Produtos e limitações compatíveis

Esta página contém uma tabela de produtos e serviços compatíveis com o VPC Service Controls e uma lista de limitações conhecidas com determinados serviços e interfaces.

Produtos compatíveis

O VPC Service Controls é compatível com os produtos a seguir:

Produtos compatíveis

AI Platform Prediction

Detalhes

O VPC Service Controls é compatível com a previsão on-line, mas não com a previsão em lote.

Limitações Limitações conhecidas

AI Platform Training

Detalhes

Nenhum

Limitações Limitações conhecidas

AI Platform Notebooks

Detalhes

Nenhum

Limitações Limitações conhecidas

Anthos Service Mesh

Detalhes

Os perímetros do VPC Service Controls só podem proteger a API Cloud Service Mesh Certificate Authority. É possível adicionar um perímetro de serviço para proteger seu namespace de identidade.

Artifact Registry

Detalhes

Além de proteger a API Artifact Registry, ele pode ser usado pelo VPC Service Controls com o GKE e o Compute Engine.

Limitações Limitações conhecidas

AutoML Natural Language

Detalhes

Nenhum

AutoML Tables

Detalhes

Nenhum

AutoML Translation

Detalhes

Nenhum

AutoML Video Intelligence

Detalhes

Nenhum

AutoML Vision

Detalhes

Nenhum

BigQuery

Detalhes

Quando você protege a API BigQuery usando um perímetro de serviço, a API BigQuery Storage também é protegida. Não é preciso adicionar separadamente a API BigQuery Storage à lista de serviços protegidos do seu perímetro.

Limitações Limitações conhecidas

Cloud Bigtable

Detalhes

Nenhum

Autorização binária

Detalhes

Ao usar vários projetos com autorização binária, cada projeto precisa ser incluído no perímetro do VPC Service Controls. Para mais informações sobre esse caso de uso, consulte Configuração de vários projetos.

Com a autorização binária, é possível usar o Container Analysis para armazenar atestadores e atestados como observações e ocorrências, respectivamente. Nesse caso, você também precisa incluir o Container Analysis no perímetro do VPC Service Controls. Consulte Orientação do VPC Service Controls para Container Analysis para mais detalhes.

Data Catalog

Detalhes O Data Catalog usa os perímetros automaticamente em outros serviços do Google Cloud.

Cloud Data Fusion

Detalhes

O Cloud Data Fusion requer algumas etapas especiais para a proteção com VPC Service Controls.

Limitações Limitações conhecidas

Compute Engine

Detalhes

O suporte do VPC Service Controls para o Compute Engine permite que você utilize redes virtuais de nuvem privada e clusters particulares do Google Kubernetes Engine dentro de perímetros de serviço.

Limitações Limitações conhecidas

Dataflow

Detalhes

O Dataflow é compatível com vários conectores de serviço de armazenamento (em inglês). Os seguintes conectores foram verificados para funcionar com o Dataflow dentro de um perímetro de serviço:

Limitações Limitações conhecidas

Dataproc

Detalhes

O Cloud Dataproc requer algumas etapas especiais para proteção com o VPC Service Controls.

Limitações Limitações conhecidas

Cloud Data Loss Prevention

Detalhes

Nenhum

Cloud Functions

Detalhes

Consulte a documentação do Cloud Functions para ver as etapas de configuração. A proteção do VPC Service Controls não se aplica à fase de criação quando o Cloud Functions é criado usando o Cloud Build. A proteção do VPC Service Controls é aplicável a todos os gatilhos de função, exceto os gatilhos do Firebase Realtime Database e do Firebase Crashlytics. Para mais detalhes, consulte as limitações conhecidas.

Limitações Limitações conhecidas

Cloud Key Management Service

Detalhes

Nenhum

Game Servers

Detalhes

Nenhum

Serviço gerenciado para Microsoft Active Directory

Detalhes

Configuração extra necessária para:

Secret Manager

Detalhes

Nenhum

Pub/Sub

Detalhes

A proteção do VPC Service Controls se aplica a todas as operações de assinante, exceto às assinaturas de push atuais.

Limitações Limitações conhecidas

Cloud Composer

Detalhes Como configurar o Composer no VPC SC
Limitações Limitações conhecidas

Cloud Spanner

Detalhes

Nenhum

Cloud Storage

Detalhes

Nenhum

Limitações Limitações conhecidas

Cloud SQL

Detalhes

Os perímetros do VPC Service Controls protegem a API Cloud SQL Admin.

Limitações Limitações conhecidas

API Video Intelligence

Detalhes

Nenhum

API Cloud Vision

Detalhes

Nenhum

Container Analysis

Detalhes

Para usar o Container Analysis com o VPC Service Controls, talvez seja necessário adicionar outros serviços ao perímetro do VPC:

Não é necessário adicionar a API Container Scanning ao seu perímetro de serviço porque ela é uma API sem superfície que armazena os resultados no Container Analysis.

Container Registry

Detalhes

Além de proteger a API Container Registry, o Container Registry pode ser usado pelo VPC Service Controls com o GKE e o Compute Engine.

Limitações Limitações conhecidas

Google Kubernetes Engine

Detalhes

Nenhum

Resource Manager

Detalhes

Nenhum

Limitações Limitações conhecidas

Cloud Logging

Detalhes

O VPC Service Controls protege a maioria dos tipos de registros, mas ainda não oferece suporte a recursos de pasta e organização. Por isso, os registros no nível de pasta e de organização não são protegidos por ele. Para mais informações, consulte as limitações de serviço conhecidas.

Limitações Limitações conhecidas

Cloud Monitoring

Detalhes

Nenhum

Limitações Limitações conhecidas

Cloud Profiler

Detalhes

Nenhum

Cloud Trace

Detalhes

Nenhum

Cloud TPU

Detalhes

Nenhum

API Natural Language

Detalhes

Nenhum

API Cloud Asset

Detalhes

Como o VPC Service Controls ainda não é compatível com recursos de pasta e organização, o acesso aos recursos por meio da API Cloud Asset no nível da pasta ou organização não é protegido pelo VPC Service Controls. Para mais informações, consulte as limitações de serviço conhecidas.

Limitações Limitações conhecidas

Conversão de voz em texto

Detalhes

Nenhum

Conversão de texto em voz

Detalhes

Nenhum

Tradução

Detalhes

Nenhum

Aprovação de acesso

Detalhes

Nenhum

API Cloud Healthcare

Detalhes

Nenhum

Serviço de transferência do Cloud Storage

Detalhes

Recomendamos colocar o projeto STS no mesmo perímetro do VPC Service Controls que os recursos do Cloud Storage. Isso protege a transferência e os recursos do Cloud Storage. O Serviço de transferência do Cloud Storage também aceita cenários em que o projeto dele não esteja no mesmo perímetro dos buckets do Cloud Storage, usando uma ponte do perímetro ou níveis de acesso.

Para informações de configuração, consulte Como usar o Cloud Storage com o VPC Service Controls

Serviço de transferência de dados locais Durante a versão Beta, o Serviço de transferência de dados locais (transferência para o local) é compatível apenas com o VPC Service Controls para payloads de transferência. Isso inclui cenários em que a transferência de agentes locais é adicionada a um nível de acesso que permite acessar recursos no perímetro, ou quando a transferência para os agentes locais estão em um perímetro compartilhado com buckets de destino do Cloud Storage e jobs do Serviço de transferência de dados locais. Para mais informações, consulte Exemplo de rede local.

Os metadados do arquivo, como nomes de objetos, não têm permanência garantida dentro do perímetro. Para mais informações, consulte VPC Service Controls e metadados.

Para informações de configuração, consulte Como usar a transferência para o local com o VPC Service Controls.

Limitações Limitações conhecidas

Service Control

Detalhes

Nenhum

Limitações Limitações conhecidas

Memorystore for Redis

Detalhes

Nenhum

Limitações Limitações conhecidas

Diretório de serviços

Detalhes

Nenhum

Para mais informações, leia sobre serviços compatíveis e incompatíveis.

APIs e perímetros de serviço

Nem todos os produtos compatíveis com o VPC Service Controls têm um serviço passível de proteção por um perímetro de serviço. Somente as seguintes APIs podem ser protegidas com um perímetro:

APIs e endereços de serviço
API Access Approval accessapproval.googleapis.com
API AI Platform Training e Prediction ml.googleapis.com
API Artifact Registry artifactregistry.googleapis.com
API AutoML automl.googleapis.com
eu-automl.googleapis.com
API BigQuery bigquery.googleapis.com
API Cloud Bigtable bigtable.googleapis.com
API Binary Authorization binaryauthorization.googleapis.com
API Cloud Asset Inventory cloudasset.googleapis.com
API Data Catalog datacatalog.googleapis.com
API Cloud Data Fusion datafusion.googleapis.com
API Cloud Composer composer.googleapis.com
API Dataflow dataflow.googleapis.com
Dataproc API dataproc.googleapis.com
API Cloud Data Loss Prevention dlp.googleapis.com
API Cloud Functions cloudfunctions.googleapis.com
API Game Servers gameservices.googleapis.com
API Cloud Key Management Service cloudkms.googleapis.com
API Secret Manager secretmanager.googleapis.com
API Cloud Natural Language language.googleapis.com
API Managed Service para Microsoft Active Directory managedidentities.googleapis.com
API Pub/Sub pubsub.googleapis.com
API Cloud Service Mesh Certificate Authority meshca.googleapis.com
API Cloud Spanner spanner.googleapis.com
API Cloud Storage storage.googleapis.com
API Storage Transfer Service storagetransfer.googleapis.com
API Cloud SQL sqladmin.googleapis.com
API Cloud Vision vision.googleapis.com
API Container Analysis containeranalysis.googleapis.com
API Container Registry containerregistry.googleapis.com
API Google Kubernetes Engine container.googleapis.com
API GKE Connect gkeconnect.googleapis.com
API GKE Hub gkehub.googleapis.com
API Resource Manager cloudresourcemanager.googleapis.com
API Cloud Logging logging.googleapis.com
API Memorystore for Redis redis.googleapis.com
API Cloud Monitoring monitoring.googleapis.com
API Cloud Profiler profiler.googleapis.com
API Speech-to-Text speech.googleapis.com
API Text-to-Speech texttospeech.googleapis.com
API Cloud Translation translate.googleapis.com
API Cloud Trace cloudtrace.googleapis.com
API Cloud TPU tpu.googleapis.com
API Video Intelligence videointelligence.googleapis.com
API Cloud Healthcare healthcare.googleapis.com
Service Control servicecontrol.googleapis.com
Diretório de serviços servicedirectory.googleapis.com

Serviços VIP restritos compatíveis

O IP virtual restrito (VIP, na sigla em inglês) fornece uma maneira para as VMs que estão dentro de um perímetro de serviço fazer chamadas para os serviços do Google Cloud sem expor as solicitações à Internet. Para ver uma lista completa dos serviços disponíveis no VIP restrito, consulte Serviços compatíveis com o VIP restrito.

Serviços incompatíveis

A tentativa de restringir um serviço incompatível usando a ferramenta de linha de comando gcloud ou a API Access Context Manager gera erro.

O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

Limitações conhecidas

Nesta seção, descrevemos as limitações conhecidas para determinados serviços, produtos e interfaces do Google Cloud que podem ser encontradas ao usar o VPC Service Controls.

Para mais informações sobre como resolver problemas com o VPC Service Controls, consulte a página Solução de problemas.

AI Platform Prediction

  • Para proteger totalmente o AI Platform Prediction, adicione todas as APIs a seguir ao perímetro de serviço:

    • API AI Platform Training e Prediction (ml.googleapis.com)
    • API Pub/Sub (pubsub.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Google Kubernetes Engine (container.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)
    • API Cloud Logging (logging.googleapis.com)

    Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.

  • A previsão em lote não é compatível com o AI Platform Prediction dentro de um perímetro de serviço.

  • O AI Platform Prediction e o AI Platform Training usam a API AI Platform Training e a API Prediction. Por isso, é necessário configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.

AI Platform Training

  • Para proteger totalmente os jobs de treinamento do AI Platform Training, adicione todas as APIs a seguir ao perímetro de serviço:

    • API AI Platform Training e Prediction (ml.googleapis.com)
    • API Pub/Sub (pubsub.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Google Kubernetes Engine (container.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)
    • API Cloud Logging (logging.googleapis.com)

    Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.

  • O treinamento com TPUs não é compatível quando você usa o AI Platform Training dentro de um perímetro de serviço.

  • O AI Platform Training e o AI Platform Prediction usam a API AI Platform Training e a API Prediction. Portanto, você precisa configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.

AI Platform Notebooks

  • Para usar os AI Platform Notebooks em um perímetro de serviço do VPC Service Controls, é preciso adicionar ou configurar várias entradas DNS que apontem os seguintes domínios para o VIP restrito:

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

App Engine

  • O App Engine (ambientes padrão e flexível) não é compatível com o VPC Service Controls. Não inclua projetos do App Engine em perímetros de serviço.

    No entanto, é possível permitir que aplicativos do App Engine criados em projetos fora dos perímetros de serviço leiam e gravem dados em serviços protegidos dentro de perímetros. Para permitir que seu app acesse dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do App Engine do projeto. Isso não permite que o App Engine seja usado dentro de perímetros de serviço.

Artifact Registry

Como o domínio googleapis.com não está sendo usado, o Artifact Registry precisa ser configurado, por DNS particular ou BIND, para ser mapeado para o VIP restrito separadamente de outras APIs. Para mais informações, consulte Como proteger repositórios em um perímetro de serviço.

BigQuery

  • O VPC Service Controls não é compatível com a cópia de recursos do BigQuery protegidos por um perímetro de serviço para outra organização. Os níveis de acesso não permitem a cópia entre organizações.

    Para copiar recursos protegidos do BigQuery para outra organização, faça o download do conjunto de dados (por exemplo, como um arquivo CSV) e faça upload desse arquivo para a outra organização.

  • O serviço de transferência de dados do BigQuery é compatível com os serviços a seguir:

    Apps de software como serviço (SaaS, na sigla em inglês) do Google Provedores de armazenamento em nuvem externos Armazenamento de dados Além disso, várias transferências de terceiros estão disponíveis no Google Cloud Marketplace.
  • A IU da Web Clássica do BigQuery não é compatível. Uma instância do BigQuery protegida por um perímetro de serviço não pode ser acessada com a IU da Web Clássica do BigQuery.

  • Os registros de auditoria do BigQuery nem sempre incluem todos os recursos que foram usados quando uma solicitação é feita, devido ao serviço que processa internamente o acesso a vários recursos.

  • Quando você usa uma conta de serviço para acessar uma instância do BigQuery protegida por um perímetro de serviço, o job do BigQuery precisa ser executado em um projeto dentro do perímetro. Por padrão, as bibliotecas de cliente do BigQuery executam jobs na conta de serviço ou no projeto do usuário, fazendo com que a consulta seja rejeitada pelo VPC Service Controls.

Bibliotecas de cliente

  • As bibliotecas de cliente Java e Python para todos os serviços compatíveis têm permissão total de acesso usando o VIP restrito. O suporte para outras linguagens está na fase Alfa e deve ser usado apenas para fins de teste.

  • Os clientes precisam usar bibliotecas de cliente que foram atualizadas a partir de 1º de novembro de 2018.

  • As chaves da conta de serviço ou os metadados do cliente OAuth2 usados pelos clientes precisam ser atualizados a partir de 1º de novembro de 2018. Os clientes mais antigos que usam o endpoint de token precisam mudar para o endpoint especificado nos metadados de material/cliente de chave mais recentes.

Cloud Billing

Cloud Build

  • O Cloud Build não é compatível com o VPC Service Controls. Não use o Cloud Build dentro de perímetros de serviço.

    No entanto, é possível permitir que o Cloud Build, em projetos fora de perímetros de serviço, leia e grave dados em serviços protegidos dentro de perímetros. Para permitir que o Cloud Build acesse os dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do Cloud Build do projeto. Isso não permite que o Cloud Build seja usado dentro de perímetros de serviço.

Cloud Composer

  • A ativação da serialização do DAG impede que o Airflow exiba um modelo renderizado com funções na IU da Web.

  • A definição da sinalização async_dagbag_loader como True não é compatível enquanto a serialização do DAG está ativada.

  • A ativação da serialização do DAG desativa todos os plug-ins do servidor da Web do Airflow porque eles podem arriscar a segurança da rede VPC em que o Cloud Composer está implantado. Isso não afeta o comportamento dos plug-ins do programador ou do worker, incluindo os operadores e sensores do Airflow.

  • Quando o Cloud Composer está sendo executado em um perímetro, o acesso a repositórios PyPI públicos é restrito. Na documentação do Cloud Composer, consulte Como instalar dependências do Python para saber como instalar os módulos do PyPi no modo de IP particular.

Cloud Data Fusion

  • Estabeleça o perímetro de segurança do VPC Service Controls antes de criar a instância particular do Cloud Data Fusion. A proteção de perímetro para instâncias criadas antes da configuração do VPC Service Controls não é compatível.

  • Atualmente, a IU do plano de dados do Cloud Data Fusion não é compatível com a especificação de níveis de acesso usando o acesso baseado em identidade.

Para mais informações, consulte Como usar o VPC Service Controls com o Cloud Data Fusion.

Dataflow

  • O BIND personalizado não é compatível com o Dataflow. Para personalizar a resolução de DNS ao usar o Dataflow com o VPC Service Controls, use as zonas particulares do Cloud DNS em vez de usar servidores BIND personalizados. Para usar sua própria resolução de DNS local, use um método de encaminhamento de DNS do Google Cloud.
  • Nem todos os conectores do serviço de armazenamento foram verificados quanto ao funcionamento quando usados com o Dataflow dentro de um perímetro de serviço. Para uma lista de conectores verificados, consulte os Detalhes do Dataflow.

  • Ao usar o Python 3.5 com o SDK do Apache Beam 2.20.0‐2.22.0, os jobs do Dataflow falharão na inicialização se os workers tiverem apenas endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos. Se os workers do Dataflow só puderem ter endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos, não use o Python 3.5 com o SDK do Apache Beam 2.20.0-2.22.0. Essa combinação faz com que os jobs falhem na inicialização.

Dataproc

  • Para proteger um cluster do Dataproc com um perímetro de serviço, siga as instruções para configurar a conectividade particular para permitir que o cluster funcione dentro do perímetro.

Cloud Functions

  • O Cloud Functions usa o Cloud Build para criar seu código-fonte em um contêiner executável. Para usar o Cloud Functions dentro de um perímetro de serviço, é preciso configurar um nível de acesso para a conta de serviço do Cloud Build no perímetro de serviço.

  • Para permitir que suas funções usem dependências externas, como pacotes npm, o Cloud Build tem acesso ilimitado à Internet. Esse acesso à Internet pode ser usado para exfiltrar dados disponíveis no momento da criação, como o código-fonte enviado por upload. Se você quiser reduzir esse vetor de exfiltração, recomendamos permitir que apenas desenvolvedores confiáveis implantem funções. Não conceda os papéis do IAM Proprietário, Editor ou Desenvolvedor do Cloud Functions a desenvolvedores não confiáveis.

  • Para gatilhos do Firebase Realtime Database e do Firebase Crashlytics, um usuário pode implantar uma função que pode ser desencadeada por alterações em um Firebase Realtime Database ou Firebase Crashlytics em outro projeto fora do perímetro de serviço do projeto em que a função está implantada. Se você quiser reduzir o vetor de exfiltração desses dois gatilhos, recomendamos permitir que apenas desenvolvedores confiáveis implantem funções. Não conceda os papéis do IAM Proprietário, Editor ou Desenvolvedor do Cloud Functions a desenvolvedores não confiáveis.

Pub/Sub

  • Em projetos protegidos por um perímetro de serviço, não é possível criar novas assinaturas de push.
  • Assinaturas de push do Pub/Sub criadas antes do perímetro de serviço não serão bloqueadas.

Cloud Shell

  • O Cloud Shell não é compatível. Ele é considerado fora dos perímetros de serviço e com acesso negado aos dados protegidos pelo VPC Service Controls.

Cloud Storage

  • Ao usar o recurso Pagamentos do solicitante em um bucket de armazenamento dentro de um perímetro de serviço que protege o serviço do Cloud Storage, não é possível identificar um projeto para pagar fora do perímetro. O projeto de destino precisa estar no mesmo perímetro do bucket de armazenamento ou em uma ponte do perímetro com o projeto do bucket.

    Para mais informações sobre Pagamentos do solicitante, consulte os requisitos de uso e acesso de Pagamentos do solicitante.

  • Para projetos em um perímetro de serviço, a página do Cloud Storage no Console do Cloud não ficará acessível se a API Cloud Storage estiver protegida por esse perímetro. Se você quiser conceder acesso à página, crie um nível de acesso que inclua as contas de usuário ou um intervalo de IPs públicos ao qual você quer permitir o acesso à API Cloud Storage.

  • Nos registros de auditoria, o campo resourceName não identifica o projeto a que o bucket pertence. O projeto precisa ser descoberto separadamente.

  • Nos registros de auditoria, o valor de methodName nem sempre está correto. Recomendamos não filtrar registros de auditoria do Cloud Storage por methodName.

  • Em certos casos, os registros de intervalos legados do Cloud Storage podem ser gravados em destinos fora de um perímetro de serviço, mesmo quando o acesso é negado.

  • Quando você tenta usar gsutil pela primeira vez em um novo projeto, pode ser solicitado a ativar o serviço storage-api.googleapis.com. Embora não seja possível proteger storage-api.googleapis.com diretamente, quando você protege a API Cloud Storage usando um perímetro de serviço, as operações de gsutil também são protegidas.

Compute Engine

  • No momento, não é possível proteger a API Compute Engine usando um perímetro de serviço.

  • Para permitir a criação de uma imagem do Compute Engine de um Cloud Storage em um projeto protegido por um perímetro de serviço, o usuário que está criando a imagem deve ser adicionado temporariamente a um nível de acesso do perímetro.

  • O uso do Kubernetes com o Compute Engine dentro de um perímetro de serviço não é compatível com o VPC Service Controls.

Container Registry

  • Como o domínio googleapis.com não está sendo usado, o Container Registry precisa ser configurado, por DNS particular ou BIND, para ser mapeado para o VIP restrito separadamente de outras APIs. Para mais informações, consulte Como proteger o Container Registry em um perímetro de serviço.

  • Além dos contêineres dentro de um perímetro que estão disponíveis para o Container Registry, os seguintes repositórios somente leitura gerenciados pelo Google estão disponíveis a todos os projetos, seja qual for o perímetro de serviço:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    Em todos os casos, as versões regionais desses repositórios também estão disponíveis.

Console do Google Cloud

  • Como o Console do Cloud só pode ser acessado pela Internet, ele é tratado como recurso externo aos perímetros de serviço. Quando você aplica um perímetro de serviço, a interface do Console do Cloud dos serviços protegidos pode ficar parcial ou totalmente inacessível. Por exemplo, se você protegeu o Logging com o perímetro, não será possível acessar a interface dele no Console do Cloud.

    Para permitir o acesso do Console do Cloud a recursos protegidos por um perímetro, você precisa criar um nível de acesso para um intervalo de IPs públicos que inclua as máquinas dos usuários que querem usar o Console do Cloud com APIs protegidas. Por exemplo, adicione o intervalo de IPs públicos do gateway NAT de sua rede particular a um nível de acesso e, em seguida, atribua esse nível de acesso ao perímetro de serviço.

    Se você quiser limitar o acesso do Console do Cloud ao perímetro a apenas um conjunto específico de usuários, também é possível adicioná-los a um nível de acesso. Nesse caso, somente os usuários especificados poderão acessar o Console do Cloud.

Resource Manager

Cloud Logging

  • Os coletores de exportação agregados (coletores de pastas ou organizações em que includeChildren é true) podem acessar dados de projetos dentro de um perímetro de serviço. Recomendamos que o IAM seja usado para gerenciar as permissões do Logging no nível da pasta e da organização.

  • Como o VPC Service Controls atualmente não é compatível com recursos de pasta e organização, as exportações de registros nesses níveis (incluindo registros agregados) não são compatíveis com perímetros de serviço. Recomendamos que o IAM seja usado para restringir exportações às contas de serviço necessárias para interagir com os serviços protegidos por perímetro.

  • Para configurar uma exportação de registros de organização ou pasta para um recurso protegido por um perímetro de serviço, é preciso adicionar a conta de serviço desse coletor de registros a um nível de acesso e, em seguida, atribuí-la ao perímetro de serviço de destino. Isso não é necessário a exportações de registros para envolvidos no projeto.

    Para mais informações, consulte as páginas a seguir:

Memorystore for Redis

  • Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Redis dentro da mesma rede.

  • Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Redis só poderão ler e gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da instância do Memorystore for Redis.

Cloud Monitoring

  • Canais de notificação, políticas de alertas e métricas personalizadas podem ser usados juntos para exfiltrar dados/metadados. A partir de hoje, um usuário do Monitoring pode configurar um canal de notificação que aponta para uma entidade fora da organização, por exemplo, "baduser@badcompany.com". Em seguida, o usuário configura métricas personalizadas e políticas de alertas correspondentes que utilizam o canal de notificação. Consequentemente, ao manipular as métricas personalizadas, o usuário pode acionar alertas e enviar notificações de disparo de alertas, exfiltrando dados confidenciais para baduser@badcompany.com, fora do perímetro do VPC Service Controls.

  • O Monitoring no Console do Google Cloud é compatível com o VPC Service Controls, mas o VPC Service Controls não é totalmente compatível com o console clássico do Cloud Monitoring.

  • As VMs do Compute Engine ou da AWS equipadas com o Agente do Monitoring precisam estar dentro do perímetro do VPC Service Controls, senão as gravações de métricas de agente falharão.

  • Todos os pods do GKE precisam estar dentro do perímetro do VPC Service Controls, senão o GKE Monitoring não funcionará.

  • Nas consultas de métricas de um espaço de trabalho, apenas o perímetro do VPC Service Controls do projeto host do espaço de trabalho é considerado, não os perímetros dos projetos monitorados individuais no espaço de trabalho.

  • Só é possível adicionar um projeto como monitorado a um espaço de trabalho atual se ele estiver no mesmo perímetro do VPC Service Controls que o projeto host.

  • Para acessar o Monitoring no Console do Cloud para um projeto host protegido por um perímetro de serviço, use níveis de acesso.

API Cloud Asset

  • Na chamada à API Cloud Asset no nível de pasta ou organização, ainda é possível acessar os dados de projetos dentro de um perímetro de serviço que pertençam à pasta ou à organização. Recomendamos usar o IAM para gerenciar as permissões do Inventário de recursos do Cloud nos níveis da pasta e organização.

Cloud SQL

  • Os perímetros de serviço protegem apenas a API Cloud SQL Admin. Eles não protegem o acesso a dados com base em IP nas instâncias do Cloud SQL. Você precisa usar uma restrição de política da organização para restringir o acesso ao IP público nas instâncias do Cloud SQL.

  • As importações e exportações do Cloud SQL só podem executar leituras e gravações de um bucket do Cloud Storage no mesmo perímetro de serviço da instância de réplica do Cloud SQL. No fluxo de migração do servidor externo, você precisa adicionar o bucket do Cloud Storage ao mesmo perímetro de serviço. Ao criar um fluxo de chave para a CMEK, você precisa criar a chave no mesmo perímetro de serviço que os recursos que a utilizam. Observação: na restauração de uma instância de um backup, a instância de destino precisa residir no mesmo perímetro de serviço que o backup.

Serviço de transferência do Cloud Storage

  • O serviço de transferência de dados locais não oferece uma API e, portanto, não é compatível com recursos relacionados à API no VPC Service Controls.

Service Control

  • Quando você chama a API Service Control de uma rede VPC em um perímetro de serviço com o Service Control restrito, não é possível usar o método Relatório do Service Control para gerar relatórios de métricas de faturamento e análises.