|
ステータス |
プレビュー |
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
networkmanagement.googleapis.com
|
詳細 |
接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
接続テストの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
接続テストと VPC Service Controls の統合には既知の制限がありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
ml.googleapis.com
|
詳細 |
VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。
AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com )
- Pub/Sub API(
pubsub.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Google Kubernetes Engine API(
container.googleapis.com )
- Container Registry API(
containerregistry.googleapis.com )
- Cloud Logging API(
logging.googleapis.com )
詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。
サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。
AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
ml.googleapis.com
|
詳細 |
AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com )
- Pub/Sub API(
pubsub.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Google Kubernetes Engine API(
container.googleapis.com )
- Container Registry API(
containerregistry.googleapis.com )
- Cloud Logging API(
logging.googleapis.com )
詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。
AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。
AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
notebooks.googleapis.com
|
詳細 |
AI Platform Notebooks の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
AI Platform Notebooks の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
aiplatform.googleapis.com
beta
|
詳細 |
AI Platform(統合型)の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
AI Platform(統合型)の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
制限の詳細については、AI Platform(統合型)のドキュメントの制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
apigee.googleapis.com, apigeeconnect.googleapis.com
|
詳細 |
Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Apigee と VPC Service Controls との統合には次の制限があります。
- 統合ポータルを構成するには、追加の手順が必要です。
- サービス境界内に Drupal ポータルをデプロイする必要があります。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
meshca.googleapis.com
|
詳細 |
Anthos Service Mesh の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- サービス境界で保護できるのは、Cloud Service Mesh Certificate Authority API のみです。サービス境界を追加して、ID Namespace を保護できます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
artifactregistry.googleapis.com
|
詳細 |
Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Artifact Registry を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
Artifact Registry で使用可能な境界内のアーティファクトに加えて、読み取り専用の次の Google 管理の Container Registry リポジトリをサービス境界に関係なくすべてのプロジェクトで利用できます。
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
いずれの場合も、これらのリポジトリのリージョン版も利用できます。
mirror.gcr.io のキャッシュ イメージは、Container Registry が境界内にもある場合にのみ使用できます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
bigquery.googleapis.com
|
詳細 |
サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。
BigQuery の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls では、サービス境界で保護されている BigQuery リソースを別の組織にコピーできません。アクセスレベルでは、組織間でコピーすることはできません。
保護された BigQuery リソースを別の組織にコピーするには、データセット(CSV ファイルなど)をダウンロードして、そのファイルを他の組織にアップロードします。
サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。
サービス アカウントを使用してサービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内で実行する必要があります。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
bigquerydatatransfer.googleapis.com
|
詳細 |
サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。
BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
- BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。
- BigQuery Data Transfer Service は、サービス境界で保護されたプロジェクトにデータを転送するサードパーティのデータソースをサポートしていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
bigtable.googleapis.com
|
詳細 |
Cloud Bigtable の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
binaryauthorization.googleapis.com
beta
|
詳細 |
Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。
Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。
Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
privateca.googleapis.com
beta
|
詳細 |
Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
datacatalog.googleapis.com
|
詳細 |
Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。
Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
datafusion.googleapis.com
|
詳細 |
Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。
Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。
現在、Cloud Data Fusion データプレーンの UI では、ID ベースのアクセスを使用したアクセスレベルの指定はサポートされていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
compute.googleapis.com
|
詳細 |
Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。
- 機密性の高い API オペレーションへのアクセスを制限します
- 永続ディスクのスナップショットとカスタム イメージを境界に制限します
- インスタンス メタデータへのアクセスを制限します
Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。
Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
階層型ファイアウォールはサービス境界の影響を受けません。
VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。
共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。
サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、境界のアクセスレベルに、イメージを作成しているユーザーを一時的に追加する必要があります。
VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dataflow.googleapis.com
|
詳細 |
Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。
Dataflow の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。
すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。
Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dataproc.googleapis.com
|
詳細 |
Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。
Dataproc の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
metastore.googleapis.com
|
詳細 |
Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dialogflow.googleapis.com
|
詳細 |
Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Dialogflow と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dlp.googleapis.com
|
詳細 |
Cloud Data Loss Prevention の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudfunctions.googleapis.com
|
詳細 |
設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。
Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
vpcaccess.googleapis.com
|
詳細 |
サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudkms.googleapis.com
|
詳細 |
Cloud Key Management Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
gameservices.googleapis.com
|
詳細 |
Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Game Servers の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Game Servers と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
iaptunnel.googleapis.com
|
詳細 |
TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
managedidentities.googleapis.com
|
詳細 |
次の場合は追加の構成が必要です。
Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
recommender.googleapis.com
|
詳細 |
Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Recommender の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Recommender と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
secretmanager.googleapis.com
|
詳細 |
Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
pubsub.googleapis.com
|
詳細 |
VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。
Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- サービス境界で保護されているプロジェクトでは、push エンドポイントがデフォルトの
run.app URL とともに Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメインは機能しません)。Cloud Run との統合はプレビュー版です。
- サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
pubsublite.googleapis.com
|
詳細 |
VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。
Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
プレビュー。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudbuild.googleapis.com
|
詳細 |
Cloud Build で VPC Service Controls を使用できるのは、制限付きユーザーのみです。
Cloud Build の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Build で VPC Service Controls を使用できるのは、制限付きユーザーのみです。
|
|
|
ステータス |
一般提供 |
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
composer.googleapis.com
|
詳細 |
Composer を VPC Service Controls で使用できるように構成します。
Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。
DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。
DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。
Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。
|
|
|
ステータス |
プレビュー |
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
run.googleapis.com
|
詳細 |
Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。
Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- 組織のポリシーはまだ利用できません。
- まだコントロール プレーンに適用されません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
spanner.googleapis.com
|
詳細 |
Cloud Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Spanner と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
storage.googleapis.com
|
詳細 |
Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。
リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。
サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含むアクセスレベルを作成する必要があります。
監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります。
監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。
アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。
新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
sqladmin.googleapis.com
|
詳細 |
VPC Service Controls 境界は Cloud SQL Admin API を保護します。
Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
videointelligence.googleapis.com
|
詳細 |
Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
vision.googleapis.com
|
詳細 |
Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Vision API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
containeranalysis.googleapis.com
|
詳細 |
VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。
Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。
Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
containerregistry.googleapis.com
|
詳細 |
Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Container Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Container Registry を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。
Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界に関係なくすべてのプロジェクトで使用できます。
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
- mirror.gcr.io
いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
container.googleapis.com, gkeconnect.googleapis.com, gkehub.googleapis.com
|
詳細 |
Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudresourcemanager.googleapis.com
beta
|
詳細 |
Resource Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
logging.googleapis.com
|
詳細 |
VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、フォルダレベルと組織レベルのログは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。
Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
ログのエクスポート シンク(includeChildren が true のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。
現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。
サービス境界で保護されているリソースに組織またはフォルダのログ エクスポートを設定するには、そのログシンクのサービス アカウントをアクセスレベルに追加して、宛先のサービス境界に割り当てる必要があります。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。
詳しくは、以下のページをご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
monitoring.googleapis.com
|
詳細 |
Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。
Google Cloud Console の Monitoring は VPC Service Controls をサポートしていますが、従来の Cloud Monitoring コンソールの VPC Service Controls は完全にはサポートされていません。
Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。
GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。
ワークスペースの指標のクエリの場合、ワークスペースのホスト プロジェクトの VPC Service Controls 境界のみが考慮され、ワークスペース内の個々のモニタリング対象プロジェクトの境界は考慮されません。
プロジェクトを既存のワークスペースにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトがワークスペースのホスト プロジェクトと同じ VPC Service Controls 境界にある場合のみです。
Cloud Console でサービス境界で保護されているホスト プロジェクトの Monitoring にアクセスするには、アクセスレベルを使用します。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudprofiler.googleapis.com
|
詳細 |
Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudtrace.googleapis.com
|
詳細 |
Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
tpu.googleapis.com
|
詳細 |
Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
language.googleapis.com
|
詳細 |
Natural Language API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudasset.googleapis.com
|
詳細 |
VPC Service Controls はフォルダや組織リソースをサポートしていないため、フォルダや組織レベルでの Cloud Asset API 経由でアセットにアクセスすることは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。
Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- フォルダレベルまたは組織レベルで Cloud Asset API を呼び出す場合、フォルダまたは組織に属するサービス境界内のプロジェクトのデータには引き続きアクセスできます。Cloud Asset Inventory の権限の管理をフォルダと組織レベルで行うには、IAM を使用することをおすすめします。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
speech.googleapis.com
|
詳細 |
Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
texttospeech.googleapis.com
|
詳細 |
Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
translate.googleapis.com
|
詳細 |
Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Translation と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
transcoder.googleapis.com
beta
|
詳細 |
Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
accessapproval.googleapis.com
beta
|
詳細 |
Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Access Approval の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Access Approval と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
healthcare.googleapis.com
beta
|
詳細 |
Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
storagetransfer.googleapis.com
|
詳細 |
STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、境界ブリッジまたはアクセスレベルを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。
設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。
Transfer service for on-premises data
ベータ版では、Transfer Service for On Premises Data(オンプレミス用 Transfer)は、Transfer ペイロードについてのみ VPC Service Controls をサポートします。これには、オンプレミス用 Transfer エージェントが、アクセスレベルに追加され、境界内のリソースへのアクセスを許可するシナリオや、オンプレミス用 Transfer エージェントが、ターゲット Cloud Storage バケットと Transfer Service for On Premises Data のジョブで共有される境界内にあるときのシナリオを含みます。
詳細については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。
オブジェクト名などのファイル メタデータは、境界内で保持されるとは限りません。詳細については、VPC Service Controls とメタデータをご覧ください。
Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Transfer Service for On Premises Data は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
servicecontrol.googleapis.com
|
詳細 |
Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Control の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金と分析の指標を報告することはできません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
redis.googleapis.com
|
詳細 |
Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。
Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。
|
|
|
ステータス |
プレビュー。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
memcache.googleapis.com
|
詳細 |
Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
servicedirectory.googleapis.com
beta
|
詳細 |
Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Service Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
いいえ。Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
|
詳細 |
Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。
Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。
Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
-
Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
oslogin.googleapis.com
|
詳細 |
VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。
VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。
OS Login の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と OS Login の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
osconfig.googleapis.com
|
詳細 |
VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。
VM Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。
- OS Config API(
osconfig.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- Container Analysis API(
containeranalysis.googleapis.com )
|
|