Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Cette page contient un tableau des produits et services compatibles avec VPC Service Controls, ainsi qu'une liste des limites connues concernant certains services et certaines interfaces.
Lister tous les services compatibles
Pour récupérer la liste complète de tous les produits et services compatibles avec VPC Service Controls, exécutez la commande suivante:
gcloud beta access-context-manager supported-services list
Vous obtenez une réponse avec une liste de produits et de services.
NAME TITLE SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Cette réponse inclut les valeurs suivantes:
Valeur
Description
SERVICE_ADDRESS
Nom de service du produit ou du service. Par exemple, aiplatform.googleapis.com.
SERVICE_NAME
Nom du produit ou du service. Par exemple, Vertex AI API.
SERVICE_STATUS
État de l'intégration du service avec VPC Service Controls. Les valeurs possibles sont les suivantes:
GA: l'intégration de services est entièrement compatible avec les périmètres VPC Service Controls.
BETA: l'intégration du service est prête pour un test et une utilisation plus larges, mais n'est pas entièrement compatible avec les environnements de production par les périmètres VPC Service Controls.
RESTRICTED_VIP_STATUS
Indique si l'intégration du service avec VPC Service Controls est compatible avec l'adresse IP virtuelle restreinte. Les valeurs possibles sont les suivantes:
TRUE: l'intégration de services est entièrement compatible avec l'adresse IP virtuelle restreinte et peut être protégée par les périmètres VPC Service Controls.
FALSE: l'intégration du service n'est pas compatible avec l'adresse IP virtuelle restreinte.
Indique si l'intégration des services avec VPC Service Controls présente des limites. Les valeurs possibles sont les suivantes:
TRUE: l'intégration de services avec VPC Service Controls présente des limites connues. Pour en savoir plus sur ces limites, vous pouvez consulter l'entrée correspondante pour le service dans le tableau Produits compatibles.
FALSE: l'intégration de services avec VPC Service Controls n'a pas de limites connues.
Lister les méthodes compatibles avec un service
Pour récupérer la liste des méthodes et des autorisations compatibles avec VPC Service Controls pour un service, exécutez la commande suivante:
Dans cette réponse, METHODS_LIST répertorie toutes les méthodes et autorisations compatibles avec VPC Service Controls pour le service spécifié. Pour obtenir la liste complète de toutes les méthodes et autorisations de service compatibles, consultez la section Restrictions liées aux méthodes de service compatibles.
Produits gérés par l'assistance
Ce tableau inclut tous les produits compatibles avec VPC Service Controls et fonctionnant normalement dans un périmètre de service. Cependant, les produits compatibles ne disposent pas tous de services pouvant être protégés par un périmètre.
VPC Service Controls est compatible avec les produits suivants :
Pour utiliser Infrastructure Manager au sein d'un périmètre:
Vous devez utiliser un pool privé Cloud Build pour le pool de nœuds de calcul utilisé par Infrastructure Manager. Pour que vous puissiez télécharger les fournisseurs Terraform et la configuration Terraform, les appels Internet publics doivent être activés sur ce pool privé. Vous ne pouvez pas utiliser le pool de nœuds de calcul Cloud Build par défaut.
Les éléments suivants doivent se trouver dans le même périmètre :
Compte de service utilisé par Infrastructure Manager.
Pool de nœuds de calcul Cloud Build utilisé par Infrastructure Manager.
Bucket de stockage utilisé par Infrastructure Manager. Vous pouvez utiliser le bucket de stockage par défaut.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
netapp.googleapis.com
Détails
L'API pour Google Cloud NetApp Volumes peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
VPC Service Controls ne couvre pas les chemins d'accès du plan de données tels que les lectures et les écritures NFS (Network File System) et SMB (Server Message Block). De plus, si vos projets hôte et vos projets de service sont configurés dans des périmètres différents, vous risquez de constater une interruption dans l'implémentation des services Google Cloud.
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudsearch.googleapis.com
Détails
Google Cloud Search est compatible avec Virtual Private Cloud Security Controls (VPC Service Controls) pour améliorer la sécurité de vos données. VPC Service Controls vous permet de définir un périmètre de sécurité autour des ressources Google Cloud Platform afin de contraindre les données et de limiter les risques d'exfiltration des données.
Les ressources Cloud Search n'étant pas stockées dans un projet Google Cloud, vous devez mettre à jour les paramètres client Cloud Search avec le projet protégé par périmètre VPC. Le projet VPC sert de conteneur de projet virtuel pour toutes vos ressources Cloud Search.
Sans ce mappage, VPC Service Controls ne fonctionnera pas pour l'API Cloud Search.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
networkmanagement.googleapis.com
Détail
L'API pour les tests de connectivité peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
La prédiction par lot n'est pas disponible lorsque vous utilisez AI Platform Prediction dans un périmètre de service.
AI Platform Prediction et AI Platform Training utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Training.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
ml.googleapis.com
Détails
L'API pour AI Platform Training peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
L'entraînement à l'aide de TPU n'est pas disponible lorsque vous utilisez AI Platform Training dans un périmètre de service.
AI Platform Training et AI Platform Prediction utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Prediction.
Avant de configurer VPC Service Controls pour AlloyDB pour PostgreSQL, activez l'API Service Networking.
Lorsque vous utilisez AlloyDB pour PostgreSQL avec un VPC partagé et VPC Service Controls, le projet hôte et le projet de service doivent se trouver dans le même périmètre de service VPC Service Controls.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
visionai.googleapis.com
Détails
L'API pour Vertex AI Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Lorsque constraints/visionai.disablePublicEndpoint est activé, nous désactivons le point de terminaison public du cluster. Les utilisateurs doivent se connecter manuellement à la cible PSC et accéder au service à partir du réseau privé. Vous pouvez obtenir la cible PSC à partir de la ressource cluster.
L'API pour Apigee et Apigee hybride peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
meshca.googleapis.com, meshconfig.googleapis.com
Détails
L'API pour Anthos Service Mesh peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Vous pouvez utiliser mesh.googleapis.com pour activer les API requises pour Anthos Service Mesh.
Vous n'avez pas besoin de restreindre mesh.googleapis.com dans votre périmètre, car il n'expose aucune API.
Étant donné qu'Artifact Registry utilise le domaine pkg.dev, vous devez configurer le DNS pour que *.pkg.dev puisse être mappé à private.googleapis.com ou restricted.googleapis.com.
Pour en savoir plus, consultez la page Sécuriser les dépôts dans un périmètre de service.
Outre les artefacts situés à l'intérieur d'un périmètre qui sont accessibles à Artifact Registry, les dépôts en lecture seule suivants dans les dépôts Container Registry sont disponibles pour tous les projets, quel que soit leur périmètre de service:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dans tous les cas, les versions régionales de ces dépôts sont également disponibles.
Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que eu-automl.googleapis.com, à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com, le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com.
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
automl.googleapis.com, eu-automl.googleapis.com
Détail
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que eu-automl.googleapis.com, à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com, le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com.
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que eu-automl.googleapis.com, à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com, le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com.
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
automl.googleapis.com, eu-automl.googleapis.com
Détail
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que eu-automl.googleapis.com, à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com, le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com.
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service.
Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que eu-automl.googleapis.com, à la liste des services restreints d'un périmètre.
Lorsque vous protégez le service automl.googleapis.com, le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com.
Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Non. L'API pour la solution Bare Metal ne peut pas être protégée par des périmètres de service.
Cependant, la solution Bare Metal peut être utilisée normalement dans les projets situés à l'intérieur d'un périmètre.
Détails
L'API de la solution Bare Metal peut être ajoutée à un périmètre sécurisé. Toutefois, les périmètres VPC Service Controls ne s'étendent pas à l'environnement de la solution Bare Metal dans les extensions régionales.
La solution Bare Metal n'est pas compatible avec VPC Service Controls. La connexion d'un VPC avec Service Controls activé à votre environnement de solution Bare Metal ne garantit aucune garantie de Service Control.
Pour en savoir plus sur les limites de la solution Bare Metal concernant VPC Service Controls, consultez la page Limites et problèmes connus.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
bigquery.googleapis.com
Détails
Lorsque vous protégez l'API BigQuery à l'aide d'un périmètre de service, l'API BigQuery Storage, l'API BigQuery Reserve et l'API BigQuery Connection sont également protégées. Vous n'avez pas besoin d'ajouter séparément ces API à la liste des services protégés de votre périmètre.
Les enregistrements de journal d'audit BigQuery n'incluent pas toujours la totalité des ressources utilisées lors de l'envoi d'une requête, car le service traite en interne l'accès à plusieurs ressources.
Lorsque vous accédez à une instance BigQuery protégée par un périmètre de service, la tâche BigQuery doit être exécutée dans un projet à l'intérieur du périmètre ou dans un projet autorisé par une règle de sortie du périmètre. Par défaut, les bibliothèques clientes BigQuery exécutent des tâches dans le compte de service ou dans le projet de l'utilisateur, ce qui entraîne le rejet de la requête par VPC Service Controls.
BigQuery bloque l'enregistrement des résultats de requête dans Google Drive à partir du périmètre protégé de VPC Service Controls.
Si vous accordez l'accès à l'aide d'une règle d'entrée avec des comptes utilisateur comme type d'identité, vous ne pouvez pas afficher l'utilisation des ressources BigQuery ni l'explorateur de tâches d'administration sur la page Surveillance. Pour utiliser ces fonctionnalités, configurez une règle d'entrée qui utilise ANY_IDENTITY comme type d'identité.
VPC Service Controls n'est disponible que lorsque vous effectuez une analyse via BigQuery Enterprise, Enterprise Plus ou À la demande.
L'API BigQuery Reserve est partiellement compatible.
L'
API BigQuery Reserve, qui crée la ressource d'attribution, n'applique pas de restrictions au périmètre de service aux personnes responsables de l'attribution.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
bigquerydatatransfer.googleapis.com
Détail
Le périmètre de service ne protège que l'API du service de transfert de données BigQuery. La protection réelle des données est appliquée par BigQuery. Elle est conçue pour permettre l'importation de données provenant de différentes sources externes en dehors de Google Cloud, telles qu'Amazon S3, Redshift, Teradata, YouTube, Google Play et Google Ads, dans des ensembles de données BigQuery. Pour en savoir plus sur les exigences de VPC Service Controls concernant la migration de données depuis Teradata, consultez la page Exigences relatives à VPC Service Controls.
Pour plus d'informations sur le service de transfert de données BigQuery, reportez-vous à la documentation du produit.
Limites
Le service de transfert de données BigQuery ne permet pas d'exporter des données en dehors d'un ensemble de données BigQuery. Pour en savoir plus, consultez la page Exporter des données de table.
Pour transférer des données entre projets, le projet de destination doit se trouver dans le même périmètre que le projet source, ou une règle de sortie doit autoriser le transfert de données en dehors du périmètre. Pour en savoir plus sur la définition des règles de sortie, consultez la section Limites de la gestion des ensembles de données BigQuery.
Le service de transfert de données BigQuery n'accepte pas les sources de données tierces pour transférer des données dans des projets protégés par un périmètre de service.
Les services bigtable.googleapis.com et bigtableadmin.googleapis.com sont liés. Lorsque vous limitez le service bigtable.googleapis.com dans un périmètre, le périmètre limite le service bigtableadmin.googleapis.com par défaut. Vous ne pouvez pas ajouter le service bigtableadmin.googleapis.com à la liste des services limités dans un périmètre, car il est lié à bigtable.googleapis.com.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
binaryauthorization.googleapis.com
Détail
Lorsque vous utilisez plusieurs projets avec l'autorisation binaire, vous devez inclure chaque projet dans le périmètre VPC Service Controls. Pour en savoir plus sur ce cas d'utilisation, consultez la page Configuration multiprojets.
Avec l'autorisation binaire, vous pouvez utiliser Artifact Analysis pour stocker respectivement les certificateurs et les attestations sous forme de notes et d'occurrences. Dans ce cas, vous devez également inclure Artifact Analysis dans le périmètre VPC Service Controls.
Pour en savoir plus, consultez les conseils sur VPC Service Controls pour Artifact Analysis.
Les intégrations de Blockchain Node Engine à VPC Service Controls présentent les limites suivantes:
VPC Service Controls ne protège que l'API Blockchain Node Engine.
Lorsqu'un nœud est créé, vous devez toujours indiquer qu'il est destiné à un réseau privé configuré par l'utilisateur à l'aide de Private Service Connect.
Le trafic peer-to-peer n'est pas affecté par VPC Service Controls ou Private Service Connect, et continuera d'utiliser l'Internet public.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
privateca.googleapis.com
Détails
L'API pour Certificate Authority Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Certificate Authority Service, consultez la documentation produit.
Limites
Pour utiliser Certificate Authority Service dans un environnement protégé, vous devez également ajouter l'API Cloud KMS (cloudkms.googleapis.com) et l'API Cloud Storage (storage.googleapis.com) à votre périmètre de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
krmapihosting.googleapis.com
Détails
Pour utiliser Config Controller avec VPC Service Controls, vous devez activer les API suivantes dans votre périmètre :
API Cloud Monitoring (monitoring.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
API Google Cloud Observability (logging.googleapis.com)
API Security Token Service (sts.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Si vous provisionnez des ressources à l'aide de Config Controller, vous devez activer l'API pour ces ressources dans votre périmètre de service. Par exemple, si vous souhaitez ajouter un compte de service IAM, vous devez ajouter l'API IAM (iam.googleapis.com).
Établissez le périmètre de sécurité VPC Service Controls avant de créer votre instance privée Cloud Data Fusion. La protection périmétrique des instances créées avant la configuration de VPC Service Controls n'est pas disponible.
Actuellement, l'interface utilisateur du plan de données Cloud Data Fusion ne permet pas le contrôle d'accès basé sur l'identité à l'aide de règles d'entrée ou de niveaux d'accès.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
compute.googleapis.com
Détails
La compatibilité de VPC Service Controls avec Compute Engine offre les avantages suivants en termes de sécurité:
Limite l'accès aux opérations d'API sensibles
Limite les instantanés de disque persistant et les images personnalisées à un périmètre
Limite l'accès aux métadonnées d'instance
La compatibilité de VPC Service Controls avec Compute Engine vous permet également d'utiliser des réseaux de cloud privé virtuel et des clusters privés Google Kubernetes Engine au sein des périmètres de service.
Les opérations d'appairage de VPC n'appliquent pas les restrictions liées au périmètre de service VPC.
La méthode API projects.ListXpnHosts pour le VPC partagé n'applique pas les restrictions du périmètre de service aux projets renvoyés.
Pour qu'une image Compute Engine puisse être créée dans un projet Cloud Storage protégé par un périmètre de service, l'utilisateur qui crée l'image doit être ajouté temporairement à une règle d'entrée du périmètre.
VPC Service Controls ne permet pas l'utilisation de la version Open Source de Kubernetes sur les VM Compute Engine dans un périmètre de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
contactcenterinsights.googleapis.com
Détails
Pour utiliser Contact Center AI Insights avec VPC Service Controls, vous devez disposer des API supplémentaires suivantes dans votre périmètre, en fonction de votre intégration.
Pour charger des données dans Contact Center AI Insights, ajoutez l'API Cloud Storage à votre périmètre de service.
Pour utiliser l'exportation, ajoutez l'API BigQuery à votre périmètre de service.
Pour intégrer plusieurs produits CCAI, ajoutez l'API Vertex AI à votre périmètre de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
dataflow.googleapis.com
Détails
Dataflow est compatible avec un certain nombre de connecteurs de service de stockage. Les connecteurs suivants ont été validés pour fonctionner avec Dataflow dans un périmètre de service :
Les configurations BIND personnalisées ne sont pas compatibles avec Dataflow. Pour personnaliser la résolution DNS lors de l'utilisation de Dataflow avec VPC Service Controls, exploitez des zones privées Cloud DNS au lieu d'utiliser des serveurs BIND personnalisés. Pour utiliser votre propre résolution DNS sur site, envisagez d'employer une méthode de transfert DNS Google Cloud.
Les connecteurs de service de stockage n'ont pas tous été validés pour fonctionner avec l'utilisation de Dataflow dans un périmètre de service. Pour obtenir la liste des connecteurs validés, consultez la section "Détails" de la section précédente.
Lorsque vous utilisez Python 3.5 avec le SDK Apache Beam 2.20.0–2.22.0, les tâches Dataflow échouent au démarrage si les nœuds de calcul ne disposent que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources.
Si les nœuds de calcul Dataflow ne peuvent disposer que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources, n'utilisez pas Python 3.5 avec le SDK Apache Beam 2.20.0‐2.22.0. Cette combinaison entraîne l'échec des tâches au démarrage.
Avant de créer vos ressources Dataplex, configurez le périmètre de sécurité VPC Service Controls. Sinon, vos ressources ne bénéficient pas de la protection du périmètre.
Dataplex est compatible avec les types de ressources suivants:
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
datamigration.googleapis.com
Détail
L'API pour Database Migration Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Les périmètres de service ne protègent que l'API Database Migration Service Admin. Ils ne protègent pas l'accès aux données basées sur une adresse IP sur les bases de données sous-jacentes (telles que les instances Cloud SQL). Pour limiter l'accès des adresses IP publiques aux instances Cloud SQL, utilisez une contrainte de règle d'administration.
Lorsque vous utilisez un fichier Cloud Storage lors de la phase initiale de vidage de la migration, ajoutez le bucket Cloud Storage au même périmètre de service.
Lorsque vous utilisez une clé de chiffrement gérée par le client (CMEK) dans la base de données de destination, assurez-vous que la clé CMEK se trouve dans le même périmètre de service que le profil de connexion qui contient la clé.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
dlp.googleapis.com
Détails
L'API Sensitive Data Protection peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur la protection des données sensibles, consultez la documentation du produit.
Limites
Comme VPC Service Controls n'est actuellement pas compatible avec les ressources de dossier et d'organisation, les appels de Sensitive Data Protection peuvent renvoyer une réponse 403 lors de la tentative d'accès aux ressources au niveau de l'organisation. Nous vous recommandons d'utiliser IAM pour gérer les autorisations liées à la protection des données sensibles au niveau du dossier et de l'organisation.
Vous pouvez accéder à Cloud DNS via l'adresse IP virtuelle restreinte. Toutefois, vous ne pouvez pas créer ni mettre à jour des zones DNS publiques au sein de projets situés dans le périmètre VPC Service Controls.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
contentwarehouse.googleapis.com
Détails
L'API pour Document AI Warehouse peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Les données de contact utilisées dans Cloud Domains peuvent être partagées avec le registre de domaines de premier niveau (TLD) et peuvent être accessibles au public pour le compte OMS/RDAP comme vos paramètres l'autorisent, conformément aux règles de l'ICANN. Pour en savoir plus, consultez la section Protection de la vie privée.
Les données de configuration DNS utilisées dans Cloud Domains (serveurs de noms et paramètres DNSSEC) sont publiques. Si votre domaine délègue à une zone DNS publique, ce qui est le réglage par défaut, les données de configuration DNS de cette zone sont également publiques.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
eventarc.googleapis.com
Détail
Eventarc gère la diffusion d'événements à l'aide de sujets Pub/Sub et d'abonnements push. Pour accéder à l'API Pub/Sub et gérer les déclencheurs d'événements, l'API Eventarc doit être protégée dans le même périmètre de service VPC Service Controls que l'API Pub/Sub.
Dans les projets protégés par un périmètre de service, les limites suivantes s'appliquent:
Eventarc est soumis aux mêmes limites que Pub/Sub :
Lors du routage d'événements vers des cibles Cloud Run, il n'est pas possible de créer de nouveaux abonnements push Pub/Sub, sauf si les points de terminaison push sont définis sur les services Cloud Run avec des URL run.app par défaut (les domaines personnalisés ne fonctionnent pas).
Lorsque vous dirigez des événements vers des cibles Workflows pour lesquelles le point de terminaison push Pub/Sub est défini sur une exécution de Workflows, vous ne pouvez créer des abonnements push Pub/Sub que via Eventarc.
VPC Service Controls bloque la création de déclencheurs Eventarc pour les points de terminaison HTTP internes. La protection VPC Service Controls ne s'applique pas lorsque des événements sont acheminés vers de telles destinations.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
financialservices.googleapis.com
Détails
L'API pour Anti Money Laundering AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur l'API Anti Money Laundering, consultez la documentation produit.
Limites
L'intégration de la lutte contre le blanchiment d'argent à VPC Service Controls n'a pas de limites connues.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
firebaseappcheck.googleapis.com
Détails
Lorsque vous configurez et échangez des jetons Firebase App Check, VPC Service Controls ne protège que le service Firebase App Check. Pour protéger des services qui reposent sur Firebase App Check, vous devez configurer des périmètres de service pour ces services.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
firebaserules.googleapis.com
Détails
Lorsque vous gérez Firebase Security Rules, VPC Service Controls ne protège que le service Firebase Security Rules. Pour protéger les services qui reposent sur Firebase Security Rules, vous devez configurer des périmètres de services pour ces services.
Pour plus d'informations sur les règles de sécurité Firebase, consultez la documentation du produit.
Limites
L'intégration des règles de sécurité Firebase avec VPC Service Controls n'a pas de limites connues.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudfunctions.googleapis.com
Détails
Consultez la documentation de Cloud Functions pour connaître la procédure de configuration. La protection VPC Service Controls ne s'applique pas à la phase de création lorsque des fonctions Cloud sont compilées à l'aide de Cloud Build. Pour plus d'informations, reportez-vous aux limites connues.
Cloud Functions crée et gère votre code source dans un conteneur exécutable à l'aide de Cloud Build, de Container Registry et de Cloud Storage. Si l'un de ces services est restreint par le périmètre de service, VPC Service Controls bloque la compilation de Cloud Functions, même si Cloud Functions n'a pas été ajouté au périmètre en tant que service restreint. Pour utiliser Cloud Functions à l'intérieur d'un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Build dans votre périmètre de service.
Pour permettre à vos fonctions d'utiliser des dépendances externes, telles que des packages npm, Cloud Build dispose d'un accès illimité à Internet. Cet accès Internet pourrait permettre d'exfiltrer les données disponibles au moment de la compilation, par exemple le code source que vous avez importé. Pour atténuer les risques d'exfiltration que présente ce vecteur, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeur de Cloud Functions à des développeurs non approuvés.
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour déployer Cloud Functions à partir d'un machine locale.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité.
Lorsque des services Cloud Functions sont appelés par des déclencheurs HTTP, l'application des stratégies VPC Service Controls n'utilise pas les informations d'authentification IAM du client. Les règles de stratégie d'entrée VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas compatibles. Les niveaux d'accès pour les périmètres VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas acceptés.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
iam.googleapis.com
Détails
Lorsque vous limitez la portée d'IAM avec un périmètre, seules les actions qui utilisent l'API Cloud IAM sont limitées. Ces actions incluent la gestion des rôles IAM personnalisés, la gestion des pools d'identités de charge de travail, ainsi que la gestion des comptes de service et des clés. Le périmètre ne limite pas les actions des pools d'employés, car ils sont des ressources au niveau de l'organisation.
Le périmètre IAM ne limite pas la gestion des accès (c'est-à-dire l'obtention ou la définition de stratégies IAM) pour les ressources appartenant à d'autres services, telles que les projets, dossiers et organisations Resource Manager, ou les instances de machines virtuelles Compute Engine. Afin de restreindre la gestion des accès pour ces ressources, créez un périmètre qui restreint le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies IAM et les services qui en sont propriétaires, consultez la section Types de ressources compatibles avec les stratégies IAM.
De plus, le périmètre IAM ne limite pas les actions qui utilisent d'autres API, y compris les suivantes:
API IAM Policy Simulator
API IAM Policy Troubleshooter
API Security Token Service
API Service Account Credentials (y compris les anciennes méthodes signBlob et signJwt dans l'API IAM)
Pour plus d'informations sur Identity and Access Management, consultez la documentation du produit.
Limites
Si vous vous trouvez dans le périmètre, vous ne pouvez pas appeler la méthode roles.list en spécifiant une chaîne vide pour répertorier les rôles prédéfinis IAM. Si vous devez afficher les rôles prédéfinis, consultez la documentation sur les rôles IAM.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
kmsinventory.googleapis.com
Détails
L'API pour l'API Cloud KMS Inventory peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
iamcredentials.googleapis.com
Détails
L'API pour les identifiants du compte de service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur les identifiants du compte de service, consultez la documentation du produit.
Limites
L'intégration des identifiants du compte de service à VPC Service Controls n'a pas de limites connues.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloud.googleapis.com
Détails
L'API pour l'API Service Metadata peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
vpcaccess.googleapis.com
Détails
L'API pour la fonctionnalité Accès au VPC sans serveur peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur la fonctionnalité Accès au VPC sans serveur, consultez la documentation du produit.
Limites
L'intégration de la fonctionnalité Accès au VPC sans serveur à VPC Service Controls n'a pas de limites connues.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudkms.googleapis.com
Détails
L'API Cloud KMS peut être protégée par VPC Service Controls et le produit peut être utilisé dans les périmètres de service. L'accès aux services Cloud HSM est également protégé par VPC Service Controls et peut être utilisé dans les périmètres de service.
Pour plus d'informations sur Cloud Key Management Service, consultez la documentation du produit.
Limites
L'intégration de Cloud Key Management Service à VPC Service Controls n'a pas de limites connues.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
iaptunnel.googleapis.com
Détails
L'API pour Identity-Aware Proxy for TCP peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Seule l'API d'utilisation d'IAP for TCP peut être protégée par un périmètre.
L'API d'administration ne peut pas être protégée par un périmètre.
Pour utiliser IAP for TCP dans un périmètre de service VPC Service Controls, vous devez ajouter ou configurer des entrées DNS pour faire pointer les domaines suivants vers l'adresse IP virtuelle restreinte :
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
lifesciences.googleapis.com
Détail
L'API pour Cloud Life Sciences peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
recaptchaenterprise.googleapis.com
Détails
L'API pour reCAPTCHA Enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
recommender.googleapis.com
Détails
L'API pour l'outil de recommandation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
pubsub.googleapis.com
Détail
La protection VPC Service Controls s'applique à toutes les opérations d'administration, aux opérations d'éditeur et aux opérations d'abonné (à l'exception des abonnements push existants).
Dans les projets protégés par un périmètre de service, les limites suivantes s'appliquent:
Les nouveaux abonnements push ne peuvent être créés que si les points de terminaison push sont définis sur les services Cloud Run avec des URL run.app par défaut ou si une exécution de Workflows est effectuée (les domaines personnalisés ne fonctionnent pas). Pour en savoir plus sur l'intégration à Cloud Run, consultez la page Utiliser VPC Service Controls.
Pour les abonnements non push, vous devez créer un abonnement dans le même périmètre que le sujet ou activer des règles de sortie pour autoriser l'accès du sujet à l'abonnement.
Lors du routage d'événements via Eventarc vers des cibles de workflows pour lesquelles le point de terminaison push est défini sur une exécution de Workflows, vous ne pouvez créer des abonnements push que via Eventarc.
Les abonnements Pub/Sub créés avant la création du périmètre de service ne sont pas bloqués.
Pour utiliser Cloud Deploy dans un périmètre, vous devez utiliser un pool privé Cloud Build pour les environnements d'exécution de la cible.
N'utilisez pas de pool de nœuds de calcul par défaut (Cloud Build) ni de pool hybride.
L'activation de la sérialisation des DAG empêche Airflow d'afficher un modèle rendu avec des fonctions dans l'interface utilisateur Web.
Il n'est pas possible de définir l'option async_dagbag_loader sur True lorsque la sérialisation des DAG est activée.
L'activation de la sérialisation des DAG désactive tous les plug-ins du serveur Web Airflow, car ils peuvent compromettre la sécurité du réseau VPC sur lequel Cloud Composer est déployé. Cela n'a pas d'incidence sur le comportement des plug-ins du programmeur ou des nœuds de calcul, y compris les opérateurs et les capteurs Airflow.
Lorsque Cloud Composer s'exécute à l'intérieur d'un périmètre, l'accès aux dépôts PyPI publics est restreint. Pour savoir comment installer les modules PyPI en mode d'adresse IP privée, consultez la page Installer des dépendances Python dans la documentation de Cloud Composer.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudquotas.googleapis.com
Détails
L'API pour les quotas Cloud peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Étant donné que VPC Service Controls applique des limites au niveau du projet, les requêtes Cloud Quotas provenant de clients situés dans le périmètre ne peuvent accéder aux ressources de l'organisation que si celle-ci configure une règle de sortie.
Pour configurer une règle de sortie, consultez les instructions de VPC Service Controls pour configurer des règles d'entrée et de sortie.
Pour Artifact Registry et Container Registry, le registre dans lequel vous stockez votre conteneur doit se trouver dans le même périmètre VPC Service Controls que le projet vers lequel vous effectuez le déploiement. Le code à compiler doit se trouver dans le même périmètre VPC Service Controls que le registre vers lequel le conteneur est transféré.
La fonctionnalité de déploiement continu de Cloud Run n'est pas disponible pour les projets situés dans un périmètre VPC Service Controls.
Lorsque des services Cloud Run sont appelés, l'application des stratégies VPC Service Controls n'utilise pas les informations d'authentification IAM du client. Ces requêtes présentent les limites suivantes :
Les règles de stratégie d'entrée VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas compatibles.
Les niveaux d'accès pour les périmètres VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas acceptés.
Lorsque vous utilisez la fonctionnalité Paiements du demandeur à l'aide d'un bucket de stockage situé à l'intérieur d'un périmètre de service qui protège le service Cloud Storage, vous ne pouvez pas identifier un projet auquel imputer les frais s'il se situe en dehors du périmètre. Le projet cible doit se trouver dans le même périmètre que le bucket de stockage ou être associé au projet du bucket via une liaison de périmètre.
Pour les projets situés dans un périmètre de service, la page Cloud Storage de la console Google Cloud n'est pas accessible si l'API Cloud Storage est protégée par ce périmètre. Si vous souhaitez autoriser l'accès à la page, vous devez créer une règle d'entrée et/ou un niveau d'accès incluant les comptes utilisateur et/ou la plage d'adresses IP publique pour lesquels vous souhaitez autoriser l'accès à l'API Cloud Storage.
Dans les enregistrements du journal d'audit, le champ resourceName n'identifie pas le projet qui détient un bucket. Le projet doit être découvert séparément.
Dans les enregistrements du journal d'audit, la valeur de methodName n'est pas toujours correcte. Nous vous conseillons de ne pas filtrer les enregistrements du journal d'audit Cloud Storage par methodName.
Dans certains cas, les journaux des anciens buckets Cloud Storage peuvent être écrits vers des destinations situées en dehors d'un périmètre de service, même lorsque l'accès est refusé.
Lorsque vous essayez d'utiliser gsutil pour la première fois dans un nouveau projet, vous pouvez être invité à activer le service storage-api.googleapis.com. Bien que vous ne puissiez pas protéger directement storage-api.googleapis.com, lorsque vous protégez l'API Cloud Storage à l'aide d'un périmètre de service, les opérations gsutil sont également protégées.
Dans certains cas, les objets Cloud Storage qui étaient publics sont accessibles même après l'activation de VPC Service Controls sur les objets. Les objets sont accessibles jusqu'à leur expiration dans les caches intégrés et tout autre cache en amont sur le réseau entre l'utilisateur final et Cloud Storage. Par défaut, Cloud Storage met en cache les données publiques dans le réseau Cloud Storage.
Pour en savoir plus sur la mise en cache des objets Cloud Storage, consultez la documentation de Cloud Storage. Pour en savoir plus sur la durée pendant laquelle un objet peut être mis en cache, consultez la section sur les métadonnées Cache-Control.
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour toutes les opérations Cloud Storage utilisant des URL signées.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité.
Les URL signées sont compatibles avec VPC Service Controls.
VPC Service Controls utilise les identifiants de signature de l'utilisateur ou du compte de service qui a signé l'URL signée pour évaluer les vérifications VPC Service Controls, et non les identifiants de l'appelant ou de l'utilisateur lançant la connexion.
Les périmètres de service ne protègent que l'API Cloud SQL Admin. Ils ne protègent pas l'accès aux données basé sur une adresse IP sur les instances Cloud SQL. Vous devez utiliser une contrainte de règle d'administration pour limiter l'accès des adresses IP publiques aux instances Cloud SQL.
Avant de configurer VPC Service Controls pour Cloud SQL, activez l'API Service Networking.
Les opérations d'importation et d'exportation Cloud SQL ne peuvent effectuer des opérations de lecture et d'écriture à partir d'un bucket Cloud Storage qu'au sein du même périmètre de service que l'instance dupliquée Cloud SQL.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
videointelligence.googleapis.com
Détail
L'API pour l'API Video Intelligence peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Même si vous créez une règle de sortie pour autoriser les appels vers des URL publiques depuis des périmètres VPC Service Controls, l'API Cloud Vision bloque les appels vers des URL publiques.
Étant donné que l'API Container Scanning est une API sans surface qui stocke les résultats dans Artifact Analysis, vous n'avez pas besoin de la protéger avec un périmètre de service.
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour toutes les opérations Container Registry.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité.
Outre les conteneurs situés à l'intérieur d'un périmètre qui sont accessibles par Container Registry, les dépôts suivants en lecture seule sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dans tous les cas, les versions multirégionales de ces dépôts sont également disponibles.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
container.googleapis.com
Détails
L'API pour Google Kubernetes Engine peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Seuls les clusters privés peuvent être protégés à l'aide de VPC Service Controls. Les clusters avec des adresses IP publiques ne sont pas compatibles avec VPC Service Controls.
L'autoscaling fonctionne indépendamment de GKE. Comme VPC Service Controls n'est pas compatible avec autoscaling.googleapis.com, l'autoscaling ne fonctionne pas.
Lorsque vous utilisez GKE, vous pouvez ignorer la violation SERVICE_NOT_ALLOWED_FROM_VPC dans les journaux d'audit qui est causée par le service autoscaling.googleapis.com.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
containersecurity.googleapis.com
Détails
L'API pour l'API Container Security peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
containerfilesystem.googleapis.com
Détails
Le streaming d'images est une fonctionnalité de streaming de données GKE qui réduit le temps d'extraction d'images de conteneurs pour les images stockées dans Artifact Registry.
Si VPC Service Controls protège vos images de conteneurs et que vous utilisez la diffusion d'images, vous devez également inclure l'API Image Streaming dans le périmètre de service.
Les dépôts en lecture seule suivants sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service:
Les API de gestion du parc, y compris la passerelle Connect, peuvent être protégées par VPC Service Controls, et les fonctionnalités de gestion de parc peuvent être utilisées normalement dans les périmètres de service.
Pour en savoir plus, consultez les ressources suivantes :
Bien que toutes les fonctionnalités de gestion de parc puissent être utilisées normalement, l'activation d'un périmètre de service autour de l'API Stackdriver limite l'intégration de la fonctionnalité de parc Policy Controller à Security Command Center.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudresourcemanager.googleapis.com
Détails
Les méthodes API Cloud Resource Manager suivantes peuvent être protégées par VPC Service Controls:
Seules les clés de tag apparentées directement à une ressource de projet et les valeurs de tag correspondantes peuvent être protégées à l'aide de VPC Service Controls. Lorsqu'un projet est ajouté à un périmètre VPC Service Controls, toutes les clés de tag et les valeurs de tag correspondantes associées au projet sont considérées comme des ressources situées dans le périmètre.
Les clés de tag apparentées à une ressource Organisation et leurs valeurs de tag correspondantes ne peuvent pas être incluses dans un périmètre VPC Service Controls ni protégées à l'aide de VPC Service Controls.
Les clients situés dans un périmètre VPC Service Controls ne peuvent pas accéder aux clés de tag ni aux valeurs correspondantes apparentées à une ressource d'organisation, sauf si une règle de sortie autorisant l'accès est définie sur le périmètre. Pour en savoir plus sur la définition des règles de sortie, consultez la section Règles d'entrée et de sortie.
Les liaisons de tags sont considérées comme des ressources situées dans le même périmètre que la ressource à laquelle la valeur de tag est liée. Par exemple, les liaisons de tags sur une instance Compute Engine d'un projet sont considérées comme appartenant à ce projet, quel que soit l'endroit où la clé de tag est définie.
Certains services tels que Compute Engine permettent de créer des liaisons de tags à l'aide de leurs propres API de service, en plus des API de service Resource Manager. Par exemple, vous pouvez ajouter des tags à une VM Compute Engine lors de la création d'une ressource. Pour protéger les liaisons de tags créées ou supprimées à l'aide de ces API de service, ajoutez le service correspondant (par exemple, compute.googleapis.com) à la liste des services restreints dans le périmètre.
Les tags sont compatibles avec les restrictions au niveau de la méthode. Vous pouvez donc limiter method_selectors à des méthodes d'API spécifiques. Pour obtenir la liste des méthodes pouvant être restreintes, consultez la section Restrictions de méthode de service compatibles.
L'attribution du rôle de propriétaire sur un projet via la console Google Cloud est désormais acceptée par VPC Service Controls. Vous ne pouvez pas envoyer d'invitation de propriétaire, ni accepter une invitation en dehors des périmètres de service. Si vous essayez d'accepter une invitation extérieure au périmètre, le rôle de propriétaire ne vous sera pas attribué, et aucun message d'erreur ni d'avertissement ne s'affichera.
Les récepteurs de journaux agrégés (récepteurs de dossier ou d'organisation pour lesquels la valeur includeChildren est true) peuvent accéder aux données des projets situés à l'intérieur d'un périmètre de service. Pour empêcher les récepteurs de journaux agrégés d'accéder aux données d'un périmètre, nous vous recommandons d'utiliser IAM pour gérer les autorisations Logging dans les récepteurs de journaux agrégés au niveau du dossier ou de l'organisation.
VPC Service Controls ne permet pas d'ajouter des ressources de dossier ou d'organisation à des périmètres de service. Par conséquent, vous ne pouvez pas utiliser VPC Service Controls pour protéger les journaux au niveau des dossiers et de l'organisation, y compris les journaux agrégés. Pour gérer les autorisations Logging au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.
Si vous acheminez des journaux à l'aide d'un récepteur de journaux au niveau de l'organisation ou d'un dossier vers une ressource protégée par un périmètre de service, vous devez ajouter une règle d'entrée au périmètre de service. La règle d'entrée doit autoriser l'accès à la ressource à partir du compte de service utilisé par le récepteur de journaux. Cette étape n'est pas nécessaire pour les récepteurs au niveau d'un projet.
Pour en savoir plus, consultez les articles suivants :
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT comme type d'identité pour exporter des journaux depuis un récepteur Cloud Logging vers une ressource Cloud Storage.
Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
certificatemanager.googleapis.com
Détails
L'API pour le gestionnaire de certificats peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur le gestionnaire de certificats, consultez la documentation produit.
Limites
L'intégration du gestionnaire de certificats à VPC Service Controls n'a pas de limites connues.
Les canaux de notification, les règles d'alerte et les métriques personnalisées peuvent être utilisés conjointement pour exfiltrer des données/métadonnées. À l'heure actuelle, un utilisateur de Cloud Monitoring peut configurer un canal de notification pointant vers une entité extérieure à l'organisation, par exemple "baduser@badcompany.com". L'utilisateur configure ensuite des métriques personnalisées et les règles d'alerte correspondantes qui exploitent le canal de notification. Par conséquent, en manipulant les métriques personnalisées, l'utilisateur peut déclencher des alertes et envoyer des notifications de déclenchement d'alerte, exfiltrant ainsi des données sensibles vers l'adresse baduser@badcompany.com, c'est-à-dire en dehors du périmètre VPC Service Controls.
Toutes les VM Compute Engine ou AWS sur lesquelles l'agent Monitoring est installé doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon l'écriture des données de métriques de l'agent échoue.
Tous les pods GKE doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon la surveillance GKE ne peut pas fonctionner.
Lorsque vous interrogez des métriques pour un champ d'application des métriques, seul le périmètre VPC Service Controls du projet du champ d'application de la métrique est pris en compte. Les périmètres des différents projets surveillés dans le champ d'application des métriques ne sont pas pris en compte.
Vous ne pouvez ajouter un projet en tant que projet surveillé à un champ d'application des métriques existant que si ce projet se trouve dans le même périmètre VPC Service Controls que le projet de champ d'application des métriques.
Pour accéder à Monitoring dans la console Google Cloud pour un projet hôte protégé par un périmètre de service, utilisez une règle d'entrée.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
timeseriesinsights.googleapis.com
Détails
L'API pour l'API Timeseries Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
L'API Natural Language étant une API sans état qui ne s'exécute pas sur des projets, l'utilisation de VPC Service Controls pour protéger l'API Natural Language n'a aucun effet.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
networkconnectivity.googleapis.com
Détail
L'API pour Network Connectivity Center peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
VPC Service Controls ne permet pas d'accéder aux ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Cloud Asset au niveau du projet. Vous pouvez spécifier une règle de sortie pour empêcher l'accès aux ressources de l'API Cloud Asset au niveau du projet à partir des projets situés à l'intérieur du périmètre.
VPC Service Controls ne permet pas d'ajouter des ressources API Cloud Asset au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation. Pour gérer les autorisations de l'inventaire des éléments cloud au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.
Vous ne pouvez pas exporter des éléments au niveau d'un dossier ou de l'organisation dans des destinations situées à l'intérieur d'un périmètre de service.
Vous ne pouvez pas créer de flux en temps réel pour les éléments au niveau d'un dossier ou de l'organisation avec un sujet Pub/Sub dans un périmètre de service.
Cloud Translation – Advanced (v3) est compatible avec VPC Service Controls, mais pas Cloud Translation – Basic (v2). Pour appliquer VPC Service Controls, vous devez utiliser Cloud Translation – Advanced (v3). Pour en savoir plus sur les différentes éditions, consultez la page Comparer les versions Basic et Advanced.
Pour protéger les points de terminaison d'entrée à l'aide d'un périmètre de service, vous devez suivre les instructions pour configurer un pool privé et envoyer des flux vidéo d'entrée via une connexion privée.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
videostitcher.googleapis.com
Détails
L'API pour l'API Video Stitcher peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
healthcare.googleapis.com
Détails
L'API pour l'API Cloud Healthcare peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur l'API Cloud Healthcare, consultez la documentation produit.
Limites
L'intégration de l'API Cloud Healthcare à VPC Service Controls n'a pas de limites connues.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
storagetransfer.googleapis.com
Détails
Nous vous recommandons de placer votre projet de service de transfert de stockage dans le même périmètre de service que vos ressources Cloud Storage. Ainsi, vous protégez à la fois le transfert et vos ressources Cloud Storage. Le service de transfert de stockage accepte également les scénarios dans lesquels le projet de service de transfert de stockage ne se trouve pas dans le même périmètre que vos buckets Cloud Storage, par le biais d'une règle de sortie.
Lorsque vous appelez l'API Service Control à partir d'un réseau VPC situé dans un périmètre de service avec Service Control restreint à la création de rapports sur les métriques de facturation ou d'analyse, vous ne pouvez utiliser que la méthode de rapport Service Control pour générer des rapports sur les métriques des services compatibles avec VPC Service Controls.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
redis.googleapis.com
Détails
L'API pour Memorystore pour Redis peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Les périmètres de service ne protègent que l'API Memorystore pour Redis. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Redis au sein du même réseau.
Si l'API Cloud Storage est également protégée, les opérations d'importation et d'exportation de Memorystore pour Redis ne peuvent être lues et écrites que dans un bucket Cloud Storage situé dans le même périmètre de service que l'instance Memorystore pour Redis.
Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et le projet de service contenant l'instance Redis dans le même périmètre pour que les requêtes Redis réussissent. À tout moment, la séparation du projet hôte et du projet de service par un périmètre peut entraîner une défaillance de l'instance Redis, en plus des requêtes bloquées. Pour en savoir plus, consultez la section Configuration requise Memorystore pour Redis.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
memcache.googleapis.com
Détails
L'API pour Memorystore pour Memcached peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Memorystore pour Memcached, consultez la documentation produit.
Limites
Les périmètres de service ne protègent que l'API Memorystore pour Memcached. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Memcached au sein du même réseau.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
servicedirectory.googleapis.com
Détail
L'API pour l'Annuaire des services peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Non. L'API pour Transfer Appliance ne peut pas être protégée par des périmètres de service.
Toutefois, Transfer Appliance peut être utilisé normalement dans les projets situés au sein d'un périmètre.
Détail
Transfer Appliance est entièrement compatible avec les projets utilisant VPC Service Controls.
Transfer Appliance ne propose pas d'API et n'est donc pas compatible avec les fonctionnalités liées aux API dans VPC Service Controls.
Pour plus d'informations sur Transfer Appliance, consultez la documentation produit.
Limites
Lorsque Cloud Storage est protégé par VPC Service Controls, la clé Cloud KMS que vous partagez avec l'équipe Transfer Appliance doit se trouver dans le même projet que le bucket Cloud Storage de destination.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
orgpolicy.googleapis.com
Détails
L'API pour Organization Policy Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur le service de règles d'administration, consultez la documentation du produit.
Limites
VPC Service Controls n'accepte pas les restrictions d'accès aux règles d'administration au niveau du dossier ou de l'organisation qui sont héritées par le projet.
VPC Service Controls protège les ressources de l'API du service de règles d'administration au niveau du projet.
Par exemple, si une règle d'entrée empêche un utilisateur d'accéder à l'API Organization Policy Service, cet utilisateur obtient une erreur 403 lorsqu'il demande des règles d'administration appliquées au projet. Toutefois, l'utilisateur peut toujours accéder aux règles d'administration du dossier et de l'organisation contenant le projet.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
oslogin.googleapis.com
Détails
Vous pouvez appeler l'API OS Login depuis des périmètres VPC Service Controls. Pour gérer OS Login depuis des périmètres VPC Service Controls, configurez OS Login.
Les connexions SSH aux instances de VM ne sont pas protégées par VPC Service Controls.
Les méthodes OS Login pour la lecture et l'écriture de clés SSH n'appliquent pas les périmètres VPC Service Controls. Utilisez les services accessibles par VPC pour désactiver l'accès aux API OS Login.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
servicehealth.googleapis.com
Détails
L'API pour Personalized Service Health peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Personalized Service Health, consultez la documentation produit.
Limites
VPC Service Controls n'est pas compatible avec les ressources OrganizationEvents et OrganizationImpacts de l'API Service Health. Par conséquent, aucune vérification des règles VPC Service Controls n'est effectuée lorsque vous appelez les méthodes pour ces ressources. Toutefois, vous pouvez appeler les méthodes depuis un périmètre de service à l'aide d'une adresse IP virtuelle restreinte.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
osconfig.googleapis.com
Détails
Vous pouvez appeler l'API OS Config depuis des périmètres VPC Service Controls. Pour utiliser VM Manager à partir des périmètres VPC Service Controls, configurez VM Manager.
Pour assurer une protection complète de VM Manager, vous devez inclure toutes les API suivantes dans votre périmètre :
API OS Config (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Artifact Analysis (containeranalysis.googleapis.com)
VM Manager n'héberge pas le contenu du package et du correctif. OS Patch Management utilise les outils de mise à jour du système d'exploitation, qui nécessitent la mise à jour des packages et des correctifs sur la VM. Pour que les correctifs fonctionnent, vous devrez peut-être utiliser Cloud NAT ou héberger votre propre dépôt de packages ou un service de mise à jour Windows Server Update Service dans votre cloud privé virtuel.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
workflows.googleapis.com
Détails
Workflows est une plate-forme d'orchestration permettant de combiner des services Google Cloud et des API basées sur HTTP pour exécuter des services dans l'ordre que vous définissez.
Lorsque vous protégez l'API Workflows à l'aide d'un périmètre de service, l'API Workflow Executions est également protégée. Vous n'avez pas besoin d'ajouter séparément workflowexecutions.googleapis.com à la liste des services protégés de votre périmètre.
Les requêtes HTTP provenant d'une exécution de Workflows sont prises en charge comme suit :
Les requêtes authentifiées auprès de points de terminaison Google Cloud compatibles avec VPC Service Controls sont autorisées.
Les requêtes adressées à des points de terminaison Cloud Functions et Cloud Run sont autorisées.
Les requêtes adressées à des points de terminaison tiers sont bloquées.
Les requêtes adressées à des points de terminaison Google Cloud non compatibles avec VPC Service Controls sont bloquées.
Les périmètres de service ne protègent que l'API Filestore. Ils ne protègent pas l'accès normal aux données NFS sur les instances Filestore au sein du même réseau.
Si vous utilisez le VPC partagé et VPC Service Controls, vous devez disposer du projet hôte qui fournit le réseau et du projet de service qui contient l'instance Filestore dans le même périmètre afin que l'instance Filestore puisse fonctionner correctement. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Si vous utilisez à la fois un VPC partagé et VPC Service Controls, vous devez disposer du projet hôte qui fournit le réseau et du projet de service qui contient l'instance Parallelstore dans le même périmètre pour que l'instance Parallelstore fonctionne correctement. La séparation du projet hôte et du projet de service par un périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
containerthreatdetection.googleapis.com
Détails
L'API pour Container Threat Detection peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Ads Data Hub et VPC Service Controls sont soumis à des conditions d'utilisation différentes. Pour en savoir plus, consultez les conditions de chaque produit.
Certaines fonctionnalités Ads Data Hub (telles que l'activation d'audiences personnalisées, les enchères personnalisées et les tableaux de correspondance LiveRamp) nécessitent l'exportation de certaines données utilisateur en dehors du périmètre de VPC Service Controls. Si Ads Data Hub est ajouté en tant que service restreint, il ignore les règles de VPC Service Controls associées à ces fonctionnalités afin de les conserver.
Tous les services dépendants doivent être inclus en tant que services autorisés dans le même périmètre VPC Service Controls. Par exemple, étant donné que Ads Data Hub s'appuie sur BigQuery, BigQuery doit également être ajouté. En général, les bonnes pratiques de VPC Service Controls recommandent d'inclure tous les services dans le périmètre, c'est-à-dire de "limiter tous les services".
Les clients disposant de structures de compte Ads Data Hub à plusieurs niveaux (par exemple, les agences avec des filiales) doivent placer tous leurs projets d'administration dans le même périmètre. Par souci de simplicité, Ads Data Hub recommande aux clients disposant de structures de compte à plusieurs niveaux de limiter leurs projets d'administration à la même organisation Google Cloud.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
sts.googleapis.com
Détail
VPC Service Controls ne limite les échanges de jetons que si l'audience de la requête est une ressource au niveau du projet. Par exemple, il ne limite pas les requêtes pour les jetons à champ d'application limité, car ces requêtes n'ont pas d'audience. Il ne limite pas non plus les requêtes de fédération d'identité de personnel, car l'audience est une ressource au niveau de l'organisation.
Les services firestore.googleapis.com, datastore.googleapis.com et firestorekeyvisualizer.googleapis.com sont liés.
Lorsque vous restreignez le service firestore.googleapis.com dans un périmètre, le périmètre s'applique également aux services datastore.googleapis.com et firestorekeyvisualizer.googleapis.com.
Pour obtenir une protection complète de la sortie sur les opérations d'importation et d'exportation, vous devez utiliser l'agent de service Firestore. Pour en savoir plus, lisez les informations ci-après.
Les opérations d'importation et d'exportation ne sont pas entièrement protégées, sauf si vous utilisez l'agent de service Firestore. Pour en savoir plus, lisez les informations ci-après.
Les anciens services groupés App Engine pour Datastore ne sont pas compatibles avec les périmètres de service. La protection du service Datastore avec un périmètre de service bloque le trafic provenant des anciens services groupés App Engine. Les anciens services groupés comprennent :
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
vmmigration.googleapis.com
Détails
L'API pour Migrate to Virtual Machines peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Migrate to Virtual Machines, consultez la documentation du produit.
Limites
Pour assurer une protection complète de Migrate to Virtual Machines, ajoutez toutes les API suivantes au périmètre de service :
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
migrationcenter.googleapis.com
rapidmigrationassessment.googleapis.com
Détails
VPC Service Controls vous permet de protéger les données d'infrastructure que vous collectez avec le centre de migration à l'aide d'un périmètre de service.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
backupdr.googleapis.com
Détails
L'API pour le service de sauvegarde et de reprise après sinistre peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur le service de sauvegarde et de reprise après sinistre, consultez la documentation du produit.
Limites
Si vous supprimez la route Internet par défaut du projet producteur de services à l'aide de la commande gcloud services vpc-peerings enable-vpc-service-controls, vous risquez de ne pas pouvoir accéder à la console de gestion ni la déployer. Si vous rencontrez ce problème, contactez le service client Google Cloud.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
gkebackup.googleapis.com
Détails
Vous pouvez utiliser VPC Service Controls afin de protéger la sauvegarde pour GKE. Vous pouvez utiliser les fonctionnalités de sauvegarde pour GKE normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
integrations.googleapis.com
Détails
Application Integration est un système de gestion de workflows collaboratif qui vous permet de créer, d'améliorer, de déboguer et de comprendre les principaux workflows des systèmes d'entreprise.
Dans Application Integration, les workflows sont constitués de déclencheurs et de tâches.
Il existe plusieurs types de déclencheurs, tels que les déclencheurs d'API, Pub/Sub, Cron ou SFDC.
VPC Service Controls protège les journaux d'Application Integration. Si vous utilisez Application Integration, vérifiez la compatibilité de l'intégration vpcsc auprès de l'équipe Application Integration.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
connectors.googleapis.com
Détails
L'API pour Integration Connectors peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Lorsque vous utilisez VPC Service Controls, si votre connexion se connecte à une ressource autre que Google Cloud CLI, la destination de la connexion doit être un rattachement Private Service Connect. Les connexions créées sans le rattachement Private Service Connect échouent.
Si vous avez configuré un périmètre de service VPC Service Controls pour votre projet Google Cloud CLI, vous ne pouvez pas utiliser la
fonctionnalité d'abonnement aux événements pour le projet.
Les notifications envoyées lorsqu'un groupe d'erreurs nouveau ou récurrent est détecté contiennent des informations sur le groupe d'erreurs. Pour éviter l'exfiltration de données en dehors du périmètre VPC Service Controls, assurez-vous que les canaux de notification se trouvent au sein de votre organisation.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
workstations.googleapis.com
Détails
L'API pour Cloud Workstations peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour plus d'informations sur Cloud Workstations, consultez la documentation produit.
Limites
Pour protéger entièrement Cloud Workstations, vous devez limiter l'API Compute Engine dans votre périmètre de service chaque fois que vous limitez l'API Cloud Workstations.
Assurez-vous que l'API Google Cloud Storage, l'API Google Container Registry et l'API Artifact Registry sont accessibles par les VPC dans votre périmètre de service. Cela est nécessaire pour récupérer des images sur votre poste de travail. Nous vous recommandons également d'autoriser l'API Cloud Logging et l'API Cloud Error Reporting pour qu'elles soient accessibles par les VPC dans votre périmètre de service, même si cela n'est pas obligatoire pour utiliser Cloud Workstations.
Assurez-vous que votre cluster de poste de travail est privé.
La configuration d'un cluster privé empêche les connexions à vos postes de travail depuis l'extérieur de votre périmètre de service VPC.
Veillez à désactiver les adresses IP publiques dans la configuration de votre poste de travail. Sans cela, les VM disposeront d'adresses IP publiques dans votre projet. Nous vous recommandons vivement d'utiliser la contrainte de règle d'administration constraints/compute.vmExternalIpAccess pour désactiver les adresses IP publiques pour toutes les VM de votre périmètre de service VPC. Pour en savoir plus, consultez la section Restreindre les adresses IP externes à des VM spécifiques.
Lors de la connexion à votre poste de travail, le contrôle des accès dépend uniquement de l'appartenance ou non au périmètre de sécurité du réseau privé à partir duquel vous vous connectez. Le contrôle des accès basé sur l'appareil, l'adresse IP publique ou la localisation n'est pas disponible.
Cloud IDS crée des journaux d'analyse des menaces dans votre projet à l'aide de Cloud Logging. Si Cloud Logging est limité par le périmètre de service, VPC Service Controls bloque les journaux de menaces Cloud IDS, même si Cloud IDS n'est pas ajouté en tant que service restreint au périmètre. Pour utiliser Cloud IDS à l'intérieur d'un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Logging dans votre périmètre de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
policytroubleshooter.googleapis.com
Détails
Lorsque vous limitez l'API Policy Troubleshooter à l'aide d'un périmètre, les comptes principaux ne peuvent résoudre les problèmes liés aux stratégies d'autorisation IAM que si toutes les ressources impliquées dans la requête se trouvent dans le même périmètre. Une demande de dépannage inclut généralement deux ressources:
La ressource pour laquelle vous dépannez l'accès Il peut s'agir de n'importe quel type. Vous spécifiez explicitement cette ressource lorsque vous dépannez une règle d'autorisation.
La ressource que vous utilisez pour résoudre les problèmes d'accès. Cette ressource est un projet, un dossier ou une organisation. Dans la console Google Cloud et la gcloud CLI, l'utilisation de cette ressource dépend du projet, du dossier ou de l'organisation que vous avez sélectionné. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project.
Cette ressource peut être identique à celle dont vous dépannez l'accès, mais ce n'est pas obligatoire.
Si ces ressources ne se trouvent pas dans le même périmètre, la requête échoue.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
policysimulator.googleapis.com
Détails
Lorsque vous limitez l'API Policy Simulator à l'aide d'un périmètre, les comptes principaux ne peuvent simuler des règles d'autorisation que si certaines ressources impliquées dans la simulation se trouvent dans le même périmètre. Une simulation implique plusieurs ressources:
Ressource dont vous simulez la règle d'autorisation. Cette ressource est également appelée ressource cible. Dans la console Google Cloud, il s'agit de la ressource dont vous modifiez la règle d'autorisation. Dans la gcloud CLI et l'API REST, vous spécifiez explicitement cette ressource lorsque vous simulez une règle d'autorisation.
Projet, dossier ou organisation qui crée et exécute la simulation. Cette ressource est également appelée ressource d'hôte. Dans la console Google Cloud et la gcloud CLI, l'utilisation de cette ressource dépend du projet, du dossier ou de l'organisation que vous avez sélectionné. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project.
Cette ressource peut être identique à celle pour laquelle vous simulez l'accès, mais ce n'est pas obligatoire.
Ressource qui fournit les journaux d'accès pour la simulation. Dans une simulation, il y a toujours une ressource qui fournit des journaux d'accès pour la simulation. Cette ressource varie en fonction du type de ressource cible:
Si vous simulez une règle d'autorisation pour un projet ou une organisation, Policy Simulator récupère les journaux d'accès pour ce projet ou cette organisation.
Si vous simulez une règle d'autorisation pour un autre type de ressource, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation parent de cette ressource.
Si vous simulez des règles d'autorisation pour plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation commun les plus proches des ressources.
Toutes les ressources compatibles avec les règles d'autorisation appropriées
Lorsque Policy Simulator exécute une simulation, il prend en compte toutes les stratégies d'autorisation susceptibles d'affecter l'accès de l'utilisateur, y compris les stratégies d'autorisation sur les ressources ancêtres et descendantes de la ressource cible. Par conséquent, ces ressources d'ancêtre et de descendant sont également impliquées dans les simulations.
Si la ressource cible et la ressource hôte ne se trouvent pas dans le même périmètre, la requête échoue.
Si la ressource cible et la ressource qui fournit les journaux d'accès pour la simulation ne se trouvent pas dans le même périmètre, la requête échoue.
Si la ressource cible et certaines ressources compatibles avec des règles d'autorisation pertinentes ne se trouvent pas dans le même périmètre, les requêtes aboutissent, mais les résultats peuvent être incomplets. Par exemple, si vous simulez une règle pour un projet situé dans un périmètre, les résultats n'incluront pas la règle d'autorisation de l'organisation parente du projet, car les organisations se trouvent toujours en dehors des périmètres VPC Service Controls. Pour obtenir des résultats plus complets, vous pouvez configurer des règles d'entrée et de sortie pour le périmètre.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
essentialcontacts.googleapis.com
Détails
L'API pour les contacts essentiels peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour assurer une protection complète d'Identity Platform, ajoutez l'API Secure Token (securetoken.googleapis.com) au périmètre de service afin d'autoriser l'actualisation des jetons. securetoken.googleapis.com ne figure pas sur la page VPC Service Controls de la console Google Cloud.
Vous ne pouvez ajouter ce service qu'à l'aide de la commande gcloud access-context-manager
périmètres update.
Si votre application s'intègre également à la fonctionnalité de fonctions bloquantes, ajoutez Cloud Functions (cloudfunctions.googleapis.com) au périmètre de service.
L’utilisation d’une authentification multifacteur (MFA) par SMS, d’une authentification par e-mail ou de fournisseurs d’identité tiers entraîne l’envoi de données en dehors du périmètre. Si vous n'utilisez pas la MFA avec l'authentification par SMS, l'authentification des e-mails ou des fournisseurs d'identité tiers, désactivez ces fonctionnalités.
Pour assurer une protection complète d'Identity Platform, ajoutez l'API Secure Token (securetoken.googleapis.com) au périmètre de service afin d'autoriser l'actualisation des jetons. securetoken.googleapis.com ne figure pas sur la page VPC Service Controls de la console Google Cloud.
Vous ne pouvez ajouter ce service qu'à l'aide de la commande gcloud access-context-manager
périmètres update.
Si votre application s'intègre également à la fonctionnalité de fonctions bloquantes, ajoutez Cloud Functions (cloudfunctions.googleapis.com) au périmètre de service.
L’utilisation d’une authentification multifacteur (MFA) par SMS, d’une authentification par e-mail ou de fournisseurs d’identité tiers entraîne l’envoi de données en dehors du périmètre. Si vous n'utilisez pas la MFA avec l'authentification par SMS, l'authentification des e-mails ou des fournisseurs d'identité tiers, désactivez ces fonctionnalités.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Non. L'API pour Google Distributed Cloud Virtual pour Bare Metal ne peut pas être protégée par des périmètres de service.
Toutefois, Google Distributed Cloud Virtual pour Bare Metal peut être utilisé normalement dans les projets situés à l'intérieur d'un périmètre.
Détails
Vous pouvez créer un cluster dans votre environnement, qui est connecté à VPC à l'aide de Cloud Interconnect ou de Cloud VPN.
Pour en savoir plus sur Google Distributed Cloud Virtual pour Bare Metal, consultez la documentation du produit.
Limites
Lorsque vous créez ou mettez à niveau un cluster à l'aide de GDCV pour Bare Metal, utilisez l'option --skip-api-check dans bmctl pour contourner l'appel de l'API Service Usage (serviceusage.googleapis.com), car l'API Service Usage (serviceusage.googleapis.com) n'est pas compatible avec VPC Service Controls.
GDCV pour Bare Metal appelle l'API Service Usage pour vérifier que les API requises sont activées dans un projet. Elle n'est pas utilisée pour valider la joignabilité des points de terminaison de l'API.
Pour protéger la GDCV pour une solution Bare Metal, utilisez une adresse IP virtuelle limitée dans cette solution, puis ajoutez toutes les API suivantes au périmètre de service:
API Artifact Registry (artifactregistry.googleapis.com)
API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Connect Gateway (connectgateway.googleapis.com)
API Google Container Registry (containerregistry.googleapis.com)
API GKE Connect (gkeconnect.googleapis.com)
API GKE Hub (gkehub.googleapis.com)
API GKE On-Prem (gkeonprem.googleapis.com)
API Cloud IAM (iam.googleapis.com)
API Cloud Logging (logging.googleapis.com)
API Cloud Monitoring (monitoring.googleapis.com)
API Config Monitoring pour les opérations (opsconfigmonitoring.googleapis.com)
API Service Control (servicecontrol.googleapis.com)
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
ondemandscanning.googleapis.com
Détails
L'API pour l'API On-Demand Scanning peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
looker.googleapis.com
Détails
L'API pour Looker (Google Cloud Core) peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Looker (Google Cloud Core), consultez la documentation produit.
Limites
Seules les éditions Enterprise ou Embed des instances Looker (Google Cloud Core) utilisant des connexions IP privées sont compatibles avec la conformité avec VPC Service Controls. Les instances Looker (Google Cloud Core) disposant de connexions IP publiques ou de connexions IP publiques et privées ne sont pas compatibles avec la conformité avec VPC Service Controls. Pour créer une instance qui utilise une connexion IP privée, sélectionnez Adresse IP privée dans la section Mise en réseau de la page Créer une instance de la console Google Cloud.
Lorsque vous placez ou créez une instance Looker (Google Cloud Core) dans un périmètre de service VPC Service Controls, vous devez supprimer la route par défaut vers Internet en appelant la méthode services.enableVpcServiceControls ou en exécutant la commande gcloud suivante:
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
publicca.googleapis.com
Détails
L'API pour l'Public Certificate Authority peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Les API de Security Command Center peuvent être protégées par VPC Service Controls, et Security Command Center peut être utilisé normalement dans les périmètres de service.
VPC Service Controls ne permet pas d'accéder aux ressources de l'API Security Command Center au niveau du dossier ou de l'organisation à partir de ressources et de clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Security Command Center au niveau du projet. Vous pouvez spécifier une règle de sortie pour empêcher l'accès aux ressources de l'API Security Command Center au niveau du projet depuis des projets situés à l'intérieur du périmètre.
VPC Service Controls ne permet pas d'ajouter des ressources de l'API Security Command Center au niveau d'un dossier ou de l'organisation dans un périmètre de service. Vous ne pouvez pas utiliser de périmètre pour protéger les ressources de l'API Security Command Center au niveau d'un dossier ou d'une organisation. Pour gérer les autorisations de Security Command Center au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.
VPC Service Controls n'est pas compatible avec le service de stratégie de sécurité, car les ressources de stratégie de sécurité (telles que les stratégies, les déploiements de stratégie et les modèles de stratégie prédéfinis) sont des ressources au niveau de l'organisation.
Vous ne pouvez pas exporter les résultats au niveau du dossier ou de l'organisation vers des destinations situées à l'intérieur d'un périmètre de service.
Vous devez activer l'accès au périmètre dans les cas suivants :
Lorsque vous activez les notifications de résultats au niveau du dossier ou de l'organisation et que le sujet Pub/Sub se trouve dans un périmètre de service.
Lorsque vous exportez des données vers BigQuery à partir d'un dossier ou d'une organisation et que BigQuery se trouve dans un périmètre de service
Lorsque vous intégrez Security Command Center à un produit SIEM ou SOAR, et que le produit est déployé dans un périmètre de service au sein d'un environnement Google Cloud Les solutions SIEM et SOAR compatibles incluent Splunk et IBM QRadar.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudsupport.googleapis.com
Détails
L'API pour Cloud Customer Care peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
discoveryengine.googleapis.com
Détails
L'API pour Vertex AI Search and Conversation : Vertex AI Search peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur Vertex AI Search and Conversation – Vertex AI Search, consultez la documentation produit.
Limites
L'intégration de Vertex AI Search and Conversation – Vertex AI Search à VPC Service Controls n'a pas de limites connues.
Confidential Space nécessite un accès en lecture aux buckets Cloud Storage pour télécharger les certificats utilisés pour valider son jeton d'attestation. Si ces buckets Cloud Storage sont situés en dehors du périmètre, vous devez créer la règle de sortie suivante:
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
ssh-serialport.googleapis.com
Détails
Pour utiliser la protection VPC Service Controls lors de la connexion à la console série pour une instance de machine virtuelle (VM), vous devez spécifier une règle d'entrée pour le périmètre de service. Lors de la configuration de la règle d'entrée, le niveau d'accès de la source doit être une valeur basée sur l'adresse IP et le nom du service doit être défini sur ssh-serialport.googleapis.com.
La règle d'entrée est obligatoire pour accéder à la console série, même si la requête source et la ressource cible se trouvent dans le même périmètre.
Vous ne pouvez pas accéder à une console série via l'accès privé à Google. Vous ne pouvez accéder à la console série que depuis l'Internet public.
Avec une console série, les règles d'entrée ou de sortie basées sur l'identité ne peuvent pas être utilisées pour autoriser l'accès à la console série.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Lorsque vous ajoutez des réseaux VMware Engine, des clouds privés, des règles de réseau et des appairages de VPC à un périmètre de service VPC, les ressources créées précédemment ne sont pas vérifiées à nouveau pour voir si elles respectent toujours les règles du périmètre.
Pour utiliser la protection VPC Service Controls pour Dataform, vous devez définir la règle d'administration "dataform.restrictGitRemotes" et restreindre BigQuery avec le même périmètre de service que Dataform.
Vous devez vous assurer que les autorisations Identity and Access Management accordées à vos comptes de service utilisés dans Dataform reflètent votre architecture de sécurité.
GA. Cette intégration de produit est entièrement compatible avec VPC Service Controls.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
websecurityscanner.googleapis.com
Détails
Web Security Scanner et VPC Service Controls sont soumis à des conditions d'utilisation différentes.
Pour en savoir plus, consultez les conditions d'utilisation de chaque produit.
Web Security Scanner envoie les résultats à Security Command Center à la demande. Vous pouvez afficher ou télécharger les données à partir du tableau de bord Security Command Center.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
securesourcemanager.googleapis.com
Détails
Vous devez configurer Certificate Authority Service avec une autorité de certification opérationnelle avant de créer des instances Secure Source Manager VPC Service Controls.
Vous devez configurer Private Service Connect avant d'accéder à l'instance VPC Service Controls de Secure Source Manager.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudcontrolspartner.googleapis.com
Détails
L'API partenaire Cloud Controls peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
Pour en savoir plus sur la console Partenaire dans les contrôles souverains par les partenaires, consultez la documentation du produit.
Limites
L'accès à ce service doit être limité pour tous les non-partenaires. Si vous êtes un partenaire prenant en charge les contrôles souverains par des partenaires, vous pouvez protéger ce service à l'aide d'un périmètre de service.
L'éditeur de code Earth Engine, un IDE Web pour l'API JavaScript Earth Engine, n'est pas compatible, et VPC Service Controls ne permet pas de l'utiliser avec des ressources et des clients situés dans un périmètre de service.
Les anciens éléments ne sont pas protégés par VPC Service Controls.
Les applications Earth Engine ne sont pas compatibles avec les ressources et les clients situés dans un périmètre de service.
VPC Service Controls n'est disponible que pour les forfaits Earth Engine Premium et Professional. Pour en savoir plus sur les forfaits, consultez la page
Forfaits Earth Engine.
Pour en savoir plus sur les limites et obtenir des exemples de solutions de contournement, consultez la documentation sur le contrôle des accès d'Earth Engine.
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
apphub.googleapis.com
Détails
App Hub vous permet de découvrir et d'organiser les ressources d'infrastructure dans des applications. Vous pouvez utiliser des périmètres VPC Service Controls pour protéger les ressources App Hub.
Vous devez configurer VPC Service Controls sur l'hôte et les projets de service App Hub avant de créer une application et d'y enregistrer des services et des charges de travail.
App Hub est compatible avec les types de ressources suivants:
Bêta. L'intégration de ce produit à VPC Service Controls est en version preview et prête à être testée et utilisée à plus grande échelle, mais elle n'est pas entièrement compatible avec les environnements de production.
Protéger avec des périmètres ?
Oui. Vous pouvez configurer vos périmètres pour protéger ce service.
Nom du service
cloudcode.googleapis.com
Détails
L'API Cloud Code peut être protégée par VPC Service Controls. Pour utiliser les fonctionnalités basées sur Gemini dans Cloud Code, vous devez configurer une règle d'entrée afin d'autoriser le trafic provenant des clients IDE. Pour en savoir plus, consultez la documentation de Gemini.
Services compatibles avec les adresses IP virtuelles restreintes
L'adresse IP virtuelle restreinte permet aux VM situées dans un périmètre de service d'appeler les services Google Cloud sans exposer les requêtes sur Internet. Pour obtenir la liste complète des services disponibles sur une adresse IP virtuelle restreinte, consultez la section Services compatibles avec l'adresse IP virtuelle restreinte.
Services non compatibles
Si vous tentez de restreindre un service non compatible à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager, une erreur se produira.
L'accès entre projets aux données de services non compatibles est bloqué par VPC Service Controls.
De plus, il est possible d'utiliser une adresse IP virtuelle restreinte pour empêcher les charges de travail d'appeler des services incompatibles.
Autres limitations connues
Cette section décrit les limites connues concernant certains services, produits et interfaces Google Cloud, pouvant être rencontrées lors de l'utilisation de VPC Service Controls.
Pour connaître les limites applicables aux produits compatibles avec VPC Service Controls, reportez-vous au tableau des produits compatibles.
Pour découvrir comment résoudre les problèmes liés à VPC Service Controls, consultez la page Dépannage.
API AutoML
Lorsque vous utilisez l'API AutoML avec VPC Service Controls, les limitations suivantes s'appliquent :
Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que eu-automl.googleapis.com, à la liste des services restreints d'un périmètre. Lorsque vous protégez le service automl.googleapis.com, le périmètre protège également les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables et AutoML Video Intelligence utilisent tous l'API AutoML.
Lorsque vous utilisez un périmètre de service pour protéger automl.googleapis.com, l'accès à tous les produits AutoML intégrés à VPC Service Controls et utilisés dans ce périmètre est affecté. Vous devez configurer votre périmètre VPC Service Controls pour tous les produits AutoML intégrés utilisés dans ce périmètre.
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :
API AutoML (automl.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
API BigQuery (bigquery.googleapis.com)
App Engine
App Engine (environnements standard et flexible) n'est pas compatible avec VPC Service Controls. N'incluez pas de projets App Engine dans les périmètres de service.
Toutefois, il est possible de permettre aux applications App Engine créées dans des projets situés en dehors des périmètres de service de lire et d'écrire des données dans des services protégés situés à l'intérieur des périmètres. Pour permettre à votre application d'accéder aux données des services protégés, créez un niveau d'accès incluant le compte de service App Engine du projet. Cette opération ne permet pas d'utiliser App Engine dans les périmètres de service.
Solution Bare Metal
La solution Bare Metal n'est pas compatible avec VPC Service Controls. La connexion à votre environnement de solution Bare Metal d'un VPC avec Service Controls activé ne garantit aucune garantie de service.
L'API de la solution Bare Metal peut être ajoutée à un périmètre sécurisé. Toutefois, les périmètres VPC Service Controls ne s'étendent pas à l'environnement de solution Bare Metal dans les extensions régionales.
Blockchain Node Engine
VPC Service Controls ne protège que l'API Blockchain Node Engine.
Lorsqu'un nœud est créé, vous devez toujours indiquer qu'il est destiné à un réseau privé configuré par l'utilisateur à l'aide de Private Service Connect.
Le trafic peer-to-peer n'est pas affecté par VPC Service Controls ou Private Service Connect, et continuera à utiliser l'Internet public.
Bibliothèques clientes
Les bibliothèques clientes Java et Python pour tous les services compatibles sont entièrement compatibles avec l'accès à l'aide de l'adresse IP virtuelle restreinte. La compatibilité avec d'autres langages est en phase alpha et ne doit être utilisée qu'à des fins de test.
Les clients doivent utiliser des bibliothèques clientes qui ont été mises à jour le 1er novembre 2018 ou à une date ultérieure.
Les clés de compte de service ou les métadonnées client OAuth2 utilisées par les clients doivent avoir été mises à jour le 1er novembre 2018 ou à une date ultérieure. Les clients plus anciens exploitant le point de terminaison du jeton doivent recourir au point de terminaison spécifié dans le nouveau matériel de clé ou les nouvelles métadonnées client.
Cloud Billing
Vous pouvez exporter des données Cloud Billing vers un bucket Cloud Storage ou une instance BigQuery dans un projet protégé par un périmètre de service sans configurer de niveau d'accès ni de règle d'entrée.
Cloud Deployment Manager
Deployment Manager n'est pas compatible avec VPC Service Controls.
Même si des utilisateurs sont en mesure d'appeler des services conformes à VPC Service Controls, il est préférable qu'ils procèdent autrement, car il est possible que cette fonctionnalité ne soit plus disponible dans le futur.
Comme alternative, vous pouvez ajouter le compte de service Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) aux niveaux d'accès afin d'autoriser les appels vers les API protégées par VPC Service Controls.
Cloud Shell
VPC Service Controls n'est pas compatible avec Cloud Shell. VPC Service Controls considère Cloud Shell comme situé en dehors des périmètres de service et refuse l'accès aux données protégées par VPC Service Controls. Cependant, VPC Service Controls autorise l'accès à Cloud Shell si un appareil qui répond aux exigences de niveau d'accès du périmètre de service lance Cloud Shell.
Console Google Cloud
Comme la console Google Cloud n'est accessible que par Internet, elle est considérée comme étant extérieure aux périmètres de service. Lorsque vous appliquez un périmètre de service, l'interface de la console Google Cloud correspondant aux services que vous protégez peut devenir partiellement ou totalement inaccessible. Par exemple, si vous avez protégé Cloud Logging avec le périmètre, vous ne pourrez pas accéder à son interface dans la console Google Cloud.
Pour autoriser la console Google Cloud à accéder aux ressources protégées par un périmètre, vous devez créer un niveau d'accès pour une plage d'adresses IP publique incluant les machines des utilisateurs souhaitant utiliser Cloud Console avec des API protégées. Par exemple, vous pouvez ajouter la plage d'adresses IP publique de la passerelle NAT de votre réseau privé à un niveau d'accès, puis attribuer ce niveau d'accès au périmètre de service.
Si vous souhaitez limiter l'accès de la console Google Cloud au périmètre pour un groupe d'utilisateurs spécifique, vous pouvez également ajouter ces utilisateurs à un niveau d'accès. Dans ce cas, seuls les utilisateurs spécifiés pourront accéder à la console Google Cloud.
Les requêtes via la console Google Cloud provenant d'un réseau pour lequel l'accès privé à Google est activé, y compris les réseaux implicitement activés par Cloud NAT, peuvent être bloquées, même si le réseau source et la ressource cible de la requête se trouvent dans le même périmètre. En effet, l'accès à la console Google Cloud via l'accès privé à Google n'est pas compatible avec VPC Service Controls.
Accès aux services privés
L'accès aux services privés est compatible avec le déploiement d'une instance de service dans un réseau VPC partagé.
Si vous utilisez cette configuration avec VPC Service Controls, assurez-vous que le projet hôte qui fournit le réseau et le projet de service qui contient l'instance de service se trouvent dans le même périmètre VPC Service Controls. Sinon, les requêtes risquent d'être bloquées, et les instances de service risquent de ne pas fonctionner correctement.
Pour en savoir plus sur les services compatibles avec l'accès aux services privés, consultez la section Services compatibles.
GKE Multi-Cloud
VPC Service Controls ne s'applique qu'aux ressources de votre projet Google Cloud. L'environnement cloud tiers qui héberge vos clusters multicloud GKE ne garantit aucune garantie de contrôle du service.
Google Distributed Cloud Virtual pour Bare Metal
VPC Service Controls ne s'applique qu'aux machines Bare Metal connectées aux projets de réseau VPC qui utilisent une adresse IP virtuelle restreinte.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2024/04/11 (UTC).
[{
"type": "thumb-down",
"id": "hardToUnderstand",
"label":"Hard to understand"
},{
"type": "thumb-down",
"id": "incorrectInformationOrSampleCode",
"label":"Incorrect information or sample code"
},{
"type": "thumb-down",
"id": "missingTheInformationSamplesINeed",
"label":"Missing the information/samples I need"
},{
"type": "thumb-down",
"id": "translationIssue",
"label":"Problème de traduction"
},{
"type": "thumb-down",
"id": "otherDown",
"label":"Autre"
}]
[{
"type": "thumb-up",
"id": "easyToUnderstand",
"label":"Facile à comprendre"
},{
"type": "thumb-up",
"id": "solvedMyProblem",
"label":"J'ai pu résoudre mon problème"
},{
"type": "thumb-up",
"id": "otherUp",
"label":"Autre"
}]