지원되는 제품 및 제한사항

Google Cloud Search는 데이터 보안을 강화할 수 있도록 Virtual Private Cloud Security Control(VPC-SC)을 지원합니다. VPC-SC를 사용하면 Google Cloud Platform 리소스 주위에 보안 경계를 정의하여 데이터를 통제하고 데이터 무단 반출 위험을 완화할 수 있습니다.

Google Cloud Search에 대한 자세한 내용은 제품 문서를 참조하세요.

연결 테스트에 사용되는 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

연결 테스트에 대한 자세한 내용은 제품 문서를 참조하세요.

연결 테스트를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

VPC 서비스 제어는 온라인 예측을 지원하지만 일괄 예측은 지원하지 않습니다.

AI Platform Prediction에 대한 자세한 내용은 제품 문서를 참조하세요.

AI Platform Training용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

AI Platform Training에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어 경계는 AlloyDB API를 보호합니다.

PostgreSQL용 AlloyDB에 대한 상세 설명은 제품 문서를 참조하세요.

• PostgreSQL용 AlloyDB에 대한 VPC 서비스 제어를 구성하기 전에 Service Networking API를 사용 설정합니다.
• 공유 VPC 및 VPC 서비스 제어와 함께 PostgreSQL용 AlloyDB를 사용할 때 호스트 프로젝트와 서비스 프로젝트가 동일한 VPC 서비스 제어 서비스 경계에 있어야 합니다.

Vertex AI Workbench용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Vertex AI Workbench에 대한 자세한 내용은 제품 문서를 참조하세요.

Vertex AI용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Vertex AI에 대한 자세한 내용은 제품 문서를 참조하세요.

Vertex AI Vision용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Vertex AI Vision에 대한 자세한 내용은 제품 문서를 참조하세요.

Apigee 및 Apigee Hybrid용 API는 VPC 서비스 제어로 보호할 수 있으며, 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Apigee 및 Apigee Hybrid에 대한 자세한 내용은 제품 문서를 참조하세요.

Analytics Hub에 대한 자세한 내용은 제품 문서를 참조하세요.

Analytics Hub를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Anthos Service Mesh용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

mesh.googleapis.com을 사용하여 Anthos Service Mesh에 필요한 API를 사용 설정할 수 있습니다. 경계는 API를 노출하지 않으므로 경계에서 mesh.googleapis.com을 제한할 필요가 없습니다.

• Anthos Service Mesh에서 여러 클러스터를 설치할 경우의 비공개 클러스터 구성에 대해 알아봅니다.
• Anthos Service Mesh 서비스를 서비스 경계에 추가에 대해 알아봅니다.

Anthos Service Mesh에 대한 자세한 내용은 제품 문서를 참조하세요.

현재 Anthos Service Mesh 관리형 제어 영역에서는 서비스 경계가 지원되지 않습니다.

Artifact Registry API를 보호하는 것 외에도 GKE 및 Compute Engine과 함께 서비스 경계 내에서 Artifact Registry를 사용할 수 있습니다.

Artifact Registry에 대한 자세한 내용은 제품 문서를 참조하세요.

Assured Workloads용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Assured Workloads에 대한 자세한 내용은 제품 문서를 참조하세요.

Assured Workloads를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

• AutoML API(automl.googleapis.com)
• Cloud Storage API(storage.googleapis.com)
• Compute Engine API(compute.googleapis.com)
• BigQuery API(bigquery.googleapis.com)

AutoML Natural Language에 대한 자세한 내용은 제품 문서를 참조하세요.

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

• AutoML API(automl.googleapis.com)
• Cloud Storage API(storage.googleapis.com)
• Compute Engine API(compute.googleapis.com)
• BigQuery API(bigquery.googleapis.com)

AutoML Tables에 대한 자세한 내용은 제품 문서를 참조하세요.

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

• AutoML API(automl.googleapis.com)
• Cloud Storage API(storage.googleapis.com)
• Compute Engine API(compute.googleapis.com)
• BigQuery API(bigquery.googleapis.com)

AutoML Translation에 대한 자세한 내용은 제품 문서를 참조하세요.

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

• AutoML API(automl.googleapis.com)
• Cloud Storage API(storage.googleapis.com)
• Compute Engine API(compute.googleapis.com)
• BigQuery API(bigquery.googleapis.com)

AutoML Video Intelligence에 대한 자세한 내용은 제품 문서를 참조하세요.

AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

• AutoML API(automl.googleapis.com)
• Cloud Storage API(storage.googleapis.com)
• Compute Engine API(compute.googleapis.com)
• BigQuery API(bigquery.googleapis.com)

AutoML Vision에 대한 자세한 내용은 제품 문서를 참조하세요.

Bare Metal Solution API는 보안 경계에 추가할 수 있습니다. 하지만 VPC 서비스 제어 경계는 리전별 확장 프로그램의 베어메탈 솔루션 환경으로 확장되지 않습니다.

베어메탈 솔루션에 대한 자세한 내용은 제품 문서를 참조하세요.

베어메탈 솔루션은 VPC 서비스 제어를 지원하지 않습니다. 베어메탈 솔루션 환경에 서비스 제어가 사용 설정된 VPC를 연결해도 서비스 제어가 보장되지 않습니다.

VPC 서비스 제어와 관련된 베어메탈 솔루션 제한사항에 대한 자세한 내용은 알려진 문제 및 제한사항을 참조하세요.

Batch용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Batch에 대한 자세한 내용은 제품 문서를 참조하세요.

서비스 경계를 사용하여 BigQuery API를 보호하면 BigQuery Storage API도 보호됩니다. 경계의 보호되는 서비스 목록에 BigQuery Storage API를 별도로 추가할 필요가 없습니다.

BigQuery에 대한 자세한 내용은 제품 문서를 참조하세요.

BigQuery Data Policy API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

BigQuery Data Policy API에 대한 자세한 내용은 제품 문서를 참조하세요.

BigQuery Data Policy API를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

서비스 경계는 BigQuery Data Transfer Service API만 보호합니다. BigQuery에서 실제 데이터 보호를 적용합니다. 이는 Amazon S3, Redshift, Teradata, YouTube, Google Play, Google Ads와 같은 Google Cloud 외부의 다양한 외부 소스에서 BigQuery 데이터 세트로 데이터를 가져올 수 있도록 설계되었습니다. Teradata에서 데이터를 마이그레이션하기 위한 VPC 서비스 제어 요구사항에 대한 자세한 내용은 VPC 서비스 제어 요구사항을 참조하세요.

BigQuery Data Transfer Service에 대한 자세한 내용은 제품 문서를 참조하세요.

BigQuery Migration API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

BigQuery Migration API에 대한 자세한 내용은 제품 문서를 참조하세요.

BigQuery Migration API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

서비스 경계는 경계에 지정된 관리 프로젝트 내의 BigQuery 예약, 약정, 할당에 대한 액세스를 제한합니다. BigQuery Reservation API는 BigQuery API의 일부입니다. 따라서 서비스 경계로 BigQuery API를 보호하면 BigQuery Reservation API도 보호합니다.

BigQuery Reservation API에 대한 자세한 내용은 제품 문서를 참조하세요.

bigtable.googleapis.com 및 bigtableadmin.googleapis.com 서비스는 함께 번들로 제공됩니다. 경계에서 bigtable.googleapis.com 서비스를 제한하면 경계가 기본적으로 bigtableadmin.googleapis.com 서비스를 제한합니다. bigtableadmin.googleapis.com 서비스는 bigtable.googleapis.com와 함께 번들로 제공되므로 경계의 제한된 서비스 목록에 추가할 수 없습니다.

Cloud Bigtable에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Bigtable을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Binary Authorization으로 여러 프로젝트를 사용하는 경우 각 프로젝트를 VPC 서비스 제어 경계에 포함해야 합니다. 이 사용 사례에 대한 자세한 내용은 다중 프로젝트 설정을 참조하세요.

Binary Authorization에서는 컨테이너 분석을 사용하여 증명자 및 증명을 각각 메모 및 어커런스로 저장할 수 있습니다. 이 경우 VPC 서비스 제어 경계에도 컨테이너 분석을 포함해야 합니다. 자세한 내용은 컨테이너 분석을 위한 VPC 서비스 제어 안내를 참조하세요.

Binary Authorization에 대한 자세한 내용은 제품 문서를 참조하세요.

Binary Authorization을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Certificate Authority Service용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Certificate Authority Service에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어에서 구성 컨트롤러를 사용하려면 경계 내에서 다음 API를 사용 설정해야 합니다.

• Cloud Monitoring API(monitoring.googleapis.com)
• Container Registry API(containerregistry.googleapis.com)
• Google Cloud 운영 제품군 API(logging.googleapis.com)
• 보안 토큰 서비스 API (sts.googleapis.com)
• Cloud Storage API(storage.googleapis.com)

구성 컨트롤러로 리소스를 프로비저닝하는 경우 서비스 경계에서 해당 리소스에 대해 API를 사용 설정해야 합니다. 예를 들어 IAM 서비스 계정을 추가하려면 IAM API(iam.googleapis.com)를 추가해야 합니다.

구성 컨트롤러에 대한 자세한 내용은 제품 문서를 참조하세요.

구성 컨트롤러를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

Data Catalog에 대한 자세한 내용은 제품 문서를 참조하세요.

Data Catalog를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

VPC 서비스 제어로 Cloud Data Fusion을 보호하려면 몇 가지 특별 단계를 수행해야 합니다.

Cloud Data Fusion에 대한 자세한 내용은 제품 문서를 참조하세요.

Data Lineage API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Data Lineage API에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와의 Data Lineage API 통합에는 알려진 제한사항이 없습니다.

Compute Engine에 대한 VPC 서비스 제어 지원은 다음과 같은 보안 이점을 제공합니다.

• 민감한 API 작업에 대한 액세스 제한
• 영구 디스크 스냅샷과 커스텀 이미지를 경계로 제한
• 인스턴스 메타데이터에 대한 액세스 제한

Compute Engine에 대한 VPC 서비스 제어 지원을 통해 서비스 경계 내에서 Virtual Private Cloud 네트워크 및 Google Kubernetes Engine 비공개 클러스터를 활용할 수 있습니다.

Compute Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와 Contact Center AI Insights를 사용하려면 통합에 따라 경계 내에 다음과 같은 추가 API가 있어야 합니다.

• Contact Center AI Insights에 데이터를 로드하려면 Cloud Storage API를 서비스 경계에 추가합니다.

• 내보내기를 사용하려면 서비스 경계에 BigQuery API를 추가합니다.

• 여러 CCAI 제품을 통합하려면 Vertex AI API를 서비스 경계에 추가합니다.

Contact Center AI Insights에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와 Contact Center AI Insights의 통합에는 알려진 제한사항이 없습니다.

Dataflow는 여러 스토리지 서비스 커넥터를 지원합니다. 다음 커넥터는 서비스 경계 내에서 Dataflow와 함께 작동하도록 확인되었습니다.

• Cloud Storage(자바, Python)
• BigQuery(자바, Python)
• Pub/Sub(자바, Python)
• Cloud Bigtable(자바)
• Cloud Spanner(자바)

Dataflow에 대한 자세한 내용은 제품 문서를 참조하세요.

• Dataflow를 사용할 때는 커스텀 BIND가 지원되지 않습니다. VPC 서비스 제어에 Dataflow를 사용할 때 DNS 확인을 맞춤설정하려면 커스텀 BIND 서버를 사용하는 대신 Cloud DNS 비공개 영역을 사용합니다. 고유한 온프레미스 DNS 확인을 사용하려면 Google Cloud DNS 전달 방법을 사용하는 것이 좋습니다.

• VPC 서비스 제어는 수직 자동 확장에서 지원되지 않습니다. Dataflow Prime을 사용 설정하고 VPC 서비스 제어 경계로 새 작업을 시작하면 작업에 수직 자동 확장이 없는 Dataflow Prime이 사용됩니다.

• 일부 스토리지 서비스 커넥터는 서비스 경계 내에서 Dataflow와 함께 사용할 때 작동하도록 확인되었습니다. 확인된 커넥터 목록은 이전 섹션의 '세부정보'를 참조하세요.

• Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용할 때 작업자가 VPC 서비스 제어를 사용하여 리소스를 보호하는 경우와 같이 비공개 IP 주소만 있는 경우 Dataflow 작업이 실패합니다. 리소스 보호를 위해 VPC 서비스 제어를 사용하는 경우처럼 Dataflow 작업자에게 비공개 IP 주소만 있는 경우 Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용하지 마세요. 이 조합으로 사용하면 시작 시 작업이 실패합니다.

Dataflow는 여러 스토리지 서비스 커넥터를 지원합니다. 다음 커넥터는 서비스 경계 내에서 Dataflow와 함께 작동하도록 확인되었습니다.

• Cloud Storage(자바, Python)
• BigQuery(자바, Python)
• Pub/Sub(자바, Python)
• Cloud Bigtable(자바)
• Cloud Spanner(자바)

Dataplex에 대한 자세한 내용은 제품 문서를 참조하세요.

Dataproc을 VPC 서비스 제어로 보호하려면 몇 가지 특별 단계를 수행해야 합니다.

Dataproc에 대한 자세한 내용은 제품 문서를 참조하세요.

• 서비스 경계로 Dataproc 클러스터를 보호하려면 클러스터가 경계 내에서 작동할 수 있도록 비공개 연결 설정의 지침을 따라야 합니다.

Dataproc Metastore용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Dataproc Metastore에 대한 자세한 내용은 제품 문서를 참조하세요.

Dataproc 메타스토어와 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

Datastream용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Datastream에 대한 자세한 내용은 제품 문서를 참조하세요.

Datastream과 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

Database Migration Service용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Database Migration Service에 대한 자세한 내용은 제품 문서를 참조하세요.

Dialogflow용 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

Dialogflow에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Data Loss Prevention용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Data Loss Prevention에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud DNS용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud DNS에 대한 자세한 내용은 제품 문서를 참조하세요.

• 제한된 VIP를 통해 Cloud DNS에 액세스할 수 있습니다. 하지만 VPC 서비스 제어 경계 내의 프로젝트 내에 공개 DNS 영역을 만들거나 업데이트할 수 없습니다.

Document AI용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용 가능합니다.

Document AI에 대한 자세한 내용은 제품 문서를 참조하세요.

Document AI를 VPC 서비스 제어와 통합에서는 알려진 제한사항이 없습니다.

Document AI Warehouse용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용 가능합니다.

Document AI Warehouse에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와의 Document AI Warehouse 통합에는 알려진 제한사항이 없습니다.

Cloud Domains용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Domains에 대한 자세한 내용은 제품 문서를 참조하세요.

• Cloud Domains에 사용된 연락처 데이터는 최상위 도메인 또는 TLD 레지스트리와 공유될 수 있으며 ICANN 규칙에 준하여 설정에 따라 WHOIS/RDAP용으로 공개적으로 액세스될 수 있습니다. 자세한 내용은 개인 정보 보호 기능을 참조하세요.

• Cloud Domains에 사용된 DNS 구성 데이터(네임서버 및 DNSSEC 설정)는 공개됩니다. 도메인에서 기본 동작에 따라 DNS 영역으로 위임하면 해당 영역의 DNS 구성 데이터도 공개됩니다.
• VPC 서비스 제어 경계 외부에 있는 Google Domains 웹사이트를 통해 Cloud Domains 등록 리소스에 액세스할 수 있습니다.

Eventarc는 Pub/Sub 주제를 사용하여 이벤트 전송을 처리하고 구독을 푸시합니다. Pub/Sub API에 액세스하고 이벤트 트리거를 관리하려면 Eventarc API는 Pub/Sub API와 동일한 VPC 서비스 제어 서비스 경계 내에서 보호되어야 합니다.

Eventarc에 대한 자세한 내용은 제품 문서를 참조하세요.

서비스 경계로 보호되는 프로젝트에서 Eventarc에는 Pub/Sub와 동일한 제한사항이 적용됩니다.

• 이벤트를 Cloud Run 대상으로 라우팅할 때 푸시 엔드포인트가 기본 run.app URL이 있는 Cloud Run 서비스로 설정되어 있지 않으면 새로운 Pub/Sub 푸시 구독을 만들 수 없습니다.
• Pub/Sub 푸시 엔드포인트가 Workflows 실행으로 설정된 Workflows를 대상으로 이벤트를 라우팅하는 경우 Eventarc를 통해서만 새 Pub/Sub 푸시 구독을 만들 수 있습니다.

Firebase 앱 체크 토큰을 구성하고 교환하면 VPC 서비스 제어가 Firebase 앱 체크 서비스만 보호합니다. Firebase 앱 체크를 사용하는 서비스를 보호하려면 해당 서비스에 대해 서비스 경계를 설정해야 합니다.

Firebase 앱 체크에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와 Firebase 앱 체크 통합은 알려진 제한사항이 없습니다.

Firebase 보안 규칙 정책을 관리할 때 VPC 서비스 제어는 Firebase 보안 규칙 서비스만 보호합니다. Firebase 보안 규칙을 사용하는 서비스를 보호하려면 해당 서비스에 대해 서비스 경계를 설정해야 합니다.

Firebase 보안 규칙에 대한 자세한 내용은 제품 문서를 참조하세요.

Firebase 보안 규칙과 VPC 서비스 제어와의 통합에는 알려진 제한사항이 없습니다.

설정 단계는 Cloud Functions 문서를 참조하세요. Cloud Build를 사용하여 Cloud Functions를 빌드할 때 VPC 서비스 제어 보호는 빌드 단계에 적용되지 않습니다. VPC 서비스 제어 보호는 Firebase 실시간 데이터베이스 트리거와 Firebase Crashlytics 트리거를 제외한 모든 함수 트리거에 적용됩니다. 자세한 내용은 알려진 제한사항을 참조하세요.

Cloud Functions에 대한 자세한 내용은 제품 문서를 참조하세요.

경계로 IAM을 제한하는 경우 IAM API를 사용하는 작업만 제한됩니다. 이러한 작업에는 커스텀 IAM 역할 관리, 워크로드 아이덴티티 풀 관리, 서비스 계정 및 키 관리가 포함됩니다. 직원 풀은 조직 수준 리소스이므로 경계는 직원 풀 작업을 제한하지 않습니다.

IAM 주변의 경계는 Resource Manager 프로젝트, 폴더, 조직, 또는 Compute Engine 가상 머신 인스턴 같은 다른 서비스에서 소유한 리소스의 액세스 관리(즉, IAM 정책 가져오기 또는 설정)를 제한하지 않습니다. 이러한 리소스의 액세스 관리를 제한하려면 리소스를 소유한 서비스를 제한하는 경계를 만듭니다. IAM 정책을 허용하는 리소스 목록 및 해당 정책을 소유한 서비스의 목록은 IAM 정책을 허용하는 리소스 유형을 참조하세요.

또한 IAM 주변의 경계는 다음을 포함하여 다른 API를 사용하는 작업을 제한하지 않습니다.

• IAM 정책 시뮬레이터 API
• IAM 정책 문제 해결 도구 API
• 보안 토큰 서비스 API
• Service Account Credentials API(IAM API의 레거시 signBlob 및 signJwt 메서드 포함)

Identity and Access Management에 대한 자세한 내용은 제품 문서를 참조하세요.

경계 내부에 있으면 빈 문자열로 roles.list 메서드를 호출하여 IAM 사전 정의된 역할을 나열할 수 없습니다. 사전 정의된 역할을 보려면 IAM 역할 문서를 참조하세요.

IAP Admin API를 사용하면 사용자가 IAP를 구성할 수 있습니다.

IAP Admin API에 대한 자세한 내용은 제품 문서를 참조하세요.

IAP Admin API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud KMS Inventory API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud KMS Inventory API에 대한 자세한 내용은 제품 문서를 참조하세요.

SearchProtectionedResources API 메서드는 반환된 프로젝트에 서비스 경계 제한을 적용하지 않습니다.

서비스 계정 사용자 인증 정보용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

서비스 계정 사용자 인증 정보에 대한 자세한 내용은 제품 문서를 참조하세요.

서비스 계정 사용자 인증 정보를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Service Metadata API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Service Metadata API에 대한 자세한 내용은 제품 문서를 참조하세요.

Service Metadata API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

서버리스 VPC 액세스용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

서버리스 VPC 액세스에 대한 자세한 내용은 제품 문서를 참조하세요.

서버리스 VPC 액세스를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud KMS API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 사용할 수 있습니다. Cloud HSM 서비스에 대한 액세스도 VPC 서비스 제어로 보호되며 서비스 경계 내에서 사용할 수 있습니다.

Cloud Key Management Service에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Key Management Service를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Game Servers용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Game Servers에 대한 자세한 내용은 제품 문서를 참조하세요.

Game Servers를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

TCP용 IAP(Identity-Aware Proxy) API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

TCP용 IAP(Identity-Aware Proxy)에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Life Sciences용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Life Sciences에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와 Cloud Life Sciences 통합에는 알려진 제한사항이 없습니다.

다음에 추가 구성이 필요합니다.

• 관리형 Microsoft AD API에 대한 온프레미스 액세스
• 공유 VPC

Microsoft Active Directory용 관리형 서비스에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와 Microsoft Active Directory용 관리형 서비스 통합에는 알려진 제한사항이 없습니다.

reCAPTCHA용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

reCAPTCHA Enterprise에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와 reCAPTCHA Enterprise 통합에는 알려진 제한사항이 없습니다.

Web Risk용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Web Risk에 대한 자세한 내용은 제품 문서를 참조하세요.

Evaluate API 및 Submission API는 VPC 서비스 제어에서 지원되지 않습니다.

추천자용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

추천자에 대한 자세한 내용은 제품 문서를 참조하세요.

• VPC 서비스 제어는 조직, 폴더 또는 결제 계정 리소스를 지원하지 않습니다.

Secret Manager용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Secret Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

Secret Manager를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

VPC 서비스 제어 보호는 모든 관리자 작업, 게시자 작업, 구독자 작업에 적용됩니다(기존 푸시 구독 제외).

Pub/Sub에 대한 자세한 내용은 제품 문서를 참조하세요.

서비스 경계로 보호되는 프로젝트에서는 다음 제한사항이 적용됩니다.

• 푸시 엔드포인트가 기본 run.app URL(커스텀 도메인은 작동하지 않음)을 사용하는 Cloud Run 서비스로 설정되지 않는 한 새 푸시 구독을 만들 수 없습니다. Cloud Run과 통합에 대한 자세한 내용은 VPC 서비스 제어 사용을 참조하세요.
• 주제와 동일한 경계에 구독을 만들거나 주제에서 구독으로 액세스를 허용하는 이그레스 규칙을 사용 설정해야 합니다.
• 푸시 엔드포인트가 Workflows 실행으로 설정된 Workflows를 대상으로 Eventarc를 통해 이벤트를 라우팅하는 경우 Eventarc를 통해서만 새 푸시 구독을 만들 수 있습니다.
• 서비스 경계 이전에 생성된 Pub/Sub 푸시 구독은 차단되지 않습니다.

VPC 서비스 제어 보호는 모든 구독자 작업에 적용됩니다.

Pub/Sub Lite에 대한 자세한 내용은 제품 문서를 참조하세요.

Pub/Sub Lite를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Build 비공개 풀과 함께 VPC 서비스 제어를 사용하여 빌드에 보안을 추가하는 방법을 보여줍니다.

Cloud Build에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어 보호는 비공개 풀에서 실행되는 빌드에만 사용할 수 있습니다.

VPC 서비스 제어로 Google Cloud Deploy용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.

Google Cloud Deploy에 대한 자세한 내용은 제품 문서를 참조하세요.

경계 안에서 Google Cloud Deploy를 사용하려면 대상의 실행 환경의 Cloud Build 비공개 풀을 사용해야 합니다. 기본(Cloud Build) 작업자 풀 및 하이브리드 풀을 사용하지 마세요.

VPC 서비스 제어와 함께 사용할 Composer 구성

Cloud Composer에 대한 자세한 내용은 제품 문서를 참조하세요.

• DAG 직렬화를 사용 설정하면 Airflow가 웹 UI에 렌더링된 템플릿과 함수를 함께 표시하지 않습니다.

• DAG 직렬화가 사용 설정된 상태에서는 async_dagbag_loader 플래그를 True로 설정하는 것이 지원되지 않습니다.

• DAG 직렬화를 사용 설정하면 Cloud Composer가 배포된 VPC 네트워크의 보안이 저하될 수 있으므로 모든 Airflow 웹 서버 플러그인이 사용 중지됩니다. 이는 Airflow 연산자와 센서를 포함하여 스케줄러 또는 작업자 플러그인의 동작에 영향을 주지 않습니다.

• Cloud Composer가 경계 내에서 실행 중인 경우 공개 PyPI 저장소에 대한 액세스가 제한됩니다. Cloud Composer 문서에서 Python 종속 항목 설치를 참조하여 비공개 IP 모드에서 PyPi 모듈을 설치하는 방법을 알아보세요.

Cloud Run에 대한 자세한 내용은 제품 문서를 참조하세요.

• Cloud Scheduler 작업 생성
• Cloud Scheduler 작업 업데이트

Cloud Scheduler에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Spanner용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Spanner에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Spanner를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Speaker ID용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Speaker ID에 대한 자세한 내용은 제품 문서를 참조하세요.

Speaker ID를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Storage용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Storage에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Tasks용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Tasks 실행의 HTTP 요청은 다음과 같이 지원됩니다.

• VPC 서비스 제어와 호환되는 Cloud Functions(1세대) 및 Cloud Run 엔드포인트에 대한 인증된 요청이 허용됩니다.
• Cloud Functions 및 Cloud Run 이외의 엔드포인트에 대한 요청은 차단됩니다.
• VPC 서비스 제어와 호환되지 않는 Cloud Functions 및 Cloud Run 엔드포인트에 대한 요청은 차단됩니다.

Cloud Tasks에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Tasks를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

VPC 서비스 제어 경계는 Cloud SQL Admin API를 보호합니다.

Cloud SQL에 대한 자세한 내용은 제품 문서를 참조하세요.

• 서비스 경계는 Cloud SQL Admin API만 보호합니다. Cloud SQL 인스턴스에 대한 IP 기반 데이터 액세스는 보호되지 않습니다. 조직 정책 제약조건을 사용하여 Cloud SQL 인스턴스의 공개 IP 액세스를 제한해야 합니다.
• Cloud SQL용 VPC 서비스 제어를 구성하기 전에 Service Networking API를 사용 설정합니다.

• Cloud SQL 가져오기 및 내보내기는 Cloud SQL 복제본 인스턴스와 동일한 서비스 경계 내에서 Cloud Storage 버킷의 읽기 및 쓰기만 수행할 수 있습니다.

• 외부 서버 마이그레이션 흐름에서 Cloud Storage 버킷을 동일한 서비스 경계에 추가해야 합니다.
• CMEK의 키 생성 흐름에서 키를 사용하는 리소스와 동일한 서비스 경계에 키를 만들어야 합니다.
• 백업에서 인스턴스를 복원할 경우 백업과 동일한 서비스 경계에 대상 인스턴스가 있어야 합니다.

Video Intelligence API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Video Intelligence API에 대한 자세한 내용은 제품 문서를 참조하세요.

Video Intelligence API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Vision AI API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Vision AI API에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어에서 컨테이너 분석을 사용하려면 VPC 경계에 다른 서비스를 추가해야 할 수 있습니다.

• 컨테이너 분석에서 Pub/Sub 알림을 사용하는 경우 서비스 경계에 Pub/Sub를 추가합니다.
• 컨테이너 Container Scanning API를 사용하는 경우 레지스트리를 Artifact Registry 또는 Container Registry 경계에 추가합니다.

Container Scanning API는 컨테이너 분석에 결과를 저장하는 표면이 없는 API이기 때문에 서비스 경계로 API를 보호할 필요가 없습니다.

컨테이너 분석에 대한 자세한 내용은 제품 문서를 참조하세요.

컨테이너 분석을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Container Registry API를 보호하는 것 외에도 Container Registry는 GKE 및 Compute Engine으로 서비스 경계 내에서 사용할 수 있습니다.

Container Registry에 대한 자세한 내용은 제품 문서를 참조하세요.

• 서비스 경계에 인그레스 또는 이그레스 정책을 지정하면 모든 Container Registry 작업의 ID 유형으로 ANY_SERVICE_ACCOUNT와 ANY_USER_ACCOUNT를 사용할 수 없습니다.

  이 문제를 해결하려면 ANY_IDENTITY를 ID 유형으로 사용하세요.

• Container Registry는 gcr.io 도메인을 사용하므로 *.gcr.io이 private.googleapis.com 또는 restricted.googleapis.com에 매핑될 수 있도록 DNS를 구성해야 합니다. 자세한 내용은 서비스 경계에서 Container Registry 보호를 참조하세요.

• Container Registry에서 사용 가능한 경계 내에 있는 컨테이너 외에도 다음과 같은 읽기 전용 저장소는 서비스 경계에서 적용하는 제한 사항과 관계없이 모든 프로젝트에서 사용 가능합니다.

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io
  • mirror.gcr.io

  모든 경우에 해당 저장소의 멀티 리전별 버전도 사용할 수 있습니다.

Google Kubernetes Engine용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Google Kubernetes Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

• VPC 서비스 제어를 사용하여 비공개 클러스터만 보호할 수 있습니다. 공개 IP 주소가 있는 클러스터는 VPC 서비스 제어에서 지원되지 않습니다.

이미지 스트리밍은 Artifact Registry에 저장된 이미지에 대해 컨테이너 이미지 가져오기 시간을 단축하는 GKE 데이터 스트리밍 기능입니다. VPC 서비스 제어가 컨테이너 이미지를 보호하고 이미지 스트리밍을 사용하는 경우 서비스 경계에 이미지 스트리밍 API도 포함해야 합니다.

이미지 스트리밍에 대한 자세한 내용은 제품 문서를 참조하세요.

이미지 스트리밍을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Connect 게이트웨이를 비롯한 Fleet 관리 API는 VPC 서비스 제어로 보호할 수 있으며, Fleet 관리 기능을 서비스 경계 내에서 정상적으로 사용할 수 있습니다. 자세한 내용은 다음을 참조하세요.

• Connect 에이전트에 VPC 서비스 제어 사용
• Connect 게이트웨이에 VPC 서비스 제어 사용

Fleet에 대한 자세한 내용은 제품 문서를 참조하세요.

Fleet과 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

VPC 서비스 제어로 다음 Resource Manager API 메서드를 보호할 수 있습니다.

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*

Resource Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

• 서비스에 직접 설정되고 Google Cloud 프로젝트와 상호작용하지 않는 태그는 경계 외부에서 API 호출을 수행하는 경우 VPC 서비스 제어로 보호되지 않습니다. 경계 내에서 이러한 서비스에 대해 API를 호출하면 호출이 차단됩니다.

  예를 들어 클라이언트가 경계로 보호되는 프로젝트에서 호스팅되는 네트워크의 VM에서 태그 API에 요청을 전송하면 요청이 거부됩니다. 경계 내의 요청이 차단되지 않도록 하려면 액세스를 허용하도록 이그레스 규칙을 설정해야 합니다.

  태그는 메서드 수준 제한사항을 지원하므로 method_selectors를 특정 API 메서드로 지정할 수 있습니다. 제한될 수 있는 메서드 목록은 지원되는 서비스 메서드 제한사항을 참조하세요.

  이그레스 규칙 설정에 대한 자세한 내용은 인그레스 및 이그레스 규칙을 참조하세요.

• Google Cloud 콘솔을 통한 프로젝트에 대한 소유자 역할 부여가 이제 VPC 서비스 제어에서 지원됩니다. 소유자 초대를 보내거나 서비스 경계 외부의 초대를 수락할 수 없습니다. 경계 외부의 초대를 수락하려고 하면 소유자 역할이 부여되지 않으며 오류 또는 경고 메시지가 표시되지 않습니다.

Cloud Logging용 API는 VPC 서비스 제어로 보호할 수 있으며 제품을 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Logging에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Monitoring용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Monitoring에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Profiler용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Profiler에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Profiler를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Timeseries Insights API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Timeseries Insights API에 대한 자세한 내용은 제품 문서를 참조하세요.

Timeseries Insights API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Trace용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Trace에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Trace를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud TPU용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud TPU에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud TPU를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Natural Language API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Natural Language API에 대한 자세한 내용은 제품 문서를 참조하세요.

Natural Language API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Network Connectivity Center용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Network Connectivity Center에 대한 자세한 내용은 제품 문서를 참조하세요.

Network Connectivity Center를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Asset API용 API는 VPC 서비스 제어로 보호될 수 있으며 제품을 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Asset API에 대한 자세한 내용은 제품 문서를 참조하세요.

• VPC 서비스 제어는 서비스 경계 내에 있는 리소스 및 클라이언트의 폴더 수준 또는 조직 수준 Cloud Asset API 리소스에 대한 액세스를 지원하지 않습니다. VPC 서비스 제어는 프로젝트 수준의 Cloud Asset API 리소스를 보호합니다 경계 내부의 프로젝트에서 프로젝트 수준 Cloud Asset API 리소스에 액세스하지 못하도록 이그레스 정책을 지정할 수 있습니다.
• VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 Cloud Asset API 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준 또는 조직 수준의 Cloud Asset API 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Cloud 애셋 인벤토리 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.
• 폴더 또는 조직 수준에서 애셋을 서비스 경계 내 대상으로 내보낼 수 없습니다.
• 서비스 경계 내에서 Pub/Sub 주제를 사용하여 폴더 또는 조직 수준의 애셋에 대한 실시간 피드를 만들 수 없습니다.

Speech-to-Text용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Speech-to-Text에 대한 자세한 내용은 제품 문서를 참조하세요.

Speech-to-Text를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Text-to-Speech용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Text-to-Speech에 대한 자세한 내용은 제품 문서를 참조하세요.

Text-to-Speech를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Translation용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Translation에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Translation - Advanced(v3)는 VPC 서비스 제어를 지원하지만 Cloud Translation - Basic(v2)은 지원하지 않습니다. VPC 서비스 제어를 적용하려면 Cloud Translation - Advanced(v3)를 사용해야 합니다. 다른 버전에 대한 자세한 내용은 기본 및 고급 비교를 참조하세요.

Transcoder용 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

Transcoder API에 대한 자세한 내용은 제품 문서를 참조하세요.

Transcoder API와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

Video Stitcher API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Video Stitcher API에 대한 자세한 내용은 제품 문서를 참조하세요.

Video Stitcher API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Access Approval용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Access Approval에 대한 자세한 내용은 제품 문서를 참조하세요.

Access Approval을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Healthcare API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Healthcare API에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Healthcare API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Storage Transfer Service 프로젝트를 Cloud Storage 리소스와 동일한 서비스 경계 내에 배치하는 것이 좋습니다. 그러면 전송과 Cloud Storage 리소스가 모두 보호됩니다. 또한 Storage Transfer Service는 이그레스 정책을 사용하여 Storage Transfer Service 프로젝트가 Cloud Storage 버킷과 동일한 경계에 있지 않은 시나리오도 지원합니다.

설정 정보는 VPC 서비스 제어와 함께 Storage Transfer Service 사용을 참조하세요.

Transfer Service for On Premises Data

온프레미스 전송을 위한 세부정보 및 설정 정보는 VPC 서비스 제어로 온프레미스 전송 사용을 참조하세요.

Storage Transfer Service에 대한 자세한 내용은 제품 문서를 참조하세요.

Service Control용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Service Control에 대한 자세한 내용은 제품 문서를 참조하세요.

• 청구 또는 분석 측정항목이 보고되도록 Service Control이 제한된 서비스 경계의 VPC 네트워크에서 Service Control API를 호출하면 VPC 서비스 제어 지원 서비스의 측정항목을 보고하는 데 Service Control 보고서만 사용할 수 있습니다.

Redis용 Memorystore에 대한 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Redis용 Memorystore에 대한 자세한 내용은 제품 문서를 참조하세요.

• 서비스 경계는 Redis용 Memorystore API만 보호합니다. 경계는 동일한 네트워크 내의 Redis용 Memorystore 인스턴스에서 일반 데이터 액세스를 보호하지 않습니다.

• Cloud Storage API도 보호할 경우 Redis용 Memorystore 가져오기 및 내보내기 작업은 Redis용 Memorystore 인스턴스와 동일한 서비스 경계 내 Cloud Storage 버킷에만 읽고 쓸 수 있습니다.

• 공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 Redis 요청에 성공하려면 네트워크를 제공하는 호스트 프로젝트와 동일한 경계 내에 Redis 인스턴스가 포함된 서비스 프로젝트가 있어야 합니다. 언제든지 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 Redis 인스턴스가 실패하고 요청이 차단됩니다. 자세한 내용은 Redis용 Memorystore 구성 요구사항을 참조하세요.

Memorystore for Memcached의 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

Memorystore for Memcached에 대한 자세한 내용은 제품 문서를 참조하세요.

• 서비스 경계는 Memorystore for Memcached API만 보호합니다. 경계는 동일한 네트워크 내의 Memorystore for Memcached 인스턴스에서 일반 데이터 액세스를 보호하지 않습니다.

서비스 디렉터리용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

서비스 디렉터리에 대한 자세한 내용은 제품 문서를 참조하세요.

서비스 디렉터리를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Visual Inspection AI를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

• Visual Inspection AI API(visualinspection.googleapis.com)
• Vertex AI API(aiplatform.googleapis.com)
• Cloud Storage API(storage.googleapis.com)
• Artifact Registry API(artifactregistry.googleapis.com)
• Container Registry API(containerregistry.googleapis.com)

Visual Inspection AI에 대한 자세한 내용은 제품 문서를 참조하세요.

The Visual Inspection AI와 VPC 서비스 제어와 통합에는 알려진 제한사항이 없습니다.

Transfer Appliance는 VPC 서비스 제어를 사용하는 프로젝트에 대해 완전히 지원됩니다.

Transfer Appliance는 API를 제공하지 않으므로 VPC 서비스 제어에서 API 관련 기능을 지원하지 않습니다.

Transfer Appliance에 대한 자세한 내용은 제품 문서를 참조하세요.

• Cloud Storage가 VPC 서비스 제어로 보호되는 경우 Transfer Appliance팀과 공유하는 Cloud KMS 키는 대상 Cloud Storage 버킷과 동일한 프로젝트에 있어야 합니다.

VPC 서비스 제어에서 조직 정책 서비스용 API를 보호할 수 있으며 제품을 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

조직 정책 서비스에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어에서는 프로젝트에서 상속하는 폴더 수준이나 조직 수준의 조직 정책에 대한 액세스를 제한할 수 없습니다. VPC 서비스 제어는 프로젝트 수준의 조직 정책 서비스 API 리소스를 보호합니다.

예를 들어 인그레스 규칙에서 사용자가 조직 정책 서비스 API에 액세스하지 못하도록 제한하는 경우 프로젝트에 적용된 조직 정책을 쿼리할 때 해당 사용자에게 403 오류가 발생합니다. 그러나 사용자는 프로젝트가 포함된 폴더와 조직의 조직 정책에 계속 액세스할 수 있습니다.

VPC 서비스 제어 경계 내에서 OS Login API를 호출할 수 있습니다. VPC 서비스 제어 경계 내에서 OS 로그인을 관리하려면 OS 로그인을 설정합니다.

VM 인스턴스에 대한 SSH 연결은 VPC 서비스 제어로 보호되지 않습니다.

OS 로그인에 대한 자세한 내용은 제품 문서를 참조하세요.

SSH 키를 읽고 쓰는 OS 로그인 메서드는 VPC 서비스 제어 경계를 적용하지 않습니다. VPC 액세스 서비스를 사용하여 OS 로그인 API에 대한 액세스를 중지합니다.

VPC 서비스 제어 경계 내에서 OS Config API를 호출할 수 있습니다. VPC 서비스 제어 경계 내에서 VM Manager를 사용하려면 VM 관리자를 설정합니다.

VM Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

Workflows는 Google Cloud 서비스와 HTTP 기반 API를 결합하여 사용자가 정의한 순서대로 서비스를 실행할 수 있는 조정 플랫폼입니다.

서비스 경계를 사용하여 Workflows API를 보호하면 Workflow Executions API도 보호됩니다. 경계의 보호되는 서비스 목록에 workflowexecutions.googleapis.com를 별도로 추가할 필요가 없습니다.

Workflows 실행의 HTTP 요청은 다음과 같이 지원됩니다.

• VPC 서비스 제어와 호환되는 Google Cloud 엔드포인트에 대한 인증된 요청이 허용됩니다.
• Cloud Functions 및 Cloud Run 서비스 엔드포인트에 대한 요청이 허용됩니다.
• 타사 엔드포인트 요청은 차단됩니다.
• VPC 서비스 제어와 호환되지 않는 Google Cloud 엔드포인트에 대한 요청은 차단됩니다.

Workflows에 대한 자세한 내용은 제품 문서를 참조하세요.

Workflows와 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

Filestore용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Filestore에 대한 자세한 내용은 제품 문서를 참조하세요.

• 서비스 경계는 Filestore API만 보호합니다. 경계는 동일한 네트워크 내의 Filestore 인스턴스에서 일반 NFS 데이터 액세스를 보호하지 않습니다.

• 공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 Filestore 인스턴스가 올바르게 작동하려면 네트워크를 제공하는 호스트 프로젝트와 Filestore 인스턴스가 포함된 서비스 프로젝트가 동일한 경계 내에 있어야 합니다. 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 기존 인스턴스를 사용할 수 없게 되고 새 인스턴스가 생성되지 않을 수 있습니다.

Container Threat Detection용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Container Threat Detection에 대한 자세한 내용은 제품 문서를 참조하세요.

Container Threat Detection을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Ads Data Hub에 대한 자세한 내용은 제품 문서를 참조하세요.

Traffic Director용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Traffic Director에 대한 자세한 내용은 제품 문서를 참조하세요.

Traffic Director를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

VPC 서비스 제어는 요청의 대상이 프로젝트 수준 리소스인 경우에만 토큰 교환을 제한합니다. 예를 들어 권한이 축소된 토큰의 경우 해당 요청에 대상이 포함되지 않기 때문에 요청이 제한되지 않습니다. 또한 대상은 조직 수준 리소스이므로 직원 ID 제휴에 대한 요청을 제한하지 않습니다.

보안 토큰 서비스에 대한 자세한 내용은 제품 문서를 참조하세요.

보안 토큰 서비스를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com 서비스는 함께 번들로 제공됩니다. 경계에서 firestore.googleapis.com 서비스를 제한하면 경계가 datastore.googleapis.com 및 firestorekeyvisualizer.googleapis.com 서비스도 제한합니다.

datastore.googleapis.com 서비스를 제한하려면 firestore.googleapis.com 서비스 이름을 사용합니다.

가져오기 및 내보내기 작업에 대한 완전한 이그레스 보호를 받으려면 Firestore 서비스 에이전트를 사용해야 합니다. 자세한 내용은 다음을 참조하세요.

• VPC 서비스 제어로 Firestore 가져오기 및 내보내기 작업 보호
• VPC 서비스 제어로 Datastore 가져오기 및 내보내기 작업 보호

Firestore/Datastore에 대한 자세한 내용은 제품 문서를 참조하세요.

Migrate to Virtual Machines용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Migrate to Virtual Machines에 대한 자세한 내용은 제품 문서를 참조하세요.

• Migrate for Virtual Machines를 완벽하게 보호하려면 다음 API를 서비스 경계에 모두 추가합니다.

  • Pub/Sub API(pubsub.googleapis.com)
  • Cloud Storage API(storage.googleapis.com)
  • Cloud Logging API(logging.googleapis.com)
  • Secret Manager API(secretmanager.googleapis.com)
  • Compute Engine API(compute.googleapis.com)

  자세한 내용은 Migrate to Virtual Machines 문서를 참조하세요.

VPC 서비스 제어를 사용하여 backup for GKE를 보호하고 일반적으로 서비스 경계 내에서 backup for GKE 기능을 사용할 수 있습니다.

Backup for GKE에 대한 자세한 내용은 제품 문서를 참조하세요.

Backup for GKE를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Cloud Debugger용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Debugger에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Debugger를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Retail API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Retail API에 대한 자세한 내용은 제품 문서를 참조하세요.

Retail API와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

Application Integration은 핵심 비즈니스 시스템 워크플로를 생성, 보강, 디버그, 이해할 수 있는 공동작업 워크플로 관리 시스템입니다. Application Integration의 워크플로는 트리거와 태스크로 구성됩니다. API 트리거/Pub/Sub 트리거/크론 트리거/sfdc 트리거와 같은 여러 종류의 트리거가 있습니다.

Application Integration에 대한 자세한 내용은 제품 문서를 참조하세요.

Error Reporting용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Error Reporting에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud Workstations용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud Workstations에 대한 자세한 내용은 제품 문서를 참조하세요.

• Cloud Workstations를 완벽하게 보호하려면 Cloud Workstations API를 제한할 때마다 서비스 경계에서 Compute Engine API를 제한해야 합니다.
• Google Cloud Storage API, Google Container Registry API, Artifact Registry API가 서비스 경계에서 VPC에 액세스할 수 있는지 확인합니다. 이렇게 하면 이미지를 워크스테이션으로 가져와야 합니다. 또한 Cloud Workstations을 사용하는 데 필수적인 것은 아니지만, Cloud Logging API 및 Cloud Error Reporting API가 서비스 경계에서 VPC에 액세스할 수 있도록 허용하는 것이 좋습니다.
• 워크스테이션 클러스터가 비공개인지 확인합니다. 비공개 클러스터를 구성하면 VPC 서비스 경계 외부에서 워크스테이션에 연결할 수 없습니다.
• 워크스테이션 구성에서 공개 IP 주소를 사용 중지해야 합니다. 그렇지 않으면 프로젝트에 공개 IP 주소를 사용하는 VM이 생성됩니다. VPC 서비스 경계의 모든 VM에 대해 공개 IP 주소를 사용 중지하기 위해 constraints/compute.vmExternalIpAccess 조직 정책 제약조건을 사용하는 것이 좋습니다. 자세한 내용은 외부 IP 주소를 특정 VM으로 제한을 참조하세요.
• 액세스 제어는 연결하려는 비공개 네트워크가 보안 경계에 속하는지 여부만 기반으로 합니다. 기기, 공개 IP 주소 또는 위치에 기반한 액세스 제어는 지원되지 않습니다.

Cloud IDS용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Cloud IDS에 대한 자세한 내용은 제품 문서를 참조하세요.

Cloud IDS는 Cloud Logging을 사용하여 프로젝트에 위협 로그를 만듭니다. Cloud Logging이 서비스 경계로 제한되는 경우 Cloud IDS가 경계에 제한된 서비스로 추가되지 않더라도 VPC 서비스 제어가 Cloud IDS 위협 로그를 차단합니다. 서비스 경계 내에서 Cloud IDS를 사용하려면 서비스 경계의 Cloud Logging 서비스 계정의 인그레스 규칙을 구성해야 합니다.

BeyondCorp Enterprise에 대한 자세한 내용은 제품 문서를 참조하세요.

VPC 서비스 제어와 BeyondCorp Enterprise 통합에는 알려진 제한사항이 없습니다.

경계를 설정하여 Policy Troubleshooter API를 제한하면 주 구성원은 요청과 관련된 모든 리소스가 동일한 경계 내에 있는 경우에만 IAM 정책 문제를 해결할 수 있습니다. 일반적으로 문제 해결 요청에는 두 가지 리소스가 포함됩니다.

• 액세스 문제를 해결하는 리소스. 이 리소스는 모든 유형이 될 수 있습니다. 허용 정책 문제를 해결할 때 이 리소스를 명시적으로 지정하세요.

• 액세스 문제를 해결하는 데 사용하는 리소스. 이 리소스는 프로젝트, 폴더 또는 조직입니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는 x-goog-user-project 헤더를 사용하여 이 리소스를 지정합니다.

  이 리소스는 액세스 문제를 해결하려는 리소스와 동일할 필요는 없지만 반드시 일치할 필요는 없습니다.

이러한 리소스가 동일한 경계에 있지 않으면 요청이 실패합니다.

정책 문제 해결 도구에 대한 자세한 내용은 제품 문서를 참조하세요.

정책 문제 해결 도구와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

경계를 사용하여 정책 시뮬레이터 API를 제한하는 경우 주 구성원은 시뮬레이션과 관련된 특정 리소스가 동일한 경계에 있는 경우에만 허용 정책을 시뮬레이션할 수 있습니다. 시뮬레이션에는 몇 가지 리소스가 포함되어 있습니다.

• 허용 정책을 시뮬레이션할 리소스입니다. 이 리소스를 대상 리소스라고도 합니다. Google Cloud 콘솔에서 허용 정책을 수정하는 리소스입니다. gcloud CLI 및 REST API에서 허용 정책을 시뮬레이션할 때 이 리소스를 명시적으로 지정합니다.

• 시뮬레이션을 만들고 실행하는 프로젝트, 폴더 또는 조직입니다. 이 리소스를 호스트 리소스라고도 합니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는 x-goog-user-project 헤더를 사용하여 이 리소스를 지정합니다.

  이 리소스는 액세스를 시뮬레이션하는 리소스와 동일할 수 있지만 반드시 그럴 필요는 없습니다.

• 시뮬레이션에 대한 액세스 로그를 제공하는 리소스입니다. 시뮬레이션에는 시뮬레이션에 대한 액세스 로그를 제공하는 리소스가 항상 하나 있습니다. 이 리소스는 대상 리소스 유형에 따라 다릅니다.

  • 프로젝트 또는 조직에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 프로젝트 또는 조직의 액세스 로그를 검색합니다.
  • 다른 유형의 리소스에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 리소스의 상위 프로젝트 또는 조직에 대해 액세스 로그를 검색합니다.
  • 한 번에 리소스 허용 정책 여러 개를 시뮬레이션하는 경우 정책 시뮬레이터는 리소스의 가장 일반적인 프로젝트나 조직의 액세스 로그를 검색합니다.
• 관련 허용 정책이 지원되는 모든 지원되는 리소스. 정책 시뮬레이터가 시뮬레이션을 실행할 때 대상 리소스의 상위 및 하위 리소스에 대한 허용 정책을 포함하여 사용자 액세스에 영향을 줄 수 있는 모든 허용 정책을 고려합니다. 따라서 이러한 상위 리소스와 하위 리소스도 시뮬레이션에 포함됩니다.

대상 리소스와 호스트 리소스가 동일한 경계에 있지 않으면 요청이 실패합니다.

대상 리소스와 시뮬레이션을 위한 액세스 로그를 제공하는 리소스가 동일한 경계에 있지 않으면 요청이 실패합니다.

대상 리소스와 관련 허용 정책이 지원되는 일부 지원되는 리소스가 동일한 경계에 있지 않으면 요청이 성공하지만 결과가 불완전할 수 있습니다. 예를 들어 경계에서 프로젝트에 대한 정책을 시뮬레이션하는 경우 조직은 항상 VPC 서비스 제어 경계 외부에 있으므로 프로젝트의 상위 조직의 허용 정책이 결과에 포함되지 않습니다. 보다 완전한 결과를 얻기 위해 경계에 대한 인그레스 및 이그레스 규칙을 구성할 수 있습니다.

정책 시뮬레이터에 대한 자세한 내용은 제품 문서를 참조하세요.

정책 시뮬레이터를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

필수 연락처용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

필수 연락처에 대한 자세한 내용은 제품 문서를 참조하세요.

필수 연락처와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

Identity Platform용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Identity Platform에 대한 자세한 내용은 제품 문서를 참조하세요.

• Identity Platform을 완벽하게 보호하려면 토큰 새로고침을 허용하도록 Secure Token API(securetoken.googleapis.com)를 서비스 경계에 추가합니다.

• 애플리케이션이 차단 함수 기능과 통합되는 경우 Cloud Functions(cloudfunctions.googleapis.com)를 서비스 경계에 추가합니다.

• SMS 기반 다중 인증(MFA), 이메일 인증 또는 타사 ID 공급업체를 사용하면 경계 외부로 데이터가 전송됩니다. SMS, 이메일 인증 또는 타사 ID 공급업체에 MFA를 사용하지 않는 경우 이 기능을 사용 중지하세요.

Anthos 멀티 클라우드용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Anthos 멀티 클라우드에 대한 자세한 내용은 제품 문서를 참조하세요.

• Identity Platform을 완벽하게 보호하려면 토큰 새로고침을 허용하도록 Secure Token API(securetoken.googleapis.com)를 서비스 경계에 추가합니다.

• 애플리케이션이 차단 함수 기능과 통합되는 경우 Cloud Functions(cloudfunctions.googleapis.com)를 서비스 경계에 추가합니다.

• SMS 기반 다중 인증(MFA), 이메일 인증 또는 타사 ID 공급업체를 사용하면 경계 외부로 데이터가 전송됩니다. SMS, 이메일 인증 또는 타사 ID 공급업체에 MFA를 사용하지 않는 경우 이 기능을 사용 중지하세요.

Anthos On-Prem API는 VPC 서비스 제어로 보호할 수 있으며 API는 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Anthos On-Prem API에 대한 자세한 내용은 제품 문서를 참조하세요.

• Anthos On-Prem API를 완벽하게 보호하려면 다음 API를 모두 서비스 경계에 추가합니다.

  • Cloud Monitoring API(monitoring.googleapis.com)
  • Cloud Logging API(logging.googleapis.com)
  VPC 서비스 제어는 폴더 또는 조직 수준의 Cloud Logging 로그 내보내기로부터 보호되지 않습니다.

Cloud Interconnect 또는 Cloud VPN을 사용하여 VPC에 연결된 환경에서 클러스터를 만들 수 있습니다.

베어메탈용 Anthos에 대한 자세한 내용은 제품 문서를 참조하세요.

• 베어메탈용 Anthos를 사용하여 클러스터를 만드는 경우 Service Usage API(serviceusage.googleapis.com)는 VPC 서비스 제어에서 지원되지 않으므로 --skip-api-check 및 bmctl 플래그를 사용하여 Service Usage API(serviceusage.googleapis.com) 호출을 우회합니다.

• 베어메탈용 Anthos를 보호하려면 베어메탈용 Anthos에서 제한된 VIP를 사용하고 다음 API를 모두 서비스 경계에 추가합니다.

• Artifact Registry API(artifactregistry.googleapis.com)
• Google Cloud Resource Manager API(cloudresourcemanager.googleapis.com)
• Compute Engine API(compute.googleapis.com)
• Connect Gateway API(connectgateway.googleapis.com)
• Google Container Registry API(containerregistry.googleapis.com)
• GKE Connect API(gkeconnect.googleapis.com)
• GKE Hub API(gkehub.googleapis.com)
• GKE On-Prem API(gkeonprem.googleapis.com)
• Cloud IAM API(iam.googleapis.com)
• Cloud Logging API(logging.googleapis.com)
• Cloud Monitoring API(monitoring.googleapis.com)
• Config Monitoring for Ops API(opsconfigmonitoring.googleapis.com)
• Service Control API(servicecontrol.googleapis.com)
• Cloud Storage API(storage.googleapis.com)

On-Demand Scanning API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

On-Demand Scanning API에 대한 자세한 내용은 제품 문서를 참조하세요.

On-Demand Scanning API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Looker(Google Cloud 핵심 서비스)용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

Looker(Google Cloud 핵심 서비스)에 대한 자세한 내용은 제품 문서를 참조하세요.

• 비공개 IP 연결을 사용하는 Looker(Google Cloud 핵심 서비스) 인스턴스의 엔터프라이즈 또는 임베디드 버전은 VPC 서비스 제어 규정 준수를 지원합니다. 공개 IP 연결 또는 공개 및 비공개 IP 연결이 모두 있는 Looker(Google Cloud 핵심 서비스) 인스턴스는 VPC 서비스 제어 규정 준수를 지원하지 않습니다. 비공개 IP 연결을 사용하는 인스턴스를 만들려면 Google Cloud 콘솔의 인스턴스 만들기 페이지의 네트워킹 섹션에서 비공개 IP를 선택합니다.

• Looker(Google Cloud 핵심 서비스)는 VPC당 비공개 IP 연결이 있는 하나의 인스턴스만 지원합니다.

• VPC 서비스 제어 서비스 경계 내에 Looker(Google Cloud 핵심) 인스턴스를 배치하거나 만들 때 services.enableVpcServiceControls 메서드를 호출하거나 다음 gcloud 명령어를 실행하여 인터넷에 대한 기본 경로를 삭제해야 합니다.
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

Public Certificate Authority용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 일반적으로 사용할 수 있습니다.

Public Certificate Authority에 대한 자세한 내용은 제품 문서를 참조하세요.

Public Certificate Authority를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

Dataflow 데이터 파이프라인을 완벽하게 보호하려면 경계에 다음 API를 모두 포함하세요.

• Dataflow API(dataflow.googleapis.com)
• Cloud Scheduler API(cloudscheduler.googleapis.com)
• Container Registry API(containerregistry.googleapis.com)

Dataflow 데이터 파이프라인에 대한 자세한 내용은 제품 문서를 참조하세요.

Dataflow 데이터 파이프라인을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.