サポートされているプロダクトと制限事項

Google Cloud Search は、Virtual Private Cloud Security Controls（VPC-SC）をサポートして、データのセキュリティを強化します。VPC-SC によって、Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。

Google Cloud Search の詳細については、プロダクト ドキュメントをご覧ください。

接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

接続テストの詳細については、プロダクト ドキュメントをご覧ください。

接続テストと VPC Service Controls の統合には既知の制限がありません。

VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。

AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。

AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。

VPC Service Controls 境界は AlloyDB API を保護します。

PostgreSQL 向け AlloyDB の詳細については、プロダクト ドキュメントをご覧ください。

• PostgreSQL 向け AlloyDB に VPC Service Controls を構成する前に、Service Networking API を有効にします。
• 共有 VPC と VPC Service Controls で PostgreSQL 向け AlloyDB を使用する場合、ホスト プロジェクトとサービス プロジェクトは同じ VPC Service Controls サービス境界内にある必要があります。

Vertex AI Workbench の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Vertex AI Workbench の詳細については、プロダクト ドキュメントをご覧ください。

Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Vertex AI の詳細については、プロダクト ドキュメントをご覧ください。

Vertex AI Vision の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Vertex AI Vision の詳細については、プロダクト ドキュメントをご覧ください。

Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。

Analytics Hub の詳細については、プロダクトのドキュメントをご覧ください。

Analytics Hub と VPC Service Controls の統合には既知の制限事項はありません。

Anthos Service Mesh の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

• Anthos Service Mesh で複数のクラスタをインストールするときに限定公開クラスタを構成する方法について学習します。
• サービス境界への Anthos Service Mesh サービスの追加について学習します。

Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。

サービス境界は現在、Anthos Service Mesh マネージド コントロール プレーンではサポートされていません。

Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。

Assured Workloads の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Assured Workloads の詳細については、プロダクト ドキュメントをご覧ください。

Assured Workloads と VPC Service Controls の統合に既知の制限事項はありません。

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

• AutoML API（automl.googleapis.com）
• Cloud Storage API（storage.googleapis.com）
• Compute Engine API（compute.googleapis.com）
• BigQuery API（bigquery.googleapis.com）

AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

• AutoML API（automl.googleapis.com）
• Cloud Storage API（storage.googleapis.com）
• Compute Engine API（compute.googleapis.com）
• BigQuery API（bigquery.googleapis.com）

AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

• AutoML API（automl.googleapis.com）
• Cloud Storage API（storage.googleapis.com）
• Compute Engine API（compute.googleapis.com）
• BigQuery API（bigquery.googleapis.com）

AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

• AutoML API（automl.googleapis.com）
• Cloud Storage API（storage.googleapis.com）
• Compute Engine API（compute.googleapis.com）
• BigQuery API（bigquery.googleapis.com）

AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

• AutoML API（automl.googleapis.com）
• Cloud Storage API（storage.googleapis.com）
• Compute Engine API（compute.googleapis.com）
• BigQuery API（bigquery.googleapis.com）

AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。

Bare Metal Solution API は、安全な境界に追加できます。ただし、VPC Service Controls の境界は、リージョン拡張の Bare Metal Solution 環境までは拡張されません。

Bare Metal Solution の詳細については、プロダクト ドキュメントをご覧ください。

Bare Metal Solution は、VPC Service Controls をサポートしていません。サービス コントロールを有効にして VPC を Bare Metal Solution 環境に接続しても、サービス コントロールの保証は維持されません。

VPC Service Controls に関する Bare Metal Solution の制限事項の詳細については、既知の問題と制限事項をご覧ください。

Batch の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Batch の詳細については、プロダクトのドキュメントをご覧ください。

サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。

BigQuery の詳細については、プロダクト ドキュメントをご覧ください。

BigQuery Data Policy API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

BigQuery Data Policy API の詳細については、プロダクトのドキュメントをご覧ください。

BigQuery Data Policy API と VPC Service Controls の統合には既知の制限事項はありません。

サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。Teradata からデータを移行するための VPC Service Controls の要件については、VPC Service Controls の要件をご覧ください。

BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。

BigQuery Migration API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

BigQuery Migration API の詳細については、プロダクト ドキュメントをご覧ください。

BigQuery Migration API と VPC Service Controls の統合には既知の制限事項はありません。

サービス境界は、境界で指定された管理プロジェクト内の BigQuery の予約、コミットメント、割り当てへのアクセスを制限します。

BigQuery Reservation API の詳細については、プロダクト ドキュメントをご覧ください。

bigtable.googleapis.com サービスと bigtableadmin.googleapis.com サービスがバンドルされています。境界で bigtable.googleapis.com サービスを制限すると、デフォルトで bigtableadmin.googleapis.com サービスが制限されます。bigtableadmin.googleapis.com サービスは bigtable.googleapis.com にバンドルされているため、境界の制限付きサービスのリストに追加できません。

Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。

Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。

Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。

Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。

Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。

Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。

VPC Service Controls で Config Controller を使用するには、境界内で次の API を有効にする必要があります。

• Cloud Monitoring API（monitoring.googleapis.com）
• Container Registry API（containerregistry.googleapis.com）
• Google Cloud のオペレーション スイート API（logging.googleapis.com）
• Security Token Service API（sts.googleapis.com）
• Cloud Storage API（storage.googleapis.com）

Config Controller を使用してリソースをプロビジョニングする場合は、サービス境界内でリソースの API を有効にする必要があります。たとえば、IAM サービス アカウントを追加する場合は、IAM API （iam.googleapis.com）を追加する必要があります。

Config Controller の詳細については、プロダクト ドキュメントをご覧ください。

Config Controller と VPC Service Controls の統合には既知の制限事項はありません。

Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。

Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。

Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。

Data Lineage API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Data Lineage API の詳細については、プロダクト ドキュメントをご覧ください。

Data Lineage API と VPC Service Controls の統合には既知の制限事項はありません。

Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。

• 機密性の高い API オペレーションへのアクセスを制限します
• 永続ディスクのスナップショットとカスタム イメージを境界に制限します
• インスタンス メタデータへのアクセスを制限します

Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。

Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。

Contact Center AI Insights を VPC Service Controls で使用するには、インテグレーションに応じて、境界内に次の API を追加する必要があります。

• Contact Center AI Insights にデータを読み込むには、サービス境界に Cloud Storage API を追加します。

• エクスポートを使用するには、BigQuery API をサービス境界に追加します。

• 複数の CCAI プロダクトを統合するには、サービス境界に Vertex AI API を追加します。

Contact Center AI Insights の詳細については、プロダクト ドキュメントをご覧ください。

Contact Center AI Insights と VPC Service Controls のインテグレーションには既知の制限事項はありません。

Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。

• Cloud Storage （Java 、 Python ）
• BigQuery （Java、Python ）
• Pub/Sub（ Java 、 Python ）
• Cloud Bigtable （Java ）
• Cloud Spanner （Java ）

Dataflow の詳細については、プロダクト ドキュメントをご覧ください。

• Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。

• すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。

• Apache Beam SDK 2.20.0～2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合（VPC Service Controls を使用してリソースを保護する場合など）、Apache Beam SDK 2.20.0～2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。

Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。

Dataproc の詳細については、プロダクト ドキュメントをご覧ください。

• Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。

Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。

VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。

Datastream の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Datastream の詳細については、プロダクト ドキュメントをご覧ください。

Datastream と VPC Service Controls のインテグレーションには既知の制限事項はありません。

Database Migration Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Database Migration Service の詳細については、プロダクトのドキュメントをご覧ください。

Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Data Loss Prevention の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。

Cloud DNS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud DNS の詳細については、プロダクト ドキュメントをご覧ください。

• 制限付き VIP を介して Cloud DNS にアクセスできます。ただし、VPC Service Controls の境界内のプロジェクト内で一般公開 DNS ゾーンを作成または更新することはできません。

Document AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Document AI の詳細については、プロダクト ドキュメントをご覧ください。

Document AI と VPC Service Controls の統合には既知の制限事項はありません。

Document AI ウェアハウスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Document AI ウェアハウスの詳細については、プロダクト ドキュメントをご覧ください。

Document AI ウェアハウスと VPC Service Controls の統合には既知の制限事項はありません。

Cloud Domains の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Domains の詳細については、プロダクト ドキュメントをご覧ください。

• Cloud Domains で使用される連絡先データは、ドメイン末尾またはトップレベル ドメイン（TLD）レジストリで共有される可能性があります。ユーザーの設定で許可されている場合、ICANN ルールに則り、WHOIS/RDAP で外部からアクセスされる可能性があります。詳しくは、プライバシー保護をご覧ください。

• Cloud Domains で使用される DNS 構成データ（ネームサーバーと DNSSEC 設定）は公開されています。ドメインがデフォルトの DNS ゾーンに委任されている場合（デフォルト）、そのゾーンの DNS 構成データも一般公開されます。
• Cloud Domains 登録リソースには、VPC Service Controls 境界外の Google Domains ウェブサイトからアクセスできます。

Eventarc は、Pub/Sub トピックを使用してイベント配信を処理し、サブスクリプションを push します。Pub/Sub API にアクセスしてイベント トリガーを管理するには、Eventarc API を Pub/Sub API と同じ VPC Service Controls サービス境界内で保護する必要があります。

Eventarc の詳細については、プロダクトのドキュメントをご覧ください。

Eventarc は、Pub/Sub と同じ制約を受けます: サービス境界で保護されているプロジェクトでは、push エンドポイントがデフォルトの run.app URL で Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません（カスタム ドメインは機能しません）。このドキュメントの Pub/Sub の制限事項をご覧ください。

Firebase App Check トークンを構成して交換する場合、VPC Service Controls は Firebase App Check サービスのみを保護します。Firebase App Check に依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。

Firebase App Check の詳細については、プロダクト ドキュメントをご覧ください。

Firebase App Check と VPC Service Controls の統合には既知の制限事項はありません。

Firebase セキュリティ ルール ポリシーを管理している場合、VPC Service Controls は Firebase セキュリティ ルール サービスのみを保護します。Firebase セキュリティ ルールに依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。

Firebase セキュリティ ルールの詳細については、プロダクト ドキュメントをご覧ください。

Firebase セキュリティ ルールの VPC Service Controls とのインテグレーションに関する既知の制限事項はありません。

設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。

Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。

境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。ワークフォース プールは組織レベルのリソースであるため、境界によってワークフォース プールの処理が制限されることはありません。また、次のような他の API を使用する処理も制限されません。

• IAM Policy Simulator API
• IAM Policy Troubleshooter API
• Security Token Service API
• Service Account Credentials API（IAM API のレガシー signBlob メソッドと signJwt メソッドを含む）

IAM 周囲の境界では、Compute Engine 仮想マシン インスタンスなど、他のサービスが所有するリソースの IAM ポリシーの取得や設定も制限されません。これらのリソースの IAM ポリシーの取得と設定を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、IAM ポリシーを受け入れるリソースタイプをご覧ください。

Identity and Access Management の詳細については、プロダクト ドキュメントをご覧ください。

境界内にある場合は、空の文字列を使用して roles.list メソッドを呼び出し、IAM の事前定義ロールを一覧表示することはできません。事前定義ロールを表示する必要がある場合は、IAM ロールのドキュメントをご覧ください。

Cloud KMS Inventory API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud KMS Inventory API の詳細については、プロダクトのドキュメントをご覧ください。

SearchProtectedResources API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

サービス アカウント認証情報用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

サービス アカウント認証情報の詳細については、プロダクト ドキュメントをご覧ください。

サービス アカウント認証情報と VPC Service Controls の統合には既知の制限事項はありません。

Service Metadata API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Service Metadata API の詳細については、プロダクトのドキュメントをご覧ください。

Service Metadata API と VPC Service Controls の統合には既知の制限事項はありません。

サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。

サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。

Cloud KMS API は VPC Service Controls で保護でき、プロダクトをサービス境界内で使用できます。Cloud HSM サービスへのアクセスは VPC Service Controls でも保護され、サービス境界内で使用できます。

Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。

Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Game Servers の詳細については、プロダクト ドキュメントをご覧ください。

Game Servers と VPC Service Controls の統合には既知の制限事項はありません。

TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。

Cloud Life Sciences API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Life Sciences の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Life Sciences と VPC Service Controls の統合には、既知の制限事項はありません。

次の場合は追加の構成が必要です。

• Managed Microsoft AD API へのオンプレミス アクセス
• 共有 VPC

Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。

Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。

reCAPTCHA Enterprise の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

reCAPTCHA Enterprise の詳細については、プロダクト ドキュメントをご覧ください。

reCAPTCHA Enterprise と VPC Service Controls の統合には既知の制限事項はありません。

Web Risk の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Web Risk の詳細については、プロダクト ドキュメントをご覧ください。

Evaluate API と Submission API は VPC Service Controls ではサポートされていません。

Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Recommender の詳細については、プロダクトのドキュメントをご覧ください。

• VPC Service Controls は、組織、フォルダ、請求先アカウントのリソースをサポートしていません。

Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。

Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。

VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます（既存の push サブスクリプションを除く）。

Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。

• サービス境界で保護されているプロジェクトでは、push エンドポイントがデフォルトの run.app URL とともに Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません（カスタム ドメインは機能しません）。Cloud Run の統合の詳細については、VPC Service Controls を使用するをご覧ください。
• サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。

VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。

Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。

Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。

VPC Service Controls と Cloud Build のプライベート プールを使用して、ビルドのセキュリティを強化します。

Cloud Build の詳細については、プロダクトのドキュメントをご覧ください。

VPC Service Controls の保護は、プライベート プールで実行されるビルドでのみ使用できます。

Google Cloud Deploy の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

Google Cloud Deploy の詳細については、プロダクトのドキュメントをご覧ください。

Google Cloud Deploy を境界で使用するには、ターゲットの実行環境に Cloud Build プライベート プールを使用する必要があります。デフォルト（Cloud Build）のワーカープールとハイブリッド プールは使用しないでください。

Composer を VPC Service Controls で使用できるように構成します。

Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。

• DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。

• DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。

• DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。

• Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。

Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Scheduler の API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。

Cloud Scheduler の詳細については、プロダクトのドキュメントをご覧ください。

Cloud Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Spanner と VPC Service Controls のインテグレーションには既知の制限事項はありません。

Speaker ID の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Speaker ID について詳しくは、プロダクトのドキュメントをご覧ください。

Speaker ID と VPC Service Controls のインテグレーションには既知の制限事項はありません。

Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Tasks の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Tasks の実行からの HTTP リクエストは、次のようにサポートされています。

• VPC Service Controls 準拠の Cloud Functions（第 1 世代）と Cloud Run エンドポイントに対する認証済みリクエストが許可されます。
• Cloud Functions と Cloud Run 以外のエンドポイントへのリクエストはブロックされます。
• VPC Service Controls に準拠していない Cloud Functions および Cloud Run エンドポイントへのリクエストはブロックされます。

Cloud Tasks の詳細については、プロダクトのドキュメントをご覧ください。

Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。

VPC Service Controls 境界は Cloud SQL Admin API を保護します。

Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。

• サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用する必要があります。
• Cloud SQL 用の VPC Service Controls を構成する前に、Service Networking API を有効にします。

• Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットから読み取りと書き込みのみを行えます。

• 外部サーバー移行フローでは、Cloud Storage バケットを同じサービス境界に追加する必要があります。
• CMEK の鍵作成フローでは、鍵を使用するリソースと同じサービス境界に鍵を作成する必要があります。
• バックアップからインスタンスを復元する場合、ターゲット インスタンスは、バックアップと同じサービス境界に存在する必要があります。

Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。

Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。

VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。

• Container Analysis で Pub/Sub 通知を使用している場合は、サービス境界に Pub/Sub を追加します。
• Container Scanning API を使用している場合は、レジストリ Artifact Registry または Container Registry を境界に追加します。

Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。

Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。

Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。

Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Container Registry の詳細については、プロダクト ドキュメントをご覧ください。

• サービス境界に上り（内向き）ポリシーまたは下り（外向き）ポリシーを指定すると、すべてのContainer Registry オペレーションの ID タイプとして ANY_SERVICE_ACCOUNT と ANY_USER_ACCOUNT を使用できません。

  回避策として、ID のタイプとして ANY_IDENTITY を使用します。

• Container Registry は gcr.io ドメインを使用するため、*.gcr.io が private.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。

• Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界によって適用される制限に関係なくすべてのプロジェクトで使用できます。

  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io
  • mirror.gcr.io

  いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。

Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。

• VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。

イメージ ストリーミングは、Artifact Registry に保存されているコンテナ イメージの pull 時間を短縮する GKE データ ストリーミング機能です。VPC Service Controls がコンテナ イメージを保護し、イメージ ストリーミングを使用する場合は、サービス境界に Image Streaming API も含める必要があります。

イメージ ストリーミングの詳細については、プロダクトのドキュメントをご覧ください。

イメージ ストリーミングと VPC Service Controls の統合に既知の制限事項はありません。

Fleet management API（Connect gateway を含む）は VPC Service Controls で保護できます。フリート管理機能はサービス境界内で通常どおり使用できます。詳しくは以下をご覧ください。

• Connect Agent で VPC Service Controls を使用する
• Connect ゲートウェイで VPC Service Controls を使用する

フリートの詳細については、プロダクト ドキュメントをご覧ください。

フリートと VPC Service Controls のインテグレーションには既知の制限事項はありません。

VPC Service Controls で保護できるのは、v1 project.setIAMPolicy と v1beta1 project.setIAMPolicy の Resource Manager API メソッドのみです。

Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。

• タグの作成と管理に使用する Resource Manager API メソッドは、VPC Service Controls で保護できません。
• VPC Service Controls により、Google Cloud コンソールでのプロジェクトへのオーナーロールの付与がサポートされるようになりました。オーナーの招待を送信したり、サービス境界外の招待を承諾することはできません。境界外からの招待を承諾しようとすると、オーナーロールは付与されません。また、エラーや警告メッセージは表示されません。

Cloud Logging の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。

Timeseries Insights API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Timeseries Insights API の詳細については、プロダクトのドキュメントをご覧ください。

Timeseries Insights API と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。

Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。

Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。

Natural Language API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。

Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。

Network Connectivity Center の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Network Connectivity Center の詳細については、プロダクトのドキュメントをご覧ください。

Network Connectivity Center と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Asset API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。

• VPC Service Controls では、サービス境界内のリソースとクライアントからのフォルダレベルまたは組織レベルの Cloud Asset API リソースへのアクセスをサポートしていません。VPC Service Controls は、プロジェクト レベルの Cloud Asset API リソースを保護します。下り（外向き）ポリシーを指定すると、境界内のプロジェクトから Cloud Asset API リソースへのプロジェクト レベルでのアクセスを防止できます。
• VPC Service Controls では、フォルダレベルまたは組織レベルの Cloud Asset API リソースのサービス境界への追加をサポートしていません。境界を使用してフォルダレベルまたは組織レベルの Cloud Asset API リソースを保護することはできません。フォルダレベルまたは組織レベルで Cloud Asset Inventory の権限を管理するには、IAM を使用することをおすすめします。
• フォルダレベルまたは組織レベルで、サービス境界内の宛先にアセットをエクスポートすることはできません。
• サービス境界内の Pub/Sub トピックを使用して、フォルダレベルまたは組織レベルでアセットのリアルタイム フィードを作成することはできません。

Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。

Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。

Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。

Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。

Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Translation の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Translation - Advanced（v3）は VPC Service Controls をサポートしていますが、Cloud Translation - Basic（v2）はサポートしていません。VPC Service Controls を適用するには、Cloud Translation - Advanced（v3）を使用する必要があります。各エディションの詳細については、Basic と Advanced の比較をご覧ください。

Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。

Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。

Video Stitcher API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Video Stitcher API の詳細については、プロダクト ドキュメントをご覧ください。

Video Stitcher API と VPC Service Controls の統合には既知の制限事項はありません。

Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Access Approval の詳細については、プロダクト ドキュメントをご覧ください。

Access Approval と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。

STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、下り（外向き）ポリシーを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。

設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。

Transfer Service for On Premises Data

オンプレミス用 Transfer の詳細と設定情報については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。

Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。

• Transfer Service for On Premises Data は、Google Cloud コンソール内で VPC Service Controls API 関連の保護を提供しません。

Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Service Control の詳細については、プロダクト ドキュメントをご覧ください。

• Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金の指標を報告することはできません。

Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。

• サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。

• Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。

• 共有 VPC と VPC Service Controls の両方を使用する場合、Redis リクエストを成功させるには、ネットワークを提供するホスト プロジェクトと、Redis インスタンスを含むサービス プロジェクトを同じ境界内に設定する必要があります。随時、ホスト プロジェクトとサービス プロジェクトを境界で分割すると、ブロックされたリクエストだけでなく、Redis インスタンスで障害が発生する可能性があります。詳細については、Memorystore for Redis の構成要件をご覧ください。

Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。

• サービス境界により Memorystore for Memcached API だけが保護されます。同じネットワーク内の Memorystore for Memcached インスタンスに対する通常のデータアクセスは保護されません。

Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Service Directory の詳細については、プロダクト ドキュメントをご覧ください。

Service Directory と VPC Service Controls の統合には既知の制限事項はありません。

Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。

Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。

• Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。

Organization Policy Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Organization Policy Service の詳細については、プロダクトのドキュメントをご覧ください。

VPC Service Controls は、プロジェクトによって継承される、フォルダレベルまたは組織レベルの組織のポリシーに対するアクセス制限をサポートしていません。VPC Service Controls は、プロジェクト レベルの Organization Policy Service API のリソースを保護します。

たとえば、上り（内向き）ルールによってユーザーが Organization Policy Service API にアクセスできない場合、そのプロジェクトに適用されている組織のポリシーをクエリすると、403 エラーが発生します。ただし、ユーザーは引き続き、プロジェクトを含むフォルダと組織の組織のポリシーにアクセスできます。

VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。

VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。

OS Login の詳細については、プロダクト ドキュメントをご覧ください。

SSH 認証鍵を読み書きするための OS Login メソッドでは、VPC Service Controls の境界は適用されません。OS Login API へのアクセスを無効にするには、VPC のアクセス可能なサービスを使用します。

VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。

VM Manager の詳細については、プロダクト ドキュメントをご覧ください。

Workflows は、定義した順序でサービスを実行するために、Google Cloud サービスと HTTP ベースの API を組み合わせることができるオーケストレーション プラットフォームです。

サービス境界を使用して Workflows API を保護すると、Workflow Executions API も保護されます。境界のリスト（保護されるサービスが含まれる）に workflowexecutions.googleapis.com を個別に追加する必要はありません。

Workflows の実行からの HTTP リクエストは、次のようにサポートされています。

• VPC Service Controls 準拠の Google Cloud エンドポイントへの認証済みリクエストは許可されます。
• Cloud Functions および Cloud Run サービス エンドポイントへのリクエストは許可されます。
• サードパーティ エンドポイントへのリクエストはブロックされます。
• VPC Service Controls に準拠していない Google Cloud エンドポイントへのリクエストはブロックされます。

Workflows の詳細については、プロダクト ドキュメントをご覧ください。

Workflows と VPC Service Controls のインテグレーションには既知の制限事項はありません。

Filestore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Filestore の詳細については、プロダクト ドキュメントをご覧ください。

• サービス境界は、Filestore API のみを保護します。同じネットワーク内の Filestore インスタンスへの通常の NFS データアクセスは、境界で保護されません。

• 共有 VPC と VPC Service Controls の両方を使用する場合、Filestore インスタンスを正常に機能させるには、ネットワークを提供するホスト プロジェクトと、同じ境界内の Filestore インスタンスを含むサービス プロジェクトが必要です。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できない場合があります。

Container Threat Detection の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Container Threat Detection の詳細については、プロダクトのドキュメントをご覧ください。

Container Threat Detection と VPC Service Controls の統合には既知の制限事項はありません。

Ads Data Hub の詳細については、プロダクトのドキュメントをご覧ください。

Traffic Director の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Traffic Director の詳細については、プロダクト ドキュメントをご覧ください。

Traffic Director と VPC Service Controls のインテグレーションには既知の制限事項はありません。

VPC Service Controls がトークン交換を制限するのは、リクエストのオーディエンスがプロジェクト レベルのリソースである場合のみです。たとえば、スコープが限定されたトークンのリクエストにはオーディエンスがないため、制限が適用されません。また、オーディエンスは組織レベルのリソースであるため、ワークフォース ID 連携のリクエストも制限されません。

Security Token Service の詳細については、プロダクトのドキュメントをご覧ください。

Security Token Service と VPC Service Controls のインテグレーションには既知の制限事項はありません。

firestore.googleapis.com、datastore.googleapis.com、firestorekeyvisualizer.googleapis.com サービスがバンドルされています。境界で firestore.googleapis.com サービスを制限すると、境界によって datastore.googleapis.com サービスと firestorekeyvisualizer.googleapis.com サービスも制限されます。

datastore.googleapis.com サービスを制限するには、firestore.googleapis.com サービス名を使用します。

インポートとエクスポートのオペレーションで完全な下り（外向き）保護を実現するには、Firestore サービス エージェントを使用する必要があります。詳しくは以下をご覧ください。

• VPC Service Controls を使用した Firestore のインポートとエクスポートのオペレーションの保護。
• VPC Service Controls を使用した Datastore のインポートとエクスポートのオペレーションの保護。

Firestore / Datastore の詳細については、プロダクト ドキュメントをご覧ください。

Migrate to Virtual Machines の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

Migrate to Virtual Machines の詳細については、プロダクト ドキュメントをご覧ください。

• Migrate to Virtual Machines を完全に保護するには、次の API をすべてサービス境界に追加します。

  • Pub/Sub API（pubsub.googleapis.com）
  • Cloud Storage API（storage.googleapis.com）
  • Cloud Logging API（logging.googleapis.com）
  • Secret Manager API（secretmanager.googleapis.com）
  • Compute Engine API（compute.googleapis.com）

  詳細については、Migrate to Virtual Machines のドキュメントをご覧ください。

VPC Service Controls を使用して GKE のバックアップを保護します。Backup for GKE の機能はサービス境界内で正常に機能します。

Backup for GKE の詳細については、プロダクトのドキュメントをご覧ください。

Backup for GKE と VPC Service Controls の統合に既知の制限事項はありません。

Cloud デバッガの API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。

Cloud デバッガの詳細については、プロダクトのドキュメントをご覧ください。

Cloud デバッガと VPC Service Controls の統合に既知の制限事項はありません。

Retail API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Retail API の詳細については、プロダクト ドキュメントをご覧ください。

Retail API と VPC Service Controls の統合には既知の制限事項はありません。

Apigee Integration はコラボレーション ワークフロー管理システムです。これを使用すると、主要なビジネス システムのワークフローを作成、強化、デバッグ、理解できます。 Apigee Integration のワークフローは、トリガーとタスクで構成されています。 トリガーには複数の種類（API トリガー / Pub/Sub トリガー / cron トリガー / sfdc トリガーなど）があります。

Apigee Integration の詳細については、プロダクト ドキュメントをご覧ください。

Error Reporting の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Error Reporting の詳細については、プロダクト ドキュメントをご覧ください。

Cloud Workstations の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Workstations の詳細については、プロダクトのドキュメントをご覧ください。

• Cloud Workstations を完全に保護するには、Cloud Workstations API を制限する場合は常に、サービス境界内の Compute Engine API を制限する必要があります。
• Google Cloud Storage API、Google Container Registry API、Artifact Registry API がサービス境界で VPC からアクセスできることを確認します。これは、ワークステーションにイメージを pull するために必要です。また、Cloud Logging API と Cloud Error Reporting API にサービス境界で VPC からアクセスできるようにすることをおすすめします。ただし、これは Cloud Workstations の使用には必要ありません。
• ワークステーション クラスタが限定公開であることを確認します。限定公開クラスタを構成すると、VPC サービス境界の外部からワークステーションに接続できなくなります。
• ワークステーション構成でパブリック IP アドレスが無効になっていることを確認します。無効にしないと、プロジェクトにパブリック IP アドレスを持つ VM が作成されます。constraints/compute.vmExternalIpAccess 組織のポリシーの制約を使用して、VPC サービス境界内のすべての VM のパブリック IP アドレスを無効にすることを強くおすすめします。詳細については、外部 IP アドレスを特定の VM に制限するをご覧ください。
• アクセス制御は、接続元のプライベート ネットワークがセキュリティ境界に属しているかどうかのみに基づきます。デバイス、パブリック IP アドレス、または場所に基づくアクセス制御はサポートされていません。

Cloud IDS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud IDS の詳細については、プロダクトのドキュメントをご覧ください。

Cloud IDS は、Cloud Logging を使用してプロジェクトに脅威ログを作成します。Cloud Logging がサービス境界によって制限されている場合、Cloud IDS が制限付きサービスとして境界に追加されていない場合でも、VPC Service Controls は Cloud IDS の脅威ログをブロックします。サービス境界内で Cloud IDS を使用するには、サービス境界で Cloud Logging サービス アカウントの上り（内向き）ルールを構成する必要があります。

BeyondCorp Enterprise の詳細については、プロダクト ドキュメントをご覧ください。

BeyondCorp Enterprise と VPC Service Controls の統合には既知の制限事項はありません。

Policy Troubleshooter API を境界で制限する場合、リクエストに関連するすべてのリソースが同じ境界内にある場合にのみ、プリンシパルは IAM ポリシーのトラブルシューティングを行うことができます。トラブルシューティング リクエストには、通常、次に示す 2 つのリソースが含まれます。

• トラブルシューティングを行うアクセス先のリソース。任意のタイプのリソースを使用できます。このリソースは、IAM ポリシーのトラブルシューティングで明示的に指定します。

• アクセス権のトラブルシューティングに使用しているリソース。 このリソースは、プロジェクト、フォルダ、または組織です。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、x-goog-user-project ヘッダーを使用してこのリソースを指定します。

  このリソースは、トラブルシューティングを行うアクセス先のリソースと同じリソースを指定できますが、必ずしも同じである必要はありません。

これらのリソースが同じ境界内にない場合、リクエストは失敗します。

Policy Troubleshooter の詳細については、プロダクト ドキュメントをご覧ください。

Policy Troubleshooter と VPC Service Controls の統合には既知の制限事項はありません。

重要な連絡先の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

重要な連絡先の詳細については、プロダクト ドキュメントをご覧ください。

重要な連絡先と VPC Service Controls の統合には既知の制限事項はありません。

Identity Platform の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Identity Platform の詳細については、プロダクト ドキュメントをご覧ください。

• Identity Platform を完全に保護するには、Secure Token API（securetoken.googleapis.com）をサービス境界に追加して、トークンの更新を許可します。

• アプリケーションがブロッキング関数機能と統合されている場合は、Cloud Functions（cloudfunctions.googleapis.com）をサービス境界に追加します。

• SMS ベースの多要素認証（MFA）、メール認証、サードパーティの ID プロバイダを使用すると、データが境界外に送信されます。SMS、メール認証、サードパーティの ID プロバイダで MFA を使用しない場合は、これらの機能を無効にします。