Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Halaman ini berisi tabel produk dan layanan yang didukung oleh
Kontrol Layanan VPC, serta daftar batasan yang diketahui dengan
layanan dan antarmuka.
Menampilkan daftar semua layanan yang didukung
Untuk mengambil daftar lengkap semua produk yang didukung Kontrol Layanan VPC dan
layanan IT, jalankan perintah berikut:
gcloud access-context-manager supported-services list
Anda akan mendapatkan respons dengan daftar produk dan layanan.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Respons ini mencakup nilai berikut:
Nilai
Deskripsi
SERVICE_ADDRESS
Nama layanan produk atau layanan. Misalnya, aiplatform.googleapis.com.
SERVICE_NAME
Nama produk atau layanan. Misalnya, Vertex AI API.
SERVICE_STATUS
Status integrasi layanan dengan Kontrol Layanan VPC. Berikut adalah kemungkinan nilainya:
GA: Integrasi layanan sepenuhnya didukung oleh perimeter Kontrol Layanan VPC.
PREVIEW: Integrasi layanan ini siap untuk pengujian dan penggunaan yang lebih luas, tetapi belum didukung sepenuhnya untuk lingkungan production oleh perimeter Kontrol Layanan VPC.
DEPRECATED: Integrasi layanan dijadwalkan untuk dinonaktifkan dan dihapus.
RESTRICTED_VIP_STATUS
Menentukan apakah integrasi layanan dengan Kontrol Layanan VPC didukung oleh VIP terbatas. Berikut adalah kemungkinan nilainya:
TRUE: Integrasi layanan sepenuhnya didukung oleh VIP terbatas dan dapat dilindungi oleh perimeter Kontrol Layanan VPC.
FALSE: Integrasi layanan tidak didukung oleh VIP yang dibatasi.
Menentukan apakah integrasi layanan dengan Kontrol Layanan VPC memiliki batasan. Berikut adalah kemungkinan nilainya:
TRUE: Integrasi layanan dengan Kontrol Layanan VPC memiliki batasan umum. Anda dapat memeriksa entri yang sesuai untuk layanan di tabel Produk yang didukung untuk mengetahui batasan ini lebih lanjut.
FALSE: Integrasi layanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Mencantumkan metode yang didukung untuk layanan
Untuk mengambil daftar metode dan izin yang didukung oleh Kontrol Layanan VPC
untuk layanan, jalankan perintah berikut:
Dalam respons ini, METHODS_LIST mencantumkan semua metode dan
dan izin yang didukung oleh Kontrol Layanan VPC untuk layanan tertentu. Untuk
daftar lengkap semua metode dan izin layanan yang didukung, lihat
Metode layanan yang didukung
batasan.
Produk yang didukung
Tabel ini mencakup semua
produk yang didukung oleh Kontrol Layanan VPC dan beroperasi secara normal
di dalam perimeter layanan. Namun, tidak semua produk yang didukung memiliki layanan
yang dapat dilindungi dengan perimeter.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
config.googleapis.com
Detail
Untuk informasi selengkapnya tentang Manajer Infrastruktur, lihat
dokumentasi produk kami.
Batasan
Untuk menggunakan Pengelola Infrastruktur di perimeter:
Anda harus menggunakan gabungan pribadi Cloud Build untuk kumpulan pekerja yang digunakan oleh Pengelola Infrastruktur. Kumpulan pribadi ini harus mengaktifkan panggilan internet publik untuk mendownload penyedia Terraform dan konfigurasi Terraform. Anda tidak dapat menggunakan kumpulan pekerja Cloud Build default.
Hal berikut harus berada di perimeter yang sama:
Akun layanan yang digunakan Pengelola Infrastruktur.
Kumpulan pekerja Cloud Build yang digunakan Pengelola Infrastruktur.
Bucket penyimpanan yang digunakan Pengelola Infrastruktur. Anda dapat menggunakan bucket penyimpanan default.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workloadmanager.googleapis.com
Detail
Untuk menggunakan Workload Manager di perimeter Kontrol Layanan VPC:
Anda harus menggunakan kumpulan pekerja pribadi Cloud Build
untuk lingkungan deployment Anda di Workload Manager.
Anda tidak dapat menggunakan kumpulan pekerja Cloud Build default.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
netapp.googleapis.com
Detail
API untuk Google Cloud NetApp Volumes dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Google Cloud NetApp Volumes, lihat
dokumentasi produk kami.
Batasan
Kontrol Layanan VPC tidak mencakup jalur dataplane seperti pembacaan dan penulisan Sistem File Jaringan (NFS) dan Server Message Block (SMB). Selain itu, jika project layanan dan host Anda dikonfigurasi pada perimeter yang berbeda, Anda dapat mengalami jeda dalam implementasi layanan Google Cloud.
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudsearch.googleapis.com
Detail
Google Cloud Search mendukung Kontrol Keamanan Virtual Private Cloud (Kontrol Layanan VPC) untuk meningkatkan
keamanan data Anda. Kontrol Layanan VPC memungkinkan Anda
menentukan perimeter keamanan di seluruh
Resource Cloud Platform untuk membatasi data dan membantu memitigasi risiko pemindahan data yang tidak sah.
Untuk informasi selengkapnya tentang Google Cloud Search, lihat
dokumentasi produk kami.
Batasan
Karena resource Cloud Search tidak disimpan di project Google Cloud, Anda harus
memperbarui setelan pelanggan Cloud Search dengan project perimeter VPC yang dilindungi. Tujuan
Project VPC berfungsi sebagai container project virtual untuk semua resource Cloud Search Anda.
Tanpa membangun pemetaan ini, Kontrol Layanan VPC tidak akan berfungsi untuk Cloud Search API.
Prediksi batch tidak
didukung saat Anda menggunakan AI Platform Prediction di dalam perimeter layanan.
AI Platform Prediction dan AI Platform Training menggunakan
AI Platform Training and Prediction API, jadi Anda harus mengonfigurasi Kontrol Layanan VPC untuk
kedua produk tersebut. Baca selengkapnya tentang menyiapkan Kontrol Layanan VPC untuk
Pelatihan AI Platform.
Pelatihan dengan TPU tidak didukung
jika Anda menggunakan AI Platform Training di dalam perimeter layanan.
AI Platform Training dan AI Platform Prediction menggunakan
AI Platform Training and Prediction API, jadi Anda harus mengonfigurasi Kontrol Layanan VPC untuk
kedua produk tersebut. Baca selengkapnya tentang menyiapkan Kontrol Layanan VPC untuk
Prediksi AI Platform.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
alloydb.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi AlloyDB API.
Untuk mengetahui informasi selengkapnya tentang AlloyDB untuk PostgreSQL, lihat
dokumentasi produk kami.
Batasan
Sebelum mengonfigurasi Kontrol Layanan VPC bagi AlloyDB untuk PostgreSQL, aktifkan Jaringan Layanan
Compute Engine API.
Saat Anda menggunakan AlloyDB untuk PostgreSQL dengan VPC Bersama dan Kontrol Layanan VPC,
project dan project layanan harus berada dalam perimeter layanan Kontrol Layanan VPC yang sama.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
visionai.googleapis.com
Detail
API untuk Vertex AI Vision dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Vertex AI Vision, lihat
dokumentasi produk kami.
Batasan
Jika constraints/visionai.disablePublicEndpoint adalah
aktif, kita akan menonaktifkan endpoint publik cluster. Pengguna harus terhubung secara manual ke target
PSC dan mengakses layanan dari jaringan pribadi. Anda bisa mendapatkan target PSC dari
tindakan
Referensi cluster.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
meshca.googleapis.com, meshconfig.googleapis.com
Detail
API untuk Anthos Service Mesh dapat dilindungi oleh Kontrol Layanan VPC, dan produk
dapat digunakan biasanya di dalam perimeter layanan.
Anda dapat menggunakan mesh.googleapis.com untuk mengaktifkan API yang diperlukan untuk Cloud Service Mesh.
Anda tidak perlu membatasi mesh.googleapis.com di perimeter karena tidak mengekspos API apa pun.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
artifactregistry.googleapis.com
Detail
Selain melindungi Artifact Registry API,
Artifact Registry dapat digunakan di dalam perimeter layanan
dengan GKE dan Compute Engine.
Untuk informasi selengkapnya tentang Artifact Registry, lihat
dokumentasi produk kami.
Batasan
Karena Artifact Registry menggunakan domain pkg.dev, Anda harus
konfigurasi DNS
agar *.pkg.dev dipetakan ke private.googleapis.com atau restricted.googleapis.com.
Untuk informasi selengkapnya, lihat Mengamankan
repositori di perimeter layanan.
Selain artefak di dalam perimeter yang tersedia untuk
Artifact Registry, repositori hanya baca berikut di Container Registry
repositori tersedia untuk semua project terlepas dari perimeter layanan:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dalam semua kasus, versi regional
dari repositori ini juga
yang tersedia.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk informasi lebih lanjut tentang AutoML Natural Language,
dokumentasi produk kami.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan layanan yang sama
nama.
Anda tidak dapat menambahkan endpoint regional yang didukung,
seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi lebih lanjut, lihat batasan untuk menggunakan produk AutoML dengan Kontrol Layanan VPC.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk informasi selengkapnya tentang AutoML Tables, lihat
dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan layanan yang sama
nama.
Anda tidak dapat menambahkan endpoint regional yang didukung,
seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam perimeter.
Jika Anda melindungi layanan automl.googleapis.com, perimeter akan melindungi layanan
endpoint regional, seperti eu-automl.googleapis.com, juga.
Untuk mengetahui informasi selengkapnya, lihat batasan penggunaan produk AutoML dengan Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk informasi selengkapnya tentang AutoML Translation, lihat
dokumentasi produk kami.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan layanan yang sama
nama.
Anda tidak dapat menambahkan endpoint regional yang didukung,
seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam perimeter.
Jika Anda melindungi layanan automl.googleapis.com, perimeter akan melindungi layanan
endpoint regional, seperti eu-automl.googleapis.com, juga.
Untuk mengetahui informasi lebih lanjut, lihat batasan untuk menggunakan produk AutoML dengan Kontrol Layanan VPC.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk mengetahui informasi selengkapnya tentang AutoML Video Intelligence, lihat
dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan layanan yang sama
nama.
Anda tidak dapat menambahkan endpoint regional yang didukung,
seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat batasan penggunaan produk AutoML dengan Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk informasi selengkapnya tentang AutoML Vision, lihat
dokumentasi produk kami.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan layanan yang sama
nama.
Anda tidak dapat menambahkan endpoint regional yang didukung,
seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam perimeter.
Jika Anda melindungi layanan automl.googleapis.com, perimeter akan melindungi layanan
endpoint regional, seperti eu-automl.googleapis.com, juga.
Untuk mengetahui informasi selengkapnya, lihat batasan penggunaan produk AutoML dengan Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Tidak. API untuk Solusi Bare Metal tidak dapat dilindungi oleh perimeter layanan.
Namun, Solusi Bare Metal dapat digunakan biasanya pada project di dalam perimeter.
Detail
Bare Metal Solution API dapat ditambahkan ke perimeter yang aman. Namun,
Perimeter Kontrol Layanan VPC tidak diperluas ke Solusi Bare Metal
di ekstensi regional.
Untuk informasi selengkapnya tentang Solusi Bare Metal, lihat
dokumentasi produk kami.
Batasan
Menghubungkan Kontrol Layanan VPC ke lingkungan Solusi Bare Metal Anda
tidak menjunjung tinggi jaminan kontrol layanan.
Untuk informasi selengkapnya tentang batasan Solusi Bare Metal terkait Kontrol Layanan VPC, lihat
Masalah dan batasan
umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
bigquery.googleapis.com
Detail
Saat Anda melindungi BigQuery API
menggunakan perimeter layanan, BigQuery Storage API, BigQuery Pemesanan API, dan
BigQuery Connection API juga terlindungi. Anda tidak perlu secara terpisah
menambahkan API ini ke daftar layanan terlindungi perimeter Anda.
Untuk informasi selengkapnya tentang BigQuery, lihat
dokumentasi produk kami.
Batasan
Data log audit BigQuery tidak selalu menyertakan semua resource yang digunakan saat permintaan dibuat, karena layanan memproses akses ke beberapa resource secara internal.
Saat mengakses instance BigQuery yang dilindungi oleh layanan
perimeter, tugas BigQuery harus dijalankan dalam sebuah project
di dalam perimeter, atau dalam project yang diizinkan oleh traffic keluar
aturan keliling. Secara default, klien BigQuery
library menjalankan tugas dalam akun layanan atau project pengguna,
yang menyebabkan kueri ditolak oleh Kontrol Layanan VPC.
BigQuery memblokir penyimpanan hasil kueri ke Google Drive dari
Perimeter yang dilindungi Kontrol Layanan VPC.
Jika Anda memberikan akses menggunakan aturan masuk dengan akun pengguna
sebagai jenis identitas, Anda tidak dapat melihat
penjelajah pemanfaatan sumber daya
atau tugas administratif di
Halaman Monitoring. Untuk menggunakan fitur ini, konfigurasikan
aturan masuk yang
menggunakan ANY_IDENTITY sebagai jenis identitas.
Kontrol Layanan VPC hanya didukung saat melakukan analisis melalui
BigQuery Enterprise, Enterprise Plus, atau
Sesuai Permintaan.
BigQuery Reservasi API didukung sebagian.
BigQuery Pemesanan API, yang membuat resource penetapan, tidak menerapkan
batasan perimeter layanan
pada penerima tugas.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
bigquerydatatransfer.googleapis.com
Detail
Perimeter layanan hanya melindungi BigQuery Data Transfer Service API. Perlindungan data yang sebenarnya diterapkan oleh BigQuery. Hal ini dirancang untuk memungkinkan impor data dari berbagai
sumber eksternal di luar Google Cloud, seperti Amazon S3, Redshift, Teradata, YouTube,
Google Play, dan Google Ads, ke set data BigQuery. Untuk informasi tentang
persyaratan Kontrol Layanan VPC untuk memigrasikan data dari Teradata, lihat persyaratan
Kontrol layanan VPC.
Untuk informasi selengkapnya tentang BigQuery Data Transfer Service, lihat
dokumentasi produk kami.
Batasan
BigQuery Data Transfer Service tidak mendukung ekspor data dari
set data BigQuery. Untuk informasi selengkapnya,
lihat Mengekspor data tabel.
Untuk mentransfer data antar-project, project tujuan harus berada di dalam
perimeter yang sama dengan project sumber, atau aturan keluar harus mengizinkan transfer
data keluar dari perimeter. Untuk mengetahui informasi tentang cara menetapkan aturan traffic keluar, lihat
Batasan di Kelola
set data BigQuery.
BigQuery Data Transfer Service tidak mendukung transfer sumber data pihak ketiga
ke dalam project yang dilindungi oleh perimeter layanan.
bigtable.googleapis.com dan bigtableadmin.googleapis.com
layanan yang dipaketkan bersama. Jika Anda membatasi bigtable.googleapis.com
di dalam perimeter, perimeter akan membatasi bigtableadmin.googleapis.com
layanan secara {i>default<i}. Anda tidak dapat menambahkan bigtableadmin.googleapis.com
ke daftar layanan yang dibatasi dalam
perimeter karena dipaketkan dengan
bigtable.googleapis.com.
Untuk informasi selengkapnya tentang Bigtable, lihat
dokumentasi produk kami.
Batasan
Integrasi Bigtable dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
binaryauthorization.googleapis.com
Detail
Saat menggunakan beberapa project dengan Otorisasi Biner, setiap project harus
yang disertakan dalam perimeter Kontrol Layanan VPC. Untuk informasi selengkapnya tentang kasus penggunaan ini, lihat
Penyiapan multi-project.
Dengan Otorisasi Biner, Anda dapat menggunakan Analisis Artefak untuk menyimpan
pengautentikasi dan pengesahan sebagai catatan dan kemunculan. Dalam hal ini, Anda harus
juga menyertakan Artifact Analysis di perimeter Kontrol Layanan VPC.
Lihat Panduan Kontrol Layanan VPC untuk Analisis Artefak
untuk mengetahui detail tambahan.
Untuk informasi selengkapnya tentang Otorisasi Biner, lihat
dokumentasi produk.
Batasan
Integrasi Otorisasi Biner dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
blockchainnodeengine.googleapis.com
Detail
API untuk Blockchain Node Engine dapat dilindungi oleh Kontrol Layanan VPC dan digunakan secara normal di dalam perimeter layanan.
Untuk informasi lebih lanjut tentang Blockchain Node Engine, lihat
dokumentasi produk kami.
Batasan
Integrasi Blockchain Node Engine dengan Kontrol Layanan VPC memiliki
batasan berikut:
Kontrol Layanan VPC hanya melindungi Blockchain Node Engine API.
Saat node dibuat, Anda tetap harus menunjukkan bahwa node tersebut dimaksudkan untuk node pribadi yang dikonfigurasi pengguna
jaringan dengan
Private Service Connect.
Traffic peer-to-peer tidak terpengaruh oleh Kontrol Layanan VPC atau
Private Service Connect dan akan terus menggunakan internet publik.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
privateca.googleapis.com
Detail
API untuk Certificate Authority Service dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Certificate Authority Service, lihat
dokumentasi produk kami.
Batasan
Untuk menggunakan Certificate Authority Service di lingkungan yang dilindungi, Anda juga harus menambahkan bagian
Cloud KMS API (cloudkms.googleapis.com) dan Cloud Storage API
(storage.googleapis.com) ke perimeter layanan Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
krmapihosting.googleapis.com
Detail
Untuk menggunakan Pengontrol Konfigurasi dengan Kontrol Layanan VPC, Anda harus mengaktifkan API berikut di dalam
perimeter Anda:
Cloud Monitoring API (monitoring.googleapis.com)
Container Registry API (containerregistry.googleapis.com)
Google Cloud Observability API (logging.googleapis.com)
API Layanan Token Keamanan (sts.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Jika Anda menyediakan resource dengan Config Controller, Anda harus mengaktifkan API untuk
resource tersebut di perimeter layanan Anda. Misalnya, jika ingin menambahkan akun layanan IAM, Anda harus menambahkan IAM API (iam.googleapis.com).
Untuk informasi selengkapnya tentang Config Controller, lihat
dokumentasi produk kami.
Batasan
Integrasi Pengontrol Konfigurasi dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
datafusion.googleapis.com
Detail
Cloud Data Fusion memerlukan beberapa
langkah khusus untuk melindungi
menggunakan Kontrol Layanan VPC.
Untuk informasi selengkapnya tentang Cloud Data Fusion, lihat
dokumentasi produk kami.
Batasan
Tetapkan perimeter keamanan Kontrol Layanan VPC sebelum membuat
Cloud Data Fusion pribadi. Perlindungan perimeter untuk
yang dibuat sebelum menyiapkan Kontrol Layanan VPC
didukung.
Saat ini, UI bidang data Cloud Data Fusion tidak mendukung
akses berbasis identitas menggunakan aturan masuk atau
akses
level.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
compute.googleapis.com
Detail
Dukungan Kontrol Layanan VPC untuk Compute Engine menawarkan keamanan berikut
manfaat:
Membatasi akses ke operasi API sensitif
Membatasi snapshot persistent disk dan image kustom ke perimeter
Membatasi akses ke metadata instance
Dukungan Kontrol Layanan VPC untuk Compute Engine juga memungkinkan Anda memanfaatkan
Jaringan Virtual Private Cloud dan cluster pribadi Google Kubernetes Engine
di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Compute Engine, lihat
dokumentasi produk kami.
Operasi Peering VPC tidak menerapkan batasan perimeter layanan VPC.
projects.ListXpnHosts
Metode API untuk VPC Bersama tidak menerapkan batasan perimeter layanan pada
project yang dikembalikan.
Untuk memungkinkan pembuatan image Compute Engine dari
Cloud Storage dalam project yang dilindungi oleh
perimeter layanan, pengguna yang membuat image harus ditambahkan
untuk sementara ke aturan masuk perimeter.
Kontrol Layanan VPC tidak mendukung penggunaan Kubernetes versi open source pada VM Compute Engine di dalam perimeter layanan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
contactcenterinsights.googleapis.com
Detail
Untuk menggunakan Contact Center AI Insights dengan Kontrol Layanan VPC, Anda harus memiliki hal berikut
API tambahan di dalam perimeter Anda, bergantung pada integrasi Anda.
Untuk memuat data ke Contact Center AI Insights, tambahkan Cloud Storage API ke perimeter layanan Anda.
Untuk menggunakan ekspor, tambahkan BigQuery API ke perimeter layanan Anda.
Untuk mengintegrasikan beberapa produk CCAI, tambahkan Vertex AI API ke perimeter layanan Anda.
Untuk informasi selengkapnya tentang Contact Center AI Insights, lihat
dokumentasi produk kami.
Batasan
Integrasi Contact Center AI Insights dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dataflow.googleapis.com
Detail
Dataflow mendukung sejumlah
konektor layanan penyimpanan. Konektor berikut telah diverifikasi untuk berfungsi dengan Dataflow di dalam perimeter layanan:
Untuk informasi lebih lanjut tentang Dataflow, lihat
dokumentasi produk kami.
Batasan
BIND kustom tidak didukung saat menggunakan Dataflow. Untuk menyesuaikan resolusi DNS saat
menggunakan Dataflow dengan Kontrol Layanan VPC, gunakan zona pribadi Cloud DNS
alih-alih menggunakan server BIND khusus. Untuk menggunakan resolusi DNS lokal Anda sendiri, pertimbangkan untuk menggunakan
Metode penerusan DNS Google Cloud.
Tidak semua konektor layanan penyimpanan telah diverifikasi berfungsi saat digunakan
dengan Dataflow di dalam perimeter layanan. Untuk daftar
konektor terverifikasi, lihat "Detail" di bagian sebelumnya.
Saat menggunakan Python 3.5 dengan Apache Beam SDK 2.20.0‑2.22.0,
tugas Dataflow akan gagal saat memulai jika pekerja hanya memiliki alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource.
Jika worker Dataflow hanya dapat memiliki alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource,
jangan gunakan Python 3.5 dengan Apache Beam SDK 2.20.0‐2.22.0. Kombinasi ini menyebabkan tugas gagal saat startup.
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dataplex.googleapis.com
Detail
API untuk Dataplex dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Dataplex, lihat
dokumentasi produk.
Batasan
Sebelum membuat resource Dataplex, siapkan Kontrol Layanan VPC
perimeter keamanan. Jika tidak, resource Anda tidak memiliki perlindungan perimeter.
Dataplex mendukung jenis resource berikut:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
datamigration.googleapis.com
Detail
API untuk Database Migration Service dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Database Migration Service, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Database Migration Service Admin API. Mereka tidak melindungi
Akses data berbasis IP ke database pokok (seperti instance Cloud SQL). Untuk membatasi akses IP publik di instance Cloud SQL, gunakan batasan kebijakan organisasi.
Saat Anda menggunakan file Cloud Storage
pada fase dump awal migrasi,
menambahkan bucket Cloud Storage ke perimeter layanan yang sama.
Saat Anda menggunakan kunci enkripsi yang dikelola pelanggan (Customer-Managed Encryption Key/CMEK) di database tujuan, pastikan CMEK berada di
perimeter layanan yang sama dengan
profil koneksi yang berisi kunci.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dlp.googleapis.com
Detail
API untuk Sensitive Data Protection dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Sensitive Data Protection, lihat
dokumentasi produk kami.
Batasan
Karena Kontrol Layanan VPC saat ini
tidak mendukung folder dan
resource organisasi, panggilan Sensitive Data Protection dapat menampilkan respons 403 saat mencoba mengakses
resource tingkat organisasi. Sebaiknya IAM digunakan untuk mengelola
Izin Sensitive Data Protection di tingkat folder dan organisasi.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dns.googleapis.com
Detail
API untuk Cloud DNS dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud DNS, lihat
dokumentasi produk kami.
Batasan
Anda dapat mengakses Cloud DNS melalui VIP yang dibatasi. Namun
Anda tidak dapat membuat atau memperbarui zona DNS publik dalam project di dalam
perimeter Kontrol Layanan VPC.
Data konfigurasi DNS
yang digunakan di
Cloud Domains—server nama
dan setelan DNSSEC—adalah
publik. Jika domain Anda didelegasikan ke zona DNS publik, yaitu
maka data konfigurasi
DNS zona itu juga bersifat publik.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
eventarc.googleapis.com
Detail
Eventarc menangani pengiriman peristiwa menggunakan Pub/Sub
topik dan langganan push. Untuk mengakses Pub/Sub API dan mengelola pemicu peristiwa, Eventarc API harus dilindungi dalam perimeter layanan Kontrol Layanan VPC yang sama dengan Pub/Sub API.
Untuk informasi selengkapnya tentang Eventarc, lihat
dokumentasi produk.
Batasan
Dalam project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:
Eventarc terikat oleh batasan yang sama seperti Pub/Sub:
Saat mengarahkan peristiwa ke target Cloud Run, Pub/Sub baru
langganan push tidak dapat dibuat kecuali endpoint push disetel ke
Layanan Cloud Run dengan URL run.app default (kustom
domain tidak berfungsi).
Saat mengarahkan peristiwa ke target Workflows yang
Endpoint push Pub/Sub disetel ke Workflows
eksekusi, Anda hanya dapat membuat langganan push Pub/Sub baru
melalui Eventarc.
Kontrol Layanan VPC memblokir pembuatan pemicu Eventarc
untuk internal
Endpoint HTTP. Perlindungan Kontrol Layanan VPC tidak berlaku saat pemilihan rute
peristiwa ke tujuan tersebut.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
edgenetwork.googleapis.com
Detail
API untuk Distributed Cloud Edge Network API dapat dilindungi oleh Kontrol Layanan VPC
dan digunakan biasanya di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Distributed Cloud Edge Network API, lihat
dokumentasi produk kami.
Batasan
Integrasi Distributed Cloud Edge Network API dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebaseappcheck.googleapis.com
Detail
Saat Anda mengonfigurasi dan menukar token Firebase App Check, Kontrol Layanan VPC
hanya melindungi layanan Firebase App Check. Untuk melindungi layanan yang mengandalkan
Firebase App Check, Anda harus menyiapkan perimeter layanan untuk layanan tersebut.
Untuk informasi selengkapnya tentang Firebase App Check, lihat
dokumentasi produk kami.
Batasan
Integrasi Firebase App Check dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebaserules.googleapis.com
Detail
Saat Anda mengelola kebijakan Aturan Keamanan Firebase, Kontrol Layanan VPC melindungi
hanya layanan Aturan Keamanan Firebase. Untuk melindungi layanan yang mengandalkan
Aturan Keamanan Firebase, Anda harus menyiapkan izin layanan untuk layanan tersebut.
Untuk mengetahui informasi selengkapnya tentang Aturan Keamanan Firebase, lihat dokumentasi produk.
Batasan
Integrasi Aturan Keamanan Firebase dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudfunctions.googleapis.com
Detail
Lihat dokumentasi fungsi Cloud Run
untuk mengetahui langkah-langkah penyiapan. Perlindungan Kontrol Layanan VPC tidak berlaku pada fase build
Fungsi Cloud Run di-build menggunakan Cloud Build. Untuk mengetahui detail selengkapnya, lihat batasan umum.
Untuk informasi selengkapnya tentang fungsi Cloud Run, lihat dokumentasi produk.
Batasan
Fungsi Cloud Run menggunakan Cloud Build, Container Registry, dan
Cloud Storage untuk membangun dan mengelola kode sumber dalam container yang dapat dijalankan. Jika
layanan ini dibatasi oleh perimeter layanan, Kontrol Layanan VPC
memblokir build fungsi Cloud Run, meskipun fungsi Cloud Run tidak ditambahkan sebagai
layanan terbatas ke perimeter. Untuk menggunakan fungsi Cloud Run di dalam layanan
perimeter, Anda harus mengonfigurasi aturan masuk untuk
akun layanan Cloud Build di perimeter layanan Anda.
Agar fungsi Anda dapat menggunakan dependensi eksternal seperti paket npm,
Cloud Build memiliki akses internet tanpa batas. Akses internet ini
dapat digunakan untuk memindahkan data yang tersedia pada waktu build, seperti
kode sumber yang Anda unggah. Jika Anda ingin mengurangi pemindahan yang tidak sah ini
sebaiknya hanya izinkan developer tepercaya untuk men-deploy
fungsi-fungsi lainnya. Jangan izinkan
Peran IAM Pemilik, Editor, atau Developer fungsi Cloud Run
kepada pengembang yang tidak tepercaya.
Saat menetapkan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk men-deploy fungsi Cloud Run dari komputer lokal.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
Saat layanan fungsi Cloud Run dipanggil oleh pemicu HTTP, Kontrol Layanan VPC
penerapan kebijakan tidak menggunakan autentikasi IAM klien
tidak akurat atau tidak sesuai. Aturan kebijakan masuknya Kontrol Layanan VPC yang menggunakan IAM
akun utama tidak didukung. Tingkat akses untuk perimeter Kontrol Layanan VPC yang menggunakan
Akun utama IAM tidak didukung.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
iam.googleapis.com
Detail
Saat Anda membatasi IAM dengan perimeter, hanya tindakan yang
IAM API dibatasi. Tindakan ini termasuk mengelola
peran IAM khusus, mengelola kumpulan workload identity, dan pengelolaan
akun layanan dan kunci. Perimeter tidak
membatasi tindakan kumpulan tenaga kerja karena kumpulan tenaga kerja adalah
resource tingkat organisasi.
Perimeter di sekeliling IAM tidak
membatasi pengelolaan akses (yaitu, mendapatkan atau
kebijakan IAM) untuk resource yang dimiliki oleh layanan lain,
seperti project, folder, dan organisasi Resource Manager
Instance virtual machine Compute Engine. Untuk membatasi pengelolaan akses
untuk resource ini, buat perimeter yang membatasi
layanan yang memiliki resource tersebut. Untuk daftar resource yang menerima
Kebijakan IAM dan layanan yang memilikinya, lihat
Jenis resource yang menerima
Kebijakan IAM.
Selain itu, perimeter di sekitar IAM tidak
membatasi tindakan yang menggunakan API lain, termasuk yang berikut:
API Policy Simulator IAM
IAM Policy Troubleshooter API
API Layanan Token Keamanan
Service Account Credentials API (termasuk signBlob dan versi lama
signJwt di IAM API)
Untuk informasi selengkapnya tentang Identity and Access Management, lihat
dokumentasi produk kami.
Batasan
Jika Anda berada di dalam perimeter, Anda tidak dapat memanggil
Metode roles.list dengan
string kosong untuk mencantumkan peran bawaan IAM. Jika Anda perlu melihat
peran bawaan, lihat
Peran IAM
dokumentasi tambahan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudkms.googleapis.com
Detail
Cloud KMS API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang digunakan di dalam perimeter layanan. Akses ke layanan Cloud HSM juga dilindungi
oleh Kontrol Layanan VPC dan
dapat digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Key Management Service, lihat
dokumentasi produk kami.
Batasan
Integrasi Cloud Key Management Service dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
iaptunnel.googleapis.com
Detail
API untuk Identity-Aware Proxy untuk TCP dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Identity-Aware Proxy untuk TCP, lihat
dokumentasi produk kami.
Batasan
Hanya API penggunaan IAP untuk TCP yang dapat dilindungi oleh perimeter.
API administratif tidak dapat dilindungi oleh perimeter.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
lifesciences.googleapis.com
Detail
API untuk Cloud Life Sciences dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Life Sciences, lihat
dokumentasi produk kami.
Batasan
Integrasi Cloud Life Sciences dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
pubsub.googleapis.com
Detail
Perlindungan Kontrol Layanan VPC berlaku untuk semua operasi administrator, operasi penayang, dan
pelanggan (kecuali untuk langganan push yang sudah ada).
Untuk informasi selengkapnya tentang Pub/Sub, lihat
dokumentasi produk kami.
Batasan
Dalam project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:
Langganan push baru tidak dapat dibuat kecuali jika endpoint push disetel ke
Layanan Cloud Run dengan URL run.app default atau
Eksekusi alur kerja
(domain kustom tidak berfungsi). Untuk selengkapnya
informasi tentang integrasi dengan Cloud Run, lihat
Menggunakan Kontrol Layanan VPC.
Untuk langganan non-push, Anda harus membuat langganan dalam perimeter yang sama dengan
topik atau mengaktifkan aturan keluar untuk mengizinkan akses dari topik ke langganan.
Saat mengarahkan peristiwa melalui Eventarc ke Workflows
dengan target akhir push yang disetel ke eksekusi Workflows, Anda
hanya dapat membuat langganan push baru melalui Eventarc.
Langganan Pub/Sub yang dibuat sebelum perimeter layanan tidak
diblokir.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
clouddeploy.googleapis.com
Detail
API untuk Cloud Deploy dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Deploy, lihat dokumentasi produk.
Batasan
Untuk menggunakan Cloud Deploy dalam perimeter, Anda harus menggunakan gabungan pribadi Cloud Build untuk lingkungan eksekusi target.
Jangan gunakan kumpulan pekerja default (Cloud Build), dan jangan gunakan kumpulan hybrid.
Untuk informasi selengkapnya tentang Cloud Composer, lihat
dokumentasi produk kami.
Batasan
Mengaktifkan serialisasi DAG mencegah Airflow menampilkan objek yang dirender
dengan fungsi di UI web.
Menyetel tanda async_dagbag_loader ke True tidak didukung saat DAG
serialisasi diaktifkan.
Mengaktifkan serialisasi DAG akan menonaktifkan semua plugin server web Airflow, karena plugin tersebut
dapat mempertaruhkan keamanan jaringan VPC tempat Cloud Composer
yang di-deploy. Hal ini tidak memengaruhi perilaku plugin penjadwal atau pekerja,
termasuk operator dan sensor Airflow.
Saat Cloud Composer berjalan di dalam perimeter, Anda dapat mengakses akses publik
Repositori PyPI dibatasi. Di Cloud Composer
dokumentasi, lihat
Menginstal dependensi Python
untuk mempelajari cara menginstal modul PyPi dalam mode IP Pribadi.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudquotas.googleapis.com
Detail
API untuk Kuota Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Kuota Cloud, lihat
dokumentasi produk kami.
Batasan
Karena Kontrol Layanan VPC menerapkan batas di level project,
Permintaan Kuota Cloud yang berasal dari klien dalam
perimeter hanya dapat mengakses sumber daya
organisasi jika organisasi itu mengatur
aturan keluar.
Saat meminta
pengurangan kuota
, Cloud Quotas mengeksekusi panggilan service to service (S2S) ke
Pemantauan.
Panggilan S2S ini tidak berasal dari dalam perimeter meskipun
jika permintaan pengurangan terjadi, maka permintaan tersebut akan diblokir oleh Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
run.googleapis.com
Detail
Penyiapan tambahan untuk Cloud Run diperlukan. Ikuti
petunjuk di halaman dokumentasi Kontrol Layanan VPC Cloud Run.
Untuk informasi selengkapnya tentang Cloud Run, lihat
dokumentasi produk kami.
Batasan
Untuk Artifact Registry dan Container Registry, registry tempat Anda menyimpan container harus berada di perimeter Kontrol Layanan VPC yang sama dengan project yang di-deploy. Tujuan
kode yang sedang dibangun harus berada dalam perimeter Kontrol Layanan VPC yang sama dengan registry yang
tujuan pengiriman container.
Cloud Run
deployment berkelanjutan
fitur tidak tersedia untuk project dalam perimeter Kontrol Layanan VPC.
Saat layanan Cloud Run dipanggil, penegakan kebijakan Kontrol Layanan VPC
tidak menggunakan informasi autentikasi IAM
klien. Permintaan tersebut memiliki batasan berikut:
Aturan kebijakan ingress Kontrol Layanan VPC yang menggunakan akun utama IAM
tidak didukung.
Tingkat akses untuk perimeter Kontrol Layanan VPC yang menggunakan IAM
akun utama tidak didukung.
Permintaan dari project yang sama untuk VIP yang tidak dibatasi diizinkan, meskipun
Cloud Run tidak dikonfigurasi sebagai
Layanan VPC yang dapat diakses.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
storage.googleapis.com
Detail
API untuk Cloud Storage dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Storage, lihat
dokumentasi produk kami.
Batasan
Saat menggunakan fitur Pemohon Membayar dengan
bucket penyimpanan di dalam perimeter layanan yang melindungi
layanan Cloud Storage, Anda tidak dapat mengidentifikasi project yang harus dibayar
di luar perimeter. Project target harus berada di perimeter yang sama
sebagai bucket penyimpanan atau di jembatan perimeter dengan project bucket.
Untuk project di perimeter layanan, halaman Cloud Storage di
Konsol Google Cloud tidak dapat diakses jika Cloud Storage API
dilindungi oleh perimeter tersebut. Jika ingin memberikan akses ke halaman, Anda harus membuat aturan masuk dan/atau tingkat akses yang menyertakan akun pengguna dan/atau rentang IP publik yang ingin Anda izinkan untuk mengakses Cloud Storage API.
Dalam data log audit, nilai untuk methodName tidak selalu benar. Rab
sebaiknya Anda tidak memfilter data log audit Cloud Storage
paling lambat methodName.
Dalam kasus tertentu, log bucket lama Cloud Storage dapat ditulis ke tujuan di luar perimeter layanan meskipun akses ditolak.
Saat mencoba menggunakan gsutil untuk pertama kalinya dalam project baru, Anda
mungkin diminta untuk mengaktifkan layanan storage-api.googleapis.com. Meskipun
Anda tidak bisa langsung melindungi storage-api.googleapis.com, jika Anda melindungi
Cloud Storage API menggunakan perimeter layanan, operasi gsutil
terlindungi juga.
Dalam kasus tertentu, objek Cloud Storage yang bersifat publik dapat diakses bahkan
setelah Anda mengaktifkan Kontrol Layanan VPC pada objek tersebut. Objek dapat diakses sampai
tidak berlaku lagi dari cache bawaan dan cache upstream lainnya di jaringan antara
pengguna akhir dan Cloud Storage. Cloud Storage menyimpan cache data yang dapat diakses publik secara default di jaringan Cloud Storage.
Untuk informasi selengkapnya tentang
bagaimana objek Cloud Storage di-cache,
lihat Cloud Storage
Untuk informasi tentang lamanya waktu objek mungkin di-cache, lihat
Metadata kontrol cache.
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat
gunakan ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT sebagai identitas
untuk semua operasi Cloud Storage yang menggunakan
URL yang ditandatangani.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
Kontrol Layanan VPC menggunakan kredensial penandatanganan pengguna atau akun layanan yang menandatangani
URL yang Ditandatangani
untuk mengevaluasi pemeriksaan Kontrol Layanan VPC, bukan kredensial pemanggil atau pengguna yang memulai koneksi.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
sqladmin.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi Cloud SQL Admin API.
Untuk informasi selengkapnya tentang Cloud SQL, lihat
dokumentasi produk kami.
Batasan
Perimeter layanan hanya melindungi Cloud SQL Admin API. Kebijakan ini tidak melindungi akses data berbasis IP ke instance Cloud SQL. Anda harus
gunakan batasan kebijakan organisasi
untuk membatasi akses IP publik pada instance Cloud SQL.
Sebelum Anda mengonfigurasi Kontrol Layanan VPC untuk Cloud SQL, aktifkan Service Networking API.
Impor dan ekspor Cloud SQL hanya dapat melakukan pembacaan dan penulisan dari
Bucket Cloud Storage dalam perimeter layanan yang sama dengan
instance replika Cloud SQL.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
vision.googleapis.com
Detail
API untuk Cloud Vision API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Vision API, lihat
dokumentasi produk kami.
Batasan
Meskipun Anda membuat aturan keluar untuk mengizinkan panggilan ke URL publik dari dalam perimeter Kontrol Layanan VPC, Cloud Vision API akan memblokir panggilan ke URL publik.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containerregistry.googleapis.com
Detail
Selain melindungi Container Registry API,
Container Registry dapat digunakan di dalam perimeter layanan dengan
GKE dan Compute Engine.
Untuk informasi selengkapnya tentang Container Registry, lihat
dokumentasi produk kami.
Batasan
Saat menetapkan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk semua operasi Container Registry.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
Selain kontainer di dalam perimeter yang tersedia untuk
Container Registry, repositori hanya baca berikut
tersedia untuk semua project terlepas dari batasan yang diterapkan oleh perimeter layanan:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dalam semua kasus, versi multi-regional dari repositori ini juga
yang tersedia.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
container.googleapis.com
Detail
API untuk Google Kubernetes Engine dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Google Kubernetes Engine, lihat
dokumentasi produk kami.
Batasan
Untuk melindungi Google Kubernetes Engine API sepenuhnya, Anda harus menyertakan Kubernetes Metadata API (kubernetesmetadata.googleapis.com) juga di perimeter Anda.
Hanya cluster pribadi yang dapat dilindungi menggunakan Kontrol Layanan VPC. {i>Cluster<i} dengan
alamat IP publik tidak didukung oleh Kontrol Layanan VPC.
Penskalaan otomatis berfungsi secara independen dari GKE. Karena Kontrol Layanan VPC
tidak mendukung autoscaling.googleapis.com, penskalaan otomatis tidak berfungsi.
Saat menggunakan GKE, Anda dapat mengabaikan SERVICE_NOT_ALLOWED_FROM_VPC
pelanggaran di log audit yang disebabkan oleh layanan autoscaling.googleapis.com.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containerfilesystem.googleapis.com
Detail
Streaming gambar adalah fitur streaming data GKE yang menyediakan
waktu pengambilan image container yang lebih singkat untuk image yang disimpan di Artifact Registry.
Jika Kontrol Layanan VPC melindungi image container dan Anda menggunakan streaming Image,
Anda juga harus menyertakan Image streaming API di perimeter layanan.
Untuk informasi selengkapnya tentang Streaming gambar, lihat
dokumentasi produk kami.
Batasan
Repositori hanya-baca berikut
tersedia untuk semua project terlepas dari batasan yang diterapkan oleh perimeter layanan:
API pengelolaan fleet, termasuk gateway Connect, dapat dilindungi dengan Kontrol Layanan VPC, dan fitur pengelolaan fleet dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya, lihat referensi berikut:
Untuk informasi selengkapnya tentang Armada, lihat
dokumentasi produk kami.
Batasan
Meskipun semua fitur pengelolaan fleet dapat digunakan secara normal, mengaktifkan layanan
perimeter di sekeliling Stackdriver API akan membatasi fleet Pengontrol Kebijakan
integrasi dengan Security Command Center.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudresourcemanager.googleapis.com
Detail
Metode Cloud Resource Manager API berikut dapat dilindungi oleh Kontrol Layanan VPC:
Untuk informasi selengkapnya tentang {i>Resource Manager<i}, lihat
dokumentasi produk kami.
Batasan
Hanya kunci tag yang induk langsung oleh resource project dan nilai tag yang sesuai
dapat dilindungi menggunakan Kontrol Layanan VPC. Saat sebuah project ditambahkan ke
Perimeter Kontrol Layanan VPC, semua kunci tag, dan nilai tag yang sesuai dalam
proyek dianggap sebagai sumber
daya di dalam perimeter.
Kunci tag yang di-parent oleh resource organisasi dan nilai tag yang sesuai
tidak dapat disertakan dalam perimeter Kontrol Layanan VPC dan tidak dapat dilindungi menggunakan
Kontrol Layanan VPC.
Klien di dalam perimeter Kontrol Layanan VPC tidak dapat mengakses kunci tag dan nilai yang sesuai yang di-parent oleh resource organisasi, kecuali jika aturan traffic keluar yang mengizinkan akses ditetapkan di perimeter. Untuk mengetahui informasi selengkapnya tentang cara menyetel traffic keluar
aturan, lihat
Aturan traffic masuk dan keluar.
Binding tag dianggap sebagai resource dalam perimeter yang sama dengan resource
tempat nilai tag terikat. Misalnya, binding tag di Compute Engine
di dalam sebuah project dianggap sebagai bagian dari project tersebut di mana pun
kunci tag ditentukan.
Beberapa layanan seperti Compute Engine memungkinkan
membuat binding tag
menggunakan API layanannya sendiri, selain API layanan Resource Manager. Sebagai
menambahkan tag ke VM Compute Engine selama pembuatan resource. Untuk melindungi
yang dibuat atau dihapus menggunakan API layanan ini, tambahkan
layanan tambahan, seperti compute.googleapis.com, ke daftar
dan layanan di dalam perimeter.
Tag mendukung batasan tingkat metode, sehingga Anda dapat menentukan cakupan
method_selectors ke metode API tertentu. Untuk daftar tindakan konversi yang dapat dibatasi,
metode, lihat
Pembatasan metode layanan yang didukung.
Pemberian peran pemilik pada project melalui Konsol Google Cloud kini didukung oleh
Kontrol Layanan VPC. Anda tidak dapat mengirim undangan pemilik atau menerima undangan
di luar perimeter layanan. Jika Anda mencoba menerima undangan dari luar perimeter
Anda tidak akan diberi peran pemilik dan tidak akan ada pesan error atau peringatan yang ditampilkan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
logging.googleapis.com
Detail
API untuk Cloud Logging dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Logging, lihat
dokumentasi produk kami.
Batasan
Sink log gabungan (sink organisasi atau folder di mana
includeChildren adalah true) dapat mengakses data dari project di dalam layanan
keliling. Untuk membatasi sink log gabungan agar tidak mengakses data di dalam perimeter, sebaiknya
menggunakan IAM untuk mengelola izin Logging di level folder
atau sink log
agregat tingkat organisasi.
Kontrol Layanan VPC tidak mendukung penambahan folder atau
resource organisasi ke perimeter layanan. Oleh karena itu, Anda tidak dapat menggunakan Kontrol Layanan VPC untuk
melindungi log tingkat folder dan tingkat organisasi, termasuk log gabungan. Untuk mengelola izin Logging di tingkat folder atau tingkat organisasi, sebaiknya gunakan IAM.
Jika Anda merutekan log, menggunakan sink log tingkat organisasi atau tingkat folder, ke
resource yang dilindungi oleh perimeter layanan, Anda harus menambahkan aturan traffic masuk
perimeter layanan. Aturan masuk harus mengizinkan akses ke resource dari akun layanan yang digunakan sink log. Langkah ini tidak diperlukan untuk sink tingkat project.
Untuk informasi lebih lanjut, lihat halaman berikut:
Saat menetapkan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk mengekspor log dari sink Cloud Logging ke resource Cloud Storage.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
monitoring.googleapis.com
Detail
API untuk Cloud Monitoring dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Monitoring, lihat
dokumentasi produk kami.
Batasan
Saluran notifikasi, kebijakan pemberitahuan, dan metrik kustom dapat digunakan
secara bersama-sama untuk memindahkan data/{i>metadata<i} Hingga hari ini, pengguna
{i>Monitoring<i} dapat mengatur saluran
notifikasi yang mengarah ke
entitas di luar organisasi, misalnya "baduser@badcompany.com". Kemudian, pengguna menyiapkan metrik kustom dan kebijakan pemberitahuan yang sesuai yang menggunakan saluran notifikasi. Akibatnya, dengan memanipulasi metrik
kustom, pengguna dapat memicu pemberitahuan dan mengirim notifikasi pemicu pemberitahuan,
mengeksfiltrasi data sensitif ke baduser@badcompany.com, di luar
perimeter Kontrol Layanan VPC.
Semua VM Compute Engine atau AWS dengan
Agen Pemantauan
diinstal harus berada di dalam perimeter atau agen Kontrol Layanan VPC
penulisan metrik akan gagal.
Setiap Pod GKE harus berada di dalam perimeter Kontrol Layanan VPC atau Pemantauan GKE tidak akan berfungsi.
Saat membuat kueri metrik untuk
cakupan metrik, hanya
Perimeter Kontrol Layanan VPC dari project pencakupan untuk cakupan metrik adalah
dipertimbangkan. Perimeter setiap project yang dipantau
dalam cakupan metrik
tidak dipertimbangkan.
Sebuah project hanya dapat ditambahkan sebagai project yang dimonitor ke
cakupan metrik jika project tersebut berada dalam
perimeter Kontrol Layanan VPC yang sama dengan project pencakupan cakupan metrik.
Untuk mengakses Monitoring di konsol Google Cloud untuk project host yang dilindungi oleh perimeter layanan, gunakan aturan masuk.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
language.googleapis.com
Detail
Untuk informasi selengkapnya tentang Natural Language API, lihat
dokumentasi produk kami.
Batasan
Karena Natural Language API adalah API stateless dan tidak berjalan pada project,
penggunaan Kontrol Layanan VPC untuk melindungi Natural Language API tidak memberikan dampak apa pun.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudasset.googleapis.com
Detail
API untuk Cloud Asset API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Asset API, lihat
dokumentasi produk kami.
Batasan
Kontrol Layanan VPC tidak mendukung akses ke tingkat folder atau tingkat organisasi
Resource Cloud Asset API dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC
melindungi resource Cloud Asset API level project. Anda dapat menentukan kebijakan
keluar untuk mencegah
akses ke resource Cloud Asset API level project dari project di dalam perimeter.
Kontrol Layanan VPC tidak mendukung penambahan tingkat folder atau tingkat organisasi
resource Cloud Asset API ke dalam perimeter layanan. Anda tidak dapat menggunakan
perimeter untuk melindungi
resource Cloud Asset API tingkat folder atau tingkat organisasi. Untuk mengelola izin Inventaris Aset Cloud
di tingkat folder atau organisasi, sebaiknya gunakan IAM.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
translate.googleapis.com
Detail
API untuk Terjemahan dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Terjemahan, lihat
dokumentasi produk.
Batasan
Cloud Translation - Advanced (v3) mendukung Kontrol Layanan VPC, tetapi tidak mendukung Cloud Translation - Basic (v2). Untuk menerapkan Kontrol Layanan VPC,
Anda harus menggunakan Cloud Translation - Advanced (v3). Untuk informasi selengkapnya
tentang berbagai edisi, lihat Membandingkan
Dasar dan Lanjutan.
Untuk informasi selengkapnya tentang Live Stream API, lihat
dokumentasi produk kami.
Batasan
Untuk melindungi endpoint input dengan perimeter layanan, Anda harus mengikuti
petunjuk untuk menyiapkan kumpulan pribadi dan mengirimkan streaming video input melalui
koneksi jarak jauh.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
storagetransfer.googleapis.com
Detail
Sebaiknya tempatkan project Storage Transfer Service Anda di dalam
perimeter layanan
seperti Cloud Storage Anda
Google Cloud Platform. Tindakan ini akan melindungi transfer
Anda dan
resource Cloud Storage. Storage Transfer Service juga
mendukung skenario saat project Storage Transfer Service
tidak berada di perimeter yang sama
dengan bucket Cloud Storage Anda,
menggunakan kebijakan traffic keluar.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
servicecontrol.googleapis.com
Detail
API untuk Kontrol Layanan dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Service Control, lihat
dokumentasi produk kami.
Batasan
Saat Anda memanggil Service Control API dari jaringan VPC dalam suatu layanan
dengan Kontrol Layanan dibatasi untuk melaporkan metrik analitik atau penagihan, Anda hanya dapat menggunakan
Laporan Kontrol Layanan
untuk melaporkan metrik layanan yang didukung Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
redis.googleapis.com
Detail
API untuk Memorystore for Redis dapat dilindungi oleh Kontrol Layanan VPC dan produknya dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Memorystore for Redis, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Memorystore for Redis API. Perimeter
tidak melindungi akses data normal pada instance Memorystore for Redis
dalam jaringan yang sama.
Jika Cloud Storage API juga dilindungi,
Operasi impor dan ekspor Memorystore for Redis hanya dapat membaca dan
menulis ke bucket Cloud Storage dalam perimeter layanan yang sama dengan
instance Memorystore for Redis.
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki host
yang menyediakan jaringan dan project layanan yang berisi Redis
instance di dalam perimeter yang sama agar permintaan Redis berhasil. Kapan saja,
memisahkan project host dan project layanan dengan perimeter dapat menyebabkan Redis
kegagalan instance, selain permintaan yang diblokir. Untuk informasi selengkapnya, lihat persyaratan konfigurasi Memorystore for Redis.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
memcache.googleapis.com
Detail
API untuk Memorystore for Memcached dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Memorystore for Memcached, lihat
dokumentasi produk kami.
Batasan
Perimeter layanan hanya melindungi Memorystore for Memcached API. Perimeter
tidak melindungi akses data normal pada instance Memorystore for Memcached
dalam jaringan yang sama.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Tidak. API untuk Transfer Appliance tidak dapat dilindungi oleh perimeter layanan.
Namun, Transfer Appliance dapat digunakan biasanya pada project di dalam perimeter.
Detail
Transfer Appliance didukung penuh untuk project yang menggunakan
Kontrol Layanan VPC.
Transfer Appliance tidak menawarkan API, sehingga
tidak mendukung fitur terkait API dalam Kontrol Layanan VPC.
Untuk informasi selengkapnya tentang Transfer Appliance, lihat
dokumentasi produk kami.
Batasan
Jika Cloud Storage dilindungi oleh Kontrol Layanan VPC,
Kunci Cloud KMS yang Anda bagikan ke Transfer Appliance
Tim harus berada dalam project yang sama dengan tujuan
bucket Cloud Storage.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
orgpolicy.googleapis.com
Detail
API untuk Layanan Kebijakan Organisasi dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Layanan Kebijakan Organisasi, lihat
dokumentasi produk kami.
Batasan
Kontrol Layanan VPC tidak mendukung pembatasan akses ke kebijakan organisasi tingkat folder atau tingkat organisasi yang diwarisi oleh project.
Kontrol Layanan VPC melindungi resource Organization Policy Service API level project.
Misalnya, jika aturan masuk membatasi pengguna agar tidak mengakses Organization Policy Service API,
pengguna mendapatkan pesan {i>error<i} 403 ketika membuat kueri untuk kebijakan organisasi yang diterapkan pada proyek. Namun,
pengguna masih dapat mengakses kebijakan organisasi folder dan organisasi
yang memuat proyek.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
oslogin.googleapis.com
Detail
Anda dapat memanggil OS Login API dari dalam perimeter Kontrol Layanan VPC. Untuk mengelola
Login OS dari dalam perimeter Kontrol Layanan VPC,
siapkan Login OS.
Koneksi SSH ke instance VM tidak dilindungi oleh Kontrol Layanan VPC.
Untuk informasi selengkapnya tentang Login OS, lihat
dokumentasi produk kami.
Batasan
Metode Login OS untuk membaca dan menulis kunci SSH tidak menerapkan perimeter Kontrol Layanan VPC. Gunakan layanan yang dapat diakses VPC untuk menonaktifkan akses ke OS Login API.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
servicehealth.googleapis.com
Detail
API untuk Personalized Service Health dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Personalized Service Health, lihat
dokumentasi produk kami.
Batasan
Kontrol Layanan VPC tidak mendukung resource OrganizationEvents dan OrganizationImpacts
Service Health API. Oleh karena itu, pemeriksaan kebijakan Kontrol Layanan VPC tidak akan terjadi saat Anda memanggil metode untuk resource ini. Namun, Anda dapat memanggil metode dari perimeter layanan menggunakan VIP yang dibatasi.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
osconfig.googleapis.com
Detail
Anda dapat memanggil OS Config API dari dalam perimeter Kontrol Layanan VPC. Untuk menggunakan VM Manager dari dalam perimeter Kontrol Layanan VPC, siapkan VM Manager.
Untuk informasi selengkapnya tentang VM Manager, lihat
dokumentasi produk kami.
Batasan
Untuk melindungi VM Manager sepenuhnya, Anda harus menyertakan semua API berikut di
perimeter Anda:
OS Config API (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
Artifact Analysis API (containeranalysis.googleapis.com)
Pengelola VM tidak menghosting konten paket dan patch. OS Patch Management menggunakan
alat pembaruan untuk sistem operasi yang
memerlukan pembaruan paket dan
patch dapat diambil di VM. Agar patching berfungsi, Anda mungkin perlu menggunakan
Cloud NAT atau hosting repositori paket Anda sendiri atau Windows Server Update Service
dalam Virtual Private Cloud Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workflows.googleapis.com
Detail
Workflows adalah platform orkestrasi yang
dapat menggabungkan layanan Google Cloud dan
API berbasis HTTP untuk menjalankan layanan sesuai urutan yang Anda tetapkan.
Saat Anda melindungi Workflows API menggunakan perimeter layanan,
Workflow Executions API juga akan dilindungi. Anda tidak perlu secara terpisah
tambahkan workflowexecutions.googleapis.com ke daftar perimeter Anda yang dilindungi
layanan IT perusahaan mereka.
Permintaan HTTP dari eksekusi Workflows didukung sebagai berikut:
Diautentikasi
permintaan ke endpoint Google Cloud yang mematuhi Kontrol Layanan VPC
diizinkan.
Permintaan ke fungsi Cloud Run dan endpoint layanan Cloud Run diizinkan.
Permintaan ke endpoint pihak ketiga diblokir.
Permintaan ke endpoint Google Cloud yang tidak mematuhi Kontrol Layanan VPC
diblokir.
Untuk informasi selengkapnya tentang Workflows, lihat
dokumentasi produk kami.
Batasan
Integrasi Workflows dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
file.googleapis.com
Detail
API untuk Filestore dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Filestore, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Filestore API. Perimeter
tidak melindungi akses data NFS normal pada instance Filestore
dalam jaringan yang sama.
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki host
yang menyediakan jaringan dan project layanan yang berisi
Instance Filestore dalam perimeter yang sama untuk Filestore
agar instance Anda berfungsi dengan benar. Memisahkan project host dan project layanan dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan mungkin tidak membuat instance baru.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
parallelstore.googleapis.com
Detail
Untuk mengetahui informasi selengkapnya tentang Parallelstore, lihat
dokumentasi produk kami.
Batasan
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki host
yang menyediakan jaringan dan project layanan yang berisi
Instance Parallelstore di dalam perimeter yang sama untuk Parallelstore
agar instance Anda berfungsi dengan benar. Memisahkan project host dan project layanan
dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan
mungkin tidak membuat instance baru.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
adsdatahub.googleapis.com
Detail
Untuk informasi selengkapnya tentang Ads Data Hub, lihat
dokumentasi produk kami.
Batasan
Ads Data Hub dan Kontrol Layanan VPC tunduk pada persyaratan layanan yang berbeda. Tinjau persyaratan setiap
produk untuk mengetahui detailnya.
Fitur Ads Data Hub tertentu (seperti aktivasi audiens kustom, bidding kustom, dan
tabel pencocokan LiveRamp) memerlukan data pengguna tertentu untuk diekspor di luar Kontrol Layanan VPC
keliling. Jika Ads Data Hub ditambahkan sebagai layanan yang dibatasi, Ads Data Hub akan mengabaikan Kontrol Layanan VPC
kebijakan untuk fitur ini demi mempertahankan fungsinya.
Semua layanan dependen harus disertakan sebagai layanan yang diizinkan dalam perimeter Kontrol Layanan VPC yang sama. Misalnya, karena Ads Data Hub mengandalkan BigQuery, BigQuery juga harus ditambahkan. Secara umum, praktik terbaik Kontrol Layanan VPC merekomendasikan untuk menyertakan semua layanan di perimeter,
yaitu “membatasi semua layanan”.
Pelanggan dengan struktur akun Ads Data Hub multi-tingkat (seperti agensi dengan
anak perusahaan) harus menempatkan semua proyek
admin mereka di perimeter yang sama. Untuk mempermudah,
Ads Data Hub merekomendasikan agar pelanggan dengan struktur akun multi-tingkat membatasi
project admin mereka ke organisasi Google Cloud yang sama.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
sts.googleapis.com
Detail
Kontrol Layanan VPC hanya membatasi pertukaran token jika
audiens
yang diminta adalah resource level project. Misalnya, perintah ini tidak membatasi permintaan
token yang tercakup,
karena permintaan tersebut tidak memiliki audiens. Perimeter ini juga tidak membatasi permintaan untuk workforce identity federation karena audiensnya adalah resource tingkat organisasi.
Untuk informasi selengkapnya tentang Layanan Token Keamanan, lihat
dokumentasi produk kami.
Batasan
Integrasi Layanan Token Keamanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.
firestore.googleapis.com, datastore.googleapis.com,
dan firestorekeyvisualizer.googleapis.com layanan dipaketkan menjadi satu.
Saat Anda membatasi layanan firestore.googleapis.com dalam perimeter,
perimeter juga membatasi datastore.googleapis.com dan
firestorekeyvisualizer.googleapis.com.
Untuk mendapatkan perlindungan traffic keluar penuh pada operasi impor dan ekspor,
Anda harus menggunakan agen layanan Firestore. Lihat informasi selengkapnya di sini:
Layanan paket lama App Engine untuk Datastore
tidak mendukung perimeter layanan. Melindungi Datastore
dengan perimeter layanan,
memblokir traffic dari
Layanan paket lama App Engine. Paket layanan lama meliputi:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
vmmigration.googleapis.com
Detail
API untuk Migrasi ke Virtual Machine dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Migrate to Virtual Machines, lihat
dokumentasi produk kami.
Batasan
Untuk sepenuhnya melindungi Migrate to Virtual Machines, tambahkan semua API berikut ke perimeter layanan:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
backupdr.googleapis.com
Detail
API untuk Layanan Pencadangan dan DR dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Layanan Pencadangan dan DR, lihat
dokumentasi produk kami.
Batasan
Jika Anda menghapus rute default internet dari project produsen layanan menggunakan perintah gcloud services vpc-peerings enable-vpc-service-controls,
Anda mungkin tidak dapat mengakses atau men-deploy konsol pengelolaan. Jika Anda mengalami masalah ini, hubungi Google Cloud Customer Care.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
gkebackup.googleapis.com
Detail
Anda dapat menggunakan Kontrol Layanan VPC guna melindungi pencadangan untuk GKE dan menggunakan pencadangan untuk fitur GKE biasanya di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Pencadangan untuk GKE, lihat
dokumentasi produk.
Batasan
Integrasi Pencadangan untuk GKE dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
integrations.googleapis.com
Detail
Application Integration adalah sistem manajemen alur kerja kolaboratif yang memungkinkan Anda
untuk membuat, menambah, men-debug, dan memahami alur kerja sistem bisnis inti.
Alur kerja pada Application Integration terdiri dari pemicu dan tugas.
Ada beberapa jenis pemicu seperti pemicu api/Pub/Sub pemicu/cron
pemicu/sfdc.
Untuk informasi selengkapnya tentang Application Integration, lihat
dokumentasi produk kami.
Batasan
Kontrol Layanan VPC melindungi Application Integration
log. Jika Anda menggunakan Application Integration, verifikasi dukungan untuk vpcsc
integrasi dengan tim Application Integration.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
connectors.googleapis.com
Detail
API untuk Konektor Integrasi dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Integration Connectors, lihat
dokumentasi produk kami.
Batasan
Saat menggunakan Kontrol Layanan VPC, jika koneksi Anda terhubung ke resource non-Google Cloud CLI, tujuan koneksi harus berupa lampiran Private Service Connect. Koneksi
dibuat tanpa lampiran Private Service Connect gagal.
Jika Anda menyiapkan perimeter layanan Kontrol Layanan VPC untuk project Google Cloud CLI, Anda tidak dapat menggunakan
langganan peristiwa untuk project.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
clouderrorreporting.googleapis.com
Detail
API untuk Error Reporting dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Error Reporting, lihat
dokumentasi produk kami.
Batasan
Notifikasi yang dikirim saat grup error baru atau berulang ditemukan berisi informasi tentang grup error. Untuk mencegah pemindahan data yang tidak sah di luar
perimeter Kontrol Layanan VPC, pastikan bahwa
saluran notifikasi yang ada
di dalam organisasi Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workstations.googleapis.com
Detail
API untuk Cloud Workstations dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Workstations, lihat dokumentasi produk.
Batasan
Untuk melindungi Cloud Workstation sepenuhnya, Anda harus membatasi
Compute Engine API di perimeter layanan Anda setiap kali Anda membatasi
dengan Cloud Workstations API.
Pastikan bahwa Google Cloud Storage API, Google Container Registry API,
dan Artifact Registry API
VPC dapat diakses di layanan Anda
keliling. Diperlukan untuk menarik image ke workstation Anda. Kita juga
sebaiknya Anda mengizinkan Cloud Logging API dan Cloud
Error Reporting API menjadi VPC yang dapat diakses di
perimeter layanan, meskipun hal ini
tidak diperlukan untuk menggunakan
Workstation di Google Cloud.
Pastikan bahwa cluster workstation Anda
pribadi.
Mengonfigurasi cluster pribadi dapat mencegah koneksi ke workstation Anda
di luar perimeter layanan VPC Anda.
Pastikan Anda menonaktifkan alamat IP publik di workstation
konfigurasi Anda. Kegagalan untuk melakukannya akan menghasilkan VM dengan IP publik
dalam proyek Anda. Sebaiknya gunakan batasan kebijakan organisasi constraints/compute.vmExternalIpAccess untuk menonaktifkan alamat IP publik bagi semua VM di perimeter layanan VPC Anda. Untuk mengetahui detailnya, lihat
Membatasi alamat IP eksternal ke VM tertentu.
Saat terhubung ke workstation, kontrol akses hanya didasarkan pada apakah
jaringan asal yang Anda sambungkan
masuk ke dalam perimeter keamanan. Kontrol akses berdasarkan
perangkat, alamat IP publik, atau lokasi tidak didukung.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ids.googleapis.com
Detail
API untuk Cloud IDS dapat dilindungi oleh Kontrol Layanan VPC, dan produk
dapat digunakan biasanya di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud IDS, lihat
dokumentasi produk kami.
Batasan
Cloud IDS menggunakan Cloud Logging untuk membuat log ancaman di project Anda. Jika
Cloud Logging dibatasi oleh perimeter layanan, Kontrol Layanan VPC
memblokir log ancaman {i>Cloud IDS<i},
meskipun {i>Cloud IDS<i} tidak ditambahkan sebagai
layanan terbatas ke perimeter. Untuk menggunakan Cloud IDS di dalam layanan
perimeter, Anda harus mengonfigurasi aturan masuk untuk
Akun layanan Cloud Logging di perimeter layanan Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
policytroubleshooter.googleapis.com
Detail
Saat Anda membatasi Policy Pemecah Masalah API dengan perimeter,
akun utama dapat memecahkan masalah kebijakan yang mengizinkan IAM hanya jika semua resource
yang terlibat dalam permintaan berada
di perimeter yang sama. Biasanya ada dua
resource yang terlibat dalam permintaan pemecahan masalah:
Referensi akses yang Anda cari. Referensi ini dapat berupa
. Anda secara eksplisit menentukan resource ini saat memecahkan masalah
izinkan kebijakan.
Resource yang Anda gunakan untuk memecahkan masalah akses. Resource ini adalah project, folder, atau organisasi. Di Konsol Google Cloud dan
gcloud CLI, resource ini disimpulkan berdasarkan project, folder,
atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource
menggunakan header x-goog-user-project.
Sumber daya ini bisa sama dengan sumber daya yang
Anda sedang pecahkan masalahnya aksesnya, tetapi
tidak perlu seperti itu.
Jika resource ini tidak berada di perimeter yang sama, permintaan akan gagal.
Untuk informasi selengkapnya tentang Pemecah Masalah Kebijakan, lihat
dokumentasi produk.
Batasan
Integrasi Pemecah Masalah Kebijakan dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
policysimulator.googleapis.com
Detail
Jika Anda membatasi Policy Simulator API dengan perimeter, akun utama
dapat menyimulasikan kebijakan izin hanya jika resource tertentu yang terlibat dalam
simulasi berada di perimeter yang sama. Ada beberapa sumber daya
dalam simulasi:
Resource yang kebijakan izinnya Anda
simulasikan. Resource ini juga disebut resource
target. Di konsol Google Cloud, ini adalah resource yang kebijakan izinnya Anda edit. Di gcloud CLI dan
REST API, Anda secara eksplisit menentukan resource ini saat menyimulasikan
izinkan kebijakan.
Project, folder, atau organisasi yang membuat dan menjalankan
simulasi. Resource ini juga disebut resource
host. Di konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.
Resource ini bisa sama dengan resource yang Anda simulasikan
diakses, tetapi sebenarnya tidak demikian.
Resource yang menyediakan log akses untuk
simulasi. Dalam simulasi, selalu ada satu resource
yang menyediakan log
akses untuk simulasi. Referensi ini bervariasi
bergantung pada jenis resource target:
Jika Anda menyimulasikan kebijakan izin untuk project atau organisasi, Policy
Simulator mengambil log akses untuk project atau organisasi tersebut.
Jika Anda menyimulasikan kebijakan yang diizinkan
untuk berbagai jenis resource,
Policy Simulator mengambil log akses untuk induk resource tersebut
proyek atau organisasi.
Jika Anda menyimulasikan beberapa resource izinkan kebijakan sekaligus, Kebijakan
Simulator mengambil log akses untuk resource umum terdekat
proyek atau organisasi.
Semua referensi yang didukung dengan kebijakan izin yang relevan.
Saat menjalankan simulasi, Policy Simulator mempertimbangkan semua kebijakan izin yang dapat memengaruhi akses pengguna, termasuk kebijakan izin pada resource ancestor dan turunan resource target. Sebagai seorang
menghasilkan sumber daya ancestor dan turunan ini juga terlibat dalam
simulasi.
Jika resource target dan resource host tidak sama,
perimeter, permintaan akan gagal.
Jika sumber daya target dan sumber daya
yang menyediakan log akses untuk
simulasi tidak berada di perimeter yang sama, permintaan akan gagal.
Jika resource target dan beberapa resource yang didukung dengan izin yang relevan
kebijakan tidak berada di perimeter yang sama, permintaan berhasil, tetapi
hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan,
untuk project dalam perimeter, hasilnya tidak akan mencakup kebijakan "izinkan"
organisasi induk proyek, karena organisasi selalu
di luar perimeter Kontrol Layanan VPC. Untuk menyelesaikan
Anda dapat mengonfigurasi traffic masuk dan
aturan traffic keluar untuk perimeter.
Untuk informasi selengkapnya tentang Policy Simulator, lihat
dokumentasi produk kami.
Batasan
Integrasi Policy Simulator dengan Kontrol Layanan VPC tidak memiliki batasan umum.
API untuk Identity Platform dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Identity Platform, lihat
dokumentasi produk kami.
Batasan
Untuk melindungi Identity Platform sepenuhnya, tambahkan Secure Token API (securetoken.googleapis.com) ke
perimeter layanan agar token dapat di-refresh. securetoken.googleapis.com tidak
yang tercantum di halaman Kontrol Layanan VPC
pada Konsol Google Cloud.
Anda hanya bisa menambahkan layanan ini dengan
gcloud access-context-manager
perimeters update.
Jika aplikasi Anda juga terintegrasi dengan fitur fungsi pemblokiran, tambahkan fungsi Cloud Run (cloudfunctions.googleapis.com) ke bagian
perimeter layanan.
Penggunaan autentikasi multi-faktor (MFA) berbasis SMS, autentikasi email, atau penyedia identitas pihak ketiga menyebabkan data dikirim keluar dari perimeter. Jika Anda tidak menggunakan MFA dengan SMS, autentikasi email, atau penyedia identitas pihak ketiga, nonaktifkan fitur ini.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
gkemulticloud.googleapis.com
Detail
API untuk GKE Multi-Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang GKE Multi-Cloud, lihat
dokumentasi produk.
Batasan
Untuk melindungi GKE Multi-Cloud API sepenuhnya, Anda harus menyertakan Kubernetes Metadata API (kubernetesmetadata.googleapis.com) juga di perimeter Anda.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Tidak. API untuk Google Distributed Cloud tidak dapat dilindungi oleh perimeter layanan.
Namun, Google Distributed Cloud dapat digunakan biasanya dalam project di dalam perimeter.
Detail
Anda dapat membuat cluster di lingkungan Anda, yang terhubung ke VPC menggunakan Cloud Interconnect atau Cloud VPN.
Untuk informasi selengkapnya tentang Google Distributed Cloud, lihat
dokumentasi produk kami.
Batasan
Saat membuat atau mengupgrade cluster menggunakan Distributed Cloud, gunakan
tandai --skip-api-check di bmctl untuk mengabaikan pemanggilan Penggunaan Layanan
API (serviceusage.googleapis.com), karena Service Usage API
(serviceusage.googleapis.com) tidak didukung oleh Kontrol Layanan VPC.
Distributed Cloud memanggil Service Usage API untuk memvalidasi bahwa persyaratan
API diaktifkan di dalam project; data tidak digunakan untuk memvalidasi keterjangkauan endpoint API.
Untuk melindungi Distributed Cloud, gunakan VIP Terbatas di
Distributed Cloud, dan tambahkan semua API berikut ke layanan
keliling:
Artifact Registry API (artifactregistry.googleapis.com)
Google Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
Hubungkan Gateway API (connectgateway.googleapis.com)
Google Container Registry API (containerregistry.googleapis.com)
GKE Connect API (gkeconnect.googleapis.com)
GKE Hub API (gkehub.googleapis.com)
GKE On-Prem API (gkeonprem.googleapis.com)
Cloud IAM API (iam.googleapis.com)
Cloud Logging API (logging.googleapis.com)
Cloud Monitoring API (monitoring.googleapis.com)
Config Monitoring untuk Ops API (opsconfigmonitoring.googleapis.com)
API Kontrol Layanan (servicecontrol.googleapis.com)
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
looker.googleapis.com
Detail
API untuk Looker (Google Cloud core) dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Looker (inti Google Cloud), lihat
dokumentasi produk.
Batasan
Hanya instance Looker (Google Cloud core) edisi Enterprise atau Embed yang menggunakan koneksi IP pribadi yang mendukung kepatuhan terhadap Kontrol Layanan VPC. Instance Looker (Google Cloud core) dengan koneksi IP publik atau koneksi IP publik dan pribadi tidak mendukung kepatuhan Kontrol Layanan VPC. Untuk membuat instance yang menggunakan koneksi IP pribadi, pilih Private IP di bagian Networking pada halaman Create instance di Konsol Google Cloud.
Saat menempatkan atau membuat instance Looker (Google Cloud core) di dalam perimeter layanan Kontrol Layanan VPC, Anda harus menghapus rute default ke internet dengan memanggil metode services.enableVpcServiceControls atau dengan menjalankan perintah gcloud berikut:
API untuk Security Command Center dapat dilindungi oleh Kontrol Layanan VPC, dan Security Command Center dapat digunakan
biasanya di dalam perimeter layanan.
securitycenter.googleapis.com dan securitycentermanagement.googleapis.com
layanan yang dipaketkan bersama. Saat Anda membatasi layanan securitycenter.googleapis.com di perimeter, perimeter akan membatasi layanan securitycentermanagement.googleapis.com secara default. Anda tidak dapat menambahkan securitycentermanagement.googleapis.com
ke daftar layanan yang dibatasi dalam
perimeter karena dipaketkan dengan
securitycenter.googleapis.com.
Untuk informasi selengkapnya tentang Security Command Center, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung akses ke tingkat folder atau tingkat organisasi
Resource API Security Command Center dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC melindungi resource Security Command Center API level project. Anda dapat menentukan kebijakan
keluar untuk mencegah
akses ke resource Security Command Center API level project dari project di dalam perimeter.
Kontrol Layanan VPC tidak mendukung penambahan resource Security Command Center API tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan
perimeter untuk melindungi
resource Security Command Center API tingkat folder atau organisasi. Untuk mengelola izin Security Command Center
di tingkat folder atau organisasi, sebaiknya gunakan IAM.
Kontrol Layanan VPC tidak mendukung layanan postur keamanan karena resource postur keamanan (seperti postur, deployment postur, dan template postur standar) merupakan resource tingkat organisasi.
Anda tidak dapat mengekspor temuan di tingkat folder atau organisasi ke tujuan
di dalam perimeter layanan.
Anda harus mengaktifkan akses perimeter dalam skenario berikut:
Jika Anda mengaktifkan notifikasi temuan
di tingkat folder atau organisasi dan topik Pub/Sub berada di dalam perimeter layanan.
Saat Anda mengekspor data ke
BigQuery dari tingkat folder atau organisasi dan BigQuery ada di dalamnya
perimeter layanan.
Saat Anda mengintegrasikan Security Command Center dengan produk SIEM atau SOAR dan produk di-deploy di dalam layanan
perimeter di dalam lingkungan
Google Cloud tertentu. SIEM dan SOAR yang didukung meliputi Splunk dan
IBM QRadar.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudsupport.googleapis.com
Detail
API untuk Cloud Customer Care dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Customer Care, lihat
dokumentasi produk kami.
Batasan
Kontrol Layanan VPC melindungi data yang diakses melalui Cloud Support API, tetapi tidak melindungi data
jika diakses melalui konsol Google Cloud.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
discoveryengine.googleapis.com
Detail
API untuk Vertex AI Agent Builder - Vertex AI Search dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Vertex AI Agent Builder - Vertex AI Search, lihat
dokumentasi produk.
Batasan
Integrasi Vertex AI Agent Builder - Vertex AI Search dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
confidentialcomputing.googleapis.com
Detail
API untuk Ruang Rahasia dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Ruang Rahasia, lihat
dokumentasi produk kami.
Batasan
Confidential Space memerlukan akses baca ke bucket Cloud Storage untuk mendownload sertifikat yang digunakan untuk memvalidasi token pengesahannya. Jika bucket Cloud Storage ini berada di luar perimeter, Anda harus membuat aturan keluar berikut:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ssh-serialport.googleapis.com
Detail
Untuk menggunakan perlindungan Kontrol Layanan VPC saat terhubung ke konsol serial
untuk instance virtual machine (VM), Anda harus menentukan aturan masuk
untuk perimeter layanan. Saat menyiapkan aturan masuk, tingkat akses untuk sumber harus
menjadi nilai berbasis IP dan nama layanan ditetapkan ke ssh-serialport.googleapis.com.
Aturan ingress diperlukan untuk mengakses konsol serial meskipun permintaan sumber dan resource target berada dalam perimeter yang sama.
Untuk informasi selengkapnya tentang konsol Serial, lihat
dokumentasi produk kami.
Batasan
Anda tidak dapat mengakses konsol serial dengan menggunakan Akses Google Pribadi. Anda dapat mengakses konsol serial
hanya dari internet publik.
Saat menggunakan konsol serial, aturan traffic masuk atau keluar berbasis identitas tidak dapat digunakan untuk mengizinkan akses ke konsol serial.
Untuk informasi selengkapnya tentang Google Cloud VMware Engine, lihat
dokumentasi produk kami.
Batasan
Saat menambahkan jaringan VMware Engine, Private Cloud, Kebijakan Jaringan, dan Peering VPC yang ada ke Perimeter Layanan VPC, resource yang dibuat sebelumnya tidak akan diperiksa lagi untuk melihat apakah resource tersebut masih mematuhi kebijakan perimeter.
Untuk informasi selengkapnya tentang Dataform, lihat
dokumentasi produk.
Batasan
Agar dapat menggunakan perlindungan Kontrol Layanan VPC untuk Dataform, Anda harus
menetapkan kebijakan organisasi `dataform.restrictGitRemotes`
dan membatasi BigQuery dengan perimeter layanan yang sama dengan Dataform.
Anda harus memastikan bahwa izin Identity and Access Management diberikan ke akun layanan Anda
yang digunakan dalam Dataform mencerminkan arsitektur keamanan Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
websecurityscanner.googleapis.com
Detail
Web Security Scanner dan Kontrol Layanan VPC tunduk pada persyaratan layanan yang berbeda.
Tinjau persyaratan setiap produk untuk mengetahui detailnya.
Web Security Scanner mengirimkan temuan tersebut ke Security Command Center sesuai permintaan. Anda dapat melihat atau mendownload
data dari dasbor Security Command Center.
Untuk informasi selengkapnya tentang Web Security Scanner, lihat
dokumentasi produk kami.
Batasan
Integrasi Web Security Scanner dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
securesourcemanager.googleapis.com
Detail
Anda perlu mengonfigurasi Certificate Authority Service dengan certificate authority yang berfungsi sebelum membuat instance Kontrol Layanan VPC Pengelola Sumber Aman.
Anda perlu mengonfigurasi Private Service Connect sebelum mengakses instance Kontrol Layanan VPC Pengelola Sumber Aman.
Untuk informasi selengkapnya tentang Secure Source Manager, lihat
dokumentasi produk kami.
Batasan
Pelanggaran log audit SERVICE_NOT_ALLOWED_FROM_VPC yang disebabkan oleh batasan GKE dapat diabaikan.
Untuk membuka antarmuka web Kontrol Layanan VPC dengan browser, browser memerlukan akses ke URL berikut:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudcontrolspartner.googleapis.com
Detail
Cloud Controls Partner API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang konsol Partner di Kontrol Kedaulatan oleh Partner, lihat
dokumentasi produk kami.
Batasan
Layanan ini harus dibatasi untuk semua non-partner. Jika Anda adalah partner yang mendukung Sovereign Controls by Partners, Anda dapat melindungi layanan ini menggunakan perimeter layanan.
earthengine.googleapis.com dan earthengine-highvolume.googleapis.com
layanan yang dipaketkan bersama. Jika Anda membatasi earthengine.googleapis.com
di dalam perimeter, perimeter akan membatasi earthengine-highvolume.googleapis.com
layanan secara {i>default<i}. Anda tidak dapat menambahkan layanan earthengine-highvolume.googleapis.com
ke daftar layanan yang dibatasi dalam perimeter karena dipaketkan dengan
earthengine.googleapis.com.
Untuk informasi selengkapnya tentang Earth Engine, lihat
dokumentasi produk kami.
Batasan
Editor Kode Earth Engine,
IDE berbasis web untuk Earth Engine JavaScript API, tidak didukung dan
Kontrol Layanan VPC tidak mengizinkan penggunaan Editor Kode Earth Engine dengan resource dan
klien di dalam perimeter layanan.
Lama
aset tidak dilindungi oleh Kontrol Layanan VPC.
Aplikasi Earth Engine
tidak didukung untuk resource dan klien di dalam perimeter layanan.
Kontrol Layanan VPC hanya tersedia untuk Premium dan Professional
Paket harga Earth Engine. Untuk informasi selengkapnya tentang paket harga, lihat
paket Earth Engine.
Untuk informasi selengkapnya tentang batasan dan contoh solusi, lihat dokumentasi kontrol akses Earth Engine.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
apphub.googleapis.com
Detail
Pusat Aplikasi memungkinkan Anda menemukan dan mengatur resource infrastruktur ke dalam
menggunakan berbagai aplikasi obrolan. Anda dapat menggunakan perimeter Kontrol Layanan VPC untuk melindungi App Hub
Google Cloud Platform.
Untuk informasi selengkapnya tentang Pusat Aplikasi, lihat
dokumentasi produk kami.
Batasan
Anda harus menyiapkan Kontrol Layanan VPC di project layanan dan host App Hub
sebelum membuat aplikasi dan mendaftarkan layanan serta beban kerja ke aplikasi.
Pusat Aplikasi mendukung jenis resource berikut:
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudcode.googleapis.com
Detail
Cloud Code API dapat dilindungi oleh Kontrol Layanan VPC. Untuk menggunakan fitur yang didukung teknologi Gemini
di Cloud Code, kebijakan traffic masuk harus dikonfigurasi untuk mengizinkan traffic dari
klien IDE. Lihat panduan Gemini
dokumentasi untuk mengetahui detailnya.
Untuk informasi selengkapnya tentang Cloud Code, lihat
dokumentasi produk kami.
Batasan
Integrasi Cloud Code dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
commerceorggovernance.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi Commerce Org Governance API untuk Google Private Marketplace.
Untuk informasi selengkapnya tentang Commerce Org Governance API, lihat
dokumentasi produk kami.
Batasan
Resource seperti permintaan pengadaan dan permintaan akses, yang dibuat oleh Commerce Org Governance API pada level project, muncul hingga tingkat organisasi dan ditinjau oleh Administrator Organisasi tanpa menerapkan kebijakan Kontrol Layanan VPC.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
contactcenteraiplatform.googleapis.com
Detail
Untuk membatasi traffic internet, gunakan kebijakan organisasi.
Panggil metode CREATE atau UPDATE Contact Center AI Platform API untuk menerapkan batasan kebijakan organisasi secara manual.
Untuk informasi selengkapnya tentang Contact Center AI Platform, lihat
dokumentasi produk kami.
Batasan
Integrasi Contact Center AI Platform dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Lihat pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam Pratinjau dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Melindungi dengan perimeter?
Bagus. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
privilegedaccessmanager.googleapis.com
Detail
API untuk Pengelola Akses Hak Istimewa dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
yang biasanya digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Pengelola Akses Hak Istimewa, lihat
dokumentasi produk kami.
Batasan
Kontrol Layanan VPC tidak mendukung penambahan resource tingkat folder atau organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Pengelola Akses Hak istimewa tingkat folder atau tingkat organisasi. Kontrol Layanan VPC melindungi resource Pengelola Akses Hak Istimewa level project.
Untuk melindungi Pengelola Akses Hak Istimewa, Anda harus menyertakan API berikut di perimeter Anda:
API Pengelola Akses Hak Istimewa (privilegedaccessmanager.googleapis.com)
Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
IP virtual terbatas (VIP) menyediakan cara untuk VM yang ada di dalam layanan
perimeter untuk melakukan panggilan ke
layanan Google Cloud tanpa mengekspos
permintaan ke internet. Untuk daftar lengkap layanan yang tersedia di VIP yang dibatasi, lihat Layanan yang didukung oleh VIP yang dibatasi.
Layanan yang tidak didukung
Mencoba membatasi layanan yang tidak didukung menggunakan alat command line gcloud atau
Access Context Manager API akan menghasilkan error.
Akses lintas project ke data layanan yang didukung akan diblokir oleh Kontrol Layanan VPC.
Selain itu, VIP terbatas dapat digunakan untuk memblokir kemampuan workload
untuk memanggil layanan yang tidak didukung.
Batasan umum lainnya
Bagian ini menjelaskan batasan umum dengan
Layanan, produk, dan antarmuka Google Cloud yang dapat
yang terjadi saat menggunakan Kontrol Layanan VPC.
Untuk informasi selengkapnya tentang menyelesaikan masalah dengan Kontrol Layanan VPC,
lihat halaman Pemecahan masalah.
API AutoML
Saat Anda menggunakan AutoML API dengan Kontrol Layanan VPC, batasan berikut
terapkan:
Anda tidak dapat menambahkan endpoint regional yang didukung,
seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam
keliling. Jika Anda melindungi layanan automl.googleapis.com, perimeter
melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com, juga.
AutoML Vision, AutoML Natural Language, AutoML Translation,
Tabel AutoML
dan AutoML Video Intelligence
semuanya menggunakan AutoML API.
Saat Anda menggunakan perimeter layanan untuk melindungi automl.googleapis.com, akses ke semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC dan digunakan di dalam perimeter akan terpengaruh. Anda harus mengonfigurasi Kontrol Layanan VPC
untuk semua produk AutoML terintegrasi yang digunakan
keliling itu.
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
App Engine
App Engine (baik lingkungan standar maupun lingkungan fleksibel)
tidak didukung oleh Kontrol Layanan VPC. Jangan sertakan project App Engine dalam perimeter layanan.
Namun, Anda dapat mengizinkan aplikasi App Engine yang dibuat dalam project
di luar perimeter layanan untuk membaca dan menulis data ke layanan yang dilindungi
di dalam perimeter. Agar aplikasi Anda dapat mengakses data layanan yang dilindungi, buat tingkat akses yang menyertakan akun layanan App Engine project. Hal ini dapat
tidak mengaktifkan App Engine untuk digunakan di dalam perimeter layanan.
Solusi Bare Metal
Menghubungkan Kontrol Layanan VPC ke Solusi Bare Metal Anda
tidak menjunjung tinggi jaminan kontrol layanan.
Bare Metal Solution API dapat ditambahkan ke perimeter yang aman. Namun,
Perimeter Kontrol Layanan VPC tidak diperluas ke Solusi Bare Metal
di ekstensi regional.
Blockchain Node Engine
Kontrol Layanan VPC hanya melindungi Blockchain Node Engine API.
Saat node dibuat, Anda tetap harus menunjukkan bahwa node tersebut ditujukan untuk jaringan pribadi yang dikonfigurasi pengguna dengan Private Service Connect.
Traffic peer-to-peer tidak terpengaruh oleh Kontrol Layanan VPC atau
Private Service Connect dan akan terus menggunakan publik
di Internet.
Library klien
Library klien Java dan Python untuk semua layanan yang didukung sepenuhnya
didukung untuk akses menggunakan VIP terbatas. Dukungan untuk
bahasa lain berada pada tahap Alfa
dan sebaiknya hanya digunakan untuk tujuan pengujian.
Klien harus menggunakan library klien yang telah diperbarui per 1 November,
2018 atau yang lebih baru.
Kunci akun layanan atau metadata klien OAuth2 yang digunakan oleh klien harus
diperbarui per 1 November 2018 atau setelahnya. Klien lama yang menggunakan endpoint token
harus berubah ke endpoint yang ditentukan dalam metadata kunci/klien
yang lebih baru.
Penagihan Cloud
Anda dapat mengekspor data Penagihan Cloud ke Cloud Storage
bucket atau instance BigQuery dalam project yang dilindungi oleh
perimeter layanan tanpa mengonfigurasi
tingkat akses atau aturan traffic masuk.
Cloud Deployment Manager
Deployment Manager tidak didukung oleh Kontrol Layanan VPC.
Pengguna mungkin dapat memanggil layanan yang sesuai dengan
Kontrol Layanan VPC, tetapi sebaiknya jangan mengandalkannya karena
masa depan.
Sebagai solusinya, Anda dapat menambahkan layanan Deployment Manager
akun Anda (PROJECT_NUMBER@cloudservices.)
ke tingkat akses untuk mengizinkan panggilan ke API yang dilindungi oleh Kontrol Layanan VPC.
Cloud Shell
Kontrol Layanan VPC tidak mendukung Cloud Shell. Kontrol Layanan VPC
memperlakukan Cloud Shell sebagai berada di luar perimeter layanan dan menolak akses
terhadap data yang dilindungi oleh Kontrol Layanan VPC. Namun, Kontrol Layanan VPC
mengizinkan akses ke Cloud Shell jika perangkat yang memenuhi
persyaratan tingkat akses
perimeter layanan memulai Cloud Shell.
Konsol Google Cloud
Karena Konsol Google Cloud hanya dapat diakses melalui internet,
alamat tersebut diperlakukan sebagai
di luar perimeter layanan. Saat Anda menerapkan layanan
perimeter, antarmuka Konsol Google Cloud untuk layanan yang
terlindungi mungkin menjadi tidak dapat diakses sebagian atau sepenuhnya. Misalnya, jika Anda melindungi Logging dengan perimeter, Anda tidak akan dapat mengakses antarmuka Logging di konsol Google Cloud.
Untuk mengizinkan akses dari Konsol Google Cloud ke resource yang dilindungi oleh
perimeter, Anda perlu membuat tingkat
akses untuk rentang IP publik yang
mencakup mesin pengguna yang ingin menggunakan konsol Google Cloud
dengan API yang dilindungi. Misalnya, Anda dapat menambahkan rentang IP publik gateway NAT jaringan pribadi ke tingkat akses, lalu menetapkan tingkat akses tersebut ke perimeter layanan.
Jika Anda ingin membatasi akses konsol Google Cloud ke perimeter hanya untuk
kumpulan pengguna tertentu, Anda juga dapat
menambahkan pengguna tersebut ke
level organisasi. Dalam hal ini, hanya pengguna tertentu yang dapat mengakses
Konsol Google Cloud Anda.
Permintaan melalui konsol Google Cloud dari jaringan yang
Akses Google Pribadi diaktifkan, termasuk jaringan yang secara implisit diaktifkan oleh
Cloud NAT, mungkin diblokir meskipun jaringan sumber yang meminta
dan resource target berada di perimeter yang sama. Hal ini karena
Akses konsol Google Cloud melalui Akses Google Pribadi tidak
didukung oleh Kontrol Layanan VPC.
Akses layanan pribadi
Mendukung Akses layanan pribadi
untuk men-deploy instance layanan
Jaringan VPC Bersama.
Jika Anda menggunakan konfigurasi ini dengan Kontrol Layanan VPC, pastikan bahwa project host yang menyediakan jaringan dan project layanan yang berisi instance layanan berada di dalam perimeter Kontrol Layanan VPC yang sama. Jika tidak, permintaan mungkin akan diblokir dan instance layanan
mungkin tidak berfungsi
dengan benar.
Untuk informasi selengkapnya tentang layanan
yang mendukung akses layanan pribadi,
lihat Layanan yang didukung.
GKE Multi-Cloud
Kontrol Layanan VPC hanya berlaku untuk resource dalam Google Cloud
proyek. Lingkungan cloud pihak ketiga yang menghosting
cluster Multi-Cloud GKE Anda tidak mendukung jaminan kontrol
layanan apa pun.
Google Distributed Cloud
Kontrol Layanan VPC hanya berlaku untuk mesin bare metal yang terhubung ke VPC
project jaringan yang menggunakan VIP Terbatas.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Hard to understand","hardToUnderstand","thumb-down"],["Incorrect information or sample code","incorrectInformationOrSampleCode","thumb-down"],["Missing the information/samples I need","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2024-09-12 UTC."],[],[]]