|
ステータス |
一般提供 |
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudsearch.googleapis.com
|
詳細 |
Google Cloud Search は、Virtual Private Cloud Security Controls(VPC-SC)をサポートして、データのセキュリティを強化します。VPC-SC によって、Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。
Cloud Search の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Search リソースは GCP プロジェクトに保存されないため、VPC 境界で保護されたプロジェクトで Cloud Search のお客様の設定を更新する必要があります。VPC プロジェクトは、すべての Cloud Search リソースの仮想プロジェクト コンテナとして機能します。このマッピングを行わないと、Cloud Search API で VPC Service Controls が動作しません。
Google Cloud Search で VPC Service Controls を有効にする完全な手順については、Google Cloud Search のためにセキュリティを強化するをご覧ください。
|
|
|
ステータス |
プレビュー |
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
networkmanagement.googleapis.com
|
詳細 |
接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
接続テストの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
接続テストと VPC Service Controls の統合には既知の制限がありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
ml.googleapis.com
|
詳細 |
VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。
AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com )
- Pub/Sub API(
pubsub.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Google Kubernetes Engine API(
container.googleapis.com )
- Container Registry API(
containerregistry.googleapis.com )
- Cloud Logging API(
logging.googleapis.com )
詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。
サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。
AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
ml.googleapis.com
|
詳細 |
AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com )
- Pub/Sub API(
pubsub.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Google Kubernetes Engine API(
container.googleapis.com )
- Container Registry API(
containerregistry.googleapis.com )
- Cloud Logging API(
logging.googleapis.com )
詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。
AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。
AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
notebooks.googleapis.com
|
詳細 |
Vertex AI Workbench の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Vertex AI Workbench の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
aiplatform.googleapis.com
|
詳細 |
Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Vertex AI の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
制限事項の詳細については、Vertex AI ドキュメントの制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
apigee.googleapis.com, apigeeconnect.googleapis.com
|
詳細 |
Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Apigee と VPC Service Controls との統合には次の制限があります。
- 統合ポータルを構成するには、追加の手順が必要です。
- サービス境界内に Drupal ポータルをデプロイする必要があります。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
meshca.googleapis.com
|
詳細 |
Anthos Service Mesh の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
サービス境界は現在、Anthos Service Mesh マネージド コントロール プレーンではサポートされていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
artifactregistry.googleapis.com
|
詳細 |
Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Artifact Registry は
pkg.dev ドメインを使用するため、*.pkg.dev が private.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
Artifact Registry で使用可能な境界内のアーティファクトに加えて、読み取り専用の次の Google 管理の Container Registry リポジトリをサービス境界に関係なくすべてのプロジェクトで利用できます。
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
いずれの場合も、これらのリポジトリのリージョン版も利用できます。
mirror.gcr.io のキャッシュ イメージは、Container Registry が境界内にもある場合にのみ使用できます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
assuredworkloads.googleapis.com
|
詳細 |
Assured Workloads の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Assured Workloads の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Assured Workloads と VPC Service Controls の統合に既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
- サポートされているリージョン エンドポイント(
eu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
- サポートされているリージョン エンドポイント(
eu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
- サポートされているリージョン エンドポイント(
eu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
- サポートされているリージョン エンドポイント(
eu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
automl.googleapis.com, eu-automl.googleapis.com
|
詳細 |
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
- AutoML API(
automl.googleapis.com )
- Cloud Storage API(
storage.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- BigQuery API(
bigquery.googleapis.com )
AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
- サポートされているリージョン エンドポイント(
eu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
bigquery.googleapis.com
|
詳細 |
サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。
BigQuery の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。
サービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内、または境界の下り(外向き)ルールで許可されたプロジェクト内で実行しなければなりません。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
bigquerydatatransfer.googleapis.com
|
詳細 |
サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。Teradata からデータを移行するための VPC Service Controls の要件については、VPC Service Controls の要件をご覧ください。
BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
- BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。
- プロジェクト間でデータを転送するには、宛先と送信元のプロジェクトが同じ境界内にあるか、下り(外向き)ルールで境界外のデータ転送が許可されている必要があります。
- BigQuery Data Transfer Service は、サービス境界で保護されたプロジェクトにデータを転送するサードパーティのデータソースをサポートしていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
bigtable.googleapis.com, bigtableadmin.googleapis.com
|
詳細 |
bigtable.googleapis.com サービスと bigtableadmin.googleapis.com サービスがバンドルされています。境界で bigtable.googleapis.com サービスを制限すると、デフォルトで bigtableadmin.googleapis.com サービスが制限されます。bigtableadmin.googleapis.com サービスは bigtable.googleapis.com にバンドルされているため、境界の制限付きサービスのリストに追加できません。
Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
binaryauthorization.googleapis.com
|
詳細 |
Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。
Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。
Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
privateca.googleapis.com
|
詳細 |
Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
datacatalog.googleapis.com
|
詳細 |
Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。
Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
datafusion.googleapis.com
|
詳細 |
Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。
Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。
現在、Cloud Data Fusion データプレーンの UI では、上り(内向き)ルールまたはアクセスレベルを使用するアクセスに基づく ID はサポートされていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
compute.googleapis.com
|
詳細 |
Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。
- 機密性の高い API オペレーションへのアクセスを制限します
- 永続ディスクのスナップショットとカスタム イメージを境界に制限します
- インスタンス メタデータへのアクセスを制限します
Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。
Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
階層型ファイアウォールはサービス境界の影響を受けません。
VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。
共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。
サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、イメージを作成しているユーザーを上り(内向き)ルールに一時的に追加すべきです。
VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。
インタラクティブ シリアル コンソールでは、制限付き VIP はサポートされません。シリアル コンソールを使用してインスタンスのトラブルシューティングを行う必要がある場合は、オンプレミスの DNS 解決を構成して、インターネット経由でコマンドを ssh-serialport.googleapis.com に送信します。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
contactcenterinsights.googleapis.com
|
詳細 |
Contact Center AI Insights を VPC Service Controls で使用するには、インテグレーションに応じて、境界内に次の API を追加する必要があります。
Contact Center AI Insights にデータを読み込むには、サービス境界に Cloud Storage API を追加します。
エクスポートを使用するには、BigQuery API をサービス境界に追加します。
複数の CCAI プロダクトを統合するには、サービス境界に Vertex AI API を追加します。
Contact Center AI Insights の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Contact Center AI Insights と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dataflow.googleapis.com
|
詳細 |
Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。
Dataflow の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。
すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。
Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dataproc.googleapis.com
|
詳細 |
Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。
Dataproc の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
metastore.googleapis.com
|
詳細 |
Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と Dataproc Metastore のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
datastream.googleapis.com
|
詳細 |
Datastream の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Datastream の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Datastream と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
datamigration.googleapis.com
|
詳細 |
Database Migration Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Database Migration Service の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
- サービス境界は、Database Migration Service Admin API のみを保護します。基盤となるデータベース(Cloud SQL インスタンスなど)に対する IP ベースのデータアクセスは保護されません。パブリック IP から Cloud SQL インスタンスへのアクセスを制限するには、組織のポリシーの制約を使用します。
- 移行の初期ダンプフェーズで Cloud Storage ファイルを使用する場合は、同じサービス境界に Cloud Storage バケットを追加します。
- 宛先データベースで顧客管理の暗号鍵(CMEK)を使用する場合は、CMEK が、鍵を含む接続プロファイルと同じサービス境界にあることを確認してください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dialogflow.googleapis.com
|
詳細 |
Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dlp.googleapis.com
|
詳細 |
Cloud Data Loss Prevention の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
dns.googleapis.com
|
詳細 |
Cloud DNS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud DNS の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
documentai.googleapis.com
|
詳細 |
Document AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Document AI の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Document AI と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
eventarc.googleapis.com
|
詳細 |
Eventarc は、Pub/Sub トピックを使用してイベント配信を処理し、サブスクリプションを Cloud Run に push します。Pub/Sub API にアクセスしてイベント トリガーを管理するには、Eventarc API を Pub/Sub API と同じ VPC Service Controls サービス境界内で保護する必要があります。
Eventarc の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Eventarc と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
firebaserules.googleapis.com
|
詳細 |
VPC Service Controls の保護は、Firebase セキュリティ ルール ポリシーの管理にのみ適用されます。承認のために Firebase セキュリティ ルールに依存するサービスには、独自のサービス境界の構成が必要です。
Firebase セキュリティ ルールの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Firebase セキュリティ ルールの VPC Service Controls とのインテグレーションに関する既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudfunctions.googleapis.com
|
詳細 |
設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。
Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Functions では、Cloud Build を使用してソースコードを実行可能なコンテナに構築します。サービス境界内で Cloud Functions を使用するには、サービス境界で Cloud Build サービス アカウントの上り(内向き)ルールを構成する必要があります。
npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。
Firebase Realtime Database トリガーと Firebase Crashlytics トリガーの場合、ユーザーは、関数がデプロイされているプロジェクトのサービス境界外の Firebase Realtime Database または Firebase Crashlytics の変更によりトリガーされる関数をデプロイできます。この 2 つのトリガーの抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。
|
|
|
ステータス |
ベータ版
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
iam.googleapis.com
|
詳細 |
境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。境界は、次のような他の API を使用するアクションを制限しません。
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API(IAM API のレガシー
signBlob メソッドと signJwt メソッドを含む)
IAM 周囲の境界では、Compute Engine 仮想マシン インスタンスなど、他のサービスが所有するリソースの IAM ポリシーの取得や設定も制限されません。これらのリソースの IAM ポリシーの取得と設定を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、IAM ポリシーを受け入れるリソースタイプをご覧ください。
Identity and Access Management の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
境界内にある場合は、空の文字列を使用して roles.list メソッドを呼び出し、IAM の事前定義ロールを一覧表示することはできません。事前定義されたロールを表示する必要がある場合は、IAM ロールのドキュメントをご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
vpcaccess.googleapis.com
|
詳細 |
サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudkms.googleapis.com
|
詳細 |
Cloud Key Management Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
gameservices.googleapis.com
|
詳細 |
Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Game Servers の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Game Servers と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
iaptunnel.googleapis.com
|
詳細 |
TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
lifesciences.googleapis.com
|
詳細 |
Cloud Life Sciences API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Life Sciences の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Life Sciences と VPC Service Controls の統合には、既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
managedidentities.googleapis.com
|
詳細 |
次の場合は追加の構成が必要です。
Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
recaptchaenterprise.googleapis.com
|
詳細 |
reCAPTCHA Enterprise の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
reCAPTCHA Enterprise の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
reCAPTCHA Enterprise と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
webrisk.googleapis.com
|
詳細 |
Web Risk の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Web Risk の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Evaluate API と Submission API は VPC Service Controls ではサポートされていません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
recommender.googleapis.com
|
詳細 |
Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Recommender の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Recommender と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
secretmanager.googleapis.com
|
詳細 |
Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
pubsub.googleapis.com
|
詳細 |
VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。
Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- サービス境界で保護されているプロジェクトでは、push エンドポイントがデフォルトの
run.app URL とともに Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメインは機能しません)。Cloud Run の統合の詳細については、VPC Service Controls を使用するをご覧ください。
- サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
pubsublite.googleapis.com
|
詳細 |
VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。
Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス |
ベータ版
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
clouddeploy.googleapis.com
|
詳細 |
Google Cloud Deploy の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。
Google Cloud Deploy の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Google Cloud Deploy を境界で使用するには、ターゲットの実行環境に Cloud Build プライベート プールを使用する必要があります。デフォルト(Cloud Build)のワーカープールとハイブリッド プールは使用しないでください。
|
|
|
ステータス |
一般提供 |
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
composer.googleapis.com
|
詳細 |
Composer を VPC Service Controls で使用できるように構成します。
Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。
DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。
DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。
Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
run.googleapis.com
|
詳細 |
Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。
Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Artifact Registry と Container Registry では、コンテナを保存するレジストリが、デプロイ先のプロジェクトと同じ VPC Service Controls の境界内に存在する必要があります。ビルドするコードは、コンテナが push されるレジストリと同じ VPC Service Controls の境界内に存在する必要があります。
- VPC Service Controls 境界内のプロジェクトでは、Cloud Run の継続的デプロイ機能を使用できません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
spanner.googleapis.com
|
詳細 |
Cloud Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Spanner と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
speakerid.googleapis.com
|
詳細 |
Speaker ID の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Speaker ID について詳しくは、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Speaker ID と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
storage.googleapis.com
|
詳細 |
Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。
リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。
サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含む上り(内向き)ルールまたはアクセスレベルを作成する必要があります。
監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります。
監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。
アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。
新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。
- オブジェクトで VPC Service Controls を有効にした後でも、一般公開された Cloud Storage オブジェクトにアクセスできる場合があります。オブジェクトには、組み込みキャッシュで期限切れになるか、エンドユーザーと Cloud Storage 間のネットワーク上のアップストリーム キャッシュで期限切れになるまでアクセスできます。デフォルトでは、Cloud Storage は一般公開されているデータを Cloud Storage ネットワークのキャッシュに保存します。Cloud Storage オブジェクトがキャッシュに保存される方法については、Cloud Storage をご覧ください。オブジェクトがキャッシュに保存される期間については、キャッシュ制御メタデータをご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
sqladmin.googleapis.com
|
詳細 |
VPC Service Controls 境界は Cloud SQL Admin API を保護します。
Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
videointelligence.googleapis.com
|
詳細 |
Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
vision.googleapis.com
|
詳細 |
Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls の境界内から公開 URL の呼び出しを許可する下り(外向き)ルールを作成した場合でも、Cloud Vision API は公開 URL の呼び出しをブロックします。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
containeranalysis.googleapis.com
|
詳細 |
VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。
Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。
Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
containerregistry.googleapis.com
|
詳細 |
Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Container Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Container Registry は gcr.io ドメインを使用するため、*.gcr.io が private.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。
Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界によって適用される制限に関係なくすべてのプロジェクトで使用できます。
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
mirror.gcr.io
いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
container.googleapis.com
|
詳細 |
Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。
|
|
|
ステータス |
プレビュー |
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
containerfilesystem.googleapis.com
|
詳細 |
イメージ ストリーミングは、Artifact Registry に保存されているコンテナ イメージの pull 時間を短縮する GKE データ ストリーミング機能です。VPC Service Controls がコンテナ イメージを保護し、イメージ ストリーミングを使用する場合は、サービス境界に Image Streaming API も含める必要があります。
イメージ ストリーミングの詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
イメージ ストリーミングと VPC Service Controls の統合に既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
gkeconnect.googleapis.com, gkehub.googleapis.com, connectgateway.googleapis.com
|
詳細 |
Fleet management API(Connect gateway を含む)は VPC Service Controls で保護できます。フリート管理機能はサービス境界内で通常どおり使用できます。詳しくは以下をご覧ください。
フリートの詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
フリートと VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudresourcemanager.googleapis.com
beta
|
詳細 |
Resource Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- 保護される Resource Manager API メソッドは v1
project.setIAMPolicy と v1beta1 project.setIAMPolicy です。
- プロジェクトへのオーナーロールの付与は、VPC Service Controls ではサポートされていません。ユーザーには、
project.setIAMPolicy を使用してオーナーロールを付与できません。オーナーロールを付与するための招待は Google Cloud Console を使用してのみ送信する必要があるため、現時点では VPC Service Controls を使用して制限することはできません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
logging.googleapis.com
|
詳細 |
Cloud Logging の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
集約されたログシンク(includeChildren が true のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。IAM を使用して、フォルダレベルまたは組織レベルで Logging 権限を管理することをおすすめします。
VPC Service Controls では、フォルダまたは組織のリソースをサービス境界に追加できません。したがって、VPC Service Controls を使用して、フォルダレベルと組織レベルのログ(集約ログを含む)を保護することはできません。IAM を使用して、フォルダレベルまたは組織レベルで Logging 権限を管理することをおすすめします。
組織レベルまたはフォルダレベルのログシンクを使用して、サービス境界で保護されるリソースにログをルーティングする場合は、サービス境界に上り(内向き)ルールを追加する必要があります。上り(内向き)ルールで、ログシンクが使用するサービス アカウントからリソースへのアクセスを許可する必要があります。この手順は、プロジェクト レベルのシンクには必要ありません。
詳しくは、以下のページをご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
monitoring.googleapis.com
|
詳細 |
Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。
Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。
GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。
指標スコープの指標のクエリの場合、指標スコープのスコープ対象プロジェクトの VPC Service Controls の境界のみが考慮されます。指標スコープ内の個々のモニタリング対象プロジェクトの境界は考慮されません。
プロジェクトを既存の指標スコープにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトが指標スコープのスコープ対象プロジェクトと同じ VPC Service Controls 境界にある場合のみです。
サービス境界で保護されているホスト プロジェクトについて Cloud Console の Monitoring にアクセスするには、上り(内向き)ルールを使用します。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudprofiler.googleapis.com
|
詳細 |
Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudtrace.googleapis.com
|
詳細 |
Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
tpu.googleapis.com
|
詳細 |
Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
language.googleapis.com
|
詳細 |
Natural Language API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
networkconnectivity.googleapis.com
|
詳細 |
Network Connectivity Center の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Network Connectivity Center の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Network Connectivity Center と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
cloudasset.googleapis.com
|
詳細 |
Cloud Asset API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- VPC Service Controls では、サービス境界内のリソースとクライアントからのフォルダレベルまたは組織レベルの Cloud Asset API リソースへのアクセスをサポートしていません。VPC Service Controls は、プロジェクト レベルの Cloud Asset API リソースを保護します。下り(外向き)ポリシーを指定すると、境界内のプロジェクトから Cloud Asset API リソースへのプロジェクト レベルでのアクセスを防止できます。
- VPC Service Controls では、フォルダレベルまたは組織レベルの Cloud Asset API リソースのサービス境界への追加をサポートしていません。境界を使用してフォルダレベルまたは組織レベルの Cloud Asset API リソースを保護することはできません。IAM を使用して、フォルダレベルまたは組織レベルで Cloud Asset Inventory の権限を管理することをおすすめします。
- フォルダレベルまたは組織レベルで、サービス境界内の宛先にアセットをエクスポートすることはできません。
- サービス境界内の Pub/Sub トピックを使用して、フォルダレベルまたは組織レベルでアセットのリアルタイム フィードを作成することはできません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
speech.googleapis.com
|
詳細 |
Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
texttospeech.googleapis.com
|
詳細 |
Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
translate.googleapis.com
|
詳細 |
Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Translation - Advanced(v3)は VPC Service Controls をサポートしていますが、Cloud Translation - Basic(v2)はサポートしていません。VPC Service Controls を適用するには、Cloud Translation - Advanced(v3)を使用する必要があります。各エディションの詳細については、Basic と Advanced の比較をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
transcoder.googleapis.com
|
詳細 |
Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
accessapproval.googleapis.com
|
詳細 |
Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Access Approval の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Access Approval と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
healthcare.googleapis.com
|
詳細 |
Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
storagetransfer.googleapis.com
|
詳細 |
STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、下り(外向き)ポリシーを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。
設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。
Transfer Service for On Premises Data
オンプレミス用 Transfer の詳細と設定情報については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。
Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Transfer Service for On Premises Data は、Google Cloud Console 内で VPC Service Controls API 関連の保護を提供しません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
servicecontrol.googleapis.com
|
詳細 |
Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Control の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
- Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金の指標を報告することはできません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
redis.googleapis.com
|
詳細 |
Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。
Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。
共有 VPC と VPC Service Controls の両方を使用する場合、Redis リクエストを成功させるには、ネットワークを提供するホスト プロジェクトと、Redis インスタンスを含むサービス プロジェクトを同じ境界内に設定する必要があります。随時、ホスト プロジェクトとサービス プロジェクトを境界で分割すると、ブロックされたリクエストだけでなく、Redis インスタンスで障害が発生する可能性があります。詳細については、Memorystore for Redis の構成要件をご覧ください。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
memcache.googleapis.com
|
詳細 |
Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
servicedirectory.googleapis.com
|
詳細 |
Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Service Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
いいえ。Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
|
詳細 |
Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。
Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。
Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
-
Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
oslogin.googleapis.com
|
詳細 |
VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。
VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。
OS Login の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VPC Service Controls と OS Login の統合には既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
osconfig.googleapis.com
|
詳細 |
VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。
VM Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。
- OS Config API(
osconfig.googleapis.com )
- Compute Engine API(
compute.googleapis.com )
- Container Analysis API(
containeranalysis.googleapis.com )
VM Manager はパッケージとパッチのコンテンツをホストしません。OS Patch Management では、オペレーティング システムの更新ツールを使用して、VM 上でパッケージの更新とパッチを取得する必要があります。パッチ適用が動作するために、Cloud NAT を使用するか、Virtual Private Cloud 内で独自のパッケージ リポジトリまたは Windows Server Update Service をホストすることが必要になる場合があります。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
workflows.googleapis.com
|
詳細 |
Workflows は、定義した順序でサービスを実行するために、Google Cloud サービスと HTTP ベースの API を組み合わせることができるオーケストレーション プラットフォームです。 サービス境界を使用して Workflows API を保護すると、Workflow Executions API も保護されます。境界のリスト(保護されるサービスが含まれる)に workflowexecutions.googleapis.com を個別に追加する必要はありません。
Workflows の実行からの HTTP リクエストは、次のようにサポートされています。
- VPC Service Controls 準拠の Google Cloud エンドポイントへの認証済みリクエストは許可されます。
- Cloud Functions および Cloud Run サービス エンドポイントへのリクエストは許可されます。
- サードパーティ エンドポイントへのリクエストはブロックされます。
- VPC Service Controls に準拠していない Google Cloud エンドポイントへのリクエストはブロックされます。
Workflows の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Workflows と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
file.googleapis.com
|
詳細 |
Filestore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Filestore の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
サービス境界は、Filestore API のみを保護します。同じネットワーク内の Filestore インスタンスへの通常の NFS データアクセスは、境界で保護されません。
共有 VPC と VPC Service Controls の両方を使用する場合、Filestore インスタンスを正常に機能させるには、ネットワークを提供するホスト プロジェクトと、同じ境界内の Filestore インスタンスを含むサービス プロジェクトが必要です。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できない場合があります。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
containerthreatdetection.googleapis.com
|
詳細 |
Container Threat Detection の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Container Threat Detection の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Container Threat Detection と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
adsdatahub.googleapis.com
|
詳細 |
Ads Data Hub の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。
Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。
依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。
多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
trafficdirector.googleapis.com
|
詳細 |
Traffic Director の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Traffic Director の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
Traffic Director と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
ステータス |
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
sts.googleapis.com
|
詳細 |
VPC Service Controls がトークン交換を制限するのは、リクエストのオーディエンスがプロジェクト レベルのリソースである場合のみです。たとえば、スコープが限定されたトークンのリクエストにはオーディエンスがないため、制限が適用されません。
Security Token Service の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Security Token Service と VPC Service Controls のインテグレーションには既知の制限事項はありません。
|
|
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
vmmigration.googleapis.com
|
詳細 |
Migrate for Compute Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Migrate for Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
制限事項 |
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
gkebackup.googleapis.com
|
詳細 |
VPC Service Controls を使用して GKE のバックアップを保護します。Backup for GKE の機能はサービス境界内で正常に機能します。
Backup for GKE の詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Backup for GKE と VPC Service Controls の統合に既知の制限事項はありません。
|
|
|
ステータス |
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
境界によって保護されているか |
はい。境界を構成して、このサービスを保護できます。 |
サービス名 |
clouddebugger.googleapis.com
|
詳細 |
Cloud デバッガの API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。
Cloud デバッガの詳細については、プロダクトのドキュメントをご覧ください。
|
制限事項 |
Cloud デバッガと VPC Service Controls の統合に既知の制限事項はありません。
|
|