サポートされているプロダクトと制限事項

このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。

サポート対象プロダクト

VPC Service Controls がサポートするプロダクトは次のとおりです。

サポート対象プロダクト 説明

Cloud Search

ステータス 一般提供
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudsearch.googleapis.com
詳細

Google Cloud Search は、Virtual Private Cloud Security Controls(VPC-SC)をサポートして、データのセキュリティを強化します。VPC-SC によって、Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。

Cloud Search の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Search リソースは GCP プロジェクトに保存されないため、VPC 境界で保護されたプロジェクトで Cloud Search のお客様の設定を更新する必要があります。VPC プロジェクトは、すべての Cloud Search リソースの仮想プロジェクト コンテナとして機能します。このマッピングを行わないと、Cloud Search API で VPC Service Controls が動作しません。

Google Cloud Search で VPC Service Controls を有効にする完全な手順については、Google Cloud Search のためにセキュリティを強化するをご覧ください。

接続テスト

ステータス プレビュー
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 networkmanagement.googleapis.com
詳細

接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

接続テストの詳細については、プロダクト ドキュメントをご覧ください。

制限事項

接続テストと VPC Service Controls の統合には既知の制限がありません。

AI Platform Prediction

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 ml.googleapis.com
詳細

VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。

AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。

    • AI Platform Training and Prediction API(ml.googleapis.com
    • Pub/Sub API(pubsub.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Google Kubernetes Engine API(container.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Cloud Logging API(logging.googleapis.com

    詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

  • サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。

  • AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

AI Platform Training

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 ml.googleapis.com
詳細

AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。

    • AI Platform Training and Prediction API(ml.googleapis.com
    • Pub/Sub API(pubsub.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Google Kubernetes Engine API(container.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Cloud Logging API(logging.googleapis.com

    詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

  • AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。

  • AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

Notebooks

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 notebooks.googleapis.com
詳細

Notebooks の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Notebooks の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • VPC Service Controls サービス境界内で Notebooks を使用するには、次のドメインを制限付き VIP に指定するよう複数の DNS エントリを追加または構成します。

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

Vertex AI

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 aiplatform.googleapis.com
詳細

Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Vertex AI の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

制限事項の詳細については、Vertex AI ドキュメントの制限事項をご覧ください。

Apigee と Apigee ハイブリッド

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 apigee.googleapis.com,
apigeeconnect.googleapis.com
詳細

Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Apigee と VPC Service Controls との統合には次の制限があります。

  • 統合ポータルを構成するには、追加の手順が必要です。
  • サービス境界内に Drupal ポータルをデプロイする必要があります。

Anthos Service Mesh

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 meshca.googleapis.com
詳細

Anthos Service Mesh の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

サービス境界は現在、Anthos Service Mesh マネージド コントロール プレーンではサポートされていません。

Artifact Registry

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 artifactregistry.googleapis.com
詳細

Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Artifact Registry を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
  • Artifact Registry で使用可能な境界内のアーティファクトに加えて、読み取り専用の次の Google 管理の Container Registry リポジトリをサービス境界に関係なくすべてのプロジェクトで利用できます。

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io

    いずれの場合も、これらのリポジトリのリージョン版も利用できます。

    mirror.gcr.io のキャッシュ イメージは、Container Registry が境界内にもある場合にのみ使用できます。

AutoML Natural Language

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Tables

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Translation

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Video Intelligence

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Vision

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

BigQuery

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 bigquery.googleapis.com
詳細

サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。

BigQuery の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。

  • サービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内、または境界の下り(外向き)ルールで許可されたプロジェクト内で実行しなければなりません。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。

BigQuery Data Transfer Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 bigquerydatatransfer.googleapis.com
詳細

サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。

BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。

制限事項
  • BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。
  • BigQuery Data Transfer Service は、サービス境界で保護されたプロジェクトにデータを転送するサードパーティのデータソースをサポートしていません。

Cloud Bigtable

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 bigtable.googleapis.com,
bigtableadmin.googleapis.com
詳細

Cloud Bigtable の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。

Binary Authorization

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 binaryauthorization.googleapis.com
詳細

Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。

Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。

Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。

Certificate Authority Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 privateca.googleapis.com
詳細

Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 保護された環境で Certificate Authority Service を使用するには、Cloud KMS API(cloudkms.googleapis.com)と Cloud Storage API(storage.googleapis.com)もサービス境界に追加する必要があります。

Data Catalog

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 datacatalog.googleapis.com
詳細 Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。

Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Data Fusion

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 datafusion.googleapis.com
詳細

Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。

Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。

  • 現在、Cloud Data Fusion データプレーンの UI では、上り(内向き)ルールまたはアクセスレベルを使用するアクセスに基づく ID はサポートされていません。

Compute Engine

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 compute.googleapis.com
詳細

Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。

  • 機密性の高い API オペレーションへのアクセスを制限します
  • 永続ディスクのスナップショットとカスタム イメージを境界に制限します
  • インスタンス メタデータへのアクセスを制限します

Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。

Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 階層型ファイアウォールはサービス境界の影響を受けません。

  • VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。

  • 共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

  • サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、イメージを作成しているユーザーを上り(内向き)ルールに一時的に追加すべきです。

  • VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。

Dataflow

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dataflow.googleapis.com
詳細

Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。

Dataflow の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。

  • すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。

  • Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。

Dataproc

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dataproc.googleapis.com
詳細

Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。

Dataproc の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。

Dataproc Metastore

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 metastore.googleapis.com
詳細

Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。

制限事項

VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。

Dialogflow

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dialogflow.googleapis.com
詳細

Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Data Loss Prevention

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dlp.googleapis.com
詳細

Cloud Data Loss Prevention の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、DLP の呼び出しで組織レベルのリソースにアクセスしようとすると、403 レスポンスが返されることがあります。フォルダレベルと組織レベルで DLP 権限を管理するには、IAM を使用することをおすすめします。

Document AI

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 documentai.googleapis.com
詳細

Document AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Document AI の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Document AI と VPC Service Controls の統合には既知の制限事項はありません。

Eventarc

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 eventarc.googleapis.com
詳細

Eventarc は、Pub/Sub トピックを使用してイベント配信を処理し、サブスクリプションを Cloud Run に push します。Pub/Sub API にアクセスし、イベント トリガーを管理するには、Eventarc API を Pub/Sub API と同じ VPC Service Controls サービス境界内で保護する必要があります。

Eventarc の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Eventarc と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Functions

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudfunctions.googleapis.com
詳細

設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。

Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Functions では、Cloud Build を使用してソースコードを実行可能なコンテナに構築します。サービス境界内で Cloud Functions を使用するには、サービス境界で Cloud Build サービス アカウントの上り(内向き)ルールを構成しなければなりません。

  • npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。

  • Firebase Realtime Database トリガーと Firebase Crashlytics トリガーの場合、ユーザーは、関数がデプロイされているプロジェクトのサービス境界外の Firebase Realtime Database または Firebase Crashlytics の変更によりトリガーされる関数をデプロイできます。この 2 つのトリガーの抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。

Identity and Access Management

ステータス ベータ版
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 iam.googleapis.com
詳細

境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。境界は、次のような他の API を使用するアクションを制限しません

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API(IAM API のレガシー signBlob メソッドと signJwt メソッドを含む)

IAM 周囲の境界では、Compute Engine 仮想マシン インスタンスなど、他のサービスが所有するリソースの IAM ポリシーの取得や設定も制限されません。これらのリソースの IAM ポリシーの取得と設定を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、IAM ポリシーを受け入れるリソースタイプをご覧ください。

Identity and Access Management の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

境界内にある場合は、空の文字列を使用して roles.list メソッドを呼び出し、IAM の事前定義ロールを一覧表示することはできません。事前定義されたロールを表示する必要がある場合は、IAM ロールのドキュメントをご覧ください。

サーバーレス VPC アクセス

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 vpcaccess.googleapis.com
詳細

サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。

制限事項

サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。

Cloud Key Management Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudkms.googleapis.com
詳細

Cloud Key Management Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。

Game Servers

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 gameservices.googleapis.com
詳細

Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Game Servers の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Game Servers と VPC Service Controls の統合には既知の制限事項はありません。

TCP 用 Identity-Aware Proxy

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 iaptunnel.googleapis.com
詳細

TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。

制限事項
  • 境界では TCP 用 IAP の使用 API のみが保護されます。管理 API を境界で保護することはできません。

  • VPC Service Controls サービス境界内で TCP 用 IAP を使用するには、次のドメインを制限付き VIP に指定するように一部の DNS エントリを追加または構成する必要があります。

    • tunnel.cloudproxy.app
    • *.tunnel.cloudproxy.app

Cloud Life Sciences

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 lifesciences.googleapis.com
詳細

Cloud Life Sciences API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Life Sciences の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Life Sciences と VPC Service Controls の統合には、既知の制限事項はありません。

Managed Service for Microsoft Active Directory

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 managedidentities.googleapis.com
詳細

次の場合は追加の構成が必要です。

Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。

reCAPTCHA Enterprise

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 recaptchaenterprise.googleapis.com
詳細

reCAPTCHA Enterprise の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

reCAPTCHA Enterprise の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

reCAPTCHA Enterprise と VPC Service Controls の統合には既知の制限事項はありません。

Recommender

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 recommender.googleapis.com
詳細

Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Recommender の詳細については、プロダクトのドキュメントをご覧ください。

制限事項

Recommender と VPC Service Controls の統合には既知の制限事項はありません。

Secret Manager

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 secretmanager.googleapis.com
詳細

Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。

Pub/Sub

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 pubsub.googleapis.com
詳細

VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。

Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界で保護されているプロジェクトでは、push エンドポイントがデフォルトの run.app URL とともに Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメインは機能しません)。Cloud Run との統合はプレビュー版です。
  • サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。

Pub/Sub Lite

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 pubsublite.googleapis.com
詳細

VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。

Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Build

ステータス プレビュー。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudbuild.googleapis.com
詳細

Cloud Build で VPC Service Controls を使用できるのは、制限付きユーザーのみです。

Cloud Build の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Build で VPC Service Controls を使用できるのは、制限付きユーザーのみです。

Cloud Composer

ステータス 一般提供
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 composer.googleapis.com
詳細

Composer を VPC Service Controls で使用できるように構成します

Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。

  • DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。

  • DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。

  • Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。

Cloud Run

ステータス プレビュー
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 run.googleapis.com
詳細 Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。

Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Run と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Spanner

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 spanner.googleapis.com
詳細

Cloud Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Spanner と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Storage

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 storage.googleapis.com
詳細

Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いにプロジェクトを指定することできません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。

    リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。

  • サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含むアクセスレベルを作成する必要があります。

  • 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります

  • 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。

  • アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。

  • 新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。

  • 場合によっては、オブジェクトで VPC Service Controls を有効にした後でも、一般公開されていた Cloud Storage オブジェクトにアクセスできます。エンドユーザーと Cloud Storage 間のネットワーク上の組み込みキャッシュと他のアップストリーム キャッシュでの有効期限が切れるまで、オブジェクトにアクセスできます。Cloud Storage はデフォルトで、一般公開されているデータを Cloud Storage ネットワークでキャッシュに保存します。Cloud Storage オブジェクトのキャッシュ保存方法について詳しくは、Cloud Storage をご覧ください。オブジェクトがキャッシュに保存される期間については、キャッシュ制御メタデータをご覧ください。

Cloud SQL

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 sqladmin.googleapis.com
詳細

VPC Service Controls 境界は Cloud SQL Admin API を保護します。

Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用する必要があります。
  • Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットから読み取りと書き込みのみを行えます。

  • 外部サーバー移行フローでは、Cloud Storage バケットを同じサービス境界に追加する必要があります。
  • CMEK の鍵作成フローでは、鍵を使用するリソースと同じサービス境界に鍵を作成する必要があります。
  • バックアップからインスタンスを復元する場合、ターゲット インスタンスは、バックアップと同じサービス境界に存在する必要があります。

Video Intelligence API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 videointelligence.googleapis.com
詳細

Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Vision API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 vision.googleapis.com
詳細

Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Vision API と VPC Service Controls の統合には既知の制限事項はありません。

Container Analysis

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 containeranalysis.googleapis.com
詳細

VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。

Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。

Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。

Container Registry

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 containerregistry.googleapis.com
詳細

Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Container Registry の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Container Registry を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。

  • Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界に関係なくすべてのプロジェクトで使用できます。

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。

Google Kubernetes Engine

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
詳細

Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。

Resource Manager

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudresourcemanager.googleapis.com
詳細

Resource Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Logging

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 logging.googleapis.com
詳細

VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、フォルダレベルと組織レベルのログは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • ログのエクスポート シンク(includeChildrentrue のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。

  • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。

  • 組織またはフォルダのログ エクスポートをサービス境界で保護されているリソースに設定するには、サービス アカウントにそのログシンクの境界へのアクセスを許可する上り(内向き)ルールを宛先サービス境界に追加しなければなりません。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。

    詳しくは、以下のページをご覧ください。

Cloud Monitoring

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 monitoring.googleapis.com
詳細

Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。

  • Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。

  • GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。

  • 指標スコープの指標のクエリの場合、指標スコープのスコープ対象プロジェクトの VPC Service Controls の境界のみが考慮されます。指標スコープ内の個々のモニタリング対象プロジェクトの境界は考慮されません。

  • プロジェクトを既存の指標スコープにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトが指標スコープのスコープ対象プロジェクトと同じ VPC Service Controls 境界にある場合のみです。

  • サービス境界で保護されているホスト プロジェクトについて Cloud Console の Monitoring にアクセスするには、上り(内向き)ルールを使用します。

Cloud Profiler

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudprofiler.googleapis.com
詳細

Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Trace

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudtrace.googleapis.com
詳細

Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。

Cloud TPU

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 tpu.googleapis.com
詳細

Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。

Natural Language API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 language.googleapis.com
詳細

Natural Language API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。

Network Connectivity Center

ステータス プレビュー
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 networkconnectivity.googleapis.com
詳細

Network Connectivity Center の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Network Connectivity Center の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Network Connectivity Center と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Asset API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudasset.googleapis.com
詳細

VPC Service Controls はフォルダや組織リソースをサポートしていないため、フォルダや組織レベルでの Cloud Asset API 経由でアセットにアクセスすることは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • フォルダレベルまたは組織レベルで Cloud Asset API を呼び出す場合、フォルダまたは組織に属するサービス境界内のプロジェクトのデータには引き続きアクセスできます。Cloud Asset Inventory の権限の管理をフォルダと組織レベルで行うには、IAM を使用することをおすすめします。

Speech-to-Text

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 speech.googleapis.com
詳細

Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。

Text-to-Speech

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 texttospeech.googleapis.com
詳細

Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。

Translation

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 translate.googleapis.com
詳細

Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Translation の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Translation と VPC Service Controls の統合には既知の制限事項はありません。

Transcoder API

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 transcoder.googleapis.com
詳細

Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。

Access Approval

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 accessapproval.googleapis.com
詳細

Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Access Approval の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Access Approval と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Healthcare API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 healthcare.googleapis.com
詳細

Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。

Storage Transfer Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 storagetransfer.googleapis.com
詳細

STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、境界ブリッジまたはアクセスレベルを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。

設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。

Transfer service for on-premises data

ベータ版では、Transfer Service for On Premises Data(オンプレミス用 Transfer)は、Transfer ペイロードについてのみ VPC Service Controls をサポートします。これには、オンプレミス用 Transfer エージェントが、上り(内向き)ルールまたはアクセスレベルに追加され、境界内のリソースへのアクセスを許可するシナリオや、オンプレミス用 Transfer エージェントが、ターゲット Cloud Storage バケットと Transfer Service for On Premises Data のジョブで共有される境界内にあるときのシナリオを含みます。

詳細については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。

オブジェクト名などのファイル メタデータは、境界内で保持されるとは限りません。詳細については、VPC Service Controls とメタデータをご覧ください。

Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Transfer Service for On Premises Data は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

Service Control

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 servicecontrol.googleapis.com
詳細

Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Service Control の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金の指標を報告することはできません。

Memorystore for Redis

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 redis.googleapis.com
詳細

Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。

  • Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。

  • 共有 VPC と VPC Service Controls の両方を使用する場合、Redis リクエストを成功させるには、ネットワークを提供するホスト プロジェクトと、Redis インスタンスを含むサービス プロジェクトを同じ境界内に設定する必要があります。随時、ホスト プロジェクトとサービス プロジェクトを境界で分割すると、ブロックされたリクエストだけでなく、Redis インスタンスで障害が発生する可能性があります。詳細については、Memorystore for Redis の構成要件をご覧ください。

Memorystore for Memcached

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 memcache.googleapis.com
詳細

Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界により Memorystore for Memcached API だけが保護されます。同じネットワーク内の Memorystore for Memcached インスタンスに対する通常のデータアクセスは保護されません。

Service Directory

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 servicedirectory.googleapis.com
詳細

Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Service Directory の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Service Directory と VPC Service Controls の統合には既知の制限事項はありません。

Transfer Appliance

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか いいえ。Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
詳細

Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。

Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。

OS Login

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 oslogin.googleapis.com
詳細

VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。

VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。

OS Login の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

VPC Service Controls と OS Login の統合には既知の制限事項はありません。

VM Manager

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 osconfig.googleapis.com
詳細

VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。

VM Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。

  • OS Config API(osconfig.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • Container Analysis API(containeranalysis.googleapis.com

Filestore

ステータス プレビュー
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 file.googleapis.com
詳細

Filestore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Filestore の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Filestore と VPC Service Controls の統合には既知の制限事項はありません。

Container Threat Detection

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 containerthreatdetection.googleapis.com
詳細

Container Threat Detection の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Container Threat Detection の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Container Threat Detection と VPC Service Controls の統合には既知の制限事項はありません。

Ads Data Hub

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 adsdatahub.googleapis.com
詳細

Ads Data Hub の詳細については、プロダクトのドキュメントをご覧ください。

制限事項

Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。

Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。

依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。

多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。

Traffic Director

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 trafficdirector.googleapis.com
詳細

Traffic Director の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Traffic Director の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Traffic Director と VPC Service Controls の統合には既知の制限事項はありません。

詳しくは、サポートされているサービスとサポートされていないサービスをご覧ください。

制限付き VIP サポート対象のサービス

制限付き仮想 IP(VIP)は、サービス境界内の VM がリクエストをインターネットに公開せずに Google Cloud サービスを呼び出すための手段を提供します。制限付き VIP で利用可能なサービスの一覧については、制限付き VIP でサポートされているサービスをご覧ください。

サポートされていないサービス

gcloud コマンドライン ツールまたは Access Context Manager API を使用して、サポートされていないサービスを制限しようとするとエラーが発生します。

サポートされているサービスのデータに対するプロジェクト間のアクセスは、VPC Service Controls によってブロックされます。また、制限付き VIP を使用して、サポートされていないサービスを呼び出すワークロードをブロックできます。

その他の既知の制限事項

このセクションでは、VPC Service Controls の使用時に検出される特定の Google Cloud サービス、プロダクト、インターフェースに関する既知の制限事項について説明します。

VPC Service Controls でサポートされているプロダクトの制限については、サポート対象プロダクトの表をご覧ください。

VPC Service Controls に関する問題の解決方法については、トラブルシューティングをご覧ください。

AutoML API

  • AutoML Vision、AutoML Natural Language、AutoML Translation、AutoML Tables と AutoML Video Intelligence はすべて AutoML API を使用します。

    サービス境界を使用して automl.googleapis.com を保護すると、VPC Service Controls と統合されて境界内で使用されているすべての AutoML プロダクトへのアクセスに影響があります。VPC Service Controls の境界は、その境界内で使用されているすべての統合 AutoML プロダクトに対して構成する必要があります。

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

App Engine

  • App Engine(スタンダード環境とフレキシブル環境の両方)は、VPC Service Controls ではサポートされていません。サービス境界に App Engine プロジェクトを含めないでください。

    ただし、サービス境界外のプロジェクトで作成された App Engine アプリに、境界内の保護されたサービスに対するデータの読み取りと書き込みを許可できます。アプリが保護されたサービスのデータにアクセスできるようにするには、プロジェクトの App Engine サービス アカウントを含むアクセスレベルを作成します。これは、サービス境界内で App Engine を使用できるようにするものではありません。

クライアント ライブラリ

  • 制限付き VIP を使用したアクセスに対して、すべてのサポート対象サービス用の Java および Python クライアント ライブラリが完全にサポートされています。他の言語のサポートはアルファ版段階で、テストのみの目的で使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたクライアント ライブラリを使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたサービス アカウントキーまたは OAuth2 クライアント メタデータを使用する必要があります。トークン エンドポイントを使用している古いクライアントは、新しい鍵マテリアル / クライアント メタデータで指定されているエンドポイントに変更する必要があります。

Cloud Billing

Cloud Build

  • VPC Service Controls の境界内で Cloud Build を使用できるのは、制限付きユーザーのみです。

    また、サービス境界外のプロジェクトにある Cloud Build に、境界内の保護されたサービスに対するデータの読み取りと書き込みを許可できます。Cloud Build が保護されたサービスのデータにアクセスできるようにするには、プロジェクトの Cloud Build サービス アカウントを含むアクセスレベルを作成します。これは、サービス境界内で Cloud Build を使用できるようにするものではありません。

Cloud Deployment Manager

  • Deployment Manager は VPC Service Controls でサポートされていません。ユーザーは VPC Service Controls に準拠したサービスを呼び出すことはできますが、今後使用できなくなる可能性があるため、これに依存しないようにしてください。

  • 回避策としては、Deployment Manager サービス アカウント(PROJECT_NUMBER@cloudservices.gserviceaccount.com)をアクセスレベルに追加して、VPC Service Controls で保護された API への呼び出しを許可します。

Cloud Shell

  • Cloud Shell はサポートされていません。サービス境界外として扱われ、VPC Service Controls で保護されたデータへのアクセスが拒否されます。

Google Cloud Console

  • Cloud Console はインターネット経由でのみアクセス可能なため、サービス境界外として扱われます。サービス境界を適用すると、保護したサービスの Cloud Console インターフェースが部分的または完全に使用できなくなる場合があります。たとえば、境界で Logging を保護した場合、Cloud Console で Logging インターフェースにアクセスできなくなります。

    Cloud Console から保護されたリソースへのアクセスを許可するには、保護された API で Cloud Console を使用するユーザーのマシンを含むパブリック IP 範囲のアクセスレベルを作成する必要があります。たとえば、プライベート ネットワークの NAT ゲートウェイのパブリック IP 範囲をアクセスレベルに追加し、そのアクセスレベルをサービス境界に割り当てることができます。

    Cloud Console の境界へのアクセスを一連の特定ユーザーのみに制限する場合は、アクセスレベルにそのユーザーを追加することもできます。その場合、指定したユーザーだけが Cloud Console にアクセスできます。