|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
ml.googleapis.com
beta
|
|
詳細
|
VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。
AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com)
- Pub/Sub API(
pubsub.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Google Kubernetes Engine API(
container.googleapis.com)
- Container Registry API(
containerregistry.googleapis.com)
- Cloud Logging API(
logging.googleapis.com)
詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。 サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。 AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
ml.googleapis.com
beta
|
|
詳細
|
AI Platform Training では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。
- AI Platform Training and Prediction API(
ml.googleapis.com)
- Pub/Sub API(
pubsub.googleapis.com)
- Cloud Storage API(
storage.googleapis.com)
- Google Kubernetes Engine API(
container.googleapis.com)
- Container Registry API(
containerregistry.googleapis.com)
- Cloud Logging API(
logging.googleapis.com)
詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。 AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。 AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
AI Platform Notebooks では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
AI Platform Notebooks の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
meshca.googleapis.com
beta
|
|
詳細
|
Anthos Service Mesh では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
- サービス境界で保護できるのは、Cloud Service Mesh Certificate Authority API のみです。サービス境界を追加して、ID Namespace を保護できます。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
artifactregistry.googleapis.com
beta
|
|
詳細
|
Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Artifact Registry を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
automl.googleapis.com
beta
,
eu-automl.googleapis.com
beta
|
|
詳細
|
AutoML Natural Language では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
AutoML Natural Language と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
AutoML Tables では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
AutoML Tables と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
AutoML Translation では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
AutoML Translation と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
videointelligence.googleapis.com
|
|
詳細
|
AutoML Video Intelligence では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
AutoML Video Intelligence と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
AutoML Vision では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
AutoML Vision と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
bigquery.googleapis.com
|
|
詳細
|
サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。
BigQuery の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
VPC Service Controls では、サービス境界で保護されている BigQuery リソースを別の組織にコピーできません。アクセスレベルでは、組織間でコピーすることはできません。
保護された BigQuery リソースを別の組織にコピーするには、データセット(CSV ファイルなど)をダウンロードして、そのファイルを他の組織にアップロードします。 BigQuery Data Transfer Service は、以下のサービスでサポートされています。
Google Software as a Service(SaaS)アプリ
外部クラウド ストレージ プロバイダ
データ ウェアハウス
また、Google Cloud Marketplace では、いくつかのサードパーティ転送を利用できます。
注: BigQuery Data Transfer Service では、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。 BigQuery の従来のウェブ UI はサポートされていません。BigQuery の従来のウェブ UI から、サービス境界で保護されている BigQuery インスタンスにアクセスできません。 サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。 サービス アカウントを使用してサービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内で実行する必要があります。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
bigtable.googleapis.com
|
|
詳細
|
Cloud Bigtable では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
binaryauthorization.googleapis.com
beta
|
|
詳細
|
Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。
Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。
Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。
Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。
Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。 現在、Cloud Data Fusion データプレーンの UI では、ID ベースのアクセスを使用したアクセスレベルの指定はサポートされていません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。
- 機密性の高い API オペレーションへのアクセスを制限します
- 永続ディスクのスナップショットとカスタム イメージを境界に制限します
- インスタンス メタデータへのアクセスを制限します
Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。
Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
階層型ファイアウォールはサービス境界の影響を受けません。 VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。 共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。 サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、境界のアクセスレベルに、イメージを作成しているユーザーを一時的に追加する必要があります。 サービス境界内での Compute Engine での Kubernetes の使用は、VPC Service Controls ではサポートされていません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
dataflow.googleapis.com
|
|
詳細
|
Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。
Dataflow の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。 すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。
Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
dataproc.googleapis.com
|
|
詳細
|
Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。
Dataproc の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
- Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
dlp.googleapis.com
|
|
詳細
|
Cloud Data Loss Prevention では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Data Loss Prevention と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
cloudfunctions.googleapis.com
|
|
詳細
|
設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。
Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
cloudkms.googleapis.com
|
|
詳細
|
Cloud Key Management Service では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
gameservices.googleapis.com
|
|
詳細
|
Game Servers では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Game Servers の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Game Servers と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
managedidentities.googleapis.com
|
|
詳細
|
次の場合は追加の構成が必要です。
Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
secretmanager.googleapis.com
|
|
詳細
|
Secret Manager では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
pubsub.googleapis.com
|
|
詳細
|
VPC Service Controls の保護は、既存の push サブスクリプションを除くすべてのサブスクライバー オペレーションに適用されます。
Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
- サービス境界で保護されているプロジェクトでは、新しい push サブスクリプションを作成できません。
- サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
composer.googleapis.com
beta
|
|
詳細
|
Composer を VPC Service Controls で使用できるように構成する
Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。 DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。 DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。 Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
spanner.googleapis.com
|
|
詳細
|
Cloud Spanner では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Spanner と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
storage.googleapis.com
|
|
詳細
|
Cloud Storage では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。
リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。 サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含むアクセスレベルを作成する必要があります。 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります。 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。 アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。 新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
sqladmin.googleapis.com
|
|
詳細
|
VPC Service Controls 境界は Cloud SQL Admin API を保護します。
Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用する必要があります。 Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットから読み取りと書き込みのみを行えます。外部サーバー移行フローでは、Cloud Storage バケットを同じサービス境界に追加する必要があります。CMEK のキーフローを作成するときは、それを使用するリソースと同じサービス境界内でキーを作成する必要があります。注: バックアップからインスタンスを復元する場合、ターゲット インスタンスはバックアップと同じサービス境界内にある必要があります。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
|
|
詳細
|
Video Intelligence API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
vision.googleapis.com
|
|
詳細
|
Cloud Vision API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Vision API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
containeranalysis.googleapis.com
beta
|
|
詳細
|
VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。
Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。
Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
containerregistry.googleapis.com
|
|
詳細
|
Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Container Registry の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Container Registry を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。
Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界に関係なくすべてのプロジェクトで使用できます。
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
- mirror.gcr.io
いずれの場合も、これらのリポジトリのリージョン版も利用できます。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
|
|
詳細
|
Google Kubernetes Engine では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Google Kubernetes Engine と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
cloudresourcemanager.googleapis.com
beta
|
|
詳細
|
Resource Manager では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
logging.googleapis.com
|
|
詳細
|
VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、フォルダレベルと組織レベルのログは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。
Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
ログのエクスポート シンク(includeChildren が true のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。 サービス境界で保護されているリソースに組織またはフォルダのログ エクスポートを設定するには、そのログシンクのサービス アカウントをアクセスレベルに追加して、宛先のサービス境界に割り当てる必要があります。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。
詳しくは、以下のページをご覧ください。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
monitoring.googleapis.com
|
|
詳細
|
Cloud Monitoring では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。 Google Cloud Console の Monitoring は VPC Service Controls をサポートしていますが、従来の Cloud Monitoring コンソールの VPC Service Controls は完全にサポートされていません。 Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。 GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。 ワークスペースの指標のクエリの場合、ワークスペースのホスト プロジェクトの VPC Service Controls 境界のみが考慮され、ワークスペース内の個々のモニタリング対象プロジェクトの境界は考慮されません。 プロジェクトを既存のワークスペースにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトがワークスペースのホスト プロジェクトと同じ VPC Service Controls 境界にある場合のみです。 Cloud Console でサービス境界で保護されているホスト プロジェクトの Monitoring にアクセスするには、アクセスレベルを使用します。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
cloudprofiler.googleapis.com
|
|
詳細
|
Cloud Profiler では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
cloudtrace.googleapis.com
|
|
詳細
|
Cloud Trace では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
tpu.googleapis.com
|
|
詳細
|
Cloud TPU では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
language.googleapis.com
|
|
詳細
|
Natural Language API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
cloudasset.googleapis.com
|
|
詳細
|
VPC Service Controls はフォルダや組織リソースをサポートしていないため、フォルダや組織レベルでの Cloud Asset API 経由でアセットにアクセスすることは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。
Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
- フォルダレベルまたは組織レベルで Cloud Asset API を呼び出す場合、フォルダまたは組織に属するサービス境界内のプロジェクトのデータには引き続きアクセスできます。Cloud Asset Inventory の権限の管理をフォルダと組織レベルで行うには、IAM を使用することをおすすめします。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
speech.googleapis.com
beta
|
|
詳細
|
Speech-to-Text では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
texttospeech.googleapis.com
beta
|
|
詳細
|
Text-to-Speech では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
translate.googleapis.com
|
|
詳細
|
Translation では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Translation の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Translation と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
accessapproval.googleapis.com
beta
|
|
詳細
|
Access Approval では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Access Approval の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Access Approval と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
healthcare.googleapis.com
beta
|
|
詳細
|
Cloud Healthcare API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
storagetransfer.googleapis.com
|
|
詳細
|
STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、境界ブリッジまたはアクセスレベルを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。
設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。
Transfer service for on-premises data
ベータ版では、Transfer Service for On Premises Data(オンプレミス用 Transfer)は、Transfer ペイロードについてのみ VPC Service Controls をサポートします。これには、オンプレミス用 Transfer エージェントが、アクセスレベルに追加され、境界内のリソースへのアクセスを許可するシナリオや、オンプレミス用 Transfer エージェントが、ターゲット Cloud Storage バケットと Transfer Service for On Premises Data のジョブで共有される境界内にあるときのシナリオを含みます。
詳細については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。
オブジェクト名などのファイル メタデータは、境界内で保持されるとは限りません。詳細については、VPC Service Controls とメタデータをご覧ください。
Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
- Transfer Service for On Premises Data は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
servicecontrol.googleapis.com
|
|
詳細
|
Service Control では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Service Control の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
- Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金と分析の指標を報告することはできません。
|
|
|
|
|
ステータス
|
一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
redis.googleapis.com
|
|
詳細
|
Memorystore for Redis では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。 Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。
|
|
|
|
|
ステータス
|
ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
|
|
境界によって保護されているか
|
はい。境界を構成して、このサービスを保護できます。
|
|
サービス アドレス
|
servicedirectory.googleapis.com
beta
|
|
詳細
|
Service Directory では、VPC Service Controls で使用するための追加の構成手順は必要ありません。
Service Directory の詳細については、プロダクト ドキュメントをご覧ください。
|
|
制限事項
|
Service Directory と VPC Service Controls の統合には既知の制限事項はありません。
|
|
