此页面由 Cloud Translation API 翻译。

限制端点用量

本页面简要介绍了限制端点用量 组织政策限制条件，这项政策允许企业管理员控制可以在其资源层次结构中使用哪些 API 端点。 Google Cloud Google Cloud

管理员可以使用此限制条件来定义对允许的 Google Cloud API 端点（例如全球、位置或区域端点）的分层限制。例如，您可以将项目配置为拒绝对全局 bigquery.googleapis.com 端点的请求，但允许对位置 LOCATION-biguery.googleapis.com 端点的请求。通过限制全球 API 端点的使用，组织可以确保仅使用允许的位置性或区域性端点，从而满足合规性要求。

“限制端点使用”限制条件是使用拒绝名单设置的，允许对任何未被明确拒绝的受支持服务的 API 端点发出请求。

此限制条件会控制对所有范围内资源的运行时访问权限。包含此约束条件的组织政策更新后，该约束条件会立即应用于该政策范围内的所有资源，最终会保持一致。

我们建议管理员谨慎管理包含此约束条件的组织政策的更新。例如，您应考虑在试运行模式下设置政策，以便在政策生效之前监控政策更改对现有工作流的影响。

API 端点类型

API 端点（或服务端点）是指定 API 服务（例如 bigquery.googleapis.com）的网络地址的网址。 Google Cloud Google Cloud 服务允许使用不同类型的 API 端点（包括全球端点、位置端点和区域端点）访问资源。对每种类型的支持取决于服务。

全球 API 端点不会在网址主机名中指定位置。例如：
- storage.googleapis.com
- content-bigqueryconnection.googleapis.com
- bigquerydatatransfer.mtls.googleapis.com
- logging.googleapis.com
这些全局范围的端点提供高可用性服务端点，可尽可能在靠近客户端的位置终止 TLS 会话，从而最大限度地缩短通过互联网处理来自分散客户端群体的 API 调用的延迟时间。
位置型 API 端点会在网址主机名中指定位置。例如：
- us-storage.googleapis.com
- content-us-west3-bigqueryconnection.googleapis.com
- us-west1-bigquerydatatransfer.mtls.googleapis.com
- us-central1-logging.googleapis.com
这些位置端点对需要使用特定于位置的服务且希望确保传输中的数据在通过专用连接访问时仍保留在特定位置的客户而言非常有用。
区域性 API 端点将位置指定为子网域。例如：
- storage.us-east2.rep.googleapis.com
- content-bigqueryconnection.us-west3.rep.googleapis.com
- bigquerydatatransfer.us-west1.rep.mtls.googleapis.com
- logging.us-central1.rep.googleapis.com
对于需要使用特定于位置的服务且希望确保在通过专用连接或公共互联网访问时，传输中的数据会保留在特定位置的客户，这些区域性端点最有益。

注意：只有少数服务支持区域性 API 端点，并且这些端点的可用性可能会有所不同。

限制

“限制端点用量”约束条件用于控制是否可以使用特定 API 端点访问您的资源。请勿将其与其他类似约束条件混淆，例如：

“限制资源位置”限制条件，用于控制可以或不可以创建资源的位置。
“限制资源服务使用”限制条件，用于控制可使用的资源服务。

为了避免破坏现有的服务基础架构，您应该先在非生产项目和文件夹中测试任何新的组织政策，然后再将该政策逐步应用于整个组织。

此限制适用于一部分特定的产品和资源类型。如需获取支持的服务列表以及每项服务的行为详细信息，请参阅支持的 API 端点部分。

如需了解数据存储承诺，请参阅 Google Cloud 服务条款和服务专用条款。包含“限制端点用量”限制条件的组织政策不是数据驻留承诺。

设置组织政策

要设置、更改或删除组织政策，您必须拥有组织政策管理员角色。

组织政策限制条件可以在组织、文件夹和项目级层进行设置。每项政策都适用于其相应资源层次结构中的所有资源，但可能会在该资源层次结构的较低级层被替换。

如需详细了解政策评估，请参阅了解层次结构评估。

“限制端点用量”限制条件是一种列表限制条件。您可以通过限制条件的 denied_values 列表添加和移除端点。

控制台

前往 Google Cloud 控制台中的组织政策页面。

转到组织政策
在项目选择器中，选择要为其设置组织政策的组织、文件夹或项目。
在组织政策表中，选择限制端点使用以打开其政策详情页面。
点击管理政策。
在应用对象下，选择自定义。
在政策执行下，选择此政策的继承方式。
1. 如果要继承父资源的组织政策并将其与此政策合并，请选择与父资源规则合并。
2. 如果您要替换任何现有组织政策，请选择替换。
点击添加规则。
在政策值下方，选择自定义。
在政策类型下，选择拒绝以创建拒绝端点的列表。
在自定义值下，将您要屏蔽的 API 端点主机名添加到列表中。
1. 例如，如需屏蔽 BigQuery 的全局 API 端点，请输入 bigquery.googleapis.com。
2. 如需添加更多端点，请点击添加值。
如需执行政策，请点击保存。

gcloud

您可以通过 gcloud resource-manager org-policies set-policy 命令设置组织政策。如需强制执行包含限制端点使用限制条件的组织政策，请先创建一个包含要更新的政策的 YAML 文件：

constraint: constraints/gcp.restrictEndpointUsage
listPolicy:
    deniedValues:
    - storage.googleapis.com
    - content-bigqueryreservation.googleapis.com
    - bigquerystorage.mtls.googleapis.com
    - logging.googleapis.com

在运行命令之前，请将以下占位值替换为您自己的值：

RESOURCE_TYPE：资源类型，即项目或文件夹。例如 project
RESOURCE_ID：项目或文件夹的资源 ID。例如 8767234

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE='RESOURCE_ID' /tmp/policy.yaml

响应中包含新设置的组织政策：

constraint: constraints/gcp.restrictEndpointUsage
etag: CKCRl6oGEPjG-tMB
listPolicy:
  deniedValues:
  - storage.googleapis.com
  - content-bigqueryreservation.googleapis.com
  - bigquerystorage.mtls.googleapis.com
  - logging.googleapis.com
updateTime: '2023-11-04T04:29:20.444507Z'

如果针对被拒绝的 API 端点的请求尝试访问资源，该请求将会失败，并且系统会返回错误消息，说明失败的原因。

在试运行模式下创建组织政策

处于试运行模式的组织政策是一种组织政策，其中违反政策的行为会记录在审核日志中，但系统不会拒绝违规操作。您可以在试运行模式下使用限制端点用量限制条件创建组织政策，以便在强制执行实际政策之前监控该政策对组织的影响。如需了解详情，请参阅在试运行模式下创建组织政策。

错误消息

如果您设置了一项组织政策来拒绝某个端点，则在资源层次结构中使用该端点的操作将会失败。系统会返回错误消息，说明失败的原因，此外还会生成一个审核日志条目以进一步监控、提醒或调试。

错误消息示例

在以下示例中，使用 API 端点 storage.googleapis.com 的 curl 请求因违反政策而失败：

curl -X GET \
-H "Authorization: Bearer OAUTH2_TOKEN" \
-o "SAVE_TO_LOCATION" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media"

Access to projects/foo-123 through endpoint storage.googleapis.com was denied by
the constraints/gcp.endpointUsageRestriction organization policy constraint. To
access this resource, please use an allowed endpoint.

审核日志条目示例

以下审核日志条目示例展示了何时会被拒绝访问资源：

{
  logName: "projects/my-projectid/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Access to projects/my-projectid through endpoint bigquery.googleapis.com was denied by the constraints/gcp.restrictEndpointUsage organization policy constraint. To access this resource, please use an allowed endpoint."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-projectid"
    authenticationInfo: {
      principalEmail: "user_or_service_account@example.com"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictEndpointUsage"
          checkedValue: "bigquery.googleapis.com"
          policyType: LIST_CONSTRAINT
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "224034263908"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2024-12-05T01:15:30.332519510Z"
  receiveTimestamp: "2024-08-15T17:55:01.159788588Z"
  insertId: "42"
}

支持的 API 端点

“限制端点用量”约束条件支持以下 API 端点：

产品	API 端点	备注
API Gateway	全球 API 端点： `apigateway.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
API 密钥	全球 API 端点： `apikeys.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Access Context Manager	全球 API 端点： `accesscontextmanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Apigee API Hub	全球 API 端点： `apihub.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Apigee API Management API	全球 API 端点： `apim.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Apigee Connect API	全球 API 端点： `apigeeconnect.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Apigee portal API	全球 API 端点： `apigeeportal.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Apigee Registry API	全球 API 端点： `apigeeregistry.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
App Config Manager API	全球 API 端点： `appconfigmanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Application Design Center	全球 API 端点： `designcenter.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Application Integration	全球 API 端点： `integrations.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Artifact Analysis	全球 API 端点： `containeranalysis.googleapis.com` `ondemandscanning.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Artifact Registry	全球 API 端点： `artifactregistry.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Assured Open Source Software	全球 API 端点： `assuredoss.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Assured Workloads	全球 API 端点： `assuredworkloads.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Audit Manager	全球 API 端点： `auditmanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Authorization Toolkit API	全球 API 端点： `authztoolkit.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
批量	全球 API 端点： `batch.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Chrome 企业进阶版	全球 API 端点： `beyondcorp.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigLake	全球 API 端点： `biglake.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigQuery	全球 API 端点： `bigquery.googleapis.com` `www.googleapis.com (BigQuery)` 不支持位置 API 端点。不支持区域性 API 端点。	`www.googleapis.com/.../bigquery/...` 是一种旧版 API 端点格式。贵组织应改用较新的 API。您可以将 `www.googleapis.com (BigQuery)` 添加到“限制端点用量”政策限制条件中，以避免意外使用旧版 API。
BigQuery 连接	全球 API 端点： `bigqueryconnection.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigQuery 数据政策	全球 API 端点： `bigquerydatapolicy.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigQuery Data Transfer	全球 API 端点： `bigquerydatatransfer.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigQuery 迁移	全球 API 端点： `bigquerymigration.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigQuery Reservation	全球 API 端点： `bigqueryreservation.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigQuery 已保存的查询 API	全球 API 端点： `bigquery-sq.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
BigQuery 存储	全球 API 端点： `bigquerystorage.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Binary Authorization	全球 API 端点： `binaryauthorization.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
区块链分析	全球 API 端点： `blockchain.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Blockchain Node Engine	全球 API 端点： `blockchainnodeengine.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Blockchain Validator Manager	全球 API 端点： `blockchainvalidatormanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
容量规划工具	全球 API 端点： `capacityplanner.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Certificate Authority Service	全球 API 端点： `privateca.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Certificate Manager	全球 API 端点： `certificatemanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Asset Inventory	全球 API 端点： `cloudasset.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Build	全球 API 端点： `cloudbuild.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud CDN	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Commerce Producer API	全球 API 端点： `cloudcommerceproducer.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Controls Partner API	全球 API 端点： `cloudcontrolspartner.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud DNS	全球 API 端点： `dns.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Deployment Manager	全球 API 端点： `runtimeconfig.googleapis.com` `deploymentmanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Domains	全球 API 端点： `domains.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Healthcare API	全球 API 端点： `healthcare.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Interconnect	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Intrusion Detection System	全球 API 端点： `ids.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Key Management Service	全球 API 端点： `cloudkms.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Life Sciences	全球 API 端点： `lifesciences.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Load Balancing	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Logging	全球 API 端点： `logging.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Monitoring	全球 API 端点： `monitoring.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud NAT	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Natural Language API	全球 API 端点： `language.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud 新一代防火墙企业版	全球 API 端点： `networksecurity.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud 新一代防火墙基本功能版	全球 API 端点： `compute.googleapis.com` `networksecurity.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud 新一代防火墙标准版	全球 API 端点： `compute.googleapis.com` `networksecurity.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud OS Login API	全球 API 端点： `oslogin.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Router	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Run	全球 API 端点： `run.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud SQL	全球 API 端点： `sqladmin.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Service Mesh	全球 API 端点： `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com` `trafficdirector.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Storage	全球 API 端点： `storage.googleapis.com` `www.googleapis.com (Cloud Storage)` 不支持位置 API 端点。不支持区域性 API 端点。	`www.googleapis.com/.../storage/...` 是一种旧版 API 端点格式。贵组织应改用较新的 API。您可以将 `www.googleapis.com (Cloud Storage)` 添加到“限制端点用量”政策限制条件中，以避免意外使用旧版 API。您必须申请列入许可名单，才能为 Cloud Storage API 端点启用“限制端点使用情况”约束条件。如需为 Cloud Storage API 端点启用此约束条件，请提交 GCS 限制端点使用情况预览许可名单表单，并提供要强制执行此约束条件的项目编号。此过程大约需要两周时间，完成后我们会与您联系。使用位置端点时，某些 Cloud Storage 操作不受支持。如需了解详情，请参阅符合 ITAR 的位置端点。如果您配置了“限制端点用量”限制条件来限制全局端点，则可以使用 Google Cloud 控制台执行这些操作。这些操作不会包含数据驻留服务条款中定义的客户数据，因此您可以在 Google Cloud 控制台中使用这些操作，而不会违反 ITAR 合规性要求。
Cloud Support API	全球 API 端点： `cloudsupport.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Tool Results API	全球 API 端点： `toolresults.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud VPN	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Workstations	全球 API 端点： `workstations.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Commerce Agreement Publishing API	全球 API 端点： `commerceagreementpublishing.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Commerce Business Enablement API	全球 API 端点： `commercebusinessenablement.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Commerce Price Management API	全球 API 端点： `commercepricemanagement.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Compute Engine	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
机密计算	全球 API 端点： `confidentialcomputing.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
连接	全球 API 端点： `gkeconnect.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Connect 网关	全球 API 端点： `connectgateway.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Contact Center AI 平台 API	全球 API 端点： `contactcenteraiplatform.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Container Threat Detection	全球 API 端点： `containerthreatdetection.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Content Warehouse API	全球 API 端点： `contentwarehouse.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Continuous Validation API	全球 API 端点： `continuousvalidation.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Data Labeling API	全球 API 端点： `datalabeling.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Data Security Posture Management API	全球 API 端点： `dspm.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
数据库迁移服务	全球 API 端点： `datamigration.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Dataflow	全球 API 端点： `dataflow.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Dataproc on GDC	全球 API 端点： `dataprocgdc.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Distributed Cloud	全球 API 端点： `opsconfigmonitoring.googleapis.com` `gdcvmmanager.googleapis.com` `gdchardwaremanagement.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Distributed Cloud Edge Container API	全球 API 端点： `edgecontainer.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Distributed Cloud Edge Network API	全球 API 端点： `edgenetwork.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Enterprise Knowledge Graph	全球 API 端点： `enterpriseknowledgegraph.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Error Reporting	全球 API 端点： `clouderrorreporting.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
重要联系人	全球 API 端点： `essentialcontacts.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Filestore	全球 API 端点： `file.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Financial Services API	全球 API 端点： `financialservices.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Firebase App Hosting	全球 API 端点： `firebaseapphosting.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Firebase Data Connect	全球 API 端点： `firebasedataconnect.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Firebase 安全规则	全球 API 端点： `firebaserules.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Vertex AI 上的生成式 AI	全球 API 端点： `aiplatform.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
GKE Dataplane Management	全球 API 端点： `gkedataplanemanagement.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
GKE Enterprise Edge API	全球 API 端点： `anthosedge.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
GKE Multi-Cloud	全球 API 端点： `gkemulticloud.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
GKE On-Prem API	全球 API 端点： `gkeonprem.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Gemini for Google Cloud API	全球 API 端点： `cloudaicompanion.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Cloud API	全球 API 端点： `cloud.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Cloud Armor	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Cloud Migration Center	全球 API 端点： `migrationcenter.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Cloud Observability	全球 API 端点： `stackdriver.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Kubernetes Engine	全球 API 端点： `container.googleapis.com` `configdelivery.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Security Operations Partner API	全球 API 端点： `chroniclepartner.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Google Workspace 插件	全球 API 端点： `gsuiteaddons.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Identity and Access Management	全球 API 端点： `iam.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Identity-Aware Proxy	全球 API 端点： `iap.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Immersive Stream	全球 API 端点： `stream.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Infrastructure Manager	全球 API 端点： `config.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Integration Connectors	全球 API 端点： `connectors.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
KRM API Hosting	全球 API 端点： `krmapihosting.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Live Stream API	全球 API 端点： `livestream.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
适用于 Apache Flink 的 BigQuery 引擎	全球 API 端点： `managedflink.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Managed Kafka API	全球 API 端点： `managedkafka.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Media Asset Manager	全球 API 端点： `mediaasset.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Memorystore for Memcached	全球 API 端点： `memcache.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Memorystore for Redis	全球 API 端点： `redis.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Message Streams API	全球 API 端点： `messagestreams.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Microservices API	全球 API 端点： `microservices.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Model Armor	全球 API 端点： `modelarmor.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Network Connectivity Center	全球 API 端点： `networkconnectivity.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Network Intelligence Center	全球 API 端点： `networkmanagement.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Network Service Tiers	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Persistent Disk	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Oracle Database@Google Cloud	全球 API 端点： `oracledatabase.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Parallelstore	全球 API 端点： `parallelstore.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Policy Analyzer	全球 API 端点： `policyanalyzer.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
政策问题排查工具	全球 API 端点： `policytroubleshooter.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
渐进式发布	全球 API 端点： `progressiverollout.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Pub/Sub	全球 API 端点： `pubsub.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Public Certificate Authority 机构	全球 API 端点： `publicca.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Recommender	全球 API 端点： `recommender.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Remote Build Execution	全球 API 端点： `remotebuildexecution.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Retail API	全球 API 端点： `retail.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
网络保险中心	全球 API 端点： `riskmanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
SaaS Service Management API	全球 API 端点： `saasservicemgmt.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
SecLM API	全球 API 端点： `seclm.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Secret Manager	全球 API 端点： `secretmanager.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Security Command Center	全球 API 端点： `securitycenter.googleapis.com` `securitycentermanagement.googleapis.com` `securityposture.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Cloud Data Loss Prevention	全球 API 端点： `dlp.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Service Account Credentials API	全球 API 端点： `iamcredentials.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Service Directory	全球 API 端点： `servicedirectory.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Service Networking	全球 API 端点： `servicenetworking.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Speaker ID	全球 API 端点： `speakerid.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
存储空间分析	全球 API 端点： `storageinsights.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Storage Transfer Service	全球 API 端点： `storagebatchoperations.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Text-to-Speech	全球 API 端点： `texttospeech.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Timeseries Insights API	全球 API 端点： `timeseriesinsights.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Transcoder API	全球 API 端点： `transcoder.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Transfer Appliance	全球 API 端点： `transferappliance.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
虚拟机管理器	全球 API 端点： `osconfig.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Vertex AI API	全球 API 端点： `aiplatform.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Vertex AI Workbench	全球 API 端点： `notebooks.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Vertex AI in Firebase	全球 API 端点： `firebasevertexai.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Video Search API	全球 API 端点： `cloudvideosearch.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Video Stitcher API	全球 API 端点： `videostitcher.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Virtual Private Cloud (VPC)	全球 API 端点： `compute.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Web Risk	全球 API 端点： `webrisk.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Web Security Scanner	全球 API 端点： `websecurityscanner.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Workflows	全球 API 端点： `workflows.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无
Workload Certificate API	全球 API 端点： `workloadcertificate.googleapis.com` 不支持位置 API 端点。不支持区域性 API 端点。	无

值组

值组是由 Google 精心挑选的组和 API 端点的集合，可让您更轻松地定义端点限制。值组包含许多相关 API 端点。Google 会不断扩充值组，您无需更改组织政策即可适应新的端点。

如需在组织政策中使用值组，请在您的条目前面添加 in: 字符串作为前缀。如需详细了解如何使用值前缀，请参阅使用限制条件。调用以设置组织政策时，系统会验证组名称。使用无效的群组名称会导致政策设置失败。

下表包含最新的可用组列表：

组	详情	直接成员
global-artifactregistry-endpoints	Artifact Registry 全球 API 端点： `in:global-artifactregistry-endpoints`	值： `artifactregistry.googleapis.com` `artifactregistry.mtls.googleapis.com` `content-artifactregistry.googleapis.com` `content-artifactregistry.mtls.googleapis.com`
global-bigquery-connections-endpoints	BigQuery Connections 全局 API 端点： `in:global-bigquery-connections-endpoints`	值： `bigqueryconnection.googleapis.com` `bigqueryconnection.mtls.googleapis.com` `content-bigqueryconnection.googleapis.com` `content-bigqueryconnection.mtls.googleapis.com`
global-bigquery-datapolicy-endpoints	BigQuery Data Policy 全球 API 端点： `in:global-bigquery-datapolicy-endpoints`	值： `bigquerydatapolicy.googleapis.com` `bigquerydatapolicy.mtls.googleapis.com` `content-bigquerydatapolicy.googleapis.com` `content-bigquerydatapolicy.mtls.googleapis.com`
global-bigquery-datatransfer-endpoints	BigQuery Data Transfer 全局 API 端点： `in:global-bigquery-datatransfer-endpoints`	值： `bigquerydatatransfer.googleapis.com` `bigquerydatatransfer.mtls.googleapis.com` `content-bigquerydatatransfer.googleapis.com` `content-bigquerydatatransfer.mtls.googleapis.com`
global-bigquery-migration-endpoints	BigQuery Migration 全局 API 端点： `in:global-bigquery-migration-endpoints`	值： `bigquerymigration.googleapis.com` `bigquerymigration.mtls.googleapis.com` `content-bigquerymigration.googleapis.com` `content-bigquerymigration.mtls.googleapis.com`
global-certificatemanager-endpoints	Certificate Manager 全局 API 端点： `in:global-certificatemanager-endpoints`	值： `certificatemanager.googleapis.com` `certificatemanager.mtls.googleapis.com`
global-cloudbuild-endpoints	Cloud Build 全局 API 端点： `in:global-cloudbuild-endpoints`	值： `cloudbuild.googleapis.com` `cloudbuild.mtls.googleapis.com` `content-cloudbuild.googleapis.com`
global-compsoer-endpoints	Cloud Composer 全局 API 端点： `in:global-composer-endpoints`	值： `composer.googleapis.com`
global-compute-endpoints	Cloud Compute Engine 全球 API 端点： `in:global-compute-endpoints`	值： `compute.googleapis.com` `compute.mtls.googleapis.com` `content-compute.googleapis.com` `content-compute.mtls.googleapis.com`
global-container-endpoints	Google Kubernetes Engine 全球 API 端点： `in:global-container-endpoints`	值： `container.googleapis.com` `container.mtls.googleapis.com` `content-container.googleapis.com` `content-container.mtls.googleapis.com`
global-containeranalysis-endpoints	Container Analysis 全局 API 端点： `in:global-containeranalysis-endpoints`	值： `containeranalysis.googleapis.com` `containeranalysis.mtls.googleapis.com` `content-containeranalysis.googleapis.com` `content-ondemandscanning.mtls.googleapis.com` `ondemandscanning.googleapis.com` `ondemandscanning.mtls.googleapis.com`
global-containerthreatdetection-endpoints	Container Threat Detection Service 全局 API 端点： `in:global-containerthreatdetection-endpoints`	值： `containerthreatdetection.googleapis.com` `containerthreatdetection.mtls.googleapis.com` `content-containerthreatdetection.googleapis.com` `content-containerthreatdetection.mtls.googleapis.com`
global-dataflow-endpoints	Dataflow 全局 API 端点： `in:global-dataflow-endpoints`	值： `content-dataflow.googleapis.com` `dataflow.googleapis.com`
global-dlp-endpoints	Sensitive Data Protection DLP 全球 API 端点： `in:global-dlp-endpoints`	值： `content-dlp.googleapis.com` `dlp.googleapis.com`
global-dns-endpoints	Cloud DNS 全局 API 端点： `in:global-dns-endpoints`	值： `content-dns.googleapis.com` `content-dns.mtls.googleapis.com` `dns.googleapis.com` `dns.mtls.googleapis.com`
global-filestore-endpoints	Filestore 全局 API 端点： `in:global-filestore-endpoints`	值： `content-file.googleapis.com` `content-file.mtls.googleapis.com` `file.googleapis.com` `file.mtls.googleapis.com`
global-iam-endpoints	Cloud IAM 全局 API 端点： `in:global-iam-endpoints`	值： `content-iam.googleapis.com` `content-iam.mtls.googleapis.com` `iam.googleapis.com` `iam.mtls.googleapis.com`
global-iap-endpoints	IAP 全局 API 端点： `in:global-iap-endpoints`	值： `content-iap.googleapis.com` `iap.googleapis.com`
global-kms-endpoints	Cloud Key Management Service 全球 API 端点： `in:global-kms-endpoints`	值： `cloudkms.googleapis.com` `cloudkms.mtls.googleapis.com` `content-cloudkms.googleapis.com` `content-cloudkms.mtls.googleapis.com`
global-managedkafka-endpoints	Managed Kafka 全球 API 端点： `in:global-managedkafka-endpoints`	值： `content-managedkafka.googleapis.com` `content-managedkafka.mtls.googleapis.com` `managedkafka.googleapis.com` `managedkafka.mtls.googleapis.com`
global-memcache-endpoints	Memorystore for Memcache 全局 API 端点： `in:global-memcache-endpoints`	值： `content-memcache.googleapis.com` `content-memcache.mtls.googleapis.com` `memcache.googleapis.com` `memcache.mtls.googleapis.com`
global-migrationcenter-endpoints	Migration Center 全局 API 端点： `in:global-migrationcenter-endpoints`	值： `content-migrationcenter.googleapis.com` `content-migrationcenter.mtls.googleapis.com` `migrationcenter.googleapis.com` `migrationcenter.mtls.googleapis.com`
global-networkconnectivity-endpoints	Network Connectivity 全球 API 端点： `in:global-networkconnectivity-endpoints`	值： `content-networkconnectivity.googleapis.com` `content-networkconnectivity.mtls.googleapis.com` `networkconnectivity.googleapis.com` `networkconnectivity.mtls.googleapis.com`
global-osconfig-endpoints	虚拟机管理器全局 API 端点： `in:global-osconfig-endpoints`	值： `content-osconfig.googleapis.com` `content-osconfig.mtls.googleapis.com` `osconfig.googleapis.com` `osconfig.mtls.googleapis.com`
global-oslogin-endpoints	OS Login API 端点： `in:global-oslogin-endpoints`	值： `oslogin.googleapis.com`
global-policytroubleshooter-endpoints	政策问题排查工具全球 API 端点： `in:global-policytroubleshooter-endpoints`	值： `content-policytroubleshooter.googleapis.com` `content-policytroubleshooter.mtls.googleapis.com` `policytroubleshooter.googleapis.com` `policytroubleshooter.mtls.googleapis.com`
global-progressiverollout-endpoints	Ripple 全球 API 端点： `in:global-progressiverollout-endpoints`	值： `content-progressiverollout.googleapis.com` `content-progressiverollout.mtls.googleapis.com` `progressiverollout.googleapis.com` `progressiverollout.mtls.googleapis.com`
global-pubsub-endpoints	Pub/Sub 全局 API 端点： `in:global-pubsub-endpoints`	值： `content-pubsub.googleapis.com` `content-pubsub.mtls.googleapis.com` `pubsub.googleapis.com` `pubsub.mtls.googleapis.com`
global-redis-endpoints	Memorystore for Redis 全局 API 端点： `in:global-redis-endpoints`	值： `content-redis.googleapis.com` `content-redis.mtls.googleapis.com` `redis.googleapis.com` `redis.mtls.googleapis.com`
global-run-endpoints	Cloud Run 全局 API 端点： `in:global-run-endpoints`	值： `content-run.googleapis.com` `content-run.mtls.googleapis.com` `run.googleapis.com` `run.mtls.googleapis.com`
global-secretmanager-endpoints	Secret Manager 全局 API 端点： `in:global-secretmanager-endpoints`	值： `content-secretmanager.googleapis.com` `content-secretmanager.mtls.googleapis.com` `secretmanager.googleapis.com` `secretmanager.mtls.googleapis.com`
global-securityposture-endpoints	安全状况全球 API 端点： `in:global-securityposture-endpoints`	值： `content-securityposture.googleapis.com` `content-securityposture.mtls.googleapis.com` `securityposture.googleapis.com` `securityposture.mtls.googleapis.com`
global-servicenetworking-endpoints	Service Networking 全球 API 端点： `in:global-servicenetworking-endpoints`	值： `content-servicenetworking.googleapis.com` `content-servicenetworking.mtls.googleapis.com` `servicenetworking.googleapis.com` `servicenetworking.mtls.googleapis.com`
global-websecurityscanner-endpoints	Web Security Scanner 全局 API 端点： `in:global-websecurityscanner-endpoints`	值： `content-websecurityscanner.googleapis.com` `content-websecurityscanner.mtls.googleapis.com` `websecurityscanner.googleapis.com` `websecurityscanner.mtls.googleapis.com`
global-workstations-endpoints	Cloud Workstations 全球 API 端点： `in:global-workstations-endpoints`	值： `content-workstations.googleapis.com` `content-workstations.mtls.googleapis.com` `workstations.googleapis.com` `workstations.mtls.googleapis.com`
global-bigquery-endpoints	BigQuery 全球 API 端点： `in:global-bigquery-endpoints`	值： `bigquery.googleapis.com` `bigquery.mtls.googleapis.com` `content-bigquery.googleapis.com` `content-bigquery.mtls.googleapis.com` `www.googleapis.com (BigQuery)`
global-bigqueryreservation-endpoints	BigQuery Reservation 全局 API 端点： `in:global-bigqueryreservation-endpoints`	值： `bigqueryreservation.googleapis.com` `bigqueryreservation.mtls.googleapis.com` `content-bigqueryreservation.googleapis.com` `content-bigqueryreservation.mtls.googleapis.com`
global-bigquerystorage-endpoints	BigQuery Storage 全局 API 端点： `in:global-bigquerystorage-endpoints`	值： `bigquerystorage.googleapis.com` `bigquerystorage.mtls.googleapis.com` `content-bigquerystorage.googleapis.com` `content-bigquerystorage.mtls.googleapis.com`
global-logging-endpoints	Cloud Logging 全局 API 端点： `in:global-logging-endpoints`	值： `content-logging.googleapis.com` `content-logging.mtls.googleapis.com` `logging.googleapis.com` `logging.mtls.googleapis.com`
global-storage-endpoints	Cloud Storage 全局 API 端点： `in:global-storage-endpoints`	值： `content-storage.googleapis.com` `content-storage.mtls.googleapis.com` `storage.googleapis.com` `storage.mtls.googleapis.com`