サポートされているプロダクトと制限事項

このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。

サポートされているすべてのサービスを一覧表示する

VPC Service Controls でサポートされているすべてのプロダクトとサービスの完全なリストを取得するには、次のコマンドを実行します。

gcloud beta access-context-manager supported-services list

プロダクトとサービスのリストを含むレスポンスが返されます。

NAME                 TITLE             SUPPORT_STAGE       AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS      RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

このレスポンスには次の値が含まれます。

説明
SERVICE_ADDRESS プロダクトやサービスのサービス名。例: aiplatform.googleapis.com
SERVICE_NAME プロダクトやサービスの名前。例: Vertex AI API
SERVICE_STATUS VPC Service Controls とのサービス統合のステータス。可能な値は次のとおりです。
  • GA: サービス統合は、VPC Service Controls の境界で完全にサポートされています。
  • BETA: サービス統合はより広範なテストと使用に対応しますが、VPC Service Controls の境界により、本番環境用に完全にはサポートされていません。
RESTRICTED_VIP_STATUS VPC Service Controls とのサービス統合が制限付き VIP によってサポートされるかどうかを指定します。可能な値は次のとおりです。
  • TRUE: サービス統合は、制限付き VIP によって完全にサポートされており、VPC Service Controls の境界で保護できます。
  • FALSE: サービス統合は制限付き VIP でサポートされていません。
制限付き VIP で利用可能なサービスの一覧については、制限付き VIP でサポートされているサービスをご覧ください。
LIMITATIONS_STATUS VPC Service Controls とのサービス統合に制限があるかどうかを指定します。可能な値は次のとおりです。
  • TRUE: VPC Service Controls とのサービス統合には既知の制限事項があります。これらの制限事項の詳細については、サポート対象プロダクトの表でサービスに対応するエントリをご覧ください。
  • FALSE: VPC Service Controls とのサービス統合には既知の制限事項はありません。

サービスに対してサポートされているメソッドを一覧表示する

サービスに対して VPC Service Controls でサポートされているメソッドと権限のリストを取得するには、次のコマンドを実行します。

gcloud beta access-context-manager supported-services describe SERVICE_ADDRESS

SERVICE_ADDRESS は、プロダクトまたはサービスのサービス名に置き換えます。例: aiplatform.googleapis.com

メソッドと権限のリストを含むレスポンスが返されます。

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
supportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

このレスポンスでは、METHODS_LIST によって、指定したサービスに対して VPC Service Controls でサポートされているすべてのメソッドと権限が一覧表示されます。サポートされているすべてのサービス メソッドと権限の一覧については、サポートされているサービス メソッドの制限をご覧ください。

サポート対象プロダクト

VPC Service Controls がサポートするプロダクトは次のとおりです。

サポート対象プロダクト 説明

Infrastructure Manager

ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 config.googleapis.com
詳細

Infrastructure Manager の詳細については、プロダクトのドキュメントをご覧ください。

制限事項

境界で Infrastructure Manager を使用するには:

  • Infrastructure Manager で使用されるワーカープールには、Cloud Build のプライベート プールを使用する必要があります。Terraform プロバイダと Terraform の構成をダウンロードするには、このプライベート プールで公共のインターネット呼び出しを有効にする必要があります。デフォルトの Cloud Build ワーカープールは使用できません。
  • 次のものは同じ境界内に存在する必要があります。
    • Infrastructure Manager で使用されるサービス アカウント。
    • Infrastructure Manager で使用される Cloud Build ワーカープール。
    • Infrastructure Manager で使用されるストレージ バケット。デフォルトのストレージ バケットを使用できます。
  • Google Cloud NetApp Volumes

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 netapp.googleapis.com
    詳細

    Google Cloud NetApp Volumes の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    Google Cloud NetApp Volume の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    VPC Service Controls は、ネットワーク ファイル システム(NFS)とサーバー メッセージ ブロック(SMB)の読み取りおよび書き込みなどのデータプレーン パスには対応していません。また、ホスト プロジェクトとサービス プロジェクトが異なる境界で構成されている場合、Google Cloud サービスの実装が中断される可能性があります。

    Google Cloud Search

    ステータス 一般提供
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudsearch.googleapis.com
    詳細

    Google Cloud Search は、Virtual Private Cloud Security Controls(VPC-SC)をサポートして、データのセキュリティを強化します。VPC-SC によって、Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。

    Google Cloud Search の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Cloud Search リソースは Google Cloud プロジェクトに保存されないため、VPC 境界で保護されたプロジェクトで Cloud Search のお客様の設定を更新する必要があります。VPC プロジェクトは、すべての Cloud Search リソースの仮想プロジェクト コンテナとして機能します。このマッピングを行わないと、Cloud Search API で VPC Service Controls が動作しません。

    Google Cloud Search で VPC Service Controls を有効にする完全な手順については、Google Cloud Search のためにセキュリティを強化するをご覧ください。

    接続テスト

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 networkmanagement.googleapis.com
    詳細

    接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    接続テストの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    接続テストと VPC Service Controls の統合には既知の制限がありません。

    AI Platform Prediction

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 ml.googleapis.com
    詳細

    VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。

    AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。

      • AI Platform Training and Prediction API(ml.googleapis.com
      • Pub/Sub API(pubsub.googleapis.com
      • Cloud Storage API(storage.googleapis.com
      • Google Kubernetes Engine API(container.googleapis.com
      • Container Registry API(containerregistry.googleapis.com
      • Cloud Logging API(logging.googleapis.com

      詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

    • サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。

    • AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

    AI Platform Training

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 ml.googleapis.com
    詳細

    AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。

      • AI Platform Training and Prediction API(ml.googleapis.com
      • Pub/Sub API(pubsub.googleapis.com
      • Cloud Storage API(storage.googleapis.com
      • Google Kubernetes Engine API(container.googleapis.com
      • Container Registry API(containerregistry.googleapis.com
      • Cloud Logging API(logging.googleapis.com

      詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

    • AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。

    • AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

    AlloyDB for PostgreSQL

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 alloydb.googleapis.com
    詳細

    VPC Service Controls 境界は AlloyDB API を保護します。

    AlloyDB for PostgreSQL の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • AlloyDB for PostgreSQL に VPC Service Controls を構成する前に、Service Networking API を有効にします。
    • 共有 VPC と VPC Service Controls で AlloyDB for PostgreSQL を使用する場合、ホスト プロジェクトとサービス プロジェクトは同じ VPC Service Controls サービス境界内にある必要があります。

    Vertex AI Workbench

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 notebooks.googleapis.com
    詳細

    Vertex AI Workbench の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Vertex AI Workbench の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    制限事項について詳しくは、Vertex AI Workbench のドキュメントで、ユーザー管理のノートブックのサービス境界およびマネージド ノートブックのサービス境界をご覧ください。

    Vertex AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 aiplatform.googleapis.com
    詳細

    Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Vertex AI の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    制限事項の詳細については、Vertex AI ドキュメントの制限事項をご覧ください。

    Vertex AI Vision

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 visionai.googleapis.com
    詳細

    Vertex AI Vision の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Vertex AI Vision の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    constraints/visionai.disablePublicEndpoint がオンの場合、クラスタのパブリック エンドポイントが無効になります。ユーザーは手動で PSC ターゲットに接続し、プライベート ネットワークからサービスにアクセスする必要があります。PSC ターゲットは、cluster リソースから取得できます。

    Apigee と Apigee ハイブリッド

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 apigee.googleapis.com,
    apigeeconnect.googleapis.com
    詳細

    Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Apigee と VPC Service Controls との統合には次の制限があります。

    • 統合ポータルを構成するには、追加の手順が必要です。
    • サービス境界内に Drupal ポータルをデプロイする必要があります。

    Analytics Hub

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 analyticshub.googleapis.com
    詳細 VPC Service Controls は、データ交換リスティングを保護します。サービス境界を使用して共有データセットリンクされたデータセットを保護するには、BigQuery API を使用します。詳細については、Analytics Hub の VPC Service Controls のルールをご覧ください。

    Analytics Hub の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    Analytics Hub はメソッドベースのルールをサポートしていないため、すべてのメソッドを許可する必要があります。詳細については、Analytics Hub VPC Service Controls ルールの制限事項をご覧ください。

    Anthos Service Mesh

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 meshca.googleapis.com,
    meshconfig.googleapis.com
    詳細

    Anthos Service Mesh の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    mesh.googleapis.com を使用すると、Anthos Service Mesh に必要な API を有効にできます。API は公開していないため、境界の mesh.googleapis.com を制限する必要はありません。

    Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス境界は現在、Anthos Service Mesh マネージド コントロール プレーンではサポートされていません。

    Artifact Registry

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 artifactregistry.googleapis.com
    詳細

    Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

    Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Artifact Registry は pkg.dev ドメインを使用するため、*.pkg.devprivate.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
    • Artifact Registry で使用可能な境界内のアーティファクトに加えて、読み取り専用の次の Container Registry リポジトリをサービス境界に関係なくすべてのプロジェクトで利用できます。

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      いずれの場合も、これらのリポジトリのリージョン版も利用できます。

    Assured Workloads

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 assuredworkloads.googleapis.com
    詳細

    Assured Workloads の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Assured Workloads の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Assured Workloads と VPC Service Controls の統合に既知の制限事項はありません。

    AutoML Natural Language

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Tables

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Translation

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Video Intelligence

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Vision

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    Bare Metal Solution

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか いいえ。Bare Metal Solution の API をサービス境界により保護することはできません。ただし、境界内のプロジェクトで Bare Metal Solution を通常どおり使用できます。
    詳細

    Bare Metal Solution API は、安全な境界に追加できます。ただし、VPC Service Controls の境界は、リージョン拡張の Bare Metal Solution 環境までは拡張されません。

    Bare Metal Solution の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Bare Metal Solution は、VPC Service Controls をサポートしていません。サービス コントロールを有効にして VPC を Bare Metal Solution 環境に接続しても、サービス コントロールの保証は維持されません。

    VPC Service Controls に関する Bare Metal Solution の制限事項の詳細については、既知の問題と制限事項をご覧ください。

    Batch

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 batch.googleapis.com
    詳細

    Batch の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Batch の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    Batch を完全に保護するには、境界に次の API を含める必要があります。
    • Batch API(batch.googleapis.com
    • Cloud Logging API(logging.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Artifact Registry API(artifactregistry.googleapis.com
    • Filestore API(file.googleapis.com

    BigLake Metastore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 biglake.googleapis.com
    詳細

    BigLake Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    BigLake Metastore の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls と BigLake Metastore の統合には既知の制限事項はありません。

    BigQuery

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquery.googleapis.com
    詳細

    サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API、BigQuery Reservation API、BigQuery Connection API も保護されます。境界で保護されるサービスのリストにこれらの API を個別に追加する必要はありません。

    BigQuery の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。

    • サービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内、または境界の下り(外向き)ルールで許可されたプロジェクト内で実行しなければなりません。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。

    • BigQuery は、VPC Service Controls の保護された境界から Google ドライブへのクエリ結果の保存をブロックします。

    • ID タイプとしてユーザー アカウントを持つ上り(内向き)ルールを使用してアクセス権を付与する場合、Monitoring ページで BigQuery リソース使用率または管理ジョブ エクスプローラを表示できません。これらの機能を使用するには、ID タイプとして ANY_IDENTITY を使用する上り(内向き)ルールを構成します。

    • VPC Service Controls は、BigQuery Enterprise、Enterprise Plus、On-Demand で分析を行う場合にのみサポートされます。

    • BigQuery Reservation API は部分的にサポートされています。割り当てリソースを作成する BigQuery Reservation API では、割り当て先に対してサービス境界の制限は適用されません。

    BigQuery Data Policy API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquerydatapolicy.googleapis.com
    詳細

    BigQuery Data Policy API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    BigQuery Data Policy API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    BigQuery Data Policy API と VPC Service Controls の統合には既知の制限事項はありません。

    BigQuery Data Transfer Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquerydatatransfer.googleapis.com
    詳細

    サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。Teradata からデータを移行するための VPC Service Controls の要件については、VPC Service Controls の要件をご覧ください。

    BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。
    • プロジェクト間でデータを転送するには、宛先と送信元のプロジェクトが同じ境界内にあるか、下り(外向き)ルールで境界外のデータ転送が許可されている必要があります。
    • BigQuery Data Transfer Service は、サービス境界で保護されたプロジェクトにデータを転送するサードパーティのデータソースをサポートしていません。

    BigQuery Migration API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquerymigration.googleapis.com
    詳細

    BigQuery Migration API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    BigQuery Migration API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    BigQuery Migration API と VPC Service Controls の統合には既知の制限事項はありません。

    Bigtable

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigtable.googleapis.com,
    bigtableadmin.googleapis.com
    詳細

    bigtable.googleapis.com サービスと bigtableadmin.googleapis.com サービスがバンドルされています。境界で bigtable.googleapis.com サービスを制限すると、デフォルトで bigtableadmin.googleapis.com サービスが制限されます。bigtableadmin.googleapis.com サービスは bigtable.googleapis.com にバンドルされているため、境界の制限付きサービスのリストに追加できません。

    Bigtable の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Bigtable と VPC Service Controls の統合には既知の制限事項はありません。

    Binary Authorization

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 binaryauthorization.googleapis.com
    詳細

    Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。

    Binary Authorization では、Artifact Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Artifact Analysis も含める必要があります。詳細については、Artifact Analysis の VPC Service Controls ガイダンスをご覧ください。

    Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。

    ブロックチェーン ノード エンジン

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 blockchainnodeengine.googleapis.com
    詳細

    ブロックチェーン ノード エンジンの API は VPC Service Controls で保護でき、サービス境界内で通常どおり使用できます。

    ブロックチェーン ノード エンジンの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    ブロックチェーン ノード エンジンと VPC Service Controls の統合には、次の制限事項があります。

    • VPC Service Controls は、Blockchain Node Engine API のみを保護します。ノードを作成する場合は、引き続き、Private Service Connect を使用して、ノードがユーザーが構成したプライベート ネットワーク用であることを示す必要があります。
    • ピアツーピア トラフィックは、VPC Service Controls や Private Service Connect の影響を受けず、引き続き公共のインターネットを使用します。

    Certificate Authority Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 privateca.googleapis.com
    詳細

    Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 保護された環境で Certificate Authority Service を使用するには、Cloud KMS API(cloudkms.googleapis.com)と Cloud Storage API(storage.googleapis.com)もサービス境界に追加する必要があります。

    Config Controller

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 krmapihosting.googleapis.com
    詳細

    Config Controller と VPC Service Controls を使用するには、境界内で次の API を有効にする必要があります。

    • Cloud Monitoring API(monitoring.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Google Cloud's operations suite API(logging.googleapis.com
    • Security Token Service API(sts.googleapis.com
    • Cloud Storage API(storage.googleapis.com

    Config Controller を使用してリソースをプロビジョニングする場合は、サービス境界でそれらのリソースの API を有効にする必要があります。たとえば、IAM サービス アカウントを追加する場合は、IAM API (iam.googleapis.com)を追加する必要があります。

    Config Controller の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Config Controller と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Data Catalog

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datacatalog.googleapis.com
    詳細 Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。

    Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Data Fusion

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datafusion.googleapis.com
    詳細

    Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。

    Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。

    • 現在、Cloud Data Fusion データプレーンの UI では、上り(内向き)ルールまたはアクセスレベルを使用するアクセスに基づく ID はサポートされていません。

    Data Lineage API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datalineage.googleapis.com
    詳細

    Data Lineage API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Data Lineage API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Data Lineage API と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Compute Engine

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 compute.googleapis.com
    詳細

    Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。

    • 機密性の高い API オペレーションへのアクセスを制限します
    • 永続ディスクのスナップショットとカスタム イメージを境界に制限します
    • インスタンス メタデータへのアクセスを制限します

    Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。

    Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 階層型ファイアウォールはサービス境界の影響を受けません。

    • VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。

    • 共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

    • サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、イメージを作成しているユーザーを上り(内向き)ルールに一時的に追加すべきです。

    • VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。

    • インタラクティブ シリアル コンソールでは、制限付き VIP はサポートされません。シリアル コンソールを使用してインスタンスのトラブルシューティングを行う必要がある場合は、オンプレミスの DNS 解決を構成して、インターネット経由でコマンドを ssh-serialport.googleapis.com に送信します。

    Contact Center AI Insights

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 contactcenterinsights.googleapis.com
    詳細

    Contact Center AI Insights を VPC Service Controls で使用するには、インテグレーションに応じて、境界内に次の API を追加する必要があります。

    • Contact Center AI Insights にデータを読み込むには、サービス境界に Cloud Storage API を追加します。

    • エクスポートを使用するには、BigQuery API をサービス境界に追加します。

    • 複数の CCAI プロダクトを統合するには、サービス境界に Vertex AI API を追加します。

    Contact Center AI Insights の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Contact Center AI Insights と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Dataflow

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataflow.googleapis.com
    詳細

    Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。

    Dataflow の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS の解決サービスを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。

    • 垂直自動スケーリングは、VPC Service Controls の境界で保護できません。VPC Service Controls の境界内で垂直自動スケーリングを使用するには、VPC のアクセス可能なサービス機能を無効にする必要があります。

    • Dataflow Prime を有効にして VPC Service Controls の境界内で新しいジョブを起動する場合、ジョブは垂直自動スケーリングなしの Dataflow Prime を使用します。

    • すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、前のセクションの「詳細」をご覧ください。

    • Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。

    Dataplex

    ステータス 一般提供
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataplex.googleapis.com
    詳細

    Dataplex の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Dataplex の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Dataplex リソースを作成する前に、VPC Service Controls のセキュリティ境界を設定します。そうしないと、リソースに境界保護が適用されません。Dataplex では、次のリソースタイプがサポートされています。

    • レイク
    • データ プロファイルのスキャン
    • データ品質のスキャン

    Dataproc

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataproc.googleapis.com
    詳細

    Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。

    Dataproc の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。

    Dataproc Metastore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 metastore.googleapis.com
    詳細

    Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。

    Datastream

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datastream.googleapis.com
    詳細

    Datastream の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Datastream の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Datastream と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Database Migration Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datamigration.googleapis.com
    詳細

    Database Migration Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Database Migration Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • サービス境界は、Database Migration Service Admin API のみを保護します。基盤となるデータベース(Cloud SQL インスタンスなど)に対する IP ベースのデータアクセスは保護されません。パブリック IP から Cloud SQL インスタンスへのアクセスを制限するには、組織のポリシーの制約を使用します。
    • 移行の最初のダンプフェーズで Cloud Storage ファイルを使用する場合は、Cloud Storage バケットを同じサービス境界に追加します。
    • 宛先データベースで顧客管理の暗号鍵(CMEK)を使用する場合は、CMEK が鍵を含む接続プロファイルと同じサービス境界にあることを確認してください。

    Dialogflow

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dialogflow.googleapis.com
    詳細

    Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    機密データの保護

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dlp.googleapis.com
    詳細

    機密データの保護の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    機密データの保護の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、機密データ保護の呼び出しでは、組織レベルのリソースにアクセスしようとすると 403 レスポンスが返されることがあります。フォルダレベルと組織レベルで機密データ保護権限を管理するには、IAM を使用することをおすすめします。

    Cloud DNS

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dns.googleapis.com
    詳細

    Cloud DNS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud DNS の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • 制限付き VIP を介して Cloud DNS にアクセスできます。ただし、VPC Service Controls の境界内のプロジェクト内で一般公開 DNS ゾーンを作成または更新することはできません。

    Document AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 documentai.googleapis.com
    詳細

    Document AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Document AI の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Document AI と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Document AI ウェアハウス

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 contentwarehouse.googleapis.com
    詳細

    Document AI Warehouse の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Document AI Warehouse の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Document AI Warehouse と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Cloud Domains

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 domains.googleapis.com
    詳細

    Cloud Domains の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Domains の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Duet AI for Developers

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudaicompanion.googleapis.com
    詳細

    Duet AI for Developers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Duet AI for Developers の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Google Cloud コンソールの Duet AI については、デバイス、パブリック IP アドレス、またはロケーションに基づくアクセス制御はサポートされていません。

    Eventarc

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 eventarc.googleapis.com
    詳細

    Eventarc は、Pub/Sub トピックを使用してイベント配信を処理し、サブスクリプションを push します。Pub/Sub API にアクセスしてイベント トリガーを管理するには、Eventarc API を Pub/Sub API と同じ VPC Service Controls サービス境界内で保護する必要があります。

    Eventarc の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    サービス境界で保護されているプロジェクトでは、次の制限が適用されます。

    • Eventarc には Pub/Sub と同じ制限が適用されます。
      • Cloud Run ターゲットにイベントをルーティングする場合は、push エンドポイントがデフォルトの run.app URL とともに Cloud Run サービスに設定されていない限り、新しい Pub/Sub push サブスクリプションを作成できません(カスタム ドメインは動作しません)。
      • Pub/Sub push エンドポイントが Workflows 実行に設定されている Workflows ターゲットにイベントをルーティングする場合、新しい Pub/Sub push サブスクリプションは Eventarc 経由でのみ作成できます。
      このドキュメントの Pub/Sub の制限事項をご覧ください。
    • VPC Service Controls は、内部 HTTP エンドポイントの Eventarc トリガーの作成をブロックします。このような宛先にイベントをルーティングする場合、VPC Service Controls の保護は適用されません。

    Anti Money Laundering AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 financialservices.googleapis.com
    詳細

    Anti Money Laundering AI の API は VPC Service Controls で保護することができ、プロダクトはサービス境界内で通常どおり使用することができます。

    Anti Money Laundering AI の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Anti Money Laundering AI と VPC Service Controls の統合には既知の制限事項はありません。

    Firebase App Check

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 firebaseappcheck.googleapis.com
    詳細

    Firebase App Check トークンを構成して交換する場合、VPC Service Controls は Firebase App Check サービスのみを保護します。Firebase App Check に依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。

    Firebase App Check の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Firebase App Check と VPC Service Controls の統合には既知の制限事項はありません。

    Firebase セキュリティ ルール

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 firebaserules.googleapis.com
    詳細

    Firebase セキュリティ ルール ポリシーを管理している場合、VPC Service Controls は Firebase セキュリティ ルール サービスのみを保護します。Firebase セキュリティ ルールに依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。

    Firebase セキュリティ ルールの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Firebase セキュリティ ルールの VPC Service Controls とのインテグレーションに関する既知の制限事項はありません。

    Cloud Functions

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudfunctions.googleapis.com
    詳細

    設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。

    Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Cloud Functions は、Cloud Build、Container Registry、Cloud Storage を使用して、実行可能なコンテナでソースコードをビルドして管理します。これらのサービスのいずれかがサービス境界によって制限されている場合、Cloud Functions が制限付きサービスとして境界に追加されていない場合でも、VPC Service Controls は Cloud Functions のビルドをブロックします。サービス境界内で Cloud Functions を使用するには、サービス境界で Cloud Build サービス アカウントの上り(内向き)ルールを構成する必要があります。

    • npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。

    • サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、ローカルマシンからの Cloud Functions のデプロイに ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を使用できません。

      回避策として、ID タイプに ANY_IDENTITY を使用します。

    • HTTP トリガーによって Cloud Functions サービスが呼び出されると、VPC Service Controls ポリシーの適用でクライアントの IAM 認証情報は使用されません。IAM プリンシパルを使用する VPC Service Controls の上り(内向き)ポリシールールはサポートされません。IAM プリンシパルを使用する VPC Service Controls 境界のアクセスレベルはサポートされません。

    Identity and Access Management

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iam.googleapis.com
    詳細

    境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。ワークフォース プールは組織レベルのリソースであるため、境界によってワークフォース プールの処理が制限されることはありません。

    IAM 周囲の境界では、Resource Manager プロジェクト、フォルダ、組織、Compute Engine 仮想マシン インスタンスなどの他のサービスが所有するリソースのアクセス管理(つまり、IAM ポリシーの取得や設定)は制限されません。これらのリソースのアクセス管理を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、IAM ポリシーを受け入れるリソースタイプをご覧ください。

    また、IAM 周囲の境界では、次のような他の API を使用するアクションは制限されません。

    • IAM Policy Simulator API
    • IAM Policy Troubleshooter API
    • Security Token Service API
    • Service Account Credentials API(IAM API のレガシー signBlob メソッドと signJwt メソッドを含む)

    Identity and Access Management の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    境界内にある場合は、空の文字列を使用して roles.list メソッドを呼び出し、IAM の事前定義ロールを一覧表示することはできません。事前定義ロールを表示する必要がある場合は、IAM ロールのドキュメントをご覧ください。

    IAP Admin API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iap.googleapis.com
    詳細

    IAP Admin API を使用すると、ユーザーが IAP を構成できます。

    IAP Admin API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    IAP Admin API と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Cloud KMS Inventory API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 kmsinventory.googleapis.com
    詳細

    Cloud KMS Inventory API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud KMS Inventory API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    SearchProtectedResources API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

    サービス アカウント認証情報

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iamcredentials.googleapis.com
    詳細

    サービス アカウント認証情報用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    サービス アカウント認証情報の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス アカウント認証情報と VPC Service Controls の統合には既知の制限事項はありません。

    Service Metadata API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloud.googleapis.com
    詳細

    Service Metadata API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Service Metadata API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Service Metadata API と VPC Service Controls の統合には既知の制限事項はありません。

    サーバーレス VPC アクセス

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 vpcaccess.googleapis.com
    詳細

    サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Key Management Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudkms.googleapis.com
    詳細

    Cloud KMS API は VPC Service Controls で保護でき、プロダクトをサービス境界内で使用できます。Cloud HSM サービスへのアクセスは VPC Service Controls でも保護され、サービス境界内で使用できます。

    Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。

    Game Servers

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gameservices.googleapis.com
    詳細

    Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Game Servers の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Game Servers と VPC Service Controls の統合には既知の制限事項はありません。

    TCP 用 Identity-Aware Proxy

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iaptunnel.googleapis.com
    詳細

    TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • 境界では TCP 用 IAP の使用 API のみが保護されます。管理 API を境界で保護することはできません。

    • VPC Service Controls サービス境界内で TCP 用 IAP を使用するには、次のドメインを制限付き VIP に指定するように一部の DNS エントリを追加または構成する必要があります。

      • tunnel.cloudproxy.app
      • *.tunnel.cloudproxy.app

    Cloud Life Sciences

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 lifesciences.googleapis.com
    詳細

    Cloud Life Sciences API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Life Sciences の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Life Sciences と VPC Service Controls の統合には、既知の制限事項はありません。

    Managed Service for Microsoft Active Directory

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 managedidentities.googleapis.com
    詳細

    次の場合は追加の構成が必要です。

    Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。

    reCAPTCHA Enterprise

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 recaptchaenterprise.googleapis.com
    詳細

    reCAPTCHA Enterprise の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    reCAPTCHA Enterprise の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    reCAPTCHA Enterprise と VPC Service Controls の統合には既知の制限事項はありません。

    Web Risk

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 webrisk.googleapis.com
    詳細

    Web Risk の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Web Risk の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Evaluate API と Submission API は VPC Service Controls ではサポートされていません。

    Recommender

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 recommender.googleapis.com
    詳細

    Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Recommender の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • VPC Service Controls は、組織、フォルダ、請求先アカウントのリソースをサポートしていません。

    Secret Manager

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 secretmanager.googleapis.com
    詳細

    Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。

    Pub/Sub

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 pubsub.googleapis.com
    詳細

    VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。

    Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス境界で保護されているプロジェクトでは、次の制限が適用されます。

    • push エンドポイントがデフォルトの run.app URL で Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメインは機能しません)。Cloud Run とのインテグレーションの詳細については、VPC Service Controls の使用をご覧ください。
    • トピックと同じ境界にサブスクリプションを作成するか、トピックからサブスクリプションへのアクセスを許可する下り(外向き)ルールを有効にする必要があります。
    • push エンドポイントが Workflows 実行に設定されている Workflows ターゲットに Eventarc を介してイベントをルーティングする場合、新しい push サブスクリプションは Eventarc を介してのみ作成できます。
    • サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。

    Pub/Sub Lite

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 pubsublite.googleapis.com
    詳細

    VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。

    Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Build

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudbuild.googleapis.com
    詳細

    VPC Service Controls と Cloud Build のプライベート プールを使用して、ビルドのセキュリティを強化します。

    Cloud Build の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls の保護は、プライベート プールで実行されるビルドでのみ使用できます。

    Cloud Deploy

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 clouddeploy.googleapis.com
    詳細

    Cloud Deploy の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Deploy の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Cloud Deploy を境界で使用するには、ターゲットの実行環境に Cloud Build プライベート プールを使用する必要があります。デフォルト(Cloud Build)のワーカープールとハイブリッド プールは使用しないでください。

    Cloud Composer

    ステータス 一般提供
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 composer.googleapis.com
    詳細

    Composer を VPC Service Controls で使用できるように構成します

    Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。

    • DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。

    • DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。

    • Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。

    Cloud Run

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 run.googleapis.com
    詳細 Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。

    Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Artifact Registry と Container Registry では、コンテナを保存するレジストリが、デプロイ先のプロジェクトと同じ VPC Service Controls の境界内に存在する必要があります。ビルドするコードは、コンテナが push されるレジストリと同じ VPC Service Controls の境界内に存在する必要があります。
    • VPC Service Controls 境界内のプロジェクトでは、Cloud Run の継続的デプロイ機能を使用できません。
    • Cloud Run サービスが呼び出されている場合、VPC Service Controls ポリシーを適用してもクライアントの IAM 認証情報は使用されません。このようなリクエストには次の制限があります。
      • IAM プリンシパルを使用する VPC Service Controls の上り(内向き)ポリシールールはサポートされません。
      • IAM プリンシパルを使用する VPC Service Controls 境界のアクセスレベルはサポートされません。

    Cloud Scheduler

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudscheduler.googleapis.com
    詳細 VPC Service Controls は、次のアクションに適用されます。
    • Cloud Scheduler ジョブの作成
    • Cloud Scheduler ジョブの更新

    Cloud Scheduler の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    VPC Service Controls は、次のターゲットを持つ Cloud Scheduler ジョブのみをサポートします。
    • Cloud Functions functions.net エンドポイント
    • Cloud Run run.app エンドポイント
    • Dataflow API(Cloud Scheduler ジョブと同じ Google Cloud プロジェクトに存在する必要があります)
    • Data Pipelines(Cloud Scheduler ジョブと同じ Google Cloud プロジェクト内に存在する必要があります)
    • Pub/Sub(Cloud Scheduler ジョブと同じ Google Cloud プロジェクトに存在する必要があります)

    Spanner

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 spanner.googleapis.com
    詳細

    Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Spanner の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Spanner と VPC Service Controls の統合には既知の制限事項はありません。

    Speaker ID

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 speakerid.googleapis.com
    詳細

    Speaker ID の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Speaker ID について詳しくは、プロダクトのドキュメントをご覧ください。

    制限事項

    Speaker ID と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Cloud Storage

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 storage.googleapis.com
    詳細

    Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。

      リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。

    • サービス境界内のプロジェクトの場合、Google Cloud コンソールの Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含む上り(内向き)ルールまたはアクセスレベルを作成する必要があります。

    • 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります

    • 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。

    • アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。

    • 新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。

    • オブジェクトで VPC Service Controls を有効にした後でも、一般公開された Cloud Storage オブジェクトにアクセスできる場合があります。オブジェクトには、組み込みキャッシュで期限切れになるか、エンドユーザーと Cloud Storage 間のネットワーク上のアップストリーム キャッシュで期限切れになるまでアクセスできます。デフォルトでは、Cloud Storage は一般公開されているデータを Cloud Storage ネットワークのキャッシュに保存します。Cloud Storage オブジェクトがキャッシュに保存される方法については、Cloud Storage をご覧ください。オブジェクトがキャッシュに保存される期間については、キャッシュ制御メタデータをご覧ください。
    • サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、署名付き URL を使用したすべての Cloud Storage オペレーションの ID タイプとして ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を使用できません。

      回避策として、ID タイプに ANY_IDENTITY を使用します。

    • 署名付き URL は、VPC Service Controls をサポートしています。

      VPC Service Controls は、署名付き URL を署名したユーザーまたはサービス アカウントの署名認証情報を使用して、接続を開始した呼び出し元またはユーザーの認証情報ではなく、VPC Service Controls のチェックを評価します。

    Cloud Tasks

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudtasks.googleapis.com
    詳細

    Cloud Tasks の API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。

    Cloud Tasks の実行からの HTTP リクエストは、次のようにサポートされています。

    • VPC Service Controls 準拠の Cloud Functions エンドポイントと Cloud Run エンドポイントへの認証済みリクエストが許可されます。
    • Cloud Functions と Cloud Run 以外のエンドポイントへのリクエストはブロックされます。
    • VPC Service Controls に準拠していない Cloud Functions および Cloud Run エンドポイントへのリクエストはブロックされます。

    Cloud Tasks の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    VPC Service Controls では、次のターゲットに対する Cloud Tasks リクエストのみがサポートされます。
    • Cloud Functions functions.net エンドポイント
    • Cloud Run run.app エンドポイント

    Cloud SQL

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 sqladmin.googleapis.com
    詳細

    VPC Service Controls 境界は Cloud SQL Admin API を保護します。

    Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用する必要があります。
    • Cloud SQL 用の VPC Service Controls を構成する前に、Service Networking API を有効にします。
    • Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットから読み取りと書き込みのみを行えます。

    • 外部サーバー移行フローでは、Cloud Storage バケットを同じサービス境界に追加する必要があります。
    • CMEK の鍵作成フローでは、鍵を使用するリソースと同じサービス境界に鍵を作成する必要があります。
    • バックアップからインスタンスを復元する場合、ターゲット インスタンスは、バックアップと同じサービス境界に存在する必要があります。

    Video Intelligence API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 videointelligence.googleapis.com
    詳細

    Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Vision API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 vision.googleapis.com
    詳細

    Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    VPC Service Controls の境界内から公開 URL の呼び出しを許可する下り(外向き)ルールを作成した場合でも、Cloud Vision API は公開 URL の呼び出しをブロックします。

    Artifact Analysis

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containeranalysis.googleapis.com
    詳細

    VPC Service Controls で Artifact Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。

    Container Scanning API は、Artifact Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。

    Artifact Analysis の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Artifact Analysis と VPC Service Controls の統合には既知の制限事項はありません。

    Container Registry

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containerregistry.googleapis.com
    詳細

    Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

    Container Registry の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、すべての Container Registry オペレーションの ID タイプとして ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を使用できません。

      回避策として、ID タイプに ANY_IDENTITY を使用します。

    • Container Registry は gcr.io ドメインを使用するため、*.gcr.ioprivate.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。

    • Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次のリポジトリをサービス境界によって適用される制限に関係なくすべてのプロジェクトで使用できます。

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。

    Google Kubernetes Engine

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 container.googleapis.com
    詳細

    Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。
    • 自動スケーリングは GKE とは独立して機能します。VPC Service Controls は autoscaling.googleapis.com をサポートしていないため、自動スケーリングは機能しません。GKE を使用する場合、監査ログ内の autoscaling.googleapis.com サービスに起因する SERVICE_NOT_ALLOWED_FROM_VPC 違反は無視できます。

    Container Security API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containersecurity.googleapis.com
    詳細

    Container Security API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Container Security API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Container Security API と VPC Service Controls の統合には既知の制限事項はありません。

    イメージ ストリーミング

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containerfilesystem.googleapis.com
    詳細

    イメージ ストリーミングは、Artifact Registry に保存されているコンテナ イメージの pull 時間を短縮する GKE データ ストリーミング機能です。VPC Service Controls がコンテナ イメージを保護し、イメージ ストリーミングを使用する場合は、サービス境界に Image Streaming API も含める必要があります。

    イメージ ストリーミングの詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • 次の読み取り専用リポジトリは、サービス境界によって適用される制限に関係なく、すべてのプロジェクトで使用できます。

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

    フリート

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gkeconnect.googleapis.com,
    gkehub.googleapis.com,
    connectgateway.googleapis.com
    詳細

    Fleet management API(Connect gateway を含む)は VPC Service Controls で保護できます。フリート管理機能はサービス境界内で通常どおり使用できます。詳しくは以下をご覧ください。

    フリートの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • すべてのフリート管理機能は通常どおり使用できますが、Stackdriver API のサービス境界を有効にすると、Policy Controller フリート機能と Security Command Center との統合が制限されます。

    Resource Manager

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudresourcemanager.googleapis.com
    詳細

    VPC Service Controls で保護できる Cloud Resource Manager API メソッドは次のとおりです。

    Resource Manager の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • VPC Service Controls を使用して保護できるのは、プロジェクト リソースを直接親とするタグキーと、対応するタグ値のみです。プロジェクトを VPC Service Controls の境界に追加すると、プロジェクト内のすべてのタグキーと対応するタグ値は境界内のリソースとみなされます。
    • 組織リソースを親とするタグキーと、それらに対応するタグ値は、VPC Service Controls の境界に含めることはできず、VPC Service Controls を使用して保護することもできません。
    • VPC Service Controls の境界内のクライアントは、組織リソースを親とするタグキーと対応する値にアクセスできません。ただし、アクセスを許可する下り(外向き)ルールが境界で設定されている場合を除きます。下り(外向き)ルールの設定の詳細については、上り(内向き)ルールと下り(外向き)ルールをご覧ください。
    • タグ バインディングは、タグ値がバインドされているリソースと同じ境界内のリソースとみなされます。たとえば、プロジェクト内の Compute Engine インスタンスのタグ バインディングは、タグキーが定義されている場所に関係なく、そのプロジェクトに属しているとみなされます。
    • Compute Engine などの一部のサービスでは、Resource Manager サービス API に加えて、独自のサービス API を使用してタグ バインディングを作成できます。たとえば、リソースの作成時に Compute Engine VM にタグを追加します。これらのサービス API を使用して作成または削除されたタグ バインディングを保護するには、対応するサービス(compute.googleapis.com など)を境界の制限されたサービスのリストに追加します。
    • タグはメソッドレベルの制限をサポートしているため、method_selectors のスコープを特定の API メソッドに制限できます。制限付きのメソッドの一覧については、サポートされているサービス メソッドの制限をご覧ください。
    • VPC Service Controls により、Google Cloud コンソールでのプロジェクトへのオーナーロールの付与がサポートされるようになりました。オーナーの招待を送信したり、サービス境界外の招待を承諾することはできません。境界外からの招待を承諾しようとすると、オーナーロールは付与されません。また、エラーや警告メッセージは表示されません。

    Cloud Logging

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 logging.googleapis.com
    詳細

    Cloud Logging の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 集約されたログシンク(includeChildrentrue のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。集約されたログシンクが境界内のデータにアクセスするのを制限するには、IAM を使用してフォルダレベルまたは組織レベルの集約ログシンクで Logging 権限を管理することをおすすめします。

    • VPC Service Controls では、フォルダまたは組織のリソースをサービス境界に追加できません。したがって、VPC Service Controls を使用して、フォルダレベルと組織レベルのログ(集約ログを含む)を保護することはできません。フォルダレベルまたは組織レベルで Logging 権限を管理するには、IAM を使用することをおすすめします。

    • 組織レベルまたはフォルダレベルのログシンクを使用して、サービス境界で保護されるリソースにログをルーティングする場合は、サービス境界に上り(内向き)ルールを追加する必要があります。上り(内向き)ルールで、ログシンクが使用するサービス アカウントからリソースへのアクセスを許可する必要があります。この手順は、プロジェクト レベルのシンクには必要ありません。

      詳しくは、以下のページをご覧ください。

    • サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、Cloud Logging シンクから Cloud Storage リソースへのログのエクスポートに ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を使用できません。

      回避策として、ID タイプに ANY_IDENTITY を使用します。

    Certificate Manager

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 certificatemanager.googleapis.com
    詳細

    Certificate Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Certificate Manager の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Certificate Manager と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Monitoring

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 monitoring.googleapis.com
    詳細

    Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。

    • Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。

    • GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。

    • 指標スコープの指標のクエリの場合、指標スコープのスコープ対象プロジェクトの VPC Service Controls の境界のみが考慮されます。指標スコープ内の個々のモニタリング対象プロジェクトの境界は考慮されません。

    • プロジェクトを既存の指標スコープにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトが指標スコープのスコープ対象プロジェクトと同じ VPC Service Controls 境界にある場合のみです。

    • サービス境界で保護されているホスト プロジェクトについて Google Cloud コンソールの Monitoring にアクセスするには、上り(内向き)ルールを使用します。

    Cloud Profiler

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudprofiler.googleapis.com
    詳細

    Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。

    Timeseries Insights API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 timeseriesinsights.googleapis.com
    詳細

    Timeseries Insights API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Timeseries Insights API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Timeseries Insights API と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Trace

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudtrace.googleapis.com
    詳細

    Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud TPU

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 tpu.googleapis.com
    詳細

    Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。

    Natural Language API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 language.googleapis.com
    詳細

    Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Natural Language API はステートレス API であり、プロジェクトでは実行されないため、VPC Service Controls を使用して Natural Language API を保護しても効果はありません。

    Network Connectivity Center

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 networkconnectivity.googleapis.com
    詳細

    Network Connectivity Center の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Network Connectivity Center の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Network Connectivity Center と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Asset API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudasset.googleapis.com
    詳細

    Cloud Asset API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • VPC Service Controls では、サービス境界内のリソースとクライアントからのフォルダレベルまたは組織レベルの Cloud Asset API リソースへのアクセスをサポートしていません。VPC Service Controls は、プロジェクト レベルの Cloud Asset API リソースを保護します。下り(外向き)ポリシーを指定すると、境界内のプロジェクトから Cloud Asset API リソースへのプロジェクト レベルでのアクセスを防止できます。
    • VPC Service Controls では、フォルダレベルまたは組織レベルの Cloud Asset API リソースのサービス境界への追加をサポートしていません。境界を使用してフォルダレベルまたは組織レベルの Cloud Asset API リソースを保護することはできません。フォルダレベルまたは組織レベルで Cloud Asset Inventory の権限を管理するには、IAM を使用することをおすすめします。
    • フォルダレベルまたは組織レベルで、サービス境界内の宛先にアセットをエクスポートすることはできません。
    • サービス境界内の Pub/Sub トピックを使用して、フォルダレベルまたは組織レベルでアセットのリアルタイム フィードを作成することはできません。

    Speech-to-Text

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 speech.googleapis.com
    詳細

    Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。

    Text-to-Speech

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 texttospeech.googleapis.com
    詳細

    Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。

    Translation

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 translate.googleapis.com
    詳細

    Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Translation の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Translation - Advanced(v3)は VPC Service Controls をサポートしていますが、Cloud Translation - Basic(v2)はサポートしていません。VPC Service Controls を適用するには、Cloud Translation - Advanced(v3)を使用する必要があります。各エディションの詳細については、Basic と Advanced の比較をご覧ください。

    Live Stream API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 livestream.googleapis.com
    詳細

    Live Stream API で VPC Service Controls を使用してパイプラインを保護します。

    Live Stream API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス境界で入力エンドポイントを保護するには、手順に沿ってプライベート プールを設定し、プライベート接続で入力動画ストリームを送信する必要があります。

    Transcoder API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 transcoder.googleapis.com
    詳細

    Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Transcoder API と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Video Stitcher API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 videostitcher.googleapis.com
    詳細

    Video Stitcher API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Video Stitcher API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Video Stitcher API と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Access Approval

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 accessapproval.googleapis.com
    詳細

    Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Access Approval の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Access Approval と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Healthcare API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 healthcare.googleapis.com
    詳細

    Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。

    Storage Transfer Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 storagetransfer.googleapis.com
    詳細

    Storage Transfer Service プロジェクトは、Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、下り(外向き)ポリシーを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。

    設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。

    Transfer Service for On Premises Data

    オンプレミス用 Transfer の詳細と設定情報については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。

    Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    Storage Transfer Service と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Service Control

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 servicecontrol.googleapis.com
    詳細

    Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Service Control の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • 課金または分析の指標の報告を制限している Service Control を使用して、サービス境界内の VPC ネットワークから Service Control API を呼び出しているときに、VPC Service Controls でサポートされているサービスの指標を報告するには、Service Control レポートを使用する必要があります。

    Memorystore for Redis

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 redis.googleapis.com
    詳細

    Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。

    • Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。

    • 共有 VPC と VPC Service Controls の両方を使用する場合、Redis リクエストを成功させるには、ネットワークを提供するホスト プロジェクトと、Redis インスタンスを含むサービス プロジェクトを同じ境界内に設定する必要があります。随時、ホスト プロジェクトとサービス プロジェクトを境界で分割すると、ブロックされたリクエストだけでなく、Redis インスタンスで障害が発生する可能性があります。詳細については、Memorystore for Redis の構成要件をご覧ください。

    Memorystore for Memcached

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 memcache.googleapis.com
    詳細

    Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界により Memorystore for Memcached API だけが保護されます。同じネットワーク内の Memorystore for Memcached インスタンスに対する通常のデータアクセスは保護されません。

    Service Directory

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 servicedirectory.googleapis.com
    詳細

    Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Service Directory の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Service Directory と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Visual Inspection AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 visualinspection.googleapis.com
    詳細

    Visual Inspection AI を完全に保護するには、次の API をすべて境界に含めます。

    • Visual Inspection AI API(visualinspection.googleapis.com
    • Vertex AI API(aiplatform.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Artifact Registry API(artifactregistry.googleapis.com
    • Container Registry API(containerregistry.googleapis.com

    Visual Inspection AI の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Visual Inspection AI と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Transfer Appliance

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか いいえ。Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
    詳細

    Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。

    Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

    Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。

    Organization Policy Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 orgpolicy.googleapis.com
    詳細

    Organization Policy Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Organization Policy Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls は、プロジェクトによって継承される、フォルダレベルまたは組織レベルの組織のポリシーに対するアクセス制限をサポートしていません。VPC Service Controls は、プロジェクト レベルの Organization Policy Service API のリソースを保護します。

    たとえば、上り(内向き)ルールによってユーザーが Organization Policy Service API にアクセスできない場合、そのプロジェクトに適用されている組織のポリシーをクエリすると、403 エラーが発生します。ただし、ユーザーは引き続き、プロジェクトを含むフォルダと組織の組織のポリシーにアクセスできます。

    OS Login

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 oslogin.googleapis.com
    詳細

    VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。

    VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。

    OS Login の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    SSH 認証鍵を読み書きするための OS Login メソッドでは、VPC Service Controls の境界は適用されません。OS Login API へのアクセスを無効にするには、VPC のアクセス可能なサービスを使用します。

    Personalized Service Health

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 servicehealth.googleapis.com
    詳細

    Personalized Service Health の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Personalized Service Health の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls は、Service Health API の OrganizationEvents リソースと OrganizationImpacts リソースをサポートしていません。したがって、これらのリソースのメソッドを呼び出しても、VPC Service Controls のポリシー チェックは行われません。ただし、制限付き VIP を使用してサービス境界からメソッドを呼び出すことはできます。

    VM Manager

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 osconfig.googleapis.com
    詳細

    VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。

    VM Manager の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。
    • OS Config API(osconfig.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • Artifact Analysis API(containeranalysis.googleapis.com
    VM Manager はパッケージとパッチのコンテンツをホストしません。OS Patch Management では、オペレーティング システムの更新ツールを使用して、VM 上でパッケージの更新とパッチを取得する必要があります。パッチ適用が動作するために、Cloud NAT を使用するか、Virtual Private Cloud 内で独自のパッケージ リポジトリまたは Windows Server Update Service をホストすることが必要になる場合があります。

    Workflows

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 workflows.googleapis.com
    詳細

    Workflows は、定義した順序でサービスを実行するために、Google Cloud サービスと HTTP ベースの API を組み合わせることができるオーケストレーション プラットフォームです。

    サービス境界を使用して Workflows API を保護すると、Workflow Executions API も保護されます。境界のリスト(保護されるサービスが含まれる)に workflowexecutions.googleapis.com を個別に追加する必要はありません。

    Workflows の実行からの HTTP リクエストは、次のようにサポートされています。

    • VPC Service Controls 準拠の Google Cloud エンドポイントへの認証済みリクエストは許可されます。
    • Cloud Functions および Cloud Run サービス エンドポイントへのリクエストは許可されます。
    • サードパーティ エンドポイントへのリクエストはブロックされます。
    • VPC Service Controls に準拠していない Google Cloud エンドポイントへのリクエストはブロックされます。

    Workflows の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Workflows と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Filestore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 file.googleapis.com
    詳細

    Filestore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Filestore の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界は、Filestore API のみを保護します。同じネットワーク内の Filestore インスタンスへの通常の NFS データアクセスは、境界で保護されません。

    • 共有 VPC と VPC Service Controls の両方を使用する場合、Filestore インスタンスを正常に機能させるには、ネットワークを提供するホスト プロジェクトと、同じ境界内の Filestore インスタンスを含むサービス プロジェクトが必要です。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できない場合があります。

    Parallelstore

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 parallelstore.googleapis.com
    詳細

    Parallelstore の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • 共有 VPC と VPC Service Controls の両方を使用する場合、Parallelstore インスタンスを正常に機能させるには、ネットワークを提供するホスト プロジェクトと、同じ境界内の Parallelstore インスタンスを含むサービス プロジェクトが必要です。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できない場合があります。

    Container Threat Detection

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containerthreatdetection.googleapis.com
    詳細

    Container Threat Detection の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Container Threat Detection の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Container Threat Detection と VPC Service Controls の統合には既知の制限事項はありません。

    Ads Data Hub

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 adsdatahub.googleapis.com
    詳細

    Ads Data Hub の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。

    Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。

    依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。

    多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。

    Traffic Director

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
    詳細

    Traffic Director の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Traffic Director の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Traffic Director と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Security Token Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 sts.googleapis.com
    詳細

    VPC Service Controls がトークン交換を制限するのは、リクエストのオーディエンスがプロジェクト レベルのリソースである場合のみです。たとえば、スコープが限定されたトークンのリクエストにはオーディエンスがないため、制限が適用されません。また、オーディエンスは組織レベルのリソースであるため、ワークフォース ID 連携のリクエストも制限されません。

    Security Token Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Security Token Service と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Firestore / Datastore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
    詳細

    firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com サービスがバンドルされています。境界で firestore.googleapis.com サービスを制限すると、境界によって datastore.googleapis.com サービスと firestorekeyvisualizer.googleapis.com サービスも制限されます。

    datastore.googleapis.com サービスを制限するには、firestore.googleapis.com サービス名を使用します。

    インポートとエクスポートのオペレーションで完全な下り(外向き)保護を実現するには、Firestore サービス エージェントを使用する必要があります。詳しくは以下をご覧ください。

    Firestore / Datastore の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Migrate to Virtual Machines

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 vmmigration.googleapis.com
    詳細

    Migrate to Virtual Machines の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    Migrate to Virtual Machines の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Migrate to Virtual Machines を完全に保護するには、次の API をすべてサービス境界に追加します。

      • Pub/Sub API(pubsub.googleapis.com
      • Cloud Storage API(storage.googleapis.com
      • Cloud Logging API(logging.googleapis.com
      • Secret Manager API(secretmanager.googleapis.com
      • Compute Engine API(compute.googleapis.com

      詳細については、Migrate to Virtual Machines のドキュメントをご覧ください。

    移行センター

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名
    • migrationcenter.googleapis.com
    • rapidmigrationassessment.googleapis.com
    詳細

    VPC Service Controls を使用すると、Migration Center で収集したインフラストラクチャ データをサービス境界で保護できます。

    Migration Center の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • サービス境界を有効にすると、インフラストラクチャ データを StratoZone に転送できなくなります。
    • サービス境界が有効な場合、詳細な料金レポートをエクスポートできません。

    バックアップと DR サービス

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 backupdr.googleapis.com
    詳細

    バックアップと DR サービスの API は VPC Service Controls で保護することができ、プロダクトはサービス境界内で通常どおり使用することができます。

    バックアップと DR サービスの詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    gcloud services vpc-peerings enable-vpc-service-controls コマンドを使用して、サービス プロデューサー プロジェクトからインターネットのデフォルト ルートを削除すると、管理コンソールにアクセスできなくなるか、デプロイできなくなる場合があります。この問題が発生した場合は、Google Cloud カスタマーケアにお問い合わせください。

    Backup for GKE

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gkebackup.googleapis.com
    詳細

    VPC Service Controls を使用して GKE のバックアップを保護します。Backup for GKE の機能はサービス境界内で正常に機能します。

    Backup for GKE の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Backup for GKE と VPC Service Controls の統合に既知の制限事項はありません。

    Retail API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 retail.googleapis.com
    詳細

    Retail API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Retail API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Retail API と VPC Service Controls の統合には既知の制限事項はありません。

    Application Integration

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 integrations.googleapis.com
    詳細

    Application Integration はコラボレーション ワークフロー管理システムです。これを使用すると、主要なビジネス システムのワークフローを作成、強化、デバッグ、理解できます。Application Integration のワークフローは、トリガーとタスクで構成されています。トリガーには複数の種類(API トリガー / Pub/Sub トリガー / cron トリガー / sfdc トリガーなど)があります。

    Application Integration の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls は、Application Integration のログを保護します。Application Integration を使用する場合は、Application Integration チームと vpcsc の統合のサポートを確認します。

    Integration Connectors

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 connectors.googleapis.com
    詳細

    Integration Connectors の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    Integration Connectors の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls を使用する際に、Google Cloud CLI 以外のリソースに接続する場合は、接続の宛先が Private Service Connect アタッチメントである必要があります。Private Service Connect のアタッチメントなしで作成された接続は失敗します。

    • Google Cloud CLI プロジェクトに VPC Service Controls サービス境界を設定している場合、プロジェクトでイベント サブスクリプション機能を使用できません。

    Error Reporting

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 clouderrorreporting.googleapis.com
    詳細

    Error Reporting の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Error Reporting の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    新規または繰り返し発生するエラーグループが検出されると、エラーグループに関する情報が通知に含まれます。VPC Service Controls