'une connectivité privée pour permettre au cluster de fonctionner à l'intérieur du périmètre.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
metastore.googleapis.com
|
Détail
|
L'API pour Dataproc Metastore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Dataproc Metastore, consultez la documentation du produit.
|
Limites
|
L'intégration de Dataproc Metastore avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
datastream.googleapis.com
|
Détails
|
L'API pour Datastream peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Datastream, consultez la documentation du produit.
|
Limites
|
L'intégration de DataStream avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
datamigration.googleapis.com
|
Détail
|
L'API pour Database Migration Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Database Migration Service, consultez la documentation du produit.
|
Limites
|
- Les périmètres de service ne protègent que l'API Database Migration Service Admin. Ils ne protègent pas l'accès aux données basées sur une adresse IP sur les bases de données sous-jacentes (telles que les instances Cloud SQL). Pour limiter l'accès des adresses IP publiques aux instances Cloud SQL, utilisez une contrainte de règle d'administration.
- Lorsque vous utilisez un fichier Cloud Storage lors de la phase initiale de vidage de la migration, ajoutez le bucket Cloud Storage au même périmètre de service.
- Lorsque vous utilisez une clé de chiffrement gérée par le client (CMEK) dans la base de données de destination, assurez-vous que la clé CMEK se trouve dans le même périmètre de service que le profil de connexion qui contient la clé.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
dialogflow.googleapis.com
|
Détail
|
L'API pour Dialogflow peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Dialogflow, reportez-vous à la documentation du produit.
|
Limites
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
dlp.googleapis.com
|
Détails
|
L'API pour Cloud Data Loss Prevention peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud Data Loss Prevention, consultez la documentation du produit.
|
Limites
|
Comme VPC Service Controls n'est actuellement pas compatible avec les ressources de dossier et d'organisation, les appels DLP peuvent renvoyer une réponse 403 lors de la tentative d'accès aux ressources au niveau de l'organisation. Nous vous recommandons de gérer les autorisations DLP au niveau des dossiers et de l'organisation à l'aide d'IAM.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
dns.googleapis.com
|
Détail
|
L'API pour Cloud DNS peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud DNS, consultez la documentation du produit.
|
Limites
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
documentai.googleapis.com
|
Détail
|
L'API pour Document AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Document AI, consultez la documentation du produit.
|
Limites
|
L'intégration de Document AI à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
contentwarehouse.googleapis.com
|
Détails
|
L'API pour Document AI Warehouse peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Document AI Warehouse, consultez la documentation du produit.
|
Limites
|
L'intégration de Document AI Warehouse à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
domains.googleapis.com
|
Détails
|
L'API pour Cloud Domains peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud Domains, consultez la documentation du produit.
|
Limites
|
Les données de contact utilisées dans Cloud Domains peuvent être partagées avec le registre de domaines de premier niveau (TLD) et peuvent être accessibles au public pour le compte OMS/RDAP comme vos paramètres l'autorisent, conformément aux règles de l'ICANN. Pour en savoir plus, consultez la section Protection de la vie privée.
- Les données de configuration DNS utilisées dans Cloud Domains (serveurs de noms et paramètres DNSSEC) sont publiques. Si votre domaine délègue à une zone DNS publique, ce qui est le réglage par défaut, les données de configuration DNS de cette zone sont également publiques.
- Vous pouvez accéder aux ressources d'enregistrement Cloud Domains en dehors du périmètre VPC Service Controls via le site Web de Google Domains.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
eventarc.googleapis.com
|
Détail
|
Eventarc gère la diffusion d'événements à l'aide de sujets Pub/Sub et d'abonnements push. Pour accéder à l'API Pub/Sub et gérer les déclencheurs d'événements, l'API Eventarc doit être protégée dans le même périmètre de service VPC Service Controls que l'API Pub/Sub.
Pour plus d'informations sur Eventarc, consultez la documentation du produit.
|
Limites
|
Eventarc est lié à la même limitation que Pub/Sub : dans les projets protégés par un périmètre de service, il est impossible de créer de nouveaux abonnements push, sauf si les points de terminaison push sont définis sur des services Cloud Run avec l'URL par défaut run.app (les domaines personnalisés ne fonctionneront pas). Dans le présent document, consultez les limites applicables à Pub/Sub.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
firebaseappcheck.googleapis.com
|
Détails
|
Lorsque vous configurez et échangez des jetons Firebase App Check, VPC Service Controls ne protège que le service Firebase App Check. Pour protéger des services qui reposent sur Firebase App Check, vous devez configurer des périmètres de service pour ces services.
Pour en savoir plus sur Firebase App Check, consultez la documentation du produit.
|
Limites
|
L'intégration de Firebase App Check à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
firebaserules.googleapis.com
|
Détails
|
Lorsque vous gérez Firebase Security Rules, VPC Service Controls ne protège que le service Firebase Security Rules. Pour protéger les services qui reposent sur Firebase Security Rules, vous devez configurer des périmètres de services pour ces services.
Pour plus d'informations sur les règles de sécurité Firebase, consultez la documentation du produit.
|
Limites
|
L'intégration des règles de sécurité Firebase avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudfunctions.googleapis.com
|
Détails
|
Consultez la documentation de Cloud Functions pour connaître la procédure de configuration. La protection VPC Service Controls ne s'applique pas à la phase de création lorsque des fonctions Cloud sont compilées à l'aide de Cloud Build. La protection VPC Service Controls s'applique à tous les déclencheurs de fonction, à l'exception des déclencheurs Firebase Realtime Database et Firebase Crashlytics. Pour plus d'informations, reportez-vous aux limites connues.
Pour en savoir plus sur Cloud Functions, consultez la documentation du produit.
|
Limites
|
Cloud Functions crée et gère votre code source dans un conteneur exécutable à l'aide de Cloud Build, de Container Registry et de Cloud Storage. Si l'un de ces services est restreint par le périmètre de service, VPC Service Controls bloque la compilation de Cloud Functions, même si Cloud Functions n'a pas été ajouté au périmètre en tant que service restreint. Pour utiliser Cloud Functions à l'intérieur d'un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Build dans votre périmètre de service.
Pour permettre à vos fonctions d'utiliser des dépendances externes, telles que des packages npm, Cloud Build dispose d'un accès illimité à Internet. Cet accès Internet pourrait permettre d'exfiltrer les données disponibles au moment de la compilation, par exemple le code source que vous avez importé. Pour atténuer les risques d'exfiltration que présente ce vecteur, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeur de Cloud Functions à des développeurs non approuvés.
Pour les déclencheurs Firebase Realtime Database et Firebase Crashlytics, un utilisateur risquerait de déployer une fonction déclenchée par des modifications apportées à Firebase Realtime Database ou Firebase Crashlytics dans un autre projet, situé en dehors du périmètre de service du projet dans lequel la fonction est déployée. Si vous souhaitez atténuer les risques d'exfiltration que présente ce vecteur pour ces deux déclencheurs, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeur de Cloud Functions à des développeurs non approuvés.
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour déployer Cloud Functions à partir d'une machine locale.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d’identité.
Lorsque les services Cloud Functions sont appelés par des déclencheurs HTTP, l'application de la stratégie VPC Service Controls n'utilise pas les informations d'authentification IAM du client. Les règles de stratégie d'entrée VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas compatibles. Les niveaux d'accès des périmètres VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas compatibles.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
iam.googleapis.com
|
Détails
|
Lorsque vous limitez la portée d'IAM avec un périmètre, seules les actions qui utilisent l'API Cloud IAM sont limitées. Ces actions incluent la gestion des rôles IAM personnalisés, la gestion des pools d'identités de charge de travail, ainsi que la gestion des comptes de service et des clés. Le périmètre ne limite pas les actions liées aux pools d'employés, car ceux-ci sont des ressources au niveau de l'organisation. Il ne limite pas non plus les actions qui utilisent d'autres API, y compris les suivantes :
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (y compris les anciennes méthodes
signBlob et signJwt dans l'API IAM)
Le périmètre autour d'IAM ne limite pas non plus l'obtention ni la définition de stratégies IAM pour les ressources appartenant à d'autres services, tels que des instances de machines virtuelles Compute Engine. Pour restreindre l'obtention et la définition de stratégies IAM pour ces ressources, créez un périmètre qui limite le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies IAM et des services qui les possèdent, consultez la section Types de ressources qui acceptent les stratégies IAM.
Pour plus d'informations sur Identity and Access Management, consultez la documentation du produit.
|
Limites
|
Si vous vous trouvez dans le périmètre, vous ne pouvez pas appeler la méthode roles.list en spécifiant une chaîne vide pour répertorier les rôles prédéfinis IAM. Si vous devez afficher les rôles prédéfinis, consultez la documentation sur les rôles IAM.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
iap.googleapis.com
|
Détails
|
L'API IAP Admin permet aux utilisateurs de configurer IAP.
Pour en savoir plus sur l'API IAP Admin , consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Admin IAP à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
kmsinventory.googleapis.com
|
Détails
|
L'API pour l'API Cloud KMS Inventory peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Cloud KMS Inventory, consultez la documentation du produit.
|
Limites
|
La méthode API SearchProtectedResources n'applique pas les restrictions de périmètre de service aux projets renvoyés.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
iamcredentials.googleapis.com
|
Détails
|
L'API pour les identifiants du compte de service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur les identifiants du compte de service, consultez la documentation du produit.
|
Limites
|
L'intégration des identifiants du compte de service à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloud.googleapis.com
|
Détails
|
L'API pour l'API Service Metadata peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Service Metadata, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Service Metadata avec VPC Service Controls n'a pas de limites connues.
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
vpcaccess.googleapis.com
|
Détails
|
L'API pour la fonctionnalité Accès au VPC sans serveur peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur la fonctionnalité Accès au VPC sans serveur, consultez la documentation du produit.
|
Limites
|
L'intégration de la fonctionnalité Accès au VPC sans serveur à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudkms.googleapis.com
|
Détails
|
L'API Cloud KMS peut être protégée par VPC Service Controls et le produit peut être utilisé dans les périmètres de service. L'accès aux services Cloud HSM est également protégé par VPC Service Controls et peut être utilisé dans les périmètres de service.
Pour en savoir plus sur Cloud Key Management Service, consultez la documentation du produit.
|
Limites
|
L'intégration de Cloud Key Management Service à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
gameservices.googleapis.com
|
Détail
|
L'API pour Game Servers peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Game Servers, consultez la documentation du produit.
|
Limites
|
L'intégration de Game Servers à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
iaptunnel.googleapis.com
|
Détails
|
L'API pour Identity-Aware Proxy for TCP peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Identity-Aware Proxy for TCP, consultez la documentation du produit.
|
Limites
|
Seule l'API d'utilisation d'IAP for TCP peut être protégée par un périmètre.
L'API d'administration ne peut pas être protégée par un périmètre.
Pour utiliser IAP for TCP dans un périmètre de service VPC Service Controls, vous devez ajouter ou configurer des entrées DNS pour faire pointer les domaines suivants vers l'adresse IP virtuelle restreinte :
- tunnel.cloudproxy.app
- *.tunnel.cloudproxy.app
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
lifesciences.googleapis.com
|
Détail
|
L'API pour Cloud Life Sciences peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud Life Sciences, consultez la documentation du produit.
|
Limites
|
L'intégration de Cloud Life Sciences à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
managedidentities.googleapis.com
|
Détail
|
Configuration supplémentaire requise pour :
Pour plus d'informations sur le service géré pour Microsoft Active Directory, consultez la documentation du produit.
|
Limites
|
L'intégration du service géré pour Microsoft Active Directory avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
recaptchaenterprise.googleapis.com
|
Détails
|
L'API pour reCAPTCHA Enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur reCAPTCHA Enterprise, consultez la documentation du produit.
|
Limites
|
L'intégration de reCAPTCHA Enterprise à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
webrisk.googleapis.com
|
Détails
|
L'API pour Web Risk peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Web Risk, consultez la documentation du produit.
|
Limites
|
L'API Evaluate et l'API Submission ne sont pas compatibles avec VPC Service Controls.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
recommender.googleapis.com
|
Détails
|
L'API pour l'outil de recommandation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'outil de recommandation, consultez la documentation du produit.
|
Limites
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
secretmanager.googleapis.com
|
Détails
|
L'API pour Secret Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Secret Manager, consultez la documentation du produit.
|
Limites
|
L'intégration de Secret Manager avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
pubsub.googleapis.com
|
Détail
|
La protection VPC Service Controls s'applique à toutes les opérations d'administration, aux opérations d'éditeur et aux opérations d'abonné (à l'exception des abonnements push existants).
Pour en savoir plus sur Pub/Sub, consultez la documentation du produit.
|
Limites
|
- Dans les projets protégés par un périmètre de service, il est impossible de créer des abonnements push, sauf si les points de terminaison push sont définis sur des services Cloud Run avec des URL
run.app par défaut (les domaines personnalisés ne fonctionnent pas). Pour en savoir plus sur l'intégration de Cloud Run, consultez la page Utiliser VPC Service Controls.
- Les abonnements push Pub/Sub créés avant le périmètre de service ne sont pas bloqués.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
pubsublite.googleapis.com
|
Détails
|
La protection VPC Service Controls s'applique à toutes les opérations d'abonné.
Pour en savoir plus sur Pub/Sub Lite, consultez la documentation du produit.
|
Limites
|
L'intégration de Pub/Sub Lite à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudbuild.googleapis.com
|
Détail
|
Utilisez VPC Service Controls avec les pools privés Cloud Build pour renforcer la sécurité de vos compilations.
Pour plus d'informations sur Cloud Build, consultez la documentation produit.
|
Limites
|
La protection VPC Service Controls n'est disponible que pour les compilations exécutées dans des pools privés.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
clouddeploy.googleapis.com
|
Détail
|
L'API pour Google Cloud Deploy peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur le déploiement de Google Cloud, consultez la documentation du produit.
|
Limites
|
Pour utiliser Google Cloud Deploy dans un périmètre, vous devez utiliser un pool privé Cloud Build pour les environnements d'exécution de la cible.
N'utilisez pas de pool de nœuds de calcul par défaut (Cloud Build) ni de pool hybride.
|
|
|
Status
|
DG
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
composer.googleapis.com
|
Détails
|
Configurer Composer pour une utilisation avec VPC Service Controls
Pour plus d'informations sur Cloud Composer, reportez-vous à la documentation du produit.
|
Limites
|
L'activation de la sérialisation des DAG empêche Airflow d'afficher un modèle rendu avec des fonctions dans l'interface utilisateur Web.
Il n'est pas possible de définir l'option async_dagbag_loader sur True lorsque la sérialisation des DAG est activée.
L'activation de la sérialisation des DAG désactive tous les plug-ins du serveur Web Airflow, car ils peuvent compromettre la sécurité du réseau VPC sur lequel Cloud Composer est déployé. Cela n'a pas d'incidence sur le comportement des plug-ins du programmeur ou des nœuds de calcul, y compris les opérateurs et les capteurs Airflow.
Lorsque Cloud Composer s'exécute à l'intérieur d'un périmètre, l'accès aux dépôts PyPI publics est restreint. Pour savoir comment installer les modules PyPI en mode d'adresse IP privée, consultez la page Installer des dépendances Python dans la documentation de Cloud Composer.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
run.googleapis.com
|
Détail
|
Une configuration supplémentaire est requise pour Cloud Run. Suivez les instructions de la page de documentation VPC Service Controlsde Cloud Run.
Pour en savoir plus sur Cloud Run, consultez la documentation du produit.
|
Limites
|
- Pour Artifact Registry et Container Registry, le registre dans lequel vous stockez votre conteneur doit se trouver dans le même périmètre VPC Service Controls que le projet vers lequel vous effectuez le déploiement. Le code à compiler doit se trouver dans le même périmètre VPC Service Controls que le registre vers lequel le conteneur est transféré.
- La fonctionnalité de déploiement continu de Cloud Run n'est pas disponible pour les projets situés dans un périmètre VPC Service Controls.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudscheduler.googleapis.com
|
Détails
|
L'API pour Cloud Scheduler peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud Scheduler, consultez la documentation produit.
|
Limites
|
VPC Service Controls n'accepte pas les tâches Cloud Scheduler ayant les cibles suivantes :
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
spanner.googleapis.com
|
Détail
|
L'API pour Cloud Spanner peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud Spanner, reportez-vous à la documentation du produit.
|
Limites
|
L'intégration de Cloud Spanner à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
speakerid.googleapis.com
|
Détail
|
L'API de Speaker ID peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Speaker ID, consultez la documentation du produit.
|
Limites
|
L'intégration de Speaker ID avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
storage.googleapis.com
|
Détail
|
L'API pour Cloud Storage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud Storage, reportez-vous à la documentation du produit.
|
Limites
|
Lorsque vous utilisez la fonctionnalité Paiements du demandeur à l'aide d'un bucket de stockage situé à l'intérieur d'un périmètre de service qui protège le service Cloud Storage, vous ne pouvez pas identifier un projet auquel imputer les frais s'il se situe en dehors du périmètre. Le projet cible doit se trouver dans le même périmètre que le bucket de stockage ou être associé au projet du bucket via une liaison de périmètre.
Pour plus d'informations sur la fonctionnalité "Paiements du demandeur", consultez la section Exigences relatives à l'utilisation et aux accès de la fonctionnalité Paiements du demandeur.
Pour les projets situés dans un périmètre de service, la page Cloud Storage de la console Google Cloud n'est pas accessible si l'API Cloud Storage est protégée par ce périmètre. Si vous souhaitez autoriser l'accès à la page, vous devez créer une règle d'entrée et/ou un niveau d'accès incluant les comptes utilisateur et/ou la plage d'adresses IP publique pour lesquels vous souhaitez autoriser l'accès à l'API Cloud Storage.
Dans les enregistrements du journal d'audit, le champ resourceName n'identifie pas le projet qui détient un bucket. Le projet doit être découvert séparément.
Dans les enregistrements du journal d'audit, la valeur de methodName n'est pas toujours correcte. Nous vous conseillons de ne pas filtrer les enregistrements du journal d'audit Cloud Storage par methodName .
Dans certains cas, les journaux des anciens buckets Cloud Storage peuvent être écrits vers des destinations situées en dehors d'un périmètre de service, même lorsque l'accès est refusé.
Lorsque vous essayez d'utiliser gsutil pour la première fois dans un nouveau projet, vous pouvez être invité à activer le service storage-api.googleapis.com . Bien que vous ne puissiez pas protéger directement storage-api.googleapis.com , lorsque vous protégez l'API Cloud Storage à l'aide d'un périmètre de service, les opérations gsutil sont également protégées.
- Dans certains cas, les objets Cloud Storage qui étaient publics sont accessibles même après l'activation de VPC Service Controls sur les objets. Les objets sont accessibles jusqu'à leur expiration dans les caches intégrés et tout autre cache en amont sur le réseau entre l'utilisateur final et Cloud Storage. Par défaut, Cloud Storage met en cache les données publiques dans le réseau Cloud Storage.
Pour en savoir plus sur la mise en cache des objets Cloud Storage, consultez la documentation de Cloud Storage. Pour en savoir plus sur la durée pendant laquelle un objet peut être mis en cache, consultez la section sur les métadonnées Cache-Control.
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour toutes les opérations Cloud Storage utilisant des URL signées.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d’identité.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudtasks.googleapis.com
|
Détails
|
L'API pour Cloud Tasks peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Les requêtes HTTP provenant d'exécutions Cloud Tasks sont compatibles comme suit :
- Les requêtes authentifiées vers les fonctions Cloud Functions (1re génération) et les points de terminaison Cloud Run compatibles avec VPC Service Controls sont autorisées.
- Les requêtes vers des points de terminaison autres que Cloud Functions et Cloud Run sont bloquées.
- Les requêtes adressées aux points de terminaison Cloud Functions et Cloud Run non compatibles avec VPC Service Controls sont bloquées.
Pour plus d'informations sur Cloud Tasks, consultez la documentation produit.
|
Limites
|
L'intégration de Cloud Tasks avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
sqladmin.googleapis.com
|
Détail
|
Les périmètres VPC Service Controls protègent l'API Cloud SQL Admin.
Pour en savoir plus sur Cloud SQL, consultez la documentation du produit.
|
Limites
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
videointelligence.googleapis.com
|
Détail
|
L'API pour l'API Video Intelligence peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'API Video Intelligence, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Video Intelligence à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
vision.googleapis.com
|
Détail
|
L'API pour l'API Cloud Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'API Cloud Vision, consultez la documentation du produit.
|
Limites
|
Même si vous créez une règle de sortie pour autoriser les appels vers des URL publiques depuis des périmètres VPC Service Controls, l'API Cloud Vision bloque les appels vers des URL publiques.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
containeranalysis.googleapis.com
|
Détail
|
Pour utiliser Container Analysis avec VPC Service Controls, vous devrez peut-être ajouter d'autres services à votre périmètre VPC:
Étant donné que l'API Container Scanning est une API sans surface qui stocke les résultats dans Container Analysis, vous n'avez pas besoin de la protéger avec un périmètre de service.
Pour plus d'informations sur Container Analysis, consultez la documentation du produit.
|
Limites
|
L'intégration de Container Analysis à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
containerregistry.googleapis.com
|
Détail
|
En plus de protéger l'API Container Registry, Container Registry peut être utilisé dans un périmètre de service avec GKE et Compute Engine.
Pour plus d'informations sur Container Registry, reportez-vous à la documentation du produit.
|
Limites
|
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour toutes les opérations Container Registry.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d’identité.
Étant donné que Container Registry utilise le domaine gcr.io , vous devez configurer le DNS pour que *.gcr.io puisse être mappé sur private.googleapis.com ou restricted.googleapis.com .
Pour plus d'informations, consultez la page Sécuriser Container Registry dans un périmètre de service.
Outre les conteneurs situés à l'intérieur d'un périmètre qui sont accessibles par Container Registry, les dépôts ci-après, en lecture seule et gérés par Google, sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service :
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
mirror.gcr.io
Dans tous les cas, les versions multirégionales de ces dépôts sont également disponibles.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
container.googleapis.com
|
Détails
|
L'API pour Google Kubernetes Engine peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Google Kubernetes Engine, reportez-vous à la documentation du produit.
|
Limites
|
- Seuls les clusters privés peuvent être protégés à l'aide de VPC Service Controls. Les clusters avec des adresses IP publiques ne sont pas compatibles avec VPC Service Controls.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
containerfilesystem.googleapis.com
|
Détails
|
Le streaming d'images est une fonctionnalité de streaming de données GKE qui réduit le temps d'extraction d'images de conteneurs pour les images stockées dans Artifact Registry.
Si VPC Service Controls protège vos images de conteneurs et que vous utilisez la diffusion d'images, vous devez également inclure l'API Image Streaming dans le périmètre de service.
Pour en savoir plus sur le streaming d'image, consultez la documentation du produit.
|
Limites
|
L'intégration de streaming d'images avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
gkeconnect.googleapis.com, gkehub.googleapis.com, connectgateway.googleapis.com
|
Détails
|
Les API de gestion du parc, y compris la passerelle Connect, peuvent être protégées par VPC Service Controls, et les fonctionnalités de gestion de parc peuvent être utilisées normalement dans les périmètres de service.
Pour en savoir plus, consultez les ressources suivantes :
Pour plus d'informations sur les parcs, consultez la documentation du produit.
|
Limites
|
L'intégration de parcs avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudresourcemanager.googleapis.com
beta
|
Détails
|
Seules les méthodes de l'API Resource Manager v1 project.setIAMPolicy et v1beta1 project.setIAMPolicy peuvent être protégées par VPC Service Controls.
Pour en savoir plus sur Resource Manager, consultez la documentation du produit.
|
Limites
|
- Les méthodes de l'API Resource Manager pour créer et gérer des tags ne peuvent pas être protégées par VPC Service Controls.
- L'attribution du rôle de propriétaire sur un projet via la console Google Cloud est désormais acceptée par VPC Service Controls. Vous ne pouvez pas envoyer d'invitation de propriétaire, ni accepter une invitation en dehors des périmètres de service. Si vous essayez d'accepter une invitation extérieure au périmètre, le rôle de propriétaire ne vous sera pas attribué, et aucun message d'erreur ni d'avertissement ne s'affichera.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
logging.googleapis.com
|
Détail
|
L'API pour Cloud Logging peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud Logging, consultez la documentation du produit.
|
Limites
|
Les récepteurs de journaux agrégés (récepteurs de dossier ou d'organisation pour lesquels la valeur includeChildren est true ) peuvent accéder aux données des projets situés à l'intérieur d'un périmètre de service. Pour empêcher les récepteurs de journaux agrégés d'accéder aux données d'un périmètre, nous vous recommandons d'utiliser IAM pour gérer les autorisations Logging dans les récepteurs de journaux agrégés au niveau du dossier ou de l'organisation.
VPC Service Controls ne permet pas d'ajouter des ressources de dossier ou d'organisation à des périmètres de service. Par conséquent, vous ne pouvez pas utiliser VPC Service Controls pour protéger les journaux au niveau des dossiers et de l'organisation, y compris les journaux agrégés. Pour gérer les autorisations Logging au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.
Si vous acheminez des journaux à l'aide d'un récepteur de journaux au niveau de l'organisation ou d'un dossier vers une ressource protégée par un périmètre de service, vous devez ajouter une règle d'entrée au périmètre de service. La règle d'entrée doit autoriser l'accès à la ressource à partir du compte de service utilisé par le récepteur de journaux. Cette étape n'est pas nécessaire pour les récepteurs au niveau d'un projet.
Pour en savoir plus, consultez les articles suivants :
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour exporter les journaux d'un récepteur Cloud Logging vers une ressource Cloud Storage.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d’identité.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
monitoring.googleapis.com
|
Détail
|
L'API pour Cloud Monitoring peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud Monitoring, consultez la documentation du produit.
|
Limites
|
Les canaux de notification, les règles d'alerte et les métriques personnalisées peuvent être utilisés conjointement pour exfiltrer des données/métadonnées. À l'heure actuelle, un utilisateur de Cloud Monitoring peut configurer un canal de notification pointant vers une entité extérieure à l'organisation, par exemple "baduser@badcompany.com". L'utilisateur configure ensuite des métriques personnalisées et les règles d'alerte correspondantes qui exploitent le canal de notification. Par conséquent, en manipulant les métriques personnalisées, l'utilisateur peut déclencher des alertes et envoyer des notifications de déclenchement d'alerte, exfiltrant ainsi des données sensibles vers l'adresse baduser@badcompany.com, c'est-à-dire en dehors du périmètre VPC Service Controls.
Toutes les VM Compute Engine ou AWS sur lesquelles l'agent Monitoring est installé doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon l'écriture des données de métriques de l'agent échoue.
Tous les pods GKE doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon la surveillance GKE ne peut pas fonctionner.
Lorsque vous interrogez des métriques pour un champ d'application des métriques, seul le périmètre VPC Service Controls du projet du champ d'application de la métrique est pris en compte. Les périmètres des différents projets surveillés dans le champ d'application des métriques ne sont pas pris en compte.
Vous ne pouvez ajouter un projet en tant que projet surveillé à un champ d'application des métriques existant que si ce projet se trouve dans le même périmètre VPC Service Controls que le projet de champ d'application des métriques.
Pour accéder à Monitoring dans la console Google Cloud pour un projet hôte protégé par un périmètre de service, utilisez une règle d'entrée.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudprofiler.googleapis.com
|
Détails
|
L'API pour Cloud Profiler peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud Profiler, consultez la documentation du produit.
|
Limites
|
L'intégration de Cloud Profiler avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
timeseriesinsights.googleapis.com
|
Détails
|
L'API pour l'API Timeseries Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Timeseries Insights, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Timeseries Insights avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudtrace.googleapis.com
|
Détail
|
L'API pour Cloud Trace peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud Trace, consultez la documentation du produit.
|
Limites
|
L'intégration de Cloud Trace avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
tpu.googleapis.com
|
Détail
|
L'API pour Cloud TPU peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud TPU, consultez la documentation du produit.
|
Limites
|
L'intégration de Cloud TPU avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
language.googleapis.com
|
Détails
|
L'API pour l'API Natural Language peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Natural Language, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Natural Language avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
networkconnectivity.googleapis.com
|
Détail
|
L'API pour Network Connectivity Center peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Network Connectivity Center, consultez la documentation du produit.
|
Limites
|
L'intégration de Network Connectivity Center à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
cloudasset.googleapis.com
|
Détail
|
L'API pour l'API Cloud Asset peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'API Cloud Asset, consultez la documentation du produit.
|
Limites
|
- VPC Service Controls ne permet pas d'accéder aux ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Cloud Asset au niveau du projet. Vous pouvez spécifier une règle de sortie pour empêcher l'accès aux ressources de l'API Cloud Asset au niveau du projet à partir des projets situés à l'intérieur du périmètre.
- VPC Service Controls ne permet pas d'ajouter des ressources API Cloud Asset au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation. Pour gérer les autorisations de l'inventaire des éléments cloud au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.
- Vous ne pouvez pas exporter des éléments au niveau d'un dossier ou de l'organisation dans des destinations situées à l'intérieur d'un périmètre de service.
- Vous ne pouvez pas créer de flux en temps réel pour les éléments au niveau d'un dossier ou de l'organisation avec un sujet Pub/Sub dans un périmètre de service.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
speech.googleapis.com
|
Détails
|
L'API pour Speech-to-Text peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Speech-to-Text, consultez la documentation du produit.
|
Limites
|
L'intégration de Speech-to-Text à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
texttospeech.googleapis.com
|
Détails
|
L'API pour Text-to-Speech peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Text-to-Speech, consultez la documentation du produit.
|
Limites
|
L'intégration de Text-to-Speech avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
translate.googleapis.com
|
Détail
|
L'API pour Translation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Translation, consultez la documentation du produit.
|
Limites
|
Cloud Translation – Advanced (v3) est compatible avec VPC Service Controls, mais pas Cloud Translation – Basic (v2). Pour appliquer VPC Service Controls, vous devez utiliser Cloud Translation – Advanced (v3). Pour en savoir plus sur les différentes éditions, consultez la page Comparer les versions Basic et Advanced.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
transcoder.googleapis.com
|
Détails
|
L'API pour l'API Transcoder peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Transcoder, consultez la documentation produit.
|
Limites
|
L'intégration de l'API Transcoder avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
videostitcher.googleapis.com
|
Détails
|
L'API pour l'assembleur vidéo peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'API Video Stitcher, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Video Stitcher avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
accessapproval.googleapis.com
|
Détail
|
L'API pour Access Approval peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Access Approval, consultez la documentation du produit.
|
Limites
|
L'intégration d'Access Approval avec VPC Service Controls n'a pas de limites connues.
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
healthcare.googleapis.com
|
Détails
|
L'API pour l'API Cloud Healthcare peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Cloud Healthcare, consultez la documentation du produit.
|
Limites
|
L'intégration de l'API Cloud Healthcare avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
storagetransfer.googleapis.com
|
Détail
|
Nous vous recommandons de placer votre projet STS dans le même périmètre de service que vos ressources Cloud Storage. Ainsi, vous protégez à la fois le transfert et vos ressources Cloud Storage. Le service de transfert de stockage accepte également les scénarios dans lesquels le projet de service de transfert de stockage ne se trouve pas dans le même périmètre que vos buckets Cloud Storage, par le biais d'une règle de sortie.
Pour en savoir plus sur la configuration, consultez la page Utiliser le service de transfert de stockage avec VPC Service Controls.
Service de transfert des données sur site
Pour en savoir plus et obtenir des informations sur la configuration du transfert sur site, consultez la page Utiliser le transfert sur site avec VPC Service Controls.
Pour en savoir plus sur le service de transfert de stockage, consultez la documentation du produit.
|
Limites
|
- Le service de transfert des données sur site n'offre pas de protection liée à l'API VPC Service Controls dans la console Google Cloud.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
servicecontrol.googleapis.com
|
Détails
|
L'API pour Service Control peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Service Control, consultez la documentation du produit.
|
Limites
|
- Lorsque vous appelez l'API Service Control à partir d'un réseau VPC situé dans un périmètre de service avec Service Control restreint, vous ne pouvez pas utiliser la méthode de rapport Service Control pour générer des rapports sur les métriques de facturation.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
redis.googleapis.com
|
Détails
|
L'API pour Memorystore pour Redis peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Memorystore pour Redis, reportez-vous à la documentation du produit.
|
Limites
|
Les périmètres de service ne protègent que l'API Memorystore pour Redis. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Redis au sein du même réseau.
Si l'API Cloud Storage est également protégée, les opérations d'importation et d'exportation de Memorystore pour Redis ne peuvent être lues et écrites que dans un bucket Cloud Storage situé dans le même périmètre de service que l'instance Memorystore pour Redis.
Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et le projet de service contenant l'instance Redis dans le même périmètre pour que les requêtes Redis réussissent. À tout moment, la séparation du projet hôte et du projet de service par un périmètre peut entraîner une défaillance de l'instance Redis, en plus des requêtes bloquées. Pour en savoir plus, consultez la section Configuration requise Memorystore pour Redis.
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
memcache.googleapis.com
|
Détails
|
L'API pour Memorystore pour Memcached peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Memorystore pour Memcached, consultez la documentation du produit.
|
Limites
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
servicedirectory.googleapis.com
|
Détail
|
L'API pour l'Annuaire des services peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'Annuaire des services, consultez la documentation du produit.
|
Limites
|
L'intégration de l'Annuaire des services à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
visualinspection.googleapis.com
|
Détails
|
Pour assurer une protection complète de Visual Inspection AI, incluez toutes les API suivantes dans votre périmètre:
- API Visual Inspection AI (
visualinspection.googleapis.com )
- API Vertex AI (
aiplatform.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Artifact Registry (
artifactregistry.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
Pour en savoir plus sur Visual Inspection AI, consultez la documentation du produit.
|
Limites
|
L'intégration de Visual Inspection AI à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Non. L'API pour Transfer Appliance ne peut pas être protégée par des périmètres de service.
Toutefois, Transfer Appliance peut être utilisé normalement dans les projets situés au sein d'un périmètre.
|
Détail
|
Transfer Appliance est entièrement compatible avec les projets utilisant VPC Service Controls.
Transfer Appliance ne propose pas d'API et n'est donc pas compatible avec les fonctionnalités liées aux API dans VPC Service Controls.
Pour plus d'informations sur Transfer Appliance, consultez la documentation produit.
|
Limites
|
-
Lorsque Cloud Storage est protégé par VPC Service Controls, la clé Cloud KMS que vous partagez avec l'équipe Transfer Appliance doit se trouver dans le même projet que le bucket Cloud Storage de destination.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
orgpolicy.googleapis.com
|
Détails
|
L'API pour Organization Policy Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur le service de règles d'administration, consultez la documentation du produit.
|
Limites
|
VPC Service Controls n'accepte pas les restrictions d'accès aux règles d'administration au niveau du dossier ou de l'organisation qui sont héritées par le projet.
VPC Service Controls protège les ressources de l'API du service de règles d'administration au niveau du projet.
Par exemple, si une règle d'entrée empêche un utilisateur d'accéder à l'API Organization Policy Service, cet utilisateur obtient une erreur 403 lorsqu'il demande des règles d'administration appliquées au projet. Toutefois, l'utilisateur peut toujours accéder aux règles d'administration du dossier et de l'organisation contenant le projet.
|
|
|
État
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
oslogin.googleapis.com
|
Détails
|
Vous pouvez appeler l'API OS Login depuis des périmètres VPC Service Controls. Pour gérer OS Login depuis des périmètres VPC Service Controls, configurez OS Login.
Les connexions SSH aux instances de VM ne sont pas protégées par VPC Service Controls.
Pour plus d'informations sur OS Login, consultez la documentation du produit.
|
Limites
|
Les méthodes OS Login pour la lecture et l'écriture de clés SSH n'appliquent pas les périmètres VPC Service Controls. Utilisez les services accessibles par VPC pour désactiver l'accès aux API OS Login.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
osconfig.googleapis.com
|
Détails
|
Vous pouvez appeler l'API OS Config depuis des périmètres VPC Service Controls. Pour utiliser VM Manager à partir des périmètres VPC Service Controls, configurez VM Manager.
Pour plus d'informations sur VM Manager, consultez la documentation produit.
|
Limites
|
Pour assurer une protection complète de VM Manager, vous devez inclure toutes les API suivantes dans votre périmètre :
- API OS Config (
osconfig.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API Container Analysis (
containeranalysis.googleapis.com )
VM Manager n'héberge pas le contenu du package et du correctif. OS Patch Management utilise les outils de mise à jour du système d'exploitation, qui nécessitent la mise à jour des packages et des correctifs sur la VM. Pour que les correctifs fonctionnent, vous devrez peut-être utiliser Cloud NAT ou héberger votre propre dépôt de packages ou un service de mise à jour Windows Server Update Service dans votre cloud privé virtuel.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
workflows.googleapis.com
|
Détails
|
Workflows est une plate-forme d'orchestration permettant de combiner des services Google Cloud et des API basées sur HTTP pour exécuter des services dans l'ordre que vous définissez.
Lorsque vous protégez l'API Workflows à l'aide d'un périmètre de service, l'API Workflow Executions est également protégée. Vous n'avez pas besoin d'ajouter séparément workflowexecutions.googleapis.com à la liste des services protégés de votre périmètre.
Les requêtes HTTP provenant d'une exécution de Workflows sont prises en charge comme suit :
- Les requêtes authentifiées auprès de points de terminaison Google Cloud compatibles avec VPC Service Controls sont autorisées.
- Les requêtes adressées à des points de terminaison Cloud Functions et Cloud Run sont autorisées.
- Les requêtes adressées à des points de terminaison tiers sont bloquées.
- Les requêtes adressées à des points de terminaison Google Cloud non compatibles avec VPC Service Controls sont bloquées.
Pour plus d'informations sur Workflows, consultez la documentation du produit.
|
Limites
|
L'intégration de Workflows avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
file.googleapis.com
|
Détails
|
L'API pour Filestore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Filestore, consultez la documentation du produit.
|
Limites
|
Les périmètres de service ne protègent que l'API Filestore. Ils ne protègent pas l'accès normal aux données NFS sur les instances Filestore au sein du même réseau.
Si vous utilisez le VPC partagé et VPC Service Controls, vous devez disposer du projet hôte qui fournit le réseau et du projet de service qui contient l'instance Filestore dans le même périmètre afin que l'instance Filestore puisse fonctionner correctement. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
containerthreatdetection.googleapis.com
|
Détails
|
L'API pour Container Threat Detection peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Container Threat Detection, consultez la documentation du produit.
|
Limites
|
L'intégration de Container Threat Detection à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
adsdatahub.googleapis.com
|
Détails
|
Pour plus d'informations sur Ads Data Hub, consultez la documentation du produit.
|
Limites
|
Ads Data Hub et VPC Service Controls sont soumis à des conditions d'utilisation différentes. Pour en savoir plus, consultez les conditions de chaque produit.
Certaines fonctionnalités Ads Data Hub (telles que l'activation d'audiences personnalisées, les enchères personnalisées et les tableaux de correspondance LiveRamp) nécessitent l'exportation de certaines données utilisateur en dehors du périmètre de VPC Service Controls. Si Ads Data Hub est ajouté en tant que service restreint, il ignore les règles de VPC Service Controls associées à ces fonctionnalités afin de les conserver.
Tous les services dépendants doivent être inclus en tant que services autorisés dans le même périmètre VPC Service Controls. Par exemple, étant donné que Ads Data Hub s'appuie sur BigQuery, BigQuery doit également être ajouté. En général, les bonnes pratiques de VPC Service Controls recommandent d'inclure tous les services dans le périmètre, c'est-à-dire de "limiter tous les services".
Les clients disposant de structures de compte Ads Data Hub à plusieurs niveaux (par exemple, les agences avec des filiales) doivent placer tous leurs projets d'administration dans le même périmètre. Par souci de simplicité, Ads Data Hub recommande aux clients disposant de structures de compte à plusieurs niveaux de limiter leurs projets d'administration à la même organisation Google Cloud.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
|
Détail
|
L'API pour Traffic Director peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Traffic Director, consultez la documentation du produit.
|
Limites
|
L'intégration de Traffic Director à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
sts.googleapis.com
|
Détail
|
VPC Service Controls ne limite les échanges de jetons que si l'audience de la requête est une ressource au niveau du projet. Par exemple, il ne limite pas les requêtes pour les jetons à champ d'application limité, car ces requêtes n'ont pas d'audience. Il ne limite pas non plus les requêtes de fédération d'identité de personnel, car l'audience est une ressource au niveau de l'organisation.
Pour en savoir plus sur Security Token Service, consultez la documentation du produit.
|
Limites
|
L'intégration de Security Token Service avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
|
Détails
|
Les services firestore.googleapis.com , datastore.googleapis.com et firestorekeyvisualizer.googleapis.com sont liés.
Lorsque vous restreignez le service firestore.googleapis.com dans un périmètre, le périmètre s'applique également aux services datastore.googleapis.com et firestorekeyvisualizer.googleapis.com .
Pour restreindre le service datastore.googleapis.com , utilisez le nom de service firestore.googleapis.com .
Pour obtenir une protection complète de la sortie sur les opérations d'importation et d'exportation, vous devez utiliser l'agent de service Firestore. Pour en savoir plus, lisez les informations ci-après.
Pour plus d'informations sur Firestore/Datastore, consultez la documentation du produit.
|
Limites
|
-
Les opérations d'importation et d'exportation ne sont pas entièrement protégées, sauf si vous utilisez l'agent de service Firestore. Pour en savoir plus, lisez les informations ci-après.
-
Les anciens services groupés App Engine pour Datastore ne sont pas compatibles avec les périmètres de service. La protection du service Datastore avec un périmètre de service bloque le trafic provenant des anciens services groupés App Engine. Les anciens services groupés comprennent :
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
vmmigration.googleapis.com
|
Détails
|
L'API pour Migrate to Virtual Machines peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Migrate to Virtual Machines, consultez la documentation du produit.
|
Limites
|
Pour assurer une protection complète de Migrate to Virtual Machines, ajoutez toutes les API suivantes au périmètre de service :
- API Pub/Sub (
pubsub.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
- API Secret Manager (
secretmanager.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
Pour plus d'informations, consultez la documentation de Migrate to Virtual Machines.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
gkebackup.googleapis.com
|
Détails
|
Vous pouvez utiliser VPC Service Controls afin de protéger la sauvegarde pour GKE. Vous pouvez utiliser les fonctionnalités de sauvegarde pour GKE normalement dans les périmètres de service.
Pour plus d'informations sur la sauvegarde pour GKE, consultez la documentation du produit.
|
Limites
|
L'intégration de la sauvegarde pour GKE à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
clouddebugger.googleapis.com
|
Détails
|
L'API pour Cloud Debugger peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Cloud Debugger, consultez la documentation du produit.
|
Limites
|
L'intégration de Cloud Debugger avec VPC Service Controls ne fait l'objet d'aucune limite connue.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
retail.googleapis.com
|
Détails
|
L'API pour l'API Retail peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Retail, consultez la documentation produit.
|
Limites
|
L'intégration de l'API Retail avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
integrations.googleapis.com
|
Détails
|
Apigee Integration est un système de gestion collaborative des workflows qui vous permet de créer, d'améliorer, de déboguer et de comprendre les principaux workflows de système d'entreprise.
Les workflows d'Apigee Integration sont constitués de déclencheurs et de tâches.
Il existe plusieurs types de déclencheurs, tels que les déclencheurs d'API, Pub/Sub, Cron ou SFDC.
Pour plus d'informations sur l'intégration Apigee, reportez-vous à la documentation du produit.
|
Limites
|
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
clouderrorreporting.googleapis.com
|
Détails
|
L'API pour Error Reporting peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Error Reporting, consultez la documentation du produit.
|
Limites
|
Les notifications envoyées lorsqu'un groupe d'erreurs nouveau ou récurrent est détecté contiennent des informations sur le groupe d'erreurs. Pour éviter l'exfiltration de données en dehors du périmètre VPC Service Controls, assurez-vous que les canaux de notification se trouvent au sein de votre organisation.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
workstations.googleapis.com
|
Détails
|
L'API pour Cloud Workstations peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud Workstations, consultez la documentation produit.
|
Limites
|
- Pour protéger entièrement Cloud Workstations, vous devez limiter l'API Compute Engine dans votre périmètre de service chaque fois que vous limitez l'API Cloud Workstations.
- Assurez-vous que l'API Google Cloud Storage, l'API Google Container Registry et l'API Artifact Registry sont accessibles par les VPC dans votre périmètre de service. Cela est nécessaire pour récupérer des images sur votre poste de travail. Nous vous recommandons également d'autoriser l'API Cloud Logging et l'API Cloud Error Reporting pour qu'elles soient accessibles par les VPC dans votre périmètre de service, même si cela n'est pas obligatoire pour utiliser Cloud Workstations.
- Assurez-vous que votre cluster de poste de travail est privé.
La configuration d'un cluster privé empêche les connexions à vos postes de travail depuis l'extérieur de votre périmètre de service VPC.
- Veillez à désactiver les adresses IP publiques dans la configuration de votre poste de travail. Sans cela, les VM disposeront d'adresses IP publiques dans votre projet. Nous vous recommandons vivement d'utiliser la contrainte de règle d'administration
constraints/compute.vmExternalIpAccess pour désactiver les adresses IP publiques pour toutes les VM de votre périmètre de service VPC. Pour en savoir plus, consultez la section Restreindre les adresses IP externes à des VM spécifiques.
- Le contrôle d'accès ne dépend que du fait que le réseau privé depuis lequel vous vous connectez appartient au périmètre de sécurité. Les contrôles des accès basés sur l'appareil, l'adresse IP publique ou l'emplacement utilisés ne sont pas disponibles.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
ids.googleapis.com
|
Détails
|
L'API pour Cloud IDS peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud IDS, consultez la documentation produit.
|
Limites
|
Cloud IDS crée des journaux d'analyse des menaces dans votre projet à l'aide de Cloud Logging. Si Cloud Logging est limité par le périmètre de service, VPC Service Controls bloque les journaux de menaces Cloud IDS, même si Cloud IDS n'est pas ajouté en tant que service restreint au périmètre. Pour utiliser Cloud IDS à l'intérieur d'un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Logging dans votre périmètre de service.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
beyondcorp.googleapis.com
|
Détails
|
Pour en savoir plus sur BeyondCorp Enterprise, consultez la documentation du produit.
|
Limites
|
L'intégration de BeyondCorp Enterprise avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
policytroubleshooter.googleapis.com
|
Détails
|
Lorsque vous restreignez l'API Policy Troubleshooter à un périmètre, les comptes principaux ne peuvent résoudre les problèmes liés aux stratégies d'autorisation IAM que si toutes les ressources impliquées dans la requête se trouvent dans le même périmètre. Une requête de dépannage implique généralement deux ressources:
-
Ressource dont vous dépannez l'accès. Cette ressource peut être de n'importe quel type. Vous spécifiez explicitement cette ressource lorsque vous dépannez une stratégie d'autorisation.
-
Ressource que vous utilisez pour résoudre les problèmes d'accès. Cette ressource est un projet, un dossier ou une organisation. Dans la console Google Cloud et gcloud CLI, cette ressource est déduite du projet, du dossier ou de l'organisation que vous avez sélectionné. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project .
Il peut s'agir de la ressource pour laquelle vous dépannez l'accès, mais ce n'est pas obligatoire.
Si ces ressources ne se trouvent pas dans le même périmètre, la requête échoue.
Pour en savoir plus sur Policy Troubleshooter, consultez la documentation du produit.
|
Limites
|
L'intégration de Policy Troubleshooter à VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
policysimulator.googleapis.com
|
Détails
|
Lorsque vous restreignez l'API Policy Simulator à un périmètre, les comptes principaux ne peuvent simuler des règles que si certaines ressources impliquées dans la simulation se trouvent dans le même périmètre. Une simulation repose sur plusieurs ressources:
-
Ressource dont vous simulez la règle d'autorisation. Cette ressource est également appelée ressource cible. Dans la console Google Cloud, il s'agit de la ressource dont vous modifiez la règle d'autorisation. Dans gcloud CLI et l'API REST, vous spécifiez explicitement cette ressource lorsque vous simulez une stratégie d'autorisation.
-
Projet, dossier ou organisation qui crée et exécute la simulation. Cette ressource est également appelée ressource hôte. Dans la console Google Cloud et gcloud CLI, cette ressource est déduite du projet, du dossier ou de l'organisation que vous avez sélectionné. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project .
Il peut s'agir de la ressource pour laquelle vous simulez l'accès, mais ce n'est pas obligatoire.
-
Ressource fournissant les journaux d'accès pour la simulation. Dans une simulation, une seule ressource fournit les journaux d'accès pour la simulation. Cette ressource varie en fonction du type de ressource cible:
- Si vous simulez une stratégie d'autorisation pour un projet ou une organisation, Policy Simulator récupère les journaux d'accès de ce projet ou de cette organisation.
- Si vous simulez une stratégie d'autorisation pour un autre type de ressource, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation parent de cette ressource.
- Si vous simulez des règles d'autorisation de plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation la plus proche de la ressource.
-
Toutes les ressources compatibles avec les règles d'autorisation pertinentes
Lorsque Policy Simulator exécute une simulation, il prend en compte toutes les stratégies d'autorisation susceptibles d'affecter l'accès de l'utilisateur, y compris les stratégies d'autorisation sur les ressources descendantes et descendantes de la ressource cible. Par conséquent, ces ressources ascendantes et descendantes sont également impliquées dans des simulations.
Si la ressource cible et la ressource hôte ne se trouvent pas dans le même périmètre, la requête échoue.
Si la ressource cible et la ressource qui fournit les journaux d'accès pour la simulation ne se trouvent pas dans le même périmètre, la requête échoue.
Si la ressource cible et certaines ressources compatibles avec des règles d'autorisation appropriées ne se trouvent pas dans le même périmètre, les requêtes aboutissent, mais les résultats peuvent être incomplets. Par exemple, si vous simulez une stratégie pour un projet dans un périmètre, les résultats n'incluent pas la règle d'autorisation de l'organisation parente du projet, car les organisations se trouvent toujours en dehors des périmètres VPC Service Controls. Pour obtenir des résultats plus complets, vous pouvez configurer des règles d'entrée et de sortie pour le périmètre.
Pour en savoir plus sur Policy Simulator, consultez la documentation du produit.
|
Limites
|
L'intégration du simulateur de stratégie avec VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
essentialcontacts.googleapis.com
|
Détails
|
L'API pour les contacts essentiels peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur les contacts essentiels, consultez la documentation du produit.
|
Limites
|
L'intégration de Contacts essentiels dans VPC Service Controls n'a pas de limites connues.
|
|
|
Status
|
Bêta. Cette intégration de VPC Service Controls est en version bêta. Elle est prête pour des tests et des utilisations plus larges, mais n'est pas entièrement compatible avec les environnements de production.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
identitytoolkit.googleapis.com
|
Détails
|
L'API pour Identity Platform peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Identity Platform, consultez la documentation du produit.
|
Limites
|
Pour protéger entièrement Identity Platform, ajoutez l'API Secure Token (securetoken.googleapis.com ) au périmètre de service afin d'autoriser l'actualisation des jetons.
Si votre application s'intègre également à la fonction de fonctions de blocage, ajoutez Cloud Functions (cloudfunctions.googleapis.com ) au périmètre de service.
L'utilisation de l'authentification multifacteur par SMS, de l'authentification des e-mails ou de fournisseurs d'identité tiers entraîne l'envoi de données en dehors du périmètre. Si vous n'utilisez pas la MFA avec des SMS, une authentification des e-mails ou des fournisseurs d'identité tiers, désactivez ces fonctionnalités.
|
|
|
Status
|
DG. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
|
Protéger avec des périmètres ?
|
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
|
Nom du service
|
gkemulticloud.googleapis.com
|
Détails
|
L'API pour Anthos multicloud peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur la fonctionnalité multicloud d'Anthos, consultez la documentation du produit.
|
Limites
|
Pour protéger entièrement Identity Platform, ajoutez l'API Secure Token (securetoken.googleapis.com ) au périmètre de service afin d'autoriser l'actualisation des jetons.
Si votre application s'intègre également à la fonction de fonctions de blocage, ajoutez Cloud Functions (cloudfunctions.googleapis.com ) au périmètre de service.
L'utilisation de l'authentification multifacteur par SMS, de l'authentification des e-mails ou de fournisseurs d'identité tiers entraîne l'envoi de données en dehors du périmètre. Si vous n'utilisez pas la MFA avec des SMS, une authentification des e-mails ou des fournisseurs d'identité tiers, désactivez ces fonctionnalités.
|
|