Esta página contém uma tabela de produtos e serviços compatíveis com o VPC Service Controls e uma lista de limitações conhecidas com determinados serviços e interfaces.
Produtos compatíveis
O VPC Service Controls é compatível com os produtos a seguir:
| Produtos compatíveis | |||||
|---|---|---|---|---|---|
AI Platform Prediction |
|
||||
AI Platform Training |
|
||||
AI Platform Notebooks |
|
||||
Anthos Service Mesh |
|
||||
Artifact Registry |
|
||||
AutoML Natural Language |
|
||||
AutoML Tables |
|
||||
AutoML Translation |
|
||||
AutoML Video Intelligence |
|
||||
AutoML Vision |
|
||||
BigQuery |
|
||||
Cloud Bigtable |
|
||||
Autorização binária |
|
||||
Data Catalog |
|
||||
Cloud Data Fusion |
|
||||
Compute Engine |
|
||||
Dataflow |
|
||||
Dataproc |
|
||||
Cloud Data Loss Prevention |
|
||||
Cloud Functions |
|
||||
Cloud Key Management Service |
|
||||
Game Servers |
|
||||
Serviço gerenciado para Microsoft Active Directory |
|
||||
Secret Manager |
|
||||
Pub/Sub |
|
||||
Cloud Composer |
|
||||
Cloud Spanner |
|
||||
Cloud Storage |
|
||||
Cloud SQL |
|
||||
API Video Intelligence |
|
||||
API Cloud Vision |
|
||||
Container Analysis |
|
||||
Container Registry |
|
||||
Google Kubernetes Engine |
|
||||
Resource Manager |
|
||||
Cloud Logging |
|
||||
Cloud Monitoring |
|
||||
Cloud Profiler |
|
||||
Cloud Trace |
|
||||
Cloud TPU |
|
||||
API Natural Language |
|
||||
API Cloud Asset |
|
||||
Conversão de voz em texto |
|
||||
Conversão de texto em voz |
|
||||
Tradução |
|
||||
Aprovação de acesso |
|
||||
API Cloud Healthcare |
|
||||
Serviço de transferência do Cloud Storage |
|
||||
Service Control |
|
||||
Memorystore for Redis |
|
||||
Diretório de serviços |
|
||||
Para mais informações, leia sobre serviços compatíveis e incompatíveis.
APIs e perímetros de serviço
Nem todos os produtos compatíveis com o VPC Service Controls têm um serviço passível de proteção por um perímetro de serviço. Somente as seguintes APIs podem ser protegidas com um perímetro:
| APIs e endereços de serviço | |
|---|---|
| API Access Approval | accessapproval.googleapis.com |
| API AI Platform Training e Prediction | ml.googleapis.com |
| API Artifact Registry | artifactregistry.googleapis.com |
| API AutoML |
automl.googleapis.com eu-automl.googleapis.com |
| API BigQuery | bigquery.googleapis.com |
| API Cloud Bigtable | bigtable.googleapis.com |
| API Binary Authorization | binaryauthorization.googleapis.com |
| API Cloud Asset Inventory | cloudasset.googleapis.com |
| API Data Catalog | datacatalog.googleapis.com |
| API Cloud Data Fusion | datafusion.googleapis.com |
| API Cloud Composer | composer.googleapis.com |
| API Dataflow | dataflow.googleapis.com |
| Dataproc API | dataproc.googleapis.com |
| API Cloud Data Loss Prevention | dlp.googleapis.com |
| API Cloud Functions | cloudfunctions.googleapis.com |
| API Game Servers | gameservices.googleapis.com |
| API Cloud Key Management Service | cloudkms.googleapis.com |
| API Secret Manager | secretmanager.googleapis.com |
| API Cloud Natural Language | language.googleapis.com |
| API Managed Service para Microsoft Active Directory | managedidentities.googleapis.com |
| API Pub/Sub | pubsub.googleapis.com |
| API Cloud Service Mesh Certificate Authority | meshca.googleapis.com |
| API Cloud Spanner | spanner.googleapis.com |
| API Cloud Storage | storage.googleapis.com |
| API Storage Transfer Service | storagetransfer.googleapis.com |
| API Cloud SQL | sqladmin.googleapis.com |
| API Cloud Vision | vision.googleapis.com |
| API Container Analysis | containeranalysis.googleapis.com |
| API Container Registry | containerregistry.googleapis.com |
| API Google Kubernetes Engine | container.googleapis.com |
| API GKE Connect | gkeconnect.googleapis.com |
| API GKE Hub | gkehub.googleapis.com |
| API Resource Manager | cloudresourcemanager.googleapis.com |
| API Cloud Logging | logging.googleapis.com |
| API Memorystore for Redis | redis.googleapis.com |
| API Cloud Monitoring | monitoring.googleapis.com |
| API Cloud Profiler | profiler.googleapis.com |
| API Speech-to-Text | speech.googleapis.com |
| API Text-to-Speech | texttospeech.googleapis.com |
| API Cloud Translation | translate.googleapis.com |
| API Cloud Trace | cloudtrace.googleapis.com |
| API Cloud TPU | tpu.googleapis.com |
| API Video Intelligence | videointelligence.googleapis.com |
| API Cloud Healthcare | healthcare.googleapis.com |
| Service Control | servicecontrol.googleapis.com |
| Diretório de serviços | servicedirectory.googleapis.com |
Serviços VIP restritos compatíveis
O IP virtual restrito (VIP, na sigla em inglês) fornece uma maneira para as VMs que estão dentro de um perímetro de serviço fazer chamadas para os serviços do Google Cloud sem expor as solicitações à Internet. Para ver uma lista completa dos serviços disponíveis no VIP restrito, consulte Serviços compatíveis com o VIP restrito.
Serviços incompatíveis
A tentativa de restringir um serviço incompatível usando a ferramenta de linha de comando gcloud ou
a API Access Context Manager gera erro.
O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.
Limitações conhecidas
Nesta seção, descrevemos as limitações conhecidas para determinados serviços, produtos e interfaces do Google Cloud que podem ser encontradas ao usar o VPC Service Controls.
Para mais informações sobre como resolver problemas com o VPC Service Controls, consulte a página Solução de problemas.
AI Platform Prediction
Para proteger totalmente o AI Platform Prediction, adicione todas as APIs a seguir ao perímetro de serviço:
- API AI Platform Training e Prediction (
ml.googleapis.com) - API Pub/Sub (
pubsub.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Google Kubernetes Engine (
container.googleapis.com) - API Container Registry (
containerregistry.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.
- API AI Platform Training e Prediction (
A previsão em lote não é compatível com o AI Platform Prediction dentro de um perímetro de serviço.
O AI Platform Prediction e o AI Platform Training usam a API AI Platform Training e a API Prediction. Por isso, é necessário configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.
AI Platform Training
Para proteger totalmente os jobs de treinamento do AI Platform Training, adicione todas as APIs a seguir ao perímetro de serviço:
- API AI Platform Training e Prediction (
ml.googleapis.com) - API Pub/Sub (
pubsub.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Google Kubernetes Engine (
container.googleapis.com) - API Container Registry (
containerregistry.googleapis.com) - API Cloud Logging (
logging.googleapis.com)
Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.
- API AI Platform Training e Prediction (
O treinamento com TPUs não é compatível quando você usa o AI Platform Training dentro de um perímetro de serviço.
O AI Platform Training e o AI Platform Prediction usam a API AI Platform Training e a API Prediction. Portanto, você precisa configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.
AI Platform Notebooks
Para usar os AI Platform Notebooks em um perímetro de serviço do VPC Service Controls, é preciso adicionar ou configurar várias entradas DNS que apontem os seguintes domínios para o VIP restrito:
- *.notebooks.googleapis.com
- *.datalab.cloud.google.com
- *.notebooks.cloud.google.com
- *.notebooks.googleusercontent.com
App Engine
O App Engine (ambientes padrão e flexível) não é compatível com o VPC Service Controls. Não inclua projetos do App Engine em perímetros de serviço.
No entanto, é possível permitir que aplicativos do App Engine criados em projetos fora dos perímetros de serviço leiam e gravem dados em serviços protegidos dentro de perímetros. Para permitir que seu app acesse dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do App Engine do projeto. Isso não permite que o App Engine seja usado dentro de perímetros de serviço.
Artifact Registry
Como o domínio googleapis.com não está sendo usado, o Artifact Registry
precisa ser configurado, por DNS particular ou BIND, para ser mapeado para o VIP
restrito separadamente de outras APIs. Para mais informações, consulte
Como proteger repositórios em um perímetro de serviço.
BigQuery
O VPC Service Controls não é compatível com a cópia de recursos do BigQuery protegidos por um perímetro de serviço para outra organização. Os níveis de acesso não permitem a cópia entre organizações.
Para copiar recursos protegidos do BigQuery para outra organização, faça o download do conjunto de dados (por exemplo, como um arquivo CSV) e faça upload desse arquivo para a outra organização.
O serviço de transferência de dados do BigQuery é compatível com os serviços a seguir:
Apps de software como serviço (SaaS, na sigla em inglês) do Google- Campaign Manager
- Cloud Storage
- Google Ad Manager
- Google Ads
- Google Merchant Center (Beta)
- Google Play
- Search Ads 360 (Beta)
- Relatórios de canais do YouTube
- Relatórios de proprietários do conteúdo do YouTube
A IU da Web Clássica do BigQuery não é compatível. Uma instância do BigQuery protegida por um perímetro de serviço não pode ser acessada com a IU da Web Clássica do BigQuery.
Os registros de auditoria do BigQuery nem sempre incluem todos os recursos que foram usados quando uma solicitação é feita, devido ao serviço que processa internamente o acesso a vários recursos.
Quando você usa uma conta de serviço para acessar uma instância do BigQuery protegida por um perímetro de serviço, o job do BigQuery precisa ser executado em um projeto dentro do perímetro. Por padrão, as bibliotecas de cliente do BigQuery executam jobs na conta de serviço ou no projeto do usuário, fazendo com que a consulta seja rejeitada pelo VPC Service Controls.
Bibliotecas de cliente
As bibliotecas de cliente Java e Python para todos os serviços compatíveis têm permissão total de acesso usando o VIP restrito. O suporte para outras linguagens está na fase Alfa e deve ser usado apenas para fins de teste.
Os clientes precisam usar bibliotecas de cliente que foram atualizadas a partir de 1º de novembro de 2018.
As chaves da conta de serviço ou os metadados do cliente OAuth2 usados pelos clientes precisam ser atualizados a partir de 1º de novembro de 2018. Os clientes mais antigos que usam o endpoint de token precisam mudar para o endpoint especificado nos metadados de material/cliente de chave mais recentes.
Cloud Billing
- A fim de permitir a exportação do Cloud Billing para um bucket do Cloud Storage ou uma instância do BigQuery em um projeto protegido por um perímetro de serviço, o usuário que está configurando a exportação deve ser adicionado temporariamente a um nível de acesso do perímetro.
Cloud Build
O Cloud Build não é compatível com o VPC Service Controls. Não use o Cloud Build dentro de perímetros de serviço.
No entanto, é possível permitir que o Cloud Build, em projetos fora de perímetros de serviço, leia e grave dados em serviços protegidos dentro de perímetros. Para permitir que o Cloud Build acesse os dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do Cloud Build do projeto. Isso não permite que o Cloud Build seja usado dentro de perímetros de serviço.
Cloud Composer
A ativação da serialização do DAG impede que o Airflow exiba um modelo renderizado com funções na IU da Web.
A definição da sinalização
async_dagbag_loadercomoTruenão é compatível enquanto a serialização do DAG está ativada.A ativação da serialização do DAG desativa todos os plug-ins do servidor da Web do Airflow porque eles podem arriscar a segurança da rede VPC em que o Cloud Composer está implantado. Isso não afeta o comportamento dos plug-ins do programador ou do worker, incluindo os operadores e sensores do Airflow.
Quando o Cloud Composer está sendo executado em um perímetro, o acesso a repositórios PyPI públicos é restrito. Na documentação do Cloud Composer, consulte Como instalar dependências do Python para saber como instalar os módulos do PyPi no modo de IP particular.
Cloud Data Fusion
Estabeleça o perímetro de segurança do VPC Service Controls antes de criar a instância particular do Cloud Data Fusion. A proteção de perímetro para instâncias criadas antes da configuração do VPC Service Controls não é compatível.
Atualmente, a IU do plano de dados do Cloud Data Fusion não é compatível com a especificação de níveis de acesso usando o acesso baseado em identidade.
Para mais informações, consulte Como usar o VPC Service Controls com o Cloud Data Fusion.
Dataflow
- O BIND personalizado não é compatível com o Dataflow. Para personalizar a resolução de DNS ao usar o Dataflow com o VPC Service Controls, use as zonas particulares do Cloud DNS em vez de usar servidores BIND personalizados. Para usar sua própria resolução de DNS local, use um método de encaminhamento de DNS do Google Cloud.
Nem todos os conectores do serviço de armazenamento foram verificados quanto ao funcionamento quando usados com o Dataflow dentro de um perímetro de serviço. Para uma lista de conectores verificados, consulte os Detalhes do Dataflow.
- Ao usar o Python 3.5 com o SDK do Apache Beam 2.20.0‐2.22.0, os jobs do Dataflow falharão na inicialização se os workers tiverem apenas endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos. Se os workers do Dataflow só puderem ter endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos, não use o Python 3.5 com o SDK do Apache Beam 2.20.0-2.22.0. Essa combinação faz com que os jobs falhem na inicialização.
Dataproc
- Para proteger um cluster do Dataproc com um perímetro de serviço, siga as instruções para configurar a conectividade particular para permitir que o cluster funcione dentro do perímetro.
Cloud Functions
O Cloud Functions usa o Cloud Build para criar seu código-fonte em um contêiner executável. Para usar o Cloud Functions dentro de um perímetro de serviço, é preciso configurar um nível de acesso para a conta de serviço do Cloud Build no perímetro de serviço.
Para permitir que suas funções usem dependências externas, como pacotes npm, o Cloud Build tem acesso ilimitado à Internet. Esse acesso à Internet pode ser usado para exfiltrar dados disponíveis no momento da criação, como o código-fonte enviado por upload. Se você quiser reduzir esse vetor de exfiltração, recomendamos permitir que apenas desenvolvedores confiáveis implantem funções. Não conceda os papéis do IAM Proprietário, Editor ou Desenvolvedor do Cloud Functions a desenvolvedores não confiáveis.
Para gatilhos do Firebase Realtime Database e do Firebase Crashlytics, um usuário pode implantar uma função que pode ser desencadeada por alterações em um Firebase Realtime Database ou Firebase Crashlytics em outro projeto fora do perímetro de serviço do projeto em que a função está implantada. Se você quiser reduzir o vetor de exfiltração desses dois gatilhos, recomendamos permitir que apenas desenvolvedores confiáveis implantem funções. Não conceda os papéis do IAM Proprietário, Editor ou Desenvolvedor do Cloud Functions a desenvolvedores não confiáveis.
Pub/Sub
- Em projetos protegidos por um perímetro de serviço, não é possível criar novas assinaturas de push.
- Assinaturas de push do Pub/Sub criadas antes do perímetro de serviço não serão bloqueadas.
Cloud Shell
- O Cloud Shell não é compatível. Ele é considerado fora dos perímetros de serviço e com acesso negado aos dados protegidos pelo VPC Service Controls.
Cloud Storage
Ao usar o recurso Pagamentos do solicitante em um bucket de armazenamento dentro de um perímetro de serviço que protege o serviço do Cloud Storage, não é possível identificar um projeto para pagar fora do perímetro. O projeto de destino precisa estar no mesmo perímetro do bucket de armazenamento ou em uma ponte do perímetro com o projeto do bucket.
Para mais informações sobre Pagamentos do solicitante, consulte os requisitos de uso e acesso de Pagamentos do solicitante.
Para projetos em um perímetro de serviço, a página do Cloud Storage no Console do Cloud não ficará acessível se a API Cloud Storage estiver protegida por esse perímetro. Se você quiser conceder acesso à página, crie um nível de acesso que inclua as contas de usuário ou um intervalo de IPs públicos ao qual você quer permitir o acesso à API Cloud Storage.
Nos registros de auditoria, o campo
resourceNamenão identifica o projeto a que o bucket pertence. O projeto precisa ser descoberto separadamente.Nos registros de auditoria, o valor de
methodNamenem sempre está correto. Recomendamos não filtrar registros de auditoria do Cloud Storage pormethodName.Em certos casos, os registros de intervalos legados do Cloud Storage podem ser gravados em destinos fora de um perímetro de serviço, mesmo quando o acesso é negado.
Quando você tenta usar
gsutilpela primeira vez em um novo projeto, pode ser solicitado a ativar o serviçostorage-api.googleapis.com. Embora não seja possível protegerstorage-api.googleapis.comdiretamente, quando você protege a API Cloud Storage usando um perímetro de serviço, as operações degsutiltambém são protegidas.
Compute Engine
No momento, não é possível proteger a API Compute Engine usando um perímetro de serviço.
Para permitir a criação de uma imagem do Compute Engine de um Cloud Storage em um projeto protegido por um perímetro de serviço, o usuário que está criando a imagem deve ser adicionado temporariamente a um nível de acesso do perímetro.
O uso do Kubernetes com o Compute Engine dentro de um perímetro de serviço não é compatível com o VPC Service Controls.
Container Registry
Como o domínio
googleapis.comnão está sendo usado, o Container Registry precisa ser configurado, por DNS particular ou BIND, para ser mapeado para o VIP restrito separadamente de outras APIs. Para mais informações, consulte Como proteger o Container Registry em um perímetro de serviço.Além dos contêineres dentro de um perímetro que estão disponíveis para o Container Registry, os seguintes repositórios somente leitura gerenciados pelo Google estão disponíveis a todos os projetos, seja qual for o perímetro de serviço:
- gcr.io/asci-toolchain
- gcr.io/cloud-airflow-releaser
- gcr.io/cloud-builders
- gcr.io/cloud-dataflow
- gcr.io/cloud-marketplace
- gcr.io/cloud-ssa
- gcr.io/cloudsql-docker
- gcr.io/config-management-release
- gcr.io/foundry-dev
- gcr.io/fn-img
- gcr.io/gke-node-images
- gcr.io/gke-release
- gcr.io/google-containers
- gcr.io/kubeflow
- gcr.io/kubeflow-images-public
- gcr.io/kubernetes-helm
- gcr.io/istio-release
- gcr.io/ml-pipeline
- gcr.io/projectcalico-org
- gcr.io/rbe-containers
- gcr.io/rbe-windows-test-images
- gcr.io/speckle-umbrella
- gcr.io/stackdriver-agents
- gcr.io/tensorflow
- gke.gcr.io
- k8s.gcr.io
- mirror.gcr.io
Em todos os casos, as versões regionais desses repositórios também estão disponíveis.
Console do Google Cloud
Como o Console do Cloud só pode ser acessado pela Internet, ele é tratado como recurso externo aos perímetros de serviço. Quando você aplica um perímetro de serviço, a interface do Console do Cloud dos serviços protegidos pode ficar parcial ou totalmente inacessível. Por exemplo, se você protegeu o Logging com o perímetro, não será possível acessar a interface dele no Console do Cloud.
Para permitir o acesso do Console do Cloud a recursos protegidos por um perímetro, você precisa criar um nível de acesso para um intervalo de IPs públicos que inclua as máquinas dos usuários que querem usar o Console do Cloud com APIs protegidas. Por exemplo, adicione o intervalo de IPs públicos do gateway NAT de sua rede particular a um nível de acesso e, em seguida, atribua esse nível de acesso ao perímetro de serviço.
Se você quiser limitar o acesso do Console do Cloud ao perímetro a apenas um conjunto específico de usuários, também é possível adicioná-los a um nível de acesso. Nesse caso, somente os usuários especificados poderão acessar o Console do Cloud.
Resource Manager
- Os únicos métodos protegidos da API Resource Manager são
v1
project.setIAMPolicye v1beta1project.setIAMPolicy.
Cloud Logging
Os coletores de exportação agregados (coletores de pastas ou organizações em que
includeChildrenétrue) podem acessar dados de projetos dentro de um perímetro de serviço. Recomendamos que o IAM seja usado para gerenciar as permissões do Logging no nível da pasta e da organização.Como o VPC Service Controls atualmente não é compatível com recursos de pasta e organização, as exportações de registros nesses níveis (incluindo registros agregados) não são compatíveis com perímetros de serviço. Recomendamos que o IAM seja usado para restringir exportações às contas de serviço necessárias para interagir com os serviços protegidos por perímetro.
Para configurar uma exportação de registros de organização ou pasta para um recurso protegido por um perímetro de serviço, é preciso adicionar a conta de serviço desse coletor de registros a um nível de acesso e, em seguida, atribuí-la ao perímetro de serviço de destino. Isso não é necessário a exportações de registros para envolvidos no projeto.
Para mais informações, consulte as páginas a seguir:
Memorystore for Redis
Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Redis dentro da mesma rede.
Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Redis só poderão ler e gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da instância do Memorystore for Redis.
Cloud Monitoring
Canais de notificação, políticas de alertas e métricas personalizadas podem ser usados juntos para exfiltrar dados/metadados. A partir de hoje, um usuário do Monitoring pode configurar um canal de notificação que aponta para uma entidade fora da organização, por exemplo, "baduser@badcompany.com". Em seguida, o usuário configura métricas personalizadas e políticas de alertas correspondentes que utilizam o canal de notificação. Consequentemente, ao manipular as métricas personalizadas, o usuário pode acionar alertas e enviar notificações de disparo de alertas, exfiltrando dados confidenciais para baduser@badcompany.com, fora do perímetro do VPC Service Controls.
O Monitoring no Console do Google Cloud é compatível com o VPC Service Controls, mas o VPC Service Controls não é totalmente compatível com o console clássico do Cloud Monitoring.
As VMs do Compute Engine ou da AWS equipadas com o Agente do Monitoring precisam estar dentro do perímetro do VPC Service Controls, senão as gravações de métricas de agente falharão.
Todos os pods do GKE precisam estar dentro do perímetro do VPC Service Controls, senão o GKE Monitoring não funcionará.
Nas consultas de métricas de um espaço de trabalho, apenas o perímetro do VPC Service Controls do projeto host do espaço de trabalho é considerado, não os perímetros dos projetos monitorados individuais no espaço de trabalho.
Só é possível adicionar um projeto como monitorado a um espaço de trabalho atual se ele estiver no mesmo perímetro do VPC Service Controls que o projeto host.
Para acessar o Monitoring no Console do Cloud para um projeto host protegido por um perímetro de serviço, use níveis de acesso.
API Cloud Asset
- Na chamada à API Cloud Asset no nível de pasta ou organização, ainda é possível acessar os dados de projetos dentro de um perímetro de serviço que pertençam à pasta ou à organização. Recomendamos usar o IAM para gerenciar as permissões do Inventário de recursos do Cloud nos níveis da pasta e organização.
Cloud SQL
Os perímetros de serviço protegem apenas a API Cloud SQL Admin. Eles não protegem o acesso a dados com base em IP nas instâncias do Cloud SQL. Você precisa usar uma restrição de política da organização para restringir o acesso ao IP público nas instâncias do Cloud SQL.
As importações e exportações do Cloud SQL só podem executar leituras e gravações de um bucket do Cloud Storage no mesmo perímetro de serviço da instância de réplica do Cloud SQL. No fluxo de migração do servidor externo, você precisa adicionar o bucket do Cloud Storage ao mesmo perímetro de serviço. Ao criar um fluxo de chave para a CMEK, você precisa criar a chave no mesmo perímetro de serviço que os recursos que a utilizam. Observação: na restauração de uma instância de um backup, a instância de destino precisa residir no mesmo perímetro de serviço que o backup.
Serviço de transferência do Cloud Storage
- O serviço de transferência de dados locais não oferece uma API e, portanto, não é compatível com recursos relacionados à API no VPC Service Controls.
Service Control
- Quando você chama a API Service Control de uma rede VPC em um perímetro de serviço com o Service Control restrito, não é possível usar o método Relatório do Service Control para gerar relatórios de métricas de faturamento e análises.