|
|
| ステータス |
一般提供 |
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
cloudsearch.googleapis.com
|
|
詳細 |
Google Cloud Search は、Virtual Private Cloud Security Controls(VPC-SC)をサポートして、データのセキュリティを強化します。VPC-SC によって、Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。
Cloud Search の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Search リソースは GCP プロジェクトに保存されないため、VPC 境界で保護されたプロジェクトで Cloud Search のお客様の設定を更新する必要があります。VPC プロジェクトは、すべての Cloud Search リソースの仮想プロジェクト コンテナとして機能します。このマッピングを行わないと、Cloud Search API で VPC Service Controls が動作しません。
Google Cloud Search で VPC Service Controls を有効にする完全な手順については、Google Cloud Search のためにセキュリティを強化するをご覧ください。
|
|
|
|
|
ステータス |
プレビュー |
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
networkmanagement.googleapis.com
|
|
詳細 |
接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
接続テストの詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
接続テストと VPC Service Controls の統合には既知の制限がありません。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
ml.googleapis.com
|
|
詳細 |
VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。
AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com)
- Pub/Sub API(
pubsub.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Google Kubernetes Engine API(
container.googleapis.com)
- Container Registry API(
containerregistry.googleapis.com)
- Cloud Logging API(
logging.googleapis.com)
詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。 サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。 AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
ml.googleapis.com
|
|
詳細 |
AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com)
- Pub/Sub API(
pubsub.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Google Kubernetes Engine API(
container.googleapis.com)
- Container Registry API(
containerregistry.googleapis.com)
- Cloud Logging API(
logging.googleapis.com)
詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。 AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。 AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
notebooks.googleapis.com
|
|
詳細 |
Notebooks の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Notebooks の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
aiplatform.googleapis.com
|
|
詳細 |
Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Vertex AI の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
制限事項の詳細については、Vertex AI ドキュメントの制限事項をご覧ください。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
apigee.googleapis.com,
apigeeconnect.googleapis.com
|
|
詳細 |
Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
Apigee と VPC Service Controls との統合には次の制限があります。
- 統合ポータルを構成するには、追加の手順が必要です。
- サービス境界内に Drupal ポータルをデプロイする必要があります。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
meshca.googleapis.com |
|
詳細 |
Anthos Service Mesh の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
サービス境界は現在、Anthos Service Mesh マネージド コントロール プレーンではサポートされていません。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
artifactregistry.googleapis.com
|
|
詳細 |
Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
- Artifact Registry は
pkg.dev ドメインを使用するため、*.pkg.dev が private.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
Artifact Registry で使用可能な境界内のアーティファクトに加えて、読み取り専用の次の Google 管理の Container Registry リポジトリをサービス境界に関係なくすべてのプロジェクトで利用できます。
gcr.io/asci-toolchaingcr.io/cloud-airflow-releasergcr.io/cloud-buildersgcr.io/cloud-dataflowgcr.io/cloud-marketplacegcr.io/cloud-ssagcr.io/cloudsql-dockergcr.io/config-management-releasegcr.io/foundry-devgcr.io/fn-imggcr.io/gke-node-imagesgcr.io/gke-releasegcr.io/google-containersgcr.io/kubeflowgcr.io/kubeflow-images-publicgcr.io/kubernetes-helmgcr.io/istio-releasegcr.io/ml-pipelinegcr.io/projectcalico-orggcr.io/rbe-containersgcr.io/rbe-windows-test-imagesgcr.io/speckle-umbrellagcr.io/stackdriver-agentsgcr.io/tensorflowgcr.io/vertex-aigcr.io/vertex-ai-restrictedgke.gcr.iok8s.gcr.io
いずれの場合も、これらのリポジトリのリージョン版も利用できます。
mirror.gcr.io のキャッシュ イメージは、Container Registry が境界内にもある場合にのみ使用できます。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
automl.googleapis.com,
eu-automl.googleapis.com
|
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Compute Engine API(
compute.googleapis.com)
- BigQuery API(
bigquery.googleapis.com)
AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
automl.googleapis.com,
eu-automl.googleapis.com
|
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Compute Engine API(
compute.googleapis.com)
- BigQuery API(
bigquery.googleapis.com)
AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
automl.googleapis.com,
eu-automl.googleapis.com
|
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Compute Engine API(
compute.googleapis.com)
- BigQuery API(
bigquery.googleapis.com)
AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
automl.googleapis.com,
eu-automl.googleapis.com
|
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Compute Engine API(
compute.googleapis.com)
- BigQuery API(
bigquery.googleapis.com)
AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
automl.googleapis.com,
eu-automl.googleapis.com
|
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Compute Engine API(
compute.googleapis.com)
- BigQuery API(
bigquery.googleapis.com)
AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の 制限事項をご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
bigquery.googleapis.com
|
|
詳細 |
サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。
BigQuery の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。 サービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内、または境界の下り(外向き)ルールで許可されたプロジェクト内で実行しなければなりません。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
bigquerydatatransfer.googleapis.com
|
|
詳細 |
サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。
BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
- BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。
- BigQuery Data Transfer Service は、サービス境界で保護されたプロジェクトにデータを転送するサードパーティのデータソースをサポートしていません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
bigtable.googleapis.com,
bigtableadmin.googleapis.com
|
|
詳細 |
Cloud Bigtable の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
binaryauthorization.googleapis.com
|
|
詳細 |
Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。
Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。
Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
privateca.googleapis.com
|
|
詳細 |
Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
datacatalog.googleapis.com
|
|
詳細 |
Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。
Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
datafusion.googleapis.com
|
|
詳細 |
Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。
Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。 現在、Cloud Data Fusion データプレーンの UI では、上り(内向き)ルールまたはアクセスレベルを使用するアクセスに基づく ID はサポートされていません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
compute.googleapis.com
|
|
詳細 |
Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。
- 機密性の高い API オペレーションへのアクセスを制限します
- 永続ディスクのスナップショットとカスタム イメージを境界に制限します
- インスタンス メタデータへのアクセスを制限します
Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。
Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
階層型ファイアウォールはサービス境界の影響を受けません。 VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。 共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。 サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、イメージを作成しているユーザーを上り(内向き)ルールに一時的に追加すべきです。 VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
dataflow.googleapis.com
|
|
詳細 |
Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。
Dataflow の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。 すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。
Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
dataproc.googleapis.com
|
|
詳細 |
Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。
Dataproc の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
- Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
metastore.googleapis.com
|
|
詳細 |
Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
dialogflow.googleapis.com
|
|
詳細 |
Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
dlp.googleapis.com
|
|
詳細 |
Cloud Data Loss Prevention の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
dns.googleapis.com
|
|
詳細 |
Cloud DNS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud DNS の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
documentai.googleapis.com
|
|
詳細 |
Document AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Document AI の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Document AI と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
eventarc.googleapis.com
|
|
詳細 |
Eventarc は、Pub/Sub トピックを使用してイベント配信を処理し、サブスクリプションを Cloud Run に push します。Pub/Sub API にアクセスしてイベント トリガーを管理するには、Eventarc API を Pub/Sub API と同じ VPC Service Controls サービス境界内で保護する必要があります。
Eventarc の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
Eventarc と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
cloudfunctions.googleapis.com
|
|
詳細 |
設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。
Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
Cloud Functions では、Cloud Build を使用してソースコードを実行可能なコンテナに構築します。サービス境界内で Cloud Functions を使用するには、サービス境界で Cloud Build サービス アカウントの上り(内向き)ルールを構成しなければなりません。 npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。 Firebase Realtime Database トリガーと Firebase Crashlytics トリガーの場合、ユーザーは、関数がデプロイされているプロジェクトのサービス境界外の Firebase Realtime Database または Firebase Crashlytics の変更によりトリガーされる関数をデプロイできます。この 2 つのトリガーの抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。
|
|
|
|
| ステータス |
ベータ版
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
iam.googleapis.com
|
|
詳細 |
境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。境界は、次のような他の API を使用するアクションを制限しません。
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API(IAM API のレガシー
signBlob メソッドと signJwt メソッドを含む)
IAM 周囲の境界では、Compute Engine 仮想マシン インスタンスなど、他のサービスが所有するリソースの IAM ポリシーの取得や設定も制限されません。これらのリソースの IAM ポリシーの取得と設定を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、IAM ポリシーを受け入れるリソースタイプをご覧ください。
Identity and Access Management の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
境界内にある場合は、空の文字列を使用して roles.list メソッドを呼び出し、IAM の事前定義ロールを一覧表示することはできません。事前定義されたロールを表示する必要がある場合は、IAM ロールのドキュメントをご覧ください。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
vpcaccess.googleapis.com
|
|
詳細 |
サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
cloudkms.googleapis.com
|
|
詳細 |
Cloud Key Management Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
gameservices.googleapis.com
|
|
詳細 |
Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Game Servers の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Game Servers と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
iaptunnel.googleapis.com
|
|
詳細 |
TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
|
|
|
|
| ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
lifesciences.googleapis.com
|
|
詳細 |
Cloud Life Sciences API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Life Sciences の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Life Sciences と VPC Service Controls の統合には、既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
managedidentities.googleapis.com
|
|
詳細 |
次の場合は追加の構成が必要です。
Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
recaptchaenterprise.googleapis.com
beta
|
|
詳細 |
reCAPTCHA Enterprise の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
reCAPTCHA Enterprise の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
reCAPTCHA Enterprise と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
recommender.googleapis.com
|
|
詳細 |
Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Recommender の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
Recommender と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
secretmanager.googleapis.com
|
|
詳細 |
Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
pubsub.googleapis.com
|
|
詳細 |
VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。
Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
- サービス境界で保護されているプロジェクトでは、push エンドポイントがデフォルトの
run.app URL とともに Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメインは機能しません)。Cloud Run との統合はプレビュー版です。
- サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
pubsublite.googleapis.com
|
|
詳細 |
VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。
Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
|
|
| ステータス |
一般提供 |
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
composer.googleapis.com
|
|
詳細 |
Composer を VPC Service Controls で使用できるように構成します。
Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。 DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。 DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。 Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
run.googleapis.com
|
|
詳細 |
Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。
Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
- Artifact Registry と Container Registry では、コンテナを保存するレジストリが、デプロイ先のプロジェクトと同じ VPC Service Controls の境界内に存在する必要があります。ビルドするコードは、コンテナが push されるレジストリと同じ VPC Service Controls の境界内に存在する必要があります。
- VPC Service Controls 境界内のプロジェクトでは、Cloud Run の継続的デプロイ機能を使用できません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
spanner.googleapis.com
|
|
詳細 |
Cloud Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Spanner と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
|
| ステータス |
プレビュー |
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
speakerid.googleapis.com
|
|
詳細 |
Speaker ID の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Speaker ID について詳しくは、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
Speaker ID と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
storage.googleapis.com
|
|
詳細 |
Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。
リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。 サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含む上り(内向き)ルールまたはアクセスレベルを作成する必要があります。 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります。 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。 アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。 新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。 - オブジェクトで VPC Service Controls を有効にした後でも、一般公開された Cloud Storage オブジェクトにアクセスできる場合があります。オブジェクトには、組み込みキャッシュで期限切れになるか、エンドユーザーと Cloud Storage 間のネットワーク上のアップストリーム キャッシュで期限切れになるまでアクセスできます。デフォルトでは、Cloud Storage は一般公開されているデータを Cloud Storage ネットワークのキャッシュに保存します。Cloud Storage オブジェクトがキャッシュに保存される方法については、Cloud Storage をご覧ください。オブジェクトがキャッシュに保存される期間については、キャッシュ制御メタデータをご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
sqladmin.googleapis.com
|
|
詳細 |
VPC Service Controls 境界は Cloud SQL Admin API を保護します。
Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
videointelligence.googleapis.com
|
|
詳細 |
Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
vision.googleapis.com
|
|
詳細 |
Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
VPC Service Controls の境界内から公開 URL の呼び出しを許可する下り(外向き)ルールを作成した場合でも、Cloud Vision API は公開 URL の呼び出しをブロックします。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
containeranalysis.googleapis.com
|
|
詳細 |
VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。
Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。
Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
containerregistry.googleapis.com
|
|
詳細 |
Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Container Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Container Registry は gcr.io ドメインを使用するため、*.gcr.io が private.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。 Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界によって適用される制限に関係なくすべてのプロジェクトで使用できます。
gcr.io/asci-toolchaingcr.io/cloud-airflow-releasergcr.io/cloud-buildersgcr.io/cloud-dataflowgcr.io/cloud-marketplacegcr.io/cloud-ssagcr.io/cloudsql-dockergcr.io/config-management-releasegcr.io/foundry-devgcr.io/fn-imggcr.io/gke-node-imagesgcr.io/gke-releasegcr.io/google-containersgcr.io/kubeflowgcr.io/kubeflow-images-publicgcr.io/kubernetes-helmgcr.io/istio-releasegcr.io/ml-pipelinegcr.io/projectcalico-orggcr.io/rbe-containersgcr.io/rbe-windows-test-imagesgcr.io/speckle-umbrellagcr.io/stackdriver-agentsgcr.io/tensorflowgcr.io/vertex-aigcr.io/vertex-ai-restrictedgke.gcr.iok8s.gcr.iomirror.gcr.io
いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
|
|
詳細 |
Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
- VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。
|
|
|
|
| ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
cloudresourcemanager.googleapis.com
beta
|
|
詳細 |
Resource Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
- 保護される Resource Manager API メソッドは v1
project.setIAMPolicy と v1beta1 project.setIAMPolicy です。
- プロジェクトへのオーナーロールの付与は、VPC Service Controls ではサポートされていません。ユーザーには、
project.setIAMPolicy を使用してオーナーロールを付与できません。オーナーロールを付与するための招待は Google Cloud Console を使用してのみ送信する必要があるため、現時点では VPC Service Controls を使用して制限することはできません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
logging.googleapis.com
|
|
詳細 |
VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、フォルダレベルと組織レベルのログは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。
Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
ログのエクスポート シンク(includeChildren が true のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。 組織またはフォルダのログ エクスポートをサービス境界で保護されているリソースに設定するには、サービス アカウントにそのログシンクの境界へのアクセスを許可する上り(内向き)ルールを宛先サービス境界に追加しなければなりません。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。
詳しくは、以下のページをご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
monitoring.googleapis.com
|
|
詳細 |
Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。 Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。 GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。 指標スコープの指標のクエリの場合、指標スコープのスコープ対象プロジェクトの VPC Service Controls の境界のみが考慮されます。指標スコープ内の個々のモニタリング対象プロジェクトの境界は考慮されません。 プロジェクトを既存の指標スコープにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトが指標スコープのスコープ対象プロジェクトと同じ VPC Service Controls 境界にある場合のみです。 サービス境界で保護されているホスト プロジェクトについて Cloud Console の Monitoring にアクセスするには、上り(内向き)ルールを使用します。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
cloudprofiler.googleapis.com
|
|
詳細 |
Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
cloudtrace.googleapis.com
|
|
詳細 |
Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
tpu.googleapis.com
|
|
詳細 |
Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
language.googleapis.com
|
|
詳細 |
Natural Language API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
networkconnectivity.googleapis.com
|
|
詳細 |
Network Connectivity Center の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Network Connectivity Center の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
Network Connectivity Center と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
cloudasset.googleapis.com
|
|
詳細 |
VPC Service Controls はフォルダや組織リソースをサポートしていないため、フォルダや組織レベルでの Cloud Asset API 経由でアセットにアクセスすることは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。
Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
- フォルダレベルまたは組織レベルで Cloud Asset API を呼び出す場合、フォルダまたは組織に属するサービス境界内のプロジェクトのデータには引き続きアクセスできます。Cloud Asset Inventory の権限の管理をフォルダと組織レベルで行うには、IAM を使用することをおすすめします。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
speech.googleapis.com
|
|
詳細 |
Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
texttospeech.googleapis.com
|
|
詳細 |
Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
translate.googleapis.com
|
|
詳細 |
Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Translation と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
transcoder.googleapis.com
beta
|
|
詳細 |
Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
accessapproval.googleapis.com
|
|
詳細 |
Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Access Approval の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Access Approval と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
healthcare.googleapis.com
|
|
詳細 |
Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
storagetransfer.googleapis.com
|
|
詳細 |
STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、境界ブリッジまたはアクセスレベルを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。
設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。
Transfer service for on-premises data
Transfer Service for On Premises Data(オンプレミス用 Transfer)は、転送ペイロードについてのみ VPC Service Controls をサポートします。これには、オンプレミス用 Transfer エージェントが、上り(内向き)ルールまたはアクセスレベルに追加され、境界内のリソースへのアクセスを許可するシナリオや、オンプレミス用 Transfer エージェントが、ターゲット Cloud Storage バケットと Transfer Service for On Premises Data のジョブで共有される境界内にあるときのシナリオを含みます。
詳細については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。
オブジェクト名などのファイル メタデータは、境界内で保持されるとは限りません。詳細については、VPC Service Controls とメタデータをご覧ください。
Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
- Transfer Service for On Premises Data は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
servicecontrol.googleapis.com
|
|
詳細 |
Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Control の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
- Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金の指標を報告することはできません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
redis.googleapis.com
|
|
詳細 |
Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。 Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。 共有 VPC と VPC Service Controls の両方を使用する場合、Redis リクエストを成功させるには、ネットワークを提供するホスト プロジェクトと、Redis インスタンスを含むサービス プロジェクトを同じ境界内に設定する必要があります。随時、ホスト プロジェクトとサービス プロジェクトを境界で分割すると、ブロックされたリクエストだけでなく、Redis インスタンスで障害が発生する可能性があります。詳細については、Memorystore for Redis の構成要件をご覧ください。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
memcache.googleapis.com
|
|
詳細 |
Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
servicedirectory.googleapis.com
|
|
詳細 |
Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Service Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか |
いいえ。Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
|
|
詳細 |
Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。
Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。
Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
-
Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。
|
|
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
oslogin.googleapis.com
|
|
詳細 |
VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。
VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。
OS Login の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項 |
VPC Service Controls と OS Login の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
osconfig.googleapis.com
|
|
詳細 |
VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。
VM Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。
- OS Config API(
osconfig.googleapis.com)
- Compute Engine API(
compute.googleapis.com)
- Container Analysis API(
containeranalysis.googleapis.com)
VM Manager はパッケージとパッチのコンテンツをホストしません。OS Patch Management では、オペレーティング システムの更新ツールを使用して、VM 上でパッケージの更新とパッチを取得する必要があります。パッチ適用が動作するために、Cloud NAT を使用するか、Virtual Private Cloud 内で独自のパッケージ リポジトリまたは Windows Server Update Service をホストすることが必要になる場合があります。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
file.googleapis.com
|
|
詳細 |
Filestore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Filestore の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Filestore と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
containerthreatdetection.googleapis.com
|
|
詳細 |
Container Threat Detection の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Container Threat Detection の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
Container Threat Detection と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
| ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
adsdatahub.googleapis.com
|
|
詳細 |
Ads Data Hub の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。
Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。
依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。
多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
trafficdirector.googleapis.com
|
|
詳細 |
Traffic Director の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Traffic Director の詳細については、プロダクト ドキュメントをご覧ください。
|
| 制限事項 |
Traffic Director と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
|
| ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
| 境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
| サービス名 |
sts.googleapis.com
|
|
詳細 |
VPC Service Controls がトークン交換を制限するのは、リクエストのオーディエンスがプロジェクト レベルのリソースである場合のみです。たとえば、スコープが限定されたトークンのリクエストにはオーディエンスがないため、制限が適用されません。
Security Token Service の詳細については、プロダクトのドキュメントをご覧ください。
|
| 制限事項 |
Security Token Service と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
