支持的产品和限制

本页面包含一个表格,其中列有 VPC Service Controls 支持的产品和服务,以及某些服务和接口的已知限制列表。

列出所有受支持的服务

如需检索所有 VPC Service Controls 支持的产品和服务的完整列表,请运行以下命令:

gcloud access-context-manager supported-services list

您会收到一个包含商品和服务列表的响应。

NAME                 TITLE             SERVICE_SUPPORT_STAGE   AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS          RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

此响应包含以下值:

说明
SERVICE_ADDRESS 商品或服务的服务名称。例如 aiplatform.googleapis.com
SERVICE_NAME 商品或服务的名称。例如 Vertex AI API
SERVICE_STATUS 服务与 VPC Service Controls 集成的状态。可能的值如下:
  • GA:VPC Service Controls 边界完全支持此服务集成。
  • PREVIEW:服务集成已为更广泛的测试和使用做好准备,但 VPC Service Controls 边界尚未完全支持在生产环境中使用。
  • DEPRECATED:服务集成已安排关停和移除。
RESTRICTED_VIP_STATUS 指定受限 VIP 是否支持与 VPC Service Controls 集成的服务。可能的值如下:
  • TRUE:受限 VIP 完全支持此服务集成,并且可以由 VPC Service Controls 边界保护。
  • FALSE:受限 VIP 不支持服务集成。
如需查看受限 VIP 上可用服务的完整列表,请参阅受限 VIP 支持的服务
LIMITATIONS_STATUS 指定服务与 VPC Service Controls 的集成是否存在任何限制。可能的值如下:
  • TRUE:该服务与 VPC Service Controls 的集成存在已知限制。您可以查看支持的产品表格中相应服务的条目,详细了解这些限制。
  • FALSE:该服务与 VPC Service Controls 的集成没有任何已知的限制。

列出服务支持的方法

如需检索 VPC Service Controls 为某项服务支持的方法和权限的列表,请运行以下命令:

gcloud access-context-manager supported-services describe SERVICE_ADDRESS

SERVICE_ADDRESS 替换为产品或服务的服务名称。例如 aiplatform.googleapis.com

您会收到一个包含方法和权限列表的响应。

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
serviceSupportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

在此响应中,METHODS_LIST 会列出 VPC Service Controls 针对指定服务支持的所有方法和权限。如需查看所有受支持的服务方法和权限的完整列表,请参阅支持的服务方法限制

支持的产品

VPC Service Controls 支持下列产品。

支持的产品 说明

Infrastructure Manager

状态 GA。VPC Service Controls 全面支持此产品集成。
可通过边界进行保护? 是。您可以配置边界以保护此服务。
服务名称 config.googleapis.com
详情

如需详细了解 Infrastructure Manager,请参阅产品文档

限制

如需在边界中使用 Infrastructure Manager:

  • 您必须为 Infrastructure Manager 使用的工作器池使用 Cloud Build 专用池。此专用池必须启用公共互联网调用,才能下载 Terraform 提供程序和 Terraform 配置。您不能使用默认的 Cloud Build 工作器池。
  • 以下各项必须位于同一边界内:
    • Infrastructure Manager 使用的服务账号。
    • Infrastructure Manager 使用的 Cloud Build 工作器池。
    • Infrastructure Manager 使用的存储桶。您可以使用默认存储桶。
  • Workload Manager

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 workloadmanager.googleapis.com
    详情

    如需在 VPC Service Controls 边界中使用 Workload Manager,请执行以下操作:

    • 您必须在 Workload Manager 中为部署环境使用 Cloud Build 专用工作器池。 您不能使用默认的 Cloud Build 工作器池。
    • Cloud Build 专用池必须启用公共互联网调用,才能下载 Terraform 配置。

    如需了解详情,请参阅 Workload Manager 文档中的 使用 Cloud Build 专用工作器池

    如需详细了解 Workload Manager,请参阅产品文档

    限制

    您必须确保以下资源位于同一 VPC Service Controls 服务边界内:

    • Workload Manager 服务账号。
    • Cloud Build 专用工作器池。
    • Workload Manager 用于部署的 Cloud Storage 存储桶。

    Google Cloud NetApp Volumes

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 netapp.googleapis.com
    详情

    Google Cloud NetApp Volumes 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Google Cloud NetApp Volumes,请参阅产品文档

    限制

    VPC Service Controls 不包括数据平面路径,例如网络文件系统 (NFS) 和服务器消息块 (SMB) 读取和写入。此外,如果您的宿主项目和服务项目在不同的边界内进行配置,您在实现 Google Cloud 服务时可能会遇到中断问题。

    Google Cloud Search

    状态 GA
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudsearch.googleapis.com
    详情

    Google Cloud Search 支持通过虚拟私有云安全控制 (VPC Service Controls) 来增强数据的安全性。借助 VPC Service Controls,您可以为 Google Cloud Platform 资源定义一个安全边界,以便将数据限制在某个 VPC 的范围内并帮助降低数据渗漏风险。

    如需详细了解 Google Cloud Search,请参阅产品文档

    限制

    由于 Cloud Search 资源未存储在 Google Cloud 项目中,因此您必须使用受 VPC 边界保护的项目更新 Cloud Search 客户设置。VPC 项目充当所有 Cloud Search 资源的虚拟项目容器。如果不构建此映射,VPC Service Controls 将无法用于 Cloud Search API。

    如需查看通过 Google Cloud Search 启用 VPC Service Controls 的完整步骤,请参阅增强 Google Cloud Search 的安全性

    连接测试

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 networkmanagement.googleapis.com
    详情

    用于连接测试的 API 可以受 VPC Service Controls 保护,并且可以在服务边界内使用该产品。

    如需详细了解连接测试,请参阅产品文档

    限制

    连接测试与 VPC Service Controls 没有任何已知的限制。

    AI Platform Prediction

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 ml.googleapis.com
    详情

    VPC Service Controls 支持在线预测,但不支持批量预测。

    如需详细了解 AI Platform Prediction,请参阅产品文档

    限制
    • 如需全面保护 AI Platform Prediction,请将以下所有 API 添加到服务边界:

      • AI Platform Training and Prediction API (ml.googleapis.com)
      • Pub/Sub API (pubsub.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Google Kubernetes Engine API (container.googleapis.com)
      • Container Registry API (containerregistry.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)

      详细了解如何为 AI Platform Prediction 设置 VPC Service Controls

    • 在服务边界内使用 AI Platform Prediction 时不支持使用批量预测

    • AI Platform Prediction 和 AI Platform Training 均使用 AI Platform Training and Prediction API,因此您必须为这两种产品都配置 VPC Service Controls。详细了解如何为 AI Platform Training 设置 VPC Service Controls

    AI Platform Training

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 ml.googleapis.com
    详情

    AI Platform Training 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 AI Platform Training,请参阅产品文档

    限制
    • 如需全面保护您的 AI Platform Training 训练作业,请将以下所有 API 添加到服务边界:

      • AI Platform Training and Prediction API (ml.googleapis.com)
      • Pub/Sub API (pubsub.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Google Kubernetes Engine API (container.googleapis.com)
      • Container Registry API (containerregistry.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)

      详细了解如何为 AI Platform Training 设置 VPC Service Controls

    • 在服务边界内使用 AI Platform Training 时不支持使用 TPU 进行训练

    • AI Platform Training 和 AI Platform Prediction 均使用 AI Platform Training and Prediction API,因此您必须为这两种产品都配置 VPC Service Controls。详细了解如何为 AI Platform Prediction 设置 VPC Service Controls

    AlloyDB for PostgreSQL

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 alloydb.googleapis.com
    详情

    VPC Service Controls 边界可保护 AlloyDB API。

    如需详细了解 AlloyDB for PostgreSQL,请参阅产品文档

    限制

    • 服务边界仅会保护 AlloyDB for PostgreSQL Admin API。而不会保护对底层数据库(例如 AlloyDB for PostgreSQL 实例)的基于 IP 的数据访问。如需限制 AlloyDB for PostgreSQL 实例的公共 IP 访问权限,请使用组织政策限制条件
    • 在为 AlloyDB for PostgreSQL 配置 VPC Service Controls 之前,请启用 Service Networking API。
    • 当您将 AlloyDB for PostgreSQL 与共享 VPC 和 VPC Service Controls 结合使用时,宿主项目和服务项目必须位于同一 VPC Service Controls 服务边界内。

    Vertex AI Workbench

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 notebooks.googleapis.com
    详情

    Vertex AI Workbench 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Vertex AI Workbench,请参阅产品文档

    限制

    如需了解限制,请参阅 Vertex AI Workbench 文档中有关Vertex AI Workbench 实例的服务边界用户管理的笔记本的服务边界代管式笔记本的服务边界部分。

    Vertex AI

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 aiplatform.googleapis.com
    详情

    Vertex AI 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    请参阅 Colab Enterprise

    如需详细了解 Vertex AI,请参阅产品文档

    限制

    如需详细了解限制,请参阅 Vertex AI 文档中的限制

    Vertex AI Vision

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 visionai.googleapis.com
    详情

    Vertex AI Vision 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Vertex AI Vision,请参阅产品文档

    限制
    constraints/visionai.disablePublicEndpoint 处于开启状态时,我们会停用集群的公共端点。用户必须手动连接到 PSC 目标并从专用网络访问服务。您可以从 cluster 资源中获取 PSC 目标。

    Vertex AI in Firebase

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 firebasevertexai.googleapis.com
    详情

    Firebase 中的 Vertex AI 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Vertex AI in Firebase,请参阅产品文档

    限制
    • Vertex AI in Firebase API 会将流量代理到 Vertex AI API (aiplatform.googleapis.com)
    • 流向 Firebase API 中的 Vertex AI 的流量应来自移动设备或浏览器客户端,这些客户端始终位于服务边界之外。因此,您需要配置显式入站政策。

      如果您需要从服务边界内连接到 Vertex AI API,不妨考虑直接使用 Vertex AI API,或者通过某个服务器 SDK、Firebase Genkit 或任何其他可用服务来访问服务器端的 Vertex AI API。

    Colab Enterprise

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 aiplatform.googleapis.com
    详情

    Colab Enterprise 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    Colab Enterprise 是 Vertex AI 的一部分。 请参阅 Vertex AI

    Colab Enterprise 使用 Dataform 存储笔记本。 请参阅 Dataform

    如需详细了解 Colab Enterprise,请参阅产品文档

    限制

    如需了解限制,请参阅 Colab Enterprise 文档中的已知限制

    Apigee 和 Apigee Hybrid

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 apigee.googleapis.com,
    apigeeconnect.googleapis.com
    详情

    Apigee 和 Apigee Hybrid 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Apigee 和 Apigee Hybrid,请参阅产品文档

    限制

    Apigee 与 VPC Service Controls 的集成具有以下限制:

    • 集成式门户需要执行额外的步骤进行配置。
    • 您必须在服务边界内部署 Drupal 门户。

    Analytics Hub

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 analyticshub.googleapis.com
    详情 VPC Service Controls 可保护数据交换清单。如需使用服务边界保护共享关联的数据集,请使用 BigQuery API。如需了解详情,请参阅 Analytics Hub VPC Service Controls 规则

    如需详细了解 Analytics Hub,请参阅产品文档

    限制
    Analytics Hub 不支持基于方法的规则,您必须允许所有方法。如需了解详情,请参阅 Analytics Hub VPC Service Controls 规则限制

    Cloud Service Mesh

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 meshca.googleapis.com,
    meshconfig.googleapis.com,
    trafficdirector.googleapis.com,
    networkservices.googleapis.com,
    networksecurity.googleapis.com
    详情

    Cloud Service Mesh 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    您可以使用 mesh.googleapis.com 为 Cloud Service Mesh 启用所需的 API。 您无需在边界内限制 mesh.googleapis.com,因为它不会公开任何 API。

    如需详细了解 Cloud Service Mesh,请参阅产品文档

    限制

    Cloud Service Mesh 与 VPC Service Controls 的集成没有任何已知的限制。

    Artifact Registry

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 artifactregistry.googleapis.com
    详情

    除了保护 Artifact Registry API 之外,您还可以在 GKE 和 Compute Engine 的服务边界内使用 Artifact Registry。

    如需详细了解 Artifact Registry,请参阅产品文档

    限制
    • 由于 Artifact Registry 使用 pkg.dev 网域,因此您必须为 *.pkg.dev 配置 DNS 以映射到 private.googleapis.comrestricted.googleapis.com。如需了解详情,请参阅在服务边界内保护代码库
    • 除了边界内可用于 Artifact Registry 的工件之外,Container Registry 制品库中的以下只读制品库也可用于所有项目(无论服务边界如何):

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      在所有情况下,这些代码库的区域级版本也可用。

    Assured Workloads

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 assuredworkloads.googleapis.com
    详情

    Assured Workloads 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Assured Workloads,请参阅产品文档

    限制

    Assured Workloads 与 VPC Service Controls 的集成没有任何已知的限制。

    AutoML Natural Language

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 automl.googleapis.com,
    eu-automl.googleapis.com
    详情

    如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    如需详细了解 AutoML Natural Language,请参阅产品文档

    限制
    • 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
    • 您不能将受支持的区域端点(例如 eu-automl.googleapis.com)添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com

    如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

    AutoML Tables

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 automl.googleapis.com,
    eu-automl.googleapis.com
    详情

    如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    如需详细了解 AutoML Tables,请参阅产品文档

    限制
    • 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
    • 您不能将受支持的区域端点(例如 eu-automl.googleapis.com)添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com

    如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

    AutoML Translation

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 automl.googleapis.com,
    eu-automl.googleapis.com
    详情

    如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    如需详细了解 AutoML Translation,请参阅产品文档

    限制
    • 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
    • 您不能将受支持的区域端点(例如 eu-automl.googleapis.com)添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com

    如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

    AutoML Video Intelligence

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 automl.googleapis.com,
    eu-automl.googleapis.com
    详情

    如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    如需详细了解 AutoML Video Intelligence,请参阅产品文档

    限制
    • 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
    • 您不能将受支持的区域端点(例如 eu-automl.googleapis.com)添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com

    如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

    AutoML Vision

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 automl.googleapis.com,
    eu-automl.googleapis.com
    详情

    如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

    • AutoML API (automl.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • BigQuery API (bigquery.googleapis.com)

    如需详细了解 AutoML Vision,请参阅产品文档

    限制
    • 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
    • 您不能将受支持的区域端点(例如 eu-automl.googleapis.com)添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com

    如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制

    裸金属解决方案

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 不能。服务边界不能保护裸金属解决方案的 API。 但是,裸金属解决方案可在边界内的项目中正常使用。
    详情

    裸金属解决方案 API 可以添加到安全边界内。但是,VPC Service Controls 边界不会扩展到区域扩展中的裸金属解决方案环境。

    如需详细了解裸金属解决方案,请参阅产品文档

    限制

    将 VPC Service Controls 连接到裸金属解决方案环境不会遵循任何服务控制保证。

    如需详细了解裸金属解决方案的 VPC Service Controls 限制,请参阅已知问题和限制

    Batch

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 batch.googleapis.com
    详情

    Batch 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Batch,请参阅产品文档

    限制
    如需全面保护 Batch,您需要在边界内添加以下 API:
    • Batch API (batch.googleapis.com)
    • Cloud Logging API (logging.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Artifact Registry API (artifactregistry.googleapis.com)
    • Filestore API (file.googleapis.com)

    BigLake Metastore

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 biglake.googleapis.com
    详情

    BigLake Metastore 的 API 可以受 VPC Service Controls 的保护,并且可以在服务边界内使用该产品。

    如需详细了解 BigLake Metastore,请参阅产品文档

    限制

    BigLake Metastore 与 VPC Service Controls 的集成没有已知的限制。

    BigQuery

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 bigquery.googleapis.com
    详情

    当您使用服务边界保护 BigQuery API 时,BigQuery Storage API、BigQuery Reservations API 和 BigQuery Connection API 也受到保护。您无需专门将这些 API 添加到边界的受保护服务列表中。

    如需详细了解 BigQuery,请参阅产品文档

    限制
    • 由于 BigQuery 在内部处理对多个资源的访问,因此 BigQuery 审核日志记录并不总是包含在发出请求时使用的所有资源。

    • 访问受服务边界保护的 BigQuery 实例时,BigQuery 作业必须在边界内的项目中运行,或者在边界的出站规则允许的项目中运行。默认情况下,BigQuery 客户端库会在服务账号或用户的项目中运行作业,从而导致查询被 VPC Service Controls 拒绝。

    • BigQuery 禁止将查询结果从受 VPC Service Controls 保护的边界保存到 Google 云端硬盘。

    • 如果您使用将用户账号作为身份类型的入站规则授予访问权限,则无法在监控页面上查看 BigQuery 资源利用率或管理作业浏览器。如需使用这些功能,请配置一个使用 ANY_IDENTITY 作为身份类型的入站规则

    • 如果您使用入站规则向 BigQuery 用户授予对数据的访问权限,则用户可以使用 Google Cloud 控制台查询数据并将结果保存到本地文件。

    • 仅当通过 BigQuery 企业版、BigQuery 企业 Plus 版或 BigQuery 按需版执行分析时,才支持 VPC Service Controls。

    • BigQuery Reservations API 受到部分支持。 创建分配资源的 BigQuery Reservation API 不会对被分配对象强制实施服务边界限制。

    BigQuery Data Policy API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 bigquerydatapolicy.googleapis.com
    详情

    BigQuery Data Policy API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 BigQuery Data Policy API,请参阅产品文档

    限制

    BigQuery Data Policy API 与 VPC Service Controls 的集成没有任何已知的限制。

    BigQuery Data Transfer Service

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 bigquerydatatransfer.googleapis.com
    详情

    服务边界仅保护 BigQuery Data Transfer Service API。实际的数据保护由 BigQuery 强制执行。根据设计,可以从 Google Cloud 以外的各种外部来源(例如 Amazon S3、Redshift、Teradata、YouTube、Google Play 和 Google Ads)将数据导入到 BigQuery 数据集。 如需了解从 Teradata 迁移数据的 VPC Service Controls 要求,请参阅 VPC Service Controls 要求

    如需详细了解 BigQuery Data Transfer Service,请参阅产品文档

    限制
    • BigQuery Data Transfer Service 不支持从 BigQuery 数据集导出数据。如需了解详情,请参阅导出表数据
    • 要在项目之间转移数据,目标项目必须与源项目位于同一边界内,或者出站规则必须允许从边界内转出数据。如需了解如何设置出站规则,请参阅 “管理 BigQuery 数据集”页面中的限制
    • 由 BigQuery Data Transfer Service 周期性离线转移作业启动的 BigQuery 作业的入站和出站违规行为不包含用户上下文信息,例如调用方 IP 地址和设备。
    • BigQuery Data Transfer Service 仅支持使用受支持的数据源中列出的某个连接器将数据传输到受服务边界保护的项目中。BigQuery Data Transfer Service 不支持使用其他第三方合作伙伴提供的关联器将数据转移到受服务边界保护的项目中。

    BigQuery Migration API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 bigquerymigration.googleapis.com
    详情

    BigQuery Migration API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 BigQuery Migration API,请参阅产品文档

    限制

    BigQuery Migration API 与 VPC Service Controls 的集成没有任何已知的限制。

    Bigtable

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 bigtable.googleapis.com,
    bigtableadmin.googleapis.com
    详情

    bigtable.googleapis.combigtableadmin.googleapis.com 服务捆绑在一起。当您限制边界中的 bigtable.googleapis.com 服务时,边界会默认限制 bigtableadmin.googleapis.com 服务。您不能将 bigtableadmin.googleapis.com 服务添加到边界内的受限服务列表中,因为它与 bigtable.googleapis.com 捆绑在一起。

    如需详细了解 Bigtable,请参阅产品文档

    限制

    Bigtable 与 VPC Service Controls 的集成没有任何已知的限制。

    Binary Authorization

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 binaryauthorization.googleapis.com
    详情

    将多个项目与 Binary Authorization 配合使用时,每个项目都必须包括在 VPC Service Controls 边界内。如需详细了解此使用场景,请参阅多项目设置

    借助 Binary Authorization,您可以使用 Artifact Analysis,将证明者和证明分别存储为备注和发生实例。在这种情况下,您还必须在 VPC Service Controls 边界内包括 Artifact Analysis。如需了解详情,请参阅适用于 Artifact Analysis 的 VPC Service Controls 指南

    如需详细了解 Binary Authorization,请参阅产品文档

    限制

    Binary Authorization 与 VPC Service Controls 的集成没有任何已知的限制。

    Blockchain Node Engine

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 blockchainnodeengine.googleapis.com
    详情

    Blockchain Node Engine 的 API 可以通过 VPC Service Controls 进行保护,并且可在服务边界内正常使用。

    如需详细了解 Blockchain Node Engine,请参阅产品文档

    限制

    Blockchain Node Engine 与 VPC Service Controls 的集成具有以下限制:

    • VPC Service Controls 仅保护 Blockchain Node Engine API。 节点创建后,您仍必须指明该节点用于使用 Private Service Connect 的用户配置的专用网络。
    • 点对点流量不受 VPC Service Controls 或 Private Service Connect 的影响,并且将继续使用公共互联网。

    Certificate Authority Service

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 privateca.googleapis.com
    详情

    Certificate Authority Service 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Certificate Authority Service,请参阅产品文档

    限制
    • 如需在受保护的环境中使用 Certificate Authority Service,您还必须将 Cloud KMS API (cloudkms.googleapis.com) 和 Cloud Storage API (storage.googleapis.com) 添加到您的服务边界。

    Config Controller

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 krmapihosting.googleapis.com
    详情

    如需将 Config Controller 与 VPC Service Controls 配合使用,您必须在边界内启用以下 API:

    • Cloud Monitoring API (monitoring.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)
    • Google Cloud Observability API (logging.googleapis.com)
    • Security Token Service API (sts.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)

    如果您使用 Config Controller 预配资源,则必须在服务边界中启用这些资源的 API。例如,如果要添加 IAM 服务账号,您必须添加 IAM API (iam.googleapis.com)。

    如需详细了解 Config Controller,请参阅产品文档

    限制

    Config Controller 与 VPC Service Controls 的集成没有任何已知的限制。

    Data Catalog

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 datacatalog.googleapis.com
    详情 Data Catalog 会自动遵守其他 Google Cloud 服务的边界

    如需详细了解 Data Catalog,请参阅产品文档

    限制

    Data Catalog 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Data Fusion

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 datafusion.googleapis.com
    详情

    Cloud Data Fusion 要求执行一些特殊步骤以使用 VPC Service Controls 进行保护。

    如需详细了解 Cloud Data Fusion,请参阅产品文档

    限制
    • 在创建 Cloud Data Fusion 私有实例之前,请先建立 VPC Service Controls 安全边界。不支持对在设置 VPC Service Controls 之前创建的实例进行边界保护。

    • 目前,Cloud Data Fusion 数据层面界面不支持使用入站规则访问权限级别进行基于身份的访问。

    Data Lineage API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 datalineage.googleapis.com
    详情

    用于 Data Lineage API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Data Lineage API,请参阅产品文档

    限制

    Data Lineage API 与 VPC Service Controls 的集成没有任何已知的限制。

    Compute Engine

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 compute.googleapis.com
    详情

    VPC Service Controls 对 Compute Engine 的支持具有以下安全优势:

    • 限制对敏感 API 操作的访问权限
    • 将永久性磁盘快照和自定义映像限制在边界内
    • 限制对实例元数据的访问权限

    由于 VPC Service Controls 支持 Compute Engine,因此您也可以在服务边界内利用 Virtual Private Cloud 网络和 Google Kubernetes Engine 专用集群。

    如需详细了解 Compute Engine,请参阅产品文档

    限制
    • 分层防火墙不受服务边界的影响。

    • VPC 对等互连操作不会强制实施 VPC 服务边界限制。

    • 共享 VPC 的 projects.ListXpnHosts API 方法不会对返回的项目强制实施服务边界限制。

    • 如需允许从受服务边界保护的项目的 Cloud Storage 中创建 Compute Engine 映像,创建该映像的用户应临时添加到该边界的入站规则

    • VPC Service Controls 不支持在服务边界内的 Compute Engine 虚拟机上使用开源版本的 Kubernetes。

    • 交互式串行控制台不支持受限 VIP。如果您需要使用串行控制台排查实例问题,请配置本地 DNS 解析以通过互联网将命令发送到 ssh-serialport.googleapis.com

    对话分析洞见

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 contactcenterinsights.googleapis.com
    详情

    如需将 Conversational Insights 与 VPC Service Controls 配合使用,您的边界内必须有以下附加 API,具体取决于您的集成。

    • 如需将数据加载到对话式分析中,请将 Cloud Storage API 添加到您的服务边界。

    • 如需使用导出功能,请将 BigQuery API 添加到您的服务边界。

    • 如需集成多个 CCAI 产品,请将 Vertex AI API 添加到您的服务边界。

    如需详细了解对话式数据分析,请参阅产品文档

    限制

    对话式分析与 VPC Service Controls 的集成没有任何已知的限制。

    Dataflow

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dataflow.googleapis.com
    详情

    Dataflow 支持多种存储服务连接器。以下连接器已通过验证,可与服务边界内的 Dataflow 配合使用:

    如需详细了解 Dataflow,请参阅产品文档

    限制

    • 自定义 BIND 在使用 Dataflow 时不受支持。如需在将 Dataflow 与 VPC Service Controls 结合使用时自定义 DNS 解析,请使用 Cloud DNS 专用区域,而不是使用自定义 BIND 服务器。如需使用您自己的本地 DNS 解析,请考虑使用 Google Cloud DNS 转发方法

    • VPC 自动扩缩无法受 VPC Service Controls 边界的保护。如需在 VPC Service Controls 边界中使用纵向自动扩缩,您必须停用 VPC 可访问服务功能

    • 如果您启用 Dataflow Prime 并在 VPC Service Controls 边界内启动新作业,则该作业会使用不具有纵向自动扩缩的 Dataflow Prime

    • 并非所有存储服务连接器均已经过验证,可在服务边界内与 Dataflow 配合使用。如需查看已验证的连接器的列表,请参阅上一部分中的“详细信息”。

    • 将 Python 3.5 与 Apache Beam SDK 2.20.0‑2.22.0 配合使用时,如果工作器仅具有专用 IP 地址(例如,使用 VPC Service Controls 保护资源时),则 Dataflow 作业将在启动时失败。如果 Dataflow 工作器只能具有专用 IP 地址(例如,使用 VPC Service Controls 保护资源时),请不要将 Python 3.5 与 Apache Beam SDK 2.20.0-2.22.0 结合使用。这种组合会导致作业在启动时失败。

    Dataplex

    状态 GA
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dataplex.googleapis.com
    详情

    Dataplex 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Dataplex,请参阅产品文档

    限制

    在创建 Dataplex 资源之前,请先设置 VPC Service Controls 安全边界。否则,您的资源将没有边界保护。 Dataplex 支持以下资源类型:

    • 数据湖
    • 数据分析扫描
    • 数据质量扫描

    Dataproc

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dataproc.googleapis.com
    详情

    Dataproc 要求执行一些特殊步骤以使用 VPC Service Controls 进行保护。

    如需详细了解 Dataproc,请参阅产品文档

    限制

    如需使用服务边界保护 Dataproc 集群,请按照 Dataproc 和 VPC Service Controls 网络中的说明操作。

    Dataproc Serverless for Spark

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dataproc.googleapis.com
    详情

    Dataproc Serverless 要求执行一些特殊步骤以使用 VPC Service Controls 进行保护。

    如需详细了解适用于 Spark 的 Dataproc Serverless,请参阅产品文档

    限制

    如需使用服务边界保护无服务器工作负载,请按照 Dataproc Serverless 和 VPC Service Controls 网络中的说明操作。

    Dataproc Metastore

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 metastore.googleapis.com
    详情

    Dataproc Metastore 的 API 可以受 VPC Service Controls 的保护,并且可以在服务边界内使用该产品。

    如需详细了解 Dataproc Metastore,请参阅产品文档

    限制

    Dataproc Metastore 与 VPC Service Controls 的集成没有已知的限制。

    Datastream

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 datastream.googleapis.com
    详情

    Datastream 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Datastream,请参阅产品文档

    限制

    Datastream 与 VPC Service Controls 的集成没有任何已知的限制。

    Database Migration Service

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 datamigration.googleapis.com
    详情

    Database Migration Service 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Database Migration Service,请参阅产品文档

    限制
    • 服务边界仅保护 Database Migration Service Admin API。而不会保护对底层数据库(例如 Cloud SQL 实例)的基于 IP 的数据访问。如需限制 Cloud SQL 实例的公共 IP 访问权限,请使用组织政策限制条件
    • 如果您在迁移的初始转储阶段使用 Cloud Storage 文件,请将 Cloud Storage 存储桶添加到同一个服务边界。
    • 如果您在目标数据库中使用客户管理的加密密钥 (CMEK),请确保 CMEK 与包含密钥的连接配置文件位于同一服务边界内。

    Dialogflow

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dialogflow.googleapis.com
    详情

    Dialogflow 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Dialogflow,请参阅产品文档

    限制

    敏感数据保护

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dlp.googleapis.com
    详情

    敏感数据保护的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解敏感数据保护,请参阅产品文档

    限制
    • 由于 VPC Service Controls 目前不支持文件夹和组织资源,因此在尝试访问组织级资源时,敏感数据保护调用可能会返回 403 响应。我们建议使用 IAM 在文件夹级层和组织级层管理敏感数据保护权限。

    Cloud DNS

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dns.googleapis.com
    详情

    Cloud DNS 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud DNS,请参阅产品文档

    限制

    • 您可以通过受限 VIP 访问 Cloud DNS。但是,您无法在 VPC Service Controls 边界内的项目中创建或更新公共 DNS 区域。

    Document AI

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 documentai.googleapis.com
    详情

    Document AI 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Document AI,请参阅产品文档

    限制

    Document AI 与 VPC Service Controls 的集成没有任何已知的限制。

    Document AI Warehouse

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 contentwarehouse.googleapis.com
    详情

    Document AI Warehouse 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Document AI Warehouse,请参阅产品文档

    限制

    Document AI Warehouse 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Domains

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 domains.googleapis.com
    详情

    Cloud Domains 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Domains,请参阅产品文档

    限制

    • Cloud Domains 中使用的联系方式数据可能会与域名后缀或顶级域名 (TLD) 注册数据库共享,并且在您的设置允许并且符合 ICANN 规则的情况下,可供 WHOIS/RDAP 公开访问。有关详情,请参阅隐私权保护

    • Cloud Domains 中使用的 DNS 配置数据(域名服务器 DNSSEC 设置)是公开的。如果您的网域委托给公共 DNS 区域(默认设置),则该区域的 DNS 配置数据也是公开的。

    Eventarc Advanced

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 eventarc.googleapis.com
    详情

    服务边界外的 Eventarc Advanced 总线无法接收来自边界内 Google Cloud 项目的事件。边界内的 Eventarc Advanced 总线无法将事件路由到边界外的使用方。

    • 如需发布到 Eventarc Advanced 总线,事件的来源必须与该总线位于同一服务边界内。
    • 如需使用消息,事件使用方必须与总线位于同一服务边界内。

    如需详细了解 Eventarc Advanced,请参阅产品文档

    限制
    在受服务边界保护的项目中,存在以下限制:

    您无法在服务边界内创建 Eventarc Advanced 流水线。您可以通过查看入站流量的平台日志来验证 VPC Service Controls 是否支持 MessageBusGoogleApiSourceEnrollment 资源;不过,您无法测试 VPC Service Controls 出站流量。如果其中任何资源位于服务边界中,您将无法设置 Eventarc Advanced 以在该边界内端到端传送事件。

    Eventarc Standard

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 eventarc.googleapis.com
    详情

    Eventarc Standard 使用 Pub/Sub 主题和推送订阅来处理事件传送。如需访问 Pub/Sub API 和管理事件触发器,Eventarc API 必须在 Pub/Sub API 所在的 VPC Service Controls 服务边界内受到保护。

    如需详细了解 Eventarc Standard,请参阅产品文档

    限制
    在受服务边界保护的项目中,存在以下限制:
    • Eventarc Standard 受到与 Pub/Sub 相同限制的约束:
      • 将事件路由到 Cloud Run 目标时,除非推送端点设置为使用默认 run.app 网址的 Cloud Run 服务(自定义网域不起作用),否则无法创建新的 Pub/Sub 推送订阅。
      • 将事件路由到 Pub/Sub 推送端点设置为 Workflows 执行的 Workflows 目标时,您只能通过 Eventarc Standard 创建新的 Pub/Sub 推送订阅。
      在本文档中,请参阅 Pub/Sub 限制
    • VPC Service Controls 会阻止为内部 HTTP 端点创建 Eventarc Standard 触发器的操作。将事件路由到此类目标时,VPC Service Controls 保护不适用。

    分布式 Cloud Edge 网络 API

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 edgenetwork.googleapis.com
    详情

    Distributed Cloud Edge Network API 的 API 可以通过 VPC Service Controls 进行保护,并且可在服务边界内正常使用。

    如需详细了解 Distributed Cloud Edge Network API,请参阅产品文档

    限制

    Distributed Cloud Edge Network API 与 VPC Service Controls 的集成没有任何已知的限制。

    反洗钱 AI

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 financialservices.googleapis.com
    详情

    Anti Monetization Laundering AI 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Anti Money Laundering AI,请参阅产品文档

    限制

    Anti Monetization Laundering AI 与 VPC Service Controls 的集成没有任何已知的限制。

    Firebase App Check

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 firebaseappcheck.googleapis.com
    详情

    当您配置和交换 Firebase App Check 令牌时,VPC Service Controls 仅保护 Firebase App Check 服务。如需保护依赖于 Firebase App Check 的服务,您必须为这些服务设置服务边界。

    如需详细了解 Firebase App Check,请参阅产品文档

    限制

    Firebase App Check 与 VPC Service Controls 的集成没有任何已知的限制。

    Firebase 安全规则

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 firebaserules.googleapis.com
    详情

    当您管理 Firebase 安全规则政策时,VPC Service Controls 仅保护 Firebase 安全规则服务。如需保护依赖于 Firebase 安全规则的服务,您必须为这些服务设置服务边界。

    如需详细了解 Firebase 安全规则,请参阅产品文档

    限制

    Firebase 安全规则与 VPC Service Controls 的集成不存在任何已知的限制。

    Cloud Run 函数

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudfunctions.googleapis.com
    详情

    如需了解设置步骤,请参阅 Cloud Run functions 文档。如果使用 Cloud Build 构建了 Cloud Run 函数,则 VPC Service Controls 保护不适用于构建阶段。如需了解详情,请参阅已知限制。

    如需详细了解 Cloud Run 函数,请参阅产品文档

    限制
    • Cloud Run functions 使用 Cloud Build、Container Registry 和 Cloud Storage 在可运行的容器中构建和管理源代码。如果任何这些服务受服务边界的限制,则 VPC Service Controls 会阻止 Cloud Run functions 构建,即使 Cloud Run functions 未作为受限服务添加到边界也是如此。如需在服务边界内使用 Cloud Run functions,您必须在服务边界内为 Cloud Build 服务账号配置入站流量规则

    • Cloud Build 具有不受限制的互联网访问权限,可以让您的函数使用 npm 软件包之类的外部依赖项。这种互联网访问权限可用于渗漏在构建时提供的数据,例如您上传的源代码。如果您希望降低这种渗漏攻击途径带来的风险,我们建议您仅允许受信任的开发者部署函数。请勿将 Cloud Run functions Owner、Editor 或 Developer 这些 IAM 角色授予不受信任的开发者。

    • 为服务边界指定入站流量或出站流量政策时,不能将 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT 用作从本地机器部署 Cloud Run 函数的身份类型。

      作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。

    • 通过 HTTP 触发器调用 Cloud Run Functions 服务时,VPC Service Controls 政策强制执行不会使用客户端的 IAM 身份验证信息。不支持使用 IAM 主账号的 VPC Service Controls 入站流量政策规则。不支持使用 IAM 主账号的 VPC Service Controls 边界的访问权限级别。

    Identity and Access Management

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 iam.googleapis.com
    详情

    使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务账号和密钥。边界不会限制员工池操作,因为员工池属于组织级资源。

    IAM 的边界不会限制其他服务拥有的资源(例如 Resource Manager 项目、文件夹和组织或 Compute Engine 虚拟机实例)的访问权限管理(即获取或设置 IAM 政策)如需限制这些资源的访问权限管理,请创建限制这些资源所属服务的边界。如需查看接受 IAM 政策的资源及其所属服务的列表,请参阅接受 IAM 政策的资源类型

    此外,IAM 的边界不会限制使用其他 API 的操作,这些 API 包括:

    • IAM Policy Simulator API
    • IAM Policy Troubleshooter API
    • Security Token Service API
    • Service Account Credentials API(包括 IAM API 中的旧版 signBlobsignJwt 方法)

    如需详细了解 Identity and Access Management,请参阅产品文档

    限制

    如果您位于边界内,则无法使用空字符串调用 roles.list 方法来列出 IAM 预定义角色。如果您需要查看预定义角色,请参阅 IAM 角色文档

    IAP Admin API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 iap.googleapis.com
    详情

    借助 IAP Admin API,用户可以配置 IAP。

    如需详细了解 IAP Admin API,请参阅产品文档

    限制

    IAP Admin API 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud KMS Inventory API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 kmsinventory.googleapis.com
    详情

    用于 Cloud KMS Inventory API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud KMS Inventory API,请参阅产品文档

    限制

    SearchProtectedResources API 方法不会对返回的项目强制实施服务边界限制。

    Service Account Credentials

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 iamcredentials.googleapis.com
    详情

    Service Account Credentials API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解服务账号凭据,请参阅产品文档

    限制

    Service Account Credentials 与 VPC Service Controls 的集成没有任何已知的限制。

    Service Metadata API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloud.googleapis.com
    详情

    用于 Service Metadata API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Service Metadata API,请参阅产品文档

    限制

    Service Metadata API 与 VPC Service Controls 的集成没有任何已知的限制。

    无服务器 VPC 访问通道

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 vpcaccess.googleapis.com
    详情

    无服务器 VPC 访问通道的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解无服务器 VPC 访问通道,请参阅产品文档

    限制

    无服务器 VPC 访问通道与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Key Management Service

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudkms.googleapis.com
    详情

    Cloud KMS API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内使用。对 Cloud HSM 服务的访问权限也受 VPC Service Controls 保护,并且可以在服务边界内使用。

    如需详细了解 Cloud Key Management Service,请参阅产品文档

    限制

    Cloud Key Management Service 与 VPC Service Controls 的集成没有任何已知的限制。

    Game Servers

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 gameservices.googleapis.com
    详情

    Game Servers 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Game Servers,请参阅产品文档

    限制

    Game Servers 与 VPC Service Controls 的集成没有任何已知的限制。

    Gemini Code Assist

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudaicompanion.googleapis.com
    详情

    Gemini Code Assist 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Gemini Code Assist,请参阅产品文档

    限制

    Google Cloud 控制台中的 Gemini 不支持基于设备、公共 IP 地址或位置的访问权限控制。

    Identity-Aware Proxy for TCP

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 iaptunnel.googleapis.com
    详情

    Identity-Aware Proxy for TCP 的 API 可以受 VPC Service Controls 的保护,并且可以在服务边界内使用该产品。

    如需详细了解 Identity-Aware Proxy for TCP,请参阅产品文档

    限制
    • 只有 IAP for TCP 的使用 API 可以获得边界的保护。管理 API 无法被边界保护。

    • 如需在 VPC Service Controls 服务边界内使用 IAP for TCP,您必须添加或配置一些 DNS 条目,以将以下网域指向受限 VIP:

      • tunnel.cloudproxy.app
      • *.tunnel.cloudproxy.app

    Cloud Life Sciences

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 lifesciences.googleapis.com
    详情

    Cloud Life Sciences 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Life Sciences,请参阅产品文档

    限制

    Cloud Life Sciences 与 VPC Service Controls 的集成没有已知的限制。

    Managed Service for Microsoft Active Directory

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 managedidentities.googleapis.com
    详情

    以下各项需要的额外配置:

    如需详细了解 Managed Service for Microsoft Active Directory,请参阅产品文档

    限制

    Managed Service for Microsoft Active Directory 与 VPC Service Controls 的集成没有任何已知的限制。

    reCAPTCHA

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 recaptchaenterprise.googleapis.com
    详情

    reCAPTCHA 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 reCAPTCHA,请参阅产品文档

    限制

    reCAPTCHA 与 VPC Service Controls 的集成没有任何已知的限制。

    Web Risk

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 webrisk.googleapis.com
    详情

    Web Risk 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Web Risk,请参阅产品文档

    限制

    VPC Service Controls 不支持 Evaluate API 和 Submission API。

    Recommender

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 recommender.googleapis.com
    详情

    Recommender 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Recommender,请参阅产品文档

    限制

    • VPC Service Controls 不支持组织、文件夹或结算账号资源。

    Secret Manager

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 secretmanager.googleapis.com
    详情

    Secret Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Secret Manager,请参阅产品文档

    限制

    Secret Manager 与 VPC Service Controls 的集成没有任何已知的限制。

    Pub/Sub

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 pubsub.googleapis.com
    详情

    VPC Service Controls 保护适用于所有管理员操作、发布商操作和订阅者操作(现有推送订阅除外)。

    如需详细了解 Pub/Sub,请参阅产品文档

    限制

    在受服务边界保护的项目中,存在以下限制:

    • 除非将推送端点设置为使用默认 run.app 网址的 Cloud Run 服务或 Workflows 执行作业(自定义网域不起作用),否则无法创建新的推送订阅。如需详细了解如何与 Cloud Run 集成,请参阅使用 VPC Service Controls
    • 对于非推送订阅,您必须在与主题相同的边界内创建订阅,或者启用出站规则以允许从主题访问订阅。
    • 通过 Eventarc 将事件路由到推送端点设置为 Workflows 执行的 Workflows 目标时,您只能通过 Eventarc 创建新的推送订阅。
    • 系统不会阻止在服务边界之前创建的 Pub/Sub 订阅。

    Pub/Sub Lite

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 pubsublite.googleapis.com
    详情

    VPC Service Controls 保护适用于所有订阅者操作。

    如需详细了解 Pub/Sub Lite,请参阅产品文档

    限制

    Pub/Sub Lite 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Build

    状态 GA。VPC Service Controls 支持此产品集成。如需了解详情和限制,请参阅相关内容。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudbuild.googleapis.com
    详情

    将 VPC Service Controls 与 Cloud Build 专用池搭配使用,从而为构建额外增加一层安全性。

    如需详细了解 Cloud Build,请参阅产品文档

    限制

    Cloud Deploy

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 clouddeploy.googleapis.com
    详情

    Cloud Deploy 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Deploy,请参阅产品文档

    限制

    如需在边界内使用 Cloud Deploy,您必须为目标的执行环境使用 Cloud Build 专用池。请勿使用默认的 (Cloud Build) 工作器池,也不要使用混合池。

    Cloud Composer

    状态 GA
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 composer.googleapis.com
    详情

    配置 Composer 以便与 VPC Service Controls 配合使用

    如需详细了解 Cloud Composer,请参阅产品文档

    限制

    • 启用 DAG 序列化可防止 Airflow 在网页界面中显示包含函数的渲染模板。

    • 启用 DAG 序列化时,不支持将 async_dagbag_loader 标志设置为 True

    • 启用 DAG 序列化会停用所有 Airflow Web 服务器插件,因为这些插件可能会影响部署 Cloud Composer 所在 VPC 网络的安全性。这不会影响调度器或工作器插件(包括 Airflow 运算符和传感器)的行为。

    • 当 Cloud Composer 在边界内运行时,对公共 PyPI 代码库的访问权限会受到限制。请参阅 Cloud Composer 文档中的安装 Python 依赖项,了解如何在专用 IP 模式下安装 PyPi 模块。

    Cloud 配额

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudquotas.googleapis.com
    详情

    Cloud Quotas 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud 配额,请参阅产品文档

    限制
    • 由于 VPC Service Controls 在项目级强制执行边界,因此来自边界内客户端的 Cloud 配额请求只能在组织设置出站流量规则时访问组织资源。
    • 在申请降低配额时,Cloud 配额会向 Monitoring 执行服务到服务 (S2S) 调用。

      此 S2S 调用并非来自边界内(即使减少请求来自边界内),因此将被 VPC Service Controls 屏蔽。

      为避免此问题,您可以执行以下任一操作:

    如需设置入站或出站规则,请参阅 VPC Service Controls 说明中的配置入站和出站政策

    Cloud Run

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 run.googleapis.com
    详情 Cloud Run 需要进行其他设置。按照 Cloud Run VPC Service Controls 文档页面中的说明操作。

    如需详细了解 Cloud Run,请参阅产品文档

    限制
    • 对于 Artifact Registry 和 Container Registry,存储容器的注册表必须与要部署到的项目位于同一 VPC Service Controls 边界内。要构建的代码必须与向其中推送容器的注册表位于同一 VPC Service Controls 边界内。
    • Cloud Run 持续部署功能不适用于 VPC Service Controls 边界内的项目。
    • 调用 Cloud Run 服务时,VPC Service Controls 政策强制执行不会使用客户端的 IAM 身份验证信息。此类请求存在以下限制:
      • 不支持使用 IAM 主账号的 VPC Service Controls 入站流量政策规则。
      • 不支持使用 IAM 主账号的 VPC Service Controls 边界的访问权限级别。
    • 只有在使用受限虚拟 IP (VIP) 地址时,才能保证 VPC Service Controls 出站政策的强制执行。
    • 允许来自同一项目对非受限 VIP 的请求,即使 Cloud Run 未配置为可通过 VPC 访问的服务也是如此。

    Cloud Scheduler

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudscheduler.googleapis.com
    详情 对以下操作实施 VPC Service Controls:
    • Cloud Scheduler 作业创建
    • Cloud Scheduler 作业更新

    如需详细了解 Cloud Scheduler,请参阅产品文档

    限制
    VPC Service Controls 仅支持具有以下目标的 Cloud Scheduler 作业:
    • Cloud Run 函数 functions.net 端点
    • Cloud Run run.app 端点
    • Dataflow API(必须与 Cloud Scheduler 作业位于同一 Google Cloud 项目中)
    • Data Pipelines(必须与 Cloud Scheduler 作业位于同一 Google Cloud 项目中)
    • Pub/Sub(必须与 Cloud Scheduler 作业位于同一 Google Cloud 项目中)

    Spanner

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 spanner.googleapis.com
    详情

    Spanner 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Spanner,请参阅产品文档

    限制

    Spanner 与 VPC Service Controls 的集成没有任何已知的限制。

    Speaker ID

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 speakerid.googleapis.com
    详情

    Speaker ID 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Speaker ID,请参阅产品文档

    限制

    Speaker ID 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Storage

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 storage.googleapis.com
    详情

    Cloud Storage 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Storage,请参阅产品文档

    限制
    • 请求者付款功能与用于保护 Cloud Storage 服务的服务边界内的存储桶结合使用时,您无法确定在该边界外的待付款项目。目标项目必须与存储桶位于同一个边界内,或者在存储桶项目所属的边界网桥中。

      如需详细了解请求者付款功能,请参阅请求者付款功能的使用和访问要求

    • 对于服务边界内的项目,如果 Cloud Storage API 受该边界的保护,则无法访问 Google Cloud 控制台中的 Cloud Storage 页面。如果您想授予对该页面的访问权限,则必须创建一个入站规则和/或访问权限级别,其中包含您要允许访问 Cloud Storage API 的用户账号和/或公共 IP 范围。

    • 在审核日志记录中,resourceName 字段不标识拥有存储桶的项目。必须单独发现此类项目

    • 在审核日志记录中,methodName 的值并非始终正确。建议您不要按 methodName 过滤 Cloud Storage 审核日志记录。

    • 在某些情况下,即使访问被拒,Cloud Storage 旧版存储桶日志也可写入到服务边界外的目标位置。

    • 在某些情况下,可以访问公开 Cloud Storage 对象,即使在对这些对象启用 VPC Service Controls 后也是如此。这些对象在最终用户与 Cloud Storage 之间的内置缓存和任何其他上游缓存中到期之前是可以访问的。默认情况下,Cloud Storage 在 Cloud Storage 网络中缓存可公开访问的数据。如需详细了解如何缓存 Cloud Storage 对象,请参阅 Cloud Storage。如需了解对象可缓存的时长,请参阅 Cache-control 元数据
    • 为服务边界指定入站流量或出站流量政策时,不能将 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT 用作使用签名网址的所有 Cloud Storage 操作的身份类型。

      作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。

    • 已签名网址支持 VPC Service Controls。

      VPC Service Controls 使用对签名网址进行签名的用户或服务账号的签名凭据来评估 VPC Service Controls 检查,而不是发起连接的调用者或用户凭据。

    Cloud Tasks

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudtasks.googleapis.com
    详情

    Cloud Tasks 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    对 Cloud Tasks 执行发出的 HTTP 请求的支持如下:

    • 允许向符合 VPC Service Controls 标准的 Cloud Run functions 和 Cloud Run 端点发送经过身份验证的请求。
    • 禁止向非 Cloud Run 函数和非 Cloud Run 端点发送请求。
    • 禁止向不符合 VPC Service Controls 要求的 Cloud Run 函数和 Cloud Run 端点发送请求。

    如需详细了解 Cloud Tasks,请参阅产品文档

    限制
    VPC Service Controls 仅支持发送到以下目标的 Cloud Tasks 请求:
    • Cloud Run 函数 functions.net 端点
    • Cloud Run run.app 端点

    Cloud SQL

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 sqladmin.googleapis.com
    详情

    VPC Service Controls 边界可保护 Cloud SQL Admin API。

    如需详细了解 Cloud SQL,请参阅产品文档

    限制

    • 服务边界仅会保护 Cloud SQL Admin API,而不会保护对 Cloud SQL 实例的基于 IP 的数据访问。您需要使用组织政策限制条件来限制公共 IP 对 Cloud SQL 实例的访问权限。
    • 在为 Cloud SQL 配置 VPC Service Controls 之前,请启用 Service Networking API。
    • Cloud SQL 导入和导出只能从 Cloud SQL 副本实例所在服务边界内的 Cloud Storage 存储桶执行读写操作。

    • 外部服务器迁移流程中,您需要将 Cloud Storage 存储桶添加到同一个服务边界。
    • 在 CMEK 的密钥创建流程中,您需要在使用该密钥的资源所在的服务边界中创建密钥
    • 从备份恢复实例时,目标实例必须与备份位于同一服务边界内。

    Video Intelligence API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 videointelligence.googleapis.com
    详情

    用于 Video Intelligence API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Video Intelligence API,请参阅产品文档

    限制

    Video Intelligence API 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Vision API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 vision.googleapis.com
    详情

    用于 Cloud Vision API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Vision API,请参阅产品文档

    限制
    即使您创建出站规则以允许从 VPC Service Controls 边界内调用公共网址,Cloud Vision API 也会阻止对公共网址的调用。

    Artifact Analysis

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 containeranalysis.googleapis.com
    详情

    如需将 Artifact Analysis 和 VPC Service Controls 搭配使用,您可能需要将其他服务添加到您的 VPC 边界:

    由于 Container Scanning API 是一种无状态 API,用于将结果存储在 Artifact Analysis 中,因此您不需要使用服务边界来保护 API。

    如需详细了解 Artifact Analysis,请参阅产品文档

    限制

    Artifact Analysis 与 VPC Service Controls 的集成没有任何已知的限制。

    Container Registry

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 containerregistry.googleapis.com
    详情

    除了保护 Container Registry API 之外,您还可以在 GKE 和 Compute Engine 的服务边界内使用 Container Registry。

    如需详细了解 Container Registry,请参阅产品文档

    限制

    • 为服务边界指定入站流量或出站流量政策时,不能将 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT 用作所有 Container Registry 操作的身份类型。

      作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。

    • 由于 Container Registry 使用 gcr.io 网域,因此您必须为 *.gcr.io 配置 DNS 以映射到 private.googleapis.comrestricted.googleapis.com。如需了解详情,请参阅在服务边界内保护 Container Registry

    • 除了边界内可用于 Container Registry 的容器之外,以下只读制品库也可用于所有项目(无论服务边界强制设定的限制如何):

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      在所有情况下,这些代码库的多区域版本也可用。

    Google Kubernetes Engine

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 container.googleapis.com
    详情

    Google Kubernetes Engine 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Google Kubernetes Engine,请参阅产品文档

    限制

    • 如需全面保护 Google Kubernetes Engine API,您还必须在边界中添加 Kubernetes 元数据 API (kubernetesmetadata.googleapis.com)。
    • 只有专用集群可以使用 VPC Service Controls 进行保护。VPC Service Controls 不支持使用公共 IP 地址的集群。
    • 自动扩缩功能独立于 GKE 运行。由于 VPC Service Controls 不支持 autoscaling.googleapis.com,因此自动扩缩不起作用。使用 GKE 时,您可以忽略审核日志中由于 autoscaling.googleapis.com 服务而导致的 SERVICE_NOT_ALLOWED_FROM_VPC 违规行为。

    Container Security API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 containersecurity.googleapis.com
    详情

    用于 Container Security API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Container Security API,请参阅产品文档

    限制

    Container Security API 与 VPC Service Controls 的集成没有任何已知的限制。

    映像流式传输

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 containerfilesystem.googleapis.com
    详情

    映像流式传输是一项 GKE 数据流功能,可缩短存储在 Artifact Registry 中的映像的容器映像拉取时间。如果 VPC Service Controls 保护您的容器映像,并且您使用了映像流式传输,则还必须在服务边界内添加 Image Streaming API。

    如需详细了解映像流式传输,请参阅产品文档

    限制

    • 以下只读代码库可用于所有项目(无论服务边界强制实施什么限制):

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

    舰队

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 gkeconnect.googleapis.com,
    gkehub.googleapis.com,
    connectgateway.googleapis.com
    详情

    舰队管理 API(包括 Connect 网关)可以通过 VPC Service Controls 进行保护,并且舰队管理功能可以在服务边界内正常使用。 详情请参阅以下内容:

    如需详细了解舰队,请参阅产品文档

    限制

    • 虽然所有舰队管理功能都可以正常使用,但在 Stackdriver API 周围启用服务边界会限制 Policy Controller 舰队功能与 Security Command Center 集成。
    • 使用 Connect 网关访问 GKE 集群时,系统不会强制执行 container.googleapis.com 的 VPC Service Controls 边界。

    Resource Manager

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudresourcemanager.googleapis.com
    详情

    以下 Cloud Resource Manager API 方法可以受 VPC Service Controls 保护:

    如需详细了解 Resource Manager,请参阅产品文档

    限制

    • 只有直接以项目资源为父级的标记键及对应的标记值才能使用 VPC Service Controls 进行保护。将项目添加到 VPC Service Controls 边界时,项目中的所有标记键和相应的标记值都被视为边界内的资源。
    • 以组织资源为父级的标记键及其对应的标记值不能包含在 VPC Service Controls 边界内,也不能使用 VPC Service Controls 进行保护。
    • 除非在 VPC Service Controls 边界内设置了允许访问的出站规则,否则 VPC Service Controls 边界内的客户端无法访问以组织资源为父级的标记键以及相应值。如需详细了解如何设置出站规则,请参阅入站和出站规则
    • 标记绑定被视为与标记值绑定的资源位于同一边界内的资源。例如,无论标记键的定义位置如何,项目中的 Compute Engine 实例上的标记绑定均被视为属于该项目。
    • 除了 Resource Manager 服务 API 之外,Compute Engine 等一些服务允许使用其自己的服务 API 创建标记绑定。例如,在创建资源期间向 Compute Engine 虚拟机添加标记。若要保护使用这些服务 API 创建或删除的标记绑定,请将相应的服务(例如 compute.googleapis.com)添加到边界内的受限服务列表中。
    • 标记支持方法级限制,因此您可以将 method_selectors 的范围限定为特定的 API 方法。如需查看受限方法的列表,请参阅支持的服务方法限制
    • VPC Service Controls 现在支持通过 Google Cloud 控制台授予项目的 Owner 角色。您不能在服务边界外发送所有者邀请,也不能接受邀请。如果您尝试从边界外接受邀请,则系统不会授予您 Owner 角色,并且不会显示任何错误或警告消息。

    Cloud Logging

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 logging.googleapis.com
    详情

    Cloud Logging 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Logging,请参阅产品文档

    限制
    • 聚合日志接收器(文件夹或组织接收器,其中 includeChildrentrue)可以访问服务边界内的项目中的数据。如需限制聚合日志接收器访问边界内的数据,我们建议使用 IAM 在文件夹级别或组织级别聚合日志接收器中管理 Logging 权限。

    • VPC Service Controls 不支持将文件夹或组织资源添加到服务边界。因此,您无法使用 VPC Service Controls 保护文件夹级层和组织级层的日志,包括聚合日志。如需在文件夹级别或组织级别管理 Logging 权限,我们建议使用 IAM。

    • 如果您使用组织级或文件夹级日志接收器将日志路由到服务边界保护的资源,则必须向服务边界添加入站流量规则。入站流量规则必须允许从日志接收器使用的服务账号访问资源。项目级接收器不需要执行此步骤。

      如需了解详情,请参阅以下页面:

    • 为服务边界指定入站流量或出站流量政策时,不能将 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT 用作将日志从 Cloud Logging 接收器导出到 Cloud Storage 资源的身份类型。

      作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。

    Certificate Manager

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 certificatemanager.googleapis.com
    详情

    Certificate Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Certificate Manager,请参阅产品文档

    限制

    Certificate Manager 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Monitoring

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 monitoring.googleapis.com
    详情

    Cloud Monitoring 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Monitoring,请参阅产品文档

    限制
    • 通知渠道、提醒政策和自定义指标相互结合在一起,可以形成数据/元数据的渗漏攻击途径。即日起,Monitoring 用户可以设置指向组织外实体(例如“baduser@badcompany.com”)的通知渠道。然后,用户会设置利用通知渠道的自定义指标和相应的提醒政策。因此,通过操纵自定义指标,用户可以在 VPC Service Controls 边界之外触发提醒和发送提醒,从而触发通知并向 baduser@badcompany.com 渗漏敏感数据。

    • 任何安装了 Monitoring 代理的 Compute Engine 或 AWS 虚拟机都必须位于 VPC Service Controls 边界内,否则代理指标写入将失败。

    • 任何 GKE pod 都必须位于 VPC Service Controls 边界内,否则 GKE 监控将无法运行。

    • 查询指标范围的指标时,仅考虑指标范围的范围项目的 VPC Service Controls 边界。不考虑指标范围内各个受监控项目的边界。

    • 仅当某项目与指标范围的范围项目在同一 VPC Service Controls 边界中时,才能将该项目作为受监控项目添加到现有指标范围

    • 如需针对受服务边界保护的宿主项目在 Google Cloud 控制台中访问 Monitoring,请使用入站规则

    Cloud Profiler

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudprofiler.googleapis.com
    详情

    Cloud Profiler 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Profiler,请参阅产品文档

    限制

    Cloud Profiler 与 VPC Service Controls 的集成没有任何已知的限制。

    Timeseries Insights API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 timeseriesinsights.googleapis.com
    详情

    用于 Timeseries Insights API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Timeseries Insights API,请参阅产品文档

    限制

    Timeseries Insights API 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Trace

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudtrace.googleapis.com
    详情

    Cloud Trace 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Trace,请参阅产品文档

    限制

    Cloud Trace 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud TPU

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 tpu.googleapis.com
    详情

    Cloud TPU 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud TPU,请参阅产品文档

    限制

    Cloud TPU 与 VPC Service Controls 的集成没有任何已知的限制。

    Natural Language API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 language.googleapis.com
    详情

    如需详细了解 Natural Language API,请参阅产品文档

    限制

    Natural Language API 是无状态 API 并且不在项目上运行,因此使用 VPC Service Controls 保护 Natural Language API 不会产生任何效果。

    Network Connectivity Center

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 networkconnectivity.googleapis.com
    详情

    Network Connectivity Center 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Network Connectivity Center,请参阅产品文档

    限制

    Network Connectivity Center 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Asset API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudasset.googleapis.com
    详情

    用于 Cloud Asset API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Asset API,请参阅产品文档

    限制

    • VPC Service Controls 不支持从服务边界内的资源和客户端访问文件夹级层或组织级层 Cloud Asset API 资源。 VPC Service Controls 可保护项目级 Cloud Asset API 资源。您可以指定出站流量政策,以防止从边界内的项目访问项目级层的 Cloud Asset API 资源。
    • VPC Service Controls 不支持将文件夹级层或组织级层 Cloud Asset API 资源添加到服务边界。您无法使用边界来保护文件夹级别或组织级别的 Cloud Asset API 资源。要在文件夹或组织级别管理 Cloud Asset Inventory 权限,我们建议使用 IAM。

    Speech-to-Text

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 speech.googleapis.com
    详情

    Speech-to-Text 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Speech-to-Text,请参阅产品文档

    限制

    Speech-to-Text 与 VPC Service Controls 的集成没有任何已知的限制。

    Text-to-Speech

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 texttospeech.googleapis.com
    详情

    Text-to-Speech 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Text-to-Speech,请参阅产品文档

    限制

    Text-to-Speech 与 VPC Service Controls 的集成没有任何已知的限制。

    Translation

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 translate.googleapis.com
    详情

    Translation 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Translation,请参阅产品文档

    限制

    Cloud Translation 高级版 (v3) 支持 VPC Service Controls,但不支持 Cloud Translation 基本版 (v2)。如需应用 VPC Service Controls,您必须使用 Cloud Translation 高级版 (v3)。如需详细了解不同的版本,请参阅比较基本版和高级版

    Live Stream API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 livestream.googleapis.com
    详情

    将 VPC Service Controls 与 Live Stream API 搭配使用以保护流水线。

    如需详细了解 Live Stream API,请参阅产品文档

    限制

    如需使用服务边界保护输入端点,您必须遵循设置专用池的相关说明,并通过专用连接发送输入视频串流。

    Transcoder API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 transcoder.googleapis.com
    详情

    用于 Transcoder API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Transcoder API,请参阅产品文档

    限制

    Transcoder API 与 VPC Service Controls 的集成没有已知的限制。

    Video Stitcher API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 videostitcher.googleapis.com
    详情

    用于 Video Stitcher API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Video Stitcher API,请参阅产品文档

    限制

    Video Stitcher API 与 VPC Service Controls 的集成没有任何已知的限制。

    Access Approval

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 accessapproval.googleapis.com
    详情

    Access Approval 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Access Approval,请参阅产品文档

    限制

    Access Approval 与 VPC Service Controls 的集成没有任何已知的限制。

    Cloud Healthcare API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 healthcare.googleapis.com
    详情

    用于 Cloud Healthcare API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Healthcare API,请参阅产品文档

    限制

    VPC Service Controls 不支持 Cloud Healthcare API 中的客户管理的加密密钥 (CMEK)

    Storage Transfer Service

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 storagetransfer.googleapis.com
    详情

    我们建议您将 Storage Transfer Service 项目放在与 Cloud Storage 资源相同的服务边界内。这可以保护您的转移作业和 Cloud Storage 资源。通过使用出站流量政策,Storage Transfer Service 还支持 Storage Transfer Service 项目与 Cloud Storage 存储桶位于不同边界的场景。

    如需了解设置情况,请参阅将 Storage Transfer Service 与 VPC Service Controls 配合使用

    Transfer Service for On Premises Data

    如需详细了解本地转移服务以及设置信息,请参阅将本地转移服务与 VPC Service Controls 搭配使用

    如需详细了解 Storage Transfer Service,请参阅产品文档

    限制
    Storage Transfer Service 与 VPC Service Controls 的集成没有任何已知的限制。

    Service Control

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 servicecontrol.googleapis.com
    详情

    Service Control 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Service Control,请参阅产品文档

    限制

    • 从 Service Control 受限的服务边界内的 VPC 网络调用 Service Control API 以报告结算或分析指标时,您只能使用 Service Control 报告方法来报告 VPC Service Controls 支持的服务的指标。

    Memorystore for Redis

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 redis.googleapis.com
    详情

    Memorystore for Redis 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Memorystore for Redis,请参阅产品文档

    限制

    • 服务边界仅保护 Memorystore for Redis API。边界不保护同一网络中的 Memorystore for Redis 实例上的正常数据访问。

    • 如果 Cloud Storage API 也受保护,则 Memorystore for Redis 导入和导出操作只能在与 Memorystore for Redis 实例相同的服务边界内读取和写入 Cloud Storage 存储桶。

    • 如果您同时使用共享 VPC 和 VPC Service Controls,则提供网络的宿主项目与包含 Redis 实例的服务项目必须位于相同边界内,这样 Redis 请求才能成功。在任何时候,用边界将宿主项目和服务项目分隔开来都会导致 Redis 实例发生故障,此外还会导致请求被阻止。如需了解详情,请参阅 Memorystore for Redis 配置要求

    Memorystore for Memcached

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 memcache.googleapis.com
    详情

    Memorystore for Memcached 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Memorystore for Memcached,请参阅产品文档

    限制

    • 服务边界仅保护 Memorystore for Memcached API。边界不保护同一网络中的 Memorystore for Memcached 实例上的正常数据访问。

    Service Directory

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 servicedirectory.googleapis.com
    详情

    Service Directory 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Service Directory,请参阅产品文档

    限制

    Service Directory 与 VPC Service Controls 的集成没有任何已知的限制。

    Visual Inspection AI

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 visualinspection.googleapis.com
    详情

    如需全面保护 Visual Inspection AI,请将以下所有 API 包含在边界内:

    • Visual Inspection AI API (visualinspection.googleapis.com)
    • Vertex AI API (aiplatform.googleapis.com)
    • Cloud Storage API (storage.googleapis.com)
    • Artifact Registry API (artifactregistry.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)

    如需详细了解 Visual Inspection AI,请参阅产品文档

    限制

    Visual Inspection AI 与 VPC Service Controls 的集成没有任何已知的限制。

    Transfer Appliance

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 不能。服务边界不能保护 Transfer Appliance 的 API。但是,Transfer Appliance 可在边界内的项目中正常使用。
    详情

    使用 VPC Service Controls 的项目完全支持 Transfer Appliance。

    Transfer Appliance 不提供 API,因此不支持 VPC Service Controls 中与 API 相关的功能。

    如需详细了解 Transfer Appliance,请参阅产品文档

    限制

    • 当 Cloud Storage 受 VPC Service Controls 保护时,您与 Transfer Appliance 团队共享的 Cloud KMS 密钥必须与目标 Cloud Storage 存储桶位于同一项目中。

    组织政策服务

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 orgpolicy.googleapis.com
    详情

    组织政策服务的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解组织政策服务,请参阅产品文档

    限制

    VPC Service Controls 不支持项目继承的文件夹级层或组织级层组织政策的访问权限。VPC Service Controls 可保护项目级 Organization Policy Service API 资源。

    例如,如果入站规则限制用户访问 Organization Policy Service API,则该用户在查询项目上实施的组织政策时会收到 403 错误。但是,该用户仍然可以访问项目所在文件夹和组织的组织政策。

    OS Login

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 oslogin.googleapis.com
    详情

    您可以从 VPC Service Controls 边界内调用 OS Login API。要在 VPC Service Controls 边界内管理 OS Login,请设置 OS Login

    到虚拟机实例的 SSH 连接不受 VPC Service Controls 的保护。

    如需详细了解 OS Login,请参阅产品文档

    限制

    用于读取和写入 SSH 密钥的 OS Login 方法不会强制执行 VPC Service Controls 边界。使用 VPC 可访问服务停用对 OS Login API 的访问权限。

    Personalized Service Health

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 servicehealth.googleapis.com
    详情

    用于 Personalized Service Health 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解个性化服务运行状况,请参阅产品文档

    限制

    VPC Service Controls 不支持 Service Health API 的 OrganizationEventsOrganizationImpacts 资源。因此,当您调用这些资源的方法时,系统不会执行 VPC Service Controls 政策检查。不过,您可以使用受限 VIP 从服务边界调用这些方法。

    虚拟机管理器

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 osconfig.googleapis.com
    详情

    您可以从 VPC Service Controls 边界内调用 OS Config API。如需在 VPC Service Controls 边界内使用 VM 管理器,请设置 VM 管理器

    如需详细了解 VM 管理器,请参阅产品文档

    限制
    如需全面保护虚拟机管理器,您必须在边界中包含以下所有 API:
    • OS Config API (osconfig.googleapis.com)
    • Compute Engine API (compute.googleapis.com)
    • Artifact Analysis API (containeranalysis.googleapis.com)
    虚拟机管理器不会托管软件包和补丁程序内容。OS Patch Management 使用操作系统的更新工具,该工具要求能够在虚拟机上检索软件包更新和补丁程序。因此,为使补丁程序生效,您可能需要使用 Cloud NAT,或在 Virtual Private Cloud 中托管您自己的软件包代码库或 Windows Server Update Service。

    Workflows

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 workflows.googleapis.com
    详情

    Workflows 是一个编排平台,可将 Google Cloud 服务和基于 HTTP 的 API 结合使用,以按您定义的顺序执行服务。

    使用服务边界保护 Workflows API 时,Workflow Executions API 也会受到保护。您无需专门将 workflowexecutions.googleapis.com 添加到您的边界的受保护服务列表中。

    系统按如下方式支持 Workflows 执行中的 HTTP 请求:

    • 允许向符合 VPC Service Controls 标准的 Google Cloud 端点发送经过身份验证的请求
    • 允许向 Cloud Run 函数和 Cloud Run 服务端点发送请求。
    • 禁止向第三方端点发送请求。
    • 禁止向不符合 VPC Service Controls 标准的 Google Cloud 端点发送请求。

    如需详细了解 Workflows,请参阅产品文档

    限制

    Workflows 与 VPC Service Controls 的集成没有任何已知的限制。

    Filestore

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 file.googleapis.com
    详情

    Filestore 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Filestore,请参阅产品文档

    限制

    • 服务边界仅保护 Filestore API。边界不保护同一网络中的 Filestore 实例上的正常 NFS 数据访问。

    • 如果您同时使用共享 VPC 和 VPC Service Controls,则提供网络的宿主项目与包含 Filestore 实例的服务项目必须位于相同边界内,这样 Filestore 实例才能正常运行。使用边界分离宿主项目和服务项目可能会导致现有实例不可用,并且可能无法创建新实例。

    Parallelstore

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 parallelstore.googleapis.com
    详情

    如需详细了解 Parallelstore,请参阅产品文档

    限制

    • 如果您同时使用共享 VPC 和 VPC Service Controls,则提供网络的宿主项目与包含 Parallelstore 实例的服务项目必须位于相同边界内,这样 Parallelstore 实例才能正常运行。使用边界分离宿主项目和服务项目可能会导致现有实例不可用,并且可能无法创建新实例。

    容器威胁检测

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 containerthreatdetection.googleapis.com
    详情

    Container Threat Detection 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Container Threat Detection,请参阅产品文档

    限制

    Container Threat Detection 与 VPC Service Controls 的集成不存在任何已知的限制。

    广告数据中心

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 adsdatahub.googleapis.com
    详情

    如需详细了解广告数据中心,请参阅产品文档

    限制

    广告数据中心和 VPC Service Controls 遵守不同的服务条款。如需了解详情,请查看各个产品的条款。

    某些广告数据中心功能(例如自定义受众群体激活、自定义出价和 LiveRamp 匹配表)要求将某些用户数据导出到 VPC Service Controls 边界之外。如果将广告数据中心添加为受限服务,它将绕过 VPC Service Controls 有关这些功能的政策,以保留其功能。

    所有依赖服务都必须作为允许的服务包括在同一 VPC Service Controls 边界中。例如,由于广告数据中心依赖于 BigQuery,因此还必须添加 BigQuery。通常,VPC Service Controls 最佳做法建议包括边界内的所有服务,即“限制所有服务”。

    采用多层级广告数据中心账号结构(例如具有子公司的代理机构)的客户的所有管理项目应在同一边界内。为简单起见,广告数据中心建议采用多层级账号结构的客户将其管理项目限制为同一 Google Cloud 组织。

    Security Token Service

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 sts.googleapis.com
    详情

    仅当请求中的受众是项目级层资源时,VPC Service Controls 才会限制令牌交换。例如,VPC Service Controls 不会限制对具有缩小的权限范围的令牌的请求,因为这些请求没有受众。VPC Service Controls 也不会限制员工身份联合请求,因为目标对象是组织级层资源。

    如需详细了解 Security Token Service,请参阅产品文档

    限制

    广告数据中心和 VPC Service Controls 遵守不同的服务条款。如需了解详情,请查看各个产品的条款。

    某些广告数据中心功能(例如自定义受众群体激活、自定义出价和 LiveRamp 匹配表)要求将某些用户数据导出到 VPC Service Controls 边界之外。如果将广告数据中心添加为受限服务,它将绕过 VPC Service Controls 有关这些功能的政策,以保留其功能。

    所有依赖服务都必须作为允许的服务包括在同一 VPC Service Controls 边界中。例如,由于广告数据中心依赖于 BigQuery,因此还必须添加 BigQuery。通常,VPC Service Controls 最佳做法建议包括边界内的所有服务,即“限制所有服务”。

    采用多层级广告数据中心账号结构(例如具有子公司的代理机构)的客户的所有管理项目应在同一边界内。为简单起见,广告数据中心建议采用多层级账号结构的客户将其管理项目限制为同一 Google Cloud 组织。

    Firestore/Datastore

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
    详情

    firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com 服务捆绑在一起。当您限制边界中的 firestore.googleapis.com 服务时,边界也会限制 datastore.googleapis.comfirestorekeyvisualizer.googleapis.com 服务。

    要限制 datastore.googleapis.com 服务,请使用 firestore.googleapis.com 服务名称

    如需获得导入和导出操作的全面出站流量保护,您必须使用 Firestore 服务代理。 请参阅以下内容了解详细信息:

    如需详细了解 Firestore/Datastore,请参阅产品文档

    限制

    Migrate to Virtual Machines

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 vmmigration.googleapis.com
    详情

    用于 Migrate to Virtual Machines 的 API 可以通过 VPC Service Controls 进行保护,并且该产品通常可在服务边界内进行使用。

    如需详细了解 Migrate to Virtual Machines,请参阅产品文档

    限制

    • 如需全面保护 Migrate to Virtual Machines,请将以下所有 API 添加到服务边界:

      • Artifact Registry API (artifactregistry.googleapis.com)
      • Pub/Sub API (pubsub.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)
      • Container Registry API (containerregistry.googleapis.com)
      • Secret Manager API (secretmanager.googleapis.com)
      • Compute Engine API (compute.googleapis.com)

      如需了解详情,请参阅 Migrate to Virtual Machines 文档。

    迁移中心

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称
    • migrationcenter.googleapis.com
    • rapidmigrationassessment.googleapis.com
    详情

    借助 VPC Service Controls,您可以使用服务边界保护通过迁移中心收集的基础架构数据。

    如需详细了解 Migration Center,请参阅产品文档

    限制

    启用服务边界后,您将无法将基础架构数据传输到 StratoZone。

    备份和灾难恢复服务

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 backupdr.googleapis.com
    详情

    备份和灾难恢复服务的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解备份和灾难恢复服务,请参阅产品文档

    限制

    如果您使用命令 gcloud services vpc-peerings enable-vpc-service-controls 从服务提供方项目中移除互联网默认路由,则可能无法访问或部署管理控制台。如果遇到此问题,请与 Google Cloud Customer Care 联系。

    Backup for GKE

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 gkebackup.googleapis.com
    详情

    您可以使用 VPC Service Controls 保护 Backup for GKE,并且通常可以在服务边界内使用 Backup for GKE 功能。

    如需详细了解 Backup for GKE,请参阅产品文档

    限制

    Backup for GKE 与 VPC Service Controls 的集成没有任何已知的限制。

    Retail API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 retail.googleapis.com
    详情

    用于 Retail API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Retail API,请参阅产品文档

    限制

    Retail API 与 VPC Service Controls 的集成没有任何已知的限制。

    应用集成

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 integrations.googleapis.com
    详情

    Application Integration 是一个协作式工作流管理系统,可让您创建、扩充、调试和了解核心业务系统工作流。Application Integration 中的工作流由触发器和任务组成。存在多种触发器,例如 API 触发器/Pub/Sub 触发器/Cron 触发器/sfdc 触发器。

    如需详细了解 Application Integration,请参阅产品文档

    限制
    • VPC Service Controls 可保护 Application Integration 日志。如果您使用 Application Integration,请向 Application Integration 团队确认对 vpcsc 集成的支持。

    集成连接器

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 connectors.googleapis.com
    详情

    Integration Connectors 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Integration Connectors,请参阅产品文档

    限制
    • 使用 VPC Service Controls 时,如果连接连接到非 Google Cloud CLI 资源,则连接的目的地必须是 Private Service Connect 连接。在没有 Private Service Connect 连接的情况下创建的连接会失败。

    • 如果您为 Google Cloud CLI 项目设置了 VPC Service Controls 服务边界,则无法为该项目使用事件订阅功能

    Error Reporting

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 clouderrorreporting.googleapis.com
    详情

    Error Reporting 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Error Reporting,请参阅产品文档

    限制
    在发现新错误组或重复错误组时发送的通知包含错误组的相关信息。为防止 VPC Service Controls 边界外的数据渗漏,请确保通知渠道在组织内部。

    Cloud Workstations

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 workstations.googleapis.com
    详情

    Cloud Workstations 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Workstations,请参阅产品文档

    限制

    • 如需全面保护 Cloud Workstations,每当您限制 Cloud Workstations API 时,都必须限制服务边界中的 Compute Engine API。
    • 确保可从您的服务边界内的 VPC 访问 Google Cloud Storage API、Google Container Registry API 和 Artifact Registry API。如需将映像拉取到工作站,必须确保这一点。我们还建议您允许从服务边界内的 VPC 访问 Cloud Logging API 和 Cloud Error Reporting API,但这不是使用 Cloud Workstations 所必需的。
    • 确保您的工作站集群是专用集群。配置专用集群可防止从 VPC 服务边界外连接到工作站。
    • 请确保在工作站配置中停用公共 IP 地址,否则会导致项目中有具有公共 IP 地址的虚拟机。我们强烈建议您使用 constraints/compute.vmExternalIpAccess 组织政策限制条件来停用 VPC 服务边界中所有虚拟机的公共 IP 地址。如需了解详情,请参阅将外部 IP 地址限制为仅用于特定虚拟机
    • 连接到工作站时,访问权限控制仅取决于发起连接的专用网络是否属于安全边界。不支持基于设备、公共 IP 地址或位置的访问权限控制。

    Cloud IDS

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 ids.googleapis.com
    详情

    Cloud IDS 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud IDS,请参阅产品文档

    限制

    Cloud IDS 使用 Cloud Logging 在您的项目中创建威胁日志。如果 Cloud Logging 受服务边界的限制,则 VPC Service Controls 会阻止 Cloud IDS 威胁日志,即使 Cloud IDS 未作为受限服务添加到边界也是如此。如需在服务边界内使用 Cloud IDS,您必须在服务边界内为 Cloud Logging 服务账号配置入站流量规则

    Chrome Enterprise Premium

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 beyondcorp.googleapis.com
    详情

    如需详细了解 Chrome Enterprise 进阶版,请参阅产品文档

    限制

    Chrome Enterprise Premium 与 VPC Service Controls 的集成没有任何已知的限制。

    Policy Troubleshooter

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 policytroubleshooter.googleapis.com
    详情

    如果您通过边界限制 Policy Troubleshooter API,则只有请求中涉及的所有资源都位于同一边界内时,主账号才能排查 IAM 允许政策问题。问题排查请求通常涉及两个资源:

    • 您要排查其访问权限问题的资源。此资源可为任何类型。您需要在排查允许政策问题时明确指定此资源。
    • 您用于排查访问权限问题的资源。此资源是项目、文件夹或组织。在 Google Cloud 控制台和 gcloud CLI 中,系统会根据您选择的项目、文件夹或组织推断此资源。在 REST API 中,您可以使用 x-goog-user-project 标头指定此资源。

      此资源可以与您要排查其访问权限问题的资源相同,但这不是必需的。

    如果这些资源不在同一边界内,则请求将失败。

    如需详细了解 Policy Troubleshooter,请参阅产品文档

    限制

    Policy Troubleshooter 与 VPC Service Controls 的集成没有任何已知的限制。

    Policy Simulator

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 policysimulator.googleapis.com
    详情

    如果您通过边界限制 Policy Simulator API,则只有模拟中涉及的特定资源位于同一边界内时,主账号才能模拟允许政策。模拟中涉及多个资源:

    • 您要模拟其允许政策的资源。此资源也称为目标资源。在 Google Cloud 控制台中,此资源是您要修改其允许政策的资源。在 gcloud CLI 和 REST API 中,您需要在模拟允许政策时明确指定此资源。
    • 创建和运行模拟的项目、文件夹或组织。此资源也称为主机资源。在 Google Cloud 控制台和 gcloud CLI 中,系统会根据您选择的项目、文件夹或组织推断此资源。在 REST API 中,您可以使用 x-goog-user-project 标头指定此资源。

      此资源可以与您要模拟其访问权限的资源相同,但这不是必需的。

    • 提供模拟的访问日志的资源。 在模拟中,始终有一个提供模拟的访问日志的资源。此资源因目标资源类型而异:

      • 如果您要模拟项目或组织的允许政策,则 Policy Simulator 会检索该项目或组织的访问日志。
      • 如果您要模拟其他类型的资源的允许政策,则 Policy Simulator 会检索该资源的父级项目或组织的访问日志。
      • 如果您要同时模拟多个资源的允许政策,则 Policy Simulator 会检索这些资源最近的常见项目或组织的访问日志。
    • 所有具有相关允许政策的受支持资源。 Policy Simulator 运行模拟时,会考虑可能影响用户访问权限的所有允许政策,包括针对目标资源的祖先资源和后代资源的允许政策。因此,模拟中也会涉及这些祖先资源和后代资源。

    如果目标资源和主机资源不在同一边界内,则请求会失败。

    如果目标资源与提供模拟的访问日志的资源不在同一边界内,则请求会失败。

    如果目标资源与具有相关允许政策的某些受支持资源不在同一边界内,请求会成功,但结果可能不完整。例如,如果您要模拟边界内项目的政策,则结果将不包含该项目的父级组织的允许政策,因为组织始终位于 VPC Service Controls 边界之外。如需获取更完整的结果,您可以为边界配置入站和出站规则

    如需详细了解 Policy Simulator,请参阅产品文档

    限制

    Policy Simulator 与 VPC Service Controls 的集成没有任何已知的限制。

    重要联系人

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 essentialcontacts.googleapis.com
    详情

    Essential Contacts API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Essential Contacts,请参阅产品文档

    限制

    Essential Contacts 与 VPC Service Controls 的集成没有任何已知的限制。

    Identity Platform

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 identitytoolkit.googleapis.com,
    securetoken.googleapis.com
    详情

    用于 Identity Platform 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Identity Platform,请参阅产品文档

    限制

    • 如需全面保护 Identity Platform,请将 Secure Token API (securetoken.googleapis.com) 添加到服务边界以允许令牌刷新。 securetoken.googleapis.com 未在 Google Cloud 控制台的 VPC Service Controls 页面上列出。您只能使用 gcloud access-context-manager perimeters update 命令添加此服务。

    • 如果您的应用还与屏蔽函数功能集成,请将 Cloud Run 函数 (cloudfunctions.googleapis.com) 添加到服务边界。

    • 使用基于短信的多重身份验证 (MFA)、电子邮件身份验证或第三方身份提供方会导致数据发送到边界外。如果您不使用基于短信的 MFA、电子邮件身份验证或第三方身份提供方,请停用这些功能。

    GKE Multi-Cloud

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 gkemulticloud.googleapis.com
    详情

    GKE Multi-Cloud 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 GKE Multi-Cloud,请参阅产品文档

    限制

    • 如需全面保护 GKE Multi-Cloud API,您还必须在边界中添加 Kubernetes Metadata API (kubernetesmetadata.googleapis.com)。

    Anthos 本地 API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 gkeonprem.googleapis.com
    详情

    Anthos On-Prem API 可以通过 VPC Service Controls 进行保护,并且该 API 可在服务边界内正常使用。

    如需详细了解 Anthos On-Prem API,请参阅产品文档

    限制

    • 如需全面保护 Anthos On-Prem API,请将以下所有 API 添加到服务边界:

      • Kubernetes Metadata API (kubernetesmetadata.googleapis.com)
      • Cloud Monitoring API (monitoring.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)
      • 请注意,VPC Service Controls 无法在文件夹或组织级层针对 Cloud Logging 日志导出提供保护。

    适用于裸金属的 Google Distributed Cloud(纯软件)

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 不能。服务边界不能保护适用于裸金属的 Google Distributed Cloud(纯软件)的 API。 但是,适用于裸金属的 Google Distributed Cloud(纯软件)可在边界内的项目中正常使用。
    详情

    您可以在环境中创建一个集群,该集群使用 Cloud Interconnect 或 Cloud VPN 连接到 VPC。

    如需详细了解适用于裸金属的 Google Distributed Cloud(纯软件),请参阅产品文档

    限制

    • 使用 Google Distributed Cloud(仅限软件)for Bare Metal 创建或升级集群时,请在 bmctl 中使用 --skip-api-check 标志来绕过调用 Service Usage API (serviceusage.googleapis.com),因为 VPC Service Controls 不支持 Service Usage API (serviceusage.googleapis.com)。 适用于裸机的 Google Distributed Cloud(仅限软件)会调用 Service Usage API 来验证是否在项目中启用了所需的 API;它不用于验证 API 端点可达性。

    • 如需保护集群,请在 Google Distributed Cloud for Bare Metal(纯软件)中使用受限 VIP,并将以下所有 API 添加到服务边界:

      • Artifact Registry API (artifactregistry.googleapis.com)
      • Google Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
      • Compute Engine API (compute.googleapis.com)
      • Connect Gateway API (connectgateway.googleapis.com)
      • Google Container Registry API (containerregistry.googleapis.com)
      • GKE Connect API (gkeconnect.googleapis.com)
      • GKE Hub API (gkehub.googleapis.com)
      • GKE On-Prem API (gkeonprem.googleapis.com)
      • Cloud IAM API (iam.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)
      • Cloud Monitoring API (monitoring.googleapis.com)
      • Config Monitoring for Ops API (opsconfigmonitoring.googleapis.com)
      • Service Control API (servicecontrol.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)

    On-Demand Scanning API

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 ondemandscanning.googleapis.com
    详情

    用于 On-Demand Scanning API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 On-Demand Scanning API,请参阅产品文档

    限制

    On-Demand Scanning API 与 VPC Service Controls 的集成没有任何已知的限制。

    Looker (Google Cloud Core)

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 looker.googleapis.com
    详情

    Looker (Google Cloud Core) 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Looker (Google Cloud Core),请参阅产品文档

    限制

    • 只有使用专用 IP 连接的 Looker (Google Cloud Core) 实例的企业版嵌入版本支持 VPC Service Controls 合规性。具有公共 IP 连接或同时具有公共和专用 IP 连接的 Looker (Google Cloud Core) 实例不支持 VPC Service Controls 合规性。如需创建使用专用 IP 连接的实例,请选择 Google Cloud 控制台的创建实例页面的网络部分中的专用 IP

    • 在 VPC Service Controls 服务边界内放置或创建 Looker (Google Cloud Core)实例时,您必须通过调用 services.enableVpcServiceControls 方法或运行以下 gcloud 命令来移除通向互联网的默认路由:

      gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

      移除默认路由后,出站流量将仅限于 VPC Service Controls 合规服务。例如,发送电子邮件将会失败,因为用于发送电子邮件的 API 不符合 VPC Service Controls 的要求。

    • 如果您使用的是共享 VPC,请确保将 Looker (Google Cloud Core) 服务项目添加到与共享 VPC 宿主项目位于同一服务边界内,或者在两个项目之间创建边界网桥。如果 Looker (Google Cloud Core) 服务项目和共享 VPC 宿主项目不在同一边界中,或者无法通过边界桥接进行通信,实例创建可能会失败,或者 Looker (Google Cloud Core) 实例可能无法正常运行。

    Public Certificate Authority

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 publicca.googleapis.com
    详情

    Public Certificate Authority 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Public Certificate Authority,请参阅产品文档

    限制

    Public Certificate Authority 与 VPC Service Controls 的集成没有任何已知的限制。

    存储空间分析

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 storageinsights.googleapis.com
    详情

    存储空间分析的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解存储空间分析,请参阅产品文档

    限制

    存储空间分析与 VPC Service Controls 的集成没有任何已知的限制。

    Dataflow Data Pipelines

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 datapipelines.googleapis.com
    详情

    如需全面保护 Dataflow Data Pipelines,请将以下所有 API 添加到边界内:

    • Dataflow API (dataflow.googleapis.com)
    • Cloud Scheduler API (cloudscheduler.googleapis.com)
    • Container Registry API (containerregistry.googleapis.com)

    如需详细了解 Dataflow Data Pipelines,请参阅产品文档

    限制

    Dataflow Data Pipelines 与 VPC Service Controls 的集成没有任何已知的限制。

    Security Command Center

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 securitycenter.googleapis.com,
    securitycentermanagement.googleapis.com
    详情

    Security Command Center 的 API 可以通过 VPC Service Controls 进行保护,并且 Security Command Center 可在服务边界内正常使用。

    securitycenter.googleapis.comsecuritycentermanagement.googleapis.com 服务捆绑在一起。当您限制边界中的 securitycenter.googleapis.com 服务时,边界会默认限制 securitycentermanagement.googleapis.com 服务。您不能将 securitycentermanagement.googleapis.com 服务添加到边界内的受限服务列表中,因为它与 securitycenter.googleapis.com 捆绑在一起。

    如需详细了解 Security Command Center,请参阅产品文档

    限制

    • VPC Service Controls 不支持从服务边界内的资源和客户端访问文件夹级层或组织级层 Security Command Center API 资源。VPC Service Controls 可保护项目级层 Security Command Center API 资源。您可以指定出站流量政策,以防止从边界内的项目访问项目级层的 Security Command Center API 资源。
    • VPC Service Controls 不支持将文件夹级层或组织级层 Security Command Center API 资源添加到服务边界内。您无法使用边界来保护文件夹级层或组织级层的 Security Command Center API 资源。如需在文件夹或组织级层管理 Security Command Center 权限,我们建议使用 IAM。
    • VPC Service Controls 不支持安全状况服务,因为安全状况资源(例如状况、状况部署和预定义的状况模板)是组织级资源。
    • 您不能将文件夹或组织级层的发现结果导出到服务边界内的目的地。
    • 在以下情况下,您必须启用边界访问权限:
      • 您在文件夹或组织级层启用发现结果通知,并且 Pub/Sub 主题在服务边界内。
      • 您从文件夹或组织级层将数据导出到 BigQuery,并且 BigQuery 在服务边界内。
      • 您将 Security Command Center 与 SIEM 或 SOAR 产品集成,并且该产品部署在 Google Cloud 环境中的服务边界内。支持的 SIEM 和 SOAR 包括 SplunkIBM QRadar

    Cloud Customer Care

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudsupport.googleapis.com
    详情

    Cloud Customer Care 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Cloud Customer Care,请参阅产品文档

    限制

    VPC Service Controls 可保护通过 Cloud Support API 访问的数据,但不保护通过 Google Cloud 控制台访问的数据。

    Vertex AI Agent Builder - Vertex AI Search

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 discoveryengine.googleapis.com
    详情

    Vertex AI Agent Builder - Vertex AI Search 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Vertex AI Agent Builder - Vertex AI Search,请参阅产品文档

    限制

    Vertex AI Agent Builder - Vertex AI Search 与 VPC Service Controls 的集成没有任何已知的限制。

    Confidential Space

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 confidentialcomputing.googleapis.com
    详情

    Confidential Space API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Confidential Space,请参阅产品文档

    限制

    Confidential Space 需要拥有 Cloud Storage 存储桶的读取权限,才能下载用于验证其证明令牌的证书。如果这些 Cloud Storage 存储桶位于边界外,您必须创建以下出站流量规则

      - egressTo:
          operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
            - method: google.storage.objects.get
          resources:
          - projects/870449385679
          - projects/180376494128
        egressFrom:
          identityType: ANY_IDENTITY

    串行控制台

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 ssh-serialport.googleapis.com
    详情

    如需在连接到虚拟机实例的串行控制台时使用 VPC Service Controls 保护,您需要为服务边界指定入站规则。设置入站规则时,来源的访问权限级别必须是基于 IP 的值且服务名称设置为 ssh-serialport.googleapis.com。 即使源请求和目标资源位于同一边界内,也需要入站规则才能访问串行控制台。

    如需详细了解串行控制台,请参阅产品文档

    限制
    • 您无法使用专用 Google 访问通道访问串行控制台。您只能通过公共互联网访问串行控制台。
    • 使用串行控制台时,不能使用基于身份的入站或出站规则来允许对串行控制台的访问。

    Google Cloud VMware Engine

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 vmwareengine.googleapis.com
    详情 如需详细了解 VMware Engine Service Controls,请参阅将 VPC Service Controls 与 VMware Engine 搭配使用

    如需详细了解 Google Cloud VMware Engine,请参阅产品文档

    限制
    将现有 VMware Engine 网络、私有云、网络政策和 VPC 对等互连添加到 VPC 服务边界时,系统不会再次检查之前创建的资源,以查看它们是否仍符合边界的政策。

    Dataform

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 dataform.googleapis.com
    详情

    如需了解如何使用 VPC Service Controls 控制对 Dataform 的访问权限,请参阅为 Dataform 配置 VPC Service Controls

    如需详细了解 Dataform,请参阅产品文档

    限制
    如需为 Dataform 使用 VPC Service Controls 保护功能,您必须设置“dataform.restrictGitRemotes”组织政策,并使用与 Dataform 相同的服务边界限制 BigQuery。您应确保向在 Dataform 中使用的服务账号授予的 Identity and Access Management 权限反映了您的安全架构。

    Web Security Scanner

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 websecurityscanner.googleapis.com
    详情

    Web Security Scanner 和 VPC Service Controls 遵守不同的服务条款。 如需了解详情,请查看各个产品的条款。

    Web Security Scanner 会根据需要将发现结果发送到 Security Command Center。您可以从 Security Command Center 信息中心查看或下载数据。

    如需详细了解 Web Security Scanner,请参阅产品文档

    限制

    Web Security Scanner 与 VPC Service Controls 的集成没有任何已知的限制。

    Secure Source Manager

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 securesourcemanager.googleapis.com
    详情
    • 您需要先使用有效的证书颁发机构配置 Certificate Authority Service,然后才能创建 Secure Source Manager VPC Service Controls 实例。
    • 您需要先配置 Private Service Connect,然后才能访问 Secure Source Manager VPC Service Controls 实例。

    如需详细了解 Secure Source Manager,请参阅产品文档

    限制

    • 可以忽略由 GKE 限制导致的 SERVICE_NOT_ALLOWED_FROM_VPC 审核日志违规行为。
    • 如需使用浏览器打开 VPC Service Controls 网页界面,浏览器需要访问以下网址:
      • https://accounts.google.com
      • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
        • 例如 https://us-central1-sourcemanagerredirector-pa.client6.google.com
      • https://lh3.googleusercontent.com

    API 密钥

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 apikeys.googleapis.com
    详情

    用于 API 密钥的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 API 密钥,请参阅产品文档

    限制

    API 密钥与 VPC Service Controls 的集成没有任何已知的限制。

    Sovereign Controls by Partners 中的合作伙伴控制台

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudcontrolspartner.googleapis.com
    详情

    Cloud Controls Partner API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解合作伙伴控制台中的“合作伙伴主权控制”,请参阅产品文档

    限制
    • 此服务必须对所有非合作伙伴设限。如果您是支持合作伙伴主权控制功能的合作伙伴,则可以使用服务边界保护此服务。

    微服务

    状态 Beta 版
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 microservices.googleapis.com
    详情

    Microservices 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解微服务,请参阅产品文档

    限制

    Microservices 与 VPC Service Controls 的集成没有任何已知的限制。

    Earth Engine

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 earthengine.googleapis.com,
    earthengine-highvolume.googleapis.com
    详情

    earthengine.googleapis.comearthengine-highvolume.googleapis.com 服务捆绑在一起。当您限制边界中的 earthengine.googleapis.com 服务时,边界会默认限制 earthengine-highvolume.googleapis.com 服务。您不能将 earthengine-highvolume.googleapis.com 服务添加到边界内的受限服务列表中,因为它与 earthengine.googleapis.com 捆绑在一起。

    如需详细了解 Earth Engine,请参阅产品文档

    限制
    • 不支持 Earth Engine Code Editor(Earth Engine JavaScript API 的 Web 版 IDE),并且 VPC Service Controls 不允许将 Earth Engine Code Editor 与服务边界内的资源和客户端搭配使用。
    • 旧版资源不受 VPC Service Controls 的保护。
    • VPC Service Controls 不支持导出到 Google 云端硬盘
    • 服务边界内的资源和客户端不支持 Earth Engine 应用
    • VPC Service Controls 仅适用于 PremiumProfessional Earth Engine 价格方案。如需详细了解价格方案,请参阅 Earth Engine 方案

    如需详细了解限制和权宜解决方法示例,请参阅 Earth Engine 访问权限控制文档

    App Hub

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 apphub.googleapis.com
    详情

    借助 App Hub,您可以发现基础架构资源并将其整理到应用中。您可以使用 VPC Service Controls 边界来保护 App Hub 资源。

    如需详细了解 App Hub,请参阅产品文档

    限制

    您必须先在 App Hub 宿主项目和服务项目中设置 VPC Service Controls,然后才能创建应用并向应用注册服务和工作负载。 App Hub 支持以下资源类型:

    • 应用
    • 发现的服务
    • 发现的工作负载
    • 服务
    • 服务项目关联
    • 工作负载

    Cloud Code

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 cloudcode.googleapis.com
    详情

    Cloud Code API 可以通过 VPC Service Controls 进行保护。如需在 Cloud Code 中使用由 Gemini 提供支持的功能,您必须配置入站政策,以允许来自 IDE 客户端的流量。如需了解详情,请参阅 Gemini 文档

    如需详细了解 Cloud Code,请参阅产品文档

    限制

    Cloud Code 与 VPC Service Controls 的集成没有任何已知的限制。

    Commerce Org Governance API

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 commerceorggovernance.googleapis.com
    详情

    VPC Service Controls 边界可保护 Google 私有市场中的 Commerce Org Governance API。

    如需详细了解 Commerce Org Governance API,请参阅产品文档

    限制

    Commerce Org Governance API 在项目级创建的采购请求和访问请求等资源会显示在组织级,并由 Organization Administrator 审核,而不会强制执行 VPC Service Controls 政策。

    Google Cloud Contact Center 即服务

    状态 GA。VPC Service Controls 全面支持此产品集成。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 contactcenteraiplatform.googleapis.com
    详情

    如需限制互联网流量,请使用组织政策。 将 Google Cloud Contact Center 的 CREATEUPDATE 方法作为 Service API 调用,以手动应用组织政策限制

    如需详细了解 Google Cloud Contact Center as a Service,请参阅产品文档

    限制

    Google Cloud Contact Center as a Service 与 VPC Service Controls 的集成没有任何已知的限制。

    Privileged Access Manager

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 privilegedaccessmanager.googleapis.com
    详情

    Privileged Access Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Privileged Access Manager,请参阅产品文档

    限制
    • VPC Service Controls 不支持将文件夹级层或组织级层资源添加到服务边界。您无法使用边界来保护文件夹级别或组织级别的 Privileged Access Manager 资源。VPC Service Controls 可保护项目级 Privileged Access Manager 资源。
    • 如需保护特权访问管理器,您需要在边界内添加以下 API:
      • Privileged Access Manager API (privilegedaccessmanager.googleapis.com)
      • Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
      • Cloud Logging API (logging.googleapis.com)
      • Cloud Asset API (cloudasset.googleapis.com)

    审核管理器

    状态 预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
    可通过边界进行保护? 是。您可以配置边界以保护此服务。
    服务名称 auditmanager.googleapis.com
    详情

    Audit Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。

    如需详细了解 Audit Manager,请参阅产品文档

    限制
    • 您无法使用边界来保护文件夹级别或组织级别的 Audit Manager 资源。如需在文件夹级别或组织级别管理 Audit Manager 权限,我们建议使用 IAM。
    • 在以下情况下,您必须使用入站和出站规则启用边界访问权限:

    如需了解详情,请参阅支持的服务和不支持的服务

    受限 VIP 支持的服务

    受限虚拟 IP (VIP) 地址为服务边界内的虚拟机提供了一种方法来调用 Google Cloud 服务,而无需将请求公开给互联网。如需查看受限 VIP 上可用服务的完整列表,请参阅受限 VIP 支持的服务

    不支持的服务

    尝试使用 gcloud 命令行工具或 Access Context Manager API 限制不支持的服务会导致错误。

    VPC Service Controls 将阻止跨项目访问支持的服务的数据。此外,受限 VIP 可用于阻止工作负载调用不支持的服务。

    其他已知限制

    本部分介绍了在使用 VPC Service Controls 时可能遇到的某些 Google Cloud 服务、产品和界面的已知限制。

    如需了解 VPC Service Controls 支持的产品的限制,请参阅“支持的产品”表

    如需详细了解如何解决 VPC Service Controls 相关问题,请参阅问题排查页面。

    AutoML API

    在将 AutoML API 与 VPC Service Controls 搭配使用时,具有以下限制:

    • 您不能将受支持的区域端点(例如 eu-automl.googleapis.com)添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com

    • AutoML Vision、AutoML Natural Language、AutoML Translation、AutoML Tables 和 AutoML Video Intelligence 均使用 AutoML API。

      在您使用服务边界保护 automl.googleapis.com 时,对于与 VPC Service Controls 集成且在边界内使用的所有 AutoML 产品的访问都会受到影响。您必须为在该边界内使用的所有集成式 AutoML 产品配置 VPC Service Controls 边界。

      如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:

      • AutoML API (automl.googleapis.com)
      • Cloud Storage API (storage.googleapis.com)
      • Compute Engine API (compute.googleapis.com)
      • BigQuery API (bigquery.googleapis.com)

    App Engine

    • VPC Service Controls 不支持 App Engine(标准环境和柔性环境)。请勿在服务边界内包含 App Engine 项目。

      但是,您可以允许在服务边界外的项目中创建的 App Engine 应用对边界内的受保护服务进行数据读写操作。如需允许您的应用访问受保护服务的数据,请创建一个访问权限级别(其中包含相应项目的 App Engine 服务账号)。这不会允许在服务边界内使用 App Engine。

    裸金属解决方案

    • 将 VPC Service Controls 连接到裸金属解决方案环境不会遵循任何服务控制保证。

    • 裸金属解决方案 API 可以添加到安全边界内。但是,VPC Service Controls 边界不会扩展到区域扩展中的裸金属解决方案环境。

    Blockchain Node Engine

    • VPC Service Controls 仅保护 Blockchain Node Engine API。 节点创建后,您仍必须指明该节点用于使用 Private Service Connect 的用户配置的专用网络。

    • 点对点流量不受 VPC Service Controls 或 Private Service Connect 的影响,并将继续使用公共互联网。

    客户端库

    • 使用受限 VIP 进行的访问对所有受支持服务的 Java 和 Python 客户端库完全支持。对其他语言的支持仍处于 Alpha 版阶段,因此应仅用于测试目的。

    • 客户端必须使用 2018 年 11 月 1 日或之后更新的客户端库。

    • 客户端必须使用 2018 年 11 月 1 日或之后更新的服务账号密钥或 OAuth2 客户端元数据。使用令牌端点的较旧客户端必须更改为较新密钥材料/客户端元数据中指定的端点。

    Cloud Billing

    • 您可以将 Cloud Billing 数据导出到受服务边界保护的项目中的 Cloud Storage 存储桶或 BigQuery 实例,而无需配置访问权限级别或入站流量规则。

    Cloud Deployment Manager

    • VPC Service Controls 不支持 Deployment Manager。用户可以调用与 VPC Service Controls 兼容的服务,但不应依赖此操作,因为将来可能会出现故障。

    • 如需解决此问题,您可以将 Deployment Manager 服务账号 (PROJECT_NUMBER@cloudservices.gserviceaccount.com) 添加到访问权限级别,以允许调用 VPC Service Controls 保护的 API。

    Cloud Shell

    VPC Service Controls 不支持 Cloud Shell。VPC Service Controls 将 Cloud Shell 视为超出服务边界,并拒绝其访问 VPC Service Controls 保护的数据。但是,如果满足服务边界的访问权限级别要求的设备启动 Cloud Shell,则 VPC Service Controls 允许访问 Cloud Shell。

    Google Cloud 控制台

    • 由于 Google Cloud 控制台只能通过互联网访问,因此会被视为在服务边界外。当您应用服务边界时,您保护的服务的 Google Cloud 控制台界面可能会变得部分无法访问或完全无法访问。例如,如果您使用边界来保护 Logging,您将无法在 Google Cloud 控制台中访问 Logging 界面。

      如需允许从 Google Cloud 控制台访问受边界保护的资源,您需要为公共 IP 范围创建一个访问权限级别(其中包含要将 Google Cloud 控制台和受保护的 API 配合使用的用户的机器)。例如,您可以将专用网络的 NAT 网关的公共 IP 范围添加到访问权限级别,然后将该访问权限级别分配给服务边界。

      如果您想要只允许一组特定用户从 Google Cloud 控制台访问边界,还可以将这些用户添加到访问权限级别。在这种情况下,只有指定的用户才能访问 Google Cloud 控制台。

    • 通过 Google Cloud 控制台从启用了专用 Google 访问通道的网络(包括由 Cloud NAT 隐式启用的网络)发出的请求可能会被阻止,即使请求来源网络和目标资源位于同一边界内也是如此。这是因为 VPC Service Controls 不支持通过专用 Google 访问通道访问 Google Cloud 控制台。

    专用服务访问通道

    • 专用服务访问通道支持在共享 VPC 网络中部署服务实例。如果您将此配置与 VPC Service Controls 搭配使用,请确保提供网络的宿主项目与包含服务实例的服务项目位于同一 VPC Service Controls 边界内。否则,请求可能会被屏蔽,服务实例也可能会无法正常运行。

      如需详细了解支持专用服务访问通道的服务,请参阅支持的服务

    GKE Multi-cloud

    • VPC Service Controls 仅适用于 Google Cloud 项目中的资源。托管您的 GKE Multi-Cloud 集群的第三方云环境不作出任何服务控制保证。

    Google Distributed Cloud

    迁移中心

    • 启用服务边界后,您将无法将基础架构数据传输到 StratoZone。

    员工身份联合

    • VPC Service Controls 不支持员工身份联合。员工池是组织级资源,而 VPC Service Controls 不支持组织级资源。

    后续步骤