Produits compatibles et limites (original) (raw)
Découvrir
Premiers pas
Configurer un périmètre VPC Service Controls pour un réseau de cloud privé virtuel
Créer et tester des périmètres de service
Contrôler l'accès à l'aide de périmètres de service
Autoriser l'accès aux ressources protégées depuis l'extérieur d'un périmètre
Autoriser l'accès aux ressources protégées depuis une adresse IP interne
Contrôler les accès
Activer la communication entre les périmètres de service
Configurer la connectivité privée
Configurer une connectivité privée aux API et services Google
Contrôler
Configurer et afficher le tableau de bord des cas de non-respect
Dépannage
Diagnostiquer les refus à l'aide de l'outil d'analyse des cas de non-respect
Produits compatibles et limites
Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.
Cette page contient un tableau des produits et services compatibles avec VPC Service Controls, ainsi qu'une liste des limites connues concernant certains services et certaines interfaces.
Lister tous les services compatibles
Pour obtenir la liste complète de tous les produits et services compatibles avec VPC Service Controls, exécutez la commande suivante:
gcloud access-context-manager supported-services list
Vous recevez une réponse contenant une liste de produits et de services.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS SERVICE_ADDRESS SERVICE_NAME SERVICE_STATUS RESTRICTED_VIP_STATUS LIMITATIONS_STATUS . . .
Cette réponse inclut les valeurs suivantes:
| Valeur | Description |
|---|---|
| SERVICE_ADDRESS | Nom du service du produit ou du service. Par exemple, aiplatform.googleapis.com. |
| SERVICE_NAME | Nom du produit ou du service. Par exemple, Vertex AI API. |
| SERVICE_STATUS | État de l'intégration du service à VPC Service Controls. Voici les valeurs possibles: GA: l'intégration du service est entièrement compatible avec les périmètres VPC Service Controls. PREVIEW: l'intégration du service est prête pour des tests et une utilisation plus larges, mais n'est pas entièrement compatible avec les environnements de production par les périmètres VPC Service Controls. DEPRECATED: l'intégration du service est prévue pour être arrêtée et supprimée. |
| RESTRICTED_VIP_STATUS | Indique si l'intégration du service à VPC Service Controls est compatible avec l'adresse VIP limitée. Voici les valeurs possibles: TRUE: l'intégration de service est entièrement compatible avec l'adresse IP virtuelle restreinte et peut être protégée par des périmètres VPC Service Controls. FALSE: l'intégration du service n'est pas compatible avec l'adresse IP virtuelle restreinte. Pour obtenir la liste complète des services disponibles sur une adresse IP virtuelle restreinte, consultez la section Services compatibles avec l'adresse IP virtuelle restreinte. |
| LIMITATIONS_STATUS | Indique si l'intégration du service à VPC Service Controls présente des limites. Voici les valeurs possibles: TRUE: l'intégration du service avec VPC Service Controls présente des limites connues. Pour en savoir plus sur ces limites, consultez l'entrée correspondante du service dans le tableau Produits compatibles. FALSE: l'intégration du service à VPC Service Controls n'a pas de limites connues. |
Lister les méthodes compatibles pour un service
Pour récupérer la liste des méthodes et autorisations compatibles avec VPC Service Controls pour un service, exécutez la commande suivante:
gcloud access-context-manager supported-services describe SERVICE_ADDRESS
Remplacez SERVICE_ADDRESS par le nom du service du produit ou du service. Exemple :aiplatform.googleapis.com
Vous recevez une réponse contenant une liste de méthodes et d'autorisations.
availableOnRestrictedVip: RESTRICTED_VIP_STATUS knownLimitations: LIMITATIONS_STATUS name: SERVICE_ADDRESS serviceSupportStage: SERVICE_STATUS supportedMethods: METHODS_LIST . . . title: SERVICE_NAME
Dans cette réponse, METHODS_LIST liste toutes les méthodes et autorisations compatibles avec VPC Service Controls pour le service spécifié. Pour obtenir la liste complète de toutes les méthodes et autorisations de service compatibles, consultez la section Méthodes de service compatibles avec les restrictions.
Pour en savoir plus sur les méthodes de service que VPC Service Controls ne peut pas contrôler, consultez la section Exceptions de méthode de service.
VPC Service Controls est compatible avec les produits suivants :
| Produits compatibles | Description |
|---|---|
| Infrastructure Manager | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service config.googleapis.com Détails Pour en savoir plus sur Infrastructure Manager, consultez la documentation du produit. Limites Pour utiliser Infrastructure Manager dans un périmètre: Vous devez utiliser un pool privé Cloud Build pour le pool de nœuds de calcul utilisé par Infrastructure Manager. Les appels Internet publics doivent être activés pour ce pool privé afin de télécharger les fournisseurs Terraform et la configuration Terraform. Vous ne pouvez pas utiliser le pool de nœuds de calcul Cloud Build par défaut. Les éléments suivants doivent se trouver dans le même périmètre : Compte de service utilisé par Infrastructure Manager. Pool de nœuds de calcul Cloud Build utilisé par Infrastructure Manager. Bucket de stockage utilisé par Infrastructure Manager. Vous pouvez utiliser le bucket de stockage par défaut. |
| Gestionnaire de charges de travail | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service workloadmanager.googleapis.com Détails Pour utiliser Workload Manager dans un périmètre VPC Service Controls: Vous devez utiliser un pool de nœuds de calcul privé Cloud Build pour votre environnement de déploiement dans Workload Manager. Vous ne pouvez pas utiliser le pool de nœuds de calcul Cloud Build par défaut. Les appels Internet publics doivent être activés dans le pool privé Cloud Build pour télécharger la configuration Terraform. Pour en savoir plus, consultez la section Utiliser un pool de nœuds de calcul privé Cloud Build dans la documentation du gestionnaire de charges de travail. Pour en savoir plus sur Workload Manager, consultez la documentation du produit. Limites Vous devez vous assurer que les ressources suivantes se trouvent dans le même périmètre de service VPC Service Controls: Compte de service Workload Manager Pool privé de nœuds de calcul Cloud Build Bucket Cloud Storage utilisé par Workload Manager pour le déploiement. |
| Google Cloud NetApp Volumes | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service netapp.googleapis.com Détails L'API pour Google Cloud NetApp Volumes peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Google Cloud NetApp Volumes, consultez la documentation du produit. Limites VPC Service Controls ne couvre pas les chemins de données tels que les lectures et écritures NFS (Network File System) et SMB (Server Message Block). De plus, si vos projets hôte et de service sont configurés dans des périmètres différents, vous pouvez rencontrer une interruption de l'implémentation des services Google Cloud . |
| Google Cloud Search | État GA Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudsearch.googleapis.com Détails Google Cloud Search est compatible avec les contrôles de sécurité du cloud privé virtuel (VPC Service Controls) pour améliorer la sécurité de vos données. VPC Service Controls vous permet de définir un périmètre de sécurité autour des ressources Google Cloud Platform afin de contenir les données et de limiter les risques d'exfiltration de données. Pour en savoir plus sur Google Cloud Search, consultez la documentation du produit. Limites Les ressources Cloud Search n'étant pas stockées dans un Google Cloud projet, vous devez mettre à jour les paramètres client Cloud Search avec le projet protégé par périmètre VPC. Le projet VPC sert de conteneur de projet virtuel pour toutes vos ressources Cloud Search. Sans ce mappage, VPC Service Controls ne fonctionnera pas pour l'API Cloud Search. Pour connaître la procédure complète d'activation de VPC Service Controls avec Google Cloud Search, consultez la page Renforcer la sécurité pour Google Cloud Search. |
| Tests de connectivité | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service networkmanagement.googleapis.com Détail L'API pour les tests de connectivité peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les tests de connectivité, consultez la documentation du produit. Limites L'intégration des tests de connectivité à VPC Service Controls ne présente aucune limitation connue. |
| AI Platform Prediction | État Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service ml.googleapis.com Détail VPC Service Controls est compatible avec la prédiction en ligne, mais pas la prédiction par lot. Pour plus d'informations sur AI Platform Prediction, consultez la documentation du produit. Limites Pour assurer une protection complète d'AI Platform Prediction, ajoutez toutes les API suivantes au périmètre de service : API AI Platform Training and Prediction (ml.googleapis.com) API Pub/Sub (pubsub.googleapis.com) API Cloud Storage (storage.googleapis.com) API Google Kubernetes Engine (container.googleapis.com) API Container Registry (containerregistry.googleapis.com) API Cloud Logging (logging.googleapis.com) Découvrez comment configurer VPC Service Controls pour AI Platform Prediction. La prédiction par lot n'est pas disponible lorsque vous utilisez AI Platform Prediction dans un périmètre de service. AI Platform Prediction et AI Platform Training utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Training. |
| AI Platform Training | État Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service ml.googleapis.com Détail L'API pour AI Platform Training peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur AI Platform Training, consultez la documentation du produit. Limites Pour assurer une protection complète de vos tâches d'entraînement AI Platform Training, ajoutez toutes les API suivantes au périmètre de service : API AI Platform Training and Prediction (ml.googleapis.com) API Pub/Sub (pubsub.googleapis.com) API Cloud Storage (storage.googleapis.com) API Google Kubernetes Engine (container.googleapis.com) API Container Registry (containerregistry.googleapis.com) API Cloud Logging (logging.googleapis.com) Découvrez comment configurer VPC Service Controls pour AI Platform Training. L'entraînement à l'aide de TPU n'est pas disponible lorsque vous utilisez AI Platform Training dans un périmètre de service. AI Platform Training et AI Platform Prediction utilisent tous deux l'API AI Platform Training and Prediction. Vous devez donc configurer VPC Service Controls pour les deux produits. Découvrez comment configurer VPC Service Controls pour AI Platform Prediction. |
| AlloyDB pour PostgreSQL | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service alloydb.googleapis.com Détail Les périmètres VPC Service Controls protègent l'API AlloyDB. Pour en savoir plus sur AlloyDB pour PostgreSQL, consultez la documentation du produit. Limites Les périmètres de service ne protègent que l'API AlloyDB pour PostgreSQL Admin. Ils ne protègent pas l'accès aux données basées sur une adresse IP sur les bases de données sous-jacentes (telles que les instances AlloyDB pour PostgreSQL). Pour limiter l'accès des adresses IP publiques aux instances AlloyDB pour PostgreSQL, utilisez une contrainte de règle d'administration. Avant de configurer VPC Service Controls pour AlloyDB pour PostgreSQL, activez l'API Service Networking. Lorsque vous utilisez AlloyDB pour PostgreSQL avec un VPC partagé et VPC Service Controls, le projet hôte et le projet de service doivent se trouver dans le même périmètre de service VPC Service Controls. |
| Vertex AI Workbench | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service notebooks.googleapis.com Détail L'API pour Vertex AI Workbench peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Vertex AI Workbench, consultez la documentation du produit. Limites Pour en savoir plus sur les limites, consultez la documentation Vertex AI Workbench sur les périmètres de service pour les instances Vertex AI Workbench, les périmètres de service pour les notebooks gérés par l'utilisateur et les périmètres de service pour les notebooks gérés. |
| Vertex AI | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service aiplatform.googleapis.com Détails L'API pour Vertex AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Consultez Colab Enterprise. Pour en savoir plus sur Vertex AI, consultez la documentation du produit. Limites Pour en savoir plus sur les limites, consultez la section Limites de la documentation sur Vertex AI. |
| Vertex AI Vision | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service visionai.googleapis.com Détails L'API pour Vertex AI Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Vertex AI Vision, consultez la documentation du produit. Limites Lorsque constraints/visionai.disablePublicEndpoint est activé, nous désactivons le point de terminaison public du cluster. Les utilisateurs doivent se connecter manuellement à la cible PSC et accéder au service à partir du réseau privé. Vous pouvez obtenir la cible PSC à partir de la ressource cluster. |
| Vertex AI in Firebase | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service firebasevertexai.googleapis.com Détails L'API pour Vertex AI dans Firebase peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Vertex AI in Firebase, consultez la documentation du produit. Limites L'API Vertex AI dans Firebase met en proxy le trafic vers l'API Vertex AI (aiplatform.googleapis.com). Assurez-vous que aiplatform.googleapis.com est également ajouté à la liste des services restreints dans le périmètre de service. Toutes les limites connues de l'API Vertex AI s'appliquent à l'API Vertex AI in Firebase. Le trafic vers Vertex AI dans l'API Firebase doit provenir d'un client mobile ou d'un navigateur, qui se trouve toujours en dehors du périmètre de service. Vous devez donc configurer une règle d'entrée explicite. Si vous devez vous connecter à l'API Vertex AI uniquement depuis le périmètre du service, envisagez d'utiliser l'API Vertex AI directement ou via l'un des SDK serveur, Firebase Genkit ou l'un des autres services disponibles pour accéder à l'API Vertex AI côté serveur. |
| Colab Enterprise | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service aiplatform.googleapis.com Détails L'API pour Colab Enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Colab Enterprise fait partie de Vertex AI. Voir Vertex AI. Colab Enterprise utilise Dataform pour stocker les notebooks. Consultez Dataform. Pour en savoir plus sur Colab Enterprise, consultez la documentation du produit. Limites Pour en savoir plus sur les limites, consultez la section Limites connues dans la documentation Colab Enterprise. |
| Apigee et Apigee hybride | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service apigee.googleapis.com,apigeeconnect.googleapis.com Détail L'API pour Apigee et Apigee hybride peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Apigee et Apigee hybride, consultez la documentation du produit. Limites Les intégrations d'Apigee à VPC Service Controls présentent les limites suivantes : Les portails intégrés nécessitent des étapes supplémentaires de configuration. Vous devez déployer des portails Drupal dans le périmètre de service. |
| Hub d'API Apigee | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service apihub.googleapis.com Détails L'API pour le hub d'API Apigee peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur le hub d'API Apigee, consultez la documentation du produit. Limites Tous les projets d'environnement d'exécution Apigee associés à une instance de hub d'API doivent se trouver dans le même périmètre de service VPC Service Controls que le projet hôte du hub d'API. |
| Partage BigQuery | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service analyticshub.googleapis.com Détails VPC Service Controls protège les échanges de données et les listes. Pour protéger les ensembles de données partagés et associés à l'aide d'un périmètre de service, utilisez l'API BigQuery. Pour en savoir plus, consultez la page Partager les règles VPC Service Controls. Pour en savoir plus sur le partage BigQuery, consultez la documentation du produit. Limites Le partage BigQuery n'est pas compatible avec les règles basées sur les méthodes. Vous devez autoriser toutes les méthodes. Pour en savoir plus, consultez les limites de partage des règles VPC Service Controls. |
| Cloud Service Mesh | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service meshca.googleapis.com,meshconfig.googleapis.com,trafficdirector.googleapis.com,networkservices.googleapis.com,networksecurity.googleapis.com Détails L'API pour Cloud Service Mesh peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.Vous pouvez utiliser mesh.googleapis.com pour activer les API requises pour Cloud Service Mesh. Vous n'avez pas besoin de restreindre mesh.googleapis.com dans votre périmètre, car il n'expose aucune API. Découvrez comment configurer VPC Service Controls pour Cloud Service Mesh (géré). Découvrez comment ajouter des services Cloud Service Mesh aux périmètres de service. Pour en savoir plus sur Cloud Service Mesh, consultez la documentation du produit. Limites L'intégration de Cloud Service Mesh avec VPC Service Controls n'a pas de limites connues. |
| Artifact Registry | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service artifactregistry.googleapis.com Détail En plus de protéger l'API Artifact Registry, Artifact Registry peut être utilisé dans les périmètres de service avec GKE et Compute Engine. Pour plus d'informations sur Artifact Registry, reportez-vous à la documentation du produit. Limites Étant donné qu'Artifact Registry utilise le domaine pkg.dev, vous devez configurer le DNS pour que *.pkg.dev puisse être mappé à private.googleapis.com ou restricted.googleapis.com. Pour en savoir plus, consultez la page Sécuriser les dépôts dans un périmètre de service. Outre les artefacts situés à l'intérieur d'un périmètre qui sont accessibles par Artifact Registry, les dépôts Container Registry ci-après, en lecture seule, sont disponibles pour tous les projets, quel que soit leur périmètre de service: gcr.io/anthos-baremetal-release gcr.io/asci-toolchain gcr.io/cloud-airflow-releaser gcr.io/cloud-builders gcr.io/cloud-dataflow gcr.io/cloud-ingest gcr.io/cloud-marketplace gcr.io/cloud-ssa gcr.io/cloudsql-docker gcr.io/config-management-release gcr.io/deeplearning-platform-release gcr.io/foundry-dev gcr.io/fn-img gcr.io/gae-runtimes gcr.io/serverless-runtimes gcr.io/gke-node-images gcr.io/gke-release gcr.io/gkeconnect gcr.io/google-containers gcr.io/kubeflow gcr.io/kubeflow-images-public gcr.io/kubernetes-helm gcr.io/istio-release gcr.io/ml-pipeline gcr.io/projectcalico-org gcr.io/rbe-containers gcr.io/rbe-windows-test-images gcr.io/speckle-umbrella gcr.io/stackdriver-agents gcr.io/tensorflow gcr.io/vertex-ai gcr.io/vertex-ai-restricted gke.gcr.io k8s.gcr.io Dans tous les cas, les versions régionales de ces dépôts sont également disponibles. |
| Assured Workloads | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service assuredworkloads.googleapis.com Détail L'API pour Assured Workloads peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Assured Workloads, consultez la documentation du produit. Limites L'intégration d'Assured Workloads avec VPC Service Controls ne fait l'objet d'aucune limitation connue. |
| AutoML Translation | État Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service automl.googleapis.com,eu-automl.googleapis.com Détail Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre : API AutoML (automl.googleapis.com) API Cloud Storage (storage.googleapis.com) API Compute Engine (compute.googleapis.com) API BigQuery (bigquery.googleapis.com) Pour plus d'informations sur AutoML Translation, consultez la documentation du produit. Limites Tous les produits AutoML intégrés à VPC Service Controls utilisent le même nom de service. Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que eu-automl.googleapis.com, à la liste des services restreints d'un périmètre. Lorsque vous protégez le service automl.googleapis.com, le périmètre protège les points de terminaison régionaux disponibles, tels que eu-automl.googleapis.com. Pour en savoir plus, consultez les limites d'utilisation des produits AutoML avec VPC Service Controls. |
| Solution Bare Metal | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Non.L'API de la solution Bare Metal ne peut pas être protégée par des périmètres de service. Toutefois, la solution Bare Metal peut être utilisée normalement dans les projets situés au sein d'un périmètre. Détails L'API de la solution Bare Metal peut être ajoutée à un périmètre sécurisé. Toutefois, les périmètres VPC Service Controls ne s'étendent pas à l'environnement de la solution Bare Metal dans les extensions régionales. Pour en savoir plus sur la solution Bare Metal, consultez la documentation du produit. Limites Connecter VPC Service Controls à votre environnement de solution Bare Metal ne garantit aucunement le contrôle des services.Pour en savoir plus sur les limites de la solution Bare Metal concernant VPC Service Controls, consultez la section Problèmes et limites connus. |
| Batch | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service batch.googleapis.com Détails L'API Batch peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Batch, reportez-vous à la documentation du produit. Limites Pour protéger entièrement Batch, vous devez inclure les API suivantes dans votre périmètre : API Batch (batch.googleapis.com) API Cloud Logging (logging.googleapis.com) API Cloud Storage (storage.googleapis.com) API Container Registry (containerregistry.googleapis.com) API Artifact Registry (artifactregistry.googleapis.com) API Filestore (file.googleapis.com) |
| BigLake Metastore | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service biglake.googleapis.com Détails L'API pour BigLake Metastore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur BigLake Metastore, consultez la documentation du produit. Limites L'intégration de BigLake Metastore avec VPC Service Controls n'a pas de limites connues. |
| BigQuery | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service bigquery.googleapis.com Détails Lorsque vous protégez l'API BigQuery à l'aide d'un périmètre de service, l'API BigQuery Storage, l'API BigQuery Reservations et l'API BigQuery Connection sont également protégées. Vous n'avez pas besoin d'ajouter séparément ces API à la liste des services protégés de votre périmètre. Pour plus d'informations sur BigQuery, reportez-vous à la documentation du produit. Limites Les enregistrements de journal d'audit BigQuery n'incluent pas toujours la totalité des ressources utilisées lors de l'envoi de la requête, car le service traite en interne l'accès à plusieurs ressources. Lorsque vous accédez à une instance BigQuery protégée par un périmètre de service, la tâche BigQuery doit être exécutée dans un projet à l'intérieur du périmètre ou dans un projet autorisé par une règle de sortie du périmètre. Par défaut, les bibliothèques clientes BigQuery exécutent des tâches dans le compte de service ou le projet de l'utilisateur, ce qui entraîne le rejet de la requête par VPC Service Controls. BigQuery bloque l'enregistrement des résultats de requête dans Google Drive à partir du périmètre protégé par VPC Service Controls. Si vous accordez l'accès à l'aide d'une règle d'entrée avec des comptes utilisateur comme type d'identité, vous ne pouvez pas afficher l'utilisation des ressources BigQuery ni l'explorateur de jobs d'administration sur la page Monitoring (Surveillance). Pour utiliser ces fonctionnalités, configurez une règle d'entrée qui utilise ANY_IDENTITY comme type d'identité. Si vous accordez aux utilisateurs BigQuery l'accès aux données à l'aide d'une règle d'entrée, ils peuvent utiliser la console Google Cloud pour interroger et enregistrer les résultats dans un fichier local. VPC Service Controls n'est compatible qu'avec les analyses effectuées via BigQuery Enterprise, Enterprise Plus ou On-Demand. L'API BigQuery Reservations est partiellement compatible. L' API BigQuery Reservations, qui crée la ressource d'attribution, n'applique pas les restrictions de périmètre de service aux personnes auxquelles l'attribution est attribuée. La préparation des données BigQuery utilise Dataform, qui présente des exigences de contrôle des accès supplémentaires. Consultez Dataform. |
| API BigQuery DataPolicy | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service bigquerydatapolicy.googleapis.com Détails L'API BigQuery Data Policy peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API BigQuery Data Policy, consultez la documentation du produit. Limites L'intégration de l'API BigQuery Data Policy avec VPC Service Controls n'a pas de limites connues. |
| Service de transfert de données BigQuery | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service bigquerydatatransfer.googleapis.com Détail Le périmètre de service ne protège que l'API du service de transfert de données BigQuery. La protection réelle des données est appliquée par BigQuery. Elle est conçue pour permettre l'importation de données provenant de différentes sources externes en dehors de Google Cloud, telles qu'Amazon S3, Redshift, Teradata, YouTube, Google Play et Google Ads, dans des ensembles de données BigQuery. Pour en savoir plus sur les exigences de VPC Service Controls concernant la migration de données depuis Teradata, consultez la page Exigences relatives à VPC Service Controls. Pour plus d'informations sur le service de transfert de données BigQuery, reportez-vous à la documentation du produit. Limites Le service de transfert de données BigQuery ne permet pas d'exporter des données en dehors d'un ensemble de données BigQuery. Pour en savoir plus, consultez la page Exporter des données de table. Pour transférer des données entre projets, le projet de destination doit se trouver dans le même périmètre que le projet source, ou une règle de sortie doit autoriser le transfert de données en dehors du périmètre. Pour en savoir plus sur la configuration des règles de sortie, consultez la section Limites de la fonctionnalité Gérer les ensembles de données BigQuery. Les cas de non-respect des entrées et des sorties pour les tâches BigQuery lancées par des exécutions de transfert hors connexion récurrentes du service de transfert de données BigQuery ne contiennent pas d'informations sur le contexte utilisateur, telles que l'adresse IP de l'appelant et l'appareil. Le service de transfert de données BigQuery ne permet de transférer des données que dans des projets protégés par un périmètre de service à l'aide de l'un des connecteurs listés dans la section Sources de données compatibles. Le service de transfert de données BigQuery n'est pas compatible avec le transfert de données dans des projets protégés par un périmètre de service à l'aide d'un connecteur fourni par d'autres partenaires tiers. |
| API BigQuery Migration | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service bigquerymigration.googleapis.com Détails L'API BigQuery Migration peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API BigQuery Migration, consultez la documentation du produit. Limites L'intégration de l'API BigQuery Migration avec VPC Service Controls n'a pas de limites connues. |
| Bigtable | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service bigtable.googleapis.com,bigtableadmin.googleapis.com Détail Les services bigtable.googleapis.com et bigtableadmin.googleapis.com sont liés. Lorsque vous limitez le service bigtable.googleapis.com dans un périmètre, le périmètre limite le service bigtableadmin.googleapis.com par défaut. Vous ne pouvez pas ajouter le service bigtableadmin.googleapis.com à la liste des services limités dans un périmètre, car il est lié à bigtable.googleapis.com. Pour en savoir plus sur Bigtable, consultez la documentation produit. Limites L'intégration de Bigtable avec VPC Service Controls n'a pas de limites connues. |
| Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service binaryauthorization.googleapis.com Détail Lorsque vous utilisez plusieurs projets avec l'autorisation binaire, vous devez inclure chaque projet dans le périmètre VPC Service Controls. Pour en savoir plus sur ce cas d'utilisation, consultez la page Configuration multiprojets. Avec l'autorisation binaire, vous pouvez utiliser Artifact Analysis pour stocker respectivement les certificateurs et les attestations sous forme de notes et d'occurrences. Dans ce cas, vous devez également inclure Artifact Analysis dans le périmètre VPC Service Controls. Pour en savoir plus, consultez les conseils sur l'utilisation de VPC Service Controls avec Artifact Analysis. Pour en savoir plus sur l'autorisation binaire, consultez la documentation du produit. Limites L'intégration de l'autorisation binaire avec VPC Service Controls ne fait l'objet d'aucune limitation connue. | |
| Blockchain Node Engine | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service blockchainnodeengine.googleapis.com Détails L'API pour Blockchain Node Engine peut être protégée par VPC Service Controls et utilisée normalement dans les périmètres de service. Pour en savoir plus sur Blockchain Node Engine, consultez la documentation du produit. Limites Les intégrations de Blockchain Node Engine à VPC Service Controls présentent les limites suivantes: VPC Service Controls ne protège que l'API Blockchain Node Engine. Lorsqu'un nœud est créé, vous devez toujours indiquer qu'il est destiné à un réseau privé configuré par l'utilisateur avec Private Service Connect. Le trafic peer-to-peer n'est pas affecté par VPC Service Controls ni par Private Service Connect, et continuera d'utiliser l'Internet public. |
| Certificate Authority Service | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service privateca.googleapis.com Détail L'API pour Certificate Authority Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Certificate Authority Service, consultez la documentation sur le produit. Limites Pour utiliser Certificate Authority Service dans un environnement protégé, vous devez également ajouter l'API Cloud KMS (cloudkms.googleapis.com) et l'API Cloud Storage (storage.googleapis.com) à votre périmètre de service. |
| Config Controller | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service krmapihosting.googleapis.com Détails Pour utiliser Config Controller avec VPC Service Controls, vous devez activer les API suivantes dans votre périmètre : API Cloud Monitoring (monitoring.googleapis.com) API Container Registry (containerregistry.googleapis.com) API Google Cloud Observability (logging.googleapis.com) API Security Token Service (sts.googleapis.com) API Cloud Storage (storage.googleapis.com) Si vous provisionnez des ressources à l'aide de Config Controller, vous devez activer l'API pour ces ressources dans votre périmètre de service. Par exemple, si vous souhaitez ajouter un compte de service IAM, vous devez ajouter l'API IAM (iam.googleapis.com). Pour plus d'informations sur Config Controller, reportez-vous à la documentation du produit. Limites L'intégration de Config Controller avec VPC Service Controls n'a pas de limites connues. |
| Data Catalog | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service datacatalog.googleapis.com Détails Data Catalog respecte automatiquement les périmètres autour des autres services Google Cloud .Pour plus d'informations sur Data Catalog, reportez-vous à la documentation du produit. Limites L'intégration de Data Catalog à VPC Service Controls ne présente aucune limitation connue. |
| Cloud Data Fusion | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service datafusion.googleapis.com Détail Pour protéger Cloud Data Fusion à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale. Pour plus d'informations sur Cloud Data Fusion, consultez la documentation du produit. Limites Établissez le périmètre de sécurité VPC Service Controls avant de créer votre instance privée Cloud Data Fusion. La protection périmétrique des instances créées avant la configuration de VPC Service Controls n'est pas disponible. Actuellement, l'interface utilisateur du plan de données Cloud Data Fusion ne permet pas le contrôle d'accès basé sur l'identité à l'aide de règles d'entrée ou de niveaux d'accès. |
| API Data Lineage | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service datalineage.googleapis.com Détails L'API pour l'API Data Lineage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API Data Lineage, consultez la documentation produit. Limites L'intégration de l'API Data Lineage avec VPC Service Controls n'a pas de limites connues. |
| Compute Engine | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service compute.googleapis.com Détail La compatibilité de VPC Service Controls avec Compute Engine offre les avantages suivants en termes de sécurité : Limite l'accès aux opérations d'API sensibles Limite les instantanés de disque persistant et les images personnalisées à un périmètre Limite l'accès aux métadonnées d'instance La compatibilité de VPC Service Controls avec Compute Engine vous permet également d'utiliser des réseaux cloud privés virtuels et des clusters privés Google Kubernetes Engine au sein des périmètres de service. Pour plus d'informations sur Compute Engine, reportez-vous à la documentation du produit. Limites Les pare-feu hiérarchiques ne sont pas affectés par les périmètres de service. Les opérations d'appairage de VPC n'appliquent pas les restrictions liées au périmètre de service VPC. La méthode API projects.ListXpnHosts pour le VPC partagé n'applique pas les restrictions du périmètre de service aux projets renvoyés. Pour qu'une image Compute Engine puisse être créée dans un projet Cloud Storage protégé par un périmètre de service, l'utilisateur qui crée l'image doit être ajouté temporairement à une règle d'entrée du périmètre. VPC Service Controls ne permet pas l'utilisation de la version Open Source de Kubernetes sur les VM Compute Engine dans un périmètre de service. Le protocole SSH dans le navigateur n'est pas compatible avec le périmètre. Utilisez plutôt gcloud CLI. Pour en savoir plus, consultez Se connecter à des VM Linux ou Se connecter à une console série, en fonction de votre cas d'utilisation. La console série interactive n'est pas compatible avec l'adresse IP virtuelle restreinte. Si vous devez résoudre des problèmes liés à votre instance à l'aide de la console série, configurez votre résolution DNS sur site pour envoyer vos commandes à ssh-serialport.googleapis.com via Internet. |
| Conversational Insights | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service contactcenterinsights.googleapis.com Détails Pour utiliser Conversational Insights avec VPC Service Controls, vous devez disposer des API supplémentaires suivantes dans votre périmètre, en fonction de votre intégration. Pour charger des données dans Conversational Insights, ajoutez l'API Cloud Storage à votre périmètre de service. Pour utiliser l'exportation, ajoutez l'API BigQuery à votre périmètre de service. Pour intégrer plusieurs produits CCAI, ajoutez l'API Vertex AI à votre périmètre de service. Pour en savoir plus sur Conversational Insights, consultez la documentation du produit. Limites L'intégration de Conversational Insights à VPC Service Controls n'a pas de limites connues. |
| Dataflow | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dataflow.googleapis.com Détail Dataflow est compatible avec un certain nombre de connecteurs de service de stockage. Les connecteurs suivants ont été validés pour fonctionner avec Dataflow dans un périmètre de service : Cloud Storage (Java,Python) BigQuery (Java, Python) Pub/Sub (Java,Python) Bigtable (Java) Spanner (Java) Pour plus d'informations sur Dataflow, reportez-vous à la documentation du produit. Limites Les configurations BIND personnalisées ne sont pas compatibles avec Dataflow. Pour personnaliser la résolution DNS lors de l'utilisation de Dataflow avec VPC Service Controls, exploitez des zones privées Cloud DNS au lieu d'utiliser des serveurs BIND personnalisés. Pour utiliser votre propre résolution DNS sur site, envisagez d'employer uneGoogle Cloud méthode de transfert DNS. L'autoscaling vertical ne peut pas être protégé par un périmètre VPC Service Controls. Pour utiliser l'autoscaling vertical dans un périmètre VPC Service Controls, vous devez désactiver la fonctionnalité Services accessibles par VPC. Si vous activez Dataflow Prime et que vous lancez un nouveau job dans un périmètre VPC Service Controls, le job utilise Dataflow Prime sans autoscaling vertical. Les connecteurs de service de stockage n'ont pas tous été validés pour fonctionner avec l'utilisation de Cloud Dataflow dans un périmètre de service. Pour obtenir la liste des connecteurs validés, consultez la section "Détails" de la section précédente. Lorsque vous utilisez Python 3.5 avec le SDK Apache Beam 2.20.0–2.22.0, les tâches Dataflow échouent au démarrage si les nœuds de calcul ne disposent que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources. Si les nœuds de calcul Dataflow ne peuvent disposer que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources, n'utilisez pas Python 3.5 avec le SDK Apache Beam 2.20.0‐2.22.0. Cette combinaison entraîne l'échec des tâches au démarrage. |
| Dataplex | État GA Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dataplex.googleapis.com Détails L'API pour Dataplex peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Dataplex, consultez la documentation du produit. Limites Avant de créer vos ressources Dataplex, configurez le périmètre de sécurité VPC Service Controls. Sinon, vos ressources ne sont pas protégées par un périmètre. Dataplex est compatible avec les types de ressources suivants: Lac Analyse du profil de données Analyse de la qualité des données |
| Dataproc | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dataproc.googleapis.com Détails Pour protéger Dataproc à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale. Pour plus d'informations sur Dataproc, reportez-vous à la documentation du produit. Limites Pour protéger un cluster Dataproc avec un périmètre de service, suivez les instructions sur les réseaux Dataproc et VPC Service Controls. |
| Dataproc sans serveur pour Spark | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dataproc.googleapis.com Détails Pour protéger Dataproc sans serveur à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale. Pour en savoir plus sur Dataproc sans serveur pour Spark, consultez la documentation du produit. Limites Pour protéger votre charge de travail sans serveur avec un périmètre de service, suivez les instructions sur les réseaux Dataproc sans serveur et VPC Service Controls. |
| Dataproc Metastore | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service metastore.googleapis.com Détail L'API pour Dataproc Metastore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Dataproc Metastore, consultez la documentation du produit. Limites L'intégration de Dataproc Metastore avec VPC Service Controls n'a pas de limites connues. |
| Datastream | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service datastream.googleapis.com Détail L'API pour Datastream peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Datastream, consultez la documentation du produit. Limites L'intégration de DataStream avec VPC Service Controls n'a pas de limites connues. |
| Database Center | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service databasecenter.googleapis.com Détails L'API pour Database Center peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Database Center, consultez la documentation du produit. Limites VPC Service Controls ne permet pas d'accéder aux ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Cloud Asset au niveau du projet. Vous pouvez spécifier une règle de sortie pour autoriser l'accès aux ressources de l'API Cloud Asset au niveau du projet à partir des projets situés à l'intérieur du périmètre. Pour gérer les autorisations Database Center au niveau des dossiers ou de l'organisation, nous vous recommandons d'utiliser IAM. |
| API Database Insights | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service databaseinsights.googleapis.com Détails L'API pour l'API Database Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API Database Insights, consultez la documentation du produit. Limites L'intégration de l'API Database Insights avec VPC Service Controls n'a pas de limites connues. |
| Database Migration Service | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service datamigration.googleapis.com Détail L'API pour Database Migration Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Database Migration Service, consultez la documentation du produit. Limites Les périmètres de service ne protègent que l'API Database Migration Service Admin. Ils ne protègent pas l'accès aux données basées sur une adresse IP sur les bases de données sous-jacentes (telles que les instances Cloud SQL). Pour limiter l'accès des adresses IP publiques aux instances Cloud SQL, utilisez une contrainte de règle d'administration. Lorsque vous utilisez un fichier Cloud Storage lors de la phase initiale de vidage de la migration, ajoutez le bucket Cloud Storage au même périmètre de service. Lorsque vous utilisez une clé de chiffrement gérée par le client (CMEK) dans la base de données de destination, assurez-vous que la clé CMEK se trouve dans le même périmètre de service que le profil de connexion qui contient la clé. |
| Dialogflow | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dialogflow.googleapis.com Détail L'API pour Dialogflowl peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Dialogflow, reportez-vous à la documentation du produit. Limites Consultez les limites de Dialogflow ES. Consultez la section Limites de Dialogflow CX. |
| Agent Assist | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dialogflow.googleapis.com Détails L'API pour Agent Assist peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Agent Assist, consultez la documentation du produit. Limites |
| Sensitive Data Protection | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dlp.googleapis.com Détails L'API pour la protection des données sensibles peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Sensitive Data Protection, consultez la documentation du produit. Limites Comme VPC Service Controls n'est actuellement pas compatible avec les ressources de dossier et d'organisation, les appels de protection des données sensibles peuvent renvoyer une réponse 403 lors de la tentative d'accès aux ressources au niveau de l'organisation. Nous vous recommandons d'utiliser IAM pour gérer les autorisations Sensitive Data Protection au niveau des dossiers et de l'organisation. |
| Cloud DNS | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dns.googleapis.com Détail L'API pour Cloud DNS peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud DNS, consultez la documentation du produit. Limites Vous pouvez accéder à Cloud DNS via l'adresse IP virtuelle restreinte. Toutefois, vous ne pouvez pas créer ni mettre à jour des zones DNS publiques au sein de projets situés dans le périmètre VPC Service Controls. |
| Document AI | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service documentai.googleapis.com Détail L'API pour Document AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Document AI, consultez la documentation du produit. Limites L'intégration de Document AI à VPC Service Controls n'a pas de limites connues. |
| Document AI Warehouse | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service contentwarehouse.googleapis.com Détails L'API pour Document AI Warehouse peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Document AI Warehouse, consultez la documentation du produit. Limites L'intégration de Document AI Warehouse à VPC Service Controls n'a pas de limites connues. |
| Cloud Domains | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service domains.googleapis.com Détail L'API pour Cloud Domains peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud Domains, consultez la documentation du produit. Limites Les données de contact utilisées dans Cloud Domains peuvent être partagées avec le registre de domaines de premier niveau (TLD) et peuvent être accessibles au public pour le compte OMS/RDAP comme vos paramètres l'autorisent, conformément aux règles de l'ICANN. Pour en savoir plus, consultez la section Protection de la vie privée. Les données de configuration DNS utilisées dans Cloud Domains (serveurs de noms et paramètres DNSSEC) sont publiques. Si votre domaine délègue à une zone DNS publique, ce qui est le réglage par défaut, les données de configuration DNS de cette zone sont également publiques. |
| Eventarc Advanced | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service eventarc.googleapis.com Détails Un bus Eventarc Advanced situé en dehors d'un périmètre de service ne peut pas recevoir d'événements provenant de Google Cloud projets situés à l'intérieur du périmètre. Un bus Eventarc Advanced à l'intérieur d'un périmètre ne peut pas acheminer d'événements vers un consommateur en dehors du périmètre. Pour publier sur un bus Eventarc Advanced, la source d'un événement doit se trouver dans le même périmètre de service que le bus. Pour consommer un message, un consommateur d'événements doit se trouver dans le même périmètre de service que le bus. Pour en savoir plus sur Eventarc Advanced, consultez la documentation du produit. Limites Dans les projets protégés par un périmètre de service, la limite suivante s'applique:Vous ne pouvez pas créer de pipeline Eventarc Advanced dans un périmètre de service. Vous pouvez vérifier la compatibilité de VPC Service Controls avec les ressources MessageBus, GoogleApiSource et Enrollment en consultant les journaux de la plate-forme sur l'entrée. Toutefois, vous ne pouvez pas tester la sortie VPC Service Controls. Si l'une de ces ressources se trouve dans un périmètre de service, vous ne pouvez pas configurer Eventarc Advanced pour diffuser des événements de bout en bout dans ce périmètre. |
| Eventarc Standard | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service eventarc.googleapis.com Détails Eventarc Standard gère la diffusion d'événements à l'aide de sujets Pub/Sub et d'abonnements push. Pour accéder à l'API Pub/Sub et gérer les déclencheurs d'événements, l'API Eventarc doit être protégée dans le même périmètre de service VPC Service Controls que l'API Pub/Sub. Pour en savoir plus sur Eventarc Standard, consultez la documentation du produit. Limites Dans les projets protégés par un périmètre de service, les limites suivantes s'appliquent : Eventarc Standard est soumis aux mêmes limites que Pub/Sub : Lors du routage d'événements vers des cibles Cloud Run, vous ne pouvez pas créer de nouveaux abonnements push Pub/Sub, sauf si les points de terminaison push sont définis sur des services Cloud Run avec des URL run.app par défaut (les domaines personnalisés ne fonctionnent pas). Lorsque vous acheminez des événements vers des cibles Workflows pour lesquelles le point de terminaison push Pub/Sub est défini sur une exécution Workflows, vous ne pouvez créer que des abonnements push Pub/Sub via Eventarc Standard. Dans ce document, consultez les limites de Pub/Sub. VPC Service Controls bloque la création de déclencheurs Eventarc Standard pour les points de terminaison HTTP internes. La protection VPC Service Controls ne s'applique pas lors du routage d'événements vers ces destinations. |
| API Distributed Cloud Edge Network | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service edgenetwork.googleapis.com Détails L'API Distributed Cloud Edge Network API peut être protégée par VPC Service Controls et utilisée normalement dans les périmètres de service. Pour en savoir plus sur l'API Distributed Cloud Edge Network, consultez la documentation produit. Limites L'intégration de l'API Distributed Cloud Edge Network avec VPC Service Controls n'a pas de limites connues. |
| Anti Money Laundering AI | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service financialservices.googleapis.com Détails L'API pour l'IA de lutte contre le blanchiment d'argent peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'IA de lutte contre le blanchiment d'argent, consultez la documentation du produit. Limites L'intégration de l'IA de lutte contre le blanchiment d'argent avec VPC Service Controls n'a pas de limites connues. |
| Firebase App Check | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service firebaseappcheck.googleapis.com Détail Lorsque vous configurez et échangez des jetons Firebase App Check, VPC Service Controls ne protège que le service Firebase App Check. Pour protéger des services qui reposent sur Firebase App Check, vous devez configurer des périmètres de service pour ces services. Pour en savoir plus sur Firebase App Check, consultez la documentation du produit. Limites L'intégration de Firebase App Check à VPC Service Controls n'a pas de limites connues. |
| Firebase Data Connect | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service firebasedataconnect.googleapis.com Détails Les périmètres de service ne protègent que l'API Firebase Data Connect. Ils ne protègent pas l'accès aux sources de données sous-jacentes (telles que les instances Cloud SQL). La restriction de l'accès aux instances de base de données doit être configurée séparément. Pour en savoir plus sur Firebase Data Connect, consultez la documentation du produit. Limites L'intégration de Firebase Data Connect à VPC Service Controls n'a pas de limites connues. |
| Règles de sécurité Firebase | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service firebaserules.googleapis.com Détail Lorsque vous gérez Firebase Security Rules, VPC Service Controls ne protège que le service Firebase Security Rules. Pour protéger les services qui reposent sur Firebase Security Rules, vous devez configurer des périmètres de services pour ces services. Pour plus d'informations sur les règles de sécurité Firebase, consultez la documentation du produit. Limites L'intégration des règles de sécurité Firebase avec VPC Service Controls n'a pas de limites connues. |
| Cloud Run Functions | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudfunctions.googleapis.com Détails Consultez la documentation sur Cloud Run Functions pour connaître la procédure de configuration. La protection VPC Service Controls ne s'applique pas à la phase de création lorsque des fonctions Cloud Run sont compilées à l'aide de Cloud Build. Pour plus d'informations, reportez-vous aux limites connues. Pour en savoir plus sur les fonctions Cloud Run, consultez la documentation produit. Limites Les fonctions Cloud Run créent et gèrent votre code source dans un conteneur exécutable à l'aide de Cloud Build, de Container Registry et de Cloud Storage. Si l'un de ces services est restreint par le périmètre de service, VPC Service Controls bloque la compilation de Cloud Run Functions, même si Cloud Run Functions n'a pas été ajouté au périmètre en tant que service restreint. Pour utiliser des fonctions Cloud Run dans un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Build dans votre périmètre de service. Pour permettre à vos fonctions d'utiliser des dépendances externes, telles que des packages npm, Cloud Build dispose d'un accès illimité à Internet. Cet accès Internet pourrait permettre d'exfiltrer les données disponibles au moment de la compilation, par exemple le code source que vous avez importé. Pour atténuer les risques d'exfiltration que présente ce vecteur, nous vous recommandons de n'autoriser que les développeurs approuvés à déployer des fonctions. N'accordez pas les rôles IAM Propriétaire, Éditeur ou Développeur de Cloud Run Functions à des développeurs non approuvés. Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT en tant que type d'identité pour déployer des fonctions Cloud Run à partir d'une machine locale. Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité. Lorsque les services de fonctions Cloud Run sont appelés par des déclencheurs HTTP, l'application de la stratégie VPC Service Controls n'utilise pas les informations d'authentification IAM du client. Les règles de stratégie d'entrée VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas compatibles. Les niveaux d'accès des périmètres VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas acceptés. |
| Identity and Access Management | Status Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service iam.googleapis.com Détail Lorsque vous limitez la portée d'IAM avec un périmètre, seules les actions qui utilisent l'API Cloud IAM sont limitées. Ces actions incluent la gestion des rôles IAM personnalisés, la gestion des pools d'identités de charge de travail, ainsi que la gestion des comptes de service et des clés. Le périmètre ne limite pas les actions liées aux pools d'employés, car ceux-ci sont des ressources au niveau de l'organisation. Le périmètre autour d'IAM ne limite pas la gestion des accès (c'est-à-dire, l'obtention ou la définition de stratégies IAM) pour les ressources appartenant à d'autres services, tels que des projets, des dossiers et des organisations Resource Manager ou des instances de machine virtuelle Compute Engine. Pour restreindre la gestion des accès pour ces ressources, créez un périmètre qui limite le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies IAM et des services qui les possèdent, consultez la section Types de ressources qui acceptent les stratégies IAM. En outre, le périmètre autour d'IAM ne limite pas les actions qui utilisent d'autres API, telles que les suivantes: API IAM Policy Simulator API IAM Policy Troubleshooter API Security Token Service API Service Account Credentials (y compris les anciennes méthodes signBlob et signJwt dans l'API IAM) Pour plus d'informations sur Identity and Access Management, consultez la documentation du produit. Limites Si vous vous trouvez dans le périmètre, vous ne pouvez pas appeler la méthode roles.list en spécifiant une chaîne vide pour répertorier les rôles prédéfinis IAM. Si vous devez afficher les rôles prédéfinis, consultez la documentation sur les rôles IAM. |
| API IAP Admin | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service iap.googleapis.com Détails L'API IAP Admin permet aux utilisateurs de configurer les achats intégrés. Pour en savoir plus sur l'API IAP Admin , consultez la documentation du produit. Limites L'intégration de l'API IAP Admin avec VPC Service Controls n'a pas de limites connues. |
| API Cloud KMS Inventory | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service kmsinventory.googleapis.com Détails L'API pour l'API Cloud KMS Inventory peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Cloud KMS Inventory, consultez la documentation du produit. Limites La méthode API SearchProtectedResources n'applique pas les restrictions de périmètre de service aux projets renvoyés. |
| Identifiants du compte de service | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service iamcredentials.googleapis.com Détails L'API pour les identifiants du compte de service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les identifiants du compte de service, consultez la documentation du produit. Limites L'intégration des identifiants du compte de service à VPC Service Controls n'a pas de limites connues. |
| API Service Metadata | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloud.googleapis.com Détails L'API pour l'API Service Metadata peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Service Metadata, consultez la documentation du produit. Limites L'intégration de l'API Service Metadata avec VPC Service Controls n'a pas de limites connues. |
| Service Networking | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Non.L'API pour Service Networking ne peut pas être protégée par des périmètres de service. Toutefois, Service Networking peut être utilisé normalement dans les projets situés au sein d'un périmètre. Détails Si vous utilisez l'accès aux services privés, nous vous recommandons d'activer VPC Service Controls pour la connexion Service Networking.Lorsque vous activez VPC Service Controls, les producteurs de services ne peuvent accéder qu'aux API compatibles avec VPC Service Controls via la connexion Service Networking. Vous ne pouvez activer VPC Service Controls pour Service Networking qu'avec l'API EnableVpcServiceControls. Vous ne pouvez désactiver VPC Service Controls pour Service Networking qu'avec l'API DisableVpcServiceControls. Pour plus d'informations sur Service Networking, consultez la documentation produit. Limites L'intégration de Service Networking à VPC Service Controls n'a pas de limites connues. |
| Accès au VPC sans serveur | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service vpcaccess.googleapis.com Détail L'API pour la fonctionnalité Accès au VPC sans serveur peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur la fonctionnalité Accès au VPC sans serveur, consultez la documentation du produit. Limites L'intégration de la fonctionnalité Accès au VPC sans serveur à VPC Service Controls n'a pas de limites connues. |
| Cloud Key Management Service | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudkms.googleapis.com Détail L'API Cloud KMS peut être protégée par VPC Service Controls et le produit peut être utilisé dans les périmètres de service. L'accès aux services Cloud HSM est également protégé par VPC Service Controls et peut être utilisé dans les périmètres de service. Pour plus d'informations sur Cloud Key Management Service, consultez la documentation du produit. Limites L'intégration de Cloud Key Management Service avec VPC Service Controls n'est soumise à aucune limitation connue. |
| Game Servers | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service gameservices.googleapis.com Détail L'API pour Game Servers peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Game Servers, consultez la documentation du produit. Limites L'intégration de Game Servers à VPC Service Controls ne présente aucune limitation connue. |
| Gemini Code Assist | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudaicompanion.googleapis.com Détails L'API pour Gemini Code Assist peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Cela inclut la personnalisation du code. Pour en savoir plus sur Gemini Code Assist, consultez la documentation du produit. Limites Le contrôle des accès basé sur l'appareil, l'adresse IP publique ou l'emplacement utilisés ne sont pas disponibles pour Gemini dans la console Google Cloud . |
| Identity-Aware Proxy for TCP | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service iaptunnel.googleapis.com Détail L'API pour Identity-Aware Proxy for TCP peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Identity-Aware Proxy for TCP, consultez la documentation du produit. Limites Seule l'API d'utilisation d'IAP for TCP peut être protégée par un périmètre. L'API d'administration ne peut pas être protégée par un périmètre. Pour utiliser IAP for TCP dans un périmètre de service VPC Service Controls, vous devez ajouter ou configurer des entrées DNS pour faire pointer les domaines suivants vers l'adresse IP virtuelle restreinte : tunnel.cloudproxy.app *.tunnel.cloudproxy.app |
| Cloud Life Sciences | Status Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service lifesciences.googleapis.com Détail L'API pour Cloud Life Sciences peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Life Sciences, consultez la documentation du produit. Limites L'intégration de Cloud Life Sciences à VPC Service Controls n'a pas de limites connues. |
| Service géré pour Microsoft Active Directory | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service managedidentities.googleapis.com Détail Configuration supplémentaire requise pour : l'accès sur site à l'API du service géré pour Microsoft AD ; VPC partagé Pour plus d'informations sur le service géré pour Microsoft Active Directory, consultez la documentation du produit. Limites L'intégration du service géré pour Microsoft Active Directory avec VPC Service Controls n'est soumise à aucune limitation connue. |
| reCAPTCHA | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service recaptchaenterprise.googleapis.com Détails L'API reCAPTCHA peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur reCAPTCHA, consultez la documentation du produit. Limites L'intégration de reCAPTCHA à VPC Service Controls n'a pas de limites connues. |
| Web Risk | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service webrisk.googleapis.com Détail L'API pour Web Risk peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Web Risk, consultez la documentation du produit. Limites L'API Evaluate et l'API Submission ne sont pas compatibles avec VPC Service Controls. |
| Outil de recommandation | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service recommender.googleapis.com Détail L'API pour l'outil de recommandation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'outil de recommandation, reportez-vous à la documentation du produit. Limites VPC Service Controls n'est pas compatible avec les ressources d'organisation, de dossier ou de compte de facturation. |
| Secret Manager | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service secretmanager.googleapis.com Détail L'API pour Secret Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Secret Manager, consultez la documentation du produit. Limites L'intégration de Secret Manager à VPC Service Controls ne présente aucune limitation connue. |
| Pub/Sub | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service pubsub.googleapis.com Détail La protection VPC Service Controls s'applique à toutes les opérations d'administration, aux opérations d'éditeur et aux opérations d'abonné (à l'exception des abonnements push existants). Pour plus d'informations sur Pub/Sub, consultez la documentation du produit. Limites Dans les projets protégés par un périmètre de service, les limites suivantes s'appliquent: Il est impossible de créer des abonnements push, sauf si les points de terminaison push sont définis sur des services Cloud Run avec des URL run.app par défaut ou une exécution de workflow (les domaines personnalisés ne fonctionnent pas). Pour en savoir plus sur l'intégration à Cloud Run, consultez la page Utiliser VPC Service Controls. Pour les abonnements non push, vous devez créer un abonnement dans le même périmètre que le sujet ou activer des règles de sortie pour autoriser l'accès du sujet à l'abonnement. Lorsque vous acheminez des événements via Eventarc vers des cibles Workflows pour lesquelles le point de terminaison push est défini sur une exécution Workflows, vous ne pouvez créer que des abonnements push via Eventarc. Les abonnements Pub/Sub créés avant le périmètre de service ne sont pas bloqués. |
| Pub/Sub Lite | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service pubsublite.googleapis.com Détail La protection VPC Service Controls s'applique à toutes les opérations d'abonné. Pour plus d'informations sur Pub/Sub Lite, consultez la documentation produit. Limites L'intégration de Pub/Sub Lite à VPC Service Controls n'a pas de limites connues. |
| Cloud Build | État Disponibilité générale. Cette intégration de produit est compatible avec VPC Service Controls. Pour en savoir plus, consultez les informations et les limites. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudbuild.googleapis.com Détail Utilisez VPC Service Controls avec les pools privés Cloud Build pour renforcer la sécurité de vos compilations. Pour plus d'informations sur Cloud Build, consultez la documentation produit. Limites La protection VPC Service Controls n'est disponible que pour les compilations exécutées dans des pools privés. Les déclencheurs Cloud Build Pub/Sub ne sont pas acceptés. |
| Cloud Deploy | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service clouddeploy.googleapis.com Détails L'API pour Cloud Deploy peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud Deploy, consultez la documentation du produit. Limites Pour utiliser Cloud Deploy dans un périmètre, vous devez utiliser un pool privé Cloud Build pour les environnements d'exécution de la cible. N'utilisez pas de pool de nœuds de calcul par défaut (Cloud Build) ni de pool hybride. |
| Cloud Composer | État GA Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service composer.googleapis.com Détail Configurer Composer pour une utilisation avec VPC Service Controls Pour plus d'informations sur Cloud Composer, reportez-vous à la documentation produit. Limites L'activation de la sérialisation des DAG empêche Airflow d'afficher un modèle rendu avec des fonctions dans l'interface utilisateur Web. Il n'est pas possible de définir l'option async_dagbag_loader sur True lorsque la sérialisation des DAG est activée. L'activation de la sérialisation des DAG désactive tous les plug-ins du serveur Web Airflow, car ils peuvent compromettre la sécurité du réseau VPC sur lequel Cloud Composer est déployé. Cela n'a pas d'incidence sur le comportement des plug-ins du programmeur ou des nœuds de calcul, y compris les opérateurs et les capteurs Airflow. Lorsque Cloud Composer s'exécute à l'intérieur d'un périmètre, l'accès aux dépôts PyPI publics est restreint. Pour savoir comment installer les modules PyPI en mode d'adresse IP privée, consultez la page Installer des dépendances Python dans la documentation de Cloud Composer. |
| Quotas Cloud | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudquotas.googleapis.com Détails L'API pour Cloud Quotas peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les quotas Cloud, consultez la documentation du produit. Limites Étant donné que VPC Service Controls applique des limites au niveau du projet, les requêtes Cloud Quotas provenant de clients au sein du périmètre ne peuvent accéder aux ressources de l'organisation que si l'organisation configure une règle de sortie. Lorsque vous demandez une diminution de quota, Cloud Quotas exécute un appel de service à service (S2S) à Monitoring. Cet appel S2S ne provient pas du périmètre, même si la requête de diminution le fait. Il sera donc bloqué par VPC Service Controls. Pour éviter ce problème, vous pouvez: Définissez le paramètre de requête ignoreSafetyChecks avec la valeur QUOTA_DECREASE_BELOW_USAGE. Créez une règle d'entrée qui autorise l'appel S2S à partir de votre identité et de toutes les sources à la surveillance du projet pour lequel vous demandez la diminution du quota. Pour configurer une règle d'entrée ou de sortie, consultez les instructions de VPC Service Controls pour configurer des règles d'entrée et de sortie. |
| Cloud Run | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service run.googleapis.com Détail Une configuration supplémentaire est requise pour Cloud Run. Suivez les instructions de la page de documentation VPC Service Controlsde Cloud Run.Pour en savoir plus sur Cloud Run, consultez la documentation du produit. Limites Pour Artifact Registry et Container Registry, le registre dans lequel vous stockez votre conteneur doit se trouver dans le même périmètre VPC Service Controls que le projet vers lequel vous effectuez le déploiement. Le code à compiler doit se trouver dans le même périmètre VPC Service Controls que le registre vers lequel le conteneur est transféré. La fonctionnalité de déploiement continu de Cloud Run n'est pas disponible pour les projets situés dans un périmètre VPC Service Controls. Lorsque les services Cloud Run sont appelés, l'application de la stratégie VPC Service Controls n'utilise pas les informations d'authentification IAM du client. Ces requêtes présentent les limites suivantes : Les règles de stratégie d'entrée VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas compatibles. Les niveaux d'accès des périmètres VPC Service Controls qui utilisent des comptes principaux IAM ne sont pas acceptés. L'application de la règle de sortie VPC Service Controls n'est garantie que lorsque vous utilisez l'adresse IP virtuelle (VIP) restreinte. Les requêtes provenant du même projet sur des VIP non limitées sont autorisées, même si Cloud Run n'est pas configuré en tant que service accessible par VPC. |
| Cloud Scheduler | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudscheduler.googleapis.com Détails VPC Service Controls est appliqué aux actions suivantes: Création d'une tâche Cloud Scheduler Mises à jour des tâches Cloud Scheduler Pour plus d'informations sur Cloud Scheduler, consultez la documentation produit. Limites VPC Service Controls n'est compatible qu'avec les tâches Cloud Scheduler ayant les cibles suivantes: Points de terminaison functions.net des fonctions Cloud Run Points de terminaison run.app Cloud Run API Dataflow (doit se trouver dans le même Google Cloud projet que votre tâche Cloud Scheduler) Canaux de données (ils doivent se trouver dans le même Google Cloud projet que votre tâche Cloud Scheduler) Pub/Sub (doit se trouver dans le même Google Cloud projet que votre tâche Cloud Scheduler) |
| Spanner | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service spanner.googleapis.com Détails L'API pour Spanner peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Spanner, consultez la documentation du produit. Limites L'intégration de Spanner avec VPC Service Controls n'a pas de limites connues. |
| Speaker ID | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service speakerid.googleapis.com Détail L'API de Speaker ID peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Speaker ID, consultez la documentation du produit. Limites L'intégration de Speaker ID avec VPC Service Controls n'a pas de limites connues. |
| Cloud Storage | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service storage.googleapis.com Détail L'API pour Cloud Storage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Storage, reportez-vous à la documentation du produit. Limites Lorsque vous utilisez la fonctionnalité Paiements du demandeur à l'aide d'un bucket de stockage situé à l'intérieur d'un périmètre de service qui protège le service Cloud Storage, vous ne pouvez pas identifier un projet auquel imputer les frais s'il se situe en dehors du périmètre. Le projet cible doit se trouver dans le même périmètre que le bucket de stockage ou être associé au projet du bucket via une liaison de périmètre. Pour plus d'informations sur la fonctionnalité "Paiements du demandeur", consultez la section Exigences relatives à l'utilisation et aux accès de la fonctionnalité Paiements du demandeur. Pour les projets situés dans un périmètre de service, la page Cloud Storage dans la console Google Cloud n'est pas accessible si l'API Cloud Storage est protégée par ce périmètre. Si vous souhaitez autoriser l'accès à la page, vous devez créer une règle d'entrée et/ou un niveau d'accès incluant les comptes utilisateur et/ou la plage d'adresses IP publique pour lesquels vous souhaitez autoriser l'accès à l'API Cloud Storage. Dans les enregistrements du journal d'audit, le champ resourceName n'identifie pas le projet qui détient un bucket. Le projet doit être découvert séparément. Dans les enregistrements du journal d'audit, la valeur de methodName n'est pas toujours correcte. Nous vous conseillons de ne pas filtrer les enregistrements du journal d'audit Cloud Storage par methodName. Dans certains cas, les journaux des anciens buckets Cloud Storage peuvent être écrits vers des destinations situées en dehors d'un périmètre de service, même lorsque l'accès est refusé. Dans certains cas, les objets Cloud Storage qui étaient publics sont accessibles même après l'activation de VPC Service Controls sur les objets. Les objets sont accessibles jusqu'à leur expiration dans les caches intégrés et tout autre cache en amont sur le réseau entre l'utilisateur final et Cloud Storage. Par défaut, Cloud Storage met en cache les données publiques dans le réseau Cloud Storage. Pour en savoir plus sur la mise en cache des objets Cloud Storage, consultez la documentation de Cloud Storage. Pour en savoir plus sur la durée pendant laquelle un objet peut être mis en cache, consultez la section sur les métadonnées Cache-Control. Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT en tant que type d'identité pour toutes les opérations Cloud Storage utilisant des URL signées. Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité. Les URL signées sont compatibles avec VPC Service Controls. VPC Service Controls utilise les identifiants de signature de l'utilisateur ou du compte de service qui a signé l'URL signée pour évaluer les vérifications VPC Service Controls, et non les identifiants de l'appelant ou de l'utilisateur qui lance la connexion. VPC Service Controls protège l'API Storage Intelligence. VPC Service Controls ne permet pas d'ajouter des ressources au niveau du dossier ou de l'organisation à des périmètres de service. Par conséquent, même si vous pouvez activer Storage Intelligence au niveau du dossier, de l'organisation ou du projet, VPC Service Controls ne protège que les ressources au niveau du projet. Pour gérer Storage Intelligence au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM. |
| Cloud Tasks | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudtasks.googleapis.com Détails L'API pour Cloud Tasks peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.Les requêtes HTTP provenant d'exécutions Cloud Tasks sont compatibles comme suit : Les requêtes authentifiées vers les fonctions Cloud Run et les points de terminaison Cloud Run compatibles avec VPC Service Controls sont autorisées. Les requêtes adressées à des fonctions autres que Cloud Run et à des points de terminaison autres que Cloud Run sont bloquées. Les requêtes adressées aux fonctions et points de terminaison Cloud Run non compatibles avec VPC Service Controls sont bloquées. Pour plus d'informations sur Cloud Tasks, consultez la documentation produit. Limites VPC Service Controls n'est compatible qu'avec les requêtes Cloud Tasks vers les cibles suivantes : Points de terminaison functions.net des fonctions Cloud Run Points de terminaison run.app Cloud Run |
| Cloud SQL | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service sqladmin.googleapis.com Détail Les périmètres VPC Service Controls protègent l'API Cloud SQL Admin. Pour en savoir plus sur Cloud SQL, consultez la documentation du produit. Limites Les périmètres de service ne protègent que l'API Cloud SQL Admin. Ils ne protègent pas l'accès aux données basé sur une adresse IP sur les instances Cloud SQL. Vous devez utiliser une contrainte de règle d'administration pour limiter l'accès des adresses IP publiques aux instances Cloud SQL. Avant de configurer VPC Service Controls pour Cloud SQL, activez l'API Service Networking. Les opérations d'importation et d'exportation Cloud SQL ne peuvent effectuer des opérations de lecture et d'écriture à partir d'un bucket Cloud Storage qu'au sein du même périmètre de service que l'instance dupliquée Cloud SQL. Dans le flux de migration du serveur externe, vous devez ajouter le bucket Cloud Storage au même périmètre de service. Dans le flux de création de clé pour CMEK, utilisez l'une des configurations suivantes: Créez la clé dans le même périmètre de service que les ressources qui l'utilisent, comme Cloud SQL. Créez la clé dans un périmètre de service connecté, via un pont de périmètre, au périmètre de service qui protège Cloud SQL. Lors de la restauration d'une instance à partir d'une sauvegarde, l'instance cible doit se situer dans le même périmètre de service que la sauvegarde. |
| API Video Intelligence | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service videointelligence.googleapis.com Détail L'API pour l'API Video Intelligence peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Video Intelligence, consultez la documentation du produit. Limites L'intégration de l'API Video Intelligence à VPC Service Controls n'a pas de limites connues. |
| API Cloud Vision | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service vision.googleapis.com Détail L'API pour l'API Cloud Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Cloud Vision, consultez la documentation du produit. Limites Même si vous créez une règle de sortie pour autoriser les appels vers des URL publiques depuis des périmètres VPC Service Controls, l'API Cloud Vision bloque les appels vers des URL publiques. |
| Artifact Analysis | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service containeranalysis.googleapis.com Détails Pour utiliser Artifact Analysis avec VPC Service Controls, vous devrez peut-être ajouter d'autres services à votre périmètre VPC: Si vous utilisez des notifications Pub/Sub avec Artifact Analysis, ajoutez Pub/Sub à votre périmètre de service. Si vous utilisez l'API Container Scanning, ajoutez votre registre au périmètre Artifact Registry ou Container Registry. Étant donné que l'API Container Scanning est une API sans surface qui stocke les résultats dans Artifact Analysis, vous n'avez pas besoin de la protéger avec un périmètre de service. Pour en savoir plus sur l'analyse des artefacts, consultez la documentation du produit. Limites L'intégration d'Artifact Analysis à VPC Service Controls n'est soumise à aucune limitation connue. |
| Container Registry | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service containerregistry.googleapis.com Détail En plus de protéger l'API Container Registry, Container Registry peut être utilisé dans un périmètre de service avec GKE et Compute Engine. Pour plus d'informations sur Container Registry, reportez-vous à la documentation du produit. Limites Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT en tant que type d'identité pour toutes les opérations Container Registry. Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité. Étant donné que Container Registry utilise le domaine gcr.io, vous devez configurer le DNS pour que *.gcr.io puisse être mappé sur private.googleapis.com ou restricted.googleapis.com. Pour plus d'informations, consultez la page Sécuriser Container Registry dans un périmètre de service. Outre les conteneurs situés à l'intérieur d'un périmètre qui sont accessibles par Container Registry, les dépôts en lecture seule ci-après sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service: gcr.io/anthos-baremetal-release gcr.io/asci-toolchain gcr.io/cloud-airflow-releaser gcr.io/cloud-builders gcr.io/cloud-dataflow gcr.io/cloud-ingest gcr.io/cloud-marketplace gcr.io/cloud-ssa gcr.io/cloudsql-docker gcr.io/config-management-release gcr.io/deeplearning-platform-release gcr.io/foundry-dev gcr.io/fn-img gcr.io/gae-runtimes gcr.io/serverless-runtimes gcr.io/gke-node-images gcr.io/gke-release gcr.io/gkeconnect gcr.io/google-containers gcr.io/kubeflow gcr.io/kubeflow-images-public gcr.io/kubernetes-helm gcr.io/istio-release gcr.io/ml-pipeline gcr.io/projectcalico-org gcr.io/rbe-containers gcr.io/rbe-windows-test-images gcr.io/speckle-umbrella gcr.io/stackdriver-agents gcr.io/tensorflow gcr.io/vertex-ai gcr.io/vertex-ai-restricted gke.gcr.io k8s.gcr.io Dans tous les cas, les versions multirégionales de ces dépôts sont également disponibles. |
| Google Kubernetes Engine | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service container.googleapis.com Détail L'API pour Google Kubernetes Engine peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Google Kubernetes Engine, reportez-vous à la documentation du produit. Limites Pour protéger complètement l'API Google Kubernetes Engine, vous devez également inclure l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) dans votre périmètre. Seuls les clusters privés peuvent être protégés à l'aide de VPC Service Controls. Les clusters avec des adresses IP publiques ne sont pas compatibles avec VPC Service Controls. L'entrée de service GKE de ce tableau ne spécifie que le contrôle de l'API GKE elle-même. GKE s'appuie sur plusieurs autres services sous-jacents pour son fonctionnement, tels que Compute Engine, Cloud Logging, Cloud Monitoring et l'API Autoscaling (autoscaling.googleapis.com). Pour sécuriser efficacement vos environnements GKE avec VPC Service Controls, vous devez vous assurer que tous les services sous-jacents nécessaires sont également inclus dans votre périmètre de service. Pour obtenir la liste complète de ces services, consultez la documentation GKE. |
| API Container Security | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service containersecurity.googleapis.com Détails L'API pour Container Security peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API Container Security, consultez la documentation du produit. Limites L'intégration de l'API Container Security avec VPC Service Controls n'a pas de limites connues. |
| Streaming d'images | Status Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service containerfilesystem.googleapis.com Détail Le streaming d'images est une fonctionnalité de streaming de données GKE qui réduit le temps d'extraction d'images de conteneurs pour les images stockées dans Artifact Registry. Si VPC Service Controls protège vos images de conteneurs et que vous utilisez la diffusion d'images, vous devez également inclure l'API Image Streaming dans le périmètre de service. Pour en savoir plus sur le streaming d'image, consultez la documentation du produit. Limites Les dépôts en lecture seule suivants sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service: gcr.io/anthos-baremetal-release gcr.io/asci-toolchain gcr.io/cloud-airflow-releaser gcr.io/cloud-builders gcr.io/cloud-dataflow gcr.io/cloud-ingest gcr.io/cloud-marketplace gcr.io/cloud-ssa gcr.io/cloudsql-docker gcr.io/config-management-release gcr.io/deeplearning-platform-release gcr.io/foundry-dev gcr.io/fn-img gcr.io/gae-runtimes gcr.io/serverless-runtimes gcr.io/gke-node-images gcr.io/gke-release gcr.io/gkeconnect gcr.io/google-containers gcr.io/kubeflow gcr.io/kubeflow-images-public gcr.io/kubernetes-helm gcr.io/istio-release gcr.io/ml-pipeline gcr.io/projectcalico-org gcr.io/rbe-containers gcr.io/rbe-windows-test-images gcr.io/speckle-umbrella gcr.io/stackdriver-agents gcr.io/tensorflow gcr.io/vertex-ai gcr.io/vertex-ai-restricted gke.gcr.io k8s.gcr.io |
| Parcs | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service gkeconnect.googleapis.com,gkehub.googleapis.com,connectgateway.googleapis.com Détail Les API de gestion du parc, y compris la passerelle Connect, peuvent être protégées par VPC Service Controls, et les fonctionnalités de gestion de parc peuvent être utilisées normalement dans les périmètres de service. Pour en savoir plus, consultez les ressources suivantes : Utiliser VPC Service Controls avec l'agent Connect Utiliser VPC Service Controls avec la passerelle Connect Pour plus d'informations sur les parcs, consultez la documentation du produit. Limites Bien que toutes les fonctionnalités de gestion de parc puissent être utilisées normalement, l'activation d'un périmètre de service autour de l'API Stackdriver empêche l'intégration de la fonctionnalité de parc du contrôleur de règles à Security Command Center. Lorsque vous utilisez la passerelle Connect pour accéder aux clusters GKE, le périmètre VPC Service Controls pour container.googleapis.com n'est pas appliqué. |
| Resource Manager | Status Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudresourcemanager.googleapis.com Détails Les méthodes suivantes de l'API Cloud Resource Manager peuvent être protégées par VPC Service Controls: v1 project.setIAMPolicy v1beta1 project.setIAMPolicy v3 tagKeys.* v3 tagValues.* v3 tagValues.tagHolds.* v3 tagBindings.* Pour plus d'informations sur Resource Manager, consultez la documentation du produit. Limites Seules les clés de balise directement parentes d'une ressource de projet et les valeurs de balise correspondantes peuvent être protégées à l'aide de VPC Service Controls. Lorsqu'un projet est ajouté à un périmètre VPC Service Controls, toutes les clés de balise et les valeurs de balise correspondantes du projet sont considérées comme des ressources du périmètre. Les clés de balise associées à une ressource d'organisation et leurs valeurs de balise correspondantes ne peuvent pas être incluses dans un périmètre VPC Service Controls et ne peuvent pas être protégées à l'aide de VPC Service Controls. Les clients situés dans un périmètre VPC Service Controls ne peuvent pas accéder aux clés de balise et aux valeurs correspondantes gérées par une ressource d'organisation, sauf si une règle de sortie autorisant l'accès est définie sur le périmètre. Pour en savoir plus sur la configuration des règles de sortie, consultez la section Règles d'entrée et de sortie. Les liaisons de tags sont considérées comme des ressources appartenant au même périmètre que la ressource à laquelle la valeur de tag est liée. Par exemple, les liaisons de tags sur une instance Compute Engine dans un projet sont considérées comme appartenant à ce projet, quel que soit l'emplacement de la clé de balise. Certains services tels que Compute Engine permettent de créer des liaisons de tags à l'aide de leurs propres API de service, en plus des API de service Resource Manager. Par exemple, ajouter des tags à une VM Compute Engine lors de la création de la ressource. Pour protéger les liaisons de balise créées ou supprimées à l'aide de ces API de service, ajoutez le service correspondant, tel que compute.googleapis.com, à la liste des services restreints du périmètre. Les balises acceptent les restrictions au niveau de la méthode. Vous pouvez donc définir la portée de method_selectors sur des méthodes d'API spécifiques. Pour obtenir la liste des méthodes pouvant faire l'objet de restrictions, consultez la section Méthodes de service compatibles avec les restrictions. L'attribution du rôle de propriétaire sur un projet via la console Google Cloud est désormais acceptée par VPC Service Controls. Vous ne pouvez pas envoyer d'invitation de propriétaire, ni accepter une invitation en dehors des périmètres de service. Si vous essayez d'accepter une invitation extérieure au périmètre, le rôle de propriétaire ne vous sera pas attribué, et aucun message d'erreur ni d'avertissement ne s'affichera. |
| Cloud Logging | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service logging.googleapis.com Détail L'API pour Cloud Logging peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Logging, consultez la documentation du produit. Limites Les récepteurs de journaux agrégés (récepteurs de dossier ou d'organisation pour lesquels la valeur includeChildren est true) peuvent accéder aux données des projets situés à l'intérieur d'un périmètre de service. Pour empêcher les récepteurs de journaux agrégés d'accéder aux données d'un périmètre, nous vous recommandons d'utiliser IAM pour gérer les autorisations Logging dans les récepteurs de journaux agrégés au niveau du dossier ou de l'organisation. VPC Service Controls ne permet pas d'ajouter des ressources de dossier ou d'organisation à des périmètres de service. Par conséquent, vous ne pouvez pas utiliser VPC Service Controls pour protéger les journaux au niveau des dossiers et de l'organisation, y compris les journaux agrégés. Pour gérer les autorisations Logging au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM. Si vous acheminez des journaux à l'aide d'un récepteur de journaux au niveau de l'organisation ou d'un dossier vers une ressource protégée par un périmètre de service, vous devez ajouter une règle d'entrée au périmètre de service. La règle d'entrée doit autoriser l'accès à la ressource à partir du compte de service utilisé par le récepteur de journaux. Cette étape n'est pas nécessaire pour les récepteurs au niveau d'un projet. Pour en savoir plus, consultez les articles suivants : Règles d'entrée et de sortie Gérer les périmètres de service Configurer et gérer les récepteurs Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT en tant que type d'identité pour exporter les journaux d'un récepteur Cloud Logging vers une ressource Cloud Storage. Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité. |
| Gestionnaire de certificats | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service certificatemanager.googleapis.com Détails L'API pour Certificate Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Certificate Manager, consultez la documentation du produit. Limites L'intégration de Certificate Manager à VPC Service Controls n'a pas de limites connues. |
| Cloud Monitoring | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service monitoring.googleapis.com Détail L'API pour Cloud Monitoring peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud Monitoring, consultez la documentation du produit. Limites Les canaux de notification, les règles d'alerte et les métriques personnalisées peuvent être utilisés conjointement pour exfiltrer des données/métadonnées. À l'heure actuelle, un utilisateur de Cloud Monitoring peut configurer un canal de notification pointant vers une entité extérieure à l'organisation, par exemple "baduser@badcompany.com". L'utilisateur configure ensuite des métriques personnalisées et les règles d'alerte correspondantes qui exploitent le canal de notification. Par conséquent, en manipulant les métriques personnalisées, l'utilisateur peut déclencher des alertes et envoyer des notifications de déclenchement d'alerte, exfiltrant ainsi des données sensibles vers l'adresse baduser@badcompany.com, c'est-à-dire en dehors du périmètre VPC Service Controls. Toutes les VM Compute Engine ou AWS sur lesquelles l'agent Monitoring est installé doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon l'écriture des données de métriques de l'agent échoue. Tous les pods GKE doivent se trouver à l'intérieur du périmètre VPC Service Controls, sinon la surveillance GKE ne peut pas fonctionner. Lorsque vous interrogez des métriques pour un champ d'application des métriques, seul le périmètre VPC Service Controls du projet du champ d'application de la métrique est pris en compte. Les périmètres des différents projets surveillés dans le champ d'application des métriques ne sont pas pris en compte. Vous ne pouvez ajouter un projet en tant que projet surveillé à un champ d'application des métriques existant que si ce projet se trouve dans le même périmètre VPC Service Controls que le projet de champ d'application des métriques. Pour accéder à Monitoring dans la Google Cloud console pour un projet hôte protégé par un périmètre de service, utilisez une règle d'entrée. |
| Cloud Profiler | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudprofiler.googleapis.com Détail L'API pour Cloud Profiler peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud Profiler, consultez la documentation produit. Limites L'intégration de Cloud Profiler avec VPC Service Controls ne présente aucune limitation connue. |
| API Telemetry | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service telemetry.googleapis.com Détails L'API pour l'API Telemetry peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API Telemetry, consultez la documentation produit. Limites L'intégration de l'API Telemetry avec VPC Service Controls n'a pas de limites connues. |
| API Timeseries Insights | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service timeseriesinsights.googleapis.com Détails L'API pour l'API Timeseries Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Timeseries Insights, consultez la documentation du produit. Limites L'intégration de l'API Timeseries Insights avec VPC Service Controls n'a pas de limites connues. |
| Cloud Trace | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudtrace.googleapis.com Détail L'API pour Cloud Trace peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Trace, reportez-vous à la documentation du produit. Limites L'intégration de Cloud Trace avec VPC Service Controls ne fait l'objet d'aucune limite connue. |
| Cloud TPU | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service tpu.googleapis.com Détail L'API pour Cloud TPU peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Cloud TPU, consultez la documentation du produit. Limites L'intégration de Cloud TPU avec VPC Service Controls n'a pas de limites connues. |
| API Natural Language | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service language.googleapis.com Détails Pour plus d'informations sur l'API Natural Language, consultez la documentation produit. Limites Étant donné que l'API Natural Language est une API sans état et qu'elle ne s'exécute pas sur des projets, l'utilisation de VPC Service Controls pour protéger l'API Natural Language n'a aucun effet. |
| Network Connectivity Center | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service networkconnectivity.googleapis.com Détail L'API pour Network Connectivity Center peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Network Connectivity Center, consultez la documentation du produit. Limites L'intégration de Network Connectivity Center à VPC Service Controls n'a pas de limites connues. |
| API Cloud Asset | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudasset.googleapis.com Détail L'API pour l'API Cloud Asset peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Cloud Asset, consultez la documentation produit. Limites VPC Service Controls ne permet pas d'accéder aux ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Cloud Asset au niveau du projet. Vous pouvez spécifier une règle de sortie pour empêcher l'accès aux ressources de l'API Cloud Asset au niveau du projet à partir des projets situés à l'intérieur du périmètre. VPC Service Controls ne permet pas d'ajouter des ressources API Cloud Asset au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation. Pour gérer les autorisations de l'inventaire des éléments cloud au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM. |
| Speech-to-Text | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service speech.googleapis.com Détail L'API pour Speech-to-Text peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Speech-to-Text, consultez la documentation produit. Limites L'intégration de Speech-to-Text avec VPC Service Controls n'est soumise à aucune limitation connue. |
| Text-to-Speech | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service texttospeech.googleapis.com Détail L'API pour la synthèse vocale peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Text-to-Speech, consultez la documentation produit. Limites L'intégration de Text-to-Speech avec VPC Service Controls n'est soumise à aucune limitation connue. |
| Translation | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service translate.googleapis.com Détail L'API pour Translation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Translation, consultez la documentation produit. Limites Cloud Translation – Advanced (v3) est compatible avec VPC Service Controls, mais pas Cloud Translation – Basic (v2). Pour appliquer VPC Service Controls, vous devez utiliser Cloud Translation – Advanced (v3). Pour en savoir plus sur les différentes éditions, consultez la page Comparer les versions Basic et Advanced. |
| API Live Stream | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service livestream.googleapis.com Détails Utilisez VPC Service Controls avec l'API Live Stream pour sécuriser votre pipeline. Pour en savoir plus sur l'API Live Stream, consultez la documentation produit. Limites Pour protéger les points de terminaison d'entrée avec un périmètre de service, vous devez suivre les instructions de configuration d'un pool privé et envoyer des flux vidéo d'entrée via une connexion privée. |
| API Transcoder | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service transcoder.googleapis.com Détail L'API pour l'API Transcoder peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Transcoder, consultez la documentation produit. Limites L'intégration de l'API Transcoder avec VPC Service Controls n'a pas de limites connues. |
| API Video Stitcher | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service videostitcher.googleapis.com Détails L'API pour l'API Video Stitcher peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API Video Stitcher, consultez la documentation produit. Limites L'intégration de l'API Video Stitcher avec VPC Service Controls n'a pas de limites connues. |
| Access Approval | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service accessapproval.googleapis.com Détail L'API pour Access Approval peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Access Approval, consultez la documentation produit. Limites L'intégration d'Access Approval avec VPC Service Controls ne présente aucune limitation connue. |
| API Cloud Healthcare | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service healthcare.googleapis.com Détail L'API pour l'API Cloud Healthcare peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API Cloud Healthcare, consultez la documentation produit. Limites VPC Service Controls n'est pas compatible avec les clés de chiffrement gérées par le client (CMEK) dans l'API Cloud Healthcare. |
| Service de transfert de stockage | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service storagetransfer.googleapis.com Détails Nous vous recommandons de placer votre projet de service de transfert de stockage dans le même périmètre de service que vos ressources Cloud Storage. Ainsi, vous protégez à la fois le transfert et vos ressources Cloud Storage. Le service de transfert de stockage accepte également les scénarios dans lesquels le projet de service de transfert de stockage ne se trouve pas dans le même périmètre que vos buckets Cloud Storage, par le biais d'une règle de sortie. Pour plus d'informations sur la configuration, consultez la page Utiliser le service de transfert de stockage avec VPC Service Controls. Service de transfert des données sur site Pour en savoir plus et obtenir des informations sur la configuration du transfert sur site, consultez la page Utiliser le transfert sur site avec VPC Service Controls. Pour en savoir plus sur le service de transfert de stockage, consultez la documentation du produit. Limites L'intégration du service de transfert de stockage avec VPC Service Controls n'a pas de limites connues. |
| Service Control | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service servicecontrol.googleapis.com Détail L'API pour Service Control peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Service Control, consultez la documentation du produit. Limites Lorsque vous appelez l'API Service Control à partir d'un réseau VPC situé dans un périmètre de service avec Service Control restreint pour générer des rapports sur les métriques de facturation ou d'analyse, vous ne pouvez utiliser que la méthode de rapport Service Control pour générer des rapports sur les métriques des services compatibles avec VPC Service Controls. |
| Memorystore pour Redis | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service redis.googleapis.com Détail L'API pour Memorystore pour Redis peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Memorystore pour Redis, reportez-vous à la documentation produit. Limites Les périmètres de service ne protègent que l'API Memorystore pour Redis. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Redis au sein du même réseau. Si l'API Cloud Storage est également protégée, les opérations d'importation et d'exportation de Memorystore pour Redis ne peuvent être lues et écrites que dans un bucket Cloud Storage situé dans le même périmètre de service que l'instance Memorystore pour Redis. Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et le projet de service contenant l'instance Redis dans le même périmètre pour que les requêtes Redis réussissent. À tout moment, la séparation du projet hôte et du projet de service par un périmètre peut entraîner une défaillance de l'instance Redis, en plus des requêtes bloquées. Pour en savoir plus, consultez la section Configuration requise Memorystore pour Redis. |
| Memorystore pour Memcached | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service memcache.googleapis.com Détail L'API pour Memorystore pour Memcached peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Memorystore pour Memcached, reportez-vous à la documentation produit. Limites Les périmètres de service ne protègent que l'API Memorystore pour Memcached. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Memcached au sein du même réseau. |
| Memorystore pour Valkey | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service memorystore.googleapis.com Détails Les périmètres de service ne protègent que l'API Memorystore pour Valkey. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Valkey au sein du même réseau. Si l'API Cloud Storage est également protégée, les opérations d'importation et d'exportation de Memorystore pour Valkey ne peuvent être lues et écrites que dans un bucket Cloud Storage situé dans le même périmètre de service que l'instance Memorystore pour Valkey. Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et le projet de service contenant l'instance Redis dans le même périmètre pour que les requêtes Redis réussissent. À tout moment, la séparation du projet hôte et du projet de service par un périmètre peut entraîner une défaillance de l'instance Redis, en plus des requêtes bloquées. Pour en savoir plus, consultez la section Configuration requise Memorystore pour Valkey. L'API Memorystore pour Valkey est memorystore.googleapis.com. C'est pourquoi le nom à afficher de Memorystore pour Valkey est "API Memorystore" lorsque vous utilisez VPC Service Controls dans la console Google Cloud . Pour en savoir plus sur Memorystore pour Valkey, consultez la documentation produit. Limites L'intégration de Memorystore for Redis à VPC Service Controls n'a pas de limites connues. |
| Annuaire des services | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service servicedirectory.googleapis.com Détail L'API pour l'annuaire des services peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'annuaire des services, consultez la documentation produit. Limites L'intégration de l'annuaire des services au service VPC Service Controls n'a pas de limites connues. |
| Visual Inspection AI | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service visualinspection.googleapis.com Détails Pour protéger entièrement l'IA d'inspection visuelle, incluez toutes les API suivantes dans votre périmètre: API Visual Inspection AI (visualinspection.googleapis.com) API Vertex AI (aiplatform.googleapis.com) API Cloud Storage (storage.googleapis.com) API Artifact Registry (artifactregistry.googleapis.com) API Container Registry (containerregistry.googleapis.com) Pour en savoir plus sur l'IA d'inspection visuelle, consultez la documentation du produit. Limites L'intégration de l'IA d'inspection visuelle à VPC Service Controls n'a pas de limites connues. |
| Transfer Appliance | Status Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Non. L'API pour Transfer Appliance ne peut pas être protégée par des périmètres de service. Toutefois, Transfer Appliance peut être utilisé normalement dans les projets situés au sein d'un périmètre. Détail Transfer Appliance est entièrement compatible avec les projets utilisant VPC Service Controls. Transfer Appliance ne propose pas d'API et n'est donc pas compatible avec les fonctionnalités liées aux API dans VPC Service Controls. Pour plus d'informations sur Transfer Appliance, consultez la documentation produit. Limites Lorsque Cloud Storage est protégé par VPC Service Controls, la clé Cloud KMS que vous partagez avec l'équipe Transfer Appliance doit se trouver dans le même projet que le bucket Cloud Storage de destination. |
| Service de règles d'organisation | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service orgpolicy.googleapis.com Détails L'API pour Organization Policy Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur le service de règles d'administration, consultez la documentation du produit. Limites VPC Service Controls n'accepte pas les restrictions d'accès aux règles d'administration au niveau du dossier ou de l'organisation qui sont héritées par le projet. VPC Service Controls protège les ressources de l'API du service de règles d'administration au niveau du projet. Par exemple, si une règle d'entrée empêche un utilisateur d'accéder à l'API Organization Policy Service, cet utilisateur obtient une erreur 403 lorsqu'il demande des règles d'administration appliquées au projet. Toutefois, l'utilisateur peut toujours accéder aux règles d'administration du dossier et de l'organisation contenant le projet. |
| OS Login | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service oslogin.googleapis.com Détail Vous pouvez appeler l'API OS Login depuis des périmètres VPC Service Controls. Pour gérer OS Login depuis des périmètres VPC Service Controls, configurez OS Login. Les connexions SSH aux instances de VM ne sont pas protégées par VPC Service Controls. Pour plus d'informations sur OS Login, consultez la documentation produit. Limites Les méthodes OS Login pour la lecture et l'écriture de clés SSH n'appliquent pas les périmètres VPC Service Controls. Utilisez les services accessibles par VPC pour désactiver l'accès aux API OS Login. |
| État de santé personnalisé | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service servicehealth.googleapis.com Détails L'API pour l'état de service personnalisé peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Personalized Service Health, consultez la documentation du produit. Limites VPC Service Controls n'est pas compatible avec les ressources OrganizationEvents et OrganizationImpacts de l'API Service Health. Par conséquent, les vérifications des règles VPC Service Controls ne s'effectuent pas lorsque vous appelez les méthodes de ces ressources. Toutefois, vous pouvez appeler les méthodes à partir d'un périmètre de service à l'aide d'une adresse IP virtuelle restreinte. |
| VM Manager | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service osconfig.googleapis.com Détail Vous pouvez appeler l'API OS Config depuis des périmètres VPC Service Controls. Pour utiliser VM Manager à partir des périmètres VPC Service Controls, configurez VM Manager. Pour plus d'informations sur VM Manager, consultez la documentation produit. Limites Pour assurer une protection complète de VM Manager, vous devez inclure toutes les API suivantes dans votre périmètre : API OS Config (osconfig.googleapis.com) API Compute Engine (compute.googleapis.com) API Artifact Analysis (containeranalysis.googleapis.com) VM Manager n'héberge pas le contenu du package et du correctif. OS Patch Management utilise les outils de mise à jour du système d'exploitation, qui nécessitent la mise à jour des packages et des correctifs sur la VM. Pour que les correctifs fonctionnent, vous devrez peut-être utiliser Cloud NAT ou héberger votre propre dépôt de packages ou un service de mise à jour Windows Server Update Service dans votre cloud privé virtuel. |
| Workflows | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service workflows.googleapis.com Détails Workflows est une plate-forme d'orchestration permettant de combiner des services Google Cloud et des API basées sur HTTP pour exécuter des services dans l'ordre que vous définissez.Lorsque vous protégez l'API Workflows à l'aide d'un périmètre de service, l'API Workflow Executions est également protégée. Vous n'avez pas besoin d'ajouter séparément workflowexecutions.googleapis.com à la liste des services protégés de votre périmètre. Les requêtes HTTP provenant d'une exécution de Workflows sont prises en charge comme suit : Les requêtes authentifiées auprès de points de terminaison Google Cloud compatibles avec VPC Service Controls sont autorisées. Les requêtes adressées aux fonctions Cloud Run et aux points de terminaison de service Cloud Run sont autorisées. Les requêtes adressées à des points de terminaison tiers sont bloquées. Les requêtes adressées à des points de terminaison Google Cloud non compatibles avec VPC Service Controls sont bloquées. Pour plus d'informations sur Workflows, consultez la documentation du produit. Limites L'intégration de Workflows avec VPC Service Controls n'a pas de limites connues. |
| Filestore | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service file.googleapis.com Détail L'API pour Filestore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Filestore, consultez la documentation du produit. Limites Les périmètres de service ne protègent que l'API Filestore. Ils ne protègent pas l'accès normal aux données NFS sur les instances Filestore au sein du même réseau. Si vous utilisez le VPC partagé et VPC Service Controls, vous devez disposer du projet hôte qui fournit le réseau et du projet de service qui contient l'instance Filestore dans le même périmètre afin que l'instance Filestore puisse fonctionner correctement. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances. |
| Parallelstore | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service parallelstore.googleapis.com Détails Pour en savoir plus sur Parallelstore, consultez la documentation produit. Limites Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et d'un projet de service contenant l'instance Parallelstore dans le même périmètre pour que l'instance Parallelstore puisse fonctionner correctement. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances. |
| Container Threat Detection | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service containerthreatdetection.googleapis.com Détail L'API pour Container Threat Detection peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Container Threat Detection, consultez la documentation du produit. Limites L'intégration de Container Threat Detection à VPC Service Controls n'a pas de limites connues. |
| Ads Data Hub | Status Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service adsdatahub.googleapis.com Détail Pour plus d'informations sur Ads Data Hub, consultez la documentation du produit. Limites Ads Data Hub et VPC Service Controls sont soumis à des conditions d'utilisation différentes. Pour en savoir plus, consultez les conditions de chaque produit. Certaines fonctionnalités Ads Data Hub (telles que l'activation d'audiences personnalisées, les enchères personnalisées et les tableaux de correspondance LiveRamp) nécessitent l'exportation de certaines données utilisateur en dehors du périmètre de VPC Service Controls. Si Ads Data Hub est ajouté en tant que service restreint, il ignore les règles de VPC Service Controls associées à ces fonctionnalités afin de les conserver. Tous les services dépendants doivent être inclus en tant que services autorisés dans le même périmètre VPC Service Controls. Par exemple, étant donné que Ads Data Hub s'appuie sur BigQuery, BigQuery doit également être ajouté. En général, les bonnes pratiques de VPC Service Controls recommandent d'inclure tous les services dans le périmètre, c'est-à-dire de "limiter tous les services". Les clients disposant de structures de compte Ads Data Hub à plusieurs niveaux (par exemple, les agences avec des filiales) doivent placer tous leurs projets d'administration dans le même périmètre. Par souci de simplicité, Ads Data Hub recommande aux clients disposant de structures de compte à plusieurs niveaux de limiter leurs projets d'administration à la même Google Cloud organisation. |
| Security Token Service | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service sts.googleapis.com Détail VPC Service Controls ne limite les échanges de jetons que si l'audience de la requête est une ressource au niveau du projet. Par exemple, VPC Service Controls ne limite pas les requêtes pour les jetons à champ d'application limité, car ces requêtes n'ont pas d'audience. VPC Service Controls ne limite pas non plus les requêtes de fédération d'identité de personnel, car l'audience est une ressource au niveau de l'organisation. Pour en savoir plus sur Security Token Service, consultez la documentation du produit. Limites Lorsque vous créez une règle d'entrée ou de sortie pour autoriser les échanges de jetons, vous devez définir le type d'identité sur ANY_IDENTITY, car la méthode jeton n'a aucune autorisation. |
| Firestore/Datastore | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com Détail Les services firestore.googleapis.com, datastore.googleapis.com et firestorekeyvisualizer.googleapis.com sont liés. Lorsque vous restreignez le service firestore.googleapis.com dans un périmètre, le périmètre s'applique également aux services datastore.googleapis.com et firestorekeyvisualizer.googleapis.com. Pour restreindre le service datastore.googleapis.com, utilisez le nom de service firestore.googleapis.com. Pour obtenir une protection complète de la sortie sur les opérations d'importation et d'exportation, vous devez utiliser l'agent de service Firestore. Pour en savoir plus, lisez les informations ci-après. Sécuriser les opérations d'importation et d'exportation Firestore avec VPC Service Controls. Sécuriser les opérations d'importation et d'exportation Datastore avec VPC Service Controls. Pour plus d'informations sur Firestore/Datastore, consultez la documentation du produit. Limites Les opérations d'importation et d'exportation ne sont pas entièrement protégées, sauf si vous utilisez l'agent de service Firestore. Pour en savoir plus, lisez les informations ci-après. Sécuriser les opérations d'importation et d'exportation Firestore avec VPC Service Controls. Sécuriser les opérations d'importation et d'exportation Datastore avec VPC Service Controls. Les anciens services groupés App Engine pour Datastore ne sont pas compatibles avec les périmètres de service. La protection du service Datastore avec un périmètre de service bloque le trafic provenant des anciens services groupés App Engine. Les anciens services groupés comprennent : Datastore Java 8 avec les API App Engine Bibliothèque cliente NDB Python 2 pour Datastore Datastore Go 1.11 avec les API App Engine Pour utiliser l'édition Enterprise de Firestore (Preview) avec une adresse VIP limitée, vous devez ajouter les plages d'adresses IP suivantes à la liste d'autorisation: 136.124.0.0/23 pour IPv4 2600:1904::/47 pour IPv6 Ces plages d'adresses IP ne sont utilisées que par le service Firestore et sont conformes à VPC Service Controls. |
| Migrate to Virtual Machines | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service vmmigration.googleapis.com Détail L'API pour Migrate to Virtual Machines peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Migrate to Virtual Machines, consultez la documentation du produit. Limites Pour assurer une protection complète de Migrate to Virtual Machines, ajoutez toutes les API suivantes au périmètre de service : API Artifact Registry (artifactregistry.googleapis.com) API Pub/Sub (pubsub.googleapis.com) API Cloud Storage (storage.googleapis.com) API Cloud Logging (logging.googleapis.com) API Container Registry (containerregistry.googleapis.com) API Secret Manager (secretmanager.googleapis.com) API Compute Engine (compute.googleapis.com) Pour plus d'informations, consultez la documentation de Migrate to Virtual Machines. |
| Migration Center | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com Détails VPC Service Controls vous permet de protéger les données d'infrastructure que vous collectez avec Migration Center à l'aide d'un périmètre de service. Pour en savoir plus sur Migration Center, consultez la documentation du produit. Limites Une fois le périmètre de service activé, vous ne pouvez plus transférer vos données d'infrastructure vers StratoZone. |
| Service de sauvegarde et de reprise après sinistre | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service backupdr.googleapis.com Détails L'API du service de sauvegarde et de reprise après sinistre peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur le service de sauvegarde et de reprise après sinistre, consultez la documentation du produit. Limites Si vous supprimez la route par défaut Internet du projet de producteur de services à l'aide de la commande gcloud services vpc-peerings enable-vpc-service-controls, vous ne pourrez peut-être pas accéder à la console de gestion ni la déployer. Si vous rencontrez ce problème, contactez Google Cloud Customer Care. |
| Sauvegarde pour GKE | Status Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service gkebackup.googleapis.com Détail Vous pouvez utiliser VPC Service Controls afin de protéger la sauvegarde pour GKE. Vous pouvez utiliser les fonctionnalités de sauvegarde pour GKE normalement dans les périmètres de service. Pour plus d'informations sur la sauvegarde pour GKE, consultez la documentation du produit. Limites L'intégration de la sauvegarde pour GKE à VPC Service Controls n'a pas de limites connues. |
| API Retail | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service retail.googleapis.com Détail L'API pour l'API Retail peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur l'API Retail, consultez la documentation produit. Limites L'intégration de l'API Retail avec VPC Service Controls n'a pas de limites connues. |
| Application Integration | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service integrations.googleapis.com Détails L'intégration d'applications est un système de gestion collaborative des workflows qui vous permet de créer, d'améliorer, de déboguer et de comprendre les principaux workflows de système d'entreprise. Les workflows d'Application Integration sont constitués de déclencheurs et de tâches. Il existe plusieurs types de déclencheurs, tels que les déclencheurs d'API, Pub/Sub, Cron ou SFDC. Pour en savoir plus sur l'intégration d'applications, consultez la documentation du produit. Limites VPC Service Controls protège les journaux d'Application Integration. Si vous utilisez Application Integration, vérifiez la compatibilité de l'intégration VPC SC avec l'équipe Application Integration. |
| Integration Connectors | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service connectors.googleapis.com Détails L'API pour les connecteurs d'intégration peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Integration Connectors, consultez la documentation du produit. Limites Lorsque vous utilisez VPC Service Controls, si votre connexion se connecte à une ressource autre que la Google Cloud CLI, la destination de la connexion doit être un rattachement Private Service Connect. Les connexions créées sans le rattachement Private Service Connect échouent. Si vous configurez un périmètre de service VPC Service Controls pour votre projet Google Cloud CLI, vous ne pouvez pas utiliser la fonctionnalité d'abonnement aux événements pour le projet. |
| Error Reporting | Status Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service clouderrorreporting.googleapis.com Détails L'API pour Error Reporting peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Error Reporting, consultez la documentation du produit. Limites Les notifications envoyées lorsqu'un groupe d'erreurs nouveau ou récurrent est détecté contiennent des informations sur le groupe d'erreurs. Pour éviter l'exfiltration de données en dehors du périmètre VPC Service Controls, assurez-vous que les canaux de notification se trouvent au sein de votre organisation. |
| Cloud Workstations | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service workstations.googleapis.com Détails L'API pour Cloud Workstations peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud Workstations, consultez la documentation produit. Limites Pour protéger entièrement Cloud Workstations, vous devez limiter l'API Compute Engine dans votre périmètre de service chaque fois que vous limitez l'API Cloud Workstations. Assurez-vous que l'API Google Cloud Storage, l'API Google Container Registry et l'API Artifact Registry sont accessibles par les VPC dans votre périmètre de service. Cela est nécessaire pour récupérer des images sur votre poste de travail. Nous vous recommandons également d'autoriser l'API Cloud Logging et l'API Cloud Error Reporting pour qu'elles soient accessibles par les VPC dans votre périmètre de service, même si cela n'est pas obligatoire pour utiliser Cloud Workstations. Assurez-vous que votre cluster de poste de travail est privé. La configuration d'un cluster privé empêche les connexions à vos postes de travail depuis l'extérieur de votre périmètre de service VPC. Veillez à désactiver les adresses IP publiques dans la configuration de votre poste de travail. Sans cela, les VM disposeront d'adresses IP publiques dans votre projet. Nous vous recommandons vivement d'utiliser la contrainte de règle d'administration constraints/compute.vmExternalIpAccess pour désactiver les adresses IP publiques pour toutes les VM de votre périmètre de service VPC. Pour en savoir plus, consultez la section Limiter les adresses IP externes à des VM spécifiques. Lorsque vous vous connectez à votre poste de travail, le contrôle d'accès ne dépend que du fait que le réseau privé depuis lequel vous vous connectez appartient au périmètre de sécurité. Les contrôles des accès basés sur l'appareil, l'adresse IP publique ou l'emplacement utilisés ne sont pas disponibles. |
| Cloud IDS | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service ids.googleapis.com Détails L'API pour Cloud IDS peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour plus d'informations sur Cloud IDS, consultez la documentation produit. Limites Cloud IDS crée des journaux d'analyse des menaces dans votre projet à l'aide de Cloud Logging. Si Cloud Logging est limité par le périmètre de service, VPC Service Controls bloque les journaux de menaces Cloud IDS, même si Cloud IDS n'est pas ajouté en tant que service restreint au périmètre. Pour utiliser Cloud IDS à l'intérieur d'un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Logging dans votre périmètre de service. |
| Chrome Enterprise Premium | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service beyondcorp.googleapis.com Détails Pour en savoir plus sur Chrome Enterprise Premium, consultez la documentation produit. Limites L'intégration de Chrome Enterprise Premium à VPC Service Controls n'a pas de limites connues. |
| Policy Troubleshooter | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service policytroubleshooter.googleapis.com Détails Lorsque vous limitez l'API Policy Troubleshooter avec un périmètre, les principaux ne peuvent résoudre les problèmes liés aux stratégies d'autorisation IAM que si toutes les ressources impliquées dans la requête se trouvent dans le même périmètre. Une demande de dépannage implique généralement deux ressources: La ressource pour laquelle vous recherchez une solution de dépannage Cette ressource peut être de n'importe quel type. Vous spécifiez explicitement cette ressource lorsque vous corrigez une stratégie d'autorisation. Ressource que vous utilisez pour résoudre les problèmes d'accès. Cette ressource est un projet, un dossier ou une organisation. Dans la console Google Cloud et la CLI gcloud, cette ressource est inférée en fonction du projet, du dossier ou de l'organisation que vous avez sélectionnés. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project. Cette ressource peut être identique à la ressource pour laquelle vous déboguez l'accès, mais ce n'est pas obligatoire. Si ces ressources ne se trouvent pas dans le même périmètre, la requête échoue. Pour en savoir plus sur l'outil de dépannage des règles, consultez la documentation du produit. Limites L'intégration du dépannage des règles avec VPC Service Controls n'a pas de limites connues. |
| Policy Simulator | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service policysimulator.googleapis.com Détails Lorsque vous limitez l'API Policy Simulator avec un périmètre, les comptes principaux ne peuvent simuler des stratégies d'autorisation que si certaines ressources impliquées dans la simulation se trouvent dans le même périmètre. Une simulation implique plusieurs ressources: Ressource dont vous simulez la stratégie d'autorisation. Cette ressource est également appelée ressource cible. Dans la console Google Cloud , il s'agit de la ressource dont vous modifiez la stratégie d'autorisation. Dans la gcloud CLI et l'API REST, vous spécifiez explicitement cette ressource lorsque vous simulez une stratégie d'autorisation. Projet, dossier ou organisation qui crée et exécute la simulation. Cette ressource est également appelée ressource hôte. Dans la console Google Cloud et la CLI gcloud, cette ressource est déduite en fonction du projet, du dossier ou de l'organisation que vous avez sélectionnés. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project. Cette ressource peut être identique à celle pour laquelle vous simulez l'accès, mais ce n'est pas obligatoire. Ressource fournissant les journaux d'accès pour la simulation. Dans une simulation, il y a toujours une ressource qui fournit des journaux d'accès pour la simulation. Cette ressource varie en fonction du type de ressource cible: Si vous simulez une stratégie d'autorisation pour un projet ou une organisation, Policy Simulator récupère les journaux d'accès de ce projet ou de cette organisation. Si vous simulez une stratégie d'autorisation pour un type de ressource différent, Policy Simulator récupère les journaux d'accès pour le projet ou l'organisation parent de cette ressource. Si vous simulez des stratégies d'autorisation pour plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation les plus proches des ressources. Toutes les ressources compatibles avec les stratégies d'autorisation pertinentes. Lorsque Policy Simulator exécute une simulation, il tient compte de toutes les stratégies d'autorisation pouvant avoir un impact sur l'accès de l'utilisateur, y compris les stratégies d'autorisation sur les ressources descendantes et ancêtres de la ressource cible. Par conséquent, ces ressources ancêtres et descendantes sont également impliquées dans les simulations. Si la ressource cible et la ressource hôte ne se trouvent pas dans le même périmètre, la requête échoue. Si la ressource cible et la ressource qui fournit les journaux d'accès pour la simulation ne se trouvent pas dans le même périmètre, la requête échoue. Si la ressource cible et certaines ressources compatibles avec des règles d'autorisation appropriées ne se trouvent pas dans le même périmètre, les requêtes aboutissent, mais les résultats peuvent être incomplets. Par exemple, si vous simulez une stratégie pour un projet dans un périmètre, les résultats n'incluront pas la stratégie d'autorisation de l'organisation parente du projet, car les organisations se trouvent toujours en dehors des périmètres VPC Service Controls. Pour obtenir des résultats plus complets, vous pouvez configurer des règles d'entrée et de sortie pour le périmètre. Pour en savoir plus sur Policy Simulator, consultez la documentation du produit. Limites L'intégration du simulateur de règles avec VPC Service Controls n'a pas de limites connues. |
| Contacts essentiels | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service essentialcontacts.googleapis.com Détails L'API pour les contacts essentiels peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les contacts essentiels, consultez la documentation du produit. Limites L'intégration de Essential Contacts avec VPC Service Controls n'a pas de limites connues. |
| Identity Platform | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service identitytoolkit.googleapis.com,securetoken.googleapis.com Détails L'API pour Identity Platform peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Identity Platform, consultez la documentation du produit. Limites Pour assurer une protection complète d'Identity Platform, ajoutez l'API Secure Token (securetoken.googleapis.com) au périmètre de service pour permettre le rafraîchissement des jetons. securetoken.googleapis.com n'est pas répertorié sur la page VPC Service Controls de la console Google Cloud . Vous ne pouvez ajouter ce service qu'avec la commande gcloud access-context-manager perimeters update. Si votre application s'intègre également à la fonction de blocage des fonctions, ajoutez les fonctions Cloud Run (cloudfunctions.googleapis.com) au périmètre de service. L'utilisation de l'authentification multifacteur (MFA) par SMS, de l'authentification par e-mail ou de fournisseurs d'identité tiers entraîne l'envoi de données en dehors du périmètre. Si vous n'utilisez pas la MFA avec l'authentification par SMS, par e-mail ou avec des fournisseurs d'identité tiers, désactivez ces fonctionnalités. |
| GKE Multi-Cloud | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service gkemulticloud.googleapis.com Détails L'API pour GKE Multi-Cloud peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur GKE Multi-Cloud, consultez la documentation du produit. Limites Pour protéger entièrement l'API GKE Multi-Cloud, vous devez également inclure l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) dans votre périmètre. |
| API GKE On-Prem | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service gkeonprem.googleapis.com Détails L'API GKE sur site peut être protégée par VPC Service Controls et peut être utilisée normalement dans les périmètres de service. Pour en savoir plus sur l'API GKE On-Prem, consultez la documentation produit. Limites Pour protéger entièrement l'API GKE On-Prem, ajoutez toutes les API suivantes au périmètre de service: API Kubernetes Metadata (kubernetesmetadata.googleapis.com) API Cloud Monitoring (monitoring.googleapis.com) API Cloud Logging (logging.googleapis.com) Notez que VPC Service Controls ne protège pas contre les exportations de journaux Cloud Logging au niveau d'un dossier ou d'une organisation. |
| Google Distributed Cloud (logiciel uniquement) pour solution Bare Metal | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Non.L'API de Google Distributed Cloud (logiciel uniquement) pour Bare Metal ne peut pas être protégée par des périmètres de service. Toutefois, Google Distributed Cloud (logiciel uniquement) pour solution Bare Metal peut être utilisé normalement dans les projets situés au sein d'un périmètre. Détails Vous pouvez créer un cluster dans votre environnement, qui est connecté au VPC à l'aide de Cloud Interconnect ou de Cloud VPN. Pour en savoir plus sur Google Distributed Cloud (logiciel uniquement) pour Bare Metal, consultez la documentation du produit. Limites Pour protéger vos clusters, utilisez des VIP restreints dans Google Distributed Cloud (logiciel uniquement) pour Bare Metal, et ajoutez toutes les API suivantes au périmètre de service: API Artifact Registry (artifactregistry.googleapis.com) API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com) API Compute Engine (compute.googleapis.com) API Connect Gateway (connectgateway.googleapis.com) API Google Container Registry (containerregistry.googleapis.com) API GKE Connect (gkeconnect.googleapis.com) API GKE Hub (gkehub.googleapis.com) API GKE On-Prem (gkeonprem.googleapis.com) API Cloud IAM (iam.googleapis.com) API Cloud Logging (logging.googleapis.com) API Cloud Monitoring (monitoring.googleapis.com) API Config Monitoring pour Ops (opsconfigmonitoring.googleapis.com) API Service Control (servicecontrol.googleapis.com) API Cloud Storage (storage.googleapis.com) |
| API On-Demand Scanning | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service ondemandscanning.googleapis.com Détails L'API pour l'API de numérisation à la demande peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'API de numérisation à la demande, consultez la documentation produit. Limites L'intégration de l'API On-Demand Scanning avec VPC Service Controls n'a pas de limites connues. |
| Looker (Google Cloud Core) | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service looker.googleapis.com Détails L'API pour Looker (Google Cloud Core) peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Looker (Google Cloud Core), consultez la documentation du produit. Limites Seules les éditions Enterprise ou Embed des instances Looker (Google Cloud Core) utilisant des connexions IP privées sont compatibles avec la conformité VPC Service Controls. Les instances Looker (Google Cloud Core) avec des connexions IP publiques ou des connexions IP publiques et privées ne sont pas compatibles avec la conformité VPC Service Controls. Pour créer une instance qui utilise une connexion IP privée, sélectionnez Adresse IP privée dans la section Networking (Réseau) de la page Create instance (Créer une instance) de la console Google Cloud . Lorsque vous placez ou créez une instance Looker (noyau Google Cloud) dans un périmètre de service VPC Service Controls, vous devez supprimer la route par défaut vers Internet en appelant la méthode services.enableVpcServiceControls ou en exécutant la commande gcloud suivante:gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.comSupprimer la route par défaut limite le trafic sortant aux seuls services conformes à VPC Service Controls. Par exemple, l'envoi d'e-mails échouera, car l'API utilisée pour envoyer des e-mails n'est pas compatible avec VPC Service Controls. Si vous utilisez un VPC partagé, assurez-vous d'inclure le projet de service Looker (Google Cloud Core) dans le même périmètre de service que le projet hôte du VPC partagé, ou de créer une liaison de périmètre entre les deux projets. Si le projet de service Looker (Google Cloud Core) et le projet hôte du VPC partagé ne se trouvent pas dans le même périmètre ou ne peuvent pas communiquer via un pont de périmètre, la création d'instance peut échouer ou l'instance Looker (Google Cloud Core) peut ne pas fonctionner correctement. Si vous utilisez Looker Studio Pro ou Studio dans Looker, le connecteur Looker n'est pas conforme à VPC Service Controls. Vous pouvez vous connecter à une instance Looker d'adresse IP privée située dans un périmètre VPC Service Controls, mais vos données quittent le périmètre VPC Service Controls. |
| Autorité de certification publique | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service publicca.googleapis.com Détails L'API pour l'autorité de certification publique peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'autorité de certification publique, consultez la documentation du produit. Limites L'intégration de l'autorité de certification publique avec VPC Service Controls n'a pas de limites connues. |
| Storage Insights | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service storageinsights.googleapis.com Détails L'API Storage Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Storage Insights, consultez la documentation du produit. Limites L'intégration de Storage Insights avec VPC Service Controls n'a pas de limites connues. |
| Pipelines de données Dataflow | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service datapipelines.googleapis.com Détails Pour protéger entièrement les pipelines de données Dataflow, incluez toutes les API suivantes dans votre périmètre: API Dataflow (dataflow.googleapis.com) API Cloud Scheduler (cloudscheduler.googleapis.com) API Container Registry (containerregistry.googleapis.com) Pour en savoir plus sur les pipelines de données Dataflow, consultez la documentation du produit. Limites L'intégration des pipelines de données Dataflow avec VPC Service Controls n'a pas de limites connues. |
| Security Command Center | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service securitycenter.googleapis.com, securitycentermanagement.googleapis.com Détails Les API de Security Command Center peuvent être protégées par VPC Service Controls, et Security Command Center peut être utilisé normalement dans les périmètres de service. Les services securitycenter.googleapis.com et securitycentermanagement.googleapis.com sont liés. Lorsque vous limitez le service securitycenter.googleapis.com dans un périmètre, le périmètre limite le service securitycentermanagement.googleapis.com par défaut. Vous ne pouvez pas ajouter le service securitycentermanagement.googleapis.com à la liste des services limités dans un périmètre, car il est lié à securitycenter.googleapis.com. Pour en savoir plus sur Security Command Center, consultez la documentation du produit. Limites VPC Service Controls ne permet pas d'accéder aux ressources de l'API Security Command Center au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Security Command Center au niveau du projet. Vous pouvez spécifier une règle de sortie pour empêcher l'accès aux ressources de l'API Security Command Center au niveau du projet à partir des projets situés à l'intérieur du périmètre. VPC Service Controls ne permet pas d'ajouter des ressources API Security Command Center au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources de l'API Security Command Center au niveau du dossier ou de l'organisation. Pour gérer les autorisations de Security Command Center au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM. VPC Service Controls n'est pas compatible avec le service d'évaluation de la posture de sécurité, car les ressources d'évaluation de la posture de sécurité (telles que les postures, les déploiements de postures et les modèles de posture prédéfinis) sont des ressources au niveau de l'organisation. Vous ne pouvez pas exporter les résultats au niveau d'un dossier ou d'une organisation vers des destinations situées à l'intérieur d'un périmètre de service. Vous devez activer l'accès au périmètre dans les scénarios suivants : Lorsque vous activez les notifications de résultats au niveau du dossier ou de l'organisation et que le sujet Pub/Sub se trouve dans un périmètre de service. Lorsque vous exportez des données vers BigQuery au niveau du dossier ou de l'organisation, et que BigQuery se trouve dans un périmètre de service. Lorsque vous intégrez Security Command Center à un produit SIEM ou SOAR, et que le produit est déployé dans un périmètre de service dans un environnement Google Cloud . Les SIEM et SOAR compatibles incluent Splunk et IBM QRadar. |
| Cloud Customer Care | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudsupport.googleapis.com Détails L'API pour le service client Cloud peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur le service client Cloud, consultez la documentation produit. Limites VPC Service Controls protège les données auxquelles vous accédez via l'API Cloud Support, mais pas celles auxquelles vous accédez via la console Google Cloud . |
| Applications de l'IA : Vertex AI Search | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service discoveryengine.googleapis.com Détails L'API pour les applications d'IA : Vertex AI Search peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les applications d'IA : Vertex AI Search, consultez la documentation du produit. Limites Si vous configurez le widget de recherche Vertex AI pour un accès public (c'est-à-dire sans jeton OAuth), les appels au backend de l'API sont effectués via un agent de service géré par Google. Comme ce trafic ne transporte pas votre jeton d'authentification, la requête peut contourner efficacement les règles d'entrée VPC Service Controls configurées par votre organisation. Même si vous protégez le service discoveryengine.googleapis.com dans un périmètre VPC Service Controls, un widget avec accès public peut toujours être accessible en dehors de ce périmètre. Si votre organisation nécessite l'application de VPC Service Controls pour protéger les données sensibles, n'activez pas de widget accessible au public. |
| Espace confidentiel | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service confidentialcomputing.googleapis.com Détails Pour vous assurer que l'espace confidentiel fonctionne correctement au-delà des limites du périmètre, vous devez configurer des règles de sortie. Si votre espace confidentiel doit accéder à des buckets Cloud Storage en dehors de votre périmètre, créez une règle de sortie pour autoriser l'accès à ces buckets. Si vous activez l'API Confidential Space sur des ressources Compute Engine en dehors de votre périmètre, créez une règle de sortie pour autoriser l'accès à cette API. Pour en savoir plus sur l'espace confidentiel, consultez la documentation du produit. Limites |
| Console série | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service ssh-serialport.googleapis.com Détails Pour utiliser la protection VPC Service Controls lorsque vous vous connectez à la console série d'une instance de machine virtuelle (VM), vous devez spécifier une règle d'entrée pour le périmètre de service. Lorsque vous configurez la règle d'entrée, le niveau d'accès de la source doit être une valeur basée sur une adresse IP et le nom du service doit être défini sur ssh-serialport.googleapis.com. La règle d'entrée est requise pour accéder à la console série, même si la requête source et la ressource cible se trouvent dans le même périmètre. Pour en savoir plus sur la console série, consultez la documentation du produit. Limites Vous ne pouvez pas utiliser SSH dans le navigateur pour accéder à la console série. Vous ne pouvez pas accéder à une console série à l'aide de l'accès privé à Google. Vous ne pouvez y accéder que depuis l'Internet public. Lorsque vous utilisez une console série, vous ne pouvez pas utiliser de règles d'entrée ou de sortie basées sur l'identité pour autoriser l'accès à la console série. |
| Google Cloud VMware Engine | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service vmwareengine.googleapis.com Détails Pour en savoir plus sur VPC Service Controls avec VMware Engine, consultez la page VPC Service Controls avec VMware Engine. Pour en savoir plus sur Google Cloud VMware Engine, consultez la documentation du produit. Limites Lorsque vous ajoutez des réseaux VMware Engine, des clouds privés, des stratégies réseau et des appairages VPC existants à un périmètre de service VPC, les ressources créées précédemment ne sont pas vérifiées à nouveau pour voir si elles respectent toujours les règles du périmètre. |
| Dataform | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service dataform.googleapis.com Détails Pour découvrir comment contrôler l'accès à Dataform avec VPC Service Controls, consultez la section Configurer VPC Service Controls pour Dataform. Pour en savoir plus sur Dataform, consultez la documentation du produit. Limites Pour utiliser la protection VPC Service Controls pour Dataform, vous devez définir la stratégie d'organisation "dataform.restrictGitRemotes" et restreindre BigQuery avec le même périmètre de service que Dataform. Vous devez vous assurer que les autorisations Identity and Access Management accordées à vos comptes de service utilisés dans Dataform reflètent votre architecture de sécurité. |
| Web Security Scanner | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service websecurityscanner.googleapis.com Détails L'outil Web Security Scanner et VPC Service Controls sont soumis à des conditions d'utilisation différentes. Pour en savoir plus, consultez les conditions de chaque produit. Web Security Scanner envoie les résultats à Security Command Center à la demande. Vous pouvez afficher ou télécharger les données depuis le tableau de bord Security Command Center. Pour en savoir plus sur Web Security Scanner, consultez la documentation du produit. Limites L'intégration du Web Security Scanner avec VPC Service Controls n'a pas de limites connues. |
| Secure Source Manager | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service securesourcemanager.googleapis.com Détails Vous devez configurer Certificate Authority Service avec une autorité de certification fonctionnelle avant de créer des instances VPC Service Controls Secure Source Manager. Vous devez configurer Private Service Connect avant d'accéder à l'instance VPC Service Controls du Gestionnaire de sources sécurisées. Pour en savoir plus sur Secure Source Manager, consultez la documentation du produit. Limites Le non-respect du journal d'audit SERVICE_NOT_ALLOWED_FROM_VPC causé par les limites de GKE peut être ignoré. Pour ouvrir l'interface Web VPC Service Controls avec un navigateur, celui-ci doit avoir accès aux URL suivantes : https://accounts.google.com https://LOCATION\_OF\_INSTANCE\-sourcemanagerredirector-pa.client6.google.com Par exemple : https://us-central1-sourcemanagerredirector-pa.client6.google.com https://lh3.googleusercontent.com |
| Proxy Web sécurisé | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service networkservices.googleapis.com,networksecurity.googleapis.com Détails Les API du proxy Web sécurisé peuvent être protégées par VPC Service Controls, et le produit peut être utilisé normalement dans les périmètres de service. Si vous provisionnez votre proxy avec un certificat ou activez l'inspection TLS, vous devez également activer l'API Certificate Manager (certificatemanager.googleapis.com) dans votre périmètre. Pour en savoir plus sur le proxy Web sécurisé, consultez la documentation du produit. Limites L'intégration du proxy Web sécurisé avec VPC Service Controls n'a pas de limites connues. |
| Clés API | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service apikeys.googleapis.com Détails L'API pour les clés API peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les clés API, consultez la documentation produit. Limites L'intégration des clés API avec VPC Service Controls n'a pas de limites connues. |
| Console Partner dans Contrôles souverains par les partenaires | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudcontrolspartner.googleapis.com Détails L'API Partner Cloud Controls peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur la console Partner dans Sovereign Controls by Partners, consultez la documentation du produit. Limites Ce service doit être limité à tous les utilisateurs non partenaires. Si vous êtes un partenaire qui propose Sovereign Controls by Partners, vous pouvez protéger ce service à l'aide d'un périmètre de service. |
| Microservices | État Bêta Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service microservices.googleapis.com Détails L'API pour les microservices peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur les microservices, consultez la documentation du produit. Limites L'intégration des microservices avec VPC Service Controls n'a pas de limites connues. |
| Earth Engine | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service earthengine.googleapis.com,earthengine-highvolume.googleapis.com Détails Les services earthengine.googleapis.com et earthengine-highvolume.googleapis.com sont liés. Lorsque vous limitez le service earthengine.googleapis.com dans un périmètre, le périmètre limite le service earthengine-highvolume.googleapis.com par défaut. Vous ne pouvez pas ajouter le service earthengine-highvolume.googleapis.com à la liste des services limités dans un périmètre, car il est lié à earthengine.googleapis.com. Pour en savoir plus sur Earth Engine, consultez la documentation du produit. Limites L'éditeur de code Earth Engine, un IDE Web pour l'API JavaScript Earth Engine, n'est pas compatible et VPC Service Controls n'autorise pas l'utilisation de l'éditeur de code Earth Engine avec des ressources et des clients dans un périmètre de service. Les anciens composants ne sont pas protégés par VPC Service Controls. Exporter vers Google Drive n'est pas compatible avec VPC Service Controls. Les applications Earth Engine ne sont pas compatibles avec les ressources et les clients situés dans un périmètre de service. VPC Service Controls n'est disponible que pour les forfaits Premium et Professional d'Earth Engine. Pour en savoir plus sur les forfaits, consultez la page Forfaits Earth Engine. Pour en savoir plus sur les limites et les exemples de solutions de contournement, consultez la documentation sur le contrôle des accès dans Earth Engine. |
| App Hub | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service apphub.googleapis.com Détails App Hub vous permet de découvrir et d'organiser les ressources d'infrastructure dans des applications. Vous pouvez utiliser des périmètres VPC Service Controls pour protéger les ressources de l'App Hub. Pour en savoir plus sur App Hub, consultez la documentation du produit. Limites Vous devez configurer VPC Service Controls sur les projets hôte et de service App Hub avant de créer une application et d'y enregistrer des services et des charges de travail. App Hub est compatible avec les types de ressources suivants: Application Service découvert Charge de travail découverte Service Rattachement de projet de service Charge de travail |
| Cloud Code | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service cloudcode.googleapis.com Détails L'API Cloud Code peut être protégée par VPC Service Controls. Pour utiliser les fonctionnalités Gemini dans Cloud Code, une règle d'entrée doit être configurée pour autoriser le trafic provenant des clients IDE. Pour en savoir plus, consultez la documentation Gemini. Pour en savoir plus sur Cloud Code, consultez la documentation du produit. Limites L'intégration de Cloud Code avec VPC Service Controls n'a pas de limites connues. |
| API Commerce Org Governance | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service commerceorggovernance.googleapis.com Détails Le périmètre VPC Service Controls protège l'API Commerce Org Governance pour la place de marché privée Google. Pour en savoir plus sur l'API Commerce Org Governance, consultez la documentation produit. Limites Les ressources telles que les demandes d'achat et d'accès, que l'API Commerce Org Governance crée au niveau du projet, apparaissent au niveau de l'organisation et sont examinées par l'administrateur de l'organisation sans appliquer les règles VPC Service Controls. |
| Google Cloud Contact Center as a Service | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service contactcenteraiplatform.googleapis.com Détails Pour limiter le trafic Internet, utilisez des règles d'administration. Appelez les méthodes CREATE ou UPDATE du centre de contact Google Cloud en tant qu'API de service pour appliquer manuellement les contraintes des règles de l'organisation. Pour en savoir plus sur Google Cloud Contact Center as a Service, consultez la documentation du produit. Limites L'intégration de Google Cloud Contact Center as a Service avec VPC Service Controls n'a pas de limites connues. |
| Privileged Access Manager | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service privilegedaccessmanager.googleapis.com Détails L'API pour Privileged Access Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Privileged Access Manager, consultez la documentation du produit. Limites VPC Service Controls ne permet pas d'ajouter des ressources au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources Privileged Access Manager au niveau du dossier ou de l'organisation. VPC Service Controls protège les ressources de Privileged Access Manager au niveau du projet. Pour protéger Privileged Access Manager, vous devez inclure les API suivantes dans votre périmètre : API Privileged Access Manager (privilegedaccessmanager.googleapis.com) API Cloud Resource Manager (cloudresourcemanager.googleapis.com) API Cloud Logging (logging.googleapis.com) API Cloud Asset (cloudasset.googleapis.com) |
| Service Usage | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service serviceusage.googleapis.com Détails L'API pour l'utilisation des services peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur l'utilisation des services, consultez la documentation du produit. Limites L'intégration de l'utilisation des services avec VPC Service Controls n'a pas de limites connues. |
| Gestionnaire d'audits | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service auditmanager.googleapis.com Détails L'API pour Audit Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Audit Manager, consultez la documentation du produit. Limites Vous ne pouvez pas utiliser un périmètre pour protéger les ressources du Gestionnaire d'audit au niveau du dossier ou de l'organisation. Pour gérer les autorisations du Gestionnaire d'audit au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM. Vous devez activer l'accès au périmètre à l'aide de règles d'entrée et de sortie dans les scénarios suivants : Si vous exécutez un audit au niveau du dossier et que le bucket Cloud Storage se trouve dans un périmètre, configurez une règle d'entrée pour le compte de service. Si vous exécutez un audit au niveau du dossier et que les projets du dossier sont protégés par un périmètre, configurez une règle d'entrée pour le compte de service. Si vous exécutez un audit au niveau du projet, que le projet est protégé par un périmètre et que le bucket Cloud Storage ne se trouve pas dans le même périmètre, configurez une règle de sortie pour le projet contenant le bucket Cloud Storage. Pour en savoir plus, consultez Configurer VPC Service Controls pour Audit Manager. |
| Google Agentspace Enterprise | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service discoveryengine.googleapis.com Détails L'API pour Google Agentspace Enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Google Agentspace Enterprise, consultez la documentation du produit. Limites L'intégration de Google Agentspace Enterprise à VPC Service Controls n'a pas de limites connues. |
| Google Agentspace : NotebookLM pour les entreprises | État Disponibilité générale. Cette intégration de produit est entièrement compatible avec VPC Service Controls. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service discoveryengine.googleapis.com Détails L'API pour Google Agentspace – NotebookLM for enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Google Agentspace – NotebookLM for enterprise, consultez la documentation du produit. Limites L'intégration de Google Agentspace – NotebookLM for enterprise à VPC Service Controls n'a pas de limites connues. |
| Developer Connect | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service developerconnect.googleapis.com Détails L'API pour Developer Connect peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Developer Connect, consultez la documentation du produit. Limites Pour restreindre l'accès aux outils tiers de gestion du code source, vous pouvez créer une règle d'administration personnalisée. |
| Gestionnaire de paramètres | État Bêta. L'intégration de ce produit à VPC Service Controls est en version Preview et est prête pour des tests et des usages plus larges, mais n'est pas entièrement compatible avec les environnements de production. Protéger avec des périmètres ? Oui. Vous pouvez configurer vos périmètres pour protéger ce service. Nom du service parametermanager.googleapis.com Détails L'API pour Parameter Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Pour en savoir plus sur Parameter Manager, consultez la documentation du produit. Limites Le Gestionnaire de paramètres doit se trouver dans le même périmètre VPC Service Controls que Secret Manager. |
Pour en savoir plus, consultez la section relative aux services compatibles et incompatibles.
Services compatibles avec les adresses IP virtuelles restreintes
L'adresse IP virtuelle restreinte permet aux VM situées dans un périmètre de service d'appeler les services Google Cloud sans exposer les requêtes sur Internet. Pour obtenir la liste complète des services disponibles sur une adresse IP virtuelle restreinte, consultez la section Services compatibles avec l'adresse IP virtuelle restreinte.
Services non compatibles
Toute tentative visant à limiter un service non compatible à l'aide de l'outil de ligne de commande gcloud ou de l'API Access Context Manager génère une erreur.
L'accès entre projets aux données de services non compatibles est bloqué par VPC Service Controls. De plus, il est possible d'utiliser une adresse IP virtuelle restreinte pour empêcher les charges de travail d'appeler des services incompatibles.
Autres limitations connues
Cette section décrit les limites connues concernant certains services, produits et interfacesGoogle Cloud pouvant être rencontrées lors de l'utilisation de VPC Service Controls.
Pour connaître les limites applicables aux produits compatibles avec VPC Service Controls, reportez-vous au tableau des produits compatibles.
Pour découvrir comment résoudre les problèmes liés à VPC Service Controls, consultez la page Dépannage.
API AutoML
Lorsque vous utilisez l'API AutoML avec VPC Service Controls, les limitations suivantes s'appliquent :
- Vous ne pouvez pas ajouter les points de terminaison régionaux compatibles, tels que
eu-automl.googleapis.com, à la liste des services restreints d'un périmètre. Lorsque vous protégez le serviceautoml.googleapis.com, le périmètre protège également les points de terminaison régionaux disponibles, tels queeu-automl.googleapis.com. - Lorsque vous utilisez un périmètre de service pour protéger
automl.googleapis.com, l'accès à tous les produits AutoML intégrés à VPC Service Controls et utilisés dans ce périmètre est affecté. Vous devez configurer votre périmètre VPC Service Controls pour tous les produits AutoML intégrés utilisés dans ce périmètre.
Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :- API AutoML (
automl.googleapis.com) - API Cloud Storage (
storage.googleapis.com) - API Compute Engine (
compute.googleapis.com) - API BigQuery (
bigquery.googleapis.com)
- API AutoML (
App Engine
- App Engine (environnements standard et flexible) n'est pas compatible avec VPC Service Controls. N'incluez pas de projets App Engine dans les périmètres de service.
Toutefois, il est possible de permettre aux applications App Engine créées dans des projets situés en dehors des périmètres de service de lire et d'écrire des données dans des services protégés situés à l'intérieur des périmètres. Pour permettre à votre application d'accéder aux données des services protégés, créez un niveau d'accès incluant le compte de service App Engine du projet. Cette opération ne permet pas d'utiliser App Engine dans les périmètres de service.
Solution Bare Metal
- Connecter VPC Service Controls à votre environnement de solution Bare Metal ne garantit aucunement le contrôle des services.
- L'API de la solution Bare Metal peut être ajoutée à un périmètre sécurisé. Toutefois, les périmètres VPC Service Controls ne s'étendent pas à l'environnement de la solution Bare Metal dans les extensions régionales.
Blockchain Node Engine
- VPC Service Controls ne protège que l'API Blockchain Node Engine. Lorsqu'un nœud est créé, vous devez toujours indiquer qu'il est destiné à un réseau privé configuré par l'utilisateur avec Private Service Connect.
- Le trafic peer-to-peer n'est pas affecté par VPC Service Controls ni par Private Service Connect, et continuera d'utiliser l'Internet public.
Bibliothèques clientes
- Les bibliothèques clientes Java et Python associées à tous les services compatibles peuvent entièrement être exploitées pour l'accès à l'aide de l'adresse IP virtuelle restreinte. La compatibilité avec d'autres langages de programmation est en phase alpha, et ces derniers ne devraient être utilisés qu'à des fins de test.
- Les clients doivent utiliser des bibliothèques clientes qui ont été mises à jour le 1er novembre 2018 ou à une date ultérieure.
- Les clés de compte de service ou les métadonnées client OAuth2 utilisées par les clients doivent avoir été mises à jour le 1er novembre 2018 ou à une date ultérieure. Les clients plus anciens exploitant le point de terminaison du jeton doivent recourir au point de terminaison spécifié dans le nouveau matériel de clé ou les nouvelles métadonnées client.
Cloud Billing
- Vous pouvez exporter des données Cloud Billing vers un bucket Cloud Storage ou une instance BigQuery dans un projet protégé par un périmètre de service sans configurer de niveau d'accès ni de règle d'entrée.
Cloud Deployment Manager
- Deployment Manager n'est pas compatible avec VPC Service Controls. Même si des utilisateurs sont en mesure d'appeler des services conformes à VPC Service Controls, il est préférable qu'ils procèdent autrement, car il est possible que cette fonctionnalité ne soit plus disponible.
- Comme alternative, vous pouvez ajouter le compte de service Deployment Manager (
PROJECT_NUMBER@cloudservices.gserviceaccount.com) aux niveaux d'accès afin d'autoriser les appels vers les API protégées par VPC Service Controls.
Cloud Shell
VPC Service Controls n'est pas compatible avec Cloud Shell. VPC Service Controls considère Cloud Shell comme situé en dehors des périmètres de service et refuse l'accès aux données protégées par VPC Service Controls. Toutefois, VPC Service Controls permet l'accès à Cloud Shell si un appareil répondant aux exigences de niveau d'accès du périmètre de service lance Cloud Shell.
ConsoleGoogle Cloud
- Comme la console Google Cloud n'est accessible que par Internet, elle est considérée comme étant extérieure aux périmètres de service. Lorsque vous appliquez un périmètre de service, l'interface de la console Google Cloud correspondant aux services que vous protégez peut devenir partiellement ou totalement inaccessible. Par exemple, si vous avez protégé Cloud Logging avec le périmètre, vous ne pourrez pas accéder à son interface dans la console Google Cloud .
Pour autoriser la console Google Cloud à accéder aux ressources protégées par un périmètre, vous devez créer un niveau d'accès pour une plage d'adresses IP publique incluant les machines des utilisateurs souhaitant utiliser la console Google Cloud avec des API protégées. Par exemple, vous pouvez ajouter la plage d'adresses IP publique de la passerelle NAT de votre réseau privé à un niveau d'accès, puis attribuer ce niveau d'accès au périmètre de service.
Si vous souhaitez limiter l'accès de la Google Cloud console au périmètre à un ensemble spécifique d'utilisateurs, vous pouvez également ajouter ces utilisateurs à un niveau d'accès. Dans ce cas, seuls les utilisateurs spécifiés pourront accéder à la consoleGoogle Cloud . - Les requêtes via la console Google Cloud provenant d'un réseau pour lequel l'accès privé à Google est activé, y compris les réseaux implicitement activés par Cloud NAT, peuvent être bloquées, même si le réseau source et la ressource cible de la requête se trouvent dans le même périmètre. En effet, l'accès à la consoleGoogle Cloud via l'accès privé à Google n'est pas compatible avec VPC Service Controls.
Serveur de métadonnéesGoogle Cloud
- Pour les instances de VM Compute Engine et les nœuds GKE, la protection VPC Service Controls ne s'applique pas au trafic entrant vers le Google Cloud serveur de métadonnées ni au trafic sortant depuis celui-ci.
Accès aux services privés
- L'accès aux services privés permet de déployer une instance de service dans un réseau VPC partagé. Si vous utilisez cette configuration avec VPC Service Controls, assurez-vous que le projet hôte qui fournit le réseau et le projet de service contenant l'instance de service se trouvent dans le même périmètre VPC Service Controls. Sinon, les requêtes peuvent être bloquées et les instances de service risquent de ne pas fonctionner correctement.
Pour en savoir plus sur les services compatibles avec l'accès aux services privés, consultez la section Services compatibles.
GKE Multi-cloud
- VPC Service Controls ne s'applique qu'aux ressources de votre projet Google Cloud. L'environnement cloud tiers qui héberge vos clusters multicloud GKE ne garantit aucunement le contrôle des services.
Google Distributed Cloud
- VPC Service Controls ne s'applique qu'aux machines Bare Metal connectées à des projets de réseau VPC qui utilisent des adresses IP virtuelles restreintes.
- Les services OpenID Connect (OIDC) et LDAP (Lightweight Directory Access Protocol) doivent se trouver dans le même périmètre VPC Service Controls. Les requêtes adressées à des points de terminaison externes sont bloquées.
Centre de migration
- Une fois le périmètre de service activé, vous ne pouvez plus transférer vos données d'infrastructure vers StratoZone.
Fédération des identités des employés
- La fédération des identités des employés n'est pas compatible avec VPC Service Controls. Les pools d'employés sont des ressources au niveau de l'organisation, et les ressources au niveau de l'organisation ne sont pas compatibles avec VPC Service Controls.
Étape suivante
- Résoudre les problèmes courants liés à VPC Service Controls
- Résoudre les problèmes courants liés à d'autres Google Cloud services
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/04/30 (UTC).