サポートされているプロダクトと制限事項

このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。

サポート対象プロダクト

VPC Service Controls がサポートするプロダクトは次のとおりです。

サポート対象のサービス

AI Platform Prediction

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス ml.googleapis.com
詳細

VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。

AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。

    • AI Platform Training and Prediction API(ml.googleapis.com
    • Pub/Sub API(pubsub.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Google Kubernetes Engine API(container.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Cloud Logging API(logging.googleapis.com

    詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

  • サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。

  • AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

AI Platform Training

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス ml.googleapis.com
詳細

AI Platform Training では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。

    • AI Platform Training and Prediction API(ml.googleapis.com
    • Pub/Sub API(pubsub.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Google Kubernetes Engine API(container.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Cloud Logging API(logging.googleapis.com

    詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

  • AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。

  • AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

AI Platform Notebooks

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細

AI Platform Notebooks では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

AI Platform Notebooks の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • VPC Service Controls サービス境界内で AI Platform Notebooks を使用するには、次のドメインを制限付き VIP に指定するよう複数の DNS エントリを追加または構成します。

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

Anthos Service Mesh

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス meshca.googleapis.com
詳細

Anthos Service Mesh では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界で保護できるのは、Cloud Service Mesh Certificate Authority API のみです。サービス境界を追加して、ID Namespace を保護できます。

Artifact Registry

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス artifactregistry.googleapis.com
詳細

Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Artifact Registry を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。

AutoML Natural Language

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス automl.googleapis.com ,
eu-automl.googleapis.com
詳細

AutoML Natural Language では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

AutoML Natural Language と VPC Service Controls の統合には既知の制限事項はありません。

AutoML Tables

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細

AutoML Tables では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

AutoML Tables と VPC Service Controls の統合には既知の制限事項はありません。

AutoML Translation

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細

AutoML Translation では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

AutoML Translation と VPC Service Controls の統合には既知の制限事項はありません。

AutoML Video Intelligence

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス videointelligence.googleapis.com
詳細

AutoML Video Intelligence では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

AutoML Video Intelligence と VPC Service Controls の統合には既知の制限事項はありません。

AutoML Vision

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細

AutoML Vision では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

AutoML Vision と VPC Service Controls の統合には既知の制限事項はありません。

BigQuery

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス bigquery.googleapis.com
詳細

サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。

BigQuery の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • VPC Service Controls では、サービス境界で保護されている BigQuery リソースを別の組織にコピーできません。アクセスレベルでは、組織間でコピーすることはできません。

    保護された BigQuery リソースを別の組織にコピーするには、データセット(CSV ファイルなど)をダウンロードして、そのファイルを他の組織にアップロードします。

  • BigQuery Data Transfer Service は、以下のサービスでサポートされています。

    Google Software as a Service(SaaS)アプリ

    外部クラウド ストレージ プロバイダ データ ウェアハウス また、Google Cloud Marketplace では、いくつかのサードパーティ転送を利用できます。

    注: BigQuery Data Transfer Service では、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。

  • BigQuery の従来のウェブ UI はサポートされていません。BigQuery の従来のウェブ UI から、サービス境界で保護されている BigQuery インスタンスにアクセスできません。

  • サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。

  • サービス アカウントを使用してサービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内で実行する必要があります。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。

Cloud Bigtable

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス bigtable.googleapis.com
詳細

Cloud Bigtable では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。

Binary Authorization

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス binaryauthorization.googleapis.com
詳細

Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。

Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。

Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。

Data Catalog

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細 Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。

Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Data Fusion

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細

Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。

Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。

  • 現在、Cloud Data Fusion データプレーンの UI では、ID ベースのアクセスを使用したアクセスレベルの指定はサポートされていません。

Compute Engine

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細

Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。

  • 機密性の高い API オペレーションへのアクセスを制限します
  • 永続ディスクのスナップショットとカスタム イメージを境界に制限します
  • インスタンス メタデータへのアクセスを制限します

Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。

Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 階層型ファイアウォールはサービス境界の影響を受けません。

  • VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。

  • 共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

  • サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、境界のアクセスレベルに、イメージを作成しているユーザーを一時的に追加する必要があります。

  • サービス境界内での Compute Engine での Kubernetes の使用は、VPC Service Controls ではサポートされていません。

Dataflow

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス dataflow.googleapis.com
詳細

Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。

Dataflow の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。

  • すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。

  • Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。

Dataproc

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス dataproc.googleapis.com
詳細

Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。

Dataproc の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。

Cloud Data Loss Prevention

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス dlp.googleapis.com
詳細

Cloud Data Loss Prevention では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Data Loss Prevention と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Functions

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス cloudfunctions.googleapis.com
詳細

設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。

Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Functions では、Cloud Build を使用してソースコードを実行可能なコンテナに構築します。サービス境界内で Cloud Functions を使用するには、サービス境界での Cloud Build サービス アカウントのアクセスレベルを構成する必要があります

  • npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。

  • Firebase Realtime Database トリガーと Firebase Crashlytics トリガーの場合、ユーザーは、関数がデプロイされているプロジェクトのサービス境界外の Firebase Realtime Database または Firebase Crashlytics の変更によりトリガーされる関数をデプロイできます。この 2 つのトリガーの抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。

Cloud Key Management Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス cloudkms.googleapis.com
詳細

Cloud Key Management Service では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。

Game Servers

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス gameservices.googleapis.com
詳細

Game Servers では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Game Servers の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Game Servers と VPC Service Controls の統合には既知の制限事項はありません。

Managed Service for Microsoft Active Directory

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス managedidentities.googleapis.com
詳細

次の場合は追加の構成が必要です。

Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。

Secret Manager

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス secretmanager.googleapis.com
詳細

Secret Manager では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。

Pub/Sub

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス pubsub.googleapis.com
詳細

VPC Service Controls の保護は、既存の push サブスクリプションを除くすべてのサブスクライバー オペレーションに適用されます。

Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界で保護されているプロジェクトでは、新しい push サブスクリプションを作成できません。
  • サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。

Cloud Composer

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス composer.googleapis.com
詳細 Composer を VPC Service Controls で使用できるように構成する

Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。

  • DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。

  • DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。

  • Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。

Cloud Spanner

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス spanner.googleapis.com
詳細

Cloud Spanner では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Spanner と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Storage

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス storage.googleapis.com
詳細

Cloud Storage では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。

    リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。

  • サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含むアクセスレベルを作成する必要があります。

  • 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります

  • 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。

  • アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。

  • 新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。

Cloud SQL

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス sqladmin.googleapis.com
詳細

VPC Service Controls 境界は Cloud SQL Admin API を保護します。

Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用する必要があります。

  • Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットから読み取りと書き込みのみを行えます。外部サーバー移行フローでは、Cloud Storage バケットを同じサービス境界に追加する必要があります。CMEK のキーフローを作成するときは、それを使用するリソースと同じサービス境界内でキーを作成する必要があります。注: バックアップからインスタンスを復元する場合、ターゲット インスタンスはバックアップと同じサービス境界内にある必要があります。

Video Intelligence API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか いいえ。境界内にあるプロジェクトではこのサービスがサポートされますが、サービスとそのリソースは境界で保護されません。
詳細

Video Intelligence API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Vision API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス vision.googleapis.com
詳細

Cloud Vision API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Vision API と VPC Service Controls の統合には既知の制限事項はありません。

Container Analysis

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス containeranalysis.googleapis.com
詳細

VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。

Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。

Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。

Container Registry

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス containerregistry.googleapis.com
詳細

Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Container Registry の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Container Registry を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。

  • Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界に関係なくすべてのプロジェクトで使用できます。

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    いずれの場合も、これらのリポジトリのリージョン版も利用できます。

Google Kubernetes Engine

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
詳細

Google Kubernetes Engine では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Google Kubernetes Engine と VPC Service Controls の統合には既知の制限事項はありません。

Resource Manager

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス cloudresourcemanager.googleapis.com
詳細

Resource Manager では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Logging

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス logging.googleapis.com
詳細

VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、フォルダレベルと組織レベルのログは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • ログのエクスポート シンク(includeChildrentrue のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。

  • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。

  • サービス境界で保護されているリソースに組織またはフォルダのログ エクスポートを設定するには、そのログシンクのサービス アカウントをアクセスレベルに追加して、宛先のサービス境界に割り当てる必要があります。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。

    詳しくは、以下のページをご覧ください。

Cloud Monitoring

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス monitoring.googleapis.com
詳細

Cloud Monitoring では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。

  • Google Cloud Console の Monitoring は VPC Service Controls をサポートしていますが、従来の Cloud Monitoring コンソールの VPC Service Controls は完全にサポートされていません。

  • Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。

  • GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。

  • ワークスペースの指標のクエリの場合、ワークスペースのホスト プロジェクトの VPC Service Controls 境界のみが考慮され、ワークスペース内の個々のモニタリング対象プロジェクトの境界は考慮されません。

  • プロジェクトを既存のワークスペースにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトがワークスペースのホスト プロジェクトと同じ VPC Service Controls 境界にある場合のみです。

  • Cloud Console でサービス境界で保護されているホスト プロジェクトの Monitoring にアクセスするには、アクセスレベルを使用します。

Cloud Profiler

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス cloudprofiler.googleapis.com
詳細

Cloud Profiler では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Trace

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス cloudtrace.googleapis.com
詳細

Cloud Trace では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。

Cloud TPU

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス tpu.googleapis.com
詳細

Cloud TPU では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。

Natural Language API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス language.googleapis.com
詳細

Natural Language API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Asset API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス cloudasset.googleapis.com
詳細

VPC Service Controls はフォルダや組織リソースをサポートしていないため、フォルダや組織レベルでの Cloud Asset API 経由でアセットにアクセスすることは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • フォルダレベルまたは組織レベルで Cloud Asset API を呼び出す場合、フォルダまたは組織に属するサービス境界内のプロジェクトのデータには引き続きアクセスできます。Cloud Asset Inventory の権限の管理をフォルダと組織レベルで行うには、IAM を使用することをおすすめします。

Speech-to-Text

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス speech.googleapis.com
詳細

Speech-to-Text では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。

Text-to-Speech

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス texttospeech.googleapis.com
詳細

Text-to-Speech では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。

Translation

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス translate.googleapis.com
詳細

Translation では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Translation の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Translation と VPC Service Controls の統合には既知の制限事項はありません。

Access Approval

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス accessapproval.googleapis.com
詳細

Access Approval では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Access Approval の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Access Approval と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Healthcare API

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス healthcare.googleapis.com
詳細

Cloud Healthcare API では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。

Storage Transfer Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス storagetransfer.googleapis.com
詳細

STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、境界ブリッジまたはアクセスレベルを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。

設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。

Transfer service for on-premises data

ベータ版では、Transfer Service for On Premises Data(オンプレミス用 Transfer)は、Transfer ペイロードについてのみ VPC Service Controls をサポートします。これには、オンプレミス用 Transfer エージェントが、アクセスレベルに追加され、境界内のリソースへのアクセスを許可するシナリオや、オンプレミス用 Transfer エージェントが、ターゲット Cloud Storage バケットと Transfer Service for On Premises Data のジョブで共有される境界内にあるときのシナリオを含みます。

詳細については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。

オブジェクト名などのファイル メタデータは、境界内で保持されるとは限りません。詳細については、VPC Service Controls とメタデータをご覧ください。

Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Transfer Service for On Premises Data は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

Service Control

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス servicecontrol.googleapis.com
詳細

Service Control では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Service Control の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金と分析の指標を報告することはできません。

Memorystore for Redis

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス redis.googleapis.com
詳細

Memorystore for Redis では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。

  • Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。

Service Directory

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス アドレス servicedirectory.googleapis.com
詳細

Service Directory では、VPC Service Controls で使用するための追加の構成手順は必要ありません。

Service Directory の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Service Directory と VPC Service Controls の統合には既知の制限事項はありません。

詳しくは、サポートされているサービスとサポートされていないサービスをご覧ください。

制限付き VIP サポート対象のサービス

制限付き仮想 IP(VIP)は、サービス境界内の VM がリクエストをインターネットに公開せずに Google Cloud サービスを呼び出すための手段を提供します。制限付き VIP で利用可能なサービスの一覧については、制限付き VIP でサポートされているサービスをご覧ください。

サポートされていないサービス

gcloud コマンドライン ツールまたは Access Context Manager API を使用して、サポートされていないサービスを制限しようとするとエラーが発生します。

サポートされているサービスのデータに対するプロジェクト間のアクセスは、VPC Service Controls によってブロックされます。また、制限付き VIP を使用して、サポートされていないサービスを呼び出すワークロードをブロックできます。

その他の既知の制限事項

このセクションでは、VPC Service Controls の使用時に検出される特定の Google Cloud サービス、プロダクト、インターフェースに関する既知の制限事項について説明します。

VPC Service Controls でサポートされているプロダクトの制限については、サポート対象プロダクトの表をご覧ください。

VPC Service Controls に関する問題の解決方法については、トラブルシューティングをご覧ください。

App Engine

  • App Engine(スタンダード環境とフレキシブル環境の両方)は、VPC Service Controls ではサポートされていません。サービス境界に App Engine プロジェクトを含めないでください。

    ただし、サービス境界外のプロジェクトで作成された App Engine アプリに、境界内の保護されたサービスに対するデータの読み取りと書き込みを許可できます。アプリが保護されたサービスのデータにアクセスできるようにするには、プロジェクトの App Engine サービス アカウントを含むアクセスレベルを作成します。これは、サービス境界内で App Engine を使用できるようにするものではありません。

クライアント ライブラリ

  • 制限付き VIP を使用したアクセスに対して、すべてのサポート対象サービス用の Java および Python クライアント ライブラリが完全にサポートされています。他の言語のサポートはアルファ版段階で、テストのみの目的で使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたクライアント ライブラリを使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたサービス アカウントキーまたは OAuth2 クライアント メタデータを使用する必要があります。トークン エンドポイントを使用している古いクライアントは、新しい鍵マテリアル / クライアント メタデータで指定されているエンドポイントに変更する必要があります。

Cloud Billing

Cloud Build

  • Cloud Build は VPC Service Controls ではサポートされていません。サービス境界内で Cloud Build を使用しないでください。

    ただし、サービス境界外のプロジェクトにある Cloud Build に、境界内の保護されたサービスに対するデータの読み取りと書き込みを許可できます。Cloud Build が保護されたサービスのデータにアクセスできるようにするには、プロジェクトの Cloud Build サービス アカウントを含むアクセスレベルを作成します。これは、サービス境界内で Cloud Build を使用できるようにするものではありません。

Cloud Shell

  • Cloud Shell はサポートされていません。サービス境界外として扱われ、VPC Service Controls で保護されたデータへのアクセスが拒否されます。

Google Cloud Console

  • Cloud Console はインターネット経由でのみアクセス可能なため、サービス境界外として扱われます。サービス境界を適用すると、保護したサービスの Cloud Console インターフェースが部分的または完全に使用できなくなる場合があります。たとえば、境界で Logging を保護した場合、Cloud Console で Logging インターフェースにアクセスできなくなります。

    Cloud Console から保護されたリソースへのアクセスを許可するには、保護された API で Cloud Console を使用するユーザーのマシンを含むパブリック IP 範囲のアクセスレベルを作成する必要があります。たとえば、プライベート ネットワークの NAT ゲートウェイのパブリック IP 範囲をアクセスレベルに追加し、そのアクセスレベルをサービス境界に割り当てることができます。

    Cloud Console の境界へのアクセスを一連の特定ユーザーのみに制限する場合は、アクセスレベルにそのユーザーを追加することもできます。その場合、指定したユーザーだけが Cloud Console にアクセスできます。