|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
config.googleapis.com
|
详情
|
如需详细了解 Infrastructure Manager,请参阅产品文档。
|
限制
|
如需在边界中使用 Infrastructure Manager:
您必须为 Infrastructure Manager 使用的工作器池使用 Cloud Build 专用池。此专用池必须启用公共互联网调用,才能下载 Terraform 提供程序和 Terraform 配置。您不能使用默认的 Cloud Build 工作器池。
以下各项必须位于同一边界内:
- Infrastructure Manager 使用的服务账号。
- Infrastructure Manager 使用的 Cloud Build 工作器池。
- Infrastructure Manager 使用的存储桶。您可以使用默认存储桶。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
workloadmanager.googleapis.com
|
详情
|
如需在 VPC Service Controls 边界中使用 Workload Manager,请执行以下操作:
- 您必须在 Workload Manager 中为部署环境使用 Cloud Build 专用工作器池。
您不能使用默认的 Cloud Build 工作器池。
- Cloud Build 专用池必须启用公共互联网调用,才能下载 Terraform 配置。
如需了解详情,请参阅 Workload Manager 文档中的使用 Cloud Build 专用工作器池。
如需详细了解 Workload Manager,请参阅
产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
netapp.googleapis.com
|
详情
|
Google Cloud NetApp Volumes 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Google Cloud NetApp Volumes,请参阅产品文档。
|
限制
|
VPC Service Controls 不包括数据平面路径,例如网络文件系统 (NFS) 和服务器消息块 (SMB) 读取和写入。此外,如果您的宿主项目和服务项目在不同的边界内进行配置,您在实现 Google Cloud 服务时可能会遇到中断问题。
|
|
|
状态
|
正式版
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudsearch.googleapis.com
|
详情
|
Google Cloud Search 支持通过虚拟私有云安全控制 (VPC Service Controls) 来增强数据的安全性。借助 VPC Service Controls,您可以为 Google Cloud Platform 资源定义一个安全边界,以便将数据限制在某个 VPC 的范围内并帮助降低数据渗漏风险。
如需详细了解 Google Cloud Search,请参阅产品文档。
|
限制
|
由于 Cloud Search 资源未存储在 Google Cloud 项目中,因此您必须使用受 VPC 边界保护的项目更新 Cloud Search 客户设置。VPC 项目充当所有 Cloud Search 资源的虚拟项目容器。如果不构建此映射,VPC Service Controls 将无法用于 Cloud Search API。
如需查看通过 Google Cloud Search 启用 VPC Service Controls 的完整步骤,请参阅增强 Google Cloud Search 的安全性。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
networkmanagement.googleapis.com
|
详情
|
用于连接测试的 API 可以受 VPC Service Controls 保护,并且可以在服务边界内使用该产品。
如需详细了解连接测试,请参阅产品文档。
|
限制
|
连接测试与 VPC Service Controls 没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
ml.googleapis.com
|
详情
|
VPC Service Controls 支持在线预测,但不支持批量预测。
如需详细了解 AI Platform Prediction,请参阅产品文档。
|
限制
|
如需全面保护 AI Platform Prediction,请将以下所有 API 添加到服务边界:
- AI Platform Training and Prediction API (
ml.googleapis.com )
- Pub/Sub API (
pubsub.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Google Kubernetes Engine API (
container.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
- Cloud Logging API (
logging.googleapis.com )
详细了解如何为 AI Platform Prediction 设置 VPC Service Controls。
在服务边界内使用 AI Platform Prediction 时不支持使用批量预测。
AI Platform Prediction 和 AI Platform Training 均使用 AI Platform Training and Prediction API,因此您必须为这两种产品都配置 VPC Service Controls。详细了解如何为 AI Platform Training 设置 VPC Service Controls。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
ml.googleapis.com
|
详情
|
AI Platform Training 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 AI Platform Training,请参阅产品文档。
|
限制
|
如需全面保护您的 AI Platform Training 训练作业,请将以下所有 API 添加到服务边界:
- AI Platform Training and Prediction API (
ml.googleapis.com )
- Pub/Sub API (
pubsub.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Google Kubernetes Engine API (
container.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
- Cloud Logging API (
logging.googleapis.com )
详细了解如何为 AI Platform Training 设置 VPC Service Controls。
在服务边界内使用 AI Platform Training 时不支持使用 TPU 进行训练。
AI Platform Training 和 AI Platform Prediction 均使用 AI Platform Training and Prediction API,因此您必须为这两种产品都配置 VPC Service Controls。详细了解如何为 AI Platform Prediction 设置 VPC Service Controls。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
alloydb.googleapis.com
|
详情
|
VPC Service Controls 边界可保护 AlloyDB API。
如需详细了解 AlloyDB for PostgreSQL,请参阅产品文档。
|
限制
|
- 在为 AlloyDB for PostgreSQL 配置 VPC Service Controls 之前,请启用 Service Networking API。
- 当您将 AlloyDB for PostgreSQL 与共享 VPC 和 VPC Service Controls 结合使用时,宿主项目和服务项目必须位于同一 VPC Service Controls 服务边界内。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
notebooks.googleapis.com
|
详情
|
Vertex AI Workbench 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Vertex AI Workbench,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
aiplatform.googleapis.com
|
详情
|
Vertex AI 的 API 可以通过 VPC Service Controls 进行保护
并且该产品可在服务边界内正常使用。
请参阅 Colab Enterprise。
如需详细了解 Vertex AI,请参阅产品文档。
|
限制
|
如需详细了解限制,请参阅 Vertex AI 文档中的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
visionai.googleapis.com
|
详情
|
Vertex AI Vision 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Vertex AI Vision,请参阅产品文档。
|
限制
|
当 constraints/visionai.disablePublicEndpoint :
我们将停用集群的公共端点。用户必须手动连接到 PSC
并通过专用网络访问该服务。您可以从 cluster 资源中获取 PSC 目标。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
firebasevertexai.googleapis.com
|
详情
|
Vertex AI in Firebase 的 API 可以通过 VPC Service Controls 进行保护,并且
可在服务边界内正常使用
如需详细了解 Vertex AI in Firebase,请参阅
产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
aiplatform.googleapis.com
|
详情
|
Colab Enterprise 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
Colab Enterprise 是 Vertex AI 的一部分。
请参阅 Vertex AI。
Colab Enterprise 使用 Dataform 存储笔记本。
请参阅 Dataform。
如需详细了解 Colab Enterprise,请参阅产品文档。
|
限制
|
如需了解限制,请参阅 Colab Enterprise 文档中的已知限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
apigee.googleapis.com, apigeeconnect.googleapis.com
|
详情
|
Apigee 和 Apigee Hybrid 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Apigee 和 Apigee Hybrid,请参阅产品文档。
|
限制
|
Apigee 与 VPC Service Controls 的集成具有以下限制:
- 集成式门户需要执行额外的步骤进行配置。
- 您必须在服务边界内部署 Drupal 门户。
|
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
meshca.googleapis.com, meshconfig.googleapis.com
|
详情
|
Anthos Service Mesh 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
您可以使用 mesh.googleapis.com 为 Cloud Service Mesh 启用所需的 API。
您无需在边界内限制 mesh.googleapis.com ,因为它不会公开任何 API。
如需详细了解 Cloud Service Mesh,请参阅产品文档。
|
限制
|
Cloud Service Mesh 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
artifactregistry.googleapis.com
|
详情
|
除了保护 Artifact Registry API 之外,您还可以在 GKE 和 Compute Engine 的服务边界内使用 Artifact Registry。
如需详细了解 Artifact Registry,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
assuredworkloads.googleapis.com
|
详情
|
Assured Workloads 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Assured Workloads,请参阅产品文档。
|
限制
|
Assured Workloads 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
automl.googleapis.com, eu-automl.googleapis.com
|
详情
|
如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
如需详细了解 AutoML Natural Language,请参阅产品文档。
|
限制
|
- 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
- 您不能将受支持的区域端点(例如
eu-automl.googleapis.com )添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com 。
如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
automl.googleapis.com, eu-automl.googleapis.com
|
详情
|
如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
如需详细了解 AutoML Tables,请参阅产品文档。
|
限制
|
- 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
- 您不能将受支持的区域端点(例如
eu-automl.googleapis.com )添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com 。
如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
automl.googleapis.com, eu-automl.googleapis.com
|
详情
|
如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
如需详细了解 AutoML Translation,请参阅产品文档。
|
限制
|
- 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
- 您不能将受支持的区域端点(例如
eu-automl.googleapis.com )添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com 。
如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
automl.googleapis.com, eu-automl.googleapis.com
|
详情
|
如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
如需详细了解 AutoML Video Intelligence,请参阅产品文档。
|
限制
|
- 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
- 您不能将受支持的区域端点(例如
eu-automl.googleapis.com )添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com 。
如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
automl.googleapis.com, eu-automl.googleapis.com
|
详情
|
如需全面保护 AutoML API,请将以下所有 API 包含到您的边界中:
- AutoML API (
automl.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- BigQuery API (
bigquery.googleapis.com )
如需详细了解 AutoML Vision,请参阅产品文档。
|
限制
|
- 与 VPC Service Controls 集成的所有 AutoML 产品均使用相同的服务名称。
- 您不能将受支持的区域端点(例如
eu-automl.googleapis.com )添加到边界中的受限服务列表中。当您保护 automl.googleapis.com 服务时,边界也会保护受支持的区域端点,例如 eu-automl.googleapis.com 。
如需了解详情,请参阅将 AutoML 产品与 VPC Service Controls 配合使用的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
不能。服务边界不能保护裸金属解决方案的 API。 但是,裸金属解决方案可在边界内的项目中正常使用。 |
详情
|
裸金属解决方案 API 可以添加到安全边界内。不过,
VPC Service Controls 边界不会扩展到裸金属解决方案
环境扩展。
如需详细了解裸金属解决方案,请参阅产品文档。
|
限制
|
将 VPC Service Controls 连接到裸金属解决方案环境不会遵循任何服务控制保证。 如需详细了解裸金属解决方案的 VPC Service Controls 限制,请参阅已知问题和限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
batch.googleapis.com
|
详情
|
Batch 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Batch,请参阅产品文档。
|
限制
|
如需全面保护 Batch,您需要在边界内添加以下 API:
- Batch API (
batch.googleapis.com )
- Cloud Logging API (
logging.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
- Artifact Registry API (
artifactregistry.googleapis.com )
- Filestore API (
file.googleapis.com )
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
biglake.googleapis.com
|
详情
|
BigLake Metastore 的 API 可以受 VPC Service Controls 的保护,并且可以在服务边界内使用该产品。
如需详细了解 BigLake Metastore,请参阅产品文档。
|
限制
|
BigLake Metastore 与 VPC Service Controls 的集成没有已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
bigquery.googleapis.com
|
详情
|
当您使用服务边界保护 BigQuery API 时,BigQuery Storage API、BigQuery Reservations API 和 BigQuery Connection API 也受到保护。您无需专门将这些 API 添加到边界的受保护服务列表中。
如需详细了解 BigQuery,请参阅产品文档。
|
限制
|
BigQuery 审核日志记录并不总是包含所有
发出请求后使用的资源数量
在内部处理对多个资源的访问权限。
访问受服务边界保护的 BigQuery 实例时,BigQuery 作业必须在边界内的项目中运行,或者在边界的出站规则允许的项目中运行。默认情况下,BigQuery 客户端库会在服务账号或用户的项目中运行作业,从而导致查询被 VPC Service Controls 拒绝。
BigQuery 禁止将查询结果从受 VPC Service Controls 保护的边界保存到 Google 云端硬盘。
如果您使用将用户账号作为身份类型的入站规则授予访问权限,则无法在监控页面上查看 BigQuery 资源利用率或管理作业浏览器。要使用这些功能,请配置
入站流量规则
使用 ANY_IDENTITY 作为身份类型。
仅当通过 BigQuery 企业版、BigQuery 企业 Plus 版或 BigQuery 按需版执行分析时,才支持 VPC Service Controls。
-
BigQuery Reservations API 受到部分支持。
创建分配资源的 BigQuery Reservation API 不会对被分配对象强制实施服务边界限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
bigquerydatapolicy.googleapis.com
|
详情
|
BigQuery Data Policy API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 BigQuery Data Policy API,请参阅产品文档。
|
限制
|
BigQuery Data Policy API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
bigquerydatatransfer.googleapis.com
|
详情
|
服务边界仅保护 BigQuery Data Transfer Service API。实际的数据保护由 BigQuery 强制执行。根据设计,可以从 Google Cloud 以外的各种外部来源(例如 Amazon S3、Redshift、Teradata、YouTube、Google Play 和 Google Ads)将数据导入到 BigQuery 数据集。 有关
有关从 Teradata 迁移数据的 VPC Service Controls 要求,请参阅 VPC
服务控制
要求。
如需详细了解 BigQuery Data Transfer Service,请参阅产品文档。
|
限制
|
- BigQuery Data Transfer Service 不支持从 BigQuery 数据集导出数据。如需了解详情,请参阅导出表数据。
- 要在项目之间转移数据,目标项目必须与源项目位于同一边界内,或者出站规则必须允许从边界内转出数据。如需了解如何设置出站规则,请参阅 “管理 BigQuery 数据集”中的限制。
- BigQuery Data Transfer Service 不支持第三方数据源将数据转移到受服务边界保护的项目中。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
bigquerymigration.googleapis.com
|
详情
|
BigQuery Migration API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 BigQuery Migration API,请参阅产品文档。
|
限制
|
BigQuery Migration API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
bigtable.googleapis.com, bigtableadmin.googleapis.com
|
详情
|
bigtable.googleapis.com 和 bigtableadmin.googleapis.com 服务捆绑在一起。当您限制边界中的 bigtable.googleapis.com 服务时,边界会默认限制 bigtableadmin.googleapis.com 服务。您不能将 bigtableadmin.googleapis.com 服务添加到边界内的受限服务列表中,因为它与 bigtable.googleapis.com 捆绑在一起。
如需详细了解 Bigtable,请参阅
产品文档。
|
限制
|
Bigtable 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
binaryauthorization.googleapis.com
|
详情
|
将多个项目与 Binary Authorization 配合使用时,每个项目都必须包括在 VPC Service Controls 边界内。如需详细了解此使用场景,请参阅多项目设置。
借助 Binary Authorization,您可以使用 Artifact Analysis,将证明者和证明分别存储为备注和发生实例。在这种情况下,您还必须在 VPC Service Controls 边界内包括 Artifact Analysis。如需了解详情,请参阅适用于 Artifact Analysis 的 VPC Service Controls 指南。
如需详细了解 Binary Authorization,请参阅产品文档。
|
限制
|
Binary Authorization 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
blockchainnodeengine.googleapis.com
|
详情
|
Blockchain Node Engine 的 API 可以通过 VPC Service Controls 进行保护
可在服务边界内正常使用
如需详细了解 Blockchain Node Engine,请参阅产品文档。
|
限制
|
Blockchain Node Engine 与 VPC Service Controls 的集成具有以下限制:
-
VPC Service Controls 仅保护 Blockchain Node Engine API。
创建节点后,您仍必须指明该节点适用于用户配置的
网络
Private Service Connect。
-
点对点流量不受 VPC Service Controls 或
Private Service Connect 并继续使用公共互联网。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
privateca.googleapis.com
|
详情
|
Certificate Authority Service 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Certificate Authority Service,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
krmapihosting.googleapis.com
|
详情
|
如需将 Config Controller 与 VPC Service Controls 配合使用,您必须在边界内启用以下 API:
- Cloud Monitoring API (
monitoring.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
- Google Cloud Observability API (
logging.googleapis.com )
- Security Token Service API (
sts.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
如果您使用 Config Controller 预配资源,则必须在服务边界中启用这些资源的 API。例如,如果要添加 IAM 服务账号,您必须添加 IAM API (iam.googleapis.com )。
如需详细了解 Config Controller,请参阅产品文档。
|
限制
|
Config Controller 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
datacatalog.googleapis.com
|
详情
|
Data Catalog 会自动遵循边界
其他 Google Cloud 服务
如需详细了解 Data Catalog,请参阅产品文档。
|
限制
|
Data Catalog 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
datafusion.googleapis.com
|
详情
|
Cloud Data Fusion 需要一些
特殊步骤
使用 VPC Service Controls
如需详细了解 Cloud Data Fusion,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
datalineage.googleapis.com
|
详情
|
用于 Data Lineage API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Data Lineage API,请参阅产品文档。
|
限制
|
Data Lineage API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
compute.googleapis.com
|
详情
|
VPC Service Controls 对 Compute Engine 的支持具有以下安全优势:
- 限制对敏感 API 操作的访问权限
- 将永久性磁盘快照和自定义映像限制在边界内
- 限制对实例元数据的访问权限
由于 VPC Service Controls 支持 Compute Engine,因此您也可以在服务边界内利用 Virtual Private Cloud 网络和 Google Kubernetes Engine 专用集群。
如需详细了解 Compute Engine,请参阅产品文档。
|
限制
|
分层防火墙不受服务边界的影响。
VPC 对等互连操作不会强制实施 VPC 服务边界限制。
共享 VPC 的 projects.ListXpnHosts API 方法不会对返回的项目强制实施服务边界限制。
如需允许从受服务边界保护的项目的 Cloud Storage 中创建 Compute Engine 映像,创建该映像的用户应临时添加到该边界的入站规则。
VPC Service Controls 不支持在服务边界内的 Compute Engine 虚拟机上使用开源版本的 Kubernetes。
交互式串行控制台不支持受限 VIP。如果您需要使用串行控制台排查实例问题,请配置本地 DNS 解析以通过互联网将命令发送到 ssh-serialport.googleapis.com 。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
contactcenterinsights.googleapis.com
|
详情
|
如需将 Contact Center AI Insights 与 VPC Service Controls 配合使用,您的边界内必须有以下附加 API,具体取决于您的集成。
如需将数据加载到 Contact Center AI Insights 中,请将 Cloud Storage API 添加到您的服务边界。
如需使用导出功能,请将 BigQuery API 添加到您的服务边界。
如需集成多个 CCAI 产品,请将 Vertex AI API 添加到您的服务边界。
如需详细了解 Contact Center AI Insights,请参阅产品文档。
|
限制
|
Contact Center AI Insights 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dataflow.googleapis.com
|
详情
|
Dataflow 支持多种存储服务连接器。以下连接器已通过验证,可与服务边界内的 Dataflow 配合使用:
如需详细了解 Dataflow,请参阅产品文档。
|
限制
|
自定义 BIND 在使用 Dataflow 时不受支持。如需在将 Dataflow 与 VPC Service Controls 结合使用时自定义 DNS 解析,请使用 Cloud DNS 专用区域,而不是使用自定义 BIND 服务器。如需使用您自己的本地 DNS 解析,请考虑使用 Google Cloud DNS 转发方法。
VPC 自动扩缩无法受 VPC Service Controls 边界的保护。如需在 VPC Service Controls 边界中使用纵向自动扩缩,您必须停用 VPC 可访问服务功能。
- 如果您启用 Dataflow Prime 并在 VPC Service Controls 边界内启动新作业,则该作业会使用不具有纵向自动扩缩的 Dataflow Prime。
并非所有存储服务连接器均已经过验证,可在服务边界内与 Dataflow 配合使用。如需查看已验证的连接器的列表,请参阅上一部分中的“详细信息”。
将 Python 3.5 与 Apache Beam SDK 2.20.0‑2.22.0 配合使用时,如果工作器仅具有专用 IP 地址(例如,使用 VPC Service Controls 保护资源时),则 Dataflow 作业将在启动时失败。如果 Dataflow 工作器只能具有专用 IP 地址(例如,使用 VPC Service Controls 保护资源时),请不要将 Python 3.5 与 Apache Beam SDK 2.20.0-2.22.0 结合使用。这种组合会导致作业在启动时失败。
|
|
|
状态
|
正式版
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dataplex.googleapis.com
|
详情
|
Dataplex 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Dataplex,请参阅产品文档。
|
限制
|
在创建 Dataplex 资源之前,请先设置 VPC Service Controls 安全边界。否则,您的资源将没有边界保护。
Dataplex 支持以下资源类型:
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dataproc.googleapis.com
|
详情
|
Dataproc 要求执行一些特殊步骤以使用 VPC Service Controls 进行保护。
如需详细了解 Dataproc,请参阅产品文档。
|
限制
|
要使用服务边界保护 Dataproc 集群,请按照
Dataproc 和 VPC Service Controls 网络
操作说明。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dataproc.googleapis.com
|
详情
|
Dataproc Serverless 要求执行一些特殊步骤以使用 VPC Service Controls 进行保护。
如需详细了解适用于 Spark 的 Dataproc Serverless,请参阅产品文档。
|
限制
|
如需使用服务边界保护无服务器工作负载,请按照 Dataproc Serverless 和 VPC Service Controls 网络中的说明操作。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
metastore.googleapis.com
|
详情
|
Dataproc Metastore 的 API 可以受 VPC Service Controls 的保护,并且可以在服务边界内使用该产品。
如需详细了解 Dataproc Metastore,请参阅产品文档。
|
限制
|
Dataproc Metastore 与 VPC Service Controls 的集成没有已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
datastream.googleapis.com
|
详情
|
Datastream 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Datastream,请参阅产品文档。
|
限制
|
Datastream 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
datamigration.googleapis.com
|
详情
|
Database Migration Service 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Database Migration Service,请参阅产品文档。
|
限制
|
- 服务边界仅保护 Database Migration Service Admin API。而不会保护对底层数据库(例如 Cloud SQL 实例)的基于 IP 的数据访问。如需限制 Cloud SQL 实例的公共 IP 访问权限,请使用组织政策限制条件。
- 如果您在迁移的初始转储阶段使用 Cloud Storage 文件,请将 Cloud Storage 存储桶添加到同一个服务边界。
- 如果您在目标数据库中使用客户管理的加密密钥 (CMEK),请确保 CMEK 与包含密钥的连接配置文件位于同一服务边界内。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dialogflow.googleapis.com
|
详情
|
Dialogflow 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Dialogflow,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dlp.googleapis.com
|
详情
|
敏感数据保护的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解敏感数据保护,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dns.googleapis.com
|
详情
|
Cloud DNS 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud DNS,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
documentai.googleapis.com
|
详情
|
Document AI 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Document AI,请参阅产品文档。
|
限制
|
Document AI 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
contentwarehouse.googleapis.com
|
详情
|
Document AI Warehouse 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Document AI Warehouse,请参阅产品文档。
|
限制
|
Document AI Warehouse 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
domains.googleapis.com
|
详情
|
Cloud Domains 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Domains,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
eventarc.googleapis.com
|
详情
|
Eventarc 使用 Pub/Sub 主题和推送订阅来处理事件传送。如需访问 Pub/Sub API 和管理事件触发器,Eventarc API 必须在 Pub/Sub API 所在的 VPC Service Controls 服务边界内受到保护。
如需详细了解 Eventarc,请参阅产品文档。
|
限制
|
在受服务边界保护的项目中,存在以下限制:
- Eventarc 受到与 Pub/Sub 相同限制的约束:
- 将事件路由到 Cloud Run 目标时,除非推送端点设置为使用默认
run.app 网址的 Cloud Run 服务(自定义网域不起作用),否则无法创建新的 Pub/Sub 推送订阅。
- 将事件路由到 Pub/Sub 推送端点设置为 Workflows 执行的 Workflows 目标时,您只能通过 Eventarc 创建新的 Pub/Sub 推送订阅。
在本文档中,请参阅 Pub/Sub 限制。
- VPC Service Controls 会阻止为内部 HTTP 端点创建 Eventarc 触发器的操作。将事件路由到此类目标时,VPC Service Controls 保护不适用。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
edgenetwork.googleapis.com
|
详情
|
Distributed Cloud Edge Network API 的 API 可以通过 VPC Service Controls 进行保护
可在服务边界内正常使用
如需详细了解 Distributed Cloud Edge Network API,请参阅
产品文档。
|
限制
|
Distributed Cloud Edge Network API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
financialservices.googleapis.com
|
详情
|
Anti Monetization Laundering AI 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Anti Money Laundering AI,请参阅产品文档。
|
限制
|
Anti Monetization Laundering AI 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
firebaseappcheck.googleapis.com
|
详情
|
当您配置和交换 Firebase App Check 令牌时,VPC Service Controls 仅保护 Firebase App Check 服务。为了保护依赖于
Firebase App Check,那么您必须为这些服务设置服务边界。
如需详细了解 Firebase App Check,请参阅产品文档。
|
限制
|
Firebase App Check 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
firebaserules.googleapis.com
|
详情
|
当您管理 Firebase 安全规则政策时,VPC Service Controls 仅保护 Firebase 安全规则服务。如需保护依赖于 Firebase 安全规则的服务,您必须为这些服务设置服务边界。
如需详细了解 Firebase 安全规则,请参阅产品文档。
|
限制
|
Firebase 安全规则与 VPC Service Controls 的集成不存在任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudfunctions.googleapis.com
|
详情
|
请参阅 Cloud Run 函数文档
了解设置步骤。如果使用 Cloud Build 构建了 Cloud Run 函数,则 VPC Service Controls 保护不适用于构建阶段。如需了解详情,请参阅已知限制。
如需详细了解 Cloud Run 函数,请参阅
产品文档。
|
限制
|
Cloud Run 函数使用 Cloud Build、Container Registry 和 Cloud Storage 在可运行的容器中构建和管理源代码。如果
这些服务中的任何一项都受到服务边界 VPC Service Controls 的限制
阻止 Cloud Run 函数构建,即使 Cloud Run 函数未添加为
访问边界的受限服务如需在服务边界内使用 Cloud Run 函数,您必须在服务边界内为 Cloud Build 服务账号配置入站流量规则。
Cloud Build 具有不受限制的互联网访问权限,可以让您的函数使用 npm 软件包之类的外部依赖项。这种互联网访问权限可用于渗漏在构建时提供的数据,例如您上传的源代码。如果您希望降低这种渗漏攻击途径带来的风险,我们建议您仅允许受信任的开发者部署函数。不授予
Cloud Run Functions Owner、Editor 或 Developer IAM 角色
不受信任的开发者
为服务边界指定入站流量或出站流量政策时,不能使用 ANY_SERVICE_ACCOUNT
使用 ANY_USER_ACCOUNT 作为身份类型,以从本地机器部署 Cloud Run 函数。
作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。
当 HTTP 触发器调用 Cloud Run 函数服务时,VPC Service Controls
政策强制执行不使用客户端的 IAM 身份验证
信息。不支持使用 IAM 主账号的 VPC Service Controls 入站流量政策规则。不支持使用 IAM 主账号的 VPC Service Controls 边界的访问权限级别。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
iam.googleapis.com
|
详情
|
使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务账号和密钥。边界不会限制员工池操作,因为员工池属于组织级资源。
IAM 的边界不会限制其他服务拥有的资源(例如 Resource Manager 项目、文件夹和组织或 Compute Engine 虚拟机实例)的访问权限管理(即获取或设置 IAM 政策)如需限制这些资源的访问权限管理,请创建限制这些资源所属服务的边界。如需查看接受 IAM 政策的资源及其所属服务的列表,请参阅接受 IAM 政策的资源类型。
此外,IAM 的边界不会限制使用其他 API 的操作,这些 API 包括:
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API(包括 IAM API 中的旧版
signBlob 和 signJwt 方法)
如需详细了解 Identity and Access Management,请参阅产品文档。
|
限制
|
如果您位于边界内,则无法使用空字符串调用 roles.list 方法来列出 IAM 预定义角色。如果您需要查看预定义角色,请参阅 IAM 角色文档。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
iap.googleapis.com
|
详情
|
IAP Admin API 可让用户配置 IAP。
如需详细了解 IAP Admin API,请参阅产品文档。
|
限制
|
IAP Admin API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
kmsinventory.googleapis.com
|
详情
|
Cloud KMS Inventory API 的 API 可以通过 VPC Service Controls 进行保护,并且
可在服务边界内正常使用
如需详细了解 Cloud KMS Inventory API,请参阅
产品文档。
|
限制
|
SearchProtectedResources API 方法不会对返回的项目强制实施服务边界限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
iamcredentials.googleapis.com
|
详情
|
Service Account Credentials API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解服务账号凭据,请参阅产品文档。
|
限制
|
Service Account Credentials 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloud.googleapis.com
|
详情
|
用于 Service Metadata API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Service Metadata API,请参阅产品文档。
|
限制
|
Service Metadata API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
vpcaccess.googleapis.com
|
详情
|
无服务器 VPC 访问通道的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解无服务器 VPC 访问通道,请参阅产品文档。
|
限制
|
无服务器 VPC 访问通道与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudkms.googleapis.com
|
详情
|
Cloud KMS API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内使用。对 Cloud HSM 服务的访问权限也受 VPC Service Controls 保护,并且可以在服务边界内使用。
如需详细了解 Cloud Key Management Service,请参阅产品文档。
|
限制
|
Cloud Key Management Service 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
gameservices.googleapis.com
|
详情
|
Game Servers 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Game Servers,请参阅产品文档。
|
限制
|
Game Servers 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudaicompanion.googleapis.com
|
详情
|
Gemini Code Assist 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可以
可在服务边界内正常使用
如需详细了解 Gemini Code Assist,请参阅产品文档。
|
限制
|
基于设备、公共 IP 地址或位置的访问权限控制措施
不支持 Google Cloud 控制台中的 Gemini。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
iaptunnel.googleapis.com
|
详情
|
Identity-Aware Proxy for TCP 的 API 可以受 VPC Service Controls 的保护,并且可以在服务边界内使用该产品。
如需详细了解 Identity-Aware Proxy for TCP,请参阅产品文档。
|
限制
|
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
lifesciences.googleapis.com
|
详情
|
Cloud Life Sciences 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Life Sciences,请参阅产品文档。
|
限制
|
Cloud Life Sciences 与 VPC Service Controls 的集成没有已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
managedidentities.googleapis.com
|
详情
|
以下各项需要的额外配置:
如需详细了解 Managed Service for Microsoft Active Directory,请参阅产品文档。
|
限制
|
Managed Service for Microsoft Active Directory 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
recaptchaenterprise.googleapis.com
|
详情
|
reCAPTCHA 的 API 可以通过 VPC Service Controls 进行保护,
可在服务边界内正常使用
如需详细了解 reCAPTCHA,请参阅
产品文档。
|
限制
|
reCAPTCHA 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
webrisk.googleapis.com
|
详情
|
Web Risk 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Web Risk,请参阅产品文档。
|
限制
|
评估 API 和 Submission API 不受以下项的支持:
VPC Service Controls。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
recommender.googleapis.com
|
详情
|
Recommender 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Recommender,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
secretmanager.googleapis.com
|
详情
|
Secret Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Secret Manager,请参阅产品文档。
|
限制
|
Secret Manager 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
pubsub.googleapis.com
|
详情
|
VPC Service Controls 保护适用于所有管理员操作、发布者操作和
订阅者操作(现有推送订阅除外)。
如需详细了解 Pub/Sub,请参阅产品文档。
|
限制
|
在受服务边界保护的项目中,存在以下限制:
- 除非将推送端点设置为使用默认
run.app 网址的 Cloud Run 服务或 Workflows 执行作业(自定义网域不起作用),否则无法创建新的推送订阅。有关
如需了解如何与 Cloud Run 集成,请参阅
使用 VPC Service Controls。
- 对于非推送订阅,您必须在
或启用出站规则以允许从主题访问订阅。
- 通过 Eventarc 将事件路由到推送端点设置为 Workflows 执行的 Workflows 目标时,您只能通过 Eventarc 创建新的推送订阅。
- 系统不会阻止在服务边界之前创建的 Pub/Sub 订阅。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
pubsublite.googleapis.com
|
详情
|
VPC Service Controls 保护适用于所有订阅者操作。
如需详细了解 Pub/Sub Lite,请参阅产品文档。
|
限制
|
Pub/Sub Lite 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
clouddeploy.googleapis.com
|
详情
|
Cloud Deploy 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Deploy,请参阅产品文档。
|
限制
|
如需在边界内使用 Cloud Deploy,您必须为目标的执行环境使用 Cloud Build 专用池。请勿使用默认的 (Cloud Build) 工作器池,也不要使用混合池。
|
|
|
状态
|
正式版
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
composer.googleapis.com
|
详情
|
配置 Composer 以便与 VPC Service Controls 配合使用
如需详细了解 Cloud Composer,请参阅产品文档。
|
限制
|
启用 DAG 序列化可防止 Airflow 在网页界面中显示包含函数的渲染模板。
启用 DAG 序列化时,不支持将 async_dagbag_loader 标志设置为 True 。
启用 DAG 序列化会停用所有 Airflow Web 服务器插件,因为这些插件可能会影响部署 Cloud Composer 所在 VPC 网络的安全性。这不会影响调度器或工作器插件(包括 Airflow 运算符和传感器)的行为。
当 Cloud Composer 在边界内运行时,对公共 PyPI 代码库的访问权限会受到限制。请参阅 Cloud Composer 文档中的安装 Python 依赖项,了解如何在专用 IP 模式下安装 PyPi 模块。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudquotas.googleapis.com
|
详情
|
Cloud Quotas 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud 配额,请参阅产品文档。
|
限制
|
如需设置入站或出站规则,请参阅 VPC Service Controls 说明中的 配置入站和出站政策。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
run.googleapis.com
|
详情
|
Cloud Run 需要进行其他设置。关注
按照 Cloud Run VPC Service Controls 文档页面中的说明执行操作。
如需详细了解 Cloud Run,请参阅产品文档。
|
限制
|
- 对于 Artifact Registry 和 Container Registry,存储容器的注册表必须与要部署到的项目位于同一 VPC Service Controls 边界内。要构建的代码必须与向其中推送容器的注册表位于同一 VPC Service Controls 边界内。
- Cloud Run 持续部署功能不适用于 VPC Service Controls 边界内的项目。
- 调用 Cloud Run 服务时,VPC Service Controls 政策强制执行不会使用客户端的 IAM 身份验证信息。此类请求存在以下限制:
- 不支持使用 IAM 主账号的 VPC Service Controls 入站流量政策规则。
- 不支持使用 IAM 主账号的 VPC Service Controls 边界的访问权限级别。
- 仅当使用
受限虚拟 IP (VIP) 地址。
- 允许来自同一项目的非受限 VIP 请求,即使
Cloud Run 未配置为
VPC 可访问服务。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudscheduler.googleapis.com
|
详情
|
对以下操作实施 VPC Service Controls:
- Cloud Scheduler 作业创建
- Cloud Scheduler 作业更新
如需详细了解 Cloud Scheduler,请参阅产品文档。
|
限制
|
VPC Service Controls 仅支持具有以下目标的 Cloud Scheduler 作业:
- Cloud Run 函数
functions.net 端点
- Cloud Run
run.app 端点
- Dataflow API(必须与 Cloud Scheduler 作业位于同一 Google Cloud 项目中)
- Data Pipelines(必须与 Cloud Scheduler 作业位于同一 Google Cloud 项目中)
- Pub/Sub(必须与 Cloud Scheduler 作业位于同一 Google Cloud 项目中)
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
spanner.googleapis.com
|
详情
|
Spanner 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Spanner,请参阅
产品文档。
|
限制
|
Spanner 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
speakerid.googleapis.com
|
详情
|
Speaker ID 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Speaker ID,请参阅产品文档。
|
限制
|
Speaker ID 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
storage.googleapis.com
|
详情
|
Cloud Storage 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Storage,请参阅产品文档。
|
限制
|
将请求者付款功能与用于保护 Cloud Storage 服务的服务边界内的存储桶结合使用时,您无法确定在该边界外的待付款项目。目标项目必须与存储桶位于同一个边界内,或者在存储桶项目所属的边界网桥中。
如需详细了解请求者付款功能,请参阅请求者付款功能的使用和访问要求。
对于服务边界内的项目,如果 Cloud Storage API 受该边界的保护,则无法访问 Google Cloud 控制台中的 Cloud Storage 页面。如果您想授予对该页面的访问权限,则必须创建一个入站规则和/或访问权限级别,其中包含您要允许访问 Cloud Storage API 的用户账号和/或公共 IP 范围。
在审核日志记录中,resourceName 字段不标识拥有存储桶的项目。必须单独发现此类项目。
在审核日志记录中,methodName 的值并非始终正确。建议您不要按 methodName 过滤 Cloud Storage 审核日志记录。
在某些情况下,即使访问被拒,Cloud Storage 旧版存储桶日志也可写入到服务边界外的目标位置。
- 在某些情况下,可以访问公开 Cloud Storage 对象,即使在对这些对象启用 VPC Service Controls 后也是如此。这些对象在最终用户与 Cloud Storage 之间的内置缓存和任何其他上游缓存中到期之前是可以访问的。默认情况下,Cloud Storage 在 Cloud Storage 网络中缓存可公开访问的数据。如需详细了解如何缓存 Cloud Storage 对象,请参阅 Cloud Storage。如需了解对象可缓存的时长,请参阅 Cache-control 元数据。
为服务边界指定入站流量或出站流量政策时,不能将 ANY_SERVICE_ACCOUNT 和 ANY_USER_ACCOUNT 用作使用签名网址的所有 Cloud Storage 操作的身份类型。
作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。
签名网址
VPC Service Controls
VPC Service Controls 使用对签名网址进行签名的用户或服务账号的签名凭据来评估 VPC Service Controls 检查,而不是发起连接的调用者或用户凭据。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudtasks.googleapis.com
|
详情
|
Cloud Tasks 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。 对 Cloud Tasks 执行发出的 HTTP 请求的支持如下:
- 允许向符合 VPC Service Controls 标准的 Cloud Run 函数和 Cloud Run 端点发送经过身份验证的请求。
- 对非 Cloud Run 函数和非 Cloud Run 函数的请求
端点被阻止
- 禁止向不符合 VPC Service Controls 要求的 Cloud Run 函数和 Cloud Run 端点发送请求。
如需详细了解 Cloud Tasks,请参阅产品文档。
|
限制
|
VPC Service Controls 仅支持发送到以下目标的 Cloud Tasks 请求: - Cloud Run 函数
functions.net 端点
- Cloud Run
run.app 端点
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
sqladmin.googleapis.com
|
详情
|
VPC Service Controls 边界可保护 Cloud SQL Admin API。
如需详细了解 Cloud SQL,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
videointelligence.googleapis.com
|
详情
|
用于 Video Intelligence API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Video Intelligence API,请参阅产品文档。
|
限制
|
Video Intelligence API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
vision.googleapis.com
|
详情
|
用于 Cloud Vision API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Vision API,请参阅产品文档。
|
限制
|
即使您创建了出站规则来允许从
在 VPC Service Controls 边界内,Cloud Vision API 会阻止对公共网址的调用。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
containeranalysis.googleapis.com
|
详情
|
如需将 Artifact Analysis 和 VPC Service Controls 搭配使用,您可能需要将其他服务添加到您的 VPC 边界:
由于 Container Scanning API 是一种无状态 API,用于将结果存储在 Artifact Analysis 中,因此您不需要使用服务边界来保护 API。
如需详细了解 Artifact Analysis,请参阅产品文档。
|
限制
|
Artifact Analysis 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
containerregistry.googleapis.com
|
详情
|
除了保护 Container Registry API 之外,您还可以在 GKE 和 Compute Engine 的服务边界内使用 Container Registry。
如需详细了解 Container Registry,请参阅产品文档。
|
限制
|
为服务边界指定入站流量或出站流量政策时,不能将 ANY_SERVICE_ACCOUNT 和 ANY_USER_ACCOUNT 用作所有 Container Registry 操作的身份类型。
作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。
由于 Container Registry 使用 gcr.io 网域,因此您必须为 *.gcr.io 配置 DNS 以映射到 private.googleapis.com 或 restricted.googleapis.com 。如需了解详情,请参阅在服务边界内保护 Container Registry。
除了边界内可用于 Container Registry 的容器之外,以下只读制品库也可用于所有项目(无论服务边界强制设定的限制如何):
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
在所有情况下,这些代码库的多区域版本也可用。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
container.googleapis.com
|
详情
|
Google Kubernetes Engine 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Google Kubernetes Engine,请参阅产品文档。
|
限制
|
- 为了全面保护 Google Kubernetes Engine API,您还必须将 Kubernetes Metadata API (
kubernetesmetadata.googleapis.com ) 包括在您的边界中。
- 只有专用集群可以使用 VPC Service Controls 进行保护。VPC Service Controls 不支持使用公共 IP 地址的集群。
- 自动扩缩独立于 GKE。由于 VPC Service Controls 不支持
autoscaling.googleapis.com ,因此自动扩缩不起作用。使用 GKE 时,您可以忽略审核日志中由于 autoscaling.googleapis.com 服务而导致的 SERVICE_NOT_ALLOWED_FROM_VPC 违规行为。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
containersecurity.googleapis.com
|
详情
|
用于 Container Security API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Container Security API,请参阅产品文档。
|
限制
|
Container Security API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
containerfilesystem.googleapis.com
|
详情
|
映像流式传输是一项 GKE 数据流功能,可缩短存储在 Artifact Registry 中的映像的容器映像拉取时间。如果 VPC Service Controls 保护您的容器映像,并且您使用了映像流式传输,则还必须在服务边界内添加 Image Streaming API。
如需详细了解映像流式传输,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
gkeconnect.googleapis.com, gkehub.googleapis.com, connectgateway.googleapis.com
|
详情
|
舰队管理 API(包括 Connect 网关)可以通过 VPC Service Controls 进行保护,并且舰队管理功能可以在服务边界内正常使用。
详情请参阅以下内容:
如需详细了解舰队,请参阅产品文档。
|
限制
|
-
虽然所有舰队管理功能都可以正常使用,但在 Stackdriver API 周围启用服务边界会限制 Policy Controller 舰队功能与 Security Command Center 集成。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudresourcemanager.googleapis.com
|
详情
|
以下 Cloud Resource Manager API 方法可以通过 VPC Service Controls 进行保护:
如需详细了解 Resource Manager,请参阅产品文档。
|
限制
|
-
只有直接以项目资源为父级的标记键及对应的标记值才能使用 VPC Service Controls 进行保护。将项目添加到 VPC Service Controls 边界时,项目中的所有标记键和相应的标记值都被视为边界内的资源。
-
以组织资源为父级的标记键及其对应的标记值不能包含在 VPC Service Controls 边界内,也不能使用 VPC Service Controls 进行保护。
-
除非在 VPC Service Controls 边界内设置了允许访问的出站规则,否则 VPC Service Controls 边界内的客户端无法访问以组织资源为父级的标记键以及相应值。如需详细了解如何设置出站规则,请参阅入站和出站规则。
-
标记绑定被视为与标记值绑定的资源位于同一边界内的资源。例如,无论标记键的定义位置如何,项目中的 Compute Engine 实例上的标记绑定均被视为属于该项目。
-
除了 Resource Manager 服务 API 之外,Compute Engine 等一些服务允许使用其自己的服务 API 创建标记绑定。例如,在创建资源期间向 Compute Engine 虚拟机添加标记。若要保护使用这些服务 API 创建或删除的标记绑定,请将相应的服务(例如
compute.googleapis.com )添加到边界内的受限服务列表中。
-
标记支持方法级限制,因此您可以将
method_selectors 的范围限定为特定的 API 方法。如需查看受限方法的列表,请参阅支持的服务方法限制。
- VPC Service Controls 现在支持通过 Google Cloud 控制台授予项目的 Owner 角色。您不能在服务边界外发送所有者邀请,也不能接受邀请。如果您尝试从边界外接受邀请,则系统不会授予您 Owner 角色,并且不会显示任何错误或警告消息。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
logging.googleapis.com
|
详情
|
Cloud Logging 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Logging,请参阅产品文档。
|
限制
|
聚合日志接收器(文件夹或组织接收器,其中 includeChildren 是 true )可以访问服务边界内的项目中的数据。如需限制聚合日志接收器访问边界内的数据,我们建议使用 IAM 在文件夹级别或组织级别聚合日志接收器中管理 Logging 权限。
VPC Service Controls 不支持将文件夹或组织资源添加到服务边界。因此,您无法使用 VPC Service Controls 保护文件夹级层和组织级层的日志,包括聚合日志。如需在文件夹级别或组织级别管理 Logging 权限,我们建议使用 IAM。
如果您使用组织级或文件夹级日志接收器将日志路由到服务边界保护的资源,则必须向服务边界添加入站流量规则。入站流量规则必须允许从日志接收器使用的服务账号访问资源。项目级接收器不需要执行此步骤。
如需了解详情,请参阅以下页面:
为服务边界指定入站流量或出站流量政策时,不能将 ANY_SERVICE_ACCOUNT 和 ANY_USER_ACCOUNT 用作将日志从 Cloud Logging 接收器导出到 Cloud Storage 资源的身份类型。
作为解决方法,您可以使用 ANY_IDENTITY 作为身份类型。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
certificatemanager.googleapis.com
|
详情
|
Certificate Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Certificate Manager,请参阅产品文档。
|
限制
|
Certificate Manager 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
monitoring.googleapis.com
|
详情
|
Cloud Monitoring 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Monitoring,请参阅产品文档。
|
限制
|
通知渠道、提醒政策和自定义指标相互结合在一起,可以形成数据/元数据的渗漏攻击途径。即日起,Monitoring 用户可以设置指向组织外实体(例如“baduser@badcompany.com”)的通知渠道。然后,用户会设置利用通知渠道的自定义指标和相应的提醒政策。因此,通过操纵自定义指标,用户可以在 VPC Service Controls 边界之外触发提醒和发送提醒,从而触发通知并向 baduser@badcompany.com 渗漏敏感数据。
任何安装了 Monitoring 代理的 Compute Engine 或 AWS 虚拟机都必须位于 VPC Service Controls 边界内,否则代理指标写入将失败。
任何 GKE pod 都必须位于 VPC Service Controls 边界内,否则 GKE 监控将无法运行。
查询指标范围的指标时,仅考虑指标范围的范围项目的 VPC Service Controls 边界。不考虑指标范围内各个受监控项目的边界。
仅当某项目与指标范围的范围项目在同一 VPC Service Controls 边界中时,才能将该项目作为受监控项目添加到现有指标范围。
如需针对受服务边界保护的宿主项目在 Google Cloud 控制台中访问 Monitoring,请使用入站规则。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudprofiler.googleapis.com
|
详情
|
Cloud Profiler 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Profiler,请参阅产品文档。
|
限制
|
Cloud Profiler 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
timeseriesinsights.googleapis.com
|
详情
|
用于 Timeseries Insights API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Timeseries Insights API,请参阅产品文档。
|
限制
|
Timeseries Insights API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudtrace.googleapis.com
|
详情
|
Cloud Trace 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Trace,请参阅产品文档。
|
限制
|
Cloud Trace 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
tpu.googleapis.com
|
详情
|
Cloud TPU 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud TPU,请参阅产品文档。
|
限制
|
Cloud TPU 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
language.googleapis.com
|
详情
|
如需详细了解 Natural Language API,请参阅产品文档。
|
限制
|
Natural Language API 是无状态 API 并且不在项目上运行,因此使用 VPC Service Controls 保护 Natural Language API 不会产生任何效果。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
networkconnectivity.googleapis.com
|
详情
|
Network Connectivity Center 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Network Connectivity Center,请参阅产品文档。
|
限制
|
Network Connectivity Center 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudasset.googleapis.com
|
详情
|
用于 Cloud Asset API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Asset API,请参阅产品文档。
|
限制
|
- VPC Service Controls 不支持从服务边界内的资源和客户端访问文件夹级层或组织级层 Cloud Asset API 资源。 VPC Service Controls 可保护项目级 Cloud Asset API 资源。您可以指定出站流量政策,以防止从边界内的项目访问项目级层的 Cloud Asset API 资源。
- VPC Service Controls 不支持将文件夹级层或组织级层 Cloud Asset API 资源添加到服务边界。您无法使用边界来保护文件夹级别或组织级别的 Cloud Asset API 资源。要在文件夹或组织级别管理 Cloud Asset Inventory 权限,我们建议使用 IAM。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
speech.googleapis.com
|
详情
|
Speech-to-Text 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Speech-to-Text,请参阅产品文档。
|
限制
|
Speech-to-Text 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
texttospeech.googleapis.com
|
详情
|
Text-to-Speech 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Text-to-Speech,请参阅产品文档。
|
限制
|
Text-to-Speech 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
translate.googleapis.com
|
详情
|
Translation 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Translation,请参阅产品文档。
|
限制
|
Cloud Translation 高级版 (v3) 支持 VPC Service Controls,但不支持 Cloud Translation 基本版 (v2)。如需应用 VPC Service Controls,您必须使用 Cloud Translation 高级版 (v3)。如需详细了解不同的版本,请参阅比较基本版和高级版。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
livestream.googleapis.com
|
详情
|
使用 VPC Service Controls
Live Stream API 来保护您的销售漏斗,
如需详细了解 Live Stream API,请参阅产品文档。
|
限制
|
如需使用服务边界保护输入端点,您必须遵循
介绍如何设置专用池,以及如何通过专用池发送输入视频流
连接。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
transcoder.googleapis.com
|
详情
|
用于 Transcoder API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Transcoder API,请参阅产品文档。
|
限制
|
Transcoder API 与 VPC Service Controls 的集成没有已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
videostitcher.googleapis.com
|
详情
|
用于 Video Stitcher API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Video Stitcher API,请参阅产品文档。
|
限制
|
Video Stitcher API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
accessapproval.googleapis.com
|
详情
|
Access Approval 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Access Approval,请参阅产品文档。
|
限制
|
Access Approval 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
healthcare.googleapis.com
|
详情
|
用于 Cloud Healthcare API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Healthcare API,请参阅产品文档。
|
限制
|
VPC Service Controls 不支持 Cloud Healthcare API 中的客户管理的加密密钥 (CMEK)。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
storagetransfer.googleapis.com
|
详情
|
我们建议您将 Storage Transfer Service 项目置于同一个
作为 Cloud Storage
资源。这可以保护您的转移作业和 Cloud Storage 资源。通过使用出站流量政策,Storage Transfer Service 还支持 Storage Transfer Service 项目与 Cloud Storage 存储桶位于不同边界的场景。
如需了解设置情况,请参阅将 Storage Transfer Service 与 VPC Service Controls 配合使用
Transfer Service for On Premises Data
如需详细了解本地转移服务以及设置信息,请参阅将本地转移服务与 VPC Service Controls 搭配使用。
如需详细了解 Storage Transfer Service,请参阅产品文档。
|
限制
|
Storage Transfer Service 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
servicecontrol.googleapis.com
|
详情
|
Service Control 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Service Control,请参阅产品文档。
|
限制
|
- 从 Service Control 受限的服务边界内的 VPC 网络调用 Service Control API 以报告结算或分析指标时,您只能使用 Service Control 报告方法来报告 VPC Service Controls 支持的服务的指标。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
redis.googleapis.com
|
详情
|
Memorystore for Redis 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Memorystore for Redis,请参阅产品文档。
|
限制
|
服务边界仅保护 Memorystore for Redis API。边界不保护同一网络中的 Memorystore for Redis 实例上的正常数据访问。
如果 Cloud Storage API 也受保护,则 Memorystore for Redis 导入和导出操作只能在与 Memorystore for Redis 实例相同的服务边界内读取和写入 Cloud Storage 存储桶。
如果您同时使用共享 VPC 和 VPC Service Controls,则提供网络的宿主项目与包含 Redis 实例的服务项目必须位于相同边界内,这样 Redis 请求才能成功。在任何时候,用边界将宿主项目和服务项目分隔开来都会导致 Redis 实例发生故障,此外还会导致请求被阻止。如需了解详情,请参阅 Memorystore for Redis 配置要求。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
memcache.googleapis.com
|
详情
|
Memorystore for Memcached 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Memorystore for Memcached,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
servicedirectory.googleapis.com
|
详情
|
Service Directory 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Service Directory,请参阅产品文档。
|
限制
|
Service Directory 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
visualinspection.googleapis.com
|
详情
|
如需全面保护 Visual Inspection AI,请将以下所有 API 包含在边界内:
- Visual Inspection AI API (
visualinspection.googleapis.com )
- Vertex AI API (
aiplatform.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
- Artifact Registry API (
artifactregistry.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
如需详细了解 Visual Inspection AI,请参阅产品文档。
|
限制
|
Visual Inspection AI 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
不能。服务边界不能保护 Transfer Appliance 的 API。但是,Transfer Appliance 可在边界内的项目中正常使用。 |
详情
|
使用 VPC Service Controls 的项目完全支持 Transfer Appliance。
Transfer Appliance 不提供 API,因此不支持 VPC Service Controls 中与 API 相关的功能。
如需详细了解 Transfer Appliance,请参阅产品文档。
|
限制
|
-
当 Cloud Storage 受 VPC Service Controls 保护时,您与 Transfer Appliance 团队共享的 Cloud KMS 密钥必须与目标 Cloud Storage 存储桶位于同一项目中。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
orgpolicy.googleapis.com
|
详情
|
组织政策服务的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解组织政策服务,请参阅产品文档。
|
限制
|
VPC Service Controls 不支持项目继承的文件夹级层或组织级层组织政策的访问权限。VPC Service Controls 可保护项目级 Organization Policy Service API 资源。
例如,如果入站规则限制用户访问 Organization Policy Service API,则该用户在查询项目上实施的组织政策时会收到 403 错误。但是,该用户仍然可以访问项目所在文件夹和组织的组织政策。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
oslogin.googleapis.com
|
详情
|
您可以从 VPC Service Controls 边界内调用 OS Login API。要在 VPC Service Controls 边界内管理 OS Login,请设置 OS Login。
到虚拟机实例的 SSH 连接不受 VPC Service Controls 的保护。
如需详细了解 OS Login,请参阅产品文档。
|
限制
|
用于读取和写入 SSH 密钥的 OS Login 方法不会强制执行 VPC Service Controls 边界。使用 VPC 可访问服务停用对 OS Login API 的访问权限。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
servicehealth.googleapis.com
|
详情
|
Personalized Service Health 的 API 可以通过 VPC Service Controls 进行保护,
可在服务边界内正常使用
如需详细了解个性化服务运行状况,请参阅产品文档。
|
限制
|
VPC Service Controls 不支持以下应用的 OrganizationEvents 和 OrganizationImpacts 资源:
Service Health API因此,当您调用方法时,不会执行 VPC Service Controls 政策检查
资源。不过,您可以使用
受限 VIP 地址。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
osconfig.googleapis.com
|
详情
|
您可以从 VPC Service Controls 边界内调用 OS Config API。如需在 VPC Service Controls 边界内使用 VM 管理器,请设置 VM 管理器。
如需详细了解 VM 管理器,请参阅产品文档。
|
限制
|
如需全面保护虚拟机管理器,您必须在边界中包含以下所有 API:
- OS Config API (
osconfig.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- Artifact Analysis API (
containeranalysis.googleapis.com )
虚拟机管理器不会托管软件包和补丁程序内容。OS Patch Management 使用操作系统的更新工具,该工具要求能够在虚拟机上检索软件包更新和补丁程序。为使修补有效,您可能需要使用
Cloud NAT 或托管您自己的软件包代码库或 Windows Server Update Service
虚拟私有云内的资源。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
workflows.googleapis.com
|
详情
|
Workflows 是一个编排平台,可将 Google Cloud 服务和基于 HTTP 的 API 结合使用,以按您定义的顺序执行服务。 使用服务边界保护 Workflows API 时,Workflow Executions API 也会受到保护。您无需专门将 workflowexecutions.googleapis.com 添加到您的边界的受保护服务列表中。
系统按如下方式支持 Workflows 执行中的 HTTP 请求:
- 允许向符合 VPC Service Controls 标准的 Google Cloud 端点发送经过身份验证的请求。
- 允许向 Cloud Run 函数和 Cloud Run 服务端点发送请求。
- 禁止向第三方端点发送请求。
- 禁止向不符合 VPC Service Controls 标准的 Google Cloud 端点发送请求。
如需详细了解 Workflows,请参阅产品文档。
|
限制
|
Workflows 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
file.googleapis.com
|
详情
|
Filestore 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Filestore,请参阅产品文档。
|
限制
|
服务边界仅保护 Filestore API。边界不保护同一网络中的 Filestore 实例上的正常 NFS 数据访问。
如果您同时使用共享 VPC 和 VPC Service Controls,则提供网络的宿主项目与包含 Filestore 实例的服务项目必须位于相同边界内,这样 Filestore 实例才能正常运行。使用边界分离宿主项目和服务项目可能会导致现有实例不可用,并且可能无法创建新实例。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
parallelstore.googleapis.com
|
详情
|
如需详细了解 Parallelstore,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
containerthreatdetection.googleapis.com
|
详情
|
Container Threat Detection 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Container Threat Detection,请参阅产品文档。
|
限制
|
Container Threat Detection 与 VPC Service Controls 的集成不存在任何已知的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
adsdatahub.googleapis.com
|
详情
|
如需详细了解广告数据中心,请参阅产品文档。
|
限制
|
广告数据中心和 VPC Service Controls 遵守不同的服务条款。如需了解详情,请查看各个产品的条款。
某些广告数据中心功能(例如自定义受众群体激活、自定义出价和 LiveRamp 匹配表)要求将某些用户数据导出到 VPC Service Controls 边界之外。如果将广告数据中心添加为受限服务,它将绕过 VPC Service Controls 有关这些功能的政策,以保留其功能。
所有依赖服务都必须作为允许的服务包括在同一 VPC Service Controls 边界中。例如,由于广告数据中心依赖于 BigQuery,因此还必须添加 BigQuery。通常,VPC Service Controls 最佳做法建议包括边界内的所有服务,即“限制所有服务”。
采用多层级广告数据中心账号结构(例如具有子公司的代理机构)的客户的所有管理项目应在同一边界内。为简单起见,广告数据中心建议采用多层级账号结构的客户将其管理项目限制为同一 Google Cloud 组织。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
|
详情
|
Cloud Service Mesh 的 API 可以通过 VPC Service Controls 进行保护,并且产品可以
可在服务边界内正常使用
如需详细了解 Cloud Service Mesh,请参阅产品文档。
|
限制
|
Cloud Service Mesh 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
sts.googleapis.com
|
详情
|
仅当请求中的受众是项目级层资源时,VPC Service Controls 才会限制令牌交换。例如,VPC Service Controls 不会限制
缩小了范围的令牌,
因为这些请求没有受众群体VPC Service Controls 也不会限制
员工身份联合
因为目标对象是组织级资源。
如需详细了解 Security Token Service,请参阅产品文档。
|
限制
|
Security Token Service 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
|
详情
|
firestore.googleapis.com 、datastore.googleapis.com 和 firestorekeyvisualizer.googleapis.com 服务捆绑在一起。当您限制边界中的 firestore.googleapis.com 服务时,边界也会限制 datastore.googleapis.com 和 firestorekeyvisualizer.googleapis.com 服务。
要限制 datastore.googleapis.com 服务,请使用 firestore.googleapis.com 服务名称。
如需获得导入和导出操作的全面出站流量保护,您必须使用 Firestore 服务代理。 请参阅以下内容了解详细信息:
如需详细了解 Firestore/Datastore,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
vmmigration.googleapis.com
|
详情
|
用于 Migrate to Virtual Machines 的 API 可以通过 VPC Service Controls 进行保护,并且该产品通常可在服务边界内进行使用。
如需详细了解 Migrate to Virtual Machines,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
- migrationcenter.googleapis.com
- rapidmigrationassessment.googleapis.com
|
详情
|
借助 VPC Service Controls,您可以保护通过
具有服务边界的迁移中心。
如需详细了解 Migration Center,请参阅产品文档。
|
限制
|
- 启用服务边界后,您将无法将基础架构数据传输到 StratoZone。
- 启用服务边界后,您将无法导出详细的价格报告。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
backupdr.googleapis.com
|
详情
|
备份和灾难恢复服务的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解备份和灾难恢复服务,请参阅产品文档。
|
限制
|
如果您使用命令 gcloud services vpc-peerings enable-vpc-service-controls 从服务提供方项目中移除互联网默认路由,则可能无法访问或部署管理控制台。如果遇到此问题,请与 Google Cloud Customer Care 联系。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
gkebackup.googleapis.com
|
详情
|
您可以使用 VPC Service Controls 来保护 GKE 备份,也可以正常在服务边界内使用 Backup for GKE 功能。
如需详细了解 Backup for GKE,请参阅产品文档。
|
限制
|
Backup for GKE 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
retail.googleapis.com
|
详情
|
用于 Retail API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Retail API,请参阅产品文档。
|
限制
|
Retail API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
integrations.googleapis.com
|
详情
|
Application Integration 是一个协作式工作流管理系统,可让您创建、扩充、调试和了解核心业务系统工作流。Application Integration 中的工作流由触发器和任务组成。存在多种触发器,例如 API 触发器/Pub/Sub 触发器/Cron 触发器/sfdc 触发器。
如需详细了解 Application Integration,请参阅产品文档。
|
限制
|
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
connectors.googleapis.com
|
详情
|
Integration Connectors 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Integration Connectors,请参阅产品文档。
|
限制
|
使用 VPC Service Controls 时,如果连接连接到非 Google Cloud CLI 资源,则连接的目的地必须是 Private Service Connect 连接。在没有 Private Service Connect 连接的情况下创建的连接会失败。
如果您为 Google Cloud CLI 项目设置了 VPC Service Controls 服务边界,则无法为该项目使用事件订阅功能。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
clouderrorreporting.googleapis.com
|
详情
|
Error Reporting 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Error Reporting,请参阅产品文档。
|
限制
|
在发现新错误组或重复错误组时发送的通知包含错误组的相关信息。为防止 VPC Service Controls 边界外的数据渗漏,请确保通知渠道在组织内部。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
workstations.googleapis.com
|
详情
|
Cloud Workstations 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Workstations,请参阅产品文档。
|
限制
|
- 如需全面保护 Cloud Workstations,每当您限制 Cloud Workstations API 时,都必须限制服务边界中的 Compute Engine API。
- 确保可从您的服务边界内的 VPC 访问 Google Cloud Storage API、Google Container Registry API 和 Artifact Registry API。如需将映像拉取到工作站,必须确保这一点。我们还建议您允许从服务边界内的 VPC 访问 Cloud Logging API 和 Cloud Error Reporting API,但这不是使用 Cloud Workstations 所必需的。
- 确保您的工作站集群是专用集群。配置专用集群可防止从 VPC 服务边界外连接到工作站。
- 请确保在工作站配置中停用公共 IP 地址,否则会导致项目中有具有公共 IP 地址的虚拟机。我们强烈建议您使用
constraints/compute.vmExternalIpAccess
用于为所有虚拟机停用公共 IP 地址的组织政策限制条件
位于您的 VPC 服务边界内如需了解详情,请参阅将外部 IP 地址限制为仅用于特定虚拟机。
- 连接到工作站时,访问权限控制仅取决于发起连接的专用网络是否属于安全边界。不支持基于设备、公共 IP 地址或位置的访问权限控制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
ids.googleapis.com
|
详情
|
Cloud IDS 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud IDS,请参阅产品文档。
|
限制
|
Cloud IDS 使用 Cloud Logging 在项目中创建威胁日志。如果 Cloud Logging 受服务边界的限制,则 VPC Service Controls 会阻止 Cloud IDS 威胁日志,即使 Cloud IDS 未作为受限服务添加到边界也是如此。如需在服务边界内使用 Cloud IDS,您必须在服务边界内为 Cloud Logging 服务账号配置入站流量规则。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
beyondcorp.googleapis.com
|
详情
|
如需详细了解 Chrome Enterprise Premium,请参阅
产品文档。
|
限制
|
Chrome Enterprise Premium 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
policytroubleshooter.googleapis.com
|
详情
|
如果您通过边界限制 Policy Troubleshooter API,则只有请求中涉及的所有资源都位于同一边界内时,主账号才能排查 IAM 允许政策问题。问题排查请求通常涉及两个资源:
如果这些资源不在同一边界内,则请求将失败。
如需详细了解 Policy Troubleshooter,请参阅产品文档。
|
限制
|
Policy Troubleshooter 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
policysimulator.googleapis.com
|
详情
|
如果您通过边界限制 Policy Simulator API,则只有模拟中涉及的特定资源位于同一边界内时,主账号才能模拟允许政策。模拟中涉及多个资源:
-
您要启用其允许政策的资源
模拟。这一资源也称为目标
资源。在 Google Cloud 控制台中,此资源是您要修改其允许政策的资源。在 gcloud CLI 和 REST API 中,您需要在模拟允许政策时明确指定此资源。
-
创建和运行模拟的项目、文件夹或组织。此资源也称为主机资源。在 Google Cloud 控制台和 gcloud CLI 中,系统会根据您选择的项目、文件夹或组织推断此资源。在 REST API 中,您可以使用 x-goog-user-project 标头指定此资源。
此资源可以与您要模拟其访问权限的资源相同,但这不是必需的。
-
提供模拟的访问日志的资源。 在模拟中,始终有一个提供模拟的访问日志的资源。此资源因目标资源类型而异:
- 如果您要模拟项目或组织的允许政策,则 Policy Simulator 会检索该项目或组织的访问日志。
- 如果您要模拟其他类型的资源的允许政策,则 Policy Simulator 会检索该资源的父级项目或组织的访问日志。
- 如果您要同时模拟多个资源的允许政策,则 Policy Simulator 会检索这些资源最近的常见项目或组织的访问日志。
-
所有具有相关允许政策的受支持资源。
Policy Simulator 运行模拟时,会考虑可能影响用户访问权限的所有允许政策,包括针对目标资源的祖先资源和后代资源的允许政策。因此,模拟中也会涉及这些祖先资源和后代资源。
如果目标资源和主机资源不在同一边界内,则请求会失败。
如果目标资源与提供模拟的访问日志的资源不在同一边界内,则请求会失败。
如果目标资源和一些具有相关许可的受支持资源
政策不在同一边界内,则请求会成功,但
结果可能不完整。例如,如果您要模拟边界内项目的政策,则结果将不包含该项目的父级组织的允许政策,因为组织始终位于 VPC Service Controls 边界之外。如需获取更完整的结果,您可以为边界配置入站和出站规则。
如需详细了解 Policy Simulator,请参阅产品文档。
|
限制
|
Policy Simulator 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
essentialcontacts.googleapis.com
|
详情
|
Essential Contacts API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Essential Contacts,请参阅产品文档。
|
限制
|
Essential Contacts 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
identitytoolkit.googleapis.com, securetoken.googleapis.com
|
详情
|
用于 Identity Platform 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Identity Platform,请参阅产品文档。
|
限制
|
如需全面保护 Identity Platform,请将 Secure Token API (securetoken.googleapis.com ) 添加到服务边界以允许令牌刷新。 securetoken.googleapis.com 未在 Google Cloud 控制台的 VPC Service Controls 页面上列出。您只能使用 gcloud access-context-manager perimeters update 命令添加此服务。
如果您的应用还与屏蔽函数功能集成,请将 Cloud Run 函数 (cloudfunctions.googleapis.com ) 添加到服务边界。
使用基于短信的多重身份验证 (MFA)、电子邮件身份验证或第三方身份提供方会导致数据发送到边界外。如果您不使用基于短信的 MFA、电子邮件身份验证或第三方身份提供方,请停用这些功能。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
gkemulticloud.googleapis.com
|
详情
|
GKE 多云的 API 可以通过 VPC Service Controls 进行保护,并且该产品可以
可在服务边界内正常使用
如需详细了解 GKE 多云,请参阅
产品文档。
|
限制
|
- 为了全面保护 GKE Multi-Cloud API,您还必须将 Kubernetes Metadata API (
kubernetesmetadata.googleapis.com ) 包括在您的边界中。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
gkeonprem.googleapis.com
|
详情
|
Anthos On-Prem API 可以通过 VPC Service Controls 进行保护,并且该 API 可在服务边界内正常使用。
如需详细了解 Anthos On-Prem API,请参阅产品文档。
|
限制
|
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
不能。服务边界不能保护适用于裸金属的 Google Distributed Cloud(纯软件)的 API。
但是,适用于裸金属的 Google Distributed Cloud(纯软件)可在边界内的项目中正常使用。
|
详情
|
您可以在环境中创建集群,以使用 Cloud Interconnect 或 Cloud VPN 连接到 VPC。
如需详细了解 Google Distributed Cloud for Bare Metal(纯软件),请参阅产品文档。
|
限制
|
在使用 Google Distributed Cloud(仅限软件)为裸机创建或升级集群时,请使用
在 bmctl 中标记 --skip-api-check ,以绕过调用 Service Usage
API (serviceusage.googleapis.com ),因为 Service Usage API
VPC Service Controls 不支持 (serviceusage.googleapis.com )。
用于裸金属的 Google Distributed Cloud(仅限软件)会调用 Service Usage API,以验证所需的
API 在项目中启用;而不会用于验证 API 端点的可达性。
如需保护集群,请在 Google Distributed Cloud(纯软件)for Bare Metal 中使用受限 VIP,并将以下所有 API 添加到服务边界:
- Artifact Registry API (
artifactregistry.googleapis.com )
- Google Cloud Resource Manager API (
cloudresourcemanager.googleapis.com )
- Compute Engine API (
compute.googleapis.com )
- Connect Gateway API (
connectgateway.googleapis.com )
- Google Container Registry API (
containerregistry.googleapis.com )
- GKE Connect API (
gkeconnect.googleapis.com )
- GKE Hub API (
gkehub.googleapis.com )
- GKE On-Prem API (
gkeonprem.googleapis.com )
- Cloud IAM API (
iam.googleapis.com )
- Cloud Logging API (
logging.googleapis.com )
- Cloud Monitoring API (
monitoring.googleapis.com )
- Config Monitoring for Ops API (
opsconfigmonitoring.googleapis.com )
- Service Control API (
servicecontrol.googleapis.com )
- Cloud Storage API (
storage.googleapis.com )
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
ondemandscanning.googleapis.com
|
详情
|
用于 On-Demand Scanning API 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
有关 On-Demand Scanning API 的详情,请参阅
产品文档。
|
限制
|
On-Demand Scanning API 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
looker.googleapis.com
|
详情
|
Looker (Google Cloud Core) 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Looker (Google Cloud Core),请参阅产品文档。
|
限制
|
只有使用专用 IP 连接的 Looker (Google Cloud Core) 实例的企业版或嵌入版本支持 VPC Service Controls 合规性。具有公共 IP 连接或同时具有公共和专用 IP 连接的 Looker (Google Cloud Core) 实例不支持 VPC Service Controls 合规性。如需创建使用专用 IP 连接的实例,请选择 Google Cloud 控制台的创建实例页面的网络部分中的专用 IP。
在 VPC Service Controls 服务边界内放置或创建 Looker(Google Cloud 核心)实例时,您必须通过调用 services.enableVpcServiceControls 方法或运行以下 gcloud 命令来移除通向互联网的默认路由:
gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
publicca.googleapis.com
|
详情
|
Public Certificate Authority 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Public Certificate Authority,请参阅产品文档。
|
限制
|
Public Certificate Authority 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
storageinsights.googleapis.com
|
详情
|
存储空间分析的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解存储空间分析,请参阅产品文档。
|
限制
|
存储空间分析与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
datapipelines.googleapis.com
|
详情
|
如需全面保护 Dataflow Data Pipelines,请将以下所有 API 添加到边界内:
- Dataflow API (
dataflow.googleapis.com )
- Cloud Scheduler API (
cloudscheduler.googleapis.com )
- Container Registry API (
containerregistry.googleapis.com )
如需详细了解 Dataflow Data Pipelines,请参阅产品文档。
|
限制
|
Dataflow Data Pipelines 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
securitycenter.googleapis.com,
securitycentermanagement.googleapis.com
|
详情
|
Security Command Center 的 API 可以通过 VPC Service Controls 进行保护,并且可以使用 Security Command Center
通常位于服务边界内
securitycenter.googleapis.com 和securitycentermanagement.googleapis.com
服务捆绑在一起。当您限制边界中的 securitycenter.googleapis.com 服务时,边界会默认限制 securitycentermanagement.googleapis.com 服务。您无法添加securitycentermanagement.googleapis.com
添加到边界内受限服务的列表中
securitycenter.googleapis.com 。
如需详细了解 Security Command Center,请参阅产品文档。
|
限制
|
- VPC Service Controls 不支持从服务边界内的资源和客户端访问文件夹级层或组织级层 Security Command Center API 资源。VPC Service Controls 可保护项目级层 Security Command Center API 资源。您可以指定出站流量政策,以防止从边界内的项目访问项目级层的 Security Command Center API 资源。
- VPC Service Controls 不支持将文件夹级层或组织级层 Security Command Center API 资源添加到服务边界内。您无法使用边界来保护文件夹级层或组织级层的 Security Command Center API 资源。如需在文件夹或组织级层管理 Security Command Center 权限,我们建议使用 IAM。
- VPC Service Controls 不支持 Security Posture 服务,因为安全状况资源(例如安全状况、安全状况部署和预定义的状况模板)是组织级资源。
- 您不能将文件夹或组织级层的发现结果导出到服务边界内的目的地。
- 在以下情况下,您必须启用边界访问权限:
- 您在文件夹或组织级层启用发现结果通知,并且 Pub/Sub 主题在服务边界内。
- 您从文件夹或组织级层将数据导出到 BigQuery,并且 BigQuery 在服务边界内。
- 您将 Security Command Center 与 SIEM 或 SOAR 产品集成,并且该产品部署在 Google Cloud 环境中的服务边界内。支持的 SIEM 和 SOAR 包括 Splunk 和 IBM QRadar。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudsupport.googleapis.com
|
详情
|
Cloud Customer Care 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Cloud Customer Care,请参阅产品文档。
|
限制
|
VPC Service Controls 可保护通过 Cloud Support API 访问的数据,但不保护通过 Google Cloud 控制台访问的数据。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
discoveryengine.googleapis.com
|
详情
|
Vertex AI Agent Builder - Vertex AI Search 的 API 可以通过 VPC Service Controls 进行保护,并且该产品
可在服务边界内正常使用
如需详细了解 Vertex AI Agent Builder - Vertex AI Search,请参阅
产品文档。
|
限制
|
Vertex AI Agent Builder - Vertex AI Search 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
confidentialcomputing.googleapis.com
|
详情
|
Confidential Space API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Confidential Space,请参阅产品文档。
|
限制
|
Confidential Space 需要拥有 Cloud Storage 存储桶的读取权限,才能下载用于验证其证明令牌的证书。如果这些 Cloud Storage 存储桶位于边界外,您必须创建以下出站流量规则:
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
ssh-serialport.googleapis.com
|
详情
|
如需在连接到虚拟机实例的串行控制台时使用 VPC Service Controls 保护,您需要为服务边界指定入站规则。设置入站规则时,来源的访问权限级别必须是基于 IP 的值且服务名称设置为 ssh-serialport.googleapis.com 。
即使源请求和目标资源位于同一边界内,也需要入站规则才能访问串行控制台。
如需详细了解串行控制台,请参阅产品文档。
|
限制
|
- 您无法使用专用 Google 访问通道访问串行控制台。您只能通过公共互联网访问串行控制台。
- 使用串行控制台时,不能使用基于身份的入站或出站规则来允许对串行控制台的访问。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
vmwareengine.googleapis.com
|
详情
|
如需详细了解 VMware Engine Service Controls,请参阅将 VPC Service Controls 与 VMware Engine 搭配使用。
如需详细了解 Google Cloud VMware Engine,请参阅产品文档。
|
限制
|
将现有 VMware Engine 网络、私有云、网络政策和 VPC 对等互连添加到 VPC 服务边界时,系统不会再次检查之前创建的资源,以查看它们是否仍符合边界的政策。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
dataform.googleapis.com
|
详情
|
如需了解如何使用 VPC Service Controls 控制对 Dataform 的访问权限,请参阅为 Dataform 配置 VPC Service Controls。
如需详细了解 Dataform,请参阅
产品文档。
|
限制
|
如需为 Dataform 使用 VPC Service Controls 保护,您必须
设置“dataform.restrictGitRemotes”组织政策
并使用与 Dataform 相同的服务边界限制 BigQuery。
您应该确保已向服务账号授予 Identity and Access Management 权限
Dataform 中使用的 ID 反映了您的安全架构。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
websecurityscanner.googleapis.com
|
详情
|
Web Security Scanner 和 VPC Service Controls 遵守不同的服务条款。
如需了解详情,请查看每个产品的条款。
Web Security Scanner 会按需将发现结果发送到 Security Command Center。您可以从 Security Command Center 信息中心查看或下载数据。
如需详细了解 Web Security Scanner,请参阅产品文档。
|
限制
|
Web Security Scanner 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
securesourcemanager.googleapis.com
|
详情
|
如需详细了解 Secure Source Manager,请参阅
产品文档。
|
限制
|
- 可忽略由 GKE 限制导致的
SERVICE_NOT_ALLOWED_FROM_VPC 审核日志违规。
- 如需使用浏览器打开 VPC Service Controls 网站界面,浏览器需要访问以下网址:
https://accounts.google.com
https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
- 例如
https://us-central1-sourcemanagerredirector-pa.client6.google.com 。
https://lh3.googleusercontent.com
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
apikeys.googleapis.com
|
详情
|
用于 API 密钥的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 API 密钥,请参阅
产品文档。
|
限制
|
API 密钥与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudcontrolspartner.googleapis.com
|
详情
|
Cloud Controls Partner API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解合作伙伴主权控制中的合作伙伴控制台,请参阅
产品文档。
|
限制
|
- 必须为所有非合作伙伴限制此服务。如果您是支持合作伙伴主权控制功能的合作伙伴,则可以使用服务边界保护此服务。
|
|
|
状态
|
Beta 版
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
microservices.googleapis.com
|
详情
|
用于微服务的 API 可以通过 VPC Service Controls 进行保护,并且产品可以
可在服务边界内正常使用
如需详细了解微服务,请参阅
产品文档。
|
限制
|
微服务与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
earthengine.googleapis.com, earthengine-highvolume.googleapis.com
|
详情
|
earthengine.googleapis.com 和earthengine-highvolume.googleapis.com
服务捆绑在一起。当您限制 earthengine.googleapis.com
服务,则该边界会限制earthengine-highvolume.googleapis.com
服务您不能将 earthengine-highvolume.googleapis.com 服务添加到边界内的受限服务列表中,因为它与 earthengine.googleapis.com 捆绑在一起。
如需详细了解 Earth Engine,请参阅产品文档。
|
限制
|
- 不支持 Earth Engine Code Editor(Earth Engine JavaScript API 的 Web 版 IDE),并且 VPC Service Controls 不允许将 Earth Engine Code Editor 与服务边界内的资源和客户端搭配使用。
- 旧版资源不受 VPC Service Controls 的保护。
- VPC Service Controls 不支持导出到 Google 云端硬盘。
- Earth Engine 应用
不支持服务边界内的资源和客户端。
- VPC Service Controls 仅适用于 Premium 和 Professional Earth Engine 价格方案。如需详细了解价格方案,请参阅 Earth Engine 方案。
如需详细了解相关限制和示例解决方法,请参阅 Earth Engine
访问权限控制
文档。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
apphub.googleapis.com
|
详情
|
借助 App Hub,您可以发现基础架构资源并将其整理到
应用。您可以使用 VPC Service Controls 边界来保护 App Hub
资源。
如需详细了解 App Hub,请参阅产品文档。
|
限制
|
您必须先在 App Hub 宿主项目和服务项目中设置 VPC Service Controls,然后才能创建应用并向应用注册服务和工作负载。
App Hub 支持以下资源类型:
- 应用
- 发现的服务
- 发现的工作负载
- 服务
- 服务项目关联
- 工作负载
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
cloudcode.googleapis.com
|
详情
|
Cloud Code API 可以通过 VPC Service Controls 进行保护。如需在 Cloud Code 中使用由 Gemini 提供支持的功能,您必须配置入站政策,以允许来自 IDE 客户端的流量。查看 Gemini
文档了解详情。
如需详细了解 Cloud Code,请参阅产品文档。
|
限制
|
Cloud Code 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
commerceorggovernance.googleapis.com
|
详情
|
VPC Service Controls 边界可保护 Google 私有市场中的 Commerce Org Governance API。
如需详细了解 Commerce Org Governance API,请参阅
产品文档。
|
限制
|
Commerce Org Governance API 在项目级创建的采购请求和访问请求等资源会显示在组织级,并由组织管理员审核,而不会强制执行 VPC Service Controls 政策。
|
|
|
状态
|
正式版。VPC Service Controls 完全支持此产品集成。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
contactcenteraiplatform.googleapis.com
|
详情
|
如需限制互联网流量,请使用组织政策。
调用 Contact Center AI Platform API 的 CREATE 或 UPDATE 方法,以手动应用组织政策限制条件。
如需详细了解 Contact Center AI 平台,请参阅
产品文档。
|
限制
|
Contact Center AI Platform 与 VPC Service Controls 的集成没有任何已知的限制。
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
privilegedaccessmanager.googleapis.com
|
详情
|
Privileged Access Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
有关 Privileged Access Manager 的详细信息,请参阅
产品文档。
|
限制
|
- VPC Service Controls 不支持将文件夹级层或组织级层资源添加到服务边界。您无法使用边界来保护文件夹级别或组织级别的 Privileged Access Manager 资源。VPC Service Controls 可保护项目级 Privileged Access Manager 资源。
- 如需保护特权访问管理器,您需要在边界内添加以下 API:
- Privileged Access Manager API (
privilegedaccessmanager.googleapis.com )
- Cloud Resource Manager API (
cloudresourcemanager.googleapis.com )
- Cloud Logging API (
logging.googleapis.com )
- Cloud Asset API (
cloudasset.googleapis.com )
|
|
|
状态
|
预览版。此产品与 VPC Service Controls 的集成处于预览版阶段,已准备好进行更广泛的测试和使用,但并未完全支持用于生产环境。
|
可通过边界进行保护?
|
是。您可以配置边界以保护此服务。 |
服务名称
|
auditmanager.googleapis.com
|
详情
|
Audit Manager 的 API 可以通过 VPC Service Controls 进行保护,并且该产品可在服务边界内正常使用。
如需详细了解 Audit Manager,请参阅
产品文档。
|
限制
|
- 您无法使用边界来保护文件夹级或组织级 Audit Manager 资源。如需在文件夹级别或组织级别管理 Audit Manager 权限,我们建议使用 IAM。
- 在以下情况下,您必须使用入站和出站规则启用边界访问权限:
- 如果您在文件夹级别运行审核,并且 Cloud Storage 存储桶位于边界内,请为服务账号配置入站规则。
- 如果您在文件夹级运行审核,并且文件夹内的项目受边界保护,请为服务账号配置入站流量规则。
- 如果您在项目级别运行审核(项目受边界保护,并且 Cloud Storage 存储桶不在同一边界内),请为包含该 Cloud Storage 存储桶的项目配置出站规则。
|
|