サポートされているプロダクトと制限事項

このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。

サポート対象サービス

VPC Service Controls がサポートするプロダクトは次のとおりです。

サポート対象サービス

AI Platform のトレーニング

詳細

VPC Service Controls は AI Platform Training ジョブをサポートしますが、2 つのプロダクトが 1 つの API を共有していても AI Platform Prediction(バッチ予測またはオンライン予測)をサポートしていません。

制限事項 既知の制限事項

AI Platform ノートブック

詳細

なし

制限事項 既知の制限事項

Anthos Service Mesh

詳細

VPC Service Controls 境界は Cloud Service Mesh 認証局 API のみを保護します。サービス境界を追加して、ID の名前空間を保護できます。

BigQuery

詳細

サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。

制限事項 既知の制限事項

Cloud Bigtable

詳細

なし

Cloud Data Fusion

詳細

Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。

制限事項 既知の制限事項

Compute Engine

詳細

Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタを利用できます。

制限事項 既知の制限事項

データフロー

詳細

Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。

制限事項 既知の制限事項

Dataproc

詳細

Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。

制限事項 既知の制限事項

Cloud Data Loss Prevention

詳細

なし

Cloud Functions

詳細

ベータ版では、Cloud Build を使用して Cloud Functions をビルドする場合、VPC Service Controls の保護はビルドフェーズには適用されません。Firebase Realtime Database のトリガーと Firebase Crashlytics のトリガーを除くすべての関数トリガーに VPC Service Control の保護が適用されます。詳しくは、既知の制限事項をご覧ください。

制限事項 既知の制限事項

Cloud Key Management Service

詳細

なし

Microsoft Active Directory のマネージド サービス

詳細

次の場合は追加の構成が必要です。

シークレット マネージャー

詳細

なし

Pub/Sub

詳細

VPC Service Control の保護は、既存の Pub/Sub プッシュ サブスクリプション以外のすべてのプッシュプル操作に適用されます。

制限事項 既知の制限事項

Cloud Spanner

詳細

なし

クラウド ストレージ

詳細

なし

制限事項 既知の制限事項

Cloud SQL

詳細

VPC Service Controls 境界は Cloud SQL Admin API を保護します。

制限事項 既知の制限事項

Video Intelligence API

詳細

なし

Cloud Vision API

詳細

なし

Container Registry

詳細

Container Registry API が保護されます。また、Container Registry、GKE、Compute Engine を VPC Service Controls で使用できます。

制限事項 既知の制限事項

Google Kubernetes Engine

詳細

なし

Resource Manager

詳細

なし

制限事項 既知の制限事項

Cloud Logging

詳細

VPC Service Controls は、ほとんどの種類のログを保護しますが、フォルダと組織のリソースはまだサポートしていません。このため、フォルダレベルと組織レベルのログは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

制限事項 既知の制限事項

Cloud Monitoring

詳細

なし

制限事項 既知の制限事項

Cloud Profiler

詳細

なし

Cloud Trace

詳細

なし

Cloud TPU

詳細

なし

Natural Language API

詳細

なし

Cloud Asset API

詳細

VPC Service Controls はフォルダや組織リソースをまだサポートしていないため、フォルダや組織レベルでの Cloud Asset API 経由でアセットにアクセスすることは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

制限事項 既知の制限事項

テキスト読み上げ

詳細

なし

翻訳

詳細

なし

Cloud Healthcare API

詳細

なし

制限事項 既知の制限事項

詳しくは、サポートされているサービスとサポートされていないサービスをご覧ください。

API とサービス境界

VPC Service Controls にサポートされているプロダクトすべてに、サービス境界によって保護されるサービスがあるわけではありません。次の API のみを境界で保護できます。

API とサービス アドレス
AI Platform Training and Prediction API ml.googleapis.com
BigQuery API bigquery.googleapis.com
Cloud Bigtable API bigtable.googleapis.com
Cloud Asset Inventory API cloudasset.googleapis.com
Cloud Data Fusion API datafusion.googleapis.com
Dataflow API dataflow.googleapis.com
Dataproc API dataproc.googleapis.com
Cloud Data Loss Prevention API dlp.googleapis.com
Cloud Functions API cloudfunctions.googleapis.com
Cloud Key Management Service API cloudkms.googleapis.com
シークレット マネージャー API secretmanager.googleapis.com
Cloud Natural Language API language.googleapis.com
Managed Service for Microsoft Active Directory API managedidentities.googleapis.com
Pub/Sub API pubsub.googleapis.com
Cloud Service Mesh Certificate Authority API meshca.googleapis.com
Cloud Spanner API spanner.googleapis.com
Cloud Storage API storage.googleapis.com
Cloud SQL API sqladmin.googleapis.com
Cloud Vision API vision.googleapis.com
Container Registry API containerregistry.googleapis.com
Google Kubernetes Engine API container.googleapis.com
GKE Connect API gkeconnect.googleapis.com
GKE Hub API gkehub.googleapis.com
Resource Manager API cloudresourcemanager.googleapis.com
Cloud Logging API logging.googleapis.com
Cloud Monitoring API monitoring.googleapis.com
Cloud Profiler API profiler.googleapis.com
Text-to-Speech API texttospeech.googleapis.com
Cloud Translation API translate.googleapis.com
Cloud Trace API cloudtrace.googleapis.com
Cloud TPU API tpu.googleapis.com
Video Intelligence API videointelligence.googleapis.com
Cloud Healthcare API healthcare.googleapis.com

サポートされていないサービス

サポートされていないサービスを gcloud コマンドライン ツールまたは Access Context Manager API で制限しようとするとエラーが発生します。

サポートされているサービスのデータに対するプロジェクト間のアクセスは、VPC Service Controls によってブロックされます。 また、制限付き VIP を使用して、サポートされていないサービスを呼び出すワークロードをブロックできます。

既知の制限事項

このセクションでは、VPC Service Controls の使用時に検出される特定の Google Cloud サービス、プロダクト、インターフェースに関する既知の制限事項について説明します。

VPC Service Controls に関する問題の解決方法については、トラブルシューティングをご覧ください。

AI Platform のトレーニング

  • AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。

    • AI Platform Training API と Prediction API(ml.googleapis.com
    • Pub/Sub API(pubsub.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Google Kubernetes Engine API(container.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Cloud Logging API(logging.googleapis.com

    詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

  • AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。

  • AI Platform Prediction ではなく AI Platform Training のみを保護することで、AI Platform Training と Prediction API を保護します。ただし、一部の AI Platform Prediction 機能は無効になっています

AI Platform ノートブック

  • VPC Service Controls サービス境界内で AI Platform Notebook を使用するには、次のドメインを制限付き VIP に指定するよう複数の DNS エントリを追加または構成します。

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

App Engine

  • App Engine(標準環境とフレキシブル環境の両方)は、VPC Service Controls ではサポートされません。サービス境界に App Engine プロジェクトを含めないでください。

    ただし、サービス境界の外側のプロジェクトで作成された App Engine アプリは、保護されたサービス境界に対するデータの読み取りと書き込みを行うことができます。アプリが保護されたサービスのデータにアクセスできるようにするには、プロジェクトの App Engine サービス アカウントを含むアクセスレベルを作成します。App Engine をサービス境界内で使用することはできません。

BigQuery

  • VPC Service Controls では、サービス境界で保護されている BigQuery リソースを別の組織にコピーすることはできません。アクセスレベルでは組織間でコピーすることはできません。

    保護された BigQuery リソースを別の組織にコピーするには、データセットを CSV ファイルなどでダウンロードし、そのファイルを別の組織にアップロードします。

  • BigQuery Data Transfer Service は、次のサービスでのみサポートされます。

    • キャンペーン マネージャー
    • Google アド マネージャー
    • Google 広告
    • Google Cloud Storage
    • Google Merchant Center
    • Google Play
    • YouTube
  • BigQuery の従来のウェブ UI はサポートされていません。BigQuery の従来のウェブ UI から、サービス境界で保護されている BigQuery インスタンスにアクセスできません。

  • BigQuery 用のサードパーティ ODBC ドライバを制限付き VIP で使用することはできません。

  • サービスが複数のリソースに対するアクセスを内部的に処理するので、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。

  • サービス・アカウントを使用してサービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内で実行する必要があります。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行し、VPC Service Controls によってクエリが拒否されます。

クライアント ライブラリ

  • 制限付き VIP を使用したアクセスに対して、すべてのサポート対象サービス用の Java および Python クライアント ライブラリが完全にサポートされています。他の言語のサポートはアルファ版段階で、テストのみの目的で使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたクライアント ライブラリを使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたサービス アカウントキーまたは OAuth2 クライアント メタデータを使用する必要があります。トークン エンドポイントを使用している古いクライアントは、新しい鍵マテリアル / クライアント メタデータで指定されているエンドポイントに変更する必要があります。

クラウドのお支払いとご請求

Cloud Build

  • Cloud Build は、VPC Service Controls ではサポートされていません。サービス境界内では Cloud Build を使用しないでください。

    ただし、サービス境界の外側のプロジェクトで作成された Cloud Build は、保護されたサービス境界に対するデータの読み取りと書き込みを行うことができます。Cloud Build が保護されたサービスのデータにアクセスできるようにするには、プロジェクトの Cloud Build サービス アカウントを含むアクセスレベルを作成します。Cloud Build をサービス境界内で使用することはできません。

Cloud Composer

  • Cloud Composer は、VPC Service Controls ではサポートされていません。サービス境界内で Cloud Composer を使用しないでください。

    Cloud Composer がサービス境界内のリソースにアクセスできるようにするには、サービス境界外のプロジェクトで Cloud Composer を有効にします。次に、Cloud Composer 環境のサービス アカウントからのリクエストを許可する境界にアクセスレベルを作成して適用します。

書き換える

  • VPC Service Controls インスタンスをプライベート IP アドレスで作成した場合は、VPC Service Controls を使用してさらに保護を強化できます。Google Cloud プロジェクトで、サービス境界内に VPC Service Controls のプライベート インスタンスを作成します。プライベート インスタンス内では、インスタンスと一緒にパッケージ化されたプラグインは、サービス境界によって適用される制限事項に従います。

  • VPC Service Controls パイプラインは、Dataproc クラスタで実行されます。サービス境界内で起動された Dataproc クラスタを保護するには、クラスタで内部プライベート IP アドレスのみを使用し(パブリック IP アドレスは使用しない)、VPC Service Controls インスタンスと同じプライベート VPC ネットワークにクラスタを配置する必要があります。プライベート IP アドレスを使用する VPC Service Controls インスタンスは、VPC Service Controls パイプラインの実行時に、内部プライベート IP アドレスを使用する Dataproc クラスタをデフォルトで作成します。

  • VPC Service Controls でサポートされていない Google Cloud API を使用するプラグインは使用しないでください。このようなプラグインを使用すると、VPC Service Controls によって API 呼び出しがブロックされ、パイプラインのプレビューと実行に失敗します。

Dataflow

  • カスタム BIND と restricted.googleapis.com VIP を Dataflow に使用することはできません。Dataflow の DNS 解決をカスタマイズできないためです。
  • すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。

Dataproc

Cloud Functions

  • Cloud Functions では、Cloud Build を使用してソースコードを実行可能なコンテナに構築します。サービス境界内で Cloud Functions を使用するには、サービス境界での Cloud Build サービス アカウントのアクセスレベルを構成する必要があります

  • npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM 役割を信頼できないデベロッパーに付与しないでください。

  • Firebase Realtime Database または Firebase Crashlytics のトリガーの場合、Firebase Realtime Database や Firebase Crashlytics の変更によってトリガーされる関数を、デプロイされているサービス境界外の異なるプロジェクトにデプロイできます。これらの 2 つのトリガーの抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM 役割を信頼できないデベロッパーに付与しないでください。

Pub/Sub

  • サービス境界の前に作成された Pub/Sub プッシュ サブスクリプションはブロックされません。

Cloud Shell

  • Cloud Shell はサポートされていません。サービス境界外として扱われ、VPC Service Controls で保護されたデータへのアクセスが拒否されます。

クラウド ストレージ

  • Cloud Storage サービスを保護するサービス境界のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。

    リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。

  • サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含むアクセスレベルを作成する必要があります。

  • 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります

  • 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。

  • アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。

  • 新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。

Compute Engine

  • 現在、サービス境界を使用して Compute Engine API を保護することはできません。

  • サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、境界のアクセスレベルに、イメージを作成しているユーザーを一時的に追加する必要があります。

  • サービス境界内での Compute Engine での Kubernetes の使用は、VPC Service Controls ではサポートされていません。

Container Registry

  • googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Container Registry を構成する必要があります。

  • Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界に関係なくすべてのプロジェクトで使用できます。

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    いずれの場合も、これらのリポジトリのリージョン版も利用できます。

Google Cloud Console

  • Cloud Console はインターネット経由でのみアクセスできるため、サービス境界外として扱われます。サービス境界を適用すると、保護されているサービスの Cloud Console インターフェースが一部または完全にアクセス不能になる場合があります。たとえば、Logging を境界で保護した場合、Cloud Console の Logging インターフェースにはアクセスできません。

    Cloud Console から保護されたリソースへのアクセスを許可するには、保護された API で Cloud Console を使用するユーザーのマシンを含むパブリック IP 範囲のアクセスレベルを作成する必要があります。たとえば、プライベート ネットワークの NAT ゲートウェイのパブリック IP 範囲をアクセスレベルに追加し、そのアクセスレベルをサービス境界に割り当てることができます。

    特定のユーザーのみに Cloud Console の境界へのアクセスを制限する場合は、ユーザーをアクセスレベルに追加することもできます。その場合、指定されたユーザーのみが Cloud Console にアクセスできます。

Resource Manager

Cloud Logging

  • ログのエクスポート シンク(includeChildrentrue のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。Cloud IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。

  • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。Cloud IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。

  • サービス境界で保護されているリソースに組織またはフォルダのログ エクスポートを設定するには、そのログシンクのサービス アカウントをアクセスレベルに追加して、宛先のサービス境界に割り当てる必要があります。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。

    詳しくは、以下のページをご覧ください。

Cloud Monitoring

  • 通知チャネル、アラート ポリシー、カスタム指標を併用すると、データやメタデータを抽出できます。現在、Monitoring のユーザーは組織外のエンティティ、たとえば「baduser@badcompany.com」を指す通知チャネルを設定できます。その後、通知チャネルを使用するカスタム指標と対応するアラート ポリシーが設定されます。その結果、カスタム指標を操作することで、VPC Service Controls 境界の外部の baduser@badcompany.com に機密データを漏洩させ、アラートをトリガーし、アラート呼び出し通知を送信できます。

  • Google Cloud Console の Monitoring は VPC Service Controls をサポートしていますが、従来の Cloud Monitoring コンソールの VPC Service Controls は完全にサポートされていません。

  • Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。

  • GKE ポッドは VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。

  • 指標をクエリする際にワークスペースワークスペースの VPC Service Controls の境界のみがホスト プロジェクト個人の周囲ではなくモニタリング プロジェクトワークスペース内の

  • プロジェクトを追加できるのはモニタリング プロジェクト既存のワークスペースそのプロジェクトがワークスペースと同じ VPC Service Controls 境界にある場合ホスト プロジェクト

Cloud Asset API

  • Cloud Asset API をフォルダや組織レベルで呼び出すと、フォルダや組織に属するサービス境界内のプロジェクトからのデータにもアクセスできます。Cloud IAM を使用して、Cloud Asset Inventory の権限をフォルダや組織レベルで管理することをおすすめします。

Cloud SQL

  • サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスのパブリック IP アクセスを制限するには、組織ポリシーの制約を使用する必要があります。

  • Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットからの読み取りと書き込みのみを実行できます。外部サーバー移行フローで、Cloud Storage バケットを同じサービス境界に追加する必要があります。CMEK のキーフローを作成する際は、使用したリソースと同じサービス境界でキーを作成する必要があります。注: バックアップからインスタンスを復元する場合、ターゲット インスタンスはバックアップと同じサービス境界に存在する必要があります。

Cloud Healthcare API

Cloud Healthcare API がサービス境界によって保護されている場合、FHIR ストアから BigQuery にはエクスポートできません。