Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Questa pagina contiene una tabella dei prodotti e dei servizi supportati dai Controlli di servizio VPC, nonché un elenco delle limitazioni note relative a determinati servizi e interfacce.
Elenco di tutti i servizi supportati
Per recuperare l'elenco completo di tutti i prodotti e i servizi supportati dai Controlli di servizio VPC, esegui questo comando:
gcloud beta access-context-manager supported-services list
Ricevi una risposta con un elenco di prodotti e servizi.
NAME TITLE SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Questa risposta include i seguenti valori:
Valore
Descrizione
SERVICE_ADDRESS
Nome del servizio del prodotto o servizio. Ad esempio, aiplatform.googleapis.com.
SERVICE_NAME
Nome del prodotto o servizio. Ad esempio, Vertex AI API.
SERVICE_STATUS
Lo stato dell'integrazione del servizio con i Controlli di servizio VPC. Di seguito sono riportati i valori possibili:
GA: l'integrazione dei servizi è completamente supportata dai perimetri Controlli di servizio VPC.
BETA: l'integrazione dei servizi è pronta per un test e un utilizzo più ampi, ma non è completamente supportata per gli ambienti di produzione dai perimetri dei Controlli di servizio VPC.
RESTRICTED_VIP_STATUS
Specifica se l'integrazione del servizio con i Controlli di servizio VPC è supportata dal VIP con restrizioni. Di seguito sono riportati i valori possibili:
TRUE: l'integrazione dei servizi è completamente supportata dal VIP con restrizioni e può essere protetta dai perimetri Controlli di servizio VPC.
FALSE: l'integrazione del servizio non è supportata dal VIP con restrizioni.
Specifica se l'integrazione dei servizi con i Controlli di servizio VPC presenta delle limitazioni. Di seguito sono riportati i valori possibili:
TRUE: l'integrazione dei servizi con i Controlli di servizio VPC presenta limitazioni note. Per saperne di più su queste limitazioni, puoi controllare la voce corrispondente al servizio nella tabella Prodotti supportati.
FALSE: l'integrazione dei servizi con i Controlli di servizio VPC non ha limitazioni note.
Elenco dei metodi supportati per un servizio
Per recuperare l'elenco dei metodi e delle autorizzazioni supportati dai Controlli di servizio VPC per un servizio, esegui questo comando:
In questa risposta, METHODS_LIST elenca tutti i metodi e le autorizzazioni supportati dai Controlli di servizio VPC per il servizio specificato. Per un elenco completo di tutti i metodi e le autorizzazioni dei servizi supportati, vedi Restrizioni relative ai metodi di servizio supportati.
Prodotti supportati
questa tabella include tutti
i prodotti supportati dai Controlli di servizio VPC e che funzionano normalmente
all'interno di un perimetro di servizio. Tuttavia, non tutti i prodotti supportati includono servizi che possono essere protetti da un perimetro.
Controlli di servizio VPC supporta i seguenti prodotti:
Per utilizzare Infrastructure Manager in un perimetro:
Devi utilizzare un pool privato di Cloud Build per il pool di worker utilizzato da Infrastructure Manager. In questo pool privato devono essere state abilitate le chiamate internet pubbliche per scaricare i provider Terraform e la configurazione Terraform. Non puoi utilizzare il pool di worker predefinito di Cloud Build.
I seguenti elementi devono trovarsi nello stesso perimetro:
L'account di servizio utilizzato da Infrastructure Manager.
Il pool di worker di Cloud Build utilizzato da Infrastructure Manager.
Il bucket di archiviazione utilizzato da Infrastructure Manager. Puoi utilizzare il bucket di archiviazione predefinito.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
workloadmanager.googleapis.com
Dettagli
Per utilizzare Gestore carichi di lavoro in un perimetro dei Controlli di servizio VPC:
Devi utilizzare un pool di worker privato di Cloud Build per il tuo ambiente di deployment in Gestore carichi di lavoro.
Non puoi utilizzare il pool di worker predefinito di Cloud Build.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
netapp.googleapis.com
Dettagli
L'API per Google Cloud NetApp Volumes può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non copre i percorsi dataplane come letture e scritture di Network File System (NFS) e Server Message Block (SMB). Inoltre, se i progetti host e di servizio sono configurati in perimetri diversi, potresti riscontrare un'interruzione nell'implementazione dei servizi Google Cloud.
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudsearch.googleapis.com
Dettagli
Google Cloud Search supporta i Controlli di sicurezza Virtual Private Cloud (Controlli di servizio VPC) per migliorare la sicurezza dei tuoi dati. Controlli di servizio VPC consente di definire un perimetro di sicurezza intorno alle risorse della piattaforma Google Cloud per limitare i dati e contribuire a mitigare i rischi di esfiltrazione di dati.
Poiché le risorse Cloud Search non sono archiviate in un progetto Google Cloud, devi aggiornare le impostazioni del cliente Cloud Search con il progetto protetto dal perimetro VPC. Il progetto VPC funge da container di progetto virtuale per tutte le risorse Cloud Search.
Se non crei questa mappatura, Controlli di servizio VPC non funzioneranno per l'API Cloud Search.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
networkmanagement.googleapis.com
Dettagli
L'API per Connectivity Tests può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
La previsione batch non è supportata quando utilizzi AI Platform Prediction all'interno di un perimetro di servizio.
AI Platform Prediction e AI Platform Training utilizzano entrambi l'API AI Platform Training and Prediction, pertanto devi configurare i Controlli di servizio VPC per entrambi i prodotti. Scopri di più sulla configurazione dei Controlli di servizio VPC per AI Platform Training.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ml.googleapis.com
Dettagli
L'API per AI Platform Training può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Prima di configurare Controlli di servizio VPC per AlloyDB per PostgreSQL, abilita l'API Service Networking.
Quando utilizzi AlloyDB per PostgreSQL con VPC condiviso e Controlli di servizio VPC, il progetto host e il progetto di servizio devono trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
notebooks.googleapis.com
Dettagli
L'API per Vertex AI Workbench può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
aiplatform.googleapis.com
Dettagli
L'API per Vertex AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
visionai.googleapis.com
Dettagli
L'API per Vertex AI Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Quando constraints/visionai.disablePublicEndpoint è attivo, l'endpoint pubblico del cluster viene disabilitato. Gli utenti devono connettersi manualmente alla destinazione PSC e accedere al servizio dalla rete privata. Puoi ottenere il target PSC dalla risorsa cluster.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
aiplatform.googleapis.com
Dettagli
L'API per Colab Enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Colab Enterprise fa parte di Vertex AI.
Vedi Vertex AI.
Colab Enterprise utilizza Dataform per l'archiviazione dei blocchi note.
Consulta Dataform.
L'API per Apigee e Apigee hybrid può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
meshca.googleapis.com, meshconfig.googleapis.com
Dettagli
L'API per Anthos Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto
può essere utilizzato normalmente all'interno dei perimetri di servizio.
Puoi utilizzare mesh.googleapis.com per abilitare le API richieste per Cloud Service Mesh.
Non è necessario limitare mesh.googleapis.com nel perimetro perché non espone alcuna API.
Oltre agli artefatti all'interno di un perimetro disponibili per Artifact Registry, i seguenti repository di sola lettura nei repository Container Registry sono disponibili per tutti i progetti indipendentemente dai perimetri di servizio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In tutti i casi, sono disponibili anche le versioni regionali di questi repository.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
assuredworkloads.googleapis.com
Dettagli
L'API per Assured Workloads può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati,
ad esempio eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint a livello di regione supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
automl.googleapis.com, eu-automl.googleapis.com
Dettagli
Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati,
ad esempio eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint a livello di regione supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati,
ad esempio eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint a livello di regione supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
automl.googleapis.com, eu-automl.googleapis.com
Dettagli
Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati,
ad esempio eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint a livello di regione supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
Tutti i prodotti AutoML integrati con i Controlli di servizio VPC utilizzano lo stesso nome di servizio.
Non puoi aggiungere gli endpoint regionali supportati,
ad esempio eu-automl.googleapis.com, all'elenco dei servizi limitati in un perimetro.
Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint a livello di regione supportati, come eu-automl.googleapis.com.
Per ulteriori informazioni, consulta le limitazioni relative all'utilizzo dei prodotti AutoML con i Controlli di servizio VPC.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
No. L'API per Bare Metal Solution non può essere protetta dai perimetri di servizio.
Tuttavia, Bare Metal Solution può essere utilizzato normalmente nei progetti all'interno di un perimetro.
Dettagli
L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, i perimetri dei Controlli di servizio VPC non si estendono all'ambiente Bare Metal Solution nelle estensioni di regione.
Bare Metal Solution non supporta i Controlli di servizio VPC. La connessione di un VPC con i controlli di servizio abilitati al tuo ambiente Bare Metal Solution non garantisce alcuna garanzia di controllo dei servizi.
Per maggiori informazioni sulla limitazione di Bare Metal Solution relativa ai Controlli di servizio VPC, consulta
Problemi e limitazioni
noti.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
batch.googleapis.com
Dettagli
L'API per Batch può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
biglake.googleapis.com
Dettagli
L'API per BigLake Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquery.googleapis.com
Dettagli
Quando proteggi l'API BigQuery
utilizzando un perimetro di servizio, vengono protette anche l'API BigQuery Storage, l'API BigQuery Reservation e
l'API BigQuery Connection. Non è necessario aggiungere separatamente queste API all'elenco dei servizi protetti del perimetro.
I record degli audit log di BigQuery non includono sempre tutte le risorse utilizzate quando viene effettuata una richiesta, a causa dell'accesso a più risorse da parte del servizio.
Quando accedi a un'istanza BigQuery protetta da un perimetro di servizio, il job BigQuery deve essere eseguito all'interno di un progetto all'interno del perimetro o in un progetto consentito da una regola in uscita del perimetro. Per impostazione predefinita, le librerie client di BigQuery eseguono job all'interno dell'account di servizio o del progetto dell'utente, causando il rifiuto della query dai Controlli di servizio VPC.
BigQuery blocca il salvataggio dei risultati delle query su Google Drive dal perimetro protetto dei Controlli di servizio VPC.
Se concedi l'accesso utilizzando una regola in entrata con gli account utente come tipo di identità, non potrai visualizzare l'utilizzo delle risorse BigQuery o l'esplorazione dei job amministrativi nella pagina Monitoring. Per utilizzare queste funzionalità, configura una regola in entrata che utilizzi ANY_IDENTITY come tipo di identità.
Controlli di servizio VPC è supportato solo quando si esegue l'analisi tramite BigQuery Enterprise, Enterprise Plus o On demand.
L'API BigQuery Reservation è parzialmente supportata.
L'
API BigQuery Reservation, che crea la risorsa di assegnazione, non applica le limitazioni del perimetro di servizio agli assegnatari dell'assegnazione.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquerydatapolicy.googleapis.com
Dettagli
L'API BigQuery Data Policy può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquerydatatransfer.googleapis.com
Dettagli
Il perimetro di servizio protegge solo l'API BigQuery Data Transfer Service. La protezione effettiva dei dati viene applicata da BigQuery. È progettato per consentire l'importazione di dati da varie origini esterne a Google Cloud, come Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, in set di dati BigQuery. Per informazioni sui requisiti di Controlli di servizio VPC per eseguire la migrazione dei dati da Teradata, consulta Requisiti dei Controlli di servizio VPC.
BigQuery Data Transfer Service non supporta l'esportazione dei dati da un set di dati BigQuery. Per maggiori informazioni, consulta la sezione Esportazione dei dati delle tabelle.
Per trasferire i dati tra progetti, il progetto di destinazione deve trovarsi all'interno dello stesso perimetro del progetto di origine, altrimenti una regola in uscita deve consentire il trasferimento dei dati fuori dal perimetro. Per informazioni sull'impostazione delle regole in uscita, consulta Limitazioni nella gestione dei set di dati BigQuery.
BigQuery Data Transfer Service non supporta le origini dati di terze parti per il trasferimento dei dati all'interno di progetti protetti da un perimetro di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
bigquerymigration.googleapis.com
Dettagli
L'API BigQuery Migration può essere protetta dai Controlli di servizio VPC e il prodotto
può essere utilizzato normalmente all'interno dei perimetri di servizio.
I servizi bigtable.googleapis.com e bigtableadmin.googleapis.com
sono in bundle. Quando limiti il servizio bigtable.googleapis.com in un perimetro, quest'ultimo limita il servizio bigtableadmin.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio bigtableadmin.googleapis.com
all'elenco dei servizi limitati in un perimetro perché è in bundle con
bigtable.googleapis.com.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
binaryauthorization.googleapis.com
Dettagli
Se utilizzi più progetti con Autorizzazione binaria, ogni progetto deve essere incluso nel perimetro dei Controlli di servizio VPC. Per maggiori informazioni su questo caso d'uso, consulta
Configurazione di più progetti.
Con Autorizzazione binaria, puoi utilizzare Artifact Analysis per archiviare gli attestatori e le attestazioni rispettivamente come note e occorrenze. In questo caso, devi includere anche Artifact Analysis nel perimetro dei Controlli di servizio VPC.
Per ulteriori dettagli, consulta le linee guida sui Controlli di servizio VPC per Artifact Analysis.
Le integrazioni di Blockchain Node Engine con i Controlli di servizio VPC presentano le seguenti limitazioni:
I Controlli di servizio VPC proteggono solo l'API Blockchain Node Engine.
Quando viene creato un nodo, devi comunque indicare che è destinato a una rete privata configurata dall'utente con Private Service Connect.
Il traffico peer-to-peer non è interessato dai Controlli di servizio VPC o da Private Service Connect e continuerà a utilizzare la rete internet pubblica.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
privateca.googleapis.com
Dettagli
L'API per Certificate Authority Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Per utilizzare Certificate Authority Service in un ambiente protetto, devi aggiungere anche l'API Cloud KMS (cloudkms.googleapis.com) e l'API Cloud Storage (storage.googleapis.com) al tuo perimetro di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
krmapihosting.googleapis.com
Dettagli
Per utilizzare Config Controller con i Controlli di servizio VPC, devi abilitare le seguenti API all'interno del perimetro:
API Cloud Monitoring (monitoring.googleapis.com)
API Container Registry (containerregistry.googleapis.com)
API Google Cloud Observability (logging.googleapis.com)
API Security Token Service (sts.googleapis.com)
API Cloud Storage (storage.googleapis.com)
Se esegui il provisioning delle risorse con Config Controller, devi abilitare l'API per queste risorse nel tuo perimetro di servizio. Ad esempio, se vuoi aggiungere un account di servizio IAM, devi aggiungere l'API IAM (iam.googleapis.com).
Stabilisci il perimetro di sicurezza dei Controlli di servizio VPC prima di creare l'istanza privata di Cloud Data Fusion. La protezione del perimetro per le istanze create prima della configurazione dei Controlli di servizio VPC non è supportata.
Attualmente, l'interfaccia utente del piano dati di Cloud Data Fusion non supporta l'accesso basato sull'identità utilizzando regole in entrata o livelli di accesso.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
datalineage.googleapis.com
Dettagli
L'API per l'API Data Lineage può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
compute.googleapis.com
Dettagli
Il supporto dei Controlli di servizio VPC per Compute Engine offre i seguenti vantaggi in termini di sicurezza:
Limita l'accesso alle operazioni API sensibili
Limita gli snapshot di disco permanente e le immagini personalizzate a un perimetro
Limita l'accesso ai metadati dell'istanza
Il supporto dei Controlli di servizio VPC per Compute Engine consente inoltre di utilizzare le reti Virtual Private Cloud e i cluster privati Google Kubernetes Engine all'interno dei perimetri di servizio.
Le operazioni di peering VPC non applicano le limitazioni del perimetro di servizio VPC.
Il metodo API projects.ListXpnHosts per il VPC condiviso non applica le limitazioni del perimetro di servizio ai progetti restituiti.
Per consentire la creazione di un'immagine Compute Engine da un
Cloud Storage in un progetto protetto da un
perimetro di servizio, l'utente che crea l'immagine deve essere aggiunto
temporaneamente a una regola in entrata del perimetro.
Controlli di servizio VPC non supporta l'utilizzo della versione open source di Kubernetes su VM di Compute Engine all'interno di un perimetro di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
contactcenterinsights.googleapis.com
Dettagli
Per utilizzare Contact Center AI Insights con i Controlli di servizio VPC, devi disporre delle seguenti API aggiuntive all'interno del perimetro, a seconda dell'integrazione.
Per caricare i dati in Contact Center AI Insights, aggiungi l'API Cloud Storage al perimetro di servizio.
Per utilizzare l'esportazione, aggiungi l'API BigQuery al perimetro di servizio.
Per integrare più prodotti CCAI, aggiungi l'API Vertex AI al perimetro di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dataflow.googleapis.com
Dettagli
Dataflow supporta numerosi
connettori di servizi di archiviazione. I seguenti connettori sono stati verificati in modo da funzionare con Dataflow all'interno di un perimetro di servizio:
BIND personalizzato non è supportato quando si utilizza Dataflow. Per personalizzare la risoluzione DNS quando utilizzi Dataflow con i Controlli di servizio VPC, usa le zone private di Cloud DNS anziché i server BIND personalizzati. Per utilizzare la tua risoluzione DNS on-premise, valuta l'utilizzo di un metodo di inoltro DNS di Google Cloud.
Non tutti i connettori di servizi di archiviazione sono stati verificati per funzionare se utilizzati con Dataflow all'interno di un perimetro di servizio. Per un elenco dei connettori verificati, consulta "Dettagli" nella sezione precedente.
Quando utilizzi Python 3.5 con l'SDK Apache Beam 2.20.0‐2.22.0, i job Dataflow non riusciranno all'avvio se i worker hanno solo indirizzi IP privati, ad esempio quando utilizzano i Controlli di servizio VPC per proteggere le risorse.
Se i worker Dataflow possono avere solo indirizzi IP privati, ad esempio quando utilizzano i Controlli di servizio VPC per proteggere le risorse, non utilizzare Python 3.5 con l'SDK Apache Beam 2.20.0‐2.22.0. Questa combinazione causa errori dei job all'avvio.
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dataplex.googleapis.com
Dettagli
L'API per Dataplex può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Prima di creare le risorse Dataplex, configura il perimetro di sicurezza dei Controlli di servizio VPC. In caso contrario, le risorse non saranno protette dal perimetro.
Dataplex supporta i seguenti tipi di risorse:
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
metastore.googleapis.com
Dettagli
L'API per Dataproc Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
datastream.googleapis.com
Dettagli
L'API per Datastream può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
datamigration.googleapis.com
Dettagli
L'API per Database Migration Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Database Migration Service Admin. Non proteggono l'accesso ai dati basati su IP ai database sottostanti (come le istanze Cloud SQL). Per limitare l'accesso IP pubblico nelle istanze Cloud SQL, utilizza un vincolo dei criteri dell'organizzazione.
Quando utilizzi un file Cloud Storage nella fase di dump iniziale della migrazione, aggiungi il bucket Cloud Storage allo stesso perimetro di servizio.
Quando utilizzi una chiave di crittografia gestita dal cliente (CMEK) nel database di destinazione, assicurati che la CMEK si trovi nello stesso perimetro di servizio del profilo di connessione che contiene la chiave.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dialogflow.googleapis.com
Dettagli
L'API per Dialogflow può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dlp.googleapis.com
Dettagli
L'API per la protezione dei dati sensibili può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Poiché Controlli di servizio VPC al momento non supporta le risorse delle cartelle e dell'organizzazione, le chiamate di Sensitive Data Protection potrebbero restituire una risposta 403 quando si tenta di accedere alle risorse a livello di organizzazione. Ti consigliamo di utilizzare IAM per gestire le autorizzazioni Sensitive Data Protection a livello di cartella e organizzazione.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
dns.googleapis.com
Dettagli
L'API per Cloud DNS può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Puoi accedere a Cloud DNS tramite il VIP con restrizioni. Tuttavia, non puoi creare o aggiornare zone DNS pubbliche all'interno dei progetti all'interno del perimetro dei Controlli di servizio VPC.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
documentai.googleapis.com
Dettagli
L'API per Document AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
contentwarehouse.googleapis.com
Dettagli
L'API per Document AI Warehouse può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
domains.googleapis.com
Dettagli
L'API per Cloud Domains può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
I dati di configurazione DNS utilizzati in Cloud Domains (server dei nomi e impostazioni DNSSEC) sono pubblici. Se il tuo dominio delega a una zona DNS pubblica (impostazione predefinita), anche i dati di configurazione DNS di quella zona saranno pubblici.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
eventarc.googleapis.com
Dettagli
Eventarc gestisce la distribuzione degli eventi utilizzando argomenti Pub/Sub ed esegue il push delle sottoscrizioni. Per accedere all'API Pub/Sub e gestire i trigger di eventi, l'API Eventarc deve essere protetta all'interno dello stesso perimetro di servizio dei Controlli di servizio VPC dell'API Pub/Sub.
Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:
Eventarc è vincolato dalle stesse limitazioni di Pub/Sub:
Durante il routing degli eventi a destinazioni Cloud Run, non è possibile creare nuove sottoscrizioni push di Pub/Sub a meno che gli endpoint push non siano impostati su servizi Cloud Run con URL run.app predefiniti (i domini personalizzati non funzionano).
Quando esegui il routing degli eventi alle destinazioni di Workflows per cui l'endpoint push di Pub/Sub è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push di Pub/Sub solo tramite Eventarc.
Controlli di servizio VPC blocca la creazione di trigger Eventarc per endpoint HTTP interni. La protezione dei Controlli di servizio VPC non si applica durante il routing degli eventi a queste destinazioni.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
financialservices.googleapis.com
Dettagli
L'API Anti Money Laundering AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
firebaseappcheck.googleapis.com
Dettagli
Quando configuri e scambi i token Firebase App Check, i Controlli di servizio VPC proteggono solo il servizio Firebase App Check. Per proteggere i servizi che si basano su Firebase App Check, devi configurare i perimetri di servizio per questi servizi.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
firebaserules.googleapis.com
Dettagli
Quando gestisci i criteri delle regole di sicurezza di Firebase, Controlli di servizio VPC protegge solo il servizio delle regole di sicurezza Firebase. Per proteggere i servizi che si basano sulle regole di sicurezza Firebase, devi configurare i permessi del servizio per tali servizi.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudfunctions.googleapis.com
Dettagli
Per la procedura di configurazione, consulta la documentazione di Cloud Functions. La protezione dei Controlli di servizio VPC non si applica alla fase di creazione quando
le funzioni Cloud Functions vengono create con Cloud Build. Per maggiori dettagli, vedi le limitazioni note.
Cloud Functions utilizza Cloud Build, Container Registry e
Cloud Storage per creare e gestire il codice sorgente in un container eseguibile. Se uno qualsiasi di questi servizi è limitato dal perimetro di servizio, Controlli di servizio VPC blocca la build di Cloud Functions, anche se Cloud Functions non viene aggiunto come servizio limitato al perimetro. Per utilizzare Cloud Functions all'interno di un perimetro di servizio, devi configurare una regola in entrata per l'account di servizio Cloud Build nel tuo perimetro di servizio.
Per consentire alle funzioni di utilizzare dipendenze esterne come pacchetti npm, Cloud Build ha accesso a internet illimitato. Questo accesso a internet
può essere utilizzato per esfiltrare i dati disponibili in fase di creazione, come
il codice sorgente caricato. Se vuoi ridurre questo vettore di esfiltrazione, ti consigliamo di consentire solo agli sviluppatori affidabili di eseguire il deployment delle funzioni. Non concedere i ruoli IAM Proprietario, Editor o Sviluppatore di Cloud Functions agli sviluppatori non attendibili.
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per eseguire il deployment di Cloud Functions da una macchina locale.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Quando i servizi Cloud Functions vengono richiamati da trigger HTTP, l'applicazione dei criteri dei Controlli di servizio VPC non utilizza le informazioni di autenticazione IAM del client. Le regole dei criteri in entrata dei Controlli di servizio VPC che utilizzano entità IAM non sono supportate. I livelli di accesso per i perimetri dei Controlli di servizio VPC che utilizzano entità IAM non sono supportati.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
iam.googleapis.com
Dettagli
Quando limiti IAM con un perimetro, vengono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono la gestione dei ruoli IAM personalizzati, la gestione dei pool di identità per i carichi di lavoro e la gestione di account di servizio e chiavi. Il perimetro non limita le azioni dei pool di forza lavoro perché sono risorse a livello di organizzazione.
Il perimetro intorno a IAM non limita la gestione degli accessi (ovvero, il recupero o l'impostazione di criteri IAM) per le risorse di proprietà di altri servizi, ad esempio progetti, cartelle e organizzazioni di Resource Manager o istanze di macchine virtuali di Compute Engine. Per limitare la gestione degli accessi per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano i criteri IAM e i servizi che li possiedono, consulta Tipi di risorse che accettano i criteri IAM.
Inoltre, il perimetro intorno a IAM non limita le azioni che utilizzano altre API, tra cui:
API IAM Policy Simulator
API IAM Policy Troubleshooter
API Security Token Service
API Service Account Credentials (inclusi i metodi legacy signBlob e
signJwt nell'API IAM)
Se ti trovi all'interno del perimetro, non puoi chiamare il metodo roles.list con una stringa vuota per elencare i ruoli predefiniti IAM. Se hai bisogno di visualizzare i ruoli predefiniti, consulta la documentazione relativa ai ruoli IAM.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
kmsinventory.googleapis.com
Dettagli
L'API per l'API Cloud KMS Inventory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
iamcredentials.googleapis.com
Dettagli
L'API per le credenziali dell'account di servizio può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sulle credenziali dell'account di servizio, consulta la documentazione del prodotto.
Limitazioni
L'integrazione delle credenziali dell'account di servizio con i Controlli di servizio VPC non ha limitazioni note.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloud.googleapis.com
Dettagli
L'API Service Metadata può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
vpcaccess.googleapis.com
Dettagli
L'API per l'accesso VPC serverless può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudkms.googleapis.com
Dettagli
L'API Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato all'interno dei perimetri di servizio. L'accesso ai servizi Cloud HSM è inoltre protetto dai Controlli di servizio VPC e può essere utilizzato all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
gameservices.googleapis.com
Dettagli
L'API per Game Servers può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudaicompanion.googleapis.com
Dettagli
L'API per Gemini Code Assist può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
iaptunnel.googleapis.com
Dettagli
L'API per Identity-Aware Proxy per TCP può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Solo l'API di utilizzo di IAP per TCP può essere protetta da un perimetro.
L'API amministrativa non può essere protetta da un perimetro.
Per utilizzare IAP per TCP all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi aggiungere o configurare alcune voci DNS in modo da indirizzare i seguenti domini al VIP con restrizioni:
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
lifesciences.googleapis.com
Dettagli
L'API per Cloud Life Sciences può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
recaptchaenterprise.googleapis.com
Dettagli
L'API per reCAPTCHA può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
webrisk.googleapis.com
Dettagli
L'API per Web Risk può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
recommender.googleapis.com
Dettagli
L'API per motore per suggerimenti può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
secretmanager.googleapis.com
Dettagli
L'API per Secret Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
pubsub.googleapis.com
Dettagli
La protezione dei Controlli di servizio VPC si applica a tutte le operazioni degli amministratori, dei publisher e degli abbonati, ad eccezione degli abbonamenti push esistenti.
Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:
Non è possibile creare nuove sottoscrizioni push a meno che gli endpoint push non siano impostati sui servizi Cloud Run con URL run.app predefiniti o su un'esecuzione di Workflows (i domini personalizzati non funzionano). Per saperne di più sull'integrazione con Cloud Run, consulta Utilizzo dei Controlli di servizio VPC.
Per le sottoscrizioni non push, devi creare una sottoscrizione nello stesso perimetro dell'argomento o abilitare le regole in uscita per consentire l'accesso dall'argomento alla sottoscrizione.
Quando esegui il routing degli eventi tramite Eventarc alle destinazioni di Workflows per cui l'endpoint push è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push solo tramite Eventarc.
Le sottoscrizioni Pub/Sub create prima del perimetro di servizio non sono bloccate.
GA. Questa integrazione dei prodotti è supportata dai Controlli di servizio VPC. Per ulteriori informazioni, fai riferimento ai dettagli e alle limitazioni.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
clouddeploy.googleapis.com
Dettagli
L'API per Cloud Deploy può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Per utilizzare Cloud Deploy in un perimetro, devi utilizzare un pool privato di Cloud Build per gli ambienti di esecuzione della destinazione.
Non utilizzare il pool di worker predefinito (Cloud Build) e un pool ibrido.
L'abilitazione della serializzazione DAG impedisce a Airflow di visualizzare un modello sottoposto a rendering con funzioni nell'interfaccia utente web.
L'impostazione del flag async_dagbag_loader su True non è supportata quando la serializzazione DAG è abilitata.
L'abilitazione della serializzazione DAG disattiva tutti i plug-in dei server web Airflow, in quanto potrebbero mettere a rischio la sicurezza della rete VPC su cui viene eseguito il deployment di Cloud Composer. Ciò non influisce sul comportamento dei plug-in scheduler o worker, inclusi gli operatori e i sensori Airflow.
Quando Cloud Composer è in esecuzione all'interno di un perimetro, l'accesso ai repository PyPI pubblici è limitato. Nella documentazione di Cloud Composer, consulta la pagina relativa all'installazione delle dipendenze Python per scoprire come installare i moduli PyPi in modalità IP privato.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudquotas.googleapis.com
Dettagli
L'API per le quote Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Poiché Controlli di servizio VPC applica i limiti a livello di progetto, le richieste di Cloud Quotas che hanno origine dai client all'interno del perimetro possono accedere alle risorse dell'organizzazione solo se l'organizzazione imposta una regola di traffico in uscita.
Per configurare una regola in uscita, consulta le istruzioni relative ai Controlli di servizio VPC per configurare i criteri per il traffico in entrata e in uscita.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
run.googleapis.com
Dettagli
È richiesta una configurazione aggiuntiva per Cloud Run. Segui le istruzioni nella pagina della documentazione dei controlli di servizio VPC di Cloud Run.
Per Artifact Registry e Container Registry, il registry in cui archivi il container deve trovarsi nello stesso perimetro dei Controlli di servizio VPC del progetto in cui esegui il deployment. Il codice da creare deve trovarsi nello stesso perimetro dei Controlli di servizio VPC del registry a cui viene eseguito il push del container.
La funzionalità di deployment continuo di Cloud Run non è disponibile per i progetti all'interno di un perimetro dei Controlli di servizio VPC.
Quando i servizi Cloud Run vengono richiamati, l'applicazione dei criteri dei Controlli di servizio VPC non utilizza le informazioni di autenticazione IAM del client. Queste richieste presentano le seguenti limitazioni:
Le regole dei criteri in entrata dei Controlli di servizio VPC che utilizzano entità IAM non sono supportate.
I livelli di accesso per i perimetri dei Controlli di servizio VPC che utilizzano entità IAM non sono supportati.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
spanner.googleapis.com
Dettagli
L'API per Spanner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
speakerid.googleapis.com
Dettagli
L'API per Speaker ID può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
storage.googleapis.com
Dettagli
L'API per Cloud Storage può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Se utilizzi la funzionalità Pagamenti a carico del richiedente con
un bucket di archiviazione all'interno di un perimetro di servizio che protegge il
servizio Cloud Storage, non puoi identificare un progetto da pagare che si trovi
all'esterno del perimetro. Il progetto di destinazione deve trovarsi nello stesso perimetro
del bucket di archiviazione o in un bridge del perimetro con il progetto del bucket.
Per i progetti in un perimetro di servizio, la pagina di Cloud Storage nella console Google Cloud non è accessibile se l'API Cloud Storage è protetta da quel perimetro. Se vuoi concedere l'accesso alla pagina, devi creare una regola in entrata e/o un livello di accesso che includa gli account utente e/o l'intervallo IP pubblico a cui vuoi consentire l'accesso all'API Cloud Storage.
Nei record degli audit log, il valore relativo a methodName non è sempre corretto. Ti consigliamo di non filtrare i record degli audit log di Cloud Storage in base a methodName.
In alcuni casi, i log dei bucket legacy di Cloud Storage possono essere scritti nelle destinazioni al di fuori di un perimetro di servizio anche quando l'accesso viene negato.
Quando tenti di utilizzare gsutil per la prima volta in un nuovo progetto, ti potrebbe essere richiesto di abilitare il servizio storage-api.googleapis.com. Sebbene non sia possibile proteggere direttamente storage-api.googleapis.com, quando proteggi l'API Cloud Storage utilizzando un perimetro di servizio, vengono protette anche le operazioni di gsutil.
In alcuni casi, gli oggetti Cloud Storage che erano pubblici sono accessibili anche dopo aver abilitato i Controlli di servizio VPC sugli oggetti. Gli oggetti sono accessibili finché
non scadono dalle cache integrate e da qualsiasi altra cache upstream sulla rete tra
l'utente finale e Cloud Storage. Per impostazione predefinita, Cloud Storage memorizza nella cache i dati accessibili pubblicamente nella rete Cloud Storage.
Per maggiori informazioni su come gli oggetti Cloud Storage vengono memorizzati nella cache, consulta Cloud Storage. Per informazioni sul periodo di tempo in cui un oggetto può essere memorizzato nella cache, consulta la pagina Metadati del controllo della cache.
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni Cloud Storage che utilizzano URL firmati.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Gli URL firmati supportano i Controlli di servizio VPC.
I Controlli di servizio VPC utilizzano le credenziali di firma dell'account utente o di servizio che ha firmato l'URL firmato per valutare i controlli dei Controlli di servizio VPC, non la credenziale del chiamante o dell'utente che avvia la connessione.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudtasks.googleapis.com
Dettagli
L'API per Cloud Tasks può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Le richieste HTTP dalle esecuzioni di Cloud Tasks sono supportate come segue:
Sono consentite le richieste autenticate agli endpoint Cloud Functions e Cloud Run conformi ai Controlli di servizio VPC.
Le richieste a endpoint non Cloud Functions ed endpoint non Cloud Run vengono bloccate.
Le richieste agli endpoint Cloud Functions ed Cloud Run non conformi ai Controlli di servizio VPC vengono bloccate.
I perimetri di servizio proteggono solo l'API Cloud SQL Admin. Non proteggono l'accesso ai dati basato su IP alle istanze Cloud SQL. Devi utilizzare un vincolo dei criteri dell'organizzazione per limitare l'accesso IP pubblico sulle istanze Cloud SQL.
Prima di configurare Controlli di servizio VPC per Cloud SQL, abilita l'API Service Networking.
Le importazioni e le esportazioni di Cloud SQL possono eseguire letture e scritture solo da un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza di replica Cloud SQL.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
videointelligence.googleapis.com
Dettagli
L'API per l'API Video Intelligence può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
vision.googleapis.com
Dettagli
L'API per l'API Cloud Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Anche se crei una regola in uscita per consentire le chiamate agli URL pubblici dall'interno dei perimetri dei Controlli di servizio VPC, l'API Cloud Vision blocca le chiamate agli URL pubblici.
Poiché l'API Container Scanning è un'API senza superficie che archivia i risultati in Artifact Analysis, non è necessario proteggere l'API con un perimetro di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containerregistry.googleapis.com
Dettagli
Oltre a proteggere l'API Container Registry, Container Registry può essere utilizzato all'interno di un perimetro di servizio con GKE e Compute Engine.
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Container Registry.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
Oltre ai container all'interno di un perimetro disponibili per Container Registry, i seguenti repository di sola lettura sono disponibili per tutti i progetti indipendentemente dalle restrizioni imposte dai perimetri di servizio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
In tutti i casi, sono disponibili anche le versioni multiregionali di questi repository.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
container.googleapis.com
Dettagli
L'API per Google Kubernetes Engine può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Solo i cluster privati possono essere protetti utilizzando i Controlli di servizio VPC. I cluster con indirizzi IP pubblici non sono supportati dai Controlli di servizio VPC.
La scalabilità automatica funziona indipendentemente da GKE. Poiché Controlli di servizio VPC non supporta autoscaling.googleapis.com, la scalabilità automatica non funziona.
Quando utilizzi GKE, puoi ignorare la violazione SERVICE_NOT_ALLOWED_FROM_VPC
negli audit log causata dal servizio autoscaling.googleapis.com.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containersecurity.googleapis.com
Dettagli
L'API per l'API Container Security può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containerfilesystem.googleapis.com
Dettagli
I flussi di immagini sono una funzionalità di gestione dei flussi di dati di GKE che fornisce tempi di pull delle immagini container più brevi per le immagini archiviate in Artifact Registry.
Se i Controlli di servizio VPC proteggono le immagini container e utilizzi il flusso di immagini, devi includere anche l'API per i flussi di immagini nel perimetro di servizio.
Le API di gestione del parco risorse, incluso il gateway di connessione, possono essere protette con i Controlli di servizio VPC e le funzionalità di gestione del parco risorse possono essere utilizzate normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni, consulta le seguenti risorse:
Sebbene tutte le funzionalità di gestione del parco risorse possano essere utilizzate normalmente, l'abilitazione di un perimetro di servizio intorno all'API Stackdriver limita l'integrazione della funzionalità del parco risorse Policy Controller con Security Command Center.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudresourcemanager.googleapis.com
Dettagli
I seguenti metodi dell'API Cloud Resource Manager possono essere protetti dai Controlli di servizio VPC:
Solo le chiavi tag associate direttamente a una risorsa di progetto e i valori tag corrispondenti possono essere protette tramite i Controlli di servizio VPC. Quando un progetto viene aggiunto a un perimetro dei Controlli di servizio VPC, tutte le chiavi tag e i valori tag corrispondenti nel progetto sono considerati risorse all'interno del perimetro.
Le chiavi tag associate a una risorsa dell'organizzazione e i relativi valori tag corrispondenti non possono essere incluse in un perimetro dei Controlli di servizio VPC e non possono essere protette tramite i Controlli di servizio VPC.
I client all'interno di un perimetro dei Controlli di servizio VPC non possono accedere alle chiavi tag e ai valori corrispondenti associati a una risorsa dell'organizzazione, a meno che sul perimetro non sia impostata una regola in uscita che consente l'accesso. Per saperne di più sull'impostazione delle regole in uscita, consulta la pagina Regole in entrata e in uscita.
Le associazioni di tag sono considerate risorse all'interno dello stesso perimetro della risorsa a cui è associato il valore del tag. Ad esempio, le associazioni di tag su un'istanza Compute Engine in un progetto vengono considerate appartenenti a quel progetto indipendentemente da dove è definita la chiave tag.
Alcuni servizi, come Compute Engine, consentono la creazione di associazioni di tag utilizzando le proprie API di servizio, oltre alle API di servizio Resource Manager. Ad esempio, l'aggiunta di tag a una VM di Compute Engine durante la creazione delle risorse. Per proteggere le associazioni di tag create o eliminate utilizzando queste API di servizio, aggiungi il servizio corrispondente, ad esempio compute.googleapis.com, all'elenco dei servizi limitati nel perimetro.
I tag supportano restrizioni a livello di metodo, quindi puoi limitare l'ambito di
method_selectors a metodi API specifici. Per un elenco dei metodi limitati, consulta Limitazioni dei metodi di servizio supportati.
La concessione del ruolo di proprietario in un progetto tramite la console Google Cloud è ora supportata dai Controlli di servizio VPC. Non puoi inviare un invito come proprietario o accettare un invito al di fuori dei perimetri di servizio. Se tenti di accettare un invito dall'esterno del perimetro, non ti verrà concesso il ruolo di proprietario e non verranno visualizzati errori o messaggi di avviso.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
logging.googleapis.com
Dettagli
L'API per Cloud Logging può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
I sink di log aggregati (sink di cartelle o organizzazioni in cui
includeChildren è true) possono accedere ai dati dei progetti all'interno di un perimetro
di servizio. Per impedire ai sink di log aggregati di accedere ai dati all'interno di un perimetro, consigliamo di utilizzare IAM per gestire le autorizzazioni di Logging a livello di cartella o di organizzazione.
Controlli di servizio VPC non supporta l'aggiunta di risorse dell'organizzazione o della cartella ai perimetri di servizio. Pertanto, non puoi utilizzare Controlli di servizio VPC per proteggere i log a livello di cartella e organizzazione, inclusi i log aggregati. Per gestire le autorizzazioni di Logging a livello di cartella o di organizzazione, consigliamo di utilizzare IAM.
Se esegui il routing dei log su una risorsa protetta da un perimetro di servizio, utilizzando un sink di log a livello di organizzazione o cartella, devi aggiungere una regola in entrata al perimetro di servizio. La regola in entrata deve consentire l'accesso alla risorsa dall'account di servizio utilizzato dal sink di log. Questo passaggio non è necessario per i sink a livello di progetto.
Per ulteriori informazioni, consulta le seguenti pagine:
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT
e ANY_USER_ACCOUNT come tipo di identità per esportare i log da un sink Cloud Logging a una risorsa Cloud Storage.
Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
certificatemanager.googleapis.com
Dettagli
L'API per Gestore certificati può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
monitoring.googleapis.com
Dettagli
L'API per Cloud Monitoring può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
I canali di notifica, i criteri di avviso e le metriche personalizzate possono essere utilizzati insieme per esfiltrare dati/metadati. A partire da oggi, un utente di Monitoring può configurare un canale di notifica che indirizzi a un'entità esterna all'organizzazione, ad esempio "[email protected]". L'utente
quindi configura metriche personalizzate e criteri di avviso corrispondenti che
utilizzano il canale di notifica. Di conseguenza, manipolando le metriche
personalizzate, l'utente può attivare gli avvisi e inviare notifiche di attivazione degli avvisi,
esfiltrando i dati sensibili all'indirizzo [email protected], al di fuori del
perimetro dei Controlli di servizio VPC.
Qualsiasi VM Compute Engine o AWS con l'agente Monitoring installato deve trovarsi all'interno del perimetro dei Controlli di servizio VPC. In caso contrario, le scritture delle metriche dell'agente non andranno a buon fine.
Tutti i pod GKE devono trovarsi all'interno del perimetro dei Controlli di servizio VPC, altrimenti GKE Monitoring non funzionerà.
Quando esegui query sulle metriche per un ambito delle metriche, viene considerato solo il perimetro dei Controlli di servizio VPC del progetto di definizione dell'ambito per l'ambito delle metriche. I perimetri dei singoli progetti monitorati
nell'ambito delle metriche non vengono considerati.
Un progetto può essere aggiunto come progetto monitorato a un ambito delle metriche esistente solo se si trova nello stesso perimetro dei Controlli di servizio VPC del progetto di definizione dell'ambito dell'ambito delle metriche.
Per accedere a Monitoring nella console Google Cloud per un progetto host protetto da un perimetro di servizio, utilizza una regola in entrata.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudprofiler.googleapis.com
Dettagli
L'API per Cloud Profiler può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
timeseriesinsights.googleapis.com
Dettagli
L'API per Timeeries Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudtrace.googleapis.com
Dettagli
L'API per Cloud Trace può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
tpu.googleapis.com
Dettagli
L'API per Cloud TPU può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Poiché l'API Natural Language è un'API stateless e non viene eseguita sui progetti, l'utilizzo dei Controlli di servizio VPC per proteggere l'API Natural Language non ha alcun effetto.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
networkconnectivity.googleapis.com
Dettagli
L'API per Network Connectivity Center può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudasset.googleapis.com
Dettagli
L'API per l'API Cloud Asset può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Cloud Asset a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare un criterio in uscita per impedire l'accesso alle risorse dell'API Cloud Asset a livello di progetto dai progetti all'interno del perimetro.
Controlli di servizio VPC non supporta l'aggiunta di risorse API Cloud Asset a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse dell'API Cloud Asset a livello di cartella o organizzazione. Per gestire le autorizzazioni di Cloud Asset Inventory a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
Non puoi esportare asset a livello di cartella o organizzazione nelle destinazioni all'interno di un perimetro di servizio.
Non puoi creare feed in tempo reale per asset a livello di cartella o organizzazione con un argomento Pub/Sub all'interno di un perimetro di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
speech.googleapis.com
Dettagli
L'API per Speech-to-Text può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
texttospeech.googleapis.com
Dettagli
L'API per Text-to-Speech può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
translate.googleapis.com
Dettagli
L'API per la traduzione può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Cloud Translation - Advanced (v3) supporta i Controlli di servizio VPC, ma non Cloud Translation - Basic (v2). Per applicare i Controlli di servizio VPC, devi utilizzare Cloud Translation - Advanced (v3). Per saperne di più sulle diverse versioni, consulta la pagina Confronto tra base e avanzata.
Per proteggere gli endpoint di input con un perimetro di servizio, devi seguire le istruzioni per configurare un pool privato e inviare stream video di input su una connessione privata.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
transcoder.googleapis.com
Dettagli
L'API per l'API Transcoder può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
videostitcher.googleapis.com
Dettagli
L'API per l'API Video Stitcher può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
accessapproval.googleapis.com
Dettagli
L'API per Access Approval può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
healthcare.googleapis.com
Dettagli
L'API per l'API Cloud Healthcare può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
storagetransfer.googleapis.com
Dettagli
Ti consigliamo di posizionare il progetto Storage Transfer Service all'interno dello stesso perimetro di servizio delle risorse Cloud Storage. In questo modo, proteggerai sia il trasferimento sia le risorse Cloud Storage. Storage Transfer Service supporta anche gli scenari in cui il progetto Storage Transfer Service non si trova nello stesso perimetro dei bucket Cloud Storage, utilizzando un criterio in uscita.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
servicecontrol.googleapis.com
Dettagli
L'API per Service Control può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Quando chiami l'API Service Control da una rete VPC in un perimetro di servizio con Controllo servizio limitato per generare report sulle metriche di fatturazione o di analisi, puoi utilizzare solo il metodo report Controllo di servizio per generare report sulle metriche per i servizi supportati dai Controlli di servizio VPC.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
redis.googleapis.com
Dettagli
L'API per Memorystore for Redis può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Memorystore for Redis. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Redis all'interno della stessa rete.
Se anche l'API Cloud Storage è protetta, le operazioni di importazione ed esportazione di Memorystore for Redis possono leggere e scrivere solo in un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza Memorystore for Redis.
Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Redis all'interno dello stesso perimetro, affinché le richieste Redis abbiano esito positivo. In qualsiasi momento, la separazione del progetto host e del progetto di servizio con un perimetro può causare un errore dell'istanza Redis, oltre che alle richieste bloccate. Per maggiori informazioni, consulta i requisiti di configurazione di Memorystore per Redis.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
memcache.googleapis.com
Dettagli
L'API per Memorystore for Memcached può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Memorystore for Memcached. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Memcached all'interno della stessa rete.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
servicedirectory.googleapis.com
Dettagli
L'API per Service Directory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
No. L'API per Transfer Appliance non può essere protetta dai perimetri di servizio.
Tuttavia, Transfer Appliance può essere utilizzato normalmente nei progetti all'interno di un perimetro.
Dettagli
Transfer Appliance è completamente supportato per i progetti che utilizzano Controlli di servizio VPC.
Transfer Appliance non offre un'API e, pertanto, non supporta le funzionalità relative alle API nei Controlli di servizio VPC.
Quando Cloud Storage è protetto dai Controlli di servizio VPC, la chiave Cloud KMS condivisa con il team di Transfer Appliance deve trovarsi all'interno dello stesso progetto del bucket Cloud Storage di destinazione.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
orgpolicy.googleapis.com
Dettagli
L'API per il servizio criteri dell'organizzazione può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Per ulteriori informazioni sul servizio Criteri dell'organizzazione, consulta la documentazione del prodotto.
Limitazioni
Controlli di servizio VPC non supporta le limitazioni di accesso ai criteri dell'organizzazione a livello di cartella o organizzazione ereditati dal progetto.
I Controlli di servizio VPC proteggono le risorse dell'API Organization Policy Service a livello di progetto.
Ad esempio, se una regola in entrata impedisce a un utente di accedere all'API Organization Policy Service, riceve un errore 403 quando esegue una query sui criteri dell'organizzazione applicati al progetto. Tuttavia, l'utente può comunque accedere ai criteri dell'organizzazione della cartella e dell'organizzazione che contiene il progetto.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
oslogin.googleapis.com
Dettagli
Puoi chiamare l'API OS Login dall'interno dei perimetri Controlli di servizio VPC. Per gestire
OS Login dall'interno dei perimetri Controlli di servizio VPC,
configura OS Login.
Le connessioni SSH alle istanze VM non sono protette dai Controlli di servizio VPC.
I metodi di OS Login per la lettura e la scrittura di chiavi SSH non applicano i perimetri dei Controlli di servizio VPC. Utilizza i servizi accessibili da VPC per disattivare l'accesso alle API OS Login.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
servicehealth.googleapis.com
Dettagli
L'API per Personalized Service Health può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Controlli di servizio VPC non supporta le risorse OrganizationEvents e OrganizationImpacts dell'API Service Health. Di conseguenza, i controlli dei criteri di Controlli di servizio VPC non vengono eseguiti quando chiami i metodi per queste risorse. Tuttavia, puoi chiamare i metodi da un perimetro di servizio utilizzando un VIP con restrizioni.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
osconfig.googleapis.com
Dettagli
Puoi chiamare l'API OS Config dall'interno dei perimetri Controlli di servizio VPC. Per utilizzare VM Manager dall'interno dei perimetri Controlli di servizio VPC, configura VM Manager.
Per proteggere completamente VM Manager, devi includere tutte le seguenti API nel
perimetro:
API OS Config (osconfig.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Artifact Analysis (containeranalysis.googleapis.com)
VM Manager non ospita pacchetti e non applica patch ai contenuti. OS Patch Management utilizza gli strumenti di aggiornamento del sistema operativo che richiedono il recupero degli aggiornamenti e delle patch dei pacchetti sulla VM. Affinché l'applicazione delle patch funzioni, potrebbe essere necessario utilizzare
Cloud NAT o ospitare il tuo repository dei pacchetti o Windows Server Update Service
all'interno del tuo Virtual Private Cloud.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
workflows.googleapis.com
Dettagli
Workflows è una piattaforma di orchestrazione che può combinare i servizi Google Cloud e le API basate su HTTP per eseguire i servizi in un ordine definito da te.
Quando proteggi l'API Workflows utilizzando un perimetro di servizio, viene protetta anche l'API Workflow Execution. Non è necessario aggiungere separatamente workflowexecutions.googleapis.com all'elenco dei servizi protetti del tuo perimetro.
Le richieste HTTP da un'esecuzione di Workflows sono supportate come segue:
Sono consentite richieste autenticate agli endpoint Google Cloud conformi ai Controlli di servizio VPC.
Sono consentite le richieste agli endpoint di servizio Cloud Functions e Cloud Run.
Le richieste agli endpoint di terze parti sono bloccate.
Le richieste agli endpoint Google Cloud non conformi ai Controlli di servizio VPC vengono bloccate.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
file.googleapis.com
Dettagli
L'API per Filestore può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
I perimetri di servizio proteggono solo l'API Filestore. I perimetri non proteggono il normale accesso ai dati NFS sulle istanze Filestore all'interno della stessa rete.
Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, affinché l'istanza Filestore funzioni correttamente, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Filestore all'interno dello stesso perimetro. La separazione del progetto host e del progetto di servizio con un perimetro potrebbe causare la mancata disponibilità delle istanze esistenti e potrebbe non creare nuove istanze.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Se utilizzi un VPC condiviso e Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza di Parallelstore all'interno dello stesso perimetro affinché l'istanza di Parallelstore funzioni correttamente. La separazione del progetto host e del progetto di servizio con un perimetro potrebbe causare la mancata disponibilità delle istanze esistenti e potrebbe non creare nuove istanze.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
containerthreatdetection.googleapis.com
Dettagli
L'API per Container Threat Detection può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Ads Data Hub e i Controlli di servizio VPC sono soggetti a termini di servizio diversi. Per informazioni dettagliate, leggi i termini di ciascun prodotto.
Alcune funzionalità di Ads Data Hub (come l'attivazione di segmenti di pubblico personalizzati, le offerte personalizzate e le tabelle delle corrispondenze LiveRamp) richiedono l'esportazione di determinati dati utente al di fuori del perimetro dei Controlli di servizio VPC. Se viene aggiunto come servizio limitato, Ads Data Hub ignorerà le norme dei Controlli di servizio VPC per queste funzionalità per mantenerne la funzionalità.
Tutti i servizi dipendenti devono essere inclusi come servizi consentiti nello stesso perimetro dei Controlli di servizio VPC. Ad esempio, poiché Ads Data Hub si basa su BigQuery, è necessario aggiungere anche BigQuery. In generale, le best practice per i Controlli di servizio VPC consigliano di includere nel perimetro tutti i servizi, ovvero di "limitare tutti i servizi".
I clienti con strutture di account Ads Data Hub multi-livello (come le agenzie con società controllate) devono avere tutti i progetti amministratore nello stesso perimetro. Per semplicità, Ads Data Hub consiglia ai clienti con strutture di account a più livelli di limitare i progetti amministratore alla stessa organizzazione Google Cloud.
L'API per Cloud Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
sts.googleapis.com
Dettagli
Controlli di servizio VPC limita gli scambi di token solo se il pubblico nella richiesta è una risorsa a livello di progetto. Ad esempio, non limita le richieste per i token con ambito ridotto, perché queste richieste non hanno un segmento di pubblico. Inoltre, non limita le richieste per la federazione delle identità per la forza lavoro perché il pubblico è una risorsa a livello di organizzazione.
I servizi firestore.googleapis.com, datastore.googleapis.com
e firestorekeyvisualizer.googleapis.com sono in bundle.
Quando limiti il servizio firestore.googleapis.com in un perimetro,
quest'ultimo limita anche i servizi datastore.googleapis.com e
firestorekeyvisualizer.googleapis.com.
Per ottenere una protezione completa in uscita durante le operazioni di importazione ed esportazione, devi utilizzare l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:
Le operazioni di importazione ed esportazione non sono completamente protette a meno che non utilizzi l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:
I
servizi in bundle legacy di App Engine per Datastore
non supportano i perimetri di servizio. La protezione del servizio Datastore con un perimetro di servizio blocca il traffico dai servizi in bundle legacy di App Engine. I servizi in bundle legacy includono:
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
vmmigration.googleapis.com
Dettagli
L'API Migrate to Virtual Machines può essere protetta dai Controlli di servizio VPC e il prodotto
può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
backupdr.googleapis.com
Dettagli
L'API per il servizio di backup e RE può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Se rimuovi la route predefinita per internet dal progetto di producer di servizi utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls, potresti non riuscire ad accedere alla console di gestione o a eseguirne il deployment. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
gkebackup.googleapis.com
Dettagli
Puoi utilizzare Controlli di servizio VPC per proteggere il backup per GKE e puoi utilizzare le funzionalità di Backup per GKE normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
retail.googleapis.com
Dettagli
L'API API for Retail può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
integrations.googleapis.com
Dettagli
Application Integration è un sistema collaborativo di gestione del flusso di lavoro che consente di creare, potenziare, eseguire il debug e comprendere i flussi di lavoro principali del sistema aziendale.
I flussi di lavoro di Application Integration sono composti da trigger e attività.
Esistono diversi tipi di trigger, come trigger API/Pub/Sub trigger/cron trigger/sfdc trigger.
I Controlli di servizio VPC proteggono i log di Application Integration. Se utilizzi Application Integration, verifica il supporto dell'integrazione di vpcsc
con il team Application Integration.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
connectors.googleapis.com
Dettagli
L'API per Integration Connectors può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Quando utilizzi Controlli di servizio VPC, se la connessione si connette a una risorsa non Google Cloud CLI, la destinazione deve essere un collegamento Private Service Connect. Connessioni create senza il collegamento Private Service Connect non riuscite.
Se configuri un perimetro di servizio dei Controlli di servizio VPC per il tuo progetto Google Cloud CLI, non puoi utilizzare la
funzionalità di sottoscrizione agli eventi per il progetto.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
clouderrorreporting.googleapis.com
Dettagli
L'API per Error Reporting può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Le notifiche inviate quando viene trovato un gruppo di errori nuovo o ricorrente contengono informazioni sul gruppo di errori. Per impedire l'esfiltrazione di dati al di fuori del perimetro dei Controlli di servizio VPC, assicurati che i canali di notifica siano all'interno della tua organizzazione.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
workstations.googleapis.com
Dettagli
L'API per Cloud Workstations può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Per proteggere completamente Cloud Workstations, devi limitare l'API Compute Engine nel perimetro di servizio ogni volta che limiti l'API Cloud Workstations.
Assicurati che l'API Google Cloud Storage, l'API Google Container Registry e l'API Artifact Registry siano
accessibili tramite VPC nel tuo perimetro di servizio. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Ti consigliamo inoltre di consentire all'API Cloud Logging e all'API Cloud Error Reporting di essere accessibili tramite VPC nel tuo perimetro di servizio, anche se questa operazione non è necessaria per utilizzare Cloud Workstations.
Assicurati che il cluster di workstation sia privato.
La configurazione di un cluster privato impedisce le connessioni alle tue workstation dall'esterno del perimetro di servizio VPC.
Assicurati di disabilitare gli indirizzi IP pubblici nella configurazione della workstation. In caso contrario, verranno create VM con indirizzi IP pubblici nel tuo progetto. Ti consigliamo vivamente di utilizzare il vincolo del criterio dell'organizzazione constraints/compute.vmExternalIpAccess per disabilitare gli indirizzi IP pubblici per tutte le VM nel tuo perimetro di servizio VPC. Per maggiori dettagli, consulta Limitazione degli indirizzi IP esterni a VM specifiche.
Durante la connessione alla tua workstation, il controllo dell'accesso si basa solo sull'appartenenza alla rete privata da cui ti stai connettendo o meno al perimetro di sicurezza. Il controllo dell'accesso basato sul dispositivo, sull'indirizzo IP pubblico o sulla località non è supportato.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ids.googleapis.com
Dettagli
L'API per Cloud IDS può essere protetta dai Controlli di servizio VPC e il prodotto
può essere utilizzato normalmente all'interno dei perimetri di servizio.
Cloud IDS utilizza Cloud Logging per creare log delle minacce nel progetto. Se Cloud Logging è limitato dal perimetro di servizio, Controlli di servizio VPC blocca i log delle minacce di Cloud IDS, anche se Cloud IDS non viene aggiunto come servizio limitato al perimetro. Per utilizzare Cloud IDS all'interno di un perimetro di servizio, devi configurare una regola in entrata per l'account di servizio Cloud Logging nel tuo perimetro di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
policytroubleshooter.googleapis.com
Dettagli
Quando limiti l'API Policy troubleshooter con un perimetro,
le entità possono risolvere i problemi relativi ai criteri di autorizzazione IAM solo se tutte le risorse
coinvolte nella richiesta si trovano nello stesso perimetro. In genere, la richiesta di risoluzione dei problemi utilizza due
risorse:
La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere di qualsiasi tipo. Puoi specificare esplicitamente questa risorsa quando risolvi i problemi di un criterio di autorizzazione.
La risorsa che stai utilizzando per risolvere i problemi di accesso. Questa risorsa è un progetto, una cartella o un'organizzazione. Nella console Google Cloud e in gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione x-goog-user-project.
Questa risorsa può essere uguale a quella per la quale stai risolvendo i problemi di accesso, ma non è necessariamente così.
Se queste risorse non si trovano nello stesso perimetro, la richiesta ha esito negativo.
Per ulteriori informazioni sullo strumento per la risoluzione dei problemi relativi ai criteri, consulta la documentazione del prodotto.
Limitazioni
L'integrazione dello strumento per la risoluzione dei problemi relativi ai criteri con Controlli di servizio VPC non presenta limitazioni note.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
policysimulator.googleapis.com
Dettagli
Quando limiti l'API Policy Simulator con un perimetro, le entità possono simulare i criteri di autorizzazione solo se alcune risorse coinvolte nella simulazione si trovano nello stesso perimetro. In una simulazione sono coinvolte diverse risorse:
La risorsa di cui stai simulando il criterio di autorizzazione. Questa risorsa è anche chiamata risorsa di destinazione. Nella console Google Cloud, questa è la risorsa di cui stai modificando il criterio di autorizzazione. In gcloud CLI e nell'API REST specifichi esplicitamente questa risorsa quando simula un criterio di autorizzazione.
Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è anche detta risorsa host. Nella console Google Cloud e in gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifichi questa risorsa utilizzando l'intestazione x-goog-user-project.
Questa risorsa può essere uguale alla risorsa per cui stai simulando l'accesso, ma non è necessario.
La risorsa che fornisce i log di accesso per la simulazione. In una simulazione, è sempre presente una risorsa che fornisce i log di accesso per la simulazione. Questa risorsa varia a seconda del tipo di risorsa di destinazione:
Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log degli accessi per tale progetto o organizzazione.
Se stai simulando un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per l'organizzazione o il progetto padre della risorsa.
Se stai simulando i criteri di autorizzazione di più risorse contemporaneamente, Policy Simulator recupera i log di accesso per l'organizzazione o il progetto comune più vicino alle risorse.
Tutte le risorse supportate con criteri di autorizzazione pertinenti.
Quando Policy Simulator esegue una simulazione, prende in considerazione tutti i criteri di autorizzazione che potrebbero influire sull'accesso dell'utente, inclusi i criteri di autorizzazione sulle risorse dei predecessori e discendenti della risorsa di destinazione. Di conseguenza, le risorse dei predecessori e dei discendenti vengono coinvolte anche nelle simulazioni.
Se la risorsa di destinazione e la risorsa host non si trovano nello stesso perimetro, la richiesta non riesce.
Se la risorsa di destinazione e quella che fornisce i log degli accessi per la simulazione non si trovano nello stesso perimetro, la richiesta non va a buon fine.
Se la risorsa di destinazione e alcune risorse supportate con criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste vengono eseguite correttamente, ma i risultati potrebbero essere incompleti. Ad esempio, se stai simulando un criterio per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione dell'organizzazione padre del progetto, perché le organizzazioni sono sempre al di fuori dei perimetri dei Controlli di servizio VPC. Per ottenere risultati più completi, puoi configurare le regole in entrata e in uscita per il perimetro.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
essentialcontacts.googleapis.com
Dettagli
L'API per i contatti necessari può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
L'API per Identity Platform può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al perimetro di servizio per consentire l'aggiornamento dei token. securetoken.googleapis.com non è elencato nella pagina Controlli di servizio VPC della console Google Cloud.
Puoi aggiungere questo servizio solo con il comando
gcloud access-context-manager
perimetros update.
Se la tua applicazione si integra anche con la funzionalità di blocco, aggiungi Cloud Functions (cloudfunctions.googleapis.com) al perimetro di servizio.
L'utilizzo dell'autenticazione a più fattori (MFA) basata su SMS, dell'autenticazione email o di provider di identità di terze parti determina l'invio di dati al di fuori del perimetro. Se non utilizzi la MFA con SMS, autenticazione email o provider di identità di terze parti, disattiva queste funzionalità.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
gkemulticloud.googleapis.com
Dettagli
L'API per GKE Multi-Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al perimetro di servizio per consentire l'aggiornamento dei token. securetoken.googleapis.com non è elencato nella pagina Controlli di servizio VPC della console Google Cloud.
Puoi aggiungere questo servizio solo con il comando
gcloud access-context-manager
perimetros update.
Se la tua applicazione si integra anche con la funzionalità di blocco, aggiungi Cloud Functions (cloudfunctions.googleapis.com) al perimetro di servizio.
L'utilizzo dell'autenticazione a più fattori (MFA) basata su SMS, dell'autenticazione email o di provider di identità di terze parti determina l'invio di dati al di fuori del perimetro. Se non utilizzi la MFA con SMS, autenticazione email o provider di identità di terze parti, disattiva queste funzionalità.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
gkeonprem.googleapis.com
Dettagli
L'API Anthos On-Prem può essere protetta dai Controlli di servizio VPC e l'API può essere utilizzata normalmente all'interno dei perimetri di servizio.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
No. L'API per Google Distributed Cloud Virtual for Bare Metal non può essere protetta dai perimetri di servizio.
Tuttavia, Google Distributed Cloud Virtual for Bare Metal può essere utilizzato normalmente nei progetti all'interno di un perimetro.
Dettagli
Puoi creare un cluster nel tuo ambiente connesso al VPC tramite Cloud Interconnect o Cloud VPN.
Per ulteriori informazioni su Google Distributed Cloud Virtual for Bare Metal, consulta la documentazione del prodotto.
Limitazioni
Quando crei o esegui l'upgrade di un cluster utilizzando GDCV per Bare Metal, utilizza il flag --skip-api-check in bmctl per ignorare la chiamata all'API Service Usage (serviceusage.googleapis.com), perché l'API Service Usage (serviceusage.googleapis.com) non è supportata dai Controlli di servizio VPC.
GDCV per Bare Metal richiama l'API Service Usage per verificare che le API richieste siano abilitate all'interno di un progetto; non viene utilizzata per convalidare la raggiungibilità degli endpoint API.
Per proteggere il GDCV per Bare Metal, utilizza il VIP con restrizioni in
GDCV per Bare Metal e aggiungi tutte le seguenti API al perimetro
di servizio:
API Artifact Registry (artifactregistry.googleapis.com)
API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API Compute Engine (compute.googleapis.com)
API Connect Gateway (connectgateway.googleapis.com)
API Google Container Registry (containerregistry.googleapis.com)
API GKE Connect (gkeconnect.googleapis.com)
API GKE Hub (gkehub.googleapis.com)
API GKE On-Prem (gkeonprem.googleapis.com)
API Cloud IAM (iam.googleapis.com)
API Cloud Logging (logging.googleapis.com)
API Cloud Monitoring (monitoring.googleapis.com)
Config Monitoring per API Ops (opsconfigmonitoring.googleapis.com)
API Service Control (servicecontrol.googleapis.com)
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ondemandscanning.googleapis.com
Dettagli
L'API On-Demand Scanning può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
looker.googleapis.com
Dettagli
L'API per Looker (Google Cloud core) può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Solo le versioni Enterprise o Embed delle istanze Looker (Google Cloud core) che utilizzano connessioni con IP privato supportano la conformità ai Controlli di servizio VPC. Le istanze di Looker (Google Cloud core) con connessioni con IP pubblico o con connessioni con IP pubblico e privato non supportano la conformità ai Controlli di servizio VPC. Per creare un'istanza che utilizza una connessione con IP privato, seleziona IP privato nella sezione Networking della pagina Crea istanza della console Google Cloud.
Quando inserisci o crei un'istanza di Looker (Google Cloud core) all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi rimuovere la route predefinita verso internet chiamando il metodo services.enableVpcServiceControls o eseguendo il comando gcloud seguente:
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
publicca.googleapis.com
Dettagli
L'API per l'Public Certificate Authority può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
storageinsights.googleapis.com
Dettagli
L'API per Storage Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Le API per Security Command Center possono essere protette dai Controlli di servizio VPC e Security Command Center può essere utilizzato normalmente all'interno dei perimetri di servizio.
I servizi securitycenter.googleapis.com e securitycentermanagement.googleapis.com
sono in bundle. Quando limiti il servizio securitycenter.googleapis.com in un perimetro, quest'ultimo limita il servizio securitycentermanagement.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio securitycentermanagement.googleapis.com
all'elenco dei servizi limitati in un perimetro perché è in bundle con
securitycenter.googleapis.com.
Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Security Command Center a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Security Command Center a livello di progetto. Puoi specificare un criterio in uscita per impedire l'accesso alle risorse dell'API Security Command Center a livello di progetto dai progetti all'interno del perimetro.
Controlli di servizio VPC non supporta l'aggiunta di risorse dell'API Security Command Center a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse dell'API Security Command Center a livello di
cartella o organizzazione. Per gestire le autorizzazioni di Security Command Center
a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
Controlli di servizio VPC non supporta il servizio della postura di sicurezza perché le risorse della postura di sicurezza (come posture, deployment di posture e modelli di postura predefiniti) sono risorse a livello di organizzazione.
Non puoi esportare i risultati a livello di cartella o organizzazione nelle destinazioni all'interno di un perimetro di servizio.
Devi abilitare l'accesso al perimetro nei seguenti scenari:
Quando abiliti le notifiche sui risultati a livello di cartella o organizzazione e l'argomento Pub/Sub si trova all'interno di un perimetro di servizio.
Quando esporti i dati in BigQuery a livello di cartella o organizzazione e BigQuery si trova all'interno di un perimetro di servizio.
Quando integri Security Command Center con un prodotto SIEM o SOAR e viene eseguito il deployment del prodotto all'interno di un perimetro di servizio in un ambiente Google Cloud. I SIEM e SOAR supportati includono Splunk e IBM QRadar.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudsupport.googleapis.com
Dettagli
L'API per l'assistenza clienti Google Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
discoveryengine.googleapis.com
Dettagli
L'API per Vertex AI Agent Builder - Vertex AI Search può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
confidentialcomputing.googleapis.com
Dettagli
L'API per Confidential Space può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
Confidential Space richiede l'accesso in lettura ai bucket Cloud Storage per scaricare i certificati utilizzati per convalidare il token di attestazione. Se questi bucket Cloud Storage si trovano all'esterno del perimetro, devi creare la seguente regola di uscita:
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
ssh-serialport.googleapis.com
Dettagli
Per utilizzare la protezione dei Controlli di servizio VPC durante la connessione alla console seriale per un'istanza di macchina virtuale (VM), devi specificare una regola in entrata per il perimetro di servizio. Quando configuri la regola in entrata, il livello di accesso per l'origine deve essere un valore basato su IP e il nome del servizio impostato su ssh-serialport.googleapis.com.
La regola in entrata è necessaria per accedere alla console seriale anche se la richiesta di origine e la risorsa di destinazione si trovano nello stesso perimetro.
Non puoi accedere a una console seriale utilizzando l'accesso privato Google. Puoi accedere alla console seriale solo dalla rete internet pubblica.
Quando utilizzi una console seriale, non è possibile utilizzare regole in entrata o in uscita basate sull'identità per consentire l'accesso alla console seriale.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Quando aggiungi reti VMware Engine, cloud privati, criteri di rete e peering VPC esistenti a un perimetro di servizio VPC, le risorse create in precedenza non vengono controllate di nuovo per verificare se sono ancora conformi ai criteri del perimetro.
Per utilizzare la protezione dei Controlli di servizio VPC per Dataform, devi impostare il criterio dell'organizzazione "dataform.restrictGitRemotes" e limitare BigQuery con lo stesso perimetro di servizio di Dataform.
Devi assicurarti che le autorizzazioni di Identity and Access Management concesse ai tuoi account di servizio utilizzati in Dataform riflettano la tua architettura di sicurezza.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
websecurityscanner.googleapis.com
Dettagli
Web Security Scanner e Controlli di servizio VPC sono soggetti a termini di servizio diversi.
Per informazioni dettagliate, leggi i termini di ciascun prodotto.
Web Security Scanner invia i risultati a Security Command Center on demand. Puoi visualizzare o scaricare i dati dalla dashboard di Security Command Center.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
securesourcemanager.googleapis.com
Dettagli
Prima di creare istanze di Controlli di servizio VPC di Secure Source Manager, devi configurare Certificate Authority Service con un'autorità di certificazione funzionante.
Devi configurare Private Service Connect prima di accedere all'istanza di Controlli di servizio VPC di Secure Source Manager.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
apikeys.googleapis.com
Dettagli
L'API per le chiavi API può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
GA. Questa integrazione dei prodotti è completamente supportata dai Controlli di servizio VPC.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudcontrolspartner.googleapis.com
Dettagli
L'API Cloud Controls Partner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
Per saperne di più sulla Console Partner nei Controlli di sovranità dei partner, consulta la documentazione del prodotto.
Limitazioni
Questo servizio deve essere limitato per tutti i non partner. Se sei un partner che supporta i Controlli di sovranità dei partner, puoi proteggere questo servizio utilizzando un perimetro di servizio.
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
microservices.googleapis.com
Dettagli
L'API per i microservizi può essere protetta dai Controlli di servizio VPC e il prodotto può essere
utilizzato normalmente all'interno dei perimetri di servizio.
I servizi earthengine.googleapis.com e earthengine-highvolume.googleapis.com
sono in bundle. Quando limiti il servizio earthengine.googleapis.com in un perimetro, quest'ultimo limita il servizio earthengine-highvolume.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio earthengine-highvolume.googleapis.com
all'elenco dei servizi limitati in un perimetro perché è in bundle con
earthengine.googleapis.com.
L'Editor di codice di Earth Engine, un IDE basato sul web per l'API JavaScript di Earth Engine, non è supportato e Controlli di servizio VPC non consentono l'utilizzo dell'Editor di codice di Earth Engine con risorse e client all'interno di un perimetro di servizio.
Gli asset legacy non sono protetti dai Controlli di servizio VPC.
Le app Earth Engine non sono supportate per le risorse e i client all'interno di un perimetro di servizio.
Controlli di servizio VPC è disponibile solo per i piani tariffari di Earth Engine Premium e Professional. Per ulteriori informazioni sui piani tariffari, consulta la pagina relativa ai
piani di Earth Engine.
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
apphub.googleapis.com
Dettagli
App Hub consente di scoprire e organizzare le risorse dell'infrastruttura in applicazioni. Puoi utilizzare i perimetri dei Controlli di servizio VPC per proteggere le risorse App Hub.
Prima di creare un'applicazione e registrare servizi e carichi di lavoro nell'applicazione, devi configurare i Controlli di servizio VPC sui progetti host e di servizio di App Hub.
App Hub supporta i seguenti tipi di risorse:
Anteprima. L'integrazione di questo prodotto con i Controlli di servizio VPC è in anteprima ed è pronta per test e utilizzi più ampi, ma non è completamente supportata per gli ambienti di produzione.
Proteggere con i perimetri?
Sì. Puoi configurare i perimetri per proteggere questo servizio.
Nome servizio
cloudcode.googleapis.com
Dettagli
L'API Cloud Code può essere protetta dai Controlli di servizio VPC. Per utilizzare le funzionalità basate su Gemini in Cloud Code, è necessario configurare un criterio in entrata per consentire il traffico dai client IDE. Per maggiori dettagli, consulta la documentazione di
Gemini.
L'IP virtuale limitato (VIP) consente alle VM all'interno di un perimetro di servizio di effettuare chiamate ai servizi Google Cloud senza esporre le richieste a internet. Per un elenco completo dei servizi disponibili per il VIP con limitazioni, consulta Servizi supportati dal VIP con limitazioni.
Servizi non supportati
Se provi a limitare un servizio non supportato utilizzando lo strumento a riga di comando gcloud o l'API Access Context Manager, si verificherà un errore.
L'accesso tra progetti ai dati dei servizi supportati verrà bloccato dai Controlli di servizio VPC.
Inoltre, il VIP limitato può essere utilizzato per bloccare la capacità dei carichi di lavoro di chiamare servizi non supportati.
Altre limitazioni note
Questa sezione descrive le limitazioni note di alcuni servizi, prodotti e interfacce Google Cloud che possono essere incontrate quando si utilizzano i Controlli di servizio VPC.
Per le limitazioni relative ai prodotti supportati dai Controlli di servizio VPC, consulta la tabella Prodotti supportati.
Per ulteriori informazioni sulla risoluzione dei problemi relativi ai Controlli di servizio VPC, consulta la pagina Risoluzione dei problemi.
API AutoML
Quando utilizzi l'API AutoML con i Controlli di servizio VPC, si applicano le seguenti limitazioni:
Non puoi aggiungere gli endpoint regionali supportati,
ad esempio eu-automl.googleapis.com, all'elenco dei servizi limitati in un
perimetro. Quando proteggi il servizio automl.googleapis.com, il perimetro protegge anche gli endpoint a livello di regione supportati, come eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation,
AutoML Tables
e AutoML Video Intelligence
utilizzano tutti l'API AutoML.
Quando utilizzi un perimetro di servizio per proteggere automl.googleapis.com, influisce sull'accesso a tutti i prodotti AutoML integrati con i Controlli di servizio VPC e utilizzati all'interno del perimetro. Devi configurare il perimetro dei Controlli di servizio VPC per tutti i prodotti AutoML integrati che vengono utilizzati all'interno di tale perimetro.
Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:
API AutoML (automl.googleapis.com)
API Cloud Storage (storage.googleapis.com)
API Compute Engine (compute.googleapis.com)
API BigQuery (bigquery.googleapis.com)
App Engine
App Engine (ambiente standard e ambiente flessibile) non è supportato dai Controlli di servizio VPC. Non includere progetti App Engine nei perimetri di servizio.
Tuttavia, è possibile consentire alle app App Engine create nei progetti all'esterno dei perimetri di servizio di leggere e scrivere dati nei servizi protetti all'interno dei perimetri. Per consentire alla tua app di accedere ai dati dei servizi protetti, crea un livello di accesso che includa l'account di servizio App Engine del progetto. Ciò non consente l'utilizzo di App Engine all'interno dei perimetri di servizio.
Bare Metal Solution
Bare Metal Solution non supporta i Controlli di servizio VPC. La connessione di un VPC con i controlli di servizio abilitati al tuo ambiente Bare Metal Solution non garantisce il rispetto di alcuna garanzia di controllo dei servizi.
L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, i perimetri Controlli di servizio VPC non si estendono all'ambiente Bare Metal Solution nelle estensioni di regione.
Blockchain Node Engine
I Controlli di servizio VPC proteggono solo l'API Blockchain Node Engine.
Quando viene creato un nodo, devi comunque indicare che è destinato a una rete privata configurata dall'utente con Private Service Connect.
Il traffico peer-to-peer non è interessato dai Controlli di servizio VPC o da Private Service Connect e continuerà a utilizzare la rete internet pubblica.
Librerie client
Le librerie client Java e Python per tutti i servizi supportati sono completamente supportate per l'accesso tramite il VIP con restrizioni. Il supporto per altre lingue è in fase alpha e deve essere utilizzato solo a scopo di test.
I client devono utilizzare le librerie client che sono state aggiornate a partire dal 1° novembre 2018.
Le chiavi dell'account di servizio o i metadati del client OAuth2 utilizzati dai clienti devono essere aggiornati a partire dal 1° novembre 2018. I client meno recenti che utilizzano l'endpoint del token devono passare all'endpoint specificato in un materiale della chiave/metadati del client più recenti.
Cloud Billing
Puoi esportare i dati di fatturazione Cloud in un bucket Cloud Storage o in un'istanza BigQuery in un progetto protetto da un perimetro di servizio senza configurare un livello di accesso o una regola in entrata.
Cloud Deployment Manager
Deployment Manager non è supportato dai Controlli di servizio VPC.
Gli utenti potrebbero riuscire a chiamare servizi conformi ai Controlli di servizio VPC, ma non dovrebbero fare affidamento su questo servizio, che potrebbe non funzionare in futuro.
Come soluzione alternativa, puoi aggiungere l'account di servizio Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) ai livelli di accesso per consentire le chiamate alle API protette dai Controlli di servizio VPC.
Cloud Shell
Controlli di servizio VPC non supporta Cloud Shell. Controlli di servizio VPC tratta Cloud Shell come esterno ai perimetri di servizio e nega l'accesso ai dati protetti da Controlli di servizio VPC. Tuttavia, Controlli di servizio VPC consente l'accesso a Cloud Shell se un dispositivo che soddisfa i requisiti del livello di accesso del perimetro di servizio avvia Cloud Shell.
Console Google Cloud
Poiché è accessibile solo su internet, la console Google Cloud viene considerata al di fuori dei perimetri di servizio. Quando applichi un perimetro di servizio, l'interfaccia della console Google Cloud per i servizi che hai protetto potrebbe diventare parzialmente o completamente inaccessibile. Ad esempio, se hai protetto Logging con il perimetro, non potrai accedere all'interfaccia di Logging nella console Google Cloud.
Per consentire l'accesso dalla console Google Cloud alle risorse protette da un perimetro, devi creare un livello di accesso per un intervallo IP pubblico che includa le macchine degli utenti che vogliono utilizzare la console Google Cloud con API protette. Ad esempio, puoi aggiungere l'intervallo IP pubblico del gateway NAT della tua rete privata a un livello di accesso e assegnare questo livello di accesso al perimetro di servizio.
Se vuoi limitare l'accesso della console Google Cloud al perimetro solo a un insieme specifico di utenti, puoi anche aggiungere questi utenti a un livello di accesso. In questo caso, solo gli utenti specificati potranno accedere alla console Google Cloud.
Le richieste tramite la console Google Cloud da una rete con accesso privato Google abilitato, incluse le reti abilitate implicitamente da Cloud NAT, potrebbero essere bloccate anche se la rete di origine e la risorsa di destinazione richiedente si trovano nello stesso perimetro. Questo perché l'accesso alla console Google Cloud tramite l'accesso privato Google non è supportato dai Controlli di servizio VPC.
Accesso privato ai servizi
L'accesso privato ai servizi supporta il deployment di un'istanza di servizio in una rete VPC condivisa.
Se utilizzi questa configurazione con i Controlli di servizio VPC, assicurati che il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza di servizio si trovino all'interno dello stesso perimetro dei Controlli di servizio VPC. In caso contrario, le richieste potrebbero essere bloccate e le istanze di servizio
potrebbero non funzionare correttamente.
Per ulteriori informazioni sui servizi che supportano l'accesso privato ai servizi, consulta Servizi supportati.
Multi-cloud GKE
Controlli di servizio VPC si applica solo alle risorse all'interno del tuo progetto Google Cloud. L'ambiente cloud di terze parti che ospita i tuoi cluster GKE multi-cloud non garantisce alcuna garanzia di controllo dei servizi.
Google Distributed Cloud Virtual per Bare Metal
Controlli di servizio VPC si applica solo alle macchine bare metal connesse a progetti di rete VPC che utilizzano il VIP limitato.