Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Halaman ini berisi tabel produk dan layanan yang didukung oleh Kontrol Layanan VPC, serta daftar batasan umum pada layanan dan antarmuka tertentu.
Menampilkan daftar semua layanan yang didukung
Untuk mengambil daftar lengkap semua produk dan layanan yang didukung Kontrol Layanan VPC, jalankan perintah berikut:
gcloud beta access-context-manager supported-services list
Anda akan mendapatkan respons yang berisi daftar produk dan layanan.
NAME TITLE SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Respons ini mencakup nilai berikut:
Nilai
Deskripsi
SERVICE_ADDRESS
Nama layanan produk atau layanan. Misalnya, aiplatform.googleapis.com.
SERVICE_NAME
Nama produk atau layanan. Misalnya, Vertex AI API.
SERVICE_STATUS
Status integrasi layanan dengan Kontrol Layanan VPC. Berikut adalah nilai yang memungkinkan:
GA: Integrasi layanan didukung sepenuhnya oleh perimeter Kontrol Layanan VPC.
BETA: Integrasi layanan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak didukung sepenuhnya untuk lingkungan produksi oleh perimeter Kontrol Layanan VPC.
RESTRICTED_VIP_STATUS
Menentukan apakah integrasi layanan dengan Kontrol Layanan VPC didukung oleh VIP terbatas. Berikut adalah nilai yang memungkinkan:
TRUE: Integrasi layanan didukung sepenuhnya oleh VIP terbatas dan dapat dilindungi oleh perimeter Kontrol Layanan VPC.
FALSE: Integrasi layanan tidak didukung oleh VIP yang dibatasi.
Menentukan apakah integrasi layanan dengan Kontrol Layanan VPC memiliki batasan. Berikut adalah nilai yang memungkinkan:
TRUE: Integrasi layanan dengan Kontrol Layanan VPC memiliki batasan umum. Anda dapat memeriksa entri yang sesuai untuk layanan di tabel Produk yang didukung untuk mengetahui batasan ini lebih lanjut.
FALSE: Integrasi layanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Mencantumkan metode yang didukung untuk layanan
Untuk mengambil daftar metode dan izin yang didukung oleh Kontrol Layanan VPC
untuk layanan, jalankan perintah berikut:
Dalam respons ini, METHODS_LIST mencantumkan semua metode dan izin yang didukung oleh Kontrol Layanan VPC untuk layanan yang ditentukan. Untuk
mengetahui daftar lengkap semua izin dan metode layanan yang didukung, lihat
Pembatasan metode
layanan yang didukung.
Produk yang didukung
Tabel ini mencakup semua produk yang didukung oleh Kontrol Layanan VPC dan beroperasi secara normal di dalam perimeter layanan. Namun, tidak semua produk yang didukung memiliki layanan
yang dapat dilindungi oleh perimeter.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
config.googleapis.com
Detail
Untuk informasi selengkapnya tentang Pengelola Infrastruktur, lihat
dokumentasi produk.
Batasan
Untuk menggunakan Pengelola Infrastruktur dalam perimeter:
Anda harus menggunakan kumpulan pribadi Cloud Build untuk kumpulan pekerja yang digunakan oleh Infrastructure Manager. Kumpulan pribadi ini harus mengaktifkan panggilan internet publik untuk mendownload penyedia Terraform dan konfigurasi Terraform. Anda tidak dapat menggunakan kumpulan pekerja Cloud Build default.
Parameter berikut harus berada dalam perimeter yang sama:
Akun layanan yang digunakan Infrastructure Manager.
Kumpulan pekerja Cloud Build yang digunakan Pengelola Infrastruktur.
Bucket penyimpanan yang digunakan oleh Infrastructure Manager. Anda dapat menggunakan bucket penyimpanan default.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
netapp.googleapis.com
Detail
API untuk Google Cloud NetApp Volumes dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Google Cloud NetApp Volumes, lihat dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mencakup jalur dataplane seperti pembacaan dan penulisan Sistem File Jaringan (NFS) dan Blok Pesan Server (SMB). Selain itu, jika project host dan layanan Anda dikonfigurasi di perimeter yang berbeda, Anda dapat mengalami jeda dalam penerapan layanan Google Cloud.
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudsearch.googleapis.com
Detail
Google Cloud Search mendukung Kontrol Keamanan Virtual Private Cloud (Kontrol Layanan VPC) untuk meningkatkan keamanan data Anda. Dengan Kontrol Layanan VPC, Anda dapat menentukan perimeter keamanan di seputar resource Google Cloud Platform untuk membatasi data dan membantu memitigasi risiko pemindahan data yang tidak sah.
Untuk informasi lebih lanjut tentang Google Cloud Search, lihat dokumentasi produk.
Batasan
Karena resource Cloud Search tidak disimpan dalam project Google Cloud, Anda harus memperbarui setelan pelanggan Cloud Search dengan project yang dilindungi perimeter VPC. Project VPC
berfungsi sebagai container project virtual untuk semua resource Cloud Search Anda.
Tanpa membuat pemetaan ini, Kontrol Layanan VPC tidak akan berfungsi untuk Cloud Search API.
Prediksi batch tidak didukung saat Anda menggunakan AI Platform Prediction di dalam perimeter layanan.
AI Platform Prediction dan AI Platform Training menggunakan AI Platform Training dan Prediction API, sehingga Anda harus mengonfigurasi Kontrol Layanan VPC untuk kedua produk. Baca selengkapnya tentang menyiapkan Kontrol Layanan VPC untuk
Pelatihan AI Platform.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ml.googleapis.com
Detail
API untuk Pelatihan AI Platform dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Pelatihan AI Platform, lihat dokumentasi produk.
Batasan
Untuk melindungi sepenuhnya tugas pelatihan Pelatihan AI Platform, tambahkan semua
API berikut ke perimeter layanan:
AI Platform Training and Prediction API (ml.googleapis.com)
API Pub/Sub (pubsub.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Google Kubernetes Engine API (container.googleapis.com)
Container Registry API (containerregistry.googleapis.com)
Pelatihan dengan TPU tidak didukung saat Anda menggunakan Pelatihan AI Platform di dalam perimeter layanan.
AI Platform Training dan AI Platform Prediction menggunakan AI Platform Training dan Prediction API, sehingga Anda harus mengonfigurasi Kontrol Layanan VPC untuk
kedua produk tersebut. Baca lebih lanjut cara menyiapkan Kontrol Layanan VPC untuk
Prediksi AI Platform.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
alloydb.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi AlloyDB API.
Untuk mengetahui informasi selengkapnya tentang AlloyDB untuk PostgreSQL, lihat dokumentasi produk.
Batasan
Sebelum mengonfigurasi Kontrol Layanan VPC bagi AlloyDB untuk PostgreSQL, aktifkan Service Networking API.
Saat Anda menggunakan AlloyDB untuk PostgreSQL dengan VPC Bersama dan Kontrol Layanan VPC, project host dan project layanan harus berada dalam perimeter layanan Kontrol Layanan VPC yang sama.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
visionai.googleapis.com
Detail
API untuk Vertex AI Vision dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Vertex AI Vision, lihat dokumentasi produk.
Batasan
Saat constraints/visionai.disablePublicEndpoint aktif, kami akan menonaktifkan endpoint publik cluster. Pengguna harus terhubung secara manual ke target PSC
dan mengakses layanan dari jaringan pribadi. Anda bisa mendapatkan target PSC dari resource cluster.
API untuk Apigee dan Apigee Hybrid dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Apigee dan Apigee Hybrid, lihat dokumentasi produk.
Batasan
Integrasi Apigee dengan Kontrol Layanan VPC memiliki batasan berikut:
Portal terintegrasi memerlukan langkah tambahan untuk mengonfigurasi.
Anda harus men-deploy portal Drupal di dalam perimeter layanan.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
meshca.googleapis.com, meshconfig.googleapis.com
Detail
API for Anthos Service Mesh dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Anda dapat menggunakan mesh.googleapis.com untuk mengaktifkan API yang diperlukan untuk Anthos Service Mesh.
Anda tidak perlu membatasi mesh.googleapis.com di perimeter Anda karena tindakan tersebut tidak menampilkan API apa pun.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
artifactregistry.googleapis.com
Detail
Selain melindungi Artifact Registry API, Artifact Registry dapat digunakan di dalam perimeter layanan dengan GKE dan Compute Engine.
Untuk mengetahui informasi selengkapnya tentang Artifact Registry, lihat dokumentasi produk.
Batasan
Karena Artifact Registry menggunakan domain pkg.dev, Anda harus mengonfigurasi DNS untuk *.pkg.dev agar dapat dipetakan ke private.googleapis.com atau restricted.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat Mengamankan repositori di perimeter layanan.
Selain artefak di dalam perimeter yang tersedia untuk Artifact Registry, repositori hanya baca berikut dalam repositori Container Registry tersedia untuk semua project, terlepas dari perimeter layanannya:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dalam semua kasus, versi regional dari repositori tersebut juga
tersedia.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
API AutoML (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk mengetahui informasi lebih lanjut tentang AutoML Natural Language, lihat dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan nama layanan yang sama.
Anda tidak dapat menambahkan endpoint regional yang didukung, seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi di perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat batasan untuk menggunakan produk AutoML dengan Kontrol Layanan VPC.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
API AutoML (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk mengetahui informasi selengkapnya tentang AutoML Tables, lihat dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan nama layanan yang sama.
Anda tidak dapat menambahkan endpoint regional yang didukung, seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi di perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat batasan untuk menggunakan produk AutoML dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
API AutoML (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk mengetahui informasi selengkapnya tentang AutoML Translation, lihat dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan nama layanan yang sama.
Anda tidak dapat menambahkan endpoint regional yang didukung, seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi di perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat batasan untuk menggunakan produk AutoML dengan Kontrol Layanan VPC.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
API AutoML (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk mengetahui informasi selengkapnya tentang AutoML Video Intelligence, lihat dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan nama layanan yang sama.
Anda tidak dapat menambahkan endpoint regional yang didukung, seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi di perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat batasan untuk menggunakan produk AutoML dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
API AutoML (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk informasi selengkapnya tentang AutoML Vision, lihat dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan nama layanan yang sama.
Anda tidak dapat menambahkan endpoint regional yang didukung, seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi di perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat batasan untuk menggunakan produk AutoML dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Tidak. API untuk Solusi Bare Metal tidak dapat dilindungi oleh perimeter layanan.
Namun, Solusi Bare Metal dapat digunakan secara normal dalam project di dalam perimeter.
Detail
Bare Metal Solution API dapat ditambahkan ke perimeter yang aman. Namun, perimeter Kontrol Layanan VPC tidak mencakup lingkungan Solusi Bare Metal di ekstensi regional.
Untuk informasi selengkapnya tentang Solusi Bare Metal, lihat
dokumentasi produk.
Batasan
Solusi Bare Metal tidak mendukung Kontrol Layanan VPC. Menghubungkan VPC dengan kontrol layanan yang diaktifkan ke lingkungan Solusi Bare Metal Anda tidak menjunjung jaminan kontrol layanan apa pun.
Untuk mengetahui informasi selengkapnya tentang batasan Solusi Bare Metal terkait Kontrol Layanan VPC, lihat Masalah dan batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
bigquery.googleapis.com
Detail
Saat Anda melindungi BigQuery API menggunakan perimeter layanan, BigQuery Storage API, BigQuery Reservasi API, dan BigQuery Connection API juga terlindungi. Anda tidak perlu menambahkan API ini secara terpisah ke daftar layanan terlindungi di perimeter Anda.
Untuk informasi selengkapnya tentang BigQuery, lihat dokumentasi produk.
Batasan
Data log audit BigQuery tidak selalu menyertakan semua resource yang digunakan saat permintaan dibuat, karena layanan ini memproses akses secara internal ke beberapa resource.
Saat mengakses instance BigQuery yang dilindungi oleh perimeter layanan, tugas BigQuery harus dijalankan dalam project di dalam perimeter, atau dalam project yang diizinkan oleh aturan keluar dari perimeter. Secara default, library klien BigQuery menjalankan tugas dalam akun layanan atau project pengguna, sehingga menyebabkan kueri ditolak oleh Kontrol Layanan VPC.
BigQuery memblokir penyimpanan hasil kueri ke Google Drive dari perimeter yang dilindungi Kontrol Layanan VPC.
Jika memberikan akses menggunakan aturan masuk dengan akun pengguna sebagai jenis identitas, Anda tidak dapat melihat penggunaan resource BigQuery atau penjelajah tugas administratif di halaman Monitoring. Untuk menggunakan fitur ini, konfigurasikan aturan masuk yang menggunakan ANY_IDENTITY sebagai jenis identitas.
Kontrol Layanan VPC hanya didukung saat melakukan analisis melalui BigQuery Enterprise, Enterprise Plus, atau On-Demand.
BigQuery Reservasi API didukung sebagian.
BigQuery Reservasi API, yang membuat resource penetapan, tidak menerapkan
batasan perimeter layanan pada penerima tugas.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
bigquerydatatransfer.googleapis.com
Detail
Perimeter layanan hanya melindungi BigQuery Data Transfer Service API. Perlindungan data aktual diberlakukan oleh BigQuery. Kami memang didesain untuk memungkinkan pengimporan data dari berbagai
sumber eksternal di luar Google Cloud, seperti Amazon S3, Redshift, Teradata, YouTube,
Google Play, dan Google Ads, ke dalam set data BigQuery. Untuk mengetahui informasi tentang persyaratan Kontrol Layanan VPC guna memigrasikan data dari Teradata, lihat persyaratan kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang BigQuery Data Transfer Service, lihat dokumentasi produk.
Batasan
BigQuery Data Transfer Service tidak mendukung ekspor data dari set data BigQuery. Untuk informasi selengkapnya, lihat Mengekspor data tabel.
Untuk mentransfer data antar-project, project tujuan harus berada di dalam
perimeter yang sama dengan project sumber. Jika tidak, aturan keluar harus mengizinkan transfer
data keluar dari perimeter. Untuk mengetahui informasi tentang cara menetapkan aturan keluar, lihat
Batasan dalam Mengelola
set data BigQuery.
BigQuery Data Transfer Service tidak mendukung sumber data pihak ketiga untuk mentransfer data ke dalam project yang dilindungi oleh perimeter layanan.
Layanan bigtable.googleapis.com dan bigtableadmin.googleapis.com
dipaketkan bersama. Jika Anda membatasi layanan bigtable.googleapis.com dalam sebuah perimeter, perimeter akan membatasi layanan bigtableadmin.googleapis.com secara default. Anda tidak dapat menambahkan layanan bigtableadmin.googleapis.com ke daftar layanan yang dibatasi dalam perimeter karena layanan tersebut dipaketkan dengan bigtable.googleapis.com.
Untuk informasi selengkapnya tentang Bigtable, lihat dokumentasi produk.
Batasan
Tidak ada batasan umum untuk integrasi Bigtable dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
binaryauthorization.googleapis.com
Detail
Saat menggunakan beberapa project dengan Otorisasi Biner, setiap project harus disertakan dalam perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya tentang kasus penggunaan ini, lihat
Penyiapan multi-project.
Dengan Otorisasi Biner, Anda dapat menggunakan Artifact Analysis untuk menyimpan attestor dan pengesahan sebagai catatan dan kemunculan. Dalam hal ini, Anda juga harus
menyertakan Analisis Artefak di perimeter Kontrol Layanan VPC.
Lihat Panduan Kontrol Layanan VPC untuk Analisis Artefak guna mengetahui detail selengkapnya.
Untuk informasi selengkapnya tentang Otorisasi Biner, lihat dokumentasi produk.
Batasan
Integrasi Otorisasi Biner dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
blockchainnodeengine.googleapis.com
Detail
API untuk Blockchain Node Engine dapat dilindungi oleh Kontrol Layanan VPC dan biasanya digunakan di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Blockchain Node Engine, lihat dokumentasi produk.
Batasan
Integrasi Blockchain Node Engine dengan Kontrol Layanan VPC memiliki batasan berikut:
Kontrol Layanan VPC hanya melindungi Blockchain Node Engine API.
Saat node dibuat, Anda tetap harus menunjukkan bahwa node tersebut dimaksudkan untuk jaringan pribadi yang dikonfigurasi pengguna dengan Private Service Connect.
Traffic peer-to-peer tidak terpengaruh oleh Kontrol Layanan VPC atau Private Service Connect dan akan terus menggunakan internet publik.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
privateca.googleapis.com
Detail
API untuk Certificate Authority Service dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Certificate Authority Service, lihat dokumentasi produk.
Batasan
Untuk menggunakan Certificate Authority Service dalam lingkungan yang dilindungi, Anda juga harus menambahkan Cloud KMS API (cloudkms.googleapis.com) dan Cloud Storage API (storage.googleapis.com) ke perimeter layanan Anda.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
krmapihosting.googleapis.com
Detail
Untuk menggunakan Pengontrol Konfigurasi dengan Kontrol Layanan VPC, Anda harus mengaktifkan API berikut di dalam perimeter Anda:
Cloud Monitoring API (monitoring.googleapis.com)
Container Registry API (containerregistry.googleapis.com)
API Kemampuan Observabilitas Google Cloud (logging.googleapis.com)
Security Token Service API (sts.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Jika menyediakan resource dengan Pengontrol Konfigurasi, Anda harus mengaktifkan API untuk resource tersebut dalam perimeter layanan Anda. Misalnya, jika ingin menambahkan akun layanan IAM, Anda harus menambahkan IAM API (iam.googleapis.com).
Untuk informasi lebih lanjut tentang Pengontrol Konfigurasi, lihat dokumentasi produk.
Batasan
Integrasi Pengontrol Konfigurasi dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
datafusion.googleapis.com
Detail
Cloud Data Fusion memerlukan beberapa langkah khusus untuk melindungi menggunakan Kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang Cloud Data Fusion, lihat dokumentasi produk.
Batasan
Tetapkan perimeter keamanan Kontrol Layanan VPC sebelum membuat
instance pribadi Cloud Data Fusion. Perlindungan perimeter untuk instance yang dibuat sebelum menyiapkan Kontrol Layanan VPC tidak didukung.
Saat ini, UI bidang data Cloud Data Fusion tidak mendukung akses berbasis identitas menggunakan aturan masuk atau tingkat akses.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
compute.googleapis.com
Detail
Dukungan Kontrol Layanan VPC untuk Compute Engine menawarkan manfaat keamanan berikut:
Membatasi akses ke operasi API yang sensitif
Membatasi snapshot persistent disk dan image kustom ke perimeter
Membatasi akses ke metadata instance
Dukungan Kontrol Layanan VPC untuk Compute Engine juga memungkinkan Anda memanfaatkan jaringan Virtual Private Cloud dan cluster pribadi Google Kubernetes Engine di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Compute Engine, lihat dokumentasi produk.
Operasi Peering VPC tidak menerapkan batasan perimeter layanan VPC.
Metode projects.ListXpnHosts
API untuk VPC Bersama tidak menerapkan pembatasan perimeter layanan pada
project yang ditampilkan.
Agar image Compute Engine dapat dibuat dari Cloud Storage dalam project yang dilindungi perimeter layanan, pengguna yang membuat image harus ditambahkan sementara ke aturan masuk perimeter.
Kontrol Layanan VPC tidak mendukung penggunaan Kubernetes versi open source pada VM Compute Engine di dalam perimeter layanan.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
contactcenterinsights.googleapis.com
Detail
Untuk menggunakan Contact Center AI Insights dengan Kontrol Layanan VPC, Anda harus memiliki
API tambahan berikut di dalam perimeter Anda, bergantung pada integrasi Anda.
Untuk memuat data ke Contact Center AI Insights, tambahkan Cloud Storage API ke perimeter layanan Anda.
Untuk menggunakan ekspor, tambahkan BigQuery API ke perimeter layanan Anda.
Untuk mengintegrasikan beberapa produk CCAI, tambahkan Vertex AI API ke perimeter layanan Anda.
Untuk mengetahui informasi selengkapnya tentang Contact Center AI Insights, lihat
dokumentasi produk.
Batasan
Integrasi Contact Center AI Insights dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dataflow.googleapis.com
Detail
Dataflow mendukung sejumlah
konektor layanan penyimpanan. Konektor berikut telah diverifikasi agar berfungsi dengan Dataflow di dalam perimeter layanan:
Untuk informasi selengkapnya tentang Dataflow, lihat dokumentasi produk.
Batasan
BIND kustom tidak didukung saat menggunakan Dataflow. Untuk menyesuaikan resolusi DNS saat menggunakan Dataflow dengan Kontrol Layanan VPC, gunakan zona pribadi Cloud DNS, bukan server BIND kustom. Untuk menggunakan resolusi DNS lokal Anda sendiri, pertimbangkan untuk menggunakan metode penerusan DNS Google Cloud.
Tidak semua konektor layanan penyimpanan telah diverifikasi berfungsi saat digunakan dengan Dataflow di dalam perimeter layanan. Untuk daftar konektor terverifikasi, lihat "Detail" di bagian sebelumnya.
Saat menggunakan Python 3.5 dengan Apache Beam SDK 2.20.0‐2.22.0, tugas Dataflow akan gagal saat memulai jika pekerja hanya memiliki alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource.
Jika pekerja Dataflow hanya dapat memiliki alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource, jangan gunakan Python 3.5 dengan Apache Beam SDK 2.20.0‐2.22.0. Kombinasi ini menyebabkan tugas gagal saat sistem dimulai.
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dataplex.googleapis.com
Detail
API untuk Dataplex dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Dataplex, lihat dokumentasi produk.
Batasan
Sebelum membuat resource Dataplex, siapkan perimeter keamanan Kontrol Layanan VPC. Jika tidak, resource Anda tidak memiliki perlindungan perimeter.
Dataplex mendukung jenis resource berikut:
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
datamigration.googleapis.com
Detail
API untuk Database Migration Service dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Database Migration Service, lihat dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Database Migration Service Admin API. Fitur ini tidak melindungi akses data berbasis IP ke database yang mendasari (seperti instance Cloud SQL). Untuk membatasi akses IP publik pada instance Cloud SQL, gunakan batasan kebijakan organisasi.
Saat Anda menggunakan file Cloud Storage dalam fase dump awal migrasi, tambahkan bucket Cloud Storage ke perimeter layanan yang sama.
Saat Anda menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) dalam database tujuan, pastikan CMEK berada di perimeter layanan yang sama dengan profil koneksi yang berisi kunci tersebut.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dlp.googleapis.com
Detail
API untuk Perlindungan Data Sensitif dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Perlindungan Data Sensitif, lihat dokumentasi produk.
Batasan
Karena saat ini Kontrol Layanan VPC tidak mendukung resource folder dan
organisasi, panggilan Perlindungan Data Sensitif dapat menampilkan respons 403 saat mencoba mengakses
resource tingkat organisasi. Sebaiknya gunakan IAM untuk mengelola izin Perlindungan Data Sensitif di tingkat folder dan organisasi.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dns.googleapis.com
Detail
API untuk Cloud DNS dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud DNS, lihat dokumentasi produk.
Batasan
Anda dapat mengakses Cloud DNS melalui VIP yang dibatasi. Namun, Anda tidak dapat membuat atau memperbarui zona DNS publik dalam project di dalam perimeter Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
contentwarehouse.googleapis.com
Detail
API untuk Document AI Warehouse dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan seperti biasa di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Document AI Warehouse, lihat
dokumentasi produk.
Batasan
Integrasi Document AI Warehouse dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Data konfigurasi DNS yang digunakan di Cloud Domains—server nama dan setelan DNSSEC—bersifat publik. Jika domain Anda didelegasikan ke zona DNS publik yang merupakan
setelan default, data konfigurasi DNS zona tersebut juga bersifat publik.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
eventarc.googleapis.com
Detail
Eventarc menangani pengiriman peristiwa menggunakan topik Pub/Sub dan langganan push. Untuk mengakses Pub/Sub API dan mengelola pemicu peristiwa, Eventarc API harus dilindungi dalam perimeter layanan Kontrol Layanan VPC yang sama dengan Pub/Sub API.
Untuk informasi selengkapnya tentang Eventarc, lihat dokumentasi produk.
Batasan
Dalam project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:
Eventarc terikat oleh batasan yang sama seperti Pub/Sub:
Saat merutekan peristiwa ke target Cloud Run, langganan push Pub/Sub baru tidak dapat dibuat kecuali jika endpoint push ditetapkan ke layanan Cloud Run dengan URL run.app default (domain kustom tidak berfungsi).
Saat mengarahkan peristiwa ke target Workflows yang
endpoint push Pub/Sub-nya ditetapkan ke eksekusi
Workflows, Anda hanya dapat membuat langganan push Pub/Sub baru
melalui Eventarc.
Kontrol Layanan VPC memblokir pembuatan pemicu Eventarc
untuk endpoint HTTP
internal. Perlindungan Kontrol Layanan VPC tidak berlaku saat mengarahkan peristiwa ke tujuan tersebut.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
financialservices.googleapis.com
Detail
API untuk Anti Money Laundering AI dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan seperti biasa di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Anti Money Laundering AI, lihat dokumentasi produk.
Batasan
Integrasi Anti Money Laundering AI dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebaseappcheck.googleapis.com
Detail
Saat Anda mengonfigurasi dan menukar token Firebase App Check, Kontrol Layanan VPC hanya melindungi layanan Firebase App Check. Untuk melindungi layanan yang mengandalkan Firebase App Check, Anda harus menyiapkan perimeter layanan untuk layanan tersebut.
Untuk mengetahui informasi selengkapnya tentang Firebase App Check, lihat dokumentasi produk.
Batasan
Integrasi Firebase App Check dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebaserules.googleapis.com
Detail
Saat Anda mengelola kebijakan Aturan Keamanan Firebase, Kontrol Layanan VPC hanya melindungi layanan Aturan Keamanan Firebase. Untuk melindungi layanan yang mengandalkan Aturan Keamanan Firebase, Anda harus menyiapkan pemberi izin layanan untuk layanan tersebut.
Untuk mengetahui informasi selengkapnya tentang Aturan Keamanan Firebase, lihat dokumentasi produk.
Batasan
Integrasi Aturan Keamanan Firebase dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudfunctions.googleapis.com
Detail
Lihat dokumentasi Cloud Functions untuk mengetahui langkah-langkah penyiapan. Perlindungan Kontrol Layanan VPC tidak berlaku pada fase build saat Cloud Functions di-build menggunakan Cloud Build. Untuk mengetahui detail selengkapnya, lihat batasan umum.
Untuk mengetahui informasi selengkapnya tentang Cloud Functions, lihat dokumentasi produk.
Batasan
Cloud Functions menggunakan Cloud Build, Container Registry, dan Cloud Storage untuk membangun dan mengelola kode sumber dalam container yang dapat dijalankan. Jika salah satu layanan ini dibatasi oleh perimeter layanan, Kontrol Layanan VPC akan memblokir build Cloud Functions, meskipun Cloud Functions tidak ditambahkan sebagai layanan yang dibatasi ke perimeter tersebut. Untuk menggunakan Cloud Functions di dalam perimeter layanan, Anda harus mengonfigurasi aturan masuk untuk akun layanan Cloud Build di perimeter layanan Anda.
Agar fungsi Anda dapat menggunakan dependensi eksternal seperti paket npm, Cloud Build memiliki akses internet tanpa batas. Akses internet ini
dapat digunakan untuk memindahkan data yang tersedia secara tidak sah yang tersedia pada waktu build, seperti
kode sumber yang Anda upload. Jika Anda ingin memitigasi vektor pemindahan yang tidak sah ini, sebaiknya Anda hanya mengizinkan developer tepercaya untuk men-deploy fungsi. Jangan berikan peran IAM Pemilik, Editor, atau Developer Cloud Functions kepada developer yang tidak tepercaya.
Saat menentukan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT sebagai jenis identitas untuk men-deploy Cloud Functions dari mesin lokal.
Sebagai solusinya, gunakan ANY_IDENTITY sebagai jenis identitas.
Saat layanan Cloud Functions dipanggil oleh pemicu HTTP, penerapan kebijakan Kontrol Layanan VPC tidak menggunakan informasi autentikasi IAM klien. Aturan kebijakan ingress Kontrol Layanan VPC yang menggunakan akun utama IAM tidak didukung. Tingkat akses untuk perimeter Kontrol Layanan VPC yang menggunakan akun utama IAM tidak didukung.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
iam.googleapis.com
Detail
Saat Anda membatasi IAM dengan perimeter, hanya tindakan yang menggunakan IAM API yang dibatasi. Tindakan ini termasuk mengelola peran IAM kustom, mengelola kumpulan workload identity, serta mengelola akun layanan dan kunci. Perimeter ini tidak membatasi tindakan gabungan tenaga kerja karena kumpulan tenaga kerja merupakan resource tingkat organisasi.
Perimeter di sekitar IAM tidak membatasi pengelolaan akses (yaitu, mendapatkan atau menetapkan kebijakan IAM) untuk resource yang dimiliki oleh layanan lain, seperti project, folder, dan organisasi Resource Manager atau instance virtual machine Compute Engine. Guna membatasi pengelolaan akses untuk resource ini, buat perimeter yang membatasi layanan yang memiliki resource tersebut. Untuk daftar resource yang menerima kebijakan IAM dan layanan yang memilikinya, lihat Jenis resource yang menerima kebijakan IAM.
Selain itu, perimeter di sekitar IAM tidak
membatasi tindakan yang menggunakan API lain, termasuk hal berikut:
API Policy Simulator IAM
IAM Policy Troubleshooter API
Security Token Service API
Service Account Credentials API (termasuk metode signBlob dan signJwt lama di IAM API)
Untuk mengetahui informasi selengkapnya tentang Identity and Access Management, lihat dokumentasi produk.
Batasan
Jika berada di dalam perimeter, Anda tidak dapat memanggil metode roles.list dengan string kosong untuk mencantumkan peran bawaan IAM. Jika Anda perlu melihat peran yang telah ditetapkan, lihat dokumentasi peran IAM.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
kmsinventory.googleapis.com
Detail
API untuk Cloud KMS Inventory API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud KMS Inventory API, lihat dokumentasi produk.
Batasan
Metode SearchProtectedResources API tidak menerapkan pembatasan perimeter layanan pada project yang ditampilkan.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
iamcredentials.googleapis.com
Detail
API untuk Kredensial Akun Layanan dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Kredensial Akun Layanan, lihat dokumentasi produk.
Batasan
Integrasi Kredensial Akun Layanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
vpcaccess.googleapis.com
Detail
API untuk Akses VPC Tanpa Server dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Akses VPC Serverless, lihat dokumentasi produk.
Batasan
Tidak ada batasan umum untuk integrasi Akses VPC Serverless dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudkms.googleapis.com
Detail
Cloud KMS API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan di dalam perimeter layanan. Akses ke layanan Cloud HSM juga dilindungi oleh Kontrol Layanan VPC dan dapat digunakan di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Key Management Service, lihat dokumentasi produk.
Batasan
Integrasi Cloud Key Management Service dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
iaptunnel.googleapis.com
Detail
API untuk Identity-Aware Proxy untuk TCP dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Identity-Aware Proxy untuk TCP, lihat dokumentasi produk.
Batasan
Hanya API penggunaan IAP untuk TCP yang dapat dilindungi oleh perimeter.
Administrative API tidak dapat dilindungi oleh perimeter.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
lifesciences.googleapis.com
Detail
API untuk Cloud Life Sciences dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Cloud Life Sciences, lihat dokumentasi produk.
Batasan
Integrasi Cloud Life Sciences dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
pubsub.googleapis.com
Detail
Perlindungan Kontrol Layanan VPC berlaku untuk semua operasi administrator, operasi penayang, dan operasi pelanggan (kecuali untuk langganan push yang sudah ada).
Dalam project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:
Langganan push baru tidak dapat dibuat kecuali endpoint push ditetapkan ke layanan Cloud Run dengan URL run.app default atau eksekusi Workflows (domain kustom tidak berfungsi). Untuk mengetahui informasi lebih lanjut mengenai integrasi dengan Cloud Run, lihat Menggunakan Kontrol Layanan VPC.
Untuk langganan non-push, Anda harus membuat langganan di perimeter yang sama dengan topik atau mengaktifkan aturan keluar untuk mengizinkan akses dari topik ke langganan.
Saat mengarahkan peristiwa melalui Eventarc ke target Workflows yang endpoint push-nya ditetapkan ke eksekusi Workflows, Anda hanya dapat membuat langganan push baru melalui Eventarc.
Langganan push Pub/Sub yang dibuat sebelum perimeter layanan tidak akan diblokir.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
clouddeploy.googleapis.com
Detail
API untuk Cloud Deploy dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Deploy, lihat dokumentasi produk.
Batasan
Untuk menggunakan Cloud Deploy di suatu perimeter, Anda harus menggunakan kumpulan pribadi Cloud Build untuk lingkungan eksekusi target.
Jangan gunakan kumpulan pekerja (Cloud Build) default, dan jangan gunakan kumpulan hybrid.
Untuk mengetahui informasi lebih lanjut tentang Cloud Composer, lihat dokumentasi produk.
Batasan
Mengaktifkan serialisasi DAG akan mencegah Airflow menampilkan template yang dirender dengan fungsi di UI web.
Menyetel tanda async_dagbag_loader ke True tidak didukung saat serialisasi
DAG diaktifkan.
Mengaktifkan serialisasi DAG akan menonaktifkan semua plugin server web Airflow, karena dapat membahayakan keamanan jaringan VPC tempat Cloud Composer di-deploy. Hal ini tidak memengaruhi perilaku plugin penjadwal atau pekerja,
termasuk operator dan sensor Airflow.
Saat Cloud Composer berjalan di dalam perimeter, akses ke repositori PyPI publik dibatasi. Dalam dokumentasi Cloud Composer, lihat Menginstal dependensi Python untuk mempelajari cara menginstal modul PyPi dalam mode IP Pribadi.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudquotas.googleapis.com
Detail
API untuk Kuota Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Kuota Cloud, lihat dokumentasi produk.
Batasan
Karena Kontrol Layanan VPC menerapkan batas pada level project, permintaan Kuota Cloud yang berasal dari klien di dalam perimeter hanya dapat mengakses resource organisasi jika organisasi menyiapkan aturan keluar.
Untuk menyiapkan aturan keluar, lihat petunjuk Kontrol Layanan VPC untuk mengonfigurasi kebijakan masuk dan keluar.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
run.googleapis.com
Detail
Diperlukan penyiapan tambahan untuk Cloud Run. Ikuti petunjuk di halaman dokumentasi Kontrol Layanan VPC Cloud Run.
Untuk informasi lebih lanjut tentang Cloud Run, lihat dokumentasi produk.
Batasan
Untuk Artifact Registry dan Container Registry, registry tempat Anda menyimpan container harus berada di perimeter Kontrol Layanan VPC yang sama dengan project yang menjadi tujuan deployment. Kode yang sedang di-build harus berada dalam perimeter Kontrol Layanan VPC yang sama dengan registry tempat container dikirim.
Fitur continuous deployment Cloud Run tidak tersedia untuk project di dalam perimeter Kontrol Layanan VPC.
Saat layanan Cloud Run dipanggil, penerapan kebijakan Kontrol Layanan VPC
tidak menggunakan informasi autentikasi IAM
klien. Permintaan tersebut memiliki batasan berikut:
Aturan kebijakan ingress Kontrol Layanan VPC yang menggunakan akun utama IAM tidak didukung.
Tingkat akses untuk perimeter Kontrol Layanan VPC yang menggunakan prinsip IAM tidak didukung.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
storage.googleapis.com
Detail
API untuk Cloud Storage dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi lebih lanjut tentang Cloud Storage, lihat dokumentasi produk.
Batasan
Saat menggunakan fitur Pemohon Membayar dengan bucket penyimpanan di dalam perimeter layanan yang melindungi layanan Cloud Storage, Anda tidak dapat mengidentifikasi project yang akan dibayar yang berada di luar perimeter. Project target harus berada di perimeter yang sama dengan bucket penyimpanan atau di jembatan perimeter dengan project bucket.
Untuk project dalam perimeter layanan, halaman Cloud Storage di
Konsol Google Cloud tidak dapat diakses jika Cloud Storage API
dilindungi oleh perimeter tersebut. Jika ingin memberikan akses ke halaman tersebut, Anda harus membuat aturan ingress dan/atau tingkat akses yang mencakup akun pengguna dan/atau rentang IP publik yang ingin Anda izinkan untuk mengakses Cloud Storage API.
Dalam catatan log audit, nilai untuk methodName tidak selalu benar. Sebaiknya
Anda tidak memfilter data log audit Cloud Storage
menurut methodName.
Dalam kasus tertentu, log bucket lama Cloud Storage dapat ditulis ke tujuan di luar perimeter layanan bahkan saat akses ditolak.
Saat mencoba menggunakan gsutil untuk pertama kalinya dalam project baru, Anda mungkin akan diminta untuk mengaktifkan layanan storage-api.googleapis.com. Meskipun Anda tidak dapat melindungi storage-api.googleapis.com secara langsung, saat Anda melindungi Cloud Storage API menggunakan perimeter layanan, operasi gsutil juga terlindungi.
Dalam kasus tertentu, objek Cloud Storage yang bersifat publik dapat diakses bahkan setelah Anda mengaktifkan Kontrol Layanan VPC pada objek. Objek ini dapat diakses hingga masa berlakunya habis dari cache bawaan dan cache upstream lainnya di jaringan antara pengguna akhir dan Cloud Storage. Secara default, Cloud Storage menyimpan data yang dapat diakses secara publik di jaringan Cloud Storage.
Untuk mengetahui informasi selengkapnya tentang cara meng-cache objek Cloud Storage,
lihat Cloud Storage
Untuk mengetahui informasi tentang jangka waktu objek dapat di-cache, lihat
Metadata kontrol cache.
Saat menetapkan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat
menggunakan ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT sebagai jenis identitas
untuk semua operasi Cloud Storage menggunakan
URL bertanda tangan.
Sebagai solusinya, gunakan ANY_IDENTITY sebagai jenis identitas.
Kontrol Layanan VPC menggunakan kredensial penandatanganan pengguna atau akun layanan yang menandatangani
URL Bertanda Tangan
untuk mengevaluasi pemeriksaan Kontrol Layanan VPC, bukan kredensial pemanggil atau pengguna yang memulai koneksi.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
sqladmin.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi Cloud SQL Admin API.
Untuk mengetahui informasi lebih lanjut tentang Cloud SQL, lihat dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Cloud SQL Admin API. Keduanya tidak melindungi akses data berbasis IP ke instance Cloud SQL. Anda harus menggunakan batasan kebijakan organisasi untuk membatasi akses IP publik di instance Cloud SQL.
Sebelum mengonfigurasi Kontrol Layanan VPC untuk Cloud SQL, aktifkan Service Networking API.
Impor dan ekspor Cloud SQL hanya dapat melakukan pembacaan dan penulisan dari bucket Cloud Storage dalam perimeter layanan yang sama dengan instance replika Cloud SQL.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
videointelligence.googleapis.com
Detail
API untuk Video Intelligence API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Video Intelligence API, lihat dokumentasi produk.
Batasan
Integrasi Video Intelligence API dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
vision.googleapis.com
Detail
API untuk Cloud Vision API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Vision API, lihat dokumentasi produk.
Batasan
Meskipun Anda membuat aturan keluar untuk mengizinkan panggilan ke URL publik dari dalam perimeter Kontrol Layanan VPC, Cloud Vision API akan memblokir panggilan ke URL publik.
Karena Container Scanning API adalah API tanpa platform yang menyimpan hasil dalam Analisis Artefak, Anda tidak perlu melindungi API dengan perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Analisis Artefak, lihat dokumentasi produk.
Batasan
Tidak ada batasan umum untuk integrasi Analisis Artefak dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containerregistry.googleapis.com
Detail
Selain melindungi Container Registry API, Container Registry dapat digunakan di dalam perimeter layanan dengan GKE dan Compute Engine.
Untuk informasi selengkapnya tentang Container Registry, lihat dokumentasi produk.
Batasan
Saat menentukan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk semua operasi Container Registry.
Sebagai solusinya, gunakan ANY_IDENTITY sebagai jenis identitas.
Karena Container Registry menggunakan domain gcr.io, Anda harus
mengonfigurasi DNS
untuk *.gcr.io agar dapat dipetakan ke private.googleapis.com atau restricted.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat Mengamankan Container Registry di perimeter layanan.
Selain container di dalam perimeter yang tersedia untuk Container Registry, repositori hanya baca berikut ini tersedia untuk semua project, terlepas dari pembatasan yang diterapkan oleh perimeter layanan:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dalam semua kasus, versi multi-regional dari repositori tersebut juga tersedia.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
container.googleapis.com
Detail
API untuk Google Kubernetes Engine dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Google Kubernetes Engine, lihat dokumentasi produk.
Batasan
Hanya cluster pribadi yang dapat dilindungi menggunakan Kontrol Layanan VPC. Cluster dengan
alamat IP publik tidak didukung oleh Kontrol Layanan VPC.
Penskalaan otomatis berfungsi secara independen dari GKE. Karena Kontrol Layanan VPC
tidak mendukung autoscaling.googleapis.com, penskalaan otomatis tidak akan berfungsi.
Saat menggunakan GKE, Anda dapat mengabaikan pelanggaran SERVICE_NOT_ALLOWED_FROM_VPC
di log audit yang disebabkan karena layanan autoscaling.googleapis.com.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containersecurity.googleapis.com
Detail
API untuk Container Security API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Container Security API, lihat dokumentasi produk.
Batasan
Integrasi Container Security API dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containerfilesystem.googleapis.com
Detail
Streaming image adalah fitur streaming data GKE yang memberikan waktu pull image container yang lebih singkat untuk image yang disimpan di Artifact Registry.
Jika Kontrol Layanan VPC melindungi image container dan Anda menggunakan Streaming image, Anda juga harus menyertakan Image streaming API dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Streaming gambar, lihat dokumentasi produk.
Batasan
Repositori hanya baca berikut
tersedia untuk semua project, terlepas dari pembatasan yang diterapkan oleh perimeter layanan:
API pengelolaan fleet, termasuk Gateway Connect, dapat dilindungi dengan Kontrol Layanan VPC, dan fitur pengelolaan fleet biasanya dapat digunakan di dalam perimeter layanan.
Untuk informasi selengkapnya, lihat referensi berikut:
Untuk mengetahui informasi selengkapnya tentang Fleets, lihat dokumentasi produk.
Batasan
Meskipun semua fitur pengelolaan fleet dapat digunakan secara normal, mengaktifkan perimeter layanan di sekitar Stackdriver API akan membatasi fitur fleet Pengontrol Kebijakan agar tidak berintegrasi dengan Security Command Center.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudresourcemanager.googleapis.com
Detail
Metode API Cloud Resource Manager berikut dapat dilindungi oleh Kontrol Layanan VPC:
Untuk informasi selengkapnya tentang Resource Manager, lihat dokumentasi produk.
Batasan
Hanya kunci tag yang secara langsung diberi induk oleh resource project dan nilai tag terkait yang dapat dilindungi menggunakan Kontrol Layanan VPC. Saat project ditambahkan ke
perimeter Kontrol Layanan VPC, semua kunci tag dan nilai tag yang sesuai pada
project tersebut akan dianggap sebagai resource di dalam perimeter.
Kunci tag yang diinduki oleh resource organisasi dan nilai tagnya yang sesuai tidak dapat disertakan dalam perimeter Kontrol Layanan VPC dan tidak dapat dilindungi menggunakan Kontrol Layanan VPC.
Klien di dalam perimeter Kontrol Layanan VPC tidak dapat mengakses kunci tag dan
nilai terkait yang diinduki oleh resource organisasi, kecuali jika aturan keluar
yang mengizinkan akses ditetapkan pada perimeter. Untuk informasi selengkapnya tentang cara menetapkan aturan traffic keluar, lihat Aturan traffic masuk dan keluar.
Binding tag dianggap sebagai resource dalam perimeter yang sama dengan resource
yang terikat nilai tag. Misalnya, binding tag pada instance Compute Engine dalam sebuah project dianggap sebagai bagian dari project tersebut, terlepas dari tempat kunci tag ditetapkan.
Beberapa layanan seperti Compute Engine memungkinkan pembuatan binding tag menggunakan API layanannya sendiri, selain API layanan Resource Manager. Misalnya, menambahkan tag ke VM Compute Engine selama pembuatan resource. Untuk melindungi binding tag yang dibuat atau dihapus menggunakan API layanan ini, tambahkan layanan yang sesuai, seperti compute.googleapis.com, ke daftar layanan yang dibatasi di perimeter.
Tag mendukung pembatasan tingkat metode, sehingga Anda dapat mengatur method_selectors ke metode API tertentu. Untuk daftar metode
yang dapat dibatasi, lihat
Pembatasan metode layanan yang didukung.
Pemberian peran pemilik pada sebuah project melalui Konsol Google Cloud kini didukung oleh Kontrol Layanan VPC. Anda tidak dapat mengirim undangan pemilik atau menerima undangan
di luar perimeter layanan. Jika Anda mencoba menerima undangan dari luar perimeter,
Anda tidak akan diberi peran pemilik dan tidak akan ada pesan error atau peringatan yang ditampilkan.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
logging.googleapis.com
Detail
API untuk Cloud Logging dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi lebih lanjut tentang Cloud Logging, lihat dokumentasi produk.
Batasan
Sink log gabungan (sink folder atau organisasi dengan includeChildren adalah true) dapat mengakses data dari project di dalam perimeter layanan. Untuk membatasi sink log gabungan agar tidak mengakses data di dalam perimeter, sebaiknya gunakan IAM untuk mengelola izin Logging di sink log gabungan tingkat folder atau tingkat organisasi.
Kontrol Layanan VPC tidak mendukung penambahan folder atau
resource organisasi ke perimeter layanan. Oleh karena itu, Anda tidak dapat menggunakan Kontrol Layanan VPC untuk
melindungi log level folder dan level organisasi, termasuk log agregat. Untuk mengelola izin Logging di tingkat folder atau tingkat organisasi, sebaiknya gunakan IAM.
Jika Anda merutekan log, menggunakan sink log tingkat organisasi atau tingkat folder, ke resource yang dilindungi oleh perimeter layanan, Anda harus menambahkan aturan masuk ke perimeter layanan. Aturan masuk harus mengizinkan akses ke resource dari akun layanan yang digunakan oleh sink log. Langkah ini tidak diperlukan untuk sink level project.
Untuk informasi lebih lanjut, lihat halaman berikut:
Saat menentukan kebijakan masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk mengekspor log dari sink Cloud Logging ke resource Cloud Storage.
Sebagai solusinya, gunakan ANY_IDENTITY sebagai jenis identitas.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
monitoring.googleapis.com
Detail
API untuk Cloud Monitoring dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Cloud Monitoring, lihat dokumentasi produk.
Batasan
Saluran notifikasi, kebijakan pemberitahuan, dan metrik kustom dapat digunakan bersama untuk memindahkan data/metadata secara tidak sah. Mulai hari ini, pengguna Monitoring dapat menyiapkan saluran notifikasi yang mengarah ke entitas di luar organisasi, misalnya "baduser@badcompany.com". Pengguna kemudian menyiapkan metrik kustom dan kebijakan pemberitahuan terkait yang menggunakan saluran notifikasi. Akibatnya, dengan memanipulasi metrik kustom, pengguna dapat memicu pemberitahuan dan mengirimkan notifikasi pengaktifan pemberitahuan, yang memindahkan data sensitif secara tidak sah ke baduser@badcompany.com, di luar perimeter Kontrol Layanan VPC.
Setiap VM Compute Engine atau AWS yang memiliki Agen Monitoring yang terinstal harus berada di dalam perimeter Kontrol Layanan VPC atau penulisan metrik agen akan gagal.
Semua Pod GKE harus berada di dalam perimeter Kontrol Layanan VPC atau GKE Monitoring tidak akan berfungsi.
Saat membuat kueri metrik untuk cakupan metrik, hanya perimeter Kontrol Layanan VPC dari project pencakupan untuk cakupan metrik yang dipertimbangkan. Perimeter setiap project yang dipantau dalam cakupan metrik tidak dipertimbangkan.
Project hanya dapat ditambahkan sebagai project yang dipantau ke dalam cakupan metrik yang ada jika project tersebut berada dalam perimeter Kontrol Layanan VPC yang sama dengan project pencakupan cakupan metrik.
Untuk mengakses Monitoring di konsol Google Cloud untuk project host yang dilindungi oleh perimeter layanan, gunakan aturan masuk.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
timeseriesinsights.googleapis.com
Detail
API untuk Timeseries Insights API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Timeseries Insights API, lihat dokumentasi produk.
Batasan
Integrasi Timeseries Insights API dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
language.googleapis.com
Detail
Untuk informasi lebih lanjut tentang Natural Language API, lihat dokumentasi produk.
Batasan
Karena Natural Language API adalah API stateless dan tidak berjalan pada project, penggunaan Kontrol Layanan VPC untuk melindungi Natural Language API tidak akan memberikan pengaruh apa pun.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
networkconnectivity.googleapis.com
Detail
API untuk Network Connectivity Center dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan seperti biasa di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Network Connectivity Center, lihat dokumentasi produk.
Batasan
Tidak ada batasan umum untuk integrasi Network Connectivity Center dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudasset.googleapis.com
Detail
API untuk Cloud Asset API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Asset API, lihat dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung akses ke resource Cloud Asset API level organisasi atau level folder dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC
melindungi resource Cloud Asset API level project. Anda dapat menentukan kebijakan keluar untuk mencegah akses ke resource Cloud Asset API level project dari project di dalam perimeter.
Kontrol Layanan VPC tidak mendukung penambahan resource Cloud Asset API tingkat organisasi atau tingkat folder ke perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi
resource Cloud Asset API level organisasi atau level folder. Untuk mengelola izin Inventaris Aset Cloud di tingkat folder atau organisasi, sebaiknya gunakan IAM.
Anda tidak dapat mengekspor aset pada tingkat folder atau organisasi ke tujuan
di dalam perimeter layanan.
Anda tidak dapat membuat feed real-time untuk aset di tingkat folder atau organisasi dengan topik Pub/Sub di dalam perimeter layanan.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
translate.googleapis.com
Detail
API untuk Terjemahan dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Terjemahan, lihat
dokumentasi produk.
Batasan
Cloud Translation - Advanced (v3) mendukung Kontrol Layanan VPC, tetapi tidak mendukung Cloud Translation - Basic (v2). Untuk menerapkan Kontrol Layanan VPC,
Anda harus menggunakan Cloud Translation - Advanced (v3). Untuk informasi selengkapnya tentang berbagai edisi, lihat Membandingkan Dasar dan Lanjutan.
Untuk mengetahui informasi selengkapnya tentang Live Stream API, lihat dokumentasi produk.
Batasan
Untuk melindungi endpoint input dengan perimeter layanan, Anda harus mengikuti
petunjuk untuk menyiapkan kumpulan pribadi dan mengirim streaming video input melalui koneksi
pribadi.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
storagetransfer.googleapis.com
Detail
Sebaiknya tempatkan project Storage Transfer Service Anda dalam perimeter layanan yang sama dengan resource Cloud Storage Anda. Tindakan ini akan melindungi transfer dan resource Cloud Storage Anda. Storage Transfer Service juga
mendukung skenario di mana project Storage Transfer Service
tidak berada di perimeter yang sama dengan bucket Cloud Storage Anda,
menggunakan kebijakan keluar.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
servicecontrol.googleapis.com
Detail
API untuk Kontrol Layanan dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Kontrol Layanan, lihat dokumentasi produk.
Batasan
Saat memanggil Service Control API dari jaringan VPC di perimeter layanan dengan Kontrol Layanan yang dibatasi untuk metrik penagihan atau analisis laporan, Anda hanya dapat menggunakan metode laporan Kontrol Layanan guna melaporkan metrik untuk layanan yang didukung Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
redis.googleapis.com
Detail
API untuk Memorystore for Redis dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Memorystore for Redis, lihat dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Memorystore for Redis API. Perimeter
tidak melindungi akses data normal pada instance Memorystore for Redis
dalam jaringan yang sama.
Jika Cloud Storage API juga terlindungi, maka
operasi impor dan ekspor Memorystore for Redis hanya dapat membaca dan
menulis ke bucket Cloud Storage dalam perimeter layanan yang sama dengan
instance Memorystore for Redis.
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Redis dalam perimeter yang sama agar permintaan Redis berhasil. Selain permintaan yang diblokir, pemisahan project host dan project layanan dengan perimeter dapat
menyebabkan kegagalan instance Redis kapan saja. Untuk mengetahui informasi selengkapnya, lihat persyaratan konfigurasi Memorystore for Redis.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
memcache.googleapis.com
Detail
API untuk Memorystore for Memcached dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Memorystore for Memcached, lihat dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Memorystore for Memcached API. Perimeter tidak melindungi akses data normal pada instance Memorystore untuk Memcached dalam jaringan yang sama.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Tidak. API untuk Transfer Appliance tidak dapat dilindungi oleh perimeter layanan.
Namun, Transfer Appliance dapat digunakan biasanya dalam project di dalam perimeter.
Detail
Transfer Appliance didukung sepenuhnya untuk project yang menggunakan Kontrol Layanan VPC.
Transfer Appliance tidak menawarkan API, sehingga tidak mendukung fitur terkait API di Kontrol Layanan VPC.
Untuk informasi selengkapnya tentang Transfer Appliance, lihat dokumentasi produk.
Batasan
Saat Cloud Storage dilindungi oleh Kontrol Layanan VPC, kunci Cloud KMS yang Anda bagikan kepada Tim Transfer Appliance harus berada dalam project yang sama dengan bucket Cloud Storage tujuan.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
orgpolicy.googleapis.com
Detail
API untuk Layanan Kebijakan Organisasi dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Layanan Kebijakan Organisasi, lihat dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung pembatasan akses ke kebijakan organisasi level folder atau level organisasi yang diwarisi oleh project.
Kontrol Layanan VPC melindungi resource Organization Policy Service API level project.
Misalnya, jika aturan masuk membatasi pengguna untuk mengakses Organization Policy Service API, pengguna tersebut akan mendapatkan error 403 saat membuat kueri untuk kebijakan organisasi yang diterapkan pada project. Akan tetapi, pengguna masih dapat mengakses kebijakan organisasi dari folder dan organisasi yang berisi project tersebut.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
oslogin.googleapis.com
Detail
Anda dapat memanggil OS Login API dari dalam perimeter Kontrol Layanan VPC. Untuk mengelola Login OS dari dalam perimeter Kontrol Layanan VPC, siapkan Login OS.
Koneksi SSH ke instance VM tidak dilindungi oleh Kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang Login OS, lihat dokumentasi produk.
Batasan
Metode Login OS untuk membaca dan menulis kunci SSH tidak menerapkan perimeter Kontrol Layanan VPC. Gunakan layanan yang dapat diakses VPC untuk menonaktifkan akses ke OS Login API.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
servicehealth.googleapis.com
Detail
API untuk Personalized Service Health dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Personalized Service Health, lihat dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung resource OrganizationEvents dan OrganizationImpacts di Service Health API. Oleh karena itu, pemeriksaan kebijakan Kontrol Layanan VPC tidak akan terjadi saat Anda memanggil metode
untuk resource ini. Namun, Anda dapat memanggil metode dari perimeter layanan menggunakan VIP yang dibatasi.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
osconfig.googleapis.com
Detail
Anda dapat memanggil OS Config API dari dalam perimeter Kontrol Layanan VPC. Untuk menggunakan Pengelola VM dari dalam perimeter Kontrol Layanan VPC, siapkan Pengelola VM.
Untuk informasi lebih lanjut tentang VM Manager, lihat dokumentasi produk.
Batasan
Untuk melindungi VM Manager sepenuhnya, Anda harus menyertakan semua API berikut dalam perimeter Anda:
API Konfigurasi OS (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
Artifact Analysis API (containeranalysis.googleapis.com)
Pengelola VM tidak menghosting konten paket dan patch. OS patch management menggunakan alat update untuk sistem operasi yang mengharuskan update dan patch paket diambil di VM. Agar patching berfungsi, Anda mungkin perlu menggunakan Cloud NAT atau menghosting repositori paket Anda sendiri atau Windows Server Update Service dalam Virtual Private Cloud Anda.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workflows.googleapis.com
Detail
Workflows adalah platform orkestrasi yang dapat menggabungkan layanan Google Cloud dan
API berbasis HTTP untuk menjalankan layanan dalam urutan yang telah Anda tetapkan.
Saat Anda melindungi Workflows API menggunakan perimeter layanan, Workflow Executions API juga akan terlindungi. Anda tidak perlu menambahkan workflowexecutions.googleapis.com secara terpisah ke daftar layanan terlindungi di perimeter Anda.
Permintaan HTTP dari eksekusi Workflows didukung sebagai berikut:
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
file.googleapis.com
Detail
API untuk Filestore dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Filestore, lihat dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Filestore API. Perimeter tidak melindungi akses data NFS normal pada instance Filestore dalam jaringan yang sama.
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Filestore di dalam perimeter yang sama agar instance Filestore dapat berfungsi dengan benar. Memisahkan project host dan project layanan dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan mungkin tidak akan membuat instance baru.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
parallelstore.googleapis.com
Detail
Untuk informasi selengkapnya tentang Parallelstore, lihat dokumentasi produk.
Batasan
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project
host yang menyediakan jaringan dan project layanan yang berisi
instance Parallelstore di dalam perimeter yang sama agar instance Parallelstore
dapat berfungsi dengan benar. Memisahkan project host dan project layanan dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan mungkin tidak akan membuat instance baru.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containerthreatdetection.googleapis.com
Detail
API untuk Container Threat Detection dapat dilindungi dengan Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi lebih lanjut tentang Container Threat Detection, lihat dokumentasi produk.
Batasan
Tidak ada batasan umum pada integrasi Container Threat Detection dengan Kontrol Layanan VPC.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
adsdatahub.googleapis.com
Detail
Untuk mengetahui informasi selengkapnya tentang Ads Data Hub, lihat
dokumentasi produk.
Batasan
Ads Data Hub dan Kontrol Layanan VPC tunduk pada persyaratan layanan yang berbeda. Tinjau persyaratan setiap produk untuk mengetahui detailnya.
Fitur Ads Data Hub tertentu (seperti aktivasi audiens kustom, bidding kustom, dan tabel pencocokan LiveRamp) mengharuskan data pengguna tertentu diekspor ke luar perimeter Kontrol Layanan VPC. Jika Ads Data Hub ditambahkan sebagai layanan yang dibatasi, layanan tersebut akan mengabaikan kebijakan Kontrol Layanan VPC
untuk fitur tersebut agar dapat mempertahankan fungsinya.
Semua layanan dependen harus disertakan sebagai layanan yang diizinkan dalam perimeter Kontrol Layanan VPC yang sama. Misalnya, karena Ads Data Hub bergantung pada BigQuery, BigQuery juga harus
ditambahkan. Secara umum, praktik terbaik Kontrol Layanan VPC merekomendasikan untuk menyertakan semua layanan dalam perimeter, yaitu "membatasi semua layanan".
Pelanggan dengan struktur akun Ads Data Hub multi-tingkat (seperti agensi dengan
anak perusahaan) harus memiliki semua project admin mereka di perimeter yang sama. Untuk mempermudah,
Ads Data Hub merekomendasikan agar pelanggan dengan struktur akun multi-tingkat membatasi
project admin mereka ke organisasi Google Cloud yang sama.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
sts.googleapis.com
Detail
Kontrol Layanan VPC hanya membatasi pertukaran token jika audience dalam permintaan adalah resource level project. Misalnya, permintaan tersebut tidak membatasi permintaan untuk token dengan cakupan yang lebih rendah, karena permintaan tersebut tidak memiliki audiens. Hal ini juga tidak membatasi permintaan untuk penggabungan
identitas tenaga kerja karena audiens adalah resource level org.
Untuk mengetahui informasi selengkapnya tentang Security Token Service, lihat dokumentasi produk.
Batasan
Integrasi Layanan Token Keamanan dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Layanan firestore.googleapis.com, datastore.googleapis.com,
dan firestorekeyvisualizer.googleapis.com dipaketkan menjadi satu.
Jika Anda membatasi layanan firestore.googleapis.com di dalam perimeter, perimeter juga akan membatasi layanan datastore.googleapis.com dan firestorekeyvisualizer.googleapis.com.
Untuk mendapatkan perlindungan traffic keluar penuh pada operasi impor dan ekspor, Anda harus menggunakan agen layanan Firestore. Lihat informasi selengkapnya di sini:
Layanan App Engine lama yang dipaketkan untuk Datastore
tidak mendukung perimeter layanan. Melindungi layanan Datastore
dengan perimeter layanan akan memblokir traffic dari
layanan paket lama App Engine. Layanan paket lama meliputi:
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
vmmigration.googleapis.com
Detail
API untuk Migrate to Virtual Machines dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut biasanya dapat digunakan di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Migrate to Virtual Machines, lihat dokumentasi produk.
Batasan
Untuk melindungi Migrate to Virtual Machines sepenuhnya, tambahkan semua API berikut ke perimeter layanan:
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
migrationcenter.googleapis.com
rapidmigrationassessment.googleapis.com
Detail
Kontrol Layanan VPC memungkinkan Anda melindungi data infrastruktur yang dikumpulkan dengan Pusat Migrasi dengan perimeter layanan.
Untuk informasi selengkapnya tentang Pusat Migrasi, lihat dokumentasi produk.
Batasan
Setelah mengaktifkan perimeter layanan, Anda tidak dapat mentransfer data infrastruktur ke StratoZone.
Anda tidak dapat mengekspor laporan harga mendetail jika perimeter layanan diaktifkan.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
backupdr.googleapis.com
Detail
API untuk Layanan Pencadangan dan DR dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Layanan Pencadangan dan DR, lihat dokumentasi produk.
Batasan
Jika Anda menghapus rute default internet dari project produsen layanan menggunakan perintah gcloud services vpc-peerings enable-vpc-service-controls,
Anda mungkin tidak akan dapat mengakses atau men-deploy konsol pengelolaan. Jika Anda mengalami masalah ini, hubungi Google Cloud Customer Care.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
gkebackup.googleapis.com
Detail
Anda dapat menggunakan Kontrol Layanan VPC untuk melindungi cadangan untuk GKE, dan Anda dapat menggunakan cadangan untuk fitur GKE biasanya di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Pencadangan untuk GKE, lihat dokumentasi produk.
Batasan
Integrasi Pencadangan untuk GKE dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
integrations.googleapis.com
Detail
Application Integration adalah sistem pengelolaan alur kerja kolaboratif yang memungkinkan Anda membuat, meningkatkan, men-debug, dan memahami alur kerja sistem bisnis inti.
Alur kerja pada Application Integration terdiri dari pemicu dan tugas.
Ada beberapa jenis pemicu seperti pemicu API/pemicu Pub/Sub/pemicu cron/pemicu sfdc.
Untuk informasi selengkapnya tentang Application Integration, lihat dokumentasi produk.
Batasan
Kontrol Layanan VPC melindungi log Integrasi Aplikasi. Jika Anda menggunakan Application Integration, verifikasi dukungan untuk integrasi
vpcsc dengan tim Application Integration.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
connectors.googleapis.com
Detail
API untuk Konektor Integrasi dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Integration Connectors, lihat dokumentasi produk.
Batasan
Saat menggunakan Kontrol Layanan VPC, jika koneksi Anda terhubung ke resource non-Google Cloud CLI, tujuan koneksi harus berupa lampiran Private Service Connect. Koneksi yang dibuat tanpa lampiran Private Service Connect akan gagal.
Jika Anda menyiapkan perimeter layanan Kontrol Layanan VPC untuk project Google Cloud CLI, Anda tidak dapat menggunakan
fitur langganan peristiwa untuk project tersebut.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
clouderrorreporting.googleapis.com
Detail
API untuk Error Reporting dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Error Reporting, lihat dokumentasi produk.
Batasan
Notifikasi yang dikirim saat grup error baru atau yang berulang ditemukan berisi informasi tentang grup error tersebut. Untuk mencegah pemindahan data yang tidak sah di luar perimeter Kontrol Layanan VPC, pastikan saluran notifikasi berada dalam organisasi Anda.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workstations.googleapis.com
Detail
API untuk Cloud Workstation dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud Workstations, lihat dokumentasi produk.
Batasan
Untuk melindungi Cloud Workstation sepenuhnya, Anda harus membatasi Compute Engine API di perimeter layanan setiap kali Anda membatasi Cloud Workstation API.
Pastikan Google Cloud Storage API, Google Container Registry API, dan Artifact Registry API
dapat diakses VPC di perimeter layanan Anda. Ini diperlukan untuk menarik image ke workstation Anda. Sebaiknya Anda juga mengizinkan Cloud Logging API dan Cloud Error Reporting API untuk diakses VPC di perimeter layanan Anda, meskipun tidak diwajibkan untuk menggunakan Cloud Workstation.
Pastikan cluster workstation Anda disetel ke
pribadi.
Dengan mengonfigurasi cluster pribadi, koneksi ke workstation Anda akan dicegah dari luar perimeter layanan VPC Anda.
Pastikan Anda menonaktifkan alamat IP publik di konfigurasi workstation
Anda. Jika hal ini tidak dilakukan, VM dengan alamat IP publik di project Anda akan muncul. Sebaiknya gunakan batasan kebijakan organisasi constraints/compute.vmExternalIpAccess untuk menonaktifkan alamat IP publik untuk semua VM di perimeter layanan VPC Anda. Untuk mengetahui detailnya, lihat
Membatasi alamat IP eksternal ke VM tertentu.
Saat terhubung ke workstation, kontrol akses hanya didasarkan pada apakah jaringan
pribadi tempat Anda terhubung berada dalam perimeter keamanan atau tidak. Kontrol akses berdasarkan perangkat, alamat IP publik, atau lokasi tidak didukung.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ids.googleapis.com
Detail
API untuk Cloud IDS dapat dilindungi oleh Kontrol Layanan VPC, dan produk tersebut
dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Cloud IDS, lihat dokumentasi produk.
Batasan
Cloud IDS menggunakan Cloud Logging untuk membuat log ancaman di project Anda. Jika Cloud Logging dibatasi oleh perimeter layanan, Kontrol Layanan VPC akan memblokir log ancaman Cloud IDS, meskipun Cloud IDS tidak ditambahkan sebagai layanan yang dibatasi ke perimeter tersebut. Untuk menggunakan Cloud IDS di dalam perimeter layanan, Anda harus mengonfigurasi aturan masuk untuk
akun layanan Cloud Logging di perimeter layanan Anda.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
policytroubleshooter.googleapis.com
Detail
Saat Anda membatasi Policy Pemecah Masalah API dengan perimeter, akun utama dapat memecahkan masalah IAM mengizinkan kebijakan hanya jika semua resource yang terlibat dalam permintaan berada dalam perimeter yang sama. Biasanya ada dua
resource yang terlibat dalam permintaan pemecahan masalah:
Referensi yang aksesnya Anda memecahkan masalah. Resource ini dapat berupa jenis
apa pun. Anda secara eksplisit menentukan resource ini saat memecahkan masalah kebijakan izinkan.
Resource yang Anda gunakan untuk memecahkan masalah akses. Resource ini berupa project, folder, atau organisasi. Di konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.
Resource ini dapat sama dengan resource yang aksesnya Anda pecahkan, tetapi
tidak harus demikian.
Jika resource ini tidak berada dalam perimeter yang sama, permintaan akan gagal.
Untuk mengetahui informasi lebih lanjut tentang Pemecah Masalah Kebijakan, lihat dokumentasi produk.
Batasan
Tidak ada batasan umum untuk integrasi Pemecah Masalah Kebijakan dengan Kontrol Layanan VPC.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
policysimulator.googleapis.com
Detail
Saat Anda membatasi Policy Simulator API dengan perimeter, akun utama
dapat menyimulasikan kebijakan izin hanya jika resource tertentu yang terlibat dalam
simulasi berada di perimeter yang sama. Ada beberapa resource yang terlibat dalam simulasi:
Resource yang kebijakan izinnya Anda simulasikan. Resource ini juga disebut resource
target. Di konsol Google Cloud, ini adalah resource yang kebijakan izinkannya Anda edit. Di gcloud CLI dan REST API, Anda menentukan resource ini secara eksplisit saat menyimulasikan kebijakan izinkan.
Project, folder, atau organisasi yang membuat dan menjalankan simulasi. Resource ini juga disebut resource host. Di konsol Google Cloud dan gcloud CLI, resource ini disimpulkan berdasarkan project, folder, atau organisasi yang Anda pilih. Di REST API, Anda menentukan resource ini menggunakan header x-goog-user-project.
Resource ini bisa sama dengan resource yang Anda simulasi aksesnya, tetapi tidak harus demikian.
Resource yang menyediakan log akses untuk
simulasi. Dalam simulasi, selalu ada satu resource
yang memberikan log akses untuk simulasi. Resource ini bervariasi
bergantung pada jenis resource target:
Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Policy Simulator akan mengambil log akses untuk project atau organisasi tersebut.
Jika Anda menyimulasikan kebijakan izinkan untuk jenis resource yang berbeda,
Policy Simulator akan mengambil log akses untuk organisasi atau project induk
resource tersebut.
Jika Anda menyimulasikan beberapa kebijakan izin resource sekaligus, Simulator Kebijakan akan mengambil log akses untuk organisasi atau project umum terdekat dari resource.
Semua resource yang didukung dengan kebijakan izin yang relevan.
Saat menjalankan simulasi, Policy Simulator mempertimbangkan semua kebijakan izinkan yang mungkin memengaruhi akses pengguna, termasuk kebijakan izinkan pada ancestor dan resource turunan resource target. Akibatnya, resource ancestor dan turunan ini juga digunakan dalam simulasi.
Jika resource target dan resource host tidak berada dalam perimeter yang sama, permintaan akan gagal.
Jika resource target dan resource yang menyediakan log akses untuk simulasi tidak berada di perimeter yang sama, permintaan akan gagal.
Jika resource target dan beberapa resource yang didukung dengan kebijakan izinkan yang relevan tidak berada di perimeter yang sama, permintaan akan berhasil, tetapi hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan untuk sebuah project dalam sebuah perimeter, hasilnya tidak akan mencakup kebijakan izin organisasi induk project, karena organisasi selalu berada di luar perimeter Kontrol Layanan VPC. Untuk mendapatkan hasil yang lebih lengkap, Anda dapat mengonfigurasi aturan masuk dan keluar untuk perimeter.
Untuk informasi selengkapnya tentang Policy Simulator, lihat dokumentasi produk.
Batasan
Tidak ada batasan umum untuk integrasi Simulator Kebijakan dengan Kontrol Layanan VPC.
API untuk Identity Platform dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Identity Platform, lihat dokumentasi produk.
Batasan
Untuk melindungi Identity Platform sepenuhnya, tambahkan Secure Token API (securetoken.googleapis.com) ke perimeter layanan untuk mengizinkan refresh token. securetoken.googleapis.com tidak tercantum di halaman Kontrol Layanan VPC Google Cloud Console.
Anda hanya dapat menambahkan layanan ini dengan perintah gcloud access-context-manager
perimeters update.
Jika aplikasi Anda juga terintegrasi dengan fitur fungsi pemblokiran, tambahkan Cloud Functions (cloudfunctions.googleapis.com) ke perimeter layanan.
Penggunaan autentikasi multi-faktor (MFA), autentikasi email, atau penyedia identitas pihak ketiga berbasis SMS menyebabkan data dikirim keluar dari perimeter. Jika Anda tidak menggunakan MFA dengan SMS, autentikasi email, atau penyedia identitas pihak ketiga, nonaktifkan fitur ini.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
gkemulticloud.googleapis.com
Detail
API untuk GKE Multi-Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang GKE Multi-Cloud, lihat
dokumentasi produk.
Batasan
Untuk melindungi Identity Platform sepenuhnya, tambahkan Secure Token API (securetoken.googleapis.com) ke perimeter layanan untuk mengizinkan refresh token. securetoken.googleapis.com tidak tercantum di halaman Kontrol Layanan VPC Google Cloud Console.
Anda hanya dapat menambahkan layanan ini dengan perintah gcloud access-context-manager
perimeters update.
Jika aplikasi Anda juga terintegrasi dengan fitur fungsi pemblokiran, tambahkan Cloud Functions (cloudfunctions.googleapis.com) ke perimeter layanan.
Penggunaan autentikasi multi-faktor (MFA), autentikasi email, atau penyedia identitas pihak ketiga berbasis SMS menyebabkan data dikirim keluar dari perimeter. Jika Anda tidak menggunakan MFA dengan SMS, autentikasi email, atau penyedia identitas pihak ketiga, nonaktifkan fitur ini.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Tidak. API untuk Google Distributed Cloud Virtual untuk Bare Metal tidak dapat dilindungi oleh perimeter layanan.
Namun, Google Distributed Cloud Virtual untuk Bare Metal dapat digunakan secara normal dalam project yang ada di dalam perimeter.
Detail
Anda dapat membuat cluster di lingkungan Anda yang terhubung ke VPC menggunakan Cloud Interconnect atau Cloud VPN.
Untuk mengetahui informasi selengkapnya tentang Google Distributed Cloud Virtual untuk Bare Metal, lihat
dokumentasi produk.
Batasan
Saat Anda membuat atau mengupgrade cluster menggunakan GDCV untuk Bare Metal, gunakan
flag --skip-api-check dalam bmctl untuk mengabaikan panggilan Service Usage
API (serviceusage.googleapis.com), karena Service Usage API
(serviceusage.googleapis.com) tidak didukung oleh Kontrol Layanan VPC.
GDCV untuk Bare Metal memanggil Service Usage API untuk memvalidasi bahwa API yang diperlukan telah diaktifkan dalam suatu project; dan tidak digunakan untuk memvalidasi keterjangkauan endpoint API.
Guna melindungi GDCV untuk Bare Metal, gunakan VIP Terbatas di GDCV untuk Bare Metal, dan tambahkan semua API berikut ke perimeter layanan:
Artifact Registry API (artifactregistry.googleapis.com)
API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
Hubungkan Gateway API (connectgateway.googleapis.com)
Google Container Registry API (containerregistry.googleapis.com)
GKE Connect API (gkeconnect.googleapis.com)
GKE Hub API (gkehub.googleapis.com)
GKE On-Prem API (gkeonprem.googleapis.com)
API Cloud IAM (iam.googleapis.com)
Cloud Logging API (logging.googleapis.com)
Cloud Monitoring API (monitoring.googleapis.com)
Config Monitoring untuk Ops API (opsconfigmonitoring.googleapis.com)
API Kontrol Layanan (servicecontrol.googleapis.com)
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ondemandscanning.googleapis.com
Detail
API untuk On-Demand Scanning API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan seperti biasa di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang On-Demand Scanning API, lihat dokumentasi produk.
Batasan
Integrasi On-Demand Scanning API dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
looker.googleapis.com
Detail
API untuk Looker (Google Cloud core) dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Looker (Google Cloud core), lihat dokumentasi produk.
Batasan
Hanya instance Looker (Google Cloud core) edisi Enterprise atau Embed yang menggunakan koneksi IP pribadi yang mendukung kepatuhan Kontrol Layanan VPC. Instance Looker (Google Cloud core) dengan koneksi IP publik atau koneksi IP publik dan pribadi tidak mendukung kepatuhan Kontrol Layanan VPC. Untuk membuat instance yang menggunakan koneksi IP pribadi, pilih Private IP di bagian Networking pada halaman Create instance di Google Cloud Console.
Saat menempatkan atau membuat instance Looker (Google Cloud core) di dalam perimeter layanan Kontrol Layanan VPC, Anda harus menghapus rute default ke internet dengan memanggil metode services.enableVpcServiceControls atau dengan menjalankan perintah gcloud berikut:
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
publicca.googleapis.com
Detail
API untuk Public Certificate Authority dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Public Certificate Authority, lihat dokumentasi produk.
Batasan
Integrasi Public Certificate Authority dengan Kontrol Layanan VPC tidak memiliki batasan umum.
API untuk Security Command Center dapat dilindungi oleh Kontrol Layanan VPC, dan Security Command Center dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Security Command Center, lihat dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung akses ke resource Security Command Center API level folder atau tingkat organisasi dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC
melindungi resource Security Command Center API level project. Anda dapat menentukan kebijakan keluar untuk mencegah akses ke resource Security Command Center API level project dari project di dalam perimeter.
Kontrol Layanan VPC tidak mendukung penambahan resource Security Command Center API level folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Security Command Center API level folder atau level organisasi. Untuk mengelola izin Security Command Center di tingkat folder atau organisasi, sebaiknya gunakan IAM.
Kontrol Layanan VPC tidak mendukung layanan postur keamanan karena resource postur keamanan (seperti postur, deployment postur, dan template postur yang telah ditentukan) adalah resource tingkat organisasi.
Anda tidak dapat mengekspor temuan pada tingkat folder atau organisasi ke tujuan
di dalam perimeter layanan.
Anda harus mengaktifkan akses perimeter dalam skenario berikut:
Saat Anda mengaktifkan notifikasi penemuan
pada tingkat folder atau organisasi dan topik Pub/Sub berada di dalam perimeter layanan.
Saat Anda mengekspor data ke BigQuery dari tingkat folder atau organisasi dan BigQuery berada di dalam perimeter layanan.
Ketika Anda mengintegrasikan Security Command Center dengan produk SIEM atau SOAR, dan produk tersebut akan di-deploy di dalam perimeter layanan di lingkungan Google Cloud. SIEM dan SOAR yang didukung mencakup Splunk dan
IBM QRadar.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudsupport.googleapis.com
Detail
API untuk Cloud Customer Care dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi lebih lanjut tentang Cloud Customer Care, lihat dokumentasi produk.
Batasan
Kontrol Layanan VPC melindungi data yang diakses melalui Cloud Support API, tetapi tidak melindungi data yang diakses melalui Konsol Google Cloud.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
discoveryengine.googleapis.com
Detail
API untuk Vertex AI Search and Conversation - Vertex AI Search dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Vertex AI Search and Conversation - Vertex AI Search, lihat dokumentasi produk.
Batasan
Integrasi Vertex AI Search and Conversation - Vertex AI Search dengan Kontrol Layanan VPC tidak memiliki batasan umum.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
confidentialcomputing.googleapis.com
Detail
API untuk Confidential Space dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Confidential Space, lihat dokumentasi produk.
Batasan
Confidential Space memerlukan akses baca ke bucket Cloud Storage untuk mendownload sertifikat yang digunakan untuk memvalidasi token pengesahannya. Jika bucket Cloud Storage ini berada di luar perimeter, Anda harus membuat aturan keluar berikut:
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ssh-serialport.googleapis.com
Detail
Agar dapat menggunakan perlindungan Kontrol Layanan VPC saat terhubung ke konsol serial
untuk instance virtual machine (VM), Anda harus menentukan aturan masuk
untuk perimeter layanan. Saat menyiapkan aturan masuk, tingkat akses untuk sumber harus berupa nilai berbasis IP dan nama layanan yang ditetapkan ke ssh-serialport.googleapis.com.
Aturan masuk diperlukan untuk mengakses konsol serial meskipun permintaan sumber dan resource target berada di perimeter yang sama.
Untuk informasi selengkapnya tentang Konsol serial, lihat dokumentasi produk.
Batasan
Anda tidak dapat mengakses konsol seri menggunakan Akses Google Pribadi. Anda hanya dapat mengakses konsol serial
dari internet publik.
Saat menggunakan konsol serial, aturan traffic masuk atau keluar berbasis identitas tidak dapat digunakan untuk mengizinkan akses ke konsol serial.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Untuk mengetahui informasi selengkapnya tentang Google Cloud VMware Engine, lihat
dokumentasi produk.
Batasan
Saat menambahkan jaringan VMware Engine, Private Cloud, Kebijakan Jaringan, dan Peering VPC yang sudah ada ke Perimeter Layanan VPC, resource yang dibuat sebelumnya tidak akan diperiksa lagi untuk mengetahui apakah resource tersebut masih mematuhi kebijakan perimeter.
Untuk mengetahui informasi selengkapnya tentang Dataform, lihat dokumentasi produk.
Batasan
Agar dapat menggunakan perlindungan Kontrol Layanan VPC untuk Dataform, Anda harus menetapkan kebijakan organisasi `dataform.restrictGitRemotes` dan membatasi BigQuery dengan perimeter layanan yang sama dengan Dataform.
Anda harus memastikan bahwa izin Identity and Access Management yang diberikan ke akun layanan Anda
yang digunakan di Dataform mencerminkan arsitektur keamanan Anda.
GA. Integrasi produk ini didukung sepenuhnya oleh Kontrol Layanan VPC.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
websecurityscanner.googleapis.com
Detail
Web Security Scanner dan Kontrol Layanan VPC tunduk pada persyaratan layanan yang berbeda.
Tinjau persyaratan setiap produk untuk mengetahui detailnya.
Web Security Scanner mengirimkan temuannya ke Security Command Center sesuai permintaan. Anda dapat melihat atau mendownload data dari dasbor Security Command Center.
Untuk mengetahui informasi selengkapnya tentang Web Security Scanner, lihat dokumentasi produk.
Batasan
Integrasi Web Security Scanner dengan Kontrol Layanan VPC tidak memiliki batasan umum.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
securesourcemanager.googleapis.com
Detail
Anda perlu mengonfigurasi Certificate Authority Service dengan certificate authority yang berfungsi sebelum membuat instance Kontrol Layanan VPC Secure Source Manager.
Anda perlu mengonfigurasi Private Service Connect sebelum mengakses instance Kontrol Layanan VPC Secure Source Manager.
Untuk informasi selengkapnya tentang Secure Source Manager, lihat dokumentasi produk.
Batasan
SERVICE_NOT_ALLOWED_FROM_VPC pelanggaran log audit yang disebabkan oleh batasan GKE dapat diabaikan.
Untuk membuka antarmuka web Kontrol Layanan VPC dengan browser, browser memerlukan akses ke URL berikut:
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
apikeys.googleapis.com
Detail
API untuk kunci API dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi lebih lanjut tentang kunci API, lihat dokumentasi produk.
Batasan
Integrasi kunci API dengan Kontrol Layanan VPC tidak memiliki batasan umum.
API untuk Earth Engine dapat dilindungi oleh Kontrol Layanan VPC dan produk tersebut dapat
digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya tentang Earth Engine, lihat dokumentasi produk.
Batasan
Code Editor Earth Engine, sebuah IDE berbasis web untuk Earth Engine JavaScript API, tidak didukung dan Kontrol Layanan VPC tidak mengizinkan penggunaan Editor Kode Earth Engine dengan resource dan klien di dalam perimeter layanan.
Aset lama tidak dilindungi oleh Kontrol Layanan VPC.
Aplikasi Earth Engine tidak didukung untuk resource dan klien di dalam perimeter layanan.
Kontrol Layanan VPC hanya tersedia untuk paket harga Earth Engine Premium dan Profesional. Untuk mengetahui informasi lebih lanjut tentang paket harga, lihat
paket Earth Engine.
Untuk mengetahui informasi selengkapnya tentang batasan dan contoh solusi, lihat
dokumentasi kontrol
akses Earth Engine.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC masih dalam tahap Pratinjau dan siap untuk diuji serta digunakan secara lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi.
Lindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
apphub.googleapis.com
Detail
Pusat Aplikasi memungkinkan Anda menemukan dan mengatur resource infrastruktur ke dalam
aplikasi. Anda dapat menggunakan perimeter Kontrol Layanan VPC untuk melindungi resource
Pusat Aplikasi.
Untuk mengetahui informasi selengkapnya tentang Pusat Aplikasi, lihat
dokumentasi produk.
Batasan
Anda harus menyiapkan Kontrol Layanan VPC pada project layanan dan host Pusat Aplikasi
sebelum membuat aplikasi serta mendaftarkan layanan dan workload ke aplikasi.
Pusat Aplikasi mendukung jenis resource berikut:
IP virtual terbatas (VIP) memberikan cara bagi VM yang berada di dalam perimeter layanan untuk melakukan panggilan ke layanan Google Cloud tanpa mengekspos permintaan tersebut ke internet. Untuk daftar lengkap layanan yang tersedia di VIP terbatas, lihat Layanan yang didukung oleh VIP yang dibatasi.
Layanan yang tidak didukung
Error akan terjadi jika Anda mencoba membatasi layanan yang tidak didukung menggunakan alat command line gcloud atau
Access Context Manager API.
Akses lintas project ke data layanan yang didukung akan diblokir oleh Kontrol Layanan VPC.
Selain itu, VIP terbatas dapat digunakan untuk memblokir kemampuan beban kerja untuk memanggil layanan yang tidak didukung.
Batasan umum lainnya
Bagian ini menjelaskan batasan umum pada layanan, produk, dan antarmuka Google Cloud tertentu yang dapat dihadapi saat menggunakan Kontrol Layanan VPC.
Untuk mengetahui batasan terkait produk yang didukung oleh Kontrol Layanan VPC, lihat tabel Produk yang Didukung.
Untuk mengetahui informasi lebih lanjut tentang penyelesaian masalah dengan Kontrol Layanan VPC, lihat halaman Pemecahan masalah.
API AutoML
Jika Anda menggunakan AutoML API dengan Kontrol Layanan VPC, batasan berikut berlaku:
Anda tidak dapat menambahkan endpoint regional yang didukung, seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam satu perimeter. Saat Anda melindungi layanan automl.googleapis.com, perimeter ini juga akan melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation,
AutoML Tables
dan AutoML Video Intelligence
semuanya menggunakan AutoML API.
Saat Anda menggunakan perimeter layanan untuk melindungi
automl.googleapis.com, akses ke semua produk AutoML yang
diintegrasikan dengan Kontrol Layanan VPC dan digunakan di dalam
perimeter akan terpengaruh. Anda harus mengonfigurasi perimeter Kontrol Layanan VPC
untuk semua produk AutoML terintegrasi yang digunakan di dalam
perimeter tersebut.
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
API AutoML (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
App Engine
App Engine (lingkungan standar dan lingkungan fleksibel) tidak didukung oleh Kontrol Layanan VPC. Jangan sertakan project App Engine di perimeter layanan.
Namun, Anda dapat mengizinkan aplikasi App Engine yang dibuat dalam project di luar perimeter layanan untuk membaca dan menulis data ke layanan yang dilindungi di dalam perimeter. Agar aplikasi Anda dapat mengakses data layanan yang dilindungi, buat tingkat akses yang menyertakan akun layanan App Engine project. Hal ini tidak memungkinkan App Engine digunakan di dalam perimeter layanan.
Solusi Bare Metal
Solusi Bare Metal tidak mendukung Kontrol Layanan VPC. Menghubungkan VPC
dengan kontrol layanan yang diaktifkan ke lingkungan Solusi Bare Metal Anda
tidak menegakkan jaminan kontrol layanan apa pun.
Bare Metal Solution API dapat ditambahkan ke perimeter yang aman. Namun, perimeter Kontrol Layanan VPC tidak mencakup lingkungan Solusi Bare Metal di perluasan regional.
Blockchain Node Engine
Kontrol Layanan VPC hanya melindungi Blockchain Node Engine API.
Saat node dibuat, Anda tetap harus menunjukkan bahwa node tersebut dimaksudkan untuk jaringan pribadi yang dikonfigurasi pengguna dengan Private Service Connect.
Traffic peer-to-peer tidak terpengaruh oleh Kontrol Layanan VPC atau Private Service Connect dan akan terus menggunakan internet publik.
Library klien
Library klien Java dan Python untuk semua layanan yang didukung sepenuhnya
didukung untuk akses menggunakan VIP yang dibatasi. Dukungan untuk
bahasa lain berada pada tahap Alfa
dan sebaiknya hanya digunakan untuk tujuan pengujian.
Klien harus menggunakan library klien yang telah diupdate mulai 1 November
2018 atau setelahnya.
Kunci akun layanan atau metadata klien OAuth2 yang digunakan oleh klien harus
diperbarui mulai 1 November 2018 atau setelahnya. Klien lama yang menggunakan endpoint
token harus berubah ke endpoint yang ditentukan dalam metadata klien/materi kunci
yang lebih baru.
Penagihan Cloud
Anda dapat mengekspor data Penagihan Cloud ke bucket Cloud Storage atau instance BigQuery dalam project yang dilindungi oleh perimeter layanan tanpa mengonfigurasi tingkat akses atau aturan ingress.
Cloud Deployment Manager
Deployment Manager tidak didukung oleh Kontrol Layanan VPC.
Pengguna mungkin dapat memanggil layanan yang sesuai dengan Kontrol Layanan VPC, tetapi mereka tidak boleh mengandalkan layanan ini karena dapat rusak di masa mendatang.
Sebagai solusinya, Anda dapat menambahkan akun layanan
Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com)
ke tingkat akses untuk memungkinkan panggilan ke API yang dilindungi oleh Kontrol Layanan VPC.
Cloud Shell
Kontrol Layanan VPC tidak mendukung Cloud Shell. Kontrol Layanan VPC
memperlakukan Cloud Shell sebagai hal di luar perimeter layanan dan menolak
akses ke data yang dilindungi oleh Kontrol Layanan VPC. Namun, Kontrol Layanan VPC
memungkinkan akses ke Cloud Shell jika perangkat yang memenuhi
persyaratan tingkat akses
dari perimeter layanan memulai Cloud Shell.
Konsol Google Cloud
Karena hanya dapat diakses melalui internet, konsol Google Cloud diperlakukan sebagai di luar perimeter layanan. Jika Anda menerapkan perimeter layanan, antarmuka Google Cloud Console untuk layanan yang Anda lindungi mungkin tidak dapat diakses sebagian atau sepenuhnya. Misalnya, jika Anda melindungi Logging dengan perimeter, Anda tidak akan dapat mengakses antarmuka Logging di Konsol Google Cloud.
Untuk mengizinkan akses dari konsol Google Cloud ke resource yang dilindungi oleh perimeter, Anda perlu membuat tingkat akses untuk rentang IP publik yang mencakup komputer pengguna yang ingin menggunakan konsol Google Cloud dengan API yang dilindungi. Misalnya, Anda dapat menambahkan rentang IP publik gateway NAT jaringan pribadi ke tingkat akses, lalu menetapkan tingkat akses tersebut ke perimeter layanan.
Jika ingin membatasi akses Konsol Google Cloud ke perimeter hanya untuk sekelompok pengguna tertentu, Anda juga dapat menambahkan pengguna tersebut ke level akses. Dalam hal ini, hanya pengguna tertentu yang dapat mengakses konsol Google Cloud.
Permintaan melalui konsol Google Cloud dari jaringan yang
mengaktifkan Akses Google Pribadi, termasuk jaringan yang secara implisit diaktifkan oleh
Cloud NAT, dapat diblokir meskipun jaringan sumber
dan resource target yang meminta berada di perimeter yang sama. Hal ini karena
akses Google Cloud Console melalui Akses Google Pribadi tidak
didukung oleh Kontrol Layanan VPC.
Akses layanan pribadi
Akses layanan pribadi mendukung deployment instance layanan di jaringan VPC Bersama.
Jika Anda menggunakan konfigurasi ini dengan Kontrol Layanan VPC, pastikan
project host yang menyediakan jaringan dan project layanan yang
berisi instance layanan berada di dalam perimeter Kontrol Layanan VPC yang sama. Jika tidak, permintaan mungkin akan diblokir dan instance layanan
mungkin tidak berfungsi dengan benar.
Untuk mengetahui informasi selengkapnya tentang layanan yang mendukung akses layanan pribadi,
lihat Layanan yang didukung.
Multi-Cloud GKE
Kontrol Layanan VPC hanya berlaku untuk resource dalam project Google Cloud Anda. Lingkungan cloud pihak ketiga yang menghosting cluster GKE Multi-Cloud Anda tidak menjunjung jaminan kontrol layanan apa pun.
Google Distributed Cloud Virtual untuk Bare Metal
Kontrol Layanan VPC hanya berlaku untuk mesin bare metal yang terhubung ke project jaringan VPC yang menggunakan VIP Terbatas.