Produtos e limitações compatíveis

Esta página contém uma tabela de produtos e serviços compatíveis com o VPC Service Controls e uma lista de limitações conhecidas com determinados serviços e interfaces.

Produtos compatíveis

O VPC Service Controls é compatível com os produtos a seguir:

Produtos compatíveis Descrição

Cloud Search

Status GA
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudsearch.googleapis.com
Detalhes

O Google Cloud Search é compatível com os controles de segurança da nuvem privada virtual (VPC-SC, na sigla em inglês) para aumentar a segurança dos dados. Os VPC-SC permitem definir um perímetro de segurança em torno dos recursos do Google Cloud Platform para restringir dados e ajudar a reduzir os riscos de exfiltração de dados.

Para mais informações sobre o Cloud Search, consulte a documentação do produto.

Limitações

Como os recursos do Cloud Search não são armazenados em um projeto do GCP, é necessário atualizar as configurações do cliente do Cloud Search com o projeto protegido do perímetro VPC. O projeto de VPC atua como um contêiner de projeto virtual para todos os seus recursos do Cloud Search. Sem criar esse mapeamento, o VPC Service Controls não funcionará para a API Cloud Search.

Para ver todas as etapas de ativação do VPC Service Controls com o Google Cloud Search, consulte Aumentar a segurança do Google Cloud Search.

Connectivity Tests

Status Visualizar
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço networkmanagement.googleapis.com
Detalhes

A API do Testes de conectividade pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Testes de conectividade, consulte a documentação do produto.

Limitações

A integração do Testes de conectividade com o VPC Service Controls não tem limitações conhecidas.

Previsão da AI Platform

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço ml.googleapis.com
Detalhes

O VPC Service Controls é compatível com a previsão on-line, mas não com a previsão em lote.

Para mais informações sobre o AI Platform Prediction, consulte a documentação do produto.

Limitações
  • Para proteger totalmente o AI Platform Prediction, adicione todas as APIs a seguir ao perímetro de serviço:

    • API AI Platform Training and Prediction (ml.googleapis.com)
    • API Pub/Sub (pubsub.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Google Kubernetes Engine (container.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)
    • API Cloud Logging (logging.googleapis.com)

    Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.

  • A previsão em lote não é compatível com o AI Platform Prediction dentro de um perímetro de serviço.

  • O AI Platform Prediction e o AI Platform Training usam a API AI Platform Training and Prediction. Por isso, é necessário configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.

AI Platform Training

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço ml.googleapis.com
Detalhes

A API do AI Platform Training pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o AI Platform Training, consulte a documentação do produto.

Limitações
  • Para proteger totalmente os jobs de treinamento do AI Platform Training, adicione todas as APIs a seguir ao perímetro de serviço:

    • API AI Platform Training and Prediction (ml.googleapis.com)
    • API Pub/Sub (pubsub.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Google Kubernetes Engine (container.googleapis.com)
    • API Container Registry (containerregistry.googleapis.com)
    • API Cloud Logging (logging.googleapis.com)

    Leia mais sobre como configurar o VPC Service Controls para o AI Platform Training.

  • O treinamento com TPUs não é compatível quando você usa o AI Platform Training dentro de um perímetro de serviço.

  • O AI Platform Training e o AI Platform Prediction usam a API AI Platform Training and Prediction. Por isso, é necessário configurar o VPC Service Controls para os dois produtos. Leia mais sobre como configurar o VPC Service Controls para o AI Platform Prediction.

Notebooks

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço notebooks.googleapis.com
Detalhes

A API do Notebooks pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Notebooks, consulte a documentação do produto.

Limitações
  • Para usar o Notebooks em um perímetro de serviço do VPC Service Controls, é preciso adicionar ou configurar várias entradas DNS que apontem os seguintes domínios para o VIP restrito:

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

Vertex AI

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço aiplatform.googleapis.com
Detalhes

A API da Vertex AI pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Vertex AI, consulte a documentação do produto.

Limitações

Para mais informações sobre limitações, consulte limitações na documentação da Vertex AI.

Apigee e Apigee híbrida

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço apigee.googleapis.com,
apigeeconnect.googleapis.com
Detalhes

A API para Apigee híbrida e a Apigee pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre Apigee e Apigee híbrida, consulte a documentação do produto.

Limitações

As integrações da Apigee com VPC Service Controls têm as seguintes limitações:

  • Os portais integrados exigem medidas adicionais para serem configuradas.
  • É necessário implantar os portais do Drupal dentro do perímetro de serviço.

Anthos Service Mesh

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço meshca.googleapis.com
Detalhes

A API do Anthos Service Mesh pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Anthos Service Mesh, consulte a documentação do produto.

Limitações

No momento, os perímetros de serviço não são compatíveis com o plano de controle gerenciado do Anthos Service Mesh.

Artifact Registry

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço artifactregistry.googleapis.com
Detalhes

Além de proteger a API Artifact Registry, o Artifact Registry pode ser usado dentro de perímetros de serviço com o GKE e o Compute Engine.

Para mais informações sobre o Artifact Registry, consulte a documentação do produto.

Limitações
  • Como o Artifact Registry usa o domínio pkg.dev, configure o DNS para que *.pkg.dev mapeie para private.googleapis.com ou restricted.googleapis.com. Para mais informações, consulte Proteger repositórios em um perímetro de serviço.
  • Além dos artefatos dentro de um perímetro que estão disponíveis para o Artifact Registry, os seguintes repositórios do Container Registry gerenciados somente pelo Google estão disponíveis para todos os projetos, independentemente dos perímetros de serviço:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gcr.io/vertex-ai
    • gcr.io/vertex-ai-restricted
    • gke.gcr.io
    • k8s.gcr.io

    Em todos os casos, as versões regionais desses repositórios também estão disponíveis.

    As imagens em cache em mirror.gcr.io estarão disponíveis somente se o Container Registry também estiver no perímetro.

AutoML Natural Language

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço automl.googleapis.com,
eu-automl.googleapis.com
Detalhes

Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

  • API AutoML (automl.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Compute Engine (compute.googleapis.com)
  • API BigQuery (bigquery.googleapis.com)

Para mais informações sobre o AutoML Natural Language, consulte a documentação do produto.

Limitações
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo endereço do serviço. Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

AutoML Tables

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço automl.googleapis.com,
eu-automl.googleapis.com
Detalhes

Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

  • API AutoML (automl.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Compute Engine (compute.googleapis.com)
  • API BigQuery (bigquery.googleapis.com)

Para mais informações sobre o AutoML Tables, consulte a documentação do produto.

Limitações
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo endereço do serviço. Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

AutoML Translation

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço automl.googleapis.com,
eu-automl.googleapis.com
Detalhes

Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

  • API AutoML (automl.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Compute Engine (compute.googleapis.com)
  • API BigQuery (bigquery.googleapis.com)

Para mais informações sobre o AutoML Translation, consulte a documentação do produto.

Limitações
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo endereço do serviço. Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

AutoML Video Intelligence

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço automl.googleapis.com,
eu-automl.googleapis.com
Detalhes

Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

  • API AutoML (automl.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Compute Engine (compute.googleapis.com)
  • API BigQuery (bigquery.googleapis.com)

Para mais informações sobre o AutoML Video Intelligence, consulte a documentação do produto.

Limitações
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo endereço do serviço. Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

AutoML Vision

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço automl.googleapis.com,
eu-automl.googleapis.com
Detalhes

Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

  • API AutoML (automl.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Compute Engine (compute.googleapis.com)
  • API BigQuery (bigquery.googleapis.com)

Para mais informações sobre o AutoML Vision, consulte a documentação do produto.

Limitações
Todos os produtos AutoML integrados ao VPC Service Controls usam o mesmo endereço do serviço. Para mais informações, consulte as limitações de uso dos produtos AutoML com o VPC Service Controls.

BigQuery

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço bigquery.googleapis.com
Detalhes

Quando você protege a API BigQuery usando um perímetro de serviço, a API BigQuery Storage também é protegida. Não é preciso adicionar separadamente a API BigQuery Storage à lista de serviços protegidos do seu perímetro.

Para mais informações sobre o BigQuery, consulte a documentação do produto.

Limitações
  • Os registros de auditoria do BigQuery nem sempre incluem todos os recursos que foram usados quando uma solicitação foi feita, devido ao serviço que processa internamente o acesso a vários recursos.

  • Ao acessar uma instância do BigQuery protegida por um perímetro de serviço, o job do BigQuery precisa ser executado em um projeto dentro do perímetro ou em um projeto permitido por uma regra de saída do perímetro. Por padrão, as bibliotecas de cliente do BigQuery executam jobs na conta de serviço ou no projeto do usuário, fazendo com que a consulta seja rejeitada pelo VPC Service Controls.

Serviço de transferência de dados do BigQuery

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço bigquerydatatransfer.googleapis.com
Detalhes

O perímetro de serviço protege apenas a API do serviço de transferência de dados do BigQuery. A proteção de dados real é aplicada pelo BigQuery. Ele foi projetado para permitir a importação de dados de várias fontes externas fora do Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, para os conjuntos de dados do BigQuery.

Para mais informações sobre o serviço de transferência de dados do BigQuery, consulte a documentação do produto.

Limitações
  • O serviço de transferência de dados do BigQuery não é compatível com a exportação de dados fora de um conjunto de dados do BigQuery. Consulte Como exportar dados de tabelas para mais informações.
  • O serviço de transferência de dados do BigQuery não é compatível com fontes de dados de terceiros para transferir dados em projetos protegidos por um perímetro de serviço.

Cloud Bigtable

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço bigtable.googleapis.com,
bigtableadmin.googleapis.com
Detalhes

A API do Cloud Bigtable pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Bigtable, consulte a documentação do produto.

Limitações

A integração do Cloud Bigtable com o VPC Service Controls não tem limitações conhecidas.

Autorização binária

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço binaryauthorization.googleapis.com
Detalhes

Ao usar vários projetos com autorização binária, cada projeto precisa ser incluído no perímetro do VPC Service Controls. Para mais informações sobre esse caso de uso, consulte Configuração de vários projetos.

Com a autorização binária, é possível usar o Container Analysis para armazenar atestadores e atestados como observações e ocorrências, respectivamente. Nesse caso, você também precisa incluir o Container Analysis no perímetro do VPC Service Controls. Consulte Orientação do VPC Service Controls para Container Analysis para mais detalhes.

Para mais informações sobre a autorização binária, consulte a documentação do produto.

Limitações

A integração da autorização binária com o VPC Service Controls não tem limitações conhecidas.

Certificate Authority Service

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço privateca.googleapis.com
Detalhes

A API do Certificate Authority Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Certificate Authority Service, consulte a documentação do produto.

Limitações
  • Para usar o serviço de autoridade de certificação em um ambiente protegido, você também precisa adicionar a API Cloud KMS (cloudkms.googleapis.com) e a API Cloud Storage (storage.googleapis.com) ao perímetro de serviço.

Data Catalog

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço datacatalog.googleapis.com
Detalhes O Data Catalog usa os perímetros automaticamente em outros serviços do Google Cloud.

Para mais informações sobre o Data Catalog, consulte a documentação do produto.

Limitações

A integração do Data Catalog com o VPC Service Controls não tem limitações conhecidas.

Cloud Data Fusion

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço datafusion.googleapis.com
Detalhes

O Cloud Data Fusion requer algumas etapas especiais para a proteção com VPC Service Controls.

Para mais informações sobre o Cloud Data Fusion, consulte a documentação do produto.

Limitações
  • Estabeleça o perímetro de segurança do VPC Service Controls antes de criar a instância particular do Cloud Data Fusion. A proteção de perímetro para instâncias criadas antes da configuração do VPC Service Controls não é compatível.

  • Atualmente, a IU do plano de dados do Cloud Data Fusion não é compatível com acesso baseado na identidade usando regras de entrada ou níveis de acesso.

Compute Engine

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço compute.googleapis.com
Detalhes

O suporte do VPC Service Controls para o Compute Engine oferece os seguintes benefícios de segurança:

  • Restringe o acesso a operações confidenciais da API.
  • Restringe snapshots de disco permanente e imagens personalizadas para um perímetro.
  • Restringe o acesso a metadados de instância.

O suporte do VPC Service Controls para o Compute Engine permite também que você utilize redes de nuvem privada virtual e clusters particulares do Google Kubernetes Engine dentro de perímetros de serviço.

Para mais informações sobre o Compute Engine, consulte a documentação do produto.

Limitações
  • Firewalls hierárquicos não são afetados por perímetros de serviço.

  • As operações de peering de VPC não impõem restrições de perímetro de serviço à VPC.

  • O método da API projects.ListXpnHosts para a VPC compartilhada não impõe restrições de perímetro de serviço aos projetos retornados.

  • Para permitir a criação de uma imagem do Compute Engine em um Cloud Storage em um projeto protegido por um perímetro de serviço, o usuário que está criando a imagem precisa ser adicionado temporariamente a uma regra de entrada do perímetro.

  • O VPC Service Controls não aceita o uso da versão de código aberto do Kubernetes em VMs do Compute Engine dentro de um perímetro de serviço.

  • O console serial interativo não é compatível com o VIP restrito. Se você precisar resolver problemas com sua instância usando o console serial, configure a resolução de DNS local para enviar comandos para ssh-serialport.googleapis.com pela Internet.

Contact Center AI Insights

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço contactcenterinsights.googleapis.com
Detalhes

Para usar o Contact Center AI Insights com o VPC Service Controls, é necessário ter as seguintes APIs adicionais dentro do seu perímetro, dependendo da sua integração.

  • Para carregar dados no Contact Center AI Insights, adicione a API Cloud Storage ao perímetro de serviço.

  • Para usar a exportação, adicione a API BigQuery ao seu perímetro de serviço.

  • Para integrar vários produtos CCAI, adicione a API Vertex AI ao perímetro de serviço.

Para mais informações sobre o Contact Center AI Insights, consulte a documentação do produto.

Limitações

A integração do Contact Center AI Insights com o VPC Service Controls não tem limitações conhecidas.

Dataflow

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço dataflow.googleapis.com
Detalhes

O Dataflow é compatível com vários conectores de serviço de armazenamento (em inglês). Os seguintes conectores foram verificados e funcionam com o Dataflow dentro de um perímetro de serviço:

Para mais informações sobre o Dataflow, consulte a documentação do produto.

Limitações

  • O BIND personalizado não é compatível com o Dataflow. Para personalizar a resolução de DNS ao usar o Dataflow com o VPC Service Controls, use as zonas particulares do Cloud DNS em vez de usar servidores BIND personalizados. Para usar sua própria resolução de DNS local, use um método de encaminhamento de DNS do Google Cloud.

  • Nem todos os conectores do serviço de armazenamento foram verificados quanto ao funcionamento quando usados com o Dataflow dentro de um perímetro de serviço. Para uma lista de conectores verificados, consulte os Detalhes do Dataflow.

  • Ao usar o Python 3.5 com o SDK do Apache Beam 2.20.0‐2.22.0, os jobs do Dataflow falharão na inicialização se os workers tiverem apenas endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos. Se os workers do Dataflow só puderem ter endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos, não use o Python 3.5 com o SDK do Apache Beam 2.20.0-2.22.0. Essa combinação faz com que os jobs falhem na inicialização.

Dataproc

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço dataproc.googleapis.com
Detalhes

O Cloud Dataproc requer algumas etapas especiais para proteção com o VPC Service Controls.

Para mais informações sobre o Dataproc, consulte a documentação do produto.

Limitações

  • Para proteger um cluster do Dataproc com um perímetro de serviço, siga as instruções para configurar a conectividade particular a fim de permitir que o cluster funcione dentro do perímetro.

Metastore do Dataproc

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço metastore.googleapis.com
Detalhes

A API do metastore do Dataproc pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o metastore do Dataproc, consulte a documentação do produto.

Limitações

A integração do metastore do Dataproc com o VPC Service Controls não tem limitações conhecidas.

Datastream

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço datastream.googleapis.com
Detalhes

A API do Datastream pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Datastream, consulte a documentação do produto.

Limitações

A integração do Datastream com o VPC Service Controls não tem limitações conhecidas.

Dialogflow

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço dialogflow.googleapis.com
Detalhes

A API do Dialogflow pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre o Dialogflow, consulte a documentação do produto.

Limitações

Cloud Data Loss Prevention

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço dlp.googleapis.com
Detalhes

A API do Cloud Data Loss Prevention pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Data Loss Prevention, consulte a documentação do produto.

Limitações
  • Como o VPC Service Controls atualmente não é compatível com recursos de pasta e organização, as chamadas de DLP podem retornar uma resposta 403 ao tentar acessar recursos em nível de organização. Recomendamos que o IAM seja usado para gerenciar as permissões do DLP no nível da pasta e da organização.

Cloud DNS

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço dns.googleapis.com
Detalhes

A do API Cloud DNS pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud DNS, consulte a documentação do produto.

Limitações

  • É possível acessar o Cloud DNS pelo VIP restrito. No entanto, não é possível criar ou atualizar zonas DNS públicas em projetos dentro do perímetro do VPC Service Controls.

Document AI

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço documentai.googleapis.com
Detalhes

A API da Document AI pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a Document AI, consulte a documentação do produto.

Limitações

A integração da Document AI com o VPC Service Controls não tem limitações conhecidas.

Eventarc

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço eventarc.googleapis.com
Detalhes

O Eventarc processa a entrega de eventos usando tópicos do Pub/Sub e envia assinaturas para o Cloud Run. Para acessar a API Pub/Sub e gerenciar acionadores de eventos, a API Eventarc precisa ser protegida no mesmo perímetro de serviço do VPC Service Controls que a API Pub/Sub.

Para mais informações sobre o Eventarc, consulte a documentação do produto.

Limitações

A integração do Eventarc com o VPC Service Controls não tem limitações conhecidas.

Cloud Functions

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudfunctions.googleapis.com
Detalhes

Consulte a documentação do Cloud Functions para ver as etapas de configuração. A proteção do VPC Service Controls não se aplica à fase de criação, quando o Cloud Functions é criado usando o Cloud Build. A proteção do VPC Service Controls é aplicável a todos os gatilhos de função, exceto os do Firebase Realtime Database e do Firebase Crashlytics. Para mais detalhes, consulte as limitações conhecidas.

Para mais informações sobre o Cloud Functions, consulte a documentação do produto.

Limitações
  • O Cloud Functions usa o Cloud Build para criar o código-fonte em um contêiner executável. Para usar o Cloud Functions dentro de um perímetro de serviço, é preciso configurar uma regra de entrada para a conta de serviço do Cloud Build no perímetro de serviço.

  • Para permitir que suas funções usem dependências externas, como pacotes npm, o Cloud Build tem acesso ilimitado à Internet. Esse acesso à Internet pode ser usado para exfiltrar dados disponíveis no momento da criação, como o código-fonte enviado por upload. Se você quiser reduzir esse vetor de exfiltração, recomendamos permitir que apenas desenvolvedores confiáveis implantem as funções. Não conceda os papéis do IAM "Proprietário", "Editor" ou "Desenvolvedor" do Cloud Functions a desenvolvedores não confiáveis.

  • Para gatilhos do Firebase Realtime Database e do Firebase Crashlytics, um usuário pode implantar uma função acionada por alterações em um Firebase Realtime Database ou Firebase Crashlytics em outro projeto fora do perímetro de serviço do projeto em que a função está implantada. Se você quiser reduzir o vetor de exfiltração desses dois gatilhos, recomendamos permitir que apenas desenvolvedores confiáveis implantem as funções. Não conceda os papéis do IAM "Proprietário", "Editor" ou "Desenvolvedor" do Cloud Functions a desenvolvedores não confiáveis.

Identity and Access Management

Status Beta
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço iam.googleapis.com
Detalhes

Quando você restringe o IAM com um perímetro, apenas as ações que usam a API IAM são restritas. Essas ações incluem o gerenciamento de papéis personalizados do IAM, o gerenciamento de pools de identidade da carga de trabalho e o gerenciamento de contas e chaves de serviço. O perímetro não restringe ações que usam outras APIs, incluindo:

  • API IAM Policy Simulator
  • API IAM Policy Troubleshooter
  • API Security Token Service
  • API Service Account Credentials (incluindo os métodos legados signBlob e signJwt na API IAM)

O perímetro ao redor do IAM também não restringe a obtenção ou definição das políticas do IAM para recursos de outros serviços, como instâncias de máquina virtual do Compute Engine. Para restringir a obtenção e a definição de políticas do IAM para esses recursos, crie um perímetro que restrinja o serviço que detém os recursos. Para ver uma lista de recursos que aceitam políticas do IAM e os serviços que os possuem, consulte Tipos de recursos que aceitam políticas do IAM.

Para mais informações sobre o Identity and Access Management, consulte a documentação do produto.

Limitações

Se você estiver dentro do perímetro, não será possível chamar o método roles.list com uma string vazia para listar papéis predefinidos do IAM. Caso precise visualizar os papéis predefinidos, consulte a documentação de papéis do IAM.

Acesso VPC sem servidor

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço vpcaccess.googleapis.com
Detalhes

A API para acesso VPC sem servidor pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o acesso VPC sem servidor, consulte a documentação do produto.

Limitações

A integração do acesso VPC sem servidor com o VPC Service Controls não tem limitações conhecidas.

Cloud Key Management Service

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudkms.googleapis.com
Detalhes

A API do Cloud Key Management Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Key Management Service, consulte a documentação do produto.

Limitações

A integração do Cloud Key Management Service com VPC Service Controls não tem limitações conhecidas.

Game Servers

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço gameservices.googleapis.com
Detalhes

A API do Game Servers pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre os servidores de jogos, consulte a documentação do produto.

Limitações

A integração do Game Servers com o VPC Service Controls não tem limitações conhecidas.

Identity-Aware Proxy para TCP

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço iaptunnel.googleapis.com
Detalhes

A API para Identity-Aware Proxy pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Identity-Aware Proxy para TCP, consulte a documentação do produto.

Limitações
  • Somente a API de uso do IAP para TCP pode ser protegida por um perímetro. A API administrativa não pode ser protegida por um perímetro.

  • Para usar o IAP para TCP em um perímetro de serviço do VPC Service Controls, é preciso adicionar ou configurar algumas entradas de DNS que apontem os seguintes domínios para o VIP restrito:

    • tunnel.cloudproxy.app
    • *.tunnel.cloudproxy.app

Cloud Life Sciences

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço lifesciences.googleapis.com
Detalhes

A API para Cloud Life Sciences pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Life Sciences, consulte a documentação do produto.

Limitações

A integração do Cloud Life Sciences com o VPC Service Controls não tem limitações conhecidas.

Serviço gerenciado para Microsoft Active Directory

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço managedidentities.googleapis.com
Detalhes

Configuração extra necessária para:

Para mais informações sobre o serviço gerenciado para o Microsoft Active Directory, consulte a documentação do produto.

Limitações

A integração do serviço gerenciado para o Microsoft Active Directory com o VPC Service Controls não tem limitações conhecidas.

reCAPTCHA Enterprise

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço recaptchaenterprise.googleapis.com
Detalhes

A API do reCAPTCHA pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o reCAPTCHA Enterprise, consulte a documentação do produto.

Limitações

A integração do reCAPTCHA Enterprise com VPC Service Controls não tem limitações conhecidas.

Recomendador

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço recommender.googleapis.com
Detalhes

A API do Recomendador pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Recomendador, consulte a documentação do produto.

Limitações

A integração do Recomendador com o VPC Service Controls não tem limitações conhecidas.

Secret Manager

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço secretmanager.googleapis.com
Detalhes

A API do Secret Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Secret Manager, consulte a documentação do produto.

Limitações

A integração do Secret Manager com o VPC Service Controls não tem limitações conhecidas.

Pub/Sub

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço pubsub.googleapis.com
Detalhes

A proteção do VPC Service Controls se aplica a todas as operações de administrador, operações de editor e operações de assinante (exceto para assinaturas de push).

Para mais informações sobre o Pub/Sub, consulte a documentação do produto.

Limitações

  • Em projetos protegidos por um perímetro de serviço, não é possível criar novas assinaturas push, a menos que os endpoints push estejam definidos para serviços do Cloud Run com URLs run.app padrão (domínios personalizados não funcionarão). A integração do Cloud Run está na versão inicial.
  • As assinaturas de push do Pub/Sub criadas antes do perímetro de serviço não serão bloqueadas.

Pub/Sub Lite

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço pubsublite.googleapis.com
Detalhes

A proteção do VPC Service Controls se aplica a todas as operações do assinante.

Para mais informações sobre o Pub/Sub Lite, consulte a documentação do produto.

Limitações

A integração do Pub/Sub Lite com o VPC Service Controls não tem limitações conhecidas.

Cloud Build

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudbuild.googleapis.com
Detalhes

Use o VPC Service Controls com pools particulares do Cloud Build para aumentar a segurança das suas compilações.

Para mais informações sobre o Cloud Build, consulte a documentação do produto.

Limitações

A proteção do VPC Service Controls está disponível apenas para builds executadas em pools particulares.

Cloud Composer

Status GA
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço composer.googleapis.com
Detalhes

Como configurar o Composer para uso com o VPC Service Controls

Para mais informações sobre o Cloud Composer, consulte a documentação do produto.

Limitações

  • A ativação da serialização do DAG impede que o Airflow exiba um modelo renderizado com funções na IU da Web.

  • A definição da sinalização async_dagbag_loader como True não é permitida com a serialização do DAG ativada.

  • A ativação da serialização do DAG desativa todos os plug-ins do servidor da Web do Airflow, porque eles podem prejudicar a segurança da rede VPC em que o Cloud Composer está implantado. Isso não afeta o comportamento dos plug-ins do programador ou do worker, incluindo os operadores e sensores do Airflow.

  • Quando o Cloud Composer está sendo executado em um perímetro, o acesso a repositórios PyPI públicos é restrito. Na documentação do Cloud Composer, consulte Como instalar dependências do Python para saber como instalar os módulos do PyPi no modo de IP particular.

Cloud Run

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço run.googleapis.com
Detalhes É necessário ter uma configuração adicional para o Cloud Run. Siga as instruções na página de documentação do VPC Service Controls.

Para mais informações sobre o Cloud Run, consulte a documentação do produto.

Limitações
  • No Artifact Registry e no Container Registry, o registro em que você armazena o contêiner precisa estar no mesmo perímetro do VPC Service Controls que o projeto em que você está implantando. O código que está sendo criado precisa estar no mesmo perímetro do VPC Service Controls que o registro para o qual o contêiner está sendo enviado.
  • O recurso de implantação contínua do Cloud Run não está disponível para projetos dentro de um perímetro do VPC Service Controls.

Cloud Spanner

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço spanner.googleapis.com
Detalhes

A API do Cloud Spanner pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Spanner, consulte a documentação do produto.

Limitações

A integração do Cloud Spanner com VPC Service Controls não tem limitações conhecidas.

Speaker ID

Status Visualizar
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço speakerid.googleapis.com
Detalhes

A API do Speaker ID pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Speaker ID, consulte a documentação do produto.

Limitações

A integração do Speaker ID com o VPC Service Controls não tem limitações conhecidas.

Cloud Storage

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço storage.googleapis.com
Detalhes

A API do Cloud Storage pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Storage, consulte a documentação do produto.

Limitações
  • Ao usar o recurso Pagamentos do solicitante com um bucket de armazenamento dentro de um perímetro de serviço que protege o serviço do Cloud Storage, não é possível identificar um projeto para pagar fora do perímetro. O projeto de destino precisa estar no mesmo perímetro do bucket de armazenamento ou em uma ponte do perímetro com o projeto do bucket.

    Para mais informações sobre Pagamentos do solicitante, consulte os Requisitos de uso e acesso de Pagamentos do solicitante.

  • Para projetos em um perímetro de serviço, a página do Cloud Storage no Console do Cloud não ficará acessível se a API Cloud Storage estiver protegida por esse perímetro. Se você quiser conceder acesso à página, crie uma regra de entrada e/ou um nível de acesso que inclua as contas de usuário e/ou o intervalo de IPs públicos a que você quer permitir o acesso à API Storage do Cloud.

  • Nos registros de auditoria, o campo resourceName não identifica o projeto a que o bucket pertence. O projeto precisa ser descoberto separadamente.

  • Nos registros de auditoria, o valor de methodName nem sempre está correto. Recomendamos não filtrar registros de auditoria do Cloud Storage por methodName.

  • Em certos casos, os registros de buckets legados do Cloud Storage podem ser gravados em destinos fora de um perímetro de serviço, mesmo quando o acesso é negado.

  • Quando você tenta usar gsutil pela primeira vez em um novo projeto, talvez receba uma solicitação para ativar o serviço storage-api.googleapis.com. Mesmo que não seja possível proteger storage-api.googleapis.com diretamente, quando você protege a API Cloud Storage usando um perímetro de serviço, as operações de gsutil também são protegidas.

  • Em alguns casos, os objetos do Cloud Storage que eram públicos podem ser acessados mesmo depois que você ativa o VPC Service Controls nos objetos. Os objetos ficam acessíveis até que expirem dos caches integrados e quaisquer outros caches upstream na rede entre o usuário final e o Cloud Storage. O Cloud Storage armazena em cache dados acessíveis publicamente por padrão na rede do Cloud Storage. Para mais informações sobre como os objetos do Cloud Storage são armazenados em cache, consulte Cloud Storage. Para informações sobre o tempo que um objeto pode permanecer armazenado em cache, consulte Metadados de controle de cache.

Cloud SQL

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço sqladmin.googleapis.com
Detalhes

Os perímetros do VPC Service Controls protegem a API Cloud SQL Admin.

Para mais informações sobre o Cloud SQL, consulte a documentação do produto.

Limitações

  • Os perímetros de serviço protegem apenas a API Cloud SQL Admin. Eles não protegem o acesso a dados com base em IP nas instâncias do Cloud SQL. Você precisa usar uma restrição de política da organização para restringir o acesso ao IP público nas instâncias do Cloud SQL.
  • Antes de configurar o VPC Service Controls para o Cloud SQL, ative a API Service Networking.
  • As importações e exportações do Cloud SQL só podem executar leituras e gravações de um bucket do Cloud Storage no mesmo perímetro de serviço da instância de réplica do Cloud SQL.

  • No fluxo de migração do servidor externo, você precisa adicionar o bucket do Cloud Storage ao mesmo perímetro de serviço.
  • No fluxo de criação de chaves para a CMEK, você precisa criar a chave no mesmo perímetro de serviço dos recursos que a utilizam.
  • Durante a restauração de uma instância de um backup, a instância de destino precisa estar no mesmo perímetro de serviço que o backup.

API Video Intelligence

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço videointelligence.googleapis.com
Detalhes

A API Video Intelligence pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Video Intelligence, consulte a documentação do produto.

Limitações

A integração da API Video Intelligence com o VPC Service Controls não tem limitações conhecidas.

API Cloud Vision

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço vision.googleapis.com
Detalhes

A API Cloud Vision pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Cloud Vision, consulte a documentação do produto.

Limitações
Mesmo que você crie uma regra de saída para permitir chamadas para URLs públicos de perímetros do VPC Service Controls, a API Cloud Vision bloqueia chamadas para URLs públicos.

Container Analysis

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço containeranalysis.googleapis.com
Detalhes

Para usar o Container Analysis com o VPC Service Controls, talvez seja necessário adicionar outros serviços ao perímetro do VPC:

Como a API Container Scanning não tem superfície e armazena os resultados no Container Analysis, você não precisa protegê-la com um perímetro de serviço.

Para mais informações sobre o Container Analysis, consulte a documentação do produto.

Limitações

A integração do Container Analysis com VPC Service Controls não tem limitações conhecidas.

Container Registry

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço containerregistry.googleapis.com
Detalhes

Além de proteger a API Container Registry, o Container Registry pode ser usado dentro de um perímetro de serviço com o GKE e o Compute Engine.

Para mais informações sobre o Container Registry, consulte a documentação do produto.

Limitações

  • Como o Container Registry usa o domínio gcr.io, configure o DNS para que *.gcr.io mapeie para private.googleapis.com ou restricted.googleapis.com. Para mais informações, consulte Como proteger o Container Registry em um perímetro de serviço.

  • Além dos contêineres dentro de um perímetro que estão disponíveis para o Container Registry, os seguintes repositórios somente de leitura gerenciados pelo Google estão disponíveis para todos os projetos, seja qual for a restrição aplicada pelos perímetros de serviço:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gcr.io/vertex-ai
    • gcr.io/vertex-ai-restricted
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    Em todos os casos, as versões multirregionais desses repositórios também estão disponíveis.

Google Kubernetes Engine

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço container.googleapis.com
Detalhes

A API do Google Kubernetes Engine pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Google Kubernetes Engine, consulte a documentação do produto.

Limitações

  • Somente clusters particulares podem ser protegidos usando o VPC Service Controls. Os clusters com endereços IP públicos não são compatíveis com o VPC Service Controls.

Frotas

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço gkeconnect.googleapis.com,
gkehub.googleapis.com,
connectgateway.googleapis.com
Detalhes

As APIs de gerenciamento de frota, incluindo o gateway de conexão, podem ser protegidas com o VPC Service Controls, e os recursos de gerenciamento de frotas podem ser usados normalmente dentro de perímetros de serviço. Para ver mais informações, consulte os seguintes tópicos:

Para mais informações sobre frotas, consulte a documentação do produto.

Limitações

A integração de frotas com o VPC Service Controls não tem limitações conhecidas.

Resource Manager

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudresourcemanager.googleapis.com
Detalhes

A API do Resource Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Resource Manager, consulte a documentação do produto.

Limitações

  • Os únicos métodos protegidos da API Resource Manager são project.setIAMPolicy v1 e project.setIAMPolicy v1beta1.
  • A concessão do papel de proprietário em um projeto não é compatível com o VPC Service Controls. Não é possível conceder a um usuário o papel de proprietário usando project.setIAMPolicy. Os convites para conceder o papel de proprietário precisam ser enviados somente usando o Console do Google Cloud e, portanto, não podem ser restritos usando o VPC Service Controls no momento.

Cloud Logging

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço logging.googleapis.com
Detalhes

A do API Cloud Logging pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Logging, consulte a documentação do produto.

Limitações
  • Os coletores de exportação agregados (coletores de pastas ou organizações em que includeChildren é true) podem acessar dados de projetos dentro de um perímetro de serviço. Recomendamos o uso do IAM para gerenciar as permissões do Logging no nível da pasta ou da organização.

  • O VPC Service Controls não é compatível com a adição de recursos de pasta ou organização a perímetros de serviço. Portanto, não é possível usar o VPC Service Controls para proteger os registros no nível da pasta e da organização, incluindo registros agregados. Recomendamos o uso do IAM para gerenciar as permissões do Logging no nível da pasta ou da organização.

  • Se você encaminhar registros, usando um coletor de registros no nível da organização ou da pasta, para um recurso protegido por um perímetro de serviço, será necessário adicionar uma regra de entrada ao perímetro de serviço. A regra de entrada precisa permitir o acesso ao recurso da conta de serviço que o coletor de registros usa. Essa etapa não é necessária nas exportações de registros no nível do projeto.

    Para mais informações, consulte as páginas a seguir:

Cloud Monitoring

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço monitoring.googleapis.com
Detalhes

A API do Cloud Monitoring pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Monitoring, consulte a documentação do produto.

Limitações
  • Canais de notificação, políticas de alertas e métricas personalizadas podem ser usados juntos para exfiltrar dados ou metadados. Atualmente, um usuário do Monitoring pode configurar um canal de notificação que aponta para uma entidade fora da organização, por exemplo, "baduser@badcompany.com". Em seguida, o usuário configura métricas personalizadas e políticas de alertas correspondentes que utilizam o canal de notificação. Desse modo, ao manipular as métricas personalizadas, o usuário pode acionar alertas e enviar notificações de disparo de alertas, exfiltrando dados confidenciais para baduser@badcompany.com, fora do perímetro do VPC Service Controls.

  • As VMs do Compute Engine ou da AWS com o Agente do Monitoring instalado precisam estar dentro do perímetro do VPC Service Controls, senão as gravações de métricas do agente falharão.

  • Todos os pods do GKE precisam estar dentro do perímetro do VPC Service Controls, senão o GKE Monitoring não funcionará.

  • Nas consultas de um escopo de métricas, apenas o perímetro do VPC Service Controls do projeto de escopo do escopo da métrica é considerado. Os perímetros dos projetos individuais monitorados no escopo de métricas não são considerados.

  • Um projeto só pode ser adicionado como um projeto monitorado a um escopo de métricas existente se esse projeto estiver no mesmo perímetro do VPC Service Controls que o projeto de escopo do escopo de métricas.

  • Para acessar o Monitoring no Console do Cloud para um projeto host protegido por um perímetro de serviço, use uma regra de entrada.

Cloud Profiler

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudprofiler.googleapis.com
Detalhes

A API do Cloud Profiler pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Profiler, consulte a documentação do produto.

Limitações

A integração do Cloud Profiler com o VPC Service Controls não tem limitações conhecidas.

Cloud Trace

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudtrace.googleapis.com
Detalhes

A do API Cloud Trace pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Trace, consulte a documentação do produto.

Limitações

A integração do Cloud Trace com o VPC Service Controls não tem limitações conhecidas.

Cloud TPU

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço tpu.googleapis.com
Detalhes

A API do Cloud TPU pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud TPU, consulte a documentação do produto.

Limitações

A integração do Cloud TPU com o VPC Service Controls não tem limitações conhecidas.

API Natural Language

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço language.googleapis.com
Detalhes

A API Natural Language pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Natural Language, consulte a documentação do produto.

Limitações

A integração da API Natural Language com o VPC Service Controls não tem limitações conhecidas.

Network Connectivity Center

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço networkconnectivity.googleapis.com
Detalhes

A API do Network Connectivity Center pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Network Connectivity Center, consulte a documentação do produto.

Limitações

A integração do Network Connectivity Center com o VPC Service Controls não tem limitações conhecidas.

API Cloud Asset

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço cloudasset.googleapis.com
Detalhes

A API Cloud Asset pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Cloud Asset, consulte a documentação do produto.

Limitações

  • O VPC Service Controls não é compatível com acesso a recursos da API Cloud Asset no nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço.
  • O VPC Service Controls não é compatível com a adição de recursos da API Cloud Asset no nível da pasta ou da organização a um perímetro de serviço. Recomendamos o uso do IAM para gerenciar as permissões do Inventário de recursos do Cloud nos níveis da pasta ou da organização.
  • Não é possível exportar recursos no nível da pasta ou da organização para destinos dentro de um perímetro de serviço.
  • Não é possível criar feeds em tempo real para recursos no nível da pasta ou da organização com um tópico do Pub/Sub dentro de um perímetro de serviço.

Speech-to-Text

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço speech.googleapis.com
Detalhes

A API do Speech-to-Text pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Speech-to-Text, consulte a documentação do produto.

Limitações

A integração do Speech-to-Text com o VPC Service Controls não tem limitações conhecidas.

Text-to-Speech

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço texttospeech.googleapis.com
Detalhes

A API do Text-to-Speech pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Text-to-Speech, consulte a documentação do produto.

Limitações

A integração do Text-to-Speech com o VPC Service Controls não tem limitações conhecidas.

Tradução

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço translate.googleapis.com
Detalhes

A API do Translation pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Translation, consulte a documentação do produto.

Limitações

A integração do Translation com o VPC Service Controls não tem limitações conhecidas.

API Transcoder

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço transcoder.googleapis.com
Detalhes

A API Transcoder pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a API Transcoder, consulte a documentação do produto.

Limitações

A integração da API Transcoder com o VPC Service Controls não tem limitações conhecidas.

Access Approval

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço accessapproval.googleapis.com
Detalhes

A API do Access Approval pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Access Approval, consulte a documentação do produto.

Limitações

A integração do Access Approval com o VPC Service Controls não tem limitações conhecidas.

API Cloud Healthcare

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço healthcare.googleapis.com
Detalhes

A API Cloud Healthcare pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Cloud Healthcare, consulte a documentação do produto.

Limitações

A integração da API Cloud Healthcare com o VPC Service Controls não tem limitações conhecidas.

Serviço de transferência do Cloud Storage

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço storagetransfer.googleapis.com
Detalhes

Recomendamos colocar o projeto STS no mesmo perímetro de serviço dos recursos do Cloud Storage. Isso protege a transferência e o recursos do Cloud Storage. O Serviço de transferência do Cloud Storage também aceita cenários em que o projeto dele não esteja no mesmo perímetro dos buckets do Cloud Storage usando uma política de saída.

Para informações de configuração, consulte Como usar o serviço de transferência do Cloud Storage com VPC Service Controls

Serviço de transferência de dados locais

Consulte Como usar a transferência local com VPC Service Controls para ver detalhes e informações de configuração da transferência local.

Para mais informações sobre o serviço de transferência do Cloud Storage, consulte a documentação do produto.

Limitações

  • O serviço de transferência de dados locais não oferece proteção relacionada à API VPC Service Controls no Console do Google Cloud.

Service Control

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço servicecontrol.googleapis.com
Detalhes

A API do Service Control pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Service Control, consulte a documentação do produto.

Limitações

  • Quando você chama a API Service Control de uma rede VPC em um perímetro de serviço com o Service Control restrito, não é possível usar o método Relatório do Service Control para gerar relatórios de métricas de faturamento.

Memorystore para Redis

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço redis.googleapis.com
Detalhes

A API do Memorystore for Redis pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Memorystore para Redis, consulte a documentação do produto.

Limitações

  • Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Redis dentro da mesma rede.

  • Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Redis só poderão ler e gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da instância do Memorystore for Redis.

  • Ao usar a VPC compartilhada e o VPC Service Controls, é necessário que você tenha o projeto host que fornece a rede e o projeto de serviço que contém a instância do Redis dentro do mesmo perímetro para que as solicitações do Redis sejam bem-sucedidas. A qualquer momento, separar o projeto host e o de serviço com um perímetro pode causar uma falha na instância do Redis, além das solicitações bloqueadas. Para mais informações, consulte os requisitos de configuração do Memorystore para Redis.

Memorystore para Memcached

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço memcache.googleapis.com
Detalhes

A API Memorystore for Memcached pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro dos perímetros de serviço.

Para mais informações sobre a Memorystore for Memcached, consulte a documentação do produto.

Limitações

  • Os perímetros de serviço protegem apenas a API Memorystore for Memcached. Os perímetros não protegem o acesso normal aos dados em instâncias da Memorystore for Memcached dentro da mesma rede.

Diretório de serviços

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço servicedirectory.googleapis.com
Detalhes

A API do Diretório de serviços pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Diretório de serviços, consulte a documentação do produto.

Limitações

A integração do Diretório de serviços com o VPC Service Controls não tem limitações conhecidas.

Transfer Appliance

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Não. A API do Transfer Appliance não pode ser protegida por perímetros de serviço. No entanto, o Transfer Appliance pode ser usado normalmente em projetos dentro de um perímetro.
Detalhes

O Transfer Appliance é totalmente compatível com projetos que usam VPC Service Controls.

O Transfer Appliance não oferece uma API e, portanto, não é compatível com recursos relacionados à API no VPC Service Controls.

Para mais informações sobre o Transfer Appliance, consulte a documentação do produto.

Limitações

  • Quando o Cloud Storage é protegido pelo VPC Service Controls, a chave do Cloud KMS que você compartilha com a equipe do Transfer Appliance precisa estar no mesmo projeto que o bucket do Cloud Storage de destino.

Login do SO

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço oslogin.googleapis.com
Detalhes

É possível chamar a API OS Login de dentro dos perímetros do VPC Service Controls. Para gerenciar o login do SO nos perímetros do VPC Service Controls, configure o login do SO.

As conexões SSH com instâncias de VM não são protegidas pelo VPC Service Controls.

Para mais informações sobre o login do SO, consulte a documentação do produto.

Limitações

A integração do login do SO com o VPC Service Controls não tem limitações conhecidas.

VM Manager

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço osconfig.googleapis.com
Detalhes

É possível chamar a API OS Config de dentro dos perímetros do VPC Service Controls. Para usar o VM Manager a partir de perímetros do VPC Service Controls, configure o VM Manager.

Para mais informações sobre o VM Manager, consulte a documentação do produto.

Limitações
Para proteger totalmente o VM Manager, é preciso incluir todas as seguintes APIs no seu perímetro:
  • API Config do SO (osconfig.googleapis.com)
  • API Compute Engine (compute.googleapis.com)
  • API Container Analysis (containeranalysis.googleapis.com)
O VM Manager não hospeda conteúdo de pacotes e patches. O Gerenciamento de correções do SO usa as ferramentas de atualização do sistema operacional que exigem que as atualizações e os patches de pacotes sejam recuperáveis na VM. Para que o patch funcione, talvez seja necessário usar o Cloud NAT ou hospedar seu próprio repositório de pacotes ou o serviço de atualização do Windows Server na sua nuvem privada virtual.

Filestore

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço file.googleapis.com
Detalhes

A API do Filestore pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Filestore, consulte a documentação do produto.

Limitações

A integração do Filestore com o VPC Service Controls não tem limitações conhecidas.

Container Threat Detection

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço containerthreatdetection.googleapis.com
Detalhes

A API do Container Threat Detection pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Container Threat Detection, consulte a documentação do produto.

Limitações

A integração do Container Threat Detection com o VPC Service Controls não tem limitações conhecidas.

Ads Data Hub

Status Beta. Essa integração de produtos está pronta para testes e uso mais amplos, mas não é totalmente compatível com ambientes de produção.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço adsdatahub.googleapis.com
Detalhes

Para mais informações sobre o Ads Data Hub, consulte a documentação do produto.

Limitações

O Ads Data Hub e o VPC Service Controls estão sujeitos a termos de serviço diferentes. Veja os termos de cada produto para mais detalhes.

Certos recursos do Ads Data Hub, como a ativação do público-alvo personalizado, lances personalizados e tabelas de correspondência do LiveRamp, exigem que alguns dados do usuário sejam exportados fora do perímetro do VPC Service Controls. Se o Ads Data Hub for adicionado como um serviço restrito, ele ignorará as políticas do VPC Service Controls para esses recursos para manter a funcionalidade.

Todos os serviços dependentes precisam ser incluídos como serviços permitidos no mesmo perímetro do VPC Service Controls. Por exemplo, como o Ads Data Hub depende do BigQuery, o BigQuery também precisa ser adicionado. Em geral, as práticas recomendadas do VPC Service Controls aconselham incluir todos os serviços no perímetro, ou seja, "restringir todos os serviços".

Os clientes com estruturas de contas do Ads Data Hub de várias camadas (como agências com subsidiárias) precisam ter todos os seus projetos de administrador no mesmo perímetro. Para simplificar, o Ads Data Hub recomenda que os clientes com estruturas de contas de várias camadas restrinjam os projetos de administração à mesma organização do Google Cloud.

Traffic Director

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço trafficdirector.googleapis.com
Detalhes

A API do Traffic Director pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Traffic Director, consulte a documentação do produto.

Limitações

A integração do Traffic Director ao VPC Service Controls não tem limitações conhecidas.

Serviço de token de segurança

Status Disponibilidade geral. Esta integração de produtos é totalmente compatível com o VPC Service Controls.
Proteção com perímetros? Sim. É possível configurar os perímetros para proteger este serviço.
Nome do serviço sts.googleapis.com
Detalhes

O VPC Service Controls só restringe trocas de token se o público na solicitação for um recurso para envolvidos no projeto. Por exemplo, ela não restringe solicitações de tokens com escopo diminuído, porque essas solicitações não têm público.

Para mais informações sobre o Security Token Service, consulte a documentação do produto.

Limitações

A integração do Security Token Service com o VPC Service Controls não tem limitações conhecidas.

Para mais informações, leia sobre serviços compatíveis e incompatíveis.

Serviços VIP restritos compatíveis

O IP virtual (VIP, na sigla em inglês) restrito fornece uma maneira para as VMs que estão dentro de um perímetro de serviço fazer chamadas para os serviços do Google Cloud sem expor as solicitações à Internet. Para ver uma lista completa dos serviços disponíveis no VIP restrito, consulte Serviços compatíveis com o VIP restrito.

Serviços incompatíveis

A tentativa de restringir um serviço incompatível usando a ferramenta de linha de comando gcloud ou a API Access Context Manager gera erro.

O acesso entre projetos a dados de serviços compatíveis será bloqueado pelo VPC Service Controls. Além disso, o VIP restrito pode ser usado para bloquear a capacidade das cargas de trabalho em chamar serviços sem suporte.

Outras limitações conhecidas

Nesta seção, descrevemos as limitações conhecidas para determinados serviços, produtos e interfaces do Google Cloud que podem ser encontradas ao usar VPC Service Controls.

Para limitações com produtos compatíveis com o VPC Service Controls, consulte a tabela de produtos compatíveis.

Para mais informações sobre como resolver problemas com o VPC Service Controls, consulte a página Solução de problemas.

API AutoML

  • AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables e AutoML Video Intelligence , todas usam a API AutoML.

    Ao usar um perímetro de serviço para proteger o automl.googleapis.com, o acesso a todos os produtos AutoML integrados ao VPC Service Controls e usados dentro do perímetro é afetado. É preciso configurar o perímetro do VPC Service Controls em todos os produtos AutoML integrados usados dentro desse perímetro.

    Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

    • API AutoML (automl.googleapis.com)
    • API Cloud Storage (storage.googleapis.com)
    • API Compute Engine (compute.googleapis.com)
    • API BigQuery (bigquery.googleapis.com)

App Engine

  • O App Engine (ambientes padrão e flexível) não é compatível com o VPC Service Controls. Não inclua projetos do App Engine em perímetros de serviço.

    No entanto, é possível permitir que aplicativos do App Engine criados em projetos fora dos perímetros de serviço leiam e gravem dados em serviços protegidos dentro de perímetros. Para permitir que seu app acesse dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do App Engine do projeto. Isso não permite que o App Engine seja usado dentro de perímetros de serviço.

Bibliotecas de cliente

  • As bibliotecas de cliente do Java e Python para todos os serviços com suporte têm permissão total de acesso usando o VIP restrito. O suporte para outras linguagens está no estágio Alfa e deve ser usado apenas para fins de teste.

  • Os clientes precisam usar bibliotecas de cliente que foram atualizadas a partir de 1º de novembro de 2018.

  • As chaves da conta de serviço ou os metadados do cliente OAuth2 usados pelos clientes precisam ser atualizados a partir de 1º de novembro de 2018. Os clientes mais antigos que usam o endpoint de token precisam mudar para o endpoint especificado nos metadados de material/cliente de chave mais recentes.

Cloud Billing

Cloud Build

  • Em projetos fora de perímetros de serviço, é possível permitir que o Cloud Build leia e grave dados em serviços protegidos dentro de perímetros. Para permitir que o Cloud Build acesse os dados de serviços protegidos, crie um nível de acesso que inclua a conta de serviço do Cloud Build do projeto. Isso não permite que o Cloud Build seja usado dentro de perímetros de serviço.

Cloud Deployment Manager

  • O Deployment Manager não é compatível com o VPC Service Controls. Os usuários podem chamar serviços que estejam em conformidade com o VPC Service Controls, mas não devem confiar nisso, já que poderá ser interrompido no futuro.

  • Como solução alternativa, adicione a conta de serviço do Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) aos níveis de acesso para permitir chamadas a APIs protegidas pelo VPC Service Controls.

Cloud Shell

O VPC Service Controls não é compatível com o Cloud Shell. O VPC Service Controls trata o Cloud Shell como fora dos perímetros de serviço e nega acesso a dados que o VPC Service Controls protege. No entanto, o VPC Service Controls permite o acesso ao Cloud Shell quando um dispositivo que atende aos requisitos de nível de acesso inicia o Cloud Shell.

Console do Google Cloud

  • Como o Console do Cloud só pode ser acessado pela Internet, ele é tratado como recurso externo aos perímetros de serviço. Quando você aplica um perímetro de serviço, a interface do Console do Cloud dos serviços protegidos pode ficar parcial ou totalmente inacessível. Por exemplo, se você protegeu o Logging com o perímetro, não será possível acessar a interface dele no Console do Cloud.

    Para permitir o acesso do Console do Cloud a recursos protegidos por um perímetro, você precisa criar um nível de acesso para um intervalo de IPs públicos que inclua as máquinas dos usuários que querem usar o Console do Cloud com APIs protegidas. Por exemplo, adicione o intervalo de IPs públicos do gateway NAT de sua rede particular a um nível de acesso e, em seguida, atribua esse nível de acesso ao perímetro de serviço.

    Se você quiser limitar o acesso do Console do Cloud ao perímetro a apenas um conjunto específico de usuários, também é possível adicioná-los a um nível de acesso. Nesse caso, somente os usuários especificados poderão acessar o Console do Cloud.

  • As solicitações por meio do Cloud Console de uma rede com o acesso privado do Google ativado, incluindo redes ativadas implicitamente pelo Cloud NAT, podem ser bloqueadas mesmo que a rede de origem solicitante e o recurso de destino estejam no mesmo perímetro. Isso porque o acesso ao Console do Cloud por meio do Acesso privado do Google não é compatível com o VPC Service Controls.