|
Status
|
GA
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudsearch.googleapis.com
|
Detalhes
|
O Google Cloud Search é compatível com os controles de segurança da nuvem privada virtual (VPC-SC, na sigla em inglês) para aumentar
a segurança dos dados. Os VPC-SC permitem definir um perímetro de segurança em torno dos recursos do Google
Cloud Platform para restringir dados e ajudar a reduzir os riscos de exfiltração de dados.
Para mais informações sobre o Google Cloud Search, consulte a
documentação do produto.
|
Limitações
|
Como os recursos do Cloud Search não são armazenados em um projeto do Google Cloud, é necessário atualizar as
configurações do cliente do Cloud Search com o projeto protegido do perímetro VPC. O projeto de VPC
atua como um contêiner de projeto virtual para todos os seus recursos do Cloud Search.
Sem criar esse mapeamento, o VPC Service Controls não funcionará para a API Cloud Search.
Para ver todas as etapas de ativação do VPC Service Controls com o Google Cloud Search, consulte
Aumentar a segurança do Google Cloud Search.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
networkmanagement.googleapis.com
|
Detalhes
|
A API do Testes de conectividade pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Testes de conectividade, consulte a documentação do produto.
|
Limitações
|
A integração do Testes de conectividade com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
ml.googleapis.com
|
Detalhes
|
O VPC Service Controls é compatível com a previsão on-line, mas não com a previsão em lote.
Para mais informações sobre o AI Platform Prediction, consulte a
documentação do produto.
|
Limitações
|
Para proteger totalmente o AI Platform Prediction, adicione todas as APIs a seguir ao
perímetro de serviço:
- API AI Platform Training and Prediction (
ml.googleapis.com )
- API Pub/Sub (
pubsub.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Google Kubernetes Engine (
container.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
Leia mais sobre como configurar o VPC Service Controls para
o AI Platform Prediction.
A previsão em lote não é compatível
com o AI Platform Prediction dentro de um perímetro de serviço.
O AI Platform Prediction e o AI Platform Training usam a
API AI Platform Training and Prediction. Por isso, é necessário configurar o VPC Service Controls para
os dois produtos. Leia mais sobre como configurar o VPC Service Controls
para o AI Platform Training.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
ml.googleapis.com
|
Detalhes
|
A API do AI Platform Training pode ser protegida pelo VPC Service Controls, e o produto pode ser usado
normalmente dentro de perímetros de serviço.
Para mais informações sobre o AI Platform Training, consulte a
documentação do produto.
|
Limitações
|
Para proteger totalmente os jobs de treinamento do AI Platform Training, adicione todas as
APIs a seguir ao perímetro de serviço:
- API AI Platform Training and Prediction (
ml.googleapis.com )
- API Pub/Sub (
pubsub.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Google Kubernetes Engine (
container.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
Leia mais sobre como configurar o VPC Service Controls
para o AI Platform Training.
O treinamento com TPUs não é compatível
quando você usa o AI Platform Training dentro de um perímetro de serviço.
O AI Platform Training e o AI Platform Prediction usam a
API AI Platform Training and Prediction. Por isso, é necessário configurar o VPC Service Controls para
os dois produtos. Leia mais sobre como configurar o VPC Service Controls para
o AI Platform Prediction.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
alloydb.googleapis.com
|
Detalhes
|
Os perímetros do VPC Service Controls protegem a API AlloyDB.
Para mais informações sobre o AlloyDB para PostgreSQL, consulte a
documentação do produto.
|
Limitações
|
- Antes de configurar o VPC Service Controls do AlloyDB para PostgreSQL, ative a API Service
Networking.
- Quando você usa o AlloyDB para PostgreSQL com VPC compartilhada e VPC Service Controls, o projeto
host e o projeto de serviço precisam estar no mesmo perímetro de serviço do VPC Service Controls.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
notebooks.googleapis.com
|
Detalhes
|
A API do Vertex AI Workbech pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Vertex AI Workbench, consulte a documentação do produto.
|
Limitações
|
Para usar o Vertex AI Workbench
em um perímetro de serviço
do VPC Service Controls, é preciso
adicionar
ou configurar várias entradas DNS
a fim de apontar para os seguintes domínios para o VIP restrito:
*.accounts.google.com
*.accounts.youtube.com
*.googleusercontent.com
*.kernels.googleusercontent.com
*.gstatic.com
*.notebooks.cloud.google.com
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Vertex AI Workbench.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
aiplatform.googleapis.com
|
Detalhes
|
A API da Vertex AI pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Vertex AI, consulte a documentação do produto.
|
Limitações
|
Para mais informações sobre limitações, consulte limitações na documentação da Vertex AI.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
visionai.googleapis.com
|
Detalhes
|
A API do Vertex AI Vision pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Vertex AI Vision, consulte a
documentação do produto.
|
Limitações
|
Quando constraints/visionai.disablePublicEndpoint está
ativado, desativamos o endpoint público do cluster. Os usuários precisam se conectar manualmente ao destino do PSC
e acessar o serviço da rede particular. Confira o destino do PSC no
recurso
cluster .
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
apigee.googleapis.com, apigeeconnect.googleapis.com
|
Detalhes
|
A API para Apigee híbrida e a Apigee pode ser protegida pelo VPC Service Controls, e o produto pode ser usado
normalmente dentro de perímetros de serviço.
Para mais informações sobre Apigee e Apigee híbrida, consulte a
documentação do produto.
|
Limitações
|
As integrações da Apigee com VPC Service Controls têm as seguintes limitações:
- Os portais integrados exigem medidas adicionais para serem configuradas.
- É necessário implantar os portais do Drupal dentro do perímetro de serviço.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
analyticshub.googleapis.com
|
Detalhes
|
O VPC Service Controls protege
as listagens de dados e as
listagens. Para proteger
conjunto de dados
vinculados e
compartilhados com um perímetro de serviço, use a
API BigQuery. Para mais
informações, consulte
Regras do VPC Service Controls
do Analytics Hub.
Para mais informações sobre o Analytics Hub, consulte a
documentação do produto.
|
Limitações
|
A integração do Analytics Hub com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
meshca.googleapis.com, meshconfig.googleapis.com
|
Detalhes
|
A API do Anthos Service Mesh pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
É possível usar mesh.googleapis.com para ativar as APIs necessárias para o Anthos Service Mesh.
Não é necessário restringir a mesh.googleapis.com no perímetro, porque ela não expõe APIs.
Para mais informações sobre o Anthos Service Mesh, consulte a
documentação do produto.
|
Limitações
|
No momento, os perímetros de serviço não são compatíveis com o plano de controle gerenciado do Anthos Service Mesh.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
artifactregistry.googleapis.com
|
Detalhes
|
Além de proteger a API Artifact Registry,
o Artifact Registry pode ser usado dentro de perímetros de serviço
com o GKE e o Compute Engine.
Para mais informações sobre o Artifact Registry, consulte a
documentação do produto.
|
Limitações
|
- Como o Artifact Registry usa o domínio
pkg.dev ,
configure o DNS
para que *.pkg.dev mapeie para private.googleapis.com ou restricted.googleapis.com .
Para mais informações, consulte
Proteger repositórios em um perímetro de serviço.
Além dos artefatos dentro de um perímetro que estão disponíveis para o Artifact Registry, os seguintes repositórios do Container Registry gerenciados somente pelo Google estão disponíveis para todos os projetos, independentemente dos perímetros de serviço:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Em todos os casos, as versões regionais desses repositórios também estão
disponíveis.
As imagens em cache em mirror.gcr.io estarão disponíveis somente se o Container Registry também estiver no perímetro.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
assuredworkloads.googleapis.com
|
Detalhes
|
A API do Assured Workloads pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Assured Workloads, consulte a
documentação do produto.
|
Limitações
|
A integração do Assured Workloads com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
automl.googleapis.com, eu-automl.googleapis.com
|
Detalhes
|
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Para mais informações sobre o AutoML Natural Language, consulte a
documentação do produto.
|
Limitações
|
- Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
- Não é possível adicionar os endpoints regionais compatíveis,
como
eu-automl.googleapis.com , à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com , o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com .
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
automl.googleapis.com, eu-automl.googleapis.com
|
Detalhes
|
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Para mais informações sobre o AutoML Tables, consulte a
documentação do produto.
|
Limitações
|
- Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
- Não é possível adicionar os endpoints regionais compatíveis,
como
eu-automl.googleapis.com , à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com , o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com .
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
automl.googleapis.com, eu-automl.googleapis.com
|
Detalhes
|
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Para mais informações sobre o AutoML Translation, consulte a
documentação do produto.
|
Limitações
|
- Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
- Não é possível adicionar os endpoints regionais compatíveis,
como
eu-automl.googleapis.com , à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com , o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com .
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
automl.googleapis.com, eu-automl.googleapis.com
|
Detalhes
|
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Para mais informações sobre o AutoML Video Intelligence, consulte a
documentação do produto.
|
Limitações
|
- Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
- Não é possível adicionar os endpoints regionais compatíveis,
como
eu-automl.googleapis.com , à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com , o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com .
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
automl.googleapis.com, eu-automl.googleapis.com
|
Detalhes
|
Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:
- API AutoML (
automl.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API BigQuery (
bigquery.googleapis.com )
Para mais informações sobre o AutoML Vision, consulte a
documentação do produto.
|
Limitações
|
- Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo nome do
serviço.
- Não é possível adicionar os endpoints regionais compatíveis,
como
eu-automl.googleapis.com , à lista de serviços restritos em um perímetro.
Com a proteção do serviço automl.googleapis.com , o perímetro também protege os endpoints regionais
compatíveis, como eu-automl.googleapis.com .
Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Não. A API da Solução Bare Metal não pode ser protegida por perímetros de serviço.
No entanto, a Solução Bare Metal pode ser usada normalmente em projetos dentro de um perímetro.
|
Detalhes
|
A API da Solução Bare Metal pode ser adicionada a um perímetro seguro. No entanto, os
perímetros do VPC Service Controls não se estendem ao ambiente da Solução Bare Metal
nas extensões regionais.
Para mais informações sobre a Solução Bare Metal, consulte a
documentação do produto.
|
Limitações
|
A Solução Bare Metal não é compatível com o VPC Service Controls. Ao conectar uma VPC com controles
de serviço ativados no ambiente da Solução Bare Metal, você não mantém nenhuma garantia de
controle de serviço.
Para mais informações sobre a limitação da Solução Bare Metal em relação ao VPC Service Controls, consulte
Limitações
e problemas conhecidos.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
batch.googleapis.com
|
Detalhes
|
A API do Batch pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Batch, consulte a
documentação do produto.
|
Limitações
|
Para proteger totalmente o Batch, você precisa incluir as seguintes APIs no
perímetro:
- API Batch (
batch.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API Artifact Registry (
artifactregistry.googleapis.com )
- API Filestore (
file.googleapis.com )
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
bigquery.googleapis.com
|
Detalhes
|
Quando você protege a API BigQuery usando um perímetro de serviço, a API BigQuery Storage também é protegida. Não
é preciso adicionar separadamente a API BigQuery Storage à lista de serviços
protegidos do seu perímetro.
Para mais informações sobre o BigQuery, consulte a
documentação do produto.
|
Limitações
|
Os registros de auditoria do BigQuery nem sempre incluem todos
os recursos que foram usados quando uma solicitação foi feita, devido ao serviço
que processa internamente o acesso a vários recursos.
Ao acessar uma instância do BigQuery protegida por um perímetro
de serviço, o job do BigQuery precisa ser executado em um projeto
dentro do perímetro ou em um projeto permitido por uma regra
de saída do perímetro. Por padrão, as bibliotecas de
cliente do BigQuery executam jobs na conta de serviço ou no projeto do usuário,
fazendo com que a consulta seja rejeitada pelo VPC Service Controls.
A API BigQuery Connection não é suportada.
O BigQuery bloqueia o salvamento de resultados de consultas no Google Drive do
perímetro protegido do VPC Service Controls.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
bigquerydatapolicy.googleapis.com
|
Detalhes
|
A API BigQuery Data Policy pode ser protegida pelo VPC Service Controls, e o produto
pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API BigQuery Data Policy, consulte a
documentação do produto.
|
Limitações
|
A integração da API BigQuery Data Policy com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
bigquerydatatransfer.googleapis.com
|
Detalhes
|
O perímetro de serviço protege apenas a API do serviço de transferência de dados do BigQuery. A proteção de dados real é aplicada pelo BigQuery. Ele foi projetado para permitir a importação de dados de várias fontes externas fora do Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, para os conjuntos de dados do BigQuery. Para informações sobre os
requisitos do VPC Service Controls para migrar dados do Teradata, consulte este link.
Para mais informações sobre o serviço de transferência de dados do BigQuery, consulte a documentação do produto.
|
Limitações
|
- O serviço de transferência de dados do BigQuery não
é compatível com a exportação de dados fora de um conjunto de dados do BigQuery. Para mais informações, consulte Como exportar dados de tabelas.
- Para transferir dados entre projetos, o projeto de destino precisa estar dentro
do mesmo perímetro do projeto de origem. Caso contrário, uma regra de saída precisa permitir a transferência
de dados para fora do perímetro.
- O serviço de transferência de dados do BigQuery não é compatível com fontes de dados de terceiros para transferir dados em projetos protegidos por um perímetro de serviço.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
bigquerymigration.googleapis.com
|
Detalhes
|
A API BigQuery Migration pode ser protegida pelo VPC Service Controls, e o produto
pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API BigQuery Migration, consulte a
documentação do produto.
|
Limitações
|
A integração da API BigQuery Migration com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
bigqueryreservation.googleapis.com
|
Detalhes
|
Um perímetro de serviço restringe o acesso a reservas do BigQuery, compromissos e
atribuições em projetos de administração especificados no perímetro.
Para mais informações sobre a API BigQuery Reservation, consulte a
documentação do produto.
|
Limitações
|
Ao atribuir um projeto a uma reserva, verifique se uma das seguintes condições
é atendida:
Os projetos do usuário atribuído e da administração de reserva estão no mesmo perímetro de serviço.
O acesso entre o projeto do usuário atribuído e o projeto de administração da reserva é permitido usando regras de entrada e saída.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
bigtable.googleapis.com, bigtableadmin.googleapis.com
|
Detalhes
|
Os serviços bigtable.googleapis.com e bigtableadmin.googleapis.com
são agrupados. Quando você restringe o serviço
bigtable.googleapis.com em um perímetro, o perímetro restringe o serviço
bigtableadmin.googleapis.com por padrão. Não é possível adicionar o serviço
bigtableadmin.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com
bigtable.googleapis.com .
Para mais informações sobre o Cloud Bigtable, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Bigtable com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
binaryauthorization.googleapis.com
|
Detalhes
|
Ao usar vários projetos com autorização binária, cada projeto precisa ser
incluído no perímetro do VPC Service Controls. Para mais informações sobre esse caso de uso, consulte
Configuração de vários projetos.
Com a autorização binária, é possível usar o Container Analysis para armazenar
atestadores e atestados como observações e ocorrências, respectivamente. Nesse caso, você também precisa
incluir o Container Analysis no perímetro do VPC Service Controls.
Consulte Orientação do VPC Service Controls para Container Analysis
para mais detalhes.
Para mais informações sobre a autorização binária, consulte a
documentação do produto.
|
Limitações
|
A integração da autorização binária com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
privateca.googleapis.com
|
Detalhes
|
A API do Certificate Authority Service pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Certificate Authority Service, consulte a
documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
krmapihosting.googleapis.com
|
Detalhes
|
Para usar o Config Controller com o VPC Service Controls, é necessário ativar as seguintes APIs no
perímetro:
- API Cloud Monitoring (
monitoring.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
- API do pacote de operações do Google Cloud (
logging.googleapis.com )
- API Security Token Service (
sts.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
Se você provisionar recursos com o Config Controller, precisará ativar a API para
esses recursos no perímetro de serviço. Por exemplo, se você quiser adicionar uma conta de serviço
do IAM, precisará adicionar a API IAM (iam.googleapis.com ).
Para mais informações sobre o Config Controller, consulte a
documentação do produto.
|
Limitações
|
A integração do Config Controller com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
datacatalog.googleapis.com
|
Detalhes
|
O Data Catalog usa os perímetros automaticamente
em outros serviços do Google Cloud.
Para mais informações sobre o Data Catalog, consulte a
documentação do produto.
|
Limitações
|
A integração do Data Catalog com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
datafusion.googleapis.com
|
Detalhes
|
O Cloud Data Fusion requer algumas
etapas especiais para a proteção
com VPC Service Controls.
Para mais informações sobre o Cloud Data Fusion, consulte a
documentação do produto.
|
Limitações
|
Estabeleça o perímetro de segurança do VPC Service Controls antes de criar
a instância particular do Cloud Data Fusion. A proteção de perímetro para
instâncias criadas antes da configuração do VPC Service Controls não é
compatível.
Atualmente, a IU do plano de dados do Cloud Data Fusion não é compatível com
acesso baseado na identidade usando regras de entrada ou
níveis
de acesso.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
datalineage.googleapis.com
|
Detalhes
|
A API Data Lineage pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Data Lineage, consulte a
documentação do produto.
|
Limitações
|
A integração da API Data Lineage com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
compute.googleapis.com
|
Detalhes
|
O suporte do VPC Service Controls para o Compute Engine oferece os seguintes benefícios de
segurança:
- Restringe o acesso a operações confidenciais da API.
- Restringe snapshots de disco permanente e imagens personalizadas para um perímetro.
- Restringe o acesso a metadados de instância.
O suporte do VPC Service Controls para o Compute Engine permite também que você utilize
redes de nuvem privada virtual e clusters particulares do Google Kubernetes Engine
dentro de perímetros de serviço.
Para mais informações sobre o Compute Engine, consulte a
documentação do produto.
|
Limitações
|
Firewalls hierárquicos
não são afetados por perímetros de serviço.
As operações de peering de VPC não impõem restrições de perímetro de serviço à VPC.
O método da API
projects.ListXpnHosts para a VPC compartilhada não impõe restrições de perímetro de serviço
aos projetos retornados.
Para permitir a criação de uma imagem do Compute Engine em
um Cloud Storage em um projeto protegido por um
perímetro de serviço, o usuário que está criando a imagem precisa ser adicionado
temporariamente a uma regra de entrada do perímetro.
O VPC Service Controls não aceita o uso da versão de código aberto do Kubernetes em VMs do Compute Engine dentro de um perímetro de serviço.
O console serial interativo não é compatível com o VIP restrito. Se você precisar resolver problemas com sua instância usando o console serial, configure a resolução de DNS local para enviar comandos para ssh-serialport.googleapis.com pela Internet.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
contactcenterinsights.googleapis.com
|
Detalhes
|
Para usar o Contact Center AI Insights com o VPC Service Controls, é necessário ter as seguintes
APIs adicionais dentro do seu perímetro, dependendo da sua integração.
Para carregar dados no Contact Center AI Insights, adicione a API Cloud Storage ao perímetro de serviço.
Para usar a exportação, adicione a API BigQuery ao seu perímetro de serviço.
Para integrar vários produtos CCAI, adicione a API Vertex AI ao perímetro de serviço.
Para mais informações sobre o Contact Center AI Insights, consulte a
documentação do produto.
|
Limitações
|
A integração do Contact Center AI Insights com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
dataflow.googleapis.com
|
Detalhes
|
O Dataflow é compatível com vários
conectores de serviço de armazenamento (em inglês). Os seguintes conectores foram
verificados e funcionam com o Dataflow dentro de um perímetro de serviço:
Para mais informações sobre o Dataflow, consulte a
documentação do produto.
|
Limitações
|
O BIND personalizado não é compatível com o Dataflow. Para personalizar a resolução de DNS ao
usar o Dataflow com o VPC Service Controls, use as zonas particulares
do Cloud DNS em vez de usar servidores BIND personalizados. Para usar sua própria resolução de DNS local, use um
método de encaminhamento de DNS do Google Cloud.
O VPC Service Controls não é compatível com o escalonamento automático vertical.
Se você ativar o Dataflow Prime e lançar um novo job em um perímetro do VPC Service Controls, o job usará o Dataflow Prime sem o escalonamento automático vertical.
O escalonamento automático vertical não é compatível com o VPC Service Controls.
Nem todos os conectores do serviço de armazenamento foram verificados quanto ao funcionamento quando usados
com o Dataflow dentro de um perímetro de serviço. Para conferir uma lista dos
conectores verificados, consulte "Detalhes" na seção anterior.
Ao usar o Python 3.5 com o SDK do Apache Beam 2.20.0‐2.22.0,
os jobs do Dataflow falharão na inicialização se os workers tiverem
apenas endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos.
Se os workers do Dataflow só puderem ter endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos,
não use o Python 3.5 com o SDK do Apache Beam 2.20.0-2.22.0. Essa combinação faz com que os jobs falhem na inicialização.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
dataproc.googleapis.com
|
Detalhes
|
O Cloud Dataproc requer algumas
etapas especiais para proteção
com o VPC Service Controls.
Para mais informações sobre o Dataproc, consulte a
documentação do produto.
|
Limitações
|
- Para proteger um cluster do Dataproc com um perímetro
de serviço, siga as instruções para
configurar a conectividade particular a fim de
permitir que o cluster funcione dentro do perímetro.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
metastore.googleapis.com
|
Detalhes
|
A API do metastore do Dataproc pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o metastore do Dataproc, consulte a documentação do produto.
|
Limitações
|
A integração do metastore do Dataproc com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
datastream.googleapis.com
|
Detalhes
|
A API do Datastream pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Datastream, consulte a
documentação do produto.
|
Limitações
|
A integração do Datastream com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
datamigration.googleapis.com
|
Detalhes
|
A API do Database Migration Service pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Saiba mais sobre o Database Migration Service na
documentação do produto.
|
Limitações
|
- Os perímetros de serviço protegem apenas a API Database Migration Service Admin. Eles não protegem
o acesso a dados com base em IP nos bancos de dados subjacentes, como as instâncias do Cloud SQL. Para restringir o acesso de
IPs públicos em instâncias do Cloud SQL, use uma restrição de política da organização.
- Ao usar um arquivo do Cloud Storage na fase de despejo inicial da migração,
adicione o bucket do Cloud Storage ao mesmo perímetro de serviço.
- Ao usar uma chave de criptografia gerenciada pelo cliente (CMEK, na sigla em inglês) no banco de dados de destino, verifique se ela está no
mesmo perímetro de serviço que o perfil de conexão que contém a chave.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
dialogflow.googleapis.com
|
Detalhes
|
A API do Dialogflow pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre o Dialogflow, consulte a
documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
dlp.googleapis.com
|
Detalhes
|
A API do Cloud Data Loss Prevention pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Data Loss Prevention, consulte a
documentação do produto.
|
Limitações
|
Como o VPC Service Controls atualmente não é compatível com recursos de pasta e organização, as chamadas de DLP podem retornar uma resposta 403 ao tentar acessar recursos em nível de organização. Recomendamos que o IAM seja usado para gerenciar
as permissões do DLP no nível da pasta e da organização.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
dns.googleapis.com
|
Detalhes
|
A do API Cloud DNS pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud DNS, consulte a
documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
documentai.googleapis.com
|
Detalhes
|
A API da Document AI pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a Document AI, consulte a documentação do produto.
|
Limitações
|
A integração da Document AI com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
contentwarehouse.googleapis.com
|
Detalhes
|
A API da Document AI Warehouse pode ser protegida pelo VPC Service Controls e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a Document AI Warehouse, consulte a
documentação do produto.
|
Limitações
|
A integração da Document AI Warehouse com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
domains.googleapis.com
|
Detalhes
|
A API do Cloud Domains pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Domains, consulte a
documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
eventarc.googleapis.com
|
Detalhes
|
Observação: o Eventarc gerencia a entrega de eventos usando tópicos e
assinaturas de push do Pub/Sub. Para acessar a API Pub/Sub e gerenciar gatilhos de
eventos, a API Eventarc precisa estar protegida no mesmo
perímetro de serviço do VPC Service Controls que a API Pub/Sub.
Para mais informações sobre o Eventarc, consulte a documentação do produto.
|
Limitações
|
Em projetos protegidos por um perímetro de serviço, o Eventarc está vinculado às
mesmas limitações do Pub/Sub:
- Ao rotear eventos para destinos do Cloud Run, não é possível criar
novas assinaturas de push do Pub/Sub, a menos que os endpoints de push sejam configurados para
serviços do Cloud Run com URLs padrão
run.app (domínios personalizados
não funcionam).
- Ao rotear eventos para destinos de fluxo de trabalho para os quais o
endpoint de push do Pub/Sub está definido como uma execução de fluxos de trabalho,
só é possível criar novas assinaturas de push do Pub/Sub por meio do
Eventarc.
Neste documento, consulte as
limitações do
Pub/Sub.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
firebaseappcheck.googleapis.com
|
Detalhes
|
Quando você configura e troca tokens do Firebase App Check, o VPC Service Controls
protege apenas o serviço do Firebase App Check. Para proteger serviços que dependem do
Firebase App Check, configure perímetros de serviço para esses serviços.
Para mais informações sobre o Firebase App Check, consulte a
documentação do produto.
|
Limitações
|
A integração do Firebase App Check com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
firebaserules.googleapis.com
|
Detalhes
|
Quando você gerencia as políticas de regras de segurança do Firebase, o VPC Service Controls protege
apenas o serviço de regras de segurança do Firebase. Para proteger serviços que dependem das regras de segurança do Firebase, configure permissões de serviço para esses serviços.
Para mais informações sobre as regras de segurança do Firebase, consulte a
documentação do produto.
|
Limitações
|
A integração das regras de segurança do Firebase com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudfunctions.googleapis.com
|
Detalhes
|
Consulte a documentação do Cloud Functions
para ver as etapas de configuração. A proteção do VPC Service Controls não se aplica à fase de criação, quando
o Cloud Functions é criado usando o Cloud Build. A proteção do VPC Service Controls é aplicável a
todos os gatilhos de função, exceto os do Firebase Realtime Database e
do Firebase Crashlytics. Para mais detalhes, consulte as limitações conhecidas.
Para mais informações sobre o Cloud Functions, consulte a
documentação do produto.
|
Limitações
|
O Cloud Functions usa o Cloud Build, o Container Registry e
o Cloud Storage para criar e gerenciar o código-fonte em um contêiner executável. Se
algum desses serviços for restrito pelo perímetro de serviço, o VPC Service Controls
vai bloquear o build do Cloud Functions, mesmo que o Cloud Functions não seja adicionado como
um serviço restrito ao perímetro. Para usar o Cloud Functions dentro de um perímetro
de serviço, configure uma regra de entrada para a
conta de serviço do Cloud Build no perímetro de serviço.
Para permitir que suas funções usem dependências externas, como pacotes npm,
o Cloud Build tem acesso ilimitado à Internet. Esse acesso à Internet
pode ser usado para exfiltrar dados disponíveis no momento da criação, como o
código-fonte enviado por upload. Se você quiser reduzir esse vetor de
exfiltração, recomendamos permitir que apenas desenvolvedores confiáveis implantem
as funções. Não conceda
os papéis do IAM "Proprietário", "Editor" ou "Desenvolvedor" do Cloud Functions
a desenvolvedores não confiáveis.
Para gatilhos do Firebase Realtime Database e do Firebase Crashlytics,
um usuário pode implantar uma função acionada por
alterações em um Firebase Realtime Database ou Firebase Crashlytics em outro
projeto fora do perímetro de serviço do projeto em que a
função está implantada. Se você quiser reduzir o vetor de
exfiltração desses dois gatilhos, recomendamos permitir que apenas desenvolvedores confiáveis
implantem as funções. Não conceda
os papéis do IAM "Proprietário", "Editor" ou "Desenvolvedor" do Cloud Functions
a desenvolvedores não confiáveis.
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para implantar o Cloud Functions a partir de uma máquina local
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Quando os serviços do Cloud Functions são invocados por gatilhos de HTTP, a aplicação da política do VPC Service Controls não usa as informações de autenticação do IAM do cliente. As regras da política de entrada do VPC Service Controls que usam os principais
do IAM não são compatíveis. Os níveis de acesso de perímetros do VPC Service Controls que usam principais
do IAM não são compatíveis.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
iam.googleapis.com
|
Detalhes
|
Quando você restringe o IAM com um perímetro, apenas as ações que
usam a API IAM são restritas. Essas ações incluem o gerenciamento
de papéis personalizados do IAM, o gerenciamento de pools de identidade da carga de trabalho e o gerenciamento
de contas e chaves de serviço. O perímetro não restringe as ações dos pools de força de trabalho, porque são recursos no nível da organização.
O perímetro ao redor do IAM não
restringe o gerenciamento de acesso, ou seja, receber ou definir políticas do IAM, para recursos pertencentes a outros serviços,
como projetos, pastas e organizações do Resource Manager ou instâncias de máquina virtual do Compute Engine. Para restringir o gerenciamento de acesso a esses recursos, crie um perímetro que restrinja o serviço ao qual os recursos pertencem. Consulte uma lista de recursos que aceitam políticas do IAM e os serviços que os possuem em Tipos de recursos que aceitam políticas do IAM.
Além disso, o perímetro ao redor do IAM não restringe ações que usam outras APIs, incluindo as seguintes:
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (incluindo os métodos legados
signBlob e signJwt na API IAM)
Para mais informações sobre o Identity and Access Management, consulte a
documentação do produto.
|
Limitações
|
Se você estiver dentro do perímetro, não será possível chamar o método roles.list com uma string vazia para listar papéis predefinidos do IAM. Caso precise visualizar os papéis predefinidos, consulte a documentação de papéis do IAM.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
iap.googleapis.com
|
Detalhes
|
Com a API Admin do IAP, os usuários podem configurar o IAP.
Para mais informações sobre a API Admin do IAP, consulte a
documentação do produto.
|
Limitações
|
A integração da API Admin do IAP com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
kmsinventory.googleapis.com
|
Detalhes
|
A API Cloud KMS Inventory API pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Cloud KMS Inventory, consulte a documentação do produto.
|
Limitações
|
O método da API SearchProtectedResources não impõe restrições de perímetro de serviço em projetos retornados.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
iamcredentials.googleapis.com
|
Detalhes
|
A API para credenciais de conta de serviço pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre as credenciais da conta de serviço, consulte a
documentação do produto.
|
Limitações
|
A integração das credenciais de conta de serviço com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloud.googleapis.com
|
Detalhes
|
A API Service Metadata pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Service Metadata, consulte a
documentação do produto.
|
Limitações
|
A integração da API Service Metadata com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
vpcaccess.googleapis.com
|
Detalhes
|
A API para acesso VPC sem servidor pode ser protegida pelo VPC Service Controls, e o produto pode ser usado
normalmente dentro de perímetros de serviço.
Para mais informações sobre o acesso VPC sem servidor, consulte a
documentação do produto.
|
Limitações
|
A integração do acesso VPC sem servidor com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudkms.googleapis.com
|
Detalhes
|
A API Cloud KMS pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado dentro de perímetros de serviço. O acesso aos serviços do Cloud HSM também é protegido
pelo VPC Service Controls e pode ser usado dentro de perímetros de serviço.
Para mais informações sobre o Cloud Key Management Service, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Key Management Service com VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
gameservices.googleapis.com
|
Detalhes
|
A API do Game Servers pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre os servidores de jogos, consulte a
documentação do produto.
|
Limitações
|
A integração do Game Servers com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
iaptunnel.googleapis.com
|
Detalhes
|
A API para Identity-Aware Proxy pode ser protegida pelo VPC Service Controls, e o produto pode ser usado
normalmente dentro de perímetros de serviço.
Para mais informações sobre o Identity-Aware Proxy para TCP, consulte a documentação do produto.
|
Limitações
|
Somente a API de uso do IAP para TCP pode ser protegida por um perímetro.
A API administrativa não pode ser protegida por um perímetro.
Para usar o IAP para TCP em um perímetro de serviço do VPC Service Controls, é preciso adicionar ou configurar algumas entradas de DNS que apontem os seguintes domínios para o VIP restrito:
- tunnel.cloudproxy.app
- *.tunnel.cloudproxy.app
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
lifesciences.googleapis.com
|
Detalhes
|
A API para Cloud Life Sciences pode ser protegida pelo VPC Service Controls e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Life Sciences, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Life Sciences com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
managedidentities.googleapis.com
|
Detalhes
|
Configuração extra necessária para:
Para mais informações sobre o serviço gerenciado para o Microsoft Active Directory, consulte a
documentação do produto.
|
Limitações
|
A integração do serviço gerenciado para o Microsoft Active Directory com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
recaptchaenterprise.googleapis.com
|
Detalhes
|
A API do reCAPTCHA pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o reCAPTCHA Enterprise, consulte a documentação do produto.
|
Limitações
|
A integração do reCAPTCHA Enterprise com VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
webrisk.googleapis.com
|
Detalhes
|
A API do Web Risk pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Web Risk, consulte a
documentação do produto.
|
Limitações
|
A API Evaluate e a API Submission não são compatíveis com
o VPC Service Controls.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
recommender.googleapis.com
|
Detalhes
|
A API do Recomendador pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Recomendador, consulte a documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
secretmanager.googleapis.com
|
Detalhes
|
A API do Secret Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Secret Manager, consulte a
documentação do produto.
|
Limitações
|
A integração do Secret Manager com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
pubsub.googleapis.com
|
Detalhes
|
A proteção do VPC Service Controls se aplica a todas as operações de administrador, operações de editor e operações de assinante (exceto para assinaturas de push).
Para mais informações sobre o Pub/Sub, consulte a
documentação do produto.
|
Limitações
|
Em projetos protegidos por um perímetro de serviço, as seguintes limitações se aplicam:
- Não é possível criar novas assinaturas de push, a menos que os endpoints de push estejam configurados para
serviços do Cloud Run com URLs
run.app padrão
(domínios personalizados não funcionam). Para mais
informações sobre a integração com o Cloud Run, consulte
Como usar o VPC Service Controls.
- É necessário criar uma assinatura no mesmo perímetro do tópico ou ativar regras de saída para permitir o acesso do tópico à assinatura.
- Ao rotear eventos pelo Eventarc para destinos do
Workflows em que o endpoint de push está definido como uma execução do Workflows, só é possível criar novas assinaturas de push pelo Eventarc.
- As assinaturas de push do Pub/Sub criadas antes do perímetro de
serviço não são bloqueadas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
pubsublite.googleapis.com
|
Detalhes
|
A proteção do VPC Service Controls se aplica a todas as operações do assinante.
Para mais informações sobre o Pub/Sub Lite, consulte a
documentação do produto.
|
Limitações
|
A integração do Pub/Sub Lite com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudbuild.googleapis.com
|
Detalhes
|
Use o VPC Service Controls com pools particulares do Cloud Build para aumentar a segurança das suas compilações.
Para mais informações sobre o Cloud Build, consulte a
documentação do produto.
|
Limitações
|
A proteção do VPC Service Controls está disponível apenas para builds executadas em pools particulares.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
clouddeploy.googleapis.com
|
Detalhes
|
A API do Google Cloud Deploy pode ser protegida pelo VPC Service Controls e o produto é
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Google Cloud Deploy, consulte a
documentação do produto.
|
Limitações
|
Para usar o Google Cloud Deploy em um perímetro, você precisa usar um pool privado do Cloud Build para os ambientes de execução de destino.
Não use o pool de workers padrão do Cloud Build e nem um pool híbrido.
|
|
|
Status
|
GA
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
composer.googleapis.com
|
Detalhes
|
Como configurar o Composer para uso com o VPC Service Controls
Para mais informações sobre o Cloud Composer, consulte a
documentação do produto.
|
Limitações
|
A ativação da serialização do DAG impede que o Airflow exiba um modelo renderizado
com funções na IU da Web.
A definição da sinalização async_dagbag_loader como True não é permitida com
a serialização do DAG ativada.
A ativação da serialização do DAG desativa todos os plug-ins do servidor da Web do Airflow, porque eles
podem prejudicar a segurança da rede VPC em que o Cloud Composer está
implantado. Isso não afeta o comportamento dos plug-ins do programador ou do worker,
incluindo os operadores e sensores do Airflow.
Quando o Cloud Composer está sendo executado em um perímetro, o acesso
a repositórios PyPI públicos é restrito. Na documentação do Cloud Composer,
consulte
Como instalar dependências do Python
para saber como instalar os módulos do PyPi no modo de IP particular.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
run.googleapis.com
|
Detalhes
|
É necessário ter uma configuração adicional para o Cloud Run. Siga
as instruções na página de documentação do VPC Service Controls.
Para mais informações sobre o Cloud Run, consulte a
documentação do produto.
|
Limitações
|
- No Artifact Registry e no Container Registry, o registro em que você armazena o contêiner
precisa estar no mesmo perímetro do VPC Service Controls que o projeto em que você está implantando. O código que está sendo criado precisa estar no mesmo perímetro do VPC Service Controls que o registro para o qual o contêiner está sendo enviado.
- O recurso de
implantação contínua
do Cloud Run não está disponível para projetos dentro de um perímetro do VPC Service Controls.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudscheduler.googleapis.com
|
Detalhes
|
A API do Cloud Scheduler pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Scheduler, consulte a
documentação do produto.
|
Limitações
|
O VPC Service Controls não é compatível com jobs do Cloud Scheduler com os destinos
a seguir:
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
spanner.googleapis.com
|
Detalhes
|
A API do Cloud Spanner pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Spanner, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Spanner com VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
speakerid.googleapis.com
|
Detalhes
|
A API do Speaker ID pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Speaker ID, consulte a
documentação do produto.
|
Limitações
|
A integração do Speaker ID com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
storage.googleapis.com
|
Detalhes
|
A API do Cloud Storage pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Storage, consulte a
documentação do produto.
|
Limitações
|
Ao usar o recurso Pagamentos do solicitante com um
bucket de armazenamento dentro de um perímetro de serviço que protege o
serviço do Cloud Storage, não é possível identificar um projeto para pagar
fora do perímetro. O projeto de destino precisa estar no mesmo perímetro
do bucket de armazenamento ou em uma ponte do perímetro com o projeto do bucket.
Para mais informações sobre Pagamentos do solicitante, consulte os Requisitos de uso e
acesso de Pagamentos do solicitante.
Para projetos em um perímetro de serviço, a página do Cloud Storage no
console do Google Cloud não ficará acessível se a API Cloud Storage
estiver protegida por esse perímetro. Se você quiser conceder acesso à
página, crie uma regra de entrada e/ou um nível de acesso que inclua as contas de
usuário e/ou o intervalo de IPs públicos a que você quer permitir o acesso à
API Storage do Cloud.
Nos registros de auditoria, o campo resourceName não identifica o projeto
a que o bucket pertence. O
projeto precisa ser descoberto separadamente.
Nos registros de auditoria, o valor de methodName nem sempre está correto. Recomendamos
não filtrar registros de auditoria do Cloud Storage por
methodName .
Em certos casos, os registros de buckets legados do Cloud Storage podem ser gravados
em destinos fora de um perímetro de serviço, mesmo quando o acesso é negado.
Quando você tenta usar gsutil pela primeira vez em um novo projeto, talvez
receba uma solicitação para ativar o serviço storage-api.googleapis.com . Mesmo que
não seja possível proteger storage-api.googleapis.com diretamente, quando você protege
a API Cloud Storage usando um perímetro de serviço, as operações de gsutil também são
protegidas.
- Em alguns casos, os objetos do Cloud Storage que eram públicos podem ser acessados mesmo depois que você ativa o VPC Service Controls nos objetos. Os objetos ficam acessíveis até que expirem dos caches integrados e quaisquer outros caches upstream na rede entre o usuário final e o Cloud Storage. O Cloud Storage armazena em cache dados acessíveis publicamente por padrão na rede do Cloud Storage.
Para mais informações sobre como os objetos do Cloud Storage são armazenados em cache, consulte Cloud Storage.
Para informações sobre o tempo que um objeto pode permanecer armazenado em cache,
consulte Metadados de controle de cache.
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Cloud Storage que usam URLs assinados.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudtasks.googleapis.com
|
Detalhes
|
A API do Cloud Tasks pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Solicitações HTTP de execuções do Cloud Tasks são compatíveis da seguinte maneira:
- Solicitações autenticadas para endpoints do Cloud Functions (1ª geração)
compatíveis com o VPC Service Controls e o Cloud Run são permitidos.
- As solicitações para endpoints que não são do Cloud Functions
e que não são do Cloud Run estão bloqueadas.
- As solicitações para endpoints do Cloud Functions e do Cloud Run não compatíveis com o VPC Service Controls
estão bloqueadas.
Para mais informações sobre o Cloud Tasks, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Tasks com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
sqladmin.googleapis.com
|
Detalhes
|
Os perímetros do VPC Service Controls protegem a API Cloud SQL Admin.
Para mais informações sobre o Cloud SQL, consulte a
documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
videointelligence.googleapis.com
|
Detalhes
|
A API Video Intelligence pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Video Intelligence, consulte a
documentação do produto.
|
Limitações
|
A integração da API Video Intelligence com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
vision.googleapis.com
|
Detalhes
|
A API Cloud Vision pode ser protegida pelo VPC Service Controls e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Cloud Vision, consulte a
documentação do produto.
|
Limitações
|
Mesmo que você crie uma regra de saída para permitir chamadas para URLs públicos de
perímetros do VPC Service Controls, a API Cloud Vision bloqueia chamadas para URLs públicos.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
containeranalysis.googleapis.com
|
Detalhes
|
Para usar o Container Analysis com o VPC Service Controls, talvez seja necessário
adicionar outros serviços ao perímetro do VPC:
Como a API Container Scanning não tem superfície e armazena os resultados
no Container Analysis, você não precisa protegê-la com um perímetro de
serviço.
Para mais informações sobre o Container Analysis, consulte a
documentação do produto.
|
Limitações
|
A integração do Container Analysis com VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
containerregistry.googleapis.com
|
Detalhes
|
Além de proteger a API Container Registry,
o Container Registry pode ser usado dentro de um perímetro de serviço com
o GKE e o Compute Engine.
Para mais informações sobre o Container Registry, consulte a
documentação do produto.
|
Limitações
|
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Container Registry.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
Como o Container Registry usa o domínio gcr.io ,
configure o DNS
para que *.gcr.io mapeie para private.googleapis.com ou restricted.googleapis.com .
Para mais informações, consulte
Como proteger o Container Registry
em um perímetro de serviço.
Além dos contêineres dentro de um perímetro que estão disponíveis para o
Container Registry, os seguintes repositórios somente de leitura gerenciados pelo Google
estão disponíveis para todos os projetos, seja qual for a restrição aplicada pelos perímetros de serviço:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
mirror.gcr.io
Em todos os casos, as versões multirregionais desses repositórios também estão
disponíveis.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
container.googleapis.com
|
Detalhes
|
A API do Google Kubernetes Engine pode ser protegida pelo VPC Service Controls e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Google Kubernetes Engine, consulte a
documentação do produto.
|
Limitações
|
- Somente clusters particulares podem ser protegidos usando o VPC Service Controls. Os clusters com
endereços IP públicos não são compatíveis com o VPC Service Controls.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
containerfilesystem.googleapis.com
|
Detalhes
|
O streaming de imagens é um recurso de streaming de dados do GKE que fornece
tempos de extração de imagem de contêiner menores para imagens armazenadas no Artifact Registry.
Caso o VPC Service Controls proteja suas imagens de contêiner e você use o streaming de imagens,
inclua também a API Image Streaming no perímetro de serviço.
Para mais informações sobre o streaming de imagens, consulte a
documentação do produto.
|
Limitações
|
A integração do streaming de imagens com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
gkeconnect.googleapis.com, gkehub.googleapis.com, connectgateway.googleapis.com
|
Detalhes
|
As APIs de gerenciamento de frota, incluindo o gateway de conexão, podem ser protegidas com o VPC Service Controls, e os recursos de gerenciamento de frotas podem ser usados normalmente dentro de perímetros de serviço.
Para ver mais informações, consulte os seguintes tópicos:
Para mais informações sobre frotas, consulte a
documentação do produto.
|
Limitações
|
A integração de frotas com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudresourcemanager.googleapis.com
beta
|
Detalhes
|
Os métodos da API Resource Manager a seguir podem ser protegidos pelo VPC Service Controls:
Para mais informações sobre o Resource Manager, consulte a
documentação do produto.
|
Limitações
|
As tags definidas diretamente em serviços e que não interagem com os projetos do Google Cloud não são protegidas pelo VPC Service Controls se chamadas de API forem feitas de fora do perímetro. Se chamadas de API forem feitas para esses serviços de dentro do perímetro, as chamadas serão bloqueadas.
Por exemplo, se um cliente enviar uma solicitação à API Tags de uma VM de uma rede hospedada em um projeto protegido por um perímetro, a solicitação será negada. Para impedir
que as solicitações em um perímetro sejam bloqueadas, defina regras de saída para permitir
o acesso.
As tags oferecem suporte a restrições no nível do método, então é possível definir o escopo do method_selectors para métodos de API específicos. Consulte uma lista de métodos restritos em Restrições de método de serviço compatíveis.
Consulte mais informações sobre como definir regras de saída em Regras de entrada e saída.
- A atribuição do papel de proprietário em um projeto pelo console do Google Cloud agora é compatível com o
VPC Service Controls. Não é possível enviar um convite de proprietário nem aceitar convites
fora dos perímetros de serviço. Se tentar aceitar um convite de fora do perímetro,
você não vai receber o papel de proprietário e não haverá nenhum erro ou mensagem de aviso exibida.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
logging.googleapis.com
|
Detalhes
|
A do API Cloud Logging pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Logging, consulte a
documentação do produto.
|
Limitações
|
Os coletores de registro agregados (coletores de pastas ou organizações em que
includeChildren é true ) podem acessar dados de projetos dentro de um perímetro
de serviço. Para impedir que coletores de registros agregados acessem dados em um perímetro, recomendamos
usar o IAM para gerenciar as permissões do Logging nos coletores de registros agregados no nível da pasta
ou da organização.
O VPC Service Controls não é compatível com a adição de recursos de pasta
ou organização a perímetros de serviço. Portanto, não é possível usar o VPC Service Controls para
proteger os registros no nível da pasta e da organização, incluindo registros agregados. Para gerenciar as permissões
do Logging no nível da pasta ou da organização, recomendamos o uso do IAM.
Se você encaminhar registros, usando um coletor de registros no nível da organização ou da pasta, para um recurso protegido por um perímetro de serviço, será necessário adicionar uma regra de entrada ao
perímetro de serviço. A regra de entrada precisa permitir o acesso ao recurso da conta de serviço que o coletor de registros usa. Essa etapa não é necessária para coletores no nível do projeto.
Para mais informações, consulte as páginas a seguir:
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT como um tipo de identidade para exportar registros de um coletor do Cloud Logging para um recurso do Cloud Storage.
Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
monitoring.googleapis.com
|
Detalhes
|
A API do Cloud Monitoring pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Monitoring, consulte a
documentação do produto.
|
Limitações
|
Canais de notificação, políticas de alertas e métricas personalizadas podem ser usados
juntos para exfiltrar dados ou metadados. Atualmente, um usuário do
Monitoring pode configurar um canal de notificação que aponta para
uma entidade fora da organização, por exemplo, "baduser@badcompany.com". Em seguida,
o usuário configura métricas personalizadas e políticas de alertas correspondentes que
utilizam o canal de notificação. Desse modo, ao manipular as métricas personalizadas,
o usuário pode acionar alertas e enviar notificações de disparo de alertas,
exfiltrando dados confidenciais para baduser@badcompany.com, fora do
perímetro do VPC Service Controls.
As VMs do Compute Engine ou da AWS com o
Agente do Monitoring
instalado precisam estar dentro do perímetro do VPC Service Controls,
senão as gravações de métricas do agente falharão.
Todos os pods do GKE precisam estar dentro
do perímetro do VPC Service Controls, senão o
GKE Monitoring não funcionará.
Nas consultas de um escopo de métricas, apenas o perímetro do VPC Service Controls do projeto de escopo do escopo da métrica é considerado. Os perímetros dos projetos individuais monitorados no escopo de métricas não são considerados.
Um projeto só pode ser adicionado como um projeto monitorado a um escopo de métricas existente se esse projeto estiver no mesmo perímetro do VPC Service Controls que o projeto de escopo do escopo de métricas.
Para acessar o Monitoring no console do Google Cloud para um projeto host protegido por um perímetro de serviço, use uma regra de entrada.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudprofiler.googleapis.com
|
Detalhes
|
A API do Cloud Profiler pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Profiler, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Profiler com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
timeseriesinsights.googleapis.com
|
Detalhes
|
A API Timeseries Insights pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API TimeSeries Insights, consulte a
documentação do produto.
|
Limitações
|
A integração da API Timeseries Insights com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudtrace.googleapis.com
|
Detalhes
|
A do API Cloud Trace pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Trace, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Trace com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
tpu.googleapis.com
|
Detalhes
|
A API do Cloud TPU pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud TPU, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud TPU com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
language.googleapis.com
|
Detalhes
|
A API Natural Language pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Natural Language, consulte a
documentação do produto.
|
Limitações
|
A integração da API Natural Language com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
networkconnectivity.googleapis.com
|
Detalhes
|
A API do Network Connectivity Center pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Network Connectivity Center, consulte a documentação do produto.
|
Limitações
|
A integração do Network Connectivity Center com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
cloudasset.googleapis.com
|
Detalhes
|
A API Cloud Asset pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Cloud Asset, consulte a
documentação do produto.
|
Limitações
|
- O VPC Service Controls não é compatível com acesso a recursos da API Cloud Asset no nível da pasta ou da organização
a partir de recursos e clientes dentro de um perímetro de serviço. O VPC Service Controls
protege os recursos da API Cloud Asset no nível do projeto. É possível especificar uma política de saída para impedir
o acesso a recursos da API Cloud Asset no nível do projeto em projetos dentro do perímetro.
- O VPC Service Controls não é compatível com a adição de recursos da API Cloud Asset no nível da pasta
ou da organização a um perímetro de serviço. Não é possível usar um perímetro para proteger os
recursos da API Cloud Asset no nível da pasta ou da organização. Para gerenciar as permissões do Cloud Asset Inventory no nível da pasta ou da organização, recomendamos o uso do IAM.
- Não é possível exportar recursos no nível da pasta ou da organização para destinos
dentro de um perímetro de serviço.
- Não é possível criar feeds em tempo real para recursos no nível da pasta ou da organização
com um tópico do Pub/Sub dentro de um perímetro de serviço.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
speech.googleapis.com
|
Detalhes
|
A API do Speech-to-Text pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Speech-to-Text, consulte a
documentação do produto.
|
Limitações
|
A integração do Speech-to-Text com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
texttospeech.googleapis.com
|
Detalhes
|
A API do Text-to-Speech pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Text-to-Speech, consulte a
documentação do produto.
|
Limitações
|
A integração do Text-to-Speech com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
translate.googleapis.com
|
Detalhes
|
A API do Translation pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Translation, consulte a
documentação do produto.
|
Limitações
|
O Cloud Translation - Advanced (v3) é compatível com o VPC Service Controls, mas
não com o Cloud Translation - Basic (v2). Para aplicar o VPC Service Controls,
é necessário usar a versão Advanced do Cloud Translation (v3). Para mais informações
sobre as diferentes edições, consulte Comparar
as edições Basic e Advanced.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
transcoder.googleapis.com
|
Detalhes
|
A API Transcoder pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre a API Transcoder, consulte a
documentação do produto.
|
Limitações
|
A integração da API Transcoder com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
videostitcher.googleapis.com
|
Detalhes
|
A API Video Stitcher pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Video Stitcher, consulte a
documentação do produto.
|
Limitações
|
A integração da API Video Stitcher com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
accessapproval.googleapis.com
|
Detalhes
|
A API do Access Approval pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Access Approval, consulte a
documentação do produto.
|
Limitações
|
A integração do Access Approval com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
healthcare.googleapis.com
|
Detalhes
|
A API Cloud Healthcare pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Cloud Healthcare, consulte a
documentação do produto.
|
Limitações
|
A integração da API Cloud Healthcare com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
storagetransfer.googleapis.com
|
Detalhes
|
Recomendamos colocar o projeto STS no mesmo
perímetro de serviço dos recursos do Cloud
Storage. Isso protege a transferência e o
recursos do Cloud Storage. O Serviço de transferência do Cloud Storage também
aceita cenários em que o projeto dele não
esteja no mesmo perímetro dos buckets do Cloud Storage usando
uma política de saída.
Para informações de configuração, consulte
Como
usar o serviço de transferência do Cloud Storage com VPC Service Controls
Serviço de transferência de dados locais
Consulte
Como usar a transferência local
com VPC Service Controls para ver detalhes e informações de configuração da
transferência local.
Para mais informações sobre o serviço de transferência do Cloud Storage, consulte a
documentação do produto.
|
Limitações
|
- O serviço de transferência de dados locais não oferece proteção relacionada à API VPC Service Controls no console do Google Cloud.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
servicecontrol.googleapis.com
|
Detalhes
|
A API do Service Control pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Service Control, consulte a
documentação do produto.
|
Limitações
|
- Quando você chama a API Service Control de uma rede VPC em um perímetro
de serviço com o Service Control restrito, não é possível usar o
método Relatório do Service Control
para gerar relatórios de métricas de faturamento.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
redis.googleapis.com
|
Detalhes
|
A API do Memorystore for Redis pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Memorystore para Redis, consulte a
documentação do produto.
|
Limitações
|
Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros
não protegem o acesso normal aos dados em instâncias do Memorystore for Redis
dentro da mesma rede.
Se a API Cloud Storage também estiver protegida,
as operações de importação e exportação do Memorystore for Redis só poderão ler e
gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da
instância do Memorystore for Redis.
Ao usar a VPC compartilhada e o VPC Service Controls, é necessário que você tenha o
projeto host que fornece a rede e o projeto de serviço que contém a
instância do Redis dentro do mesmo perímetro para que as solicitações do Redis sejam bem-sucedidas. A qualquer momento, separar o projeto host e o de serviço com um perímetro
pode causar uma falha na instância do Redis, além das solicitações bloqueadas. Para mais informações, consulte os requisitos de configuração do Memorystore para Redis.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
memcache.googleapis.com
|
Detalhes
|
A API Memorystore for Memcached pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro dos perímetros de serviço.
Para mais informações sobre a Memorystore for Memcached, consulte a
documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
servicedirectory.googleapis.com
|
Detalhes
|
A API do Diretório de serviços pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Diretório de serviços, consulte a
documentação do produto.
|
Limitações
|
A integração do Diretório de serviços com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
visualinspection.googleapis.com
|
Detalhes
|
Para proteger totalmente a Visual Inspection AI, inclua todas as seguintes APIs
no perímetro:
- API Visual Inspection AI (
visualinspection.googleapis.com )
- API Vertex AI (
aiplatform.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Artifact Registry (
artifactregistry.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
Para mais informações sobre o Visual Inspection AI, consulte a
documentação do produto.
|
Limitações
|
A integração da Visual Inspection AI com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Não. A API do Transfer Appliance não pode ser protegida por perímetros de serviço.
No entanto, o Transfer Appliance pode ser usado normalmente em projetos dentro de um perímetro.
|
Detalhes
|
O Transfer Appliance é totalmente compatível com projetos que usam
VPC Service Controls.
O Transfer Appliance não oferece uma API e, portanto, não é
compatível com recursos relacionados à API no VPC Service Controls.
Para mais informações sobre o Transfer Appliance, consulte a
documentação do produto.
|
Limitações
|
-
Quando o Cloud Storage é protegido pelo VPC Service Controls, a
chave do Cloud KMS que você compartilha com a equipe do
Transfer Appliance precisa estar no mesmo projeto que o bucket do
Cloud Storage de destino.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
orgpolicy.googleapis.com
|
Detalhes
|
A API do Organization Policy Service pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Organization Policy Service, consulte a
documentação do produto.
|
Limitações
|
O VPC Service Controls não aceita restrições de acesso a políticas da organização no nível da pasta ou
da organização que são herdadas pelo projeto.
O VPC Service Controls protege os recursos da API Service Policy Service para envolvidos no projeto.
Por exemplo, se uma regra de entrada restringir o acesso de um usuário à API Organization Policy Service, esse
usuário receberá um erro 403 ao consultar as políticas da organização aplicadas ao projeto. Mas
o usuário ainda pode acessar as políticas da organização da pasta
e da organização que contém o projeto.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
oslogin.googleapis.com
|
Detalhes
|
É possível chamar a API OS Login de dentro dos perímetros do VPC Service Controls. Para gerenciar
o login do SO nos perímetros do VPC Service Controls,
configure o login do SO.
As conexões SSH com instâncias de VM não são protegidas pelo VPC Service Controls.
Para mais informações sobre o login do SO, consulte a
documentação do produto.
|
Limitações
|
Os métodos de Login do SO para ler e gravar chaves SSH não aplicam os perímetros do VPC Service Controls. Use os serviços acessíveis pelo VPC para desativar o acesso às APIs OS Login.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
osconfig.googleapis.com
|
Detalhes
|
É possível chamar a API OS Config de dentro dos perímetros do VPC Service Controls. Para usar o
VM Manager a partir de perímetros do VPC Service Controls,
configure o VM Manager.
Para mais informações sobre o VM Manager, consulte a
documentação do produto.
|
Limitações
|
Para proteger totalmente o VM Manager, é preciso incluir todas as seguintes APIs no
seu perímetro:
- API Config do SO (
osconfig.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
- API Container Analysis (
containeranalysis.googleapis.com )
O VM Manager não hospeda conteúdo de pacotes e patches. O Gerenciamento de correções do SO usa
as ferramentas de atualização do sistema operacional que exigem que as atualizações e os patches de pacotes sejam recuperáveis na VM. Para que o patch funcione, talvez seja necessário
usar o Cloud NAT ou hospedar seu próprio repositório de pacotes ou o serviço de atualização do Windows Server na sua nuvem privada virtual.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
workflows.googleapis.com
|
Detalhes
|
O Workflows é uma plataforma de orquestração que pode combinar serviços baseados no
Google Cloud e APIs baseadas em HTTP para executar serviços na ordem que você definir.
Quando você protege a API Workflows usando um perímetro de serviço, a API Workflow Executions também é protegida. Não é necessário adicionar workflowexecutions.googleapis.com
separadamente à lista de serviços protegidos do seu
perímetro.
As solicitações HTTP de uma execução de fluxos de trabalho são compatíveis da seguinte maneira:
- São permitidas solicitações autenticadas para os endpoints do Google Cloud compatíveis com o VPC Service Controls.
- As solicitações para endpoints do Cloud Functions e do serviço do Cloud Run são permitidas.
- As solicitações para endpoints de terceiros são bloqueadas.
- As solicitações para endpoints do Google Cloud não compatíveis com o VPC Service Controls
são bloqueadas.
Para mais informações sobre consulte a documentação do produto.
|
Limitações
|
A integração do workflows com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
file.googleapis.com
|
Detalhes
|
A API do Filestore pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Filestore, consulte a
documentação do produto.
|
Limitações
|
Os perímetros de serviço protegem apenas a API Filestore. Os perímetros
não protegem o acesso normal a dados NFS em instâncias do Filestore
na mesma rede.
Ao usar a VPC compartilhada e o VPC Service Controls, o projeto
host que fornece a rede e o projeto de serviço que contém a instância do
Filestore precisam estar dentro do mesmo perímetro para que essa instância
funcione corretamente. Separar o projeto host e o projeto de serviço
com um perímetro pode fazer com que as instâncias existentes fiquem indisponíveis e
impedir a criação de novas instâncias.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
containerthreatdetection.googleapis.com
|
Detalhes
|
A API do Container Threat Detection pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Container Threat Detection, consulte a documentação do produto.
|
Limitações
|
A integração do Container Threat Detection com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
adsdatahub.googleapis.com
|
Detalhes
|
Para mais informações sobre o Ads Data Hub, consulte a
documentação do produto.
|
Limitações
|
O Ads Data Hub e o VPC Service Controls estão sujeitos a termos de serviço diferentes. Veja os termos de cada
produto para mais detalhes.
Certos recursos do Ads Data Hub, como a ativação do público-alvo personalizado, lances personalizados e tabelas de correspondência do LiveRamp, exigem que alguns dados do usuário sejam exportados fora do perímetro do VPC Service Controls. Se o Ads Data Hub for adicionado como um serviço restrito, ele ignorará as políticas do VPC Service Controls para esses recursos para manter a funcionalidade.
Todos os serviços dependentes precisam ser incluídos como serviços permitidos no mesmo perímetro do VPC Service Controls. Por exemplo, como o Ads Data Hub depende do BigQuery, o BigQuery também precisa ser adicionado. Em geral, as práticas recomendadas do VPC Service Controls aconselham incluir todos os serviços no perímetro,
ou seja, "restringir todos os serviços".
Os clientes com estruturas de contas do Ads Data Hub de várias camadas (como agências com subsidiárias) precisam ter todos os seus projetos de administrador no mesmo perímetro. Para simplificar,
o Ads Data Hub recomenda que os clientes com estruturas de contas de várias camadas restrinjam
os projetos de administração à mesma organização do Google Cloud.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
|
Detalhes
|
A API do Traffic Director pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Traffic Director, consulte a
documentação do produto.
|
Limitações
|
A integração do Traffic Director ao VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
sts.googleapis.com
|
Detalhes
|
O VPC Service Controls só restringe trocas de token se o
público
na solicitação for um recurso para envolvidos no projeto. Por exemplo, ela não restringe solicitações de tokens com escopo diminuído, porque essas solicitações não têm público. Também não restringe solicitações para a federação de identidade da força de trabalho
porque o público-alvo é um recurso da organização.
Para mais informações sobre o Security Token Service, consulte a
documentação do produto.
|
Limitações
|
A integração do Security Token Service com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
|
Detalhes
|
Os serviços firestore.googleapis.com , datastore.googleapis.com
e firestorekeyvisualizer.googleapis.com são agrupados.
Quando você restringe o serviço firestore.googleapis.com em um perímetro,
o perímetro também restringe os serviços datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com .
Para restringir o serviço datastore.googleapis.com ,
use o nome de serviço firestore.googleapis.com .
Para ter proteção total de saída em operações de importação e exportação,
é necessário usar o agente de serviço do Firestore. Para saber mais, consulte os seguintes artigos:
Para mais informações sobre o Firestore/Datastore, consulte a
documentação do produto.
|
Limitações
|
-
As operações de importação e exportação não são totalmente protegidas, a menos que você
use o agente de serviço do Firestore. Para saber mais, consulte os seguintes artigos:
-
Os serviços em pacote legados do App Engine para Datastore
não são compatíveis com perímetros de serviço. Proteger o serviço do
Datastore com um perímetro de serviço bloqueia o tráfego de
serviços em pacote legados do App Engine. Os serviços agrupados legados incluem:
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
vmmigration.googleapis.com
|
Detalhes
|
A API de migração para máquinas virtuais pode ser protegida pelo VPC Service Controls, e o produto
pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a migração para máquinas virtuais, consulte a
documentação do produto.
|
Limitações
|
Para proteger totalmente a migração para máquinas virtuais, adicione todas as
APIs a seguir ao perímetro de serviço:
- API Pub/Sub (
pubsub.googleapis.com )
- API Cloud Storage (
storage.googleapis.com )
- API Cloud Logging (
logging.googleapis.com )
- API Secret Manager (
secretmanager.googleapis.com )
- API Compute Engine (
compute.googleapis.com )
Para mais informações, consulte
a documentação Migrar para máquinas virtuais.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
gkebackup.googleapis.com
|
Detalhes
|
É possível usar o VPC Service Controls para proteger o backup do GKE e usar os recursos do GKE normalmente dentro de perímetros de serviço.
Para mais informações sobre o backup no GKE, consulte a
documentação do produto.
|
Limitações
|
A integração do Backup do GKE com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
clouddebugger.googleapis.com
|
Detalhes
|
A do API Cloud Debugger pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Debugger, consulte a
documentação do produto.
|
Limitações
|
A integração do Cloud Debugger com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
retail.googleapis.com
|
Detalhes
|
A API Retail pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a API Retail, consulte a
documentação do produto.
|
Limitações
|
A integração da API Retail com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
integrations.googleapis.com
|
Detalhes
|
A integração da Apigee é um sistema de gerenciamento de fluxo de trabalho colaborativo que permite
criar, aumentar, depurar e entender os principais fluxos de trabalho do sistema de negócios.
Os fluxos de trabalho na integração da Apigee são compostos por gatilhos e tarefas.
Há vários tipos de acionadores, como um acionador de API/acionador do Pub/Sub/acionador cron/acionador do SFDC.
Para mais informações sobre a integração da Apigee, consulte a
documentação do produto.
|
Limitações
|
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
clouderrorreporting.googleapis.com
|
Detalhes
|
A API do Error Reporting pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Error Reporting, consulte a
documentação do produto.
|
Limitações
|
As notificações enviadas quando um grupo de erros novo ou recorrente é encontrado
contém informações sobre ele. Para evitar a exfiltração de dados fora do
perímetro do VPC Service Controls, verifique se
os canais de notificação estão na sua organização.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
workstations.googleapis.com
|
Detalhes
|
A API do Cloud Workstations pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud Workstations, consulte a
documentação do produto.
|
Limitações
|
- Para proteger totalmente o Cloud Workstations, é preciso restringir a API
Compute Engine ao perímetro de serviço sempre que restringir
a API Cloud Workstations.
- Verifique se as APIs do Google Cloud Storage, do Google Container Registry e
do Artifact Registry são
acessíveis pela VPC no seu perímetro de serviço. Isso é necessário para extrair imagens para a estação de trabalho. Também é
recomendável permitir que as APIs do Cloud Logging e Cloud Error Reporting
sejam acessíveis por VPC no
perímetro do serviço, embora isso não seja necessário para usar
as Cloud Workstations.
- Verifique se o cluster da estação de trabalho é
particular.
A configuração de um cluster particular impede conexões de estações de trabalho
fora do perímetro de serviço do VPC.
- Desative os endereços IP públicos na configuração da
estação de trabalho. Se isso não for feito, as VMs terão endereços IP públicos
no seu projeto. Recomendamos que você use a restrição de política da organização
constraints/compute.vmExternalIpAccess
para desativar os endereços IP públicos de todas as VMs
no perímetro de serviço da VPC. Para mais detalhes, consulte
Como restringir endereços IP externos a VMs específicas.
- O controle de acesso é baseado apenas no fato da rede particular que você está conectando pertencer
ao perímetro de segurança ou não. O controle de acesso com base no dispositivo, endereço IP público ou local não é
compatível.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
ids.googleapis.com
|
Detalhes
|
A API do Cloud IDS pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Cloud IDS, consulte a
documentação do produto.
|
Limitações
|
O Cloud IDS usa o Cloud Logging para criar registros de ameaças no projeto. Se
o Cloud Logging for restrito pelo perímetro de serviço, o VPC Service Controls
bloqueará os registros de ameaças do Cloud IDS, mesmo que o Cloud IDS não seja adicionado como
um serviço restrito ao perímetro. Para usar o Cloud IDS dentro de um perímetro
de serviço, configure uma regra de entrada para a
conta de serviço do Cloud Logging no perímetro de serviço.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
beyondcorp.googleapis.com
|
Detalhes
|
Para mais informações sobre o BeyondCorp Enterprise, consulte a
documentação do produto.
|
Limitações
|
A integração do BeyondCorp Enterprise com VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
policytroubleshooter.googleapis.com
|
Detalhes
|
Ao restringir a API Policy Troubleshooter com um perímetro,
os principais só podem resolver problemas de políticas de permissão do IAM se todos os recursos
envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há dois
recursos envolvidos em uma solicitação de solução de problemas:
-
O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser
de qualquer tipo. Especifique explicitamente esse recurso ao resolver problemas de uma
política de permissão.
-
O recurso que você está usando para resolver problemas de acesso. Esse recurso é
um projeto, uma pasta ou uma organização. No Console do Google Cloud e na
CLI gcloud, esse recurso é inferido com base no projeto, na pasta
ou na organização selecionada. Na API REST, você especifica esse recurso
usando o cabeçalho x-goog-user-project .
Esse recurso pode ser igual ao recurso para o qual você está resolvendo problemas de acesso, mas
não precisa ser.
Se esses recursos não estiverem no mesmo perímetro, a solicitação falhará.
Para mais informações sobre o Solucionador de problemas de políticas, consulte a
documentação do produto.
|
Limitações
|
A integração do Solucionador de problemas de políticas ao VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
policysimulator.googleapis.com
|
Detalhes
|
Ao restringir a API do Simulador de política com um perímetro, os principais
podem simular políticas de permissão somente se determinados recursos envolvidos na
simulação estiverem no mesmo perímetro. Vários recursos são envolvidos em uma simulação:
-
O recurso cuja política de permissão você está simulando. Esse recurso também é chamado de recurso de destino. No console do Google Cloud, esse é o recurso
com a política de permissão que você está editando. Na CLI gcloud e na API REST,
você especifica esse recurso explicitamente ao simular uma
política de permissão.
-
O projeto, a pasta ou a organização que cria e executa
a simulação. Esse recurso também é chamado de recurso
de host. No Console do Google Cloud e na
CLI gcloud, esse recurso é inferido com base no projeto, na pasta
ou na organização selecionada. Na API REST, você especifica esse recurso
usando o cabeçalho x-goog-user-project .
Esse recurso pode ser igual ao recurso para que você está resolvendo problemas de acesso, mas
não precisa ser.
-
O recurso que fornece registros de acesso para a
simulação. Em uma simulação, há sempre um recurso
que fornece registros de acesso para a simulação. Este recurso varia
de acordo com o tipo de recurso de destino:
- Se você estiver simulando uma política de permissão para um projeto ou organização, o Simulador de política recupera os registros de acesso desse projeto ou
dessa organização.
- Se você estiver simulando uma política de permissão para um tipo diferente de recurso,
o Simulador de política recupera os registros de acesso do projeto-pai ou da
organização-pai desse recurso.
- Se você estiver simulando as políticas de permissão de vários recursos de uma só vez, o Simulador de políticas recupera os registros de acesso do projeto ou da organização comum mais
próximo dos recursos.
-
Todos os recursos compatíveis com as políticas de permissão relevantes.
Quando o Simulador de política executa uma simulação,
ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo as
políticas de permissão nos recursos ancestrais e descendentes do recurso de destino. Como
resultado, esses recursos ancestrais e descendentes também são envolvidos em
simulações.
Se o recurso de destino e o de host não estiverem no mesmo
perímetro, a solicitação falhará.
Se o recurso de destino e o recurso que fornece registros de acesso para a simulação
não estiverem no mesmo perímetro, a solicitação falhará.
Se o recurso de destino e alguns recursos compatíveis com políticas de permissão
relevantes não estiverem no mesmo perímetro, as solicitações são bem-sucedidas, mas os
resultados podem ser incompletos. Por exemplo, se você estiver simulando uma política
para um projeto em um perímetro, os resultados não incluirão a política de permissão
da organização-pai do projeto, porque as organizações estão sempre
fora dos perímetros do VPC Service Controls. Para ver resultados mais
completos, configure regras de entrada e
saída para o perímetro.
Para mais informações sobre o Simulador de política, consulte a
documentação do produto.
|
Limitações
|
A integração do Simulador de política com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
essentialcontacts.googleapis.com
|
Detalhes
|
A API para Essential Contacts pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre os Essential Contacts, consulte a
documentação do produto.
|
Limitações
|
A integração do Essentials com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
identitytoolkit.googleapis.com
|
Detalhes
|
A API para Identity Platform pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Identity Platform, consulte a
documentação do produto.
|
Limitações
|
Para proteger totalmente o Identity Platform, adicione a API Secure Token (securetoken.googleapis.com ) ao
perímetro de serviço para permitir a atualização do token.
Se o aplicativo também for integrado ao recurso de funções de bloqueio, adicione o Cloud Functions (cloudfunctions.googleapis.com ) ao
perímetro de serviço.
O uso da autenticação multifator (MFA, na sigla em inglês) por SMS, da autenticação de e-mail ou de provedores de identidade de terceiros faz com que os dados sejam enviados para fora do perímetro. Se você não usa a MFA com SMS, autenticação de e-mail ou provedores de identidade de terceiros, desative esses recursos.
|
|
|
Status
|
Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
gkemulticloud.googleapis.com
|
Detalhes
|
A API do Anthos Multi-Cloud pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.
Para mais informações sobre o Anthos Multi-Cloud, consulte a
documentação do produto.
|
Limitações
|
Para proteger totalmente o Identity Platform, adicione a API Secure Token (securetoken.googleapis.com ) ao
perímetro de serviço para permitir a atualização do token.
Se o aplicativo também for integrado ao recurso de funções de bloqueio, adicione o Cloud Functions (cloudfunctions.googleapis.com ) ao
perímetro de serviço.
O uso da autenticação multifator (MFA, na sigla em inglês) por SMS, da autenticação de e-mail ou de provedores de identidade de terceiros faz com que os dados sejam enviados para fora do perímetro. Se você não usa a MFA com SMS, autenticação de e-mail ou provedores de identidade de terceiros, desative esses recursos.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
publicca.googleapis.com
|
Detalhes
|
A API da Public Certificate Authority pode ser protegida pelo VPC Service Controls, e o produto pode ser
usado normalmente dentro de perímetros de serviço.
Para mais informações sobre a Public Certificate Authority, consulte a
documentação do produto.
|
Limitações
|
A integração da Public Certificate Authority com o VPC Service Controls não tem limitações conhecidas.
|
|
|
Status
|
Visualização. A integração deste produto com o VPC Service Controls está em pré-lançamento
e está pronta para testes e usos mais amplos, mas não é totalmente compatível com ambientes de
produção.
|
Proteção com perímetros?
|
Sim. É possível configurar os perímetros para proteger este serviço.
|
Nome do serviço
|
datapipelines.googleapis.com
|
Detalhes
|
Para proteger totalmente os pipelines de dados do Dataflow, inclua todas as APIs a seguir no
perímetro:
- Dataflow API (
dataflow.googleapis.com )
- API Cloud Scheduler (
cloudscheduler.googleapis.com )
- API Container Registry (
containerregistry.googleapis.com )
Consulte mais informações sobre os pipelines de dados do Dataflow na documentação do produto.
|
Limitações
|
A integração dos pipelines de dados do Dataflow com o VPC Service Controls não tem limitações conhecidas.
|
|