サポートされているプロダクトと制限事項

このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。

サポート対象プロダクト

VPC Service Controls がサポートするプロダクトは次のとおりです。

サポート対象プロダクト 説明

接続テスト

ステータス プレビュー
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 networkmanagement.googleapis.com
詳細

接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

接続テストの詳細については、プロダクト ドキュメントをご覧ください。

制限事項

接続テストと VPC Service Controls の統合には既知の制限がありません。

AI Platform Prediction

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 ml.googleapis.com
詳細

VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。

AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。

    • AI Platform Training and Prediction API(ml.googleapis.com
    • Pub/Sub API(pubsub.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Google Kubernetes Engine API(container.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Cloud Logging API(logging.googleapis.com

    詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

  • サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。

  • AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

AI Platform Training

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 ml.googleapis.com
詳細

AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。

    • AI Platform Training and Prediction API(ml.googleapis.com
    • Pub/Sub API(pubsub.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Google Kubernetes Engine API(container.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Cloud Logging API(logging.googleapis.com

    詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

  • AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。

  • AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

AI Platform Notebooks

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 notebooks.googleapis.com
詳細

AI Platform Notebooks の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

AI Platform Notebooks の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • VPC Service Controls サービス境界内で AI Platform Notebooks を使用するには、次のドメインを制限付き VIP に指定するよう複数の DNS エントリを追加または構成します。

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

AI Platform(統合型)

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 aiplatform.googleapis.com
詳細

AI Platform(統合型)の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

AI Platform(統合型)の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

制限の詳細については、AI Platform(統合型)のドキュメントの制限事項をご覧ください。

Apigee と Apigee ハイブリッド

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 apigee.googleapis.com,
apigeeconnect.googleapis.com
詳細

Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Apigee と VPC Service Controls との統合には次の制限があります。

  • 統合ポータルを構成するには、追加の手順が必要です。
  • サービス境界内に Drupal ポータルをデプロイする必要があります。

Anthos Service Mesh

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 meshca.googleapis.com
詳細

Anthos Service Mesh の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Anthos Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界で保護できるのは、Cloud Service Mesh Certificate Authority API のみです。サービス境界を追加して、ID Namespace を保護できます。

Artifact Registry

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 artifactregistry.googleapis.com
詳細

Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Artifact Registry を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
  • Artifact Registry で使用可能な境界内のアーティファクトに加えて、読み取り専用の次の Google 管理の Container Registry リポジトリをサービス境界に関係なくすべてのプロジェクトで利用できます。

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io

    いずれの場合も、これらのリポジトリのリージョン版も利用できます。

    mirror.gcr.io のキャッシュ イメージは、Container Registry が境界内にもある場合にのみ使用できます。

AutoML Natural Language

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Tables

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Translation

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Video Intelligence

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

AutoML Vision

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 automl.googleapis.com,
eu-automl.googleapis.com
詳細

AutoML API を完全に保護するには、次のすべての API を境界に含めます。

  • AutoML API(automl.googleapis.com
  • Cloud Storage API(storage.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • BigQuery API(bigquery.googleapis.com

AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス アドレスを使用します。詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

BigQuery

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 bigquery.googleapis.com
詳細

サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API も保護されます。境界で保護されるサービスのリストに BigQuery Storage API を個別に追加する必要はありません。

BigQuery の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • VPC Service Controls では、サービス境界で保護されている BigQuery リソースを別の組織にコピーできません。アクセスレベルでは、組織間でコピーすることはできません。

    保護された BigQuery リソースを別の組織にコピーするには、データセット(CSV ファイルなど)をダウンロードして、そのファイルを他の組織にアップロードします。

  • サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。

  • サービス アカウントを使用してサービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内で実行する必要があります。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。

BigQuery Data Transfer Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 bigquerydatatransfer.googleapis.com
詳細

サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。

BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。

制限事項
  • BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。
  • BigQuery Data Transfer Service は、サービス境界で保護されたプロジェクトにデータを転送するサードパーティのデータソースをサポートしていません。

Cloud Bigtable

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 bigtable.googleapis.com
詳細

Cloud Bigtable の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Bigtable の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Bigtable と VPC Service Controls の統合には既知の制限事項はありません。

Binary Authorization

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 binaryauthorization.googleapis.com
詳細

Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。

Binary Authorization では、Container Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Container Analysis も含める必要があります。詳細については、Container Analysis の VPC Service Controls ガイダンスをご覧ください。

Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。

Certificate Authority Service

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 privateca.googleapis.com
詳細

Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 保護された環境で Certificate Authority Service を使用するには、Cloud KMS API(cloudkms.googleapis.com)と Cloud Storage API(storage.googleapis.com)もサービス境界に追加する必要があります。

Data Catalog

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 datacatalog.googleapis.com
詳細 Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。

Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Data Fusion

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 datafusion.googleapis.com
詳細

Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。

Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。

  • 現在、Cloud Data Fusion データプレーンの UI では、ID ベースのアクセスを使用したアクセスレベルの指定はサポートされていません。

Compute Engine

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 compute.googleapis.com
詳細

Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。

  • 機密性の高い API オペレーションへのアクセスを制限します
  • 永続ディスクのスナップショットとカスタム イメージを境界に制限します
  • インスタンス メタデータへのアクセスを制限します

Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。

Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 階層型ファイアウォールはサービス境界の影響を受けません。

  • VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。

  • 共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

  • サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、境界のアクセスレベルに、イメージを作成しているユーザーを一時的に追加する必要があります。

  • VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。

Dataflow

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dataflow.googleapis.com
詳細

Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。

Dataflow の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS ソリューションを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。

  • すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、Dataflow の詳細をご覧ください。

  • Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。

Dataproc

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dataproc.googleapis.com
詳細

Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。

Dataproc の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定する必要があります。

Dataproc Metastore

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 metastore.googleapis.com
詳細

Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。

制限事項

VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。

Dialogflow

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dialogflow.googleapis.com
詳細

Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Dialogflow と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Data Loss Prevention

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 dlp.googleapis.com
詳細

Cloud Data Loss Prevention の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Data Loss Prevention の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、DLP の呼び出しで組織レベルのリソースにアクセスしようとすると、403 レスポンスが返されることがあります。IAM を使用して、フォルダレベルと組織レベルで DLP 権限を管理することをおすすめします。

Cloud Functions

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudfunctions.googleapis.com
詳細

設定手順については、Cloud Functions のドキュメントをご覧ください。Cloud Build を使用して Cloud Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。VPC Service Controls の保護は、Firebase Realtime Database トリガーと Firebase Crashlytics トリガーを除くすべての関数トリガーに適用されます。詳細については、既知の制限事項をご覧ください。

Cloud Functions の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Functions では、Cloud Build を使用してソースコードを実行可能なコンテナに構築します。サービス境界内で Cloud Functions を使用するには、サービス境界での Cloud Build サービス アカウントのアクセスレベルを構成する必要があります

  • npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。

  • Firebase Realtime Database トリガーと Firebase Crashlytics トリガーの場合、ユーザーは、関数がデプロイされているプロジェクトのサービス境界外の Firebase Realtime Database または Firebase Crashlytics の変更によりトリガーされる関数をデプロイできます。この 2 つのトリガーの抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Functions Owner、Editor、Developer IAM ロールを信頼できないデベロッパーに付与しないでください。

サーバーレス VPC アクセス

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 vpcaccess.googleapis.com
詳細

サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。

制限事項

サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。

Cloud Key Management Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudkms.googleapis.com
詳細

Cloud Key Management Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。

Game Servers

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 gameservices.googleapis.com
詳細

Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Game Servers の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Game Servers と VPC Service Controls の統合には既知の制限事項はありません。

TCP 用 Identity-Aware Proxy

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 iaptunnel.googleapis.com
詳細

TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。

制限事項
  • 境界では TCP 用 IAP の使用 API のみが保護されます。管理 API を境界で保護することはできません。

  • VPC Service Controls サービス境界内で TCP 用 IAP を使用するには、次のドメインを制限付き VIP に指定するように一部の DNS エントリを追加または構成する必要があります。

    • tunnel.cloudproxy.app
    • *.tunnel.cloudproxy.app

Managed Service for Microsoft Active Directory

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 managedidentities.googleapis.com
詳細

次の場合は追加の構成が必要です。

Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。

Recommender

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 recommender.googleapis.com
詳細

Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Recommender の詳細については、プロダクトのドキュメントをご覧ください。

制限事項

Recommender と VPC Service Controls の統合には既知の制限事項はありません。

Secret Manager

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 secretmanager.googleapis.com
詳細

Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。

Pub/Sub

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 pubsub.googleapis.com
詳細

VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。

Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界で保護されているプロジェクトでは、push エンドポイントがデフォルトの run.app URL とともに Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメインは機能しません)。Cloud Run との統合はプレビュー版です。
  • サービス境界の前に作成された Pub/Sub push サブスクリプションはブロックされません。

Pub/Sub Lite

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 pubsublite.googleapis.com
詳細

VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。

Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Build

ステータス プレビュー。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudbuild.googleapis.com
詳細

Cloud Build で VPC Service Controls を使用できるのは、制限付きユーザーのみです。

Cloud Build の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Build で VPC Service Controls を使用できるのは、制限付きユーザーのみです。

Cloud Composer

ステータス 一般提供
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 composer.googleapis.com
詳細

Composer を VPC Service Controls で使用できるように構成します

Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。

  • DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。

  • DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。

  • Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。

Cloud Run

ステータス プレビュー
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 run.googleapis.com
詳細 Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。

Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 組織のポリシーはまだ利用できません。
  • まだコントロール プレーンに適用されません。

Cloud Spanner

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 spanner.googleapis.com
詳細

Cloud Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Spanner の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Spanner と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Storage

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 storage.googleapis.com
詳細

Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。

    リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。

  • サービス境界内のプロジェクトの場合、Cloud Console の Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含むアクセスレベルを作成する必要があります。

  • 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります

  • 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。

  • アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。

  • 新しいプロジェクトで最初に gsutil を使用する場合、storage-api.googleapis.com サービスを有効にする指示があるかもしれません。storage-api.googleapis.com を直接保護することはできませんが、サービス境界を使用して Cloud Storage API を保護する場合は、gsutil オペレーションも保護されます。

Cloud SQL

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 sqladmin.googleapis.com
詳細

VPC Service Controls 境界は Cloud SQL Admin API を保護します。

Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用する必要があります。
  • Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットから読み取りと書き込みのみを行えます。

  • 外部サーバー移行フローでは、Cloud Storage バケットを同じサービス境界に追加する必要があります。
  • CMEK の鍵作成フローでは、鍵を使用するリソースと同じサービス境界に鍵を作成する必要があります。
  • バックアップからインスタンスを復元する場合、ターゲット インスタンスは、バックアップと同じサービス境界に存在する必要があります。

Video Intelligence API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 videointelligence.googleapis.com
詳細

Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Vision API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 vision.googleapis.com
詳細

Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Vision API と VPC Service Controls の統合には既知の制限事項はありません。

Container Analysis

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 containeranalysis.googleapis.com
詳細

VPC Service Controls で Container Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。

Container Scanning API は、Container Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。

Container Analysis の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Container Analysis と VPC Service Controls の統合には既知の制限事項はありません。

Container Registry

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 containerregistry.googleapis.com
詳細

Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

Container Registry の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • googleapis.com ドメインを使用していないため、プライベート DNS または BIND を介して、他の API とは別に制限付き VIP にマッピングするように Container Registry を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。

  • Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次の Google マネージド リポジトリをサービス境界に関係なくすべてのプロジェクトで使用できます。

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。

Google Kubernetes Engine

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 container.googleapis.com,
gkeconnect.googleapis.com,
gkehub.googleapis.com
詳細

Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。

Resource Manager

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudresourcemanager.googleapis.com
詳細

Resource Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Logging

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 logging.googleapis.com
詳細

VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、フォルダレベルと組織レベルのログは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • ログのエクスポート シンク(includeChildrentrue のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。IAM を使用して、フォルダレベルと組織レベルで Logging 権限を管理することをおすすめします。

  • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、サービス境界内でフォルダレベルと組織レベルのログのエクスポート(集約ログを含む)を行うことはできません。IAM を使用して、境界で保護されたサービスとのやり取りに必要なサービス アカウントへのエクスポートを制限することをおすすめします。

  • サービス境界で保護されているリソースに組織またはフォルダのログ エクスポートを設定するには、そのログシンクのサービス アカウントをアクセスレベルに追加して、宛先のサービス境界に割り当てる必要があります。プロジェクト レベルのログ エクスポートの場合、この操作は必要ありません。

    詳しくは、以下のページをご覧ください。

Cloud Monitoring

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 monitoring.googleapis.com
詳細

Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。

制限事項
  • 通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。

  • Google Cloud Console の Monitoring は VPC Service Controls をサポートしていますが、従来の Cloud Monitoring コンソールの VPC Service Controls は完全にはサポートされていません。

  • Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。

  • GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。

  • ワークスペースの指標のクエリの場合、ワークスペースのホスト プロジェクトの VPC Service Controls 境界のみが考慮され、ワークスペース内の個々のモニタリング対象プロジェクトの境界は考慮されません。

  • プロジェクトを既存のワークスペースにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトがワークスペースのホスト プロジェクトと同じ VPC Service Controls 境界にある場合のみです。

  • Cloud Console でサービス境界で保護されているホスト プロジェクトの Monitoring にアクセスするには、アクセスレベルを使用します。

Cloud Profiler

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudprofiler.googleapis.com
詳細

Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Trace

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudtrace.googleapis.com
詳細

Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。

Cloud TPU

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 tpu.googleapis.com
詳細

Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。

Natural Language API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 language.googleapis.com
詳細

Natural Language API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Natural Language API と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Asset API

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 cloudasset.googleapis.com
詳細

VPC Service Controls はフォルダや組織リソースをサポートしていないため、フォルダや組織レベルでの Cloud Asset API 経由でアセットにアクセスすることは VPC Service Controls で保護されません。詳しくは、サービスに関する既知の制限事項をご覧ください。

Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • フォルダレベルまたは組織レベルで Cloud Asset API を呼び出す場合、フォルダまたは組織に属するサービス境界内のプロジェクトのデータには引き続きアクセスできます。Cloud Asset Inventory の権限の管理をフォルダと組織レベルで行うには、IAM を使用することをおすすめします。

Speech-to-Text

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 speech.googleapis.com
詳細

Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。

Text-to-Speech

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 texttospeech.googleapis.com
詳細

Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。

Translation

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 translate.googleapis.com
詳細

Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Translation の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Translation と VPC Service Controls の統合には既知の制限事項はありません。

Transcoder API

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 transcoder.googleapis.com
詳細

Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。

Access Approval

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 accessapproval.googleapis.com
詳細

Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Access Approval の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Access Approval と VPC Service Controls の統合には既知の制限事項はありません。

Cloud Healthcare API

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 healthcare.googleapis.com
詳細

Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Cloud Healthcare API と VPC Service Controls の統合には既知の制限事項はありません。

Storage Transfer Service

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 storagetransfer.googleapis.com
詳細

STS プロジェクトは Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、境界ブリッジまたはアクセスレベルを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。

設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。

Transfer service for on-premises data

ベータ版では、Transfer Service for On Premises Data(オンプレミス用 Transfer)は、Transfer ペイロードについてのみ VPC Service Controls をサポートします。これには、オンプレミス用 Transfer エージェントが、アクセスレベルに追加され、境界内のリソースへのアクセスを許可するシナリオや、オンプレミス用 Transfer エージェントが、ターゲット Cloud Storage バケットと Transfer Service for On Premises Data のジョブで共有される境界内にあるときのシナリオを含みます。

詳細については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。

オブジェクト名などのファイル メタデータは、境界内で保持されるとは限りません。詳細については、VPC Service Controls とメタデータをご覧ください。

Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Transfer Service for On Premises Data は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

Service Control

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 servicecontrol.googleapis.com
詳細

Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Service Control の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Service Control が制限されたサービス境界内の VPC ネットワークから Service Control API を呼び出す場合、Service Control report メソッドを使用して課金と分析の指標を報告することはできません。

Memorystore for Redis

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 redis.googleapis.com
詳細

Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。

  • Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。

Memorystore for Memcached

ステータス プレビュー。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 memcache.googleapis.com
詳細

Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • サービス境界により Memorystore for Memcached API だけが保護されます。同じネットワーク内の Memorystore for Memcached インスタンスに対する通常のデータアクセスは保護されません。

Service Directory

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 servicedirectory.googleapis.com
詳細

Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

Service Directory の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

Service Directory と VPC Service Controls の統合には既知の制限事項はありません。

Transfer Appliance

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか いいえ。Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
詳細

Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。

Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

  • Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。

OS Login

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 oslogin.googleapis.com
詳細

VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。

VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。

OS Login の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

VPC Service Controls と OS Login の統合には既知の制限事項はありません。

VM Manager

ステータス ベータ版。このプロダクト統合はより広範なテストと使用に対応しますが、本番環境で完全にサポートされるわけではありません。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 osconfig.googleapis.com
詳細

VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。

VM Manager の詳細については、プロダクト ドキュメントをご覧ください。

制限事項

VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。

  • OS Config API(osconfig.googleapis.com
  • Compute Engine API(compute.googleapis.com
  • Container Analysis API(containeranalysis.googleapis.com

詳しくは、サポートされているサービスとサポートされていないサービスをご覧ください。

制限付き VIP サポート対象のサービス

制限付き仮想 IP(VIP)は、サービス境界内の VM がリクエストをインターネットに公開せずに Google Cloud サービスを呼び出すための手段を提供します。制限付き VIP で利用可能なサービスの一覧については、制限付き VIP でサポートされているサービスをご覧ください。

サポートされていないサービス

gcloud コマンドライン ツールまたは Access Context Manager API を使用して、サポートされていないサービスを制限しようとするとエラーが発生します。

サポートされているサービスのデータに対するプロジェクト間のアクセスは、VPC Service Controls によってブロックされます。また、制限付き VIP を使用して、サポートされていないサービスを呼び出すワークロードをブロックできます。

その他の既知の制限事項

このセクションでは、VPC Service Controls の使用時に検出される特定の Google Cloud サービス、プロダクト、インターフェースに関する既知の制限事項について説明します。

VPC Service Controls でサポートされているプロダクトの制限については、サポート対象プロダクトの表をご覧ください。

VPC Service Controls に関する問題の解決方法については、トラブルシューティングをご覧ください。

AutoML API

  • AutoML Vision、AutoML Natural Language、AutoML Translation、AutoML Tables と AutoML Video Intelligence はすべて AutoML API を使用します。

    サービス境界を使用して automl.googleapis.com を保護すると、VPC Service Controls と統合されて境界内で使用されているすべての AutoML プロダクトへのアクセスに影響があります。VPC Service Controls の境界は、その境界内で使用されているすべての統合 AutoML プロダクトに対して構成する必要があります。

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

App Engine

  • App Engine(スタンダード環境とフレキシブル環境の両方)は、VPC Service Controls ではサポートされていません。サービス境界に App Engine プロジェクトを含めないでください。

    ただし、サービス境界外のプロジェクトで作成された App Engine アプリに、境界内の保護されたサービスに対するデータの読み取りと書き込みを許可できます。アプリが保護されたサービスのデータにアクセスできるようにするには、プロジェクトの App Engine サービス アカウントを含むアクセスレベルを作成します。これは、サービス境界内で App Engine を使用できるようにするものではありません。

クライアント ライブラリ

  • 制限付き VIP を使用したアクセスに対して、すべてのサポート対象サービス用の Java および Python クライアント ライブラリが完全にサポートされています。他の言語のサポートはアルファ版段階で、テストのみの目的で使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたクライアント ライブラリを使用する必要があります。

  • クライアントでは、2018 年 11 月 1 日以降に更新されたサービス アカウントキーまたは OAuth2 クライアント メタデータを使用する必要があります。トークン エンドポイントを使用している古いクライアントは、新しい鍵マテリアル / クライアント メタデータで指定されているエンドポイントに変更する必要があります。

Cloud Billing

Cloud Build

  • VPC Service Controls の境界内で Cloud Build を使用できるのは、制限付きユーザーのみです。

    また、サービス境界外のプロジェクトにある Cloud Build に、境界内の保護されたサービスに対するデータの読み取りと書き込みを許可できます。Cloud Build が保護されたサービスのデータにアクセスできるようにするには、プロジェクトの Cloud Build サービス アカウントを含むアクセスレベルを作成します。これは、サービス境界内で Cloud Build を使用できるようにするものではありません。

Cloud Deployment Manager

  • Deployment Manager は VPC Service Controls でサポートされていません。ユーザーは VPC Service Controls に準拠したサービスを呼び出すことはできますが、今後使用できなくなる可能性があるため、これに依存しないようにしてください。

  • 回避策としては、Deployment Manager サービス アカウント(PROJECT_NUMBER@cloudservices.gserviceaccount.com)をアクセスレベルに追加して、VPC Service Controls で保護された API への呼び出しを許可します。

Cloud Shell

  • Cloud Shell はサポートされていません。サービス境界外として扱われ、VPC Service Controls で保護されたデータへのアクセスが拒否されます。

Google Cloud Console

  • Cloud Console はインターネット経由でのみアクセス可能なため、サービス境界外として扱われます。サービス境界を適用すると、保護したサービスの Cloud Console インターフェースが部分的または完全に使用できなくなる場合があります。たとえば、境界で Logging を保護した場合、Cloud Console で Logging インターフェースにアクセスできなくなります。

    Cloud Console から保護されたリソースへのアクセスを許可するには、保護された API で Cloud Console を使用するユーザーのマシンを含むパブリック IP 範囲のアクセスレベルを作成する必要があります。たとえば、プライベート ネットワークの NAT ゲートウェイのパブリック IP 範囲をアクセスレベルに追加し、そのアクセスレベルをサービス境界に割り当てることができます。

    Cloud Console の境界へのアクセスを一連の特定ユーザーのみに制限する場合は、アクセスレベルにそのユーザーを追加することもできます。その場合、指定したユーザーだけが Cloud Console にアクセスできます。