Produits compatibles et limites

Pour en savoir plus sur Infrastructure Manager, consultez la documentation du produit.

Pour utiliser Workload Manager dans un périmètre VPC Service Controls :

• Vous devez utiliser un pool de nœuds de calcul privés Cloud Build pour votre environnement de déploiement dans Workload Manager. Vous ne pouvez pas utiliser le pool de nœuds de calcul Cloud Build par défaut.
• Le pool privé Cloud Build doit avoir les appels à l'Internet public activés pour télécharger la configuration Terraform.

Pour en savoir plus, consultez Utiliser un pool de nœuds de calcul privé Cloud Build dans la documentation Workload Manager.

Pour en savoir plus sur Workload Manager, consultez la documentation du produit.

L'API pour Google Cloud NetApp Volumes peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Google Cloud NetApp Volumes, consultez la documentation du produit.

Google Cloud Search est compatible avec les contrôles de sécurité du cloud privé virtuel (VPC Service Controls) pour améliorer la sécurité de vos données. VPC Service Controls vous permet de définir un périmètre de sécurité autour des ressources Google Cloud Platform afin de contenir les données et de limiter les risques d'exfiltration de données.

Pour en savoir plus sur Google Cloud Search, consultez la documentation du produit.

L'API pour les tests de connectivité peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur les tests de connectivité, consultez la documentation du produit.

L'intégration des tests de connectivité à VPC Service Controls ne présente aucune limitation connue.

VPC Service Controls est compatible avec la prédiction en ligne, mais pas avec la prédiction par lot.

Pour plus d'informations sur AI Platform Prediction, consultez la documentation du produit.

L'API pour AI Platform Training peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur AI Platform Training, consultez la documentation du produit.

Les périmètres VPC Service Controls protègent l'API AlloyDB.

Pour en savoir plus sur AlloyDB pour PostgreSQL, consultez la documentation du produit.

• Les périmètres de service ne protègent que l'API AlloyDB pour PostgreSQL Admin. Ils ne protègent pas l'accès aux données basées sur une adresse IP sur les bases de données sous-jacentes (telles que les instances AlloyDB pour PostgreSQL). Pour limiter l'accès des adresses IP publiques aux instances AlloyDB pour PostgreSQL, utilisez une contrainte de règle d'administration.
• Avant de configurer VPC Service Controls pour AlloyDB pour PostgreSQL, activez l'API Service Networking.
• Lorsque vous utilisez AlloyDB pour PostgreSQL avec un VPC partagé et VPC Service Controls, le projet hôte et le projet de service doivent se trouver dans le même périmètre de service VPC Service Controls.

L'API pour Vertex AI Workbench peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Vertex AI Workbench, consultez la documentation du produit.

L'API pour Vertex AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Consultez Colab Enterprise.

Pour en savoir plus sur Vertex AI, consultez la documentation du produit.

L'API pour Vertex AI Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Vertex AI Vision, consultez la documentation du produit.

L'API pour Vertex AI dans Firebase peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Vertex AI dans Firebase, consultez la documentation du produit.

L'API pour Colab Enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Colab Enterprise fait partie de Vertex AI. Consultez Vertex AI.

Colab Enterprise utilise Dataform pour stocker les notebooks. Consultez la page Dataform.

Pour en savoir plus sur Colab Enterprise, consultez la documentation du produit.

L'API pour Apigee et Apigee hybride peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Apigee et Apigee hybride, consultez la documentation du produit.

L'API pour le hub d'API Apigee peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur le hub d'API Apigee, consultez la documentation du produit.

Pour en savoir plus sur le partage BigQuery, consultez la documentation du produit.

L'API pour Cloud Service Mesh peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Vous pouvez utiliser mesh.googleapis.com pour activer les API requises pour Cloud Service Mesh. Vous n'avez pas besoin de restreindre mesh.googleapis.com dans votre périmètre, car il n'expose aucune API.

• Découvrez comment configurer VPC Service Controls pour Cloud Service Mesh (géré).
• Découvrez comment ajouter des services Cloud Service Mesh aux périmètres de service.

Pour en savoir plus sur Cloud Service Mesh, consultez la documentation produit.

L'intégration de Cloud Service Mesh avec VPC Service Controls ne présente aucune limitation connue.

En plus de protéger l'API Artifact Registry, Artifact Registry peut être utilisé dans les périmètres de service avec GKE et Compute Engine.

Pour plus d'informations sur Artifact Registry, reportez-vous à la documentation du produit.

L'API pour Assured Open Source Software peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Assured Open Source Software, consultez la documentation du produit.

L'intégration d'Assured Open Source Software avec VPC Service Controls ne fait l'objet d'aucune limitation connue.

L'API pour Assured Workloads peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Assured Workloads, consultez la documentation du produit.

L'intégration d'Assured Workloads avec VPC Service Controls ne fait l'objet d'aucune limitation connue.

Pour protéger entièrement l'API AutoML, incluez toutes les API suivantes dans votre périmètre :

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Pour plus d'informations sur AutoML Translation, consultez la documentation du produit.

L'API Bare Metal Solution peut être ajoutée à un périmètre sécurisé. Toutefois, les périmètres VPC Service Controls ne s'étendent pas à l'environnement de la solution Bare Metal dans les extensions régionales.

Pour en savoir plus sur la solution Bare Metal, consultez la documentation du produit.

La connexion de VPC Service Controls à votre environnement de solution Bare Metal ne garantit aucun contrôle de service.

Pour en savoir plus sur les limites de la solution Bare Metal concernant VPC Service Controls, consultez Problèmes et limites connus.

L'API Batch peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Batch, reportez-vous à la documentation du produit.

L'API pour BigLake Metastore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur le metastore BigLake, consultez la documentation du produit.

L'intégration du metastore BigLake avec VPC Service Controls n'a pas de limites connues.

Lorsque vous protégez l'API BigQuery à l'aide d'un périmètre de service, les API BigQuery Storage (bigquerystorage.googleapis.com), BigQuery Reservation (bigqueryreservation.googleapis.com) et BigQuery Connection (bigqueryconnection.googleapis.com) sont également protégées. Vous n'avez pas besoin d'ajouter séparément ces API à la liste des services protégés de votre périmètre.

Pour plus d'informations sur BigQuery, reportez-vous à la documentation du produit.

L'API BigQuery Data Policy peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API BigQuery Data Policy, consultez la documentation du produit.

L'intégration de l'API BigQuery Data Policy avec VPC Service Controls n'a pas de limites connues.

Le périmètre de service ne protège que l'API du service de transfert de données BigQuery. La protection réelle des données est appliquée par BigQuery. Elle est conçue pour permettre l'importation de données provenant de différentes sources externes en dehors de Google Cloud, telles qu'Amazon S3, Redshift, Teradata, YouTube, Google Play et Google Ads, dans des ensembles de données BigQuery. Pour en savoir plus sur les exigences de VPC Service Controls concernant la migration de données depuis Teradata, consultez la page Exigences relatives à VPC Service Controls.

Pour plus d'informations sur le service de transfert de données BigQuery, reportez-vous à la documentation du produit.

L'API BigQuery Migration peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API BigQuery Migration, consultez la documentation du produit.

L'intégration de l'API BigQuery Migration avec VPC Service Controls n'a pas de limites connues.

Les services bigtable.googleapis.com et bigtableadmin.googleapis.com sont liés. Lorsque vous limitez le service bigtable.googleapis.com dans un périmètre, le périmètre limite le service bigtableadmin.googleapis.com par défaut. Vous ne pouvez pas ajouter le service bigtableadmin.googleapis.com à la liste des services limités dans un périmètre, car il est lié à bigtable.googleapis.com.

Pour en savoir plus sur Bigtable, consultez la documentation du produit.

L'intégration de Bigtable avec VPC Service Controls n'a pas de limites connues.

Lorsque vous utilisez plusieurs projets avec l'autorisation binaire, vous devez inclure chaque projet dans le périmètre VPC Service Controls. Pour en savoir plus sur ce cas d'utilisation, consultez la page Configuration multiprojets.

Avec l'autorisation binaire, vous pouvez utiliser Artifact Analysis pour stocker respectivement les certificateurs et les attestations sous forme de notes et d'occurrences. Dans ce cas, vous devez également inclure Artifact Analysis dans le périmètre VPC Service Controls. Pour en savoir plus, consultez les conseils sur l'utilisation de VPC Service Controls avec Artifact Analysis.

Pour en savoir plus sur l'autorisation binaire, consultez la documentation du produit.

L'intégration de l'autorisation binaire avec VPC Service Controls ne fait l'objet d'aucune limitation connue.

L'API pour Blockchain Node Engine peut être protégée par VPC Service Controls et utilisée normalement dans les périmètres de service.

Pour en savoir plus sur Blockchain Node Engine, consultez la documentation du produit.

L'API pour Certificate Authority Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Certificate Authority Service, consultez la documentation sur le produit.

Pour utiliser Config Controller avec VPC Service Controls, vous devez activer les API suivantes dans votre périmètre :

• API Cloud Monitoring (monitoring.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

Si vous provisionnez des ressources à l'aide de Config Controller, vous devez activer l'API pour ces ressources dans votre périmètre de service. Par exemple, si vous souhaitez ajouter un compte de service IAM, vous devez ajouter l'API IAM (iam.googleapis.com).

Pour plus d'informations sur Config Controller, reportez-vous à la documentation du produit.

L'intégration de Config Controller avec VPC Service Controls n'a pas de limites connues.

Pour plus d'informations sur Data Catalog, reportez-vous à la documentation du produit.

L'intégration de Data Catalog à VPC Service Controls ne présente aucune limitation connue.

Pour protéger Cloud Data Fusion à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale.

Pour plus d'informations sur Cloud Data Fusion, consultez la documentation du produit.

L'API pour l'API Data Lineage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API Data Lineage, consultez la documentation du produit.

L'intégration de l'API Data Lineage avec VPC Service Controls n'a pas de limites connues.

La compatibilité de VPC Service Controls avec Compute Engine offre les avantages suivants en termes de sécurité :

• Limite l'accès aux opérations d'API sensibles
• Limite les instantanés de disque persistant et les images personnalisées à un périmètre
• Limite l'accès aux métadonnées d'instance

La compatibilité de VPC Service Controls avec Compute Engine vous permet également d'utiliser des réseaux cloud privés virtuels et des clusters privés Google Kubernetes Engine au sein des périmètres de service.

Pour plus d'informations sur Compute Engine, reportez-vous à la documentation du produit.

Pour utiliser Conversational Insights avec VPC Service Controls, vous devez disposer des API supplémentaires suivantes dans votre périmètre, en fonction de votre intégration.

• Pour charger des données dans Conversational Insights, ajoutez l'API Cloud Storage à votre périmètre de service.

• Pour utiliser l'exportation, ajoutez l'API BigQuery à votre périmètre de service.

• Pour intégrer plusieurs produits CCAI, ajoutez l'API Vertex AI à votre périmètre de service.

Pour en savoir plus sur Conversational Insights, consultez la documentation du produit.

L'intégration de Conversational Insights à VPC Service Controls ne présente aucune limite connue.

Dataflow est compatible avec un certain nombre de connecteurs de service de stockage. Les connecteurs suivants ont été validés pour fonctionner avec Dataflow dans un périmètre de service :

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Pour plus d'informations sur Dataflow, reportez-vous à la documentation du produit.

• Les configurations BIND personnalisées ne sont pas compatibles avec Dataflow. Pour personnaliser la résolution DNS lors de l'utilisation de Dataflow avec VPC Service Controls, exploitez des zones privées Cloud DNS au lieu d'utiliser des serveurs BIND personnalisés. Pour utiliser votre propre résolution DNS sur site, envisagez d'employer uneGoogle Cloud méthode de transfert DNS.

• L'autoscaling vertical ne peut pas être protégé par un périmètre VPC Service Controls. Pour utiliser l'autoscaling vertical dans un périmètre VPC Service Controls, vous devez désactiver la fonctionnalité Services accessibles par VPC.

• Si vous activez Dataflow Prime et que vous lancez un nouveau job dans un périmètre VPC Service Controls, le job utilise Dataflow Prime sans autoscaling vertical.

• Les connecteurs de service de stockage n'ont pas tous été validés pour fonctionner avec l'utilisation de Cloud Dataflow dans un périmètre de service. Pour obtenir la liste des connecteurs validés, consultez "Détails" dans la section précédente.

• Lorsque vous utilisez Python 3.5 avec le SDK Apache Beam 2.20.0–2.22.0, les tâches Dataflow échouent au démarrage si les nœuds de calcul ne disposent que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources. Si les nœuds de calcul Dataflow ne peuvent disposer que d'adresses IP privées, par exemple lors de l'utilisation de VPC Service Controls pour protéger les ressources, n'utilisez pas Python 3.5 avec le SDK Apache Beam 2.20.0‐2.22.0. Cette combinaison entraîne l'échec des tâches au démarrage.

L'API pour le catalogue universel Dataplex peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Dataplex Universal Catalog, consultez la documentation du produit.

Pour protéger Cloud Dataproc à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale.

Pour plus d'informations sur Dataproc, reportez-vous à la documentation du produit.

Pour protéger un cluster Dataproc avec un périmètre de service, suivez les instructions de la section Réseaux Dataproc et VPC Service Controls.

Pour protéger Dataproc sans serveur à l'aide de VPC Service Controls, vous devez suivre une procédure spéciale.

Pour en savoir plus sur Dataproc sans serveur pour Spark, consultez la documentation du produit.

Pour protéger votre charge de travail sans serveur avec un périmètre de service, suivez les instructions de la section Réseaux Dataproc sans serveur et VPC Service Controls.

L'API pour Dataproc Metastore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Dataproc Metastore, consultez la documentation du produit.

L'intégration de Dataproc Metastore avec VPC Service Controls n'a pas de limites connues.

L'API pour Datastream peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Datastream, consultez la documentation du produit.

L'intégration de DataStream avec VPC Service Controls n'a pas de limites connues.

L'API pour Database Center peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Database Center, consultez la documentation du produit.

VPC Service Controls ne permet pas d'accéder aux ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Cloud Asset au niveau du projet. Vous pouvez spécifier une règle de sortie pour autoriser l'accès aux ressources de l'API Cloud Asset au niveau du projet à partir des projets situés à l'intérieur du périmètre. Pour gérer les autorisations du Centre de données au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.

L'API pour l'API Database Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API Database Insights, consultez la documentation du produit.

L'intégration de l'API Database Insights avec VPC Service Controls n'a pas de limites connues.

L'API pour Database Migration Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Database Migration Service, consultez la documentation du produit.

L'API pour Dialogflowl peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Dialogflow, reportez-vous à la documentation du produit.

L'API pour Agent Assist peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Agent Assist, consultez la documentation du produit.

L'API pour la protection des données sensibles peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Sensitive Data Protection, consultez la documentation du produit.

L'API pour Cloud DNS peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Cloud DNS, consultez la documentation du produit.

• Vous pouvez accéder à Cloud DNS via l'adresse IP virtuelle restreinte. Toutefois, vous ne pouvez pas créer ni mettre à jour des zones DNS publiques au sein de projets situés dans le périmètre VPC Service Controls.

L'API pour Document AI peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Document AI, consultez la documentation du produit.

L'intégration de Document AI à VPC Service Controls n'a pas de limites connues.

L'API pour Document AI Warehouse peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Document AI Warehouse, consultez la documentation du produit.

L'intégration de Document AI Warehouse à VPC Service Controls n'a pas de limites connues.

L'API pour Cloud Domains peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Cloud Domains, consultez la documentation du produit.

• Les données de contact utilisées dans Cloud Domains peuvent être partagées avec le registre de domaines de premier niveau (TLD) et peuvent être accessibles au public pour le compte OMS/RDAP comme vos paramètres l'autorisent, conformément aux règles de l'ICANN. Pour en savoir plus, consultez la section Protection de la vie privée.

• Les données de configuration DNS utilisées dans Cloud Domains (serveurs de noms et paramètres DNSSEC) sont publiques. Si votre domaine délègue à une zone DNS publique, ce qui est le réglage par défaut, les données de configuration DNS de cette zone sont également publiques.

Un bus Eventarc Advanced situé en dehors d'un périmètre de service ne peut pas recevoir d'événements provenant de projets Google Cloud situés dans le périmètre. Un bus Eventarc Advanced à l'intérieur d'un périmètre ne peut pas acheminer d'événements vers un consommateur en dehors du périmètre.

• Pour publier un événement sur un bus Eventarc Advanced, sa source doit se trouver dans le même périmètre de service que le bus.
• Pour consommer un message, un consommateur d'événements doit se trouver dans le même périmètre de service que le bus.

Pour en savoir plus sur Eventarc Advanced, consultez la documentation produit.

Eventarc Standard gère la diffusion d'événements à l'aide de sujets Pub/Sub et d'abonnements push. Pour accéder à l'API Pub/Sub et gérer les déclencheurs d'événements, l'API Eventarc doit être protégée dans le même périmètre de service VPC Service Controls que l'API Pub/Sub.

Pour en savoir plus sur Eventarc Standard, consultez la documentation du produit.

L'API Distributed Cloud Edge Network peut être protégée par VPC Service Controls et utilisée normalement dans les périmètres de service.

Pour en savoir plus sur l'API Distributed Cloud Edge Network, consultez la documentation produit.

L'intégration de l'API Distributed Cloud Edge Network avec VPC Service Controls n'a pas de limites connues.

L'API pour l'IA de lutte contre le blanchiment d'argent peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'IA de lutte contre le blanchiment d'argent, consultez la documentation du produit.

L'intégration de l'IA de lutte contre le blanchiment d'argent avec VPC Service Controls n'a pas de limites connues.

Lorsque vous configurez et échangez des jetons Firebase App Check, VPC Service Controls ne protège que le service Firebase App Check. Pour protéger des services qui reposent sur Firebase App Check, vous devez configurer des périmètres de service pour ces services.

Pour en savoir plus sur Firebase App Check, consultez la documentation du produit.

L'intégration de Firebase App Check à VPC Service Controls n'a pas de limites connues.

Les périmètres de service ne protègent que l'API Firebase Data Connect. Ils ne protègent pas l'accès aux sources de données sous-jacentes (telles que les instances Cloud SQL). La restriction de l'accès aux instances de base de données doit être configurée séparément.

Pour en savoir plus sur Firebase Data Connect, consultez la documentation du produit.

L'intégration de Firebase Data Connect à VPC Service Controls n'a pas de limites connues.

Lorsque vous gérez Firebase Security Rules, VPC Service Controls ne protège que le service Firebase Security Rules. Pour protéger les services qui reposent sur Firebase Security Rules, vous devez configurer des périmètres de services pour ces services.

Pour plus d'informations sur les règles de sécurité Firebase, consultez la documentation du produit.

L'intégration des règles de sécurité Firebase avec VPC Service Controls n'a pas de limites connues.

Consultez la documentation de Cloud Run Functions pour connaître la procédure de configuration. La protection VPC Service Controls ne s'applique pas à la phase de création lorsque des fonctions Cloud Run sont compilées à l'aide de Cloud Build. Pour plus d'informations, reportez-vous aux limites connues.

Pour en savoir plus sur Cloud Run Functions, consultez la documentation produit.

Lorsque vous limitez la portée d'IAM avec un périmètre, seules les actions qui utilisent l'API Identity and Access Management sont limitées. Voici quelques-unes de ces actions :

• Gérer les rôles IAM personnalisés
• Gérer les pools d'identités de charge de travail
• Gérer les comptes de service et les clés
• Gérer les règles de refus
• Gérer les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux

Le périmètre ne limite pas les actions liées aux pools d'employés et aux stratégies de limite d'accès des comptes principaux, car ces ressources sont créées au niveau de l'organisation.

Le périmètre ne limite pas non plus la gestion des stratégies d'autorisation pour les ressources appartenant à d'autres services, tels que des projets, des dossiers et des organisations Resource Manager ou des instances de machine virtuelle Compute Engine. Pour restreindre la gestion des stratégies d'autorisation pour ces ressources, créez un périmètre qui limite le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies d'autorisation et des services qui les possèdent, consultez la section Types de ressources qui acceptent les stratégies d'autorisation.

En outre, le périmètre autour d'IAM ne limite pas les actions qui utilisent d'autres API, telles que les suivantes :

• API IAM Policy Simulator
• API IAM Policy Troubleshooter
• API Security Token Service
• API Service Account Credentials (y compris les anciennes méthodes signBlob et signJwt dans l'API IAM)

Pour plus d'informations sur Identity and Access Management, consultez la documentation du produit.

Si vous vous trouvez dans le périmètre, vous ne pouvez pas appeler la méthode roles.list en spécifiant une chaîne vide pour répertorier les rôles prédéfinis IAM. Si vous devez afficher les rôles prédéfinis, consultez la documentation sur les rôles IAM.

L'API IAP Admin permet aux utilisateurs de configurer IAP.

Pour en savoir plus sur l'API IAP Admin , consultez la documentation produit.

L'intégration de l'API IAP Admin avec VPC Service Controls n'a pas de limites connues.

L'API pour l'API Cloud KMS Inventory peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Cloud KMS Inventory, consultez la documentation du produit.

La méthode API SearchProtectedResources n'applique pas les restrictions de périmètre de service aux projets renvoyés.

L'API pour les identifiants du compte de service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur les identifiants du compte de service, consultez la documentation du produit.

L'intégration des identifiants du compte de service à VPC Service Controls n'a pas de limites connues.

L'API pour l'API Service Metadata peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Service Metadata, consultez la documentation du produit.

L'intégration de l'API Service Metadata avec VPC Service Controls n'a pas de limites connues.

Si vous utilisez l'accès privé aux services, nous vous recommandons d'activer VPC Service Controls pour la connexion Service Networking.Lorsque vous activez VPC Service Controls, les producteurs de services ne peuvent accéder qu'aux API compatibles avec VPC Service Controls via la connexion Service Networking.

Vous ne pouvez activer VPC Service Controls pour Service Networking qu'avec l'API EnableVpcServiceControls. Vous ne pouvez désactiver VPC Service Controls pour Service Networking qu'avec l'API DisableVpcServiceControls.

Pour plus d'informations sur Service Networking, consultez la documentation produit.

L'intégration de Service Networking à VPC Service Controls n'a pas de limites connues.

L'API pour la fonctionnalité Accès au VPC sans serveur peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur la fonctionnalité Accès au VPC sans serveur, consultez la documentation du produit.

L'intégration de la fonctionnalité Accès au VPC sans serveur à VPC Service Controls n'a pas de limites connues.

L'API Cloud KMS peut être protégée par VPC Service Controls et le produit peut être utilisé dans les périmètres de service. L'accès aux services Cloud HSM est également protégé par VPC Service Controls et peut être utilisé dans les périmètres de service.

Pour plus d'informations sur Cloud Key Management Service, consultez la documentation du produit.

L'intégration de Cloud Key Management Service avec VPC Service Controls n'est soumise à aucune limitation connue.

L'API pour Game Servers peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Game Servers, consultez la documentation du produit.

L'intégration de Game Servers à VPC Service Controls ne présente aucune limitation connue.

L'API pour Gemini Code Assist peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service. Cela inclut la personnalisation du code.

Pour en savoir plus sur Gemini Code Assist, consultez la documentation du produit.

Les contrôles des accès basés sur l'appareil, l'adresse IP publique ou l'emplacement utilisés ne sont pas disponibles pour Gemini dans la console Google Cloud .

L'API pour Identity-Aware Proxy for TCP peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Identity-Aware Proxy for TCP, consultez la documentation du produit.

L'API pour Cloud Life Sciences peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Cloud Life Sciences, consultez la documentation du produit.

L'intégration de Cloud Life Sciences à VPC Service Controls n'a pas de limites connues.

Configuration supplémentaire requise pour :

• l'accès sur site à l'API du service géré pour Microsoft AD ;
• VPC partagé

Pour plus d'informations sur le service géré pour Microsoft Active Directory, consultez la documentation du produit.

L'intégration du service géré pour Microsoft Active Directory avec VPC Service Controls n'est soumise à aucune limitation connue.

L'API pour reCAPTCHA peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur reCAPTCHA, consultez la documentation du produit.

L'intégration de reCAPTCHA à VPC Service Controls n'a pas de limites connues.

L'API pour Web Risk peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Web Risk, consultez la documentation du produit.

L'API Evaluate et l'API Submission ne sont pas compatibles avec VPC Service Controls.

L'API pour l'outil de recommandation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'outil de recommandation, reportez-vous à la documentation du produit.

• VPC Service Controls n'est pas compatible avec les ressources d'organisation, de dossier ou de compte de facturation.

L'API pour Secret Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Secret Manager, consultez la documentation du produit.

L'intégration de Secret Manager à VPC Service Controls ne présente aucune limitation connue.

La protection VPC Service Controls s'applique à toutes les opérations d'administration, aux opérations d'éditeur et aux opérations d'abonné (à l'exception des abonnements push existants).

Pour plus d'informations sur Pub/Sub, consultez la documentation du produit.

Dans les projets protégés par un périmètre de service, les limites suivantes s'appliquent:

• Il est impossible de créer des abonnements push, sauf si les points de terminaison push sont définis sur des services Cloud Run avec des URL run.app par défaut ou sur une exécution Workflows (les domaines personnalisés ne fonctionnent pas). Pour en savoir plus sur l'intégration à Cloud Run, consultez Utiliser VPC Service Controls.
• Pour les abonnements non push, vous devez créer un abonnement dans le même périmètre que le sujet ou activer des règles de sortie pour autoriser l'accès du sujet à l'abonnement.
• Lorsque vous acheminez des événements via Eventarc vers des cibles Workflows pour lesquelles le point de terminaison push est défini sur une exécution Workflows, vous ne pouvez créer que des abonnements push via Eventarc.
• Les abonnements Pub/Sub créés avant le périmètre de service ne sont pas bloqués.

La protection VPC Service Controls s'applique à toutes les opérations d'abonné.

Pour plus d'informations sur Pub/Sub Lite, consultez la documentation produit.

L'intégration de Pub/Sub Lite à VPC Service Controls n'a pas de limites connues.

Utilisez VPC Service Controls avec les pools privés Cloud Build pour renforcer la sécurité de vos compilations.

Pour plus d'informations sur Cloud Build, consultez la documentation produit.

• La protection VPC Service Controls n'est disponible que pour les compilations exécutées dans des pools privés.

• Les déclencheurs Cloud Build Pub/Sub ne sont pas acceptés.

L'API pour Cloud Deploy peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Cloud Deploy, consultez la documentation du produit.

Pour utiliser Cloud Deploy dans un périmètre, vous devez utiliser un pool privé Cloud Build pour les environnements d'exécution de la cible. N'utilisez pas de pool de nœuds de calcul par défaut (Cloud Build) ni de pool hybride.

Configurer Composer pour une utilisation avec VPC Service Controls

Pour plus d'informations sur Cloud Composer, reportez-vous à la documentation produit.

• L'activation de la sérialisation des DAG empêche Airflow d'afficher un modèle rendu avec des fonctions dans l'interface utilisateur Web.

• Il n'est pas possible de définir l'option async_dagbag_loader sur True lorsque la sérialisation des DAG est activée.

• L'activation de la sérialisation des DAG désactive tous les plug-ins du serveur Web Airflow, car ils peuvent compromettre la sécurité du réseau VPC sur lequel Cloud Composer est déployé. Cela n'a pas d'incidence sur le comportement des plug-ins du programmeur ou des nœuds de calcul, y compris les opérateurs et les capteurs Airflow.

• Lorsque Cloud Composer s'exécute à l'intérieur d'un périmètre, l'accès aux dépôts PyPI publics est restreint. Pour savoir comment installer les modules PyPI en mode d'adresse IP privée, consultez la page Installer des dépendances Python dans la documentation de Cloud Composer.

L'API pour Cloud Quotas peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur les quotas Cloud, consultez la documentation produit.

Pour en savoir plus sur Cloud Run, consultez la documentation du produit.

• Création de tâches Cloud Scheduler
• Mises à jour des tâches Cloud Scheduler

Pour plus d'informations sur Cloud Scheduler, consultez la documentation produit.

L'API pour Spanner peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Spanner, consultez la documentation produit.

L'intégration de Spanner avec VPC Service Controls n'a pas de limites connues.

L'API de Speaker ID peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Speaker ID, consultez la documentation du produit.

L'intégration de Speaker ID avec VPC Service Controls n'a pas de limites connues.

L'API pour Cloud Storage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Cloud Storage, reportez-vous à la documentation du produit.

L'API pour Cloud Tasks peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Les requêtes HTTP provenant d'exécutions Cloud Tasks sont compatibles comme suit :

• Les requêtes authentifiées vers les fonctions Cloud Run et les points de terminaison Cloud Run compatibles avec VPC Service Controls sont autorisées.
• Les requêtes vers des fonctions autres que Cloud Run et des points de terminaison autres que Cloud Run sont bloquées.
• Les requêtes adressées aux fonctions Cloud Run et aux points de terminaison Cloud Run non compatibles avec VPC Service Controls sont bloquées.

Pour plus d'informations sur Cloud Tasks, consultez la documentation produit.

Les périmètres VPC Service Controls protègent l'API Cloud SQL Admin.

Pour en savoir plus sur Cloud SQL, consultez la documentation du produit.

• Les périmètres de service ne protègent que l'API Cloud SQL Admin. Ils ne protègent pas l'accès aux données basé sur une adresse IP sur les instances Cloud SQL. Vous devez utiliser une contrainte de règle d'administration pour limiter l'accès des adresses IP publiques aux instances Cloud SQL.
• Avant de configurer VPC Service Controls pour Cloud SQL, activez l'API Service Networking.

• Les opérations d'importation et d'exportation Cloud SQL ne peuvent effectuer des opérations de lecture et d'écriture à partir d'un bucket Cloud Storage qu'au sein du même périmètre de service que l'instance dupliquée Cloud SQL.

• Dans le flux de migration du serveur externe, vous devez ajouter le bucket Cloud Storage au même périmètre de service.

• Dans le flux de création de clé pour CMEK, utilisez l'une des configurations suivantes :

  • Créez la clé dans le même périmètre de service que les ressources qui l'utilisent, comme Cloud SQL.
  • Créez la clé dans un périmètre de service connecté, via un pont de périmètre, au périmètre de service qui protège Cloud SQL.
• Lors de la restauration d'une instance à partir d'une sauvegarde, l'instance cible doit se situer dans le même périmètre de service que la sauvegarde.

L'API pour l'API Video Intelligence peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Video Intelligence, consultez la documentation du produit.

L'intégration de l'API Video Intelligence à VPC Service Controls n'a pas de limites connues.

L'API pour l'API Cloud Vision peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Cloud Vision, consultez la documentation du produit.

Pour utiliser Artifact Analysis avec VPC Service Controls, vous devrez peut-être ajouter d'autres services à votre périmètre VPC :

• Si vous utilisez des notifications Pub/Sub avec Artifact Analysis, ajoutez Pub/Sub à votre périmètre de service.
• Si vous utilisez l'API Container Scanning, ajoutez votre registre au périmètre Artifact Registry ou Container Registry.

Étant donné que l'API Container Scanning est une API sans surface qui stocke les résultats dans Artifact Analysis, vous n'avez pas besoin de la protéger avec un périmètre de service.

Pour en savoir plus sur Artifact Analysis, consultez la documentation du produit.

L'intégration d'Artifact Analysis à VPC Service Controls ne présente aucune limite connue.

En plus de protéger l'API Container Registry, Container Registry peut être utilisé dans un périmètre de service avec GKE et Compute Engine.

Pour plus d'informations sur Container Registry, reportez-vous à la documentation du produit.

• Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT en tant que type d'identité pour toutes les opérations Container Registry.

  Pour contourner ce problème, utilisez ANY_IDENTITY comme type d'identité.

• Étant donné que Container Registry utilise le domaine gcr.io, vous devez configurer le DNS pour que *.gcr.io puisse être mappé sur private.googleapis.com ou restricted.googleapis.com. Pour plus d'informations, consultez la page Sécuriser Container Registry dans un périmètre de service.

• Outre les conteneurs situés à l'intérieur d'un périmètre qui sont accessibles par Container Registry, les dépôts ci-après, en lecture seule, sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service :

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  Dans tous les cas, les versions multirégionales de ces dépôts sont également disponibles.

L'API pour Google Kubernetes Engine peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Google Kubernetes Engine, reportez-vous à la documentation du produit.

• Pour protéger entièrement l'API Google Kubernetes Engine, vous devez également inclure l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) dans votre périmètre.
• Seuls les clusters privés peuvent être protégés à l'aide de VPC Service Controls. Les clusters avec des adresses IP publiques ne sont pas compatibles avec VPC Service Controls.

• L'entrée de service GKE de ce tableau ne spécifie que le contrôle de l'API GKE elle-même. GKE s'appuie sur plusieurs autres services sous-jacents pour fonctionner, tels que Compute Engine, Cloud Logging, Cloud Monitoring et l'API Autoscaling (autoscaling.googleapis.com). Pour sécuriser efficacement vos environnements GKE avec VPC Service Controls, vous devez vous assurer que tous les services sous-jacents nécessaires sont également inclus dans votre périmètre de service. Pour obtenir la liste complète de ces services, consultez la documentation GKE.

L'API pour l'API Container Security peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API Container Security, consultez la documentation du produit.

L'intégration de l'API Container Security avec VPC Service Controls n'a pas de limites connues.

Le streaming d'images est une fonctionnalité de streaming de données GKE qui réduit le temps d'extraction d'images de conteneurs pour les images stockées dans Artifact Registry. Si VPC Service Controls protège vos images de conteneurs et que vous utilisez la diffusion d'images, vous devez également inclure l'API Image Streaming dans le périmètre de service.

Pour en savoir plus sur le streaming d'image, consultez la documentation du produit.

• Les dépôts en lecture seule suivants sont disponibles pour tous les projets, quelles que soient les restrictions appliquées par les périmètres de service :

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Les API de gestion du parc, y compris la passerelle Connect, peuvent être protégées par VPC Service Controls, et les fonctionnalités de gestion de parc peuvent être utilisées normalement dans les périmètres de service. Pour en savoir plus, consultez les ressources suivantes :

• Utiliser VPC Service Controls avec l'agent Connect
• Utiliser VPC Service Controls avec la passerelle Connect

Pour plus d'informations sur les parcs, consultez la documentation du produit.

• Bien que toutes les fonctionnalités de gestion de parc puissent être utilisées normalement, l'activation d'un périmètre de service autour de l'API Stackdriver empêche la fonctionnalité de parc Policy Controller de s'intégrer à Security Command Center.
• Lorsque vous utilisez la passerelle Connect pour accéder aux clusters GKE, le périmètre VPC Service Controls pour container.googleapis.com n'est pas appliqué.

L'API pour l'API FleetPackage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API FleetPackage, consultez la documentation du produit.

L'intégration de l'API FleetPackage avec VPC Service Controls n'a pas de limites connues.

Les méthodes de l'API Cloud Resource Manager suivantes peuvent être protégées par VPC Service Controls :

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Pour plus d'informations sur Resource Manager, consultez la documentation du produit.

• Seules les clés de tag directement associées à une ressource de projet et les valeurs de tag correspondantes peuvent être protégées à l'aide de VPC Service Controls. Lorsqu'un projet est ajouté à un périmètre VPC Service Controls, toutes les clés de tag et les valeurs de tag correspondantes du projet sont considérées comme des ressources à l'intérieur du périmètre.
• Les clés de tag dont la ressource parente est une organisation et leurs valeurs de tag correspondantes ne peuvent pas être incluses dans un périmètre VPC Service Controls ni être protégées à l'aide de VPC Service Controls.
• Les clients situés dans un périmètre VPC Service Controls ne peuvent pas accéder aux clés de tag ni aux valeurs correspondantes associées à une ressource d'organisation, sauf si une règle de sortie autorisant l'accès est définie sur le périmètre. Pour en savoir plus sur la configuration des règles de sortie, consultez Règles d'entrée et de sortie.
• Les liaisons de tags sont considérées comme des ressources dans le même périmètre que la ressource à laquelle la valeur de tag est liée. Par exemple, les liaisons de tags sur une instance Compute Engine dans un projet sont considérées comme appartenant à ce projet, quelle que soit la définition de la clé de tag.
• Certains services, tels que Compute Engine, permettent de créer des liaisons de tags à l'aide de leurs propres API de service, en plus des API de service Resource Manager. Par exemple, vous pouvez ajouter des tags à une VM Compute Engine lors de la création de la ressource. Pour protéger les liaisons de tags créées ou supprimées à l'aide de ces API de service, ajoutez le service correspondant, tel que compute.googleapis.com, à la liste des services restreints dans le périmètre.
• Les tags sont compatibles avec les restrictions au niveau des méthodes. Vous pouvez donc définir le champ method_selectors pour des méthodes d'API spécifiques. Pour obtenir la liste des méthodes pouvant faire l'objet de restrictions, consultez la section Restrictions relatives aux méthodes de service compatibles.
• L'attribution du rôle de propriétaire sur un projet via la console Google Cloud est désormais acceptée par VPC Service Controls. Vous ne pouvez pas envoyer d'invitation de propriétaire, ni accepter une invitation en dehors des périmètres de service. Si vous essayez d'accepter une invitation extérieure au périmètre, le rôle de propriétaire ne vous sera pas attribué, et aucun message d'erreur ni d'avertissement ne s'affichera.

L'API pour Cloud Logging peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Cloud Logging, consultez la documentation du produit.

L'API pour Certificate Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Certificate Manager, consultez la documentation du produit.

L'intégration de Certificate Manager à VPC Service Controls ne présente aucune limitation connue.

L'API pour Cloud Monitoring peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Cloud Monitoring, consultez la documentation du produit.

L'API pour Cloud Profiler peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Cloud Profiler, consultez la documentation produit.

L'intégration de Cloud Profiler avec VPC Service Controls ne présente aucune limitation connue.

L'API Telemetry peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API Telemetry, consultez la documentation produit.

L'intégration de l'API Telemetry avec VPC Service Controls n'a pas de limites connues.

L'API pour l'API Timeseries Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Timeseries Insights, consultez la documentation du produit.

L'intégration de l'API Timeseries Insights avec VPC Service Controls n'a pas de limites connues.

L'API pour Cloud Trace peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Cloud Trace, reportez-vous à la documentation du produit.

L'intégration de Cloud Trace avec VPC Service Controls ne fait l'objet d'aucune limite connue.

L'API pour Cloud TPU peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Cloud TPU, consultez la documentation du produit.

L'intégration de Cloud TPU avec VPC Service Controls n'a pas de limites connues.

Pour plus d'informations sur l'API Natural Language, consultez la documentation produit.

Étant donné que l'API Natural Language est une API sans état et qu'elle ne s'exécute pas sur des projets, l'utilisation de VPC Service Controls pour la protéger n'a aucun effet.

L'API pour Network Connectivity Center peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Network Connectivity Center, consultez la documentation du produit.

L'intégration de Network Connectivity Center à VPC Service Controls n'a pas de limites connues.

L'API pour l'API Cloud Asset peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Cloud Asset, consultez la documentation produit.

• VPC Service Controls ne permet pas d'accéder aux ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Cloud Asset au niveau du projet. Vous pouvez spécifier une règle de sortie pour empêcher l'accès aux ressources de l'API Cloud Asset au niveau du projet à partir des projets situés à l'intérieur du périmètre.
• VPC Service Controls ne permet pas d'ajouter des ressources API Cloud Asset au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources de l'API Cloud Asset au niveau du dossier ou de l'organisation. Pour gérer les autorisations de l'inventaire des éléments cloud au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.

L'API pour Speech-to-Text peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Speech-to-Text, consultez la documentation produit.

L'intégration de Speech-to-Text avec VPC Service Controls n'est soumise à aucune limitation connue.

L'API pour la synthèse vocale peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Text-to-Speech, consultez la documentation produit.

L'intégration de Text-to-Speech avec VPC Service Controls n'est soumise à aucune limitation connue.

L'API pour Translation peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Translation, consultez la documentation produit.

Cloud Translation – Advanced (v3) est compatible avec VPC Service Controls, mais pas Cloud Translation – Basic (v2). Pour appliquer VPC Service Controls, vous devez utiliser Cloud Translation – Advanced (v3). Pour en savoir plus sur les différentes éditions, consultez la page Comparer les versions Basic et Advanced.

Utilisez VPC Service Controls avec l'API Live Stream pour sécuriser votre pipeline.

Pour plus d'informations sur l'API Live Stream, consultez la documentation produit.

Pour protéger les points de terminaison d'entrée avec un périmètre de service, vous devez suivre les instructions de configuration d'un pool privé et envoyer des flux vidéo d'entrée via une connexion privée.

L'API pour l'API Transcoder peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Transcoder, consultez la documentation produit.

L'intégration de l'API Transcoder avec VPC Service Controls n'a pas de limites connues.

L'API pour l'API Video Stitcher peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Video Stitcher, consultez la documentation produit.

L'intégration de l'API Video Stitcher avec VPC Service Controls n'a pas de limites connues.

L'API pour Access Approval peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Access Approval, consultez la documentation produit.

L'intégration d'Access Approval avec VPC Service Controls ne présente aucune limitation connue.

L'API pour l'API Cloud Healthcare peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API Cloud Healthcare, consultez la documentation produit.

VPC Service Controls n'est pas compatible avec les clés de chiffrement gérées par le client (CMEK) dans l'API Cloud Healthcare.

Nous vous recommandons de placer votre projet de service de transfert de stockage dans le même périmètre de service que vos ressources Cloud Storage. Ainsi, vous protégez à la fois le transfert et vos ressources Cloud Storage. Le service de transfert de stockage accepte également les scénarios dans lesquels le projet de service de transfert de stockage ne se trouve pas dans le même périmètre que vos buckets Cloud Storage, par le biais d'une règle de sortie.

Pour plus d'informations sur la configuration, consultez la page Utiliser le service de transfert de stockage avec VPC Service Controls.

Service de transfert des données sur site

Pour en savoir plus et obtenir des informations sur la configuration du transfert sur site, consultez la page Utiliser le transfert sur site avec VPC Service Controls.

Pour en savoir plus sur le service de transfert de stockage, consultez la documentation du produit.

L'API pour Service Control peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Service Control, consultez la documentation du produit.

• Lorsque vous appelez l'API Service Control à partir d'un réseau VPC situé dans un périmètre de service avec Service Control restreint pour générer des rapports sur les métriques de facturation ou d'analyse, vous ne pouvez utiliser la méthode de rapport Service Control que pour générer des rapports sur les métriques des services compatibles avec VPC Service Controls.

L'API pour Memorystore pour Redis peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Memorystore pour Redis, reportez-vous à la documentation produit.

• Les périmètres de service ne protègent que l'API Memorystore pour Redis. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Redis au sein du même réseau.

• Si l'API Cloud Storage est également protégée, les opérations d'importation et d'exportation de Memorystore pour Redis ne peuvent être lues et écrites que dans un bucket Cloud Storage situé dans le même périmètre de service que l'instance Memorystore pour Redis.

• Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et le projet de service contenant l'instance Redis dans le même périmètre pour que les requêtes Redis réussissent. À tout moment, la séparation du projet hôte et du projet de service par un périmètre peut entraîner une défaillance de l'instance Redis, en plus des requêtes bloquées. Pour en savoir plus, consultez la section Configuration requise Memorystore pour Redis.

L'API pour Memorystore pour Memcached peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Memorystore pour Memcached, reportez-vous à la documentation produit.

• Les périmètres de service ne protègent que l'API Memorystore pour Memcached. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Memcached au sein du même réseau.

• Les périmètres de service ne protègent que l'API Memorystore pour Valkey. Ils ne protègent pas l'accès normal aux données des instances Memorystore pour Valkey au sein du même réseau.

• Si l'API Cloud Storage est également protégée, les opérations d'importation et d'exportation de Memorystore pour Valkey ne peuvent être lues et écrites que dans un bucket Cloud Storage situé dans le même périmètre de service que l'instance Memorystore pour Valkey.

• Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer d'un projet hôte qui fournit le réseau et le projet de service contenant l'instance Redis dans le même périmètre pour que les requêtes Redis réussissent. À tout moment, la séparation du projet hôte et du projet de service par un périmètre peut entraîner une défaillance de l'instance Redis, en plus des requêtes bloquées. Pour en savoir plus, consultez la section Configuration requise pour Memorystore pour Valkey.

• L'API Memorystore pour Valkey est memorystore.googleapis.com. C'est pourquoi le nom à afficher pour Memorystore pour Valkey est "API Memorystore" lorsque vous utilisez VPC Service Controls dans la console Google Cloud .

Pour en savoir plus sur Memorystore pour Valkey, consultez la documentation produit.

L'API pour l'annuaire des services peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'annuaire des services, consultez la documentation produit.

L'intégration de l'annuaire des services au service VPC Service Controls n'a pas de limites connues.

Pour protéger entièrement Visual Inspection AI, incluez toutes les API suivantes dans votre périmètre :

• API Visual Inspection AI (visualinspection.googleapis.com)
• API Vertex AI (aiplatform.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Artifact Registry (artifactregistry.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Pour en savoir plus sur Visual Inspection AI, consultez la documentation du produit.

L'intégration de Visual Inspection AI à VPC Service Controls n'a pas de limites connues.

Transfer Appliance est entièrement compatible avec les projets utilisant VPC Service Controls.

Transfer Appliance ne propose pas d'API et n'est donc pas compatible avec les fonctionnalités liées aux API dans VPC Service Controls.

Pour plus d'informations sur Transfer Appliance, consultez la documentation produit.

• Lorsque Cloud Storage est protégé par VPC Service Controls, la clé Cloud KMS que vous partagez avec l'équipe Transfer Appliance doit se trouver dans le même projet que le bucket Cloud Storage de destination.

L'API pour Organization Policy Service peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur le service de règles d'administration, consultez la documentation du produit.

VPC Service Controls n'accepte pas les restrictions d'accès aux règles d'administration au niveau du dossier ou de l'organisation qui sont héritées par le projet. VPC Service Controls protège les ressources de l'API du service de règles d'administration au niveau du projet.

Par exemple, si une règle d'entrée empêche un utilisateur d'accéder à l'API Organization Policy Service, cet utilisateur obtient une erreur 403 lorsqu'il demande des règles d'administration appliquées au projet. Toutefois, l'utilisateur peut toujours accéder aux règles d'administration du dossier et de l'organisation contenant le projet.

Vous pouvez appeler l'API OS Login depuis des périmètres VPC Service Controls. Pour gérer OS Login depuis des périmètres VPC Service Controls, configurez OS Login.

Les connexions SSH aux instances de VM ne sont pas protégées par VPC Service Controls.

Pour plus d'informations sur OS Login, consultez la documentation produit.

Les méthodes OS Login pour la lecture et l'écriture de clés SSH n'appliquent pas les périmètres VPC Service Controls. Utilisez les services accessibles par VPC pour désactiver l'accès aux API OS Login.

L'API pour l'état de santé personnalisé des services peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Personalized Service Health, consultez la documentation du produit.

VPC Service Controls n'est pas compatible avec les ressources OrganizationEvents et OrganizationImpacts de l'API Service Health. Par conséquent, les vérifications des règles VPC Service Controls ne se produiront pas lorsque vous appellerez les méthodes pour ces ressources. Toutefois, vous pouvez appeler les méthodes à partir d'un périmètre de service à l'aide d'une adresse IP virtuelle restreinte.

Vous pouvez appeler l'API OS Config depuis des périmètres VPC Service Controls. Pour utiliser VM Manager à partir des périmètres VPC Service Controls, configurez VM Manager.

Pour plus d'informations sur VM Manager, consultez la documentation produit.

Workflows est une plate-forme d'orchestration permettant de combiner des services Google Cloud et des API basées sur HTTP pour exécuter des services dans l'ordre que vous définissez.

Lorsque vous protégez l'API Workflows à l'aide d'un périmètre de service, l'API Workflow Executions est également protégée. Vous n'avez pas besoin d'ajouter séparément workflowexecutions.googleapis.com à la liste des services protégés de votre périmètre.

Les requêtes HTTP provenant d'une exécution de Workflows sont prises en charge comme suit :

• Les requêtes authentifiées auprès de points de terminaison Google Cloud compatibles avec VPC Service Controls sont autorisées.
• Les requêtes adressées à des points de terminaison de fonctions Cloud Run et de services Cloud Run sont autorisées.
• Les requêtes adressées à des points de terminaison tiers sont bloquées.
• Les requêtes adressées à des points de terminaison Google Cloud non compatibles avec VPC Service Controls sont bloquées.

Pour plus d'informations sur Workflows, consultez la documentation du produit.

L'intégration de Workflows avec VPC Service Controls n'a pas de limites connues.

L'API pour Filestore peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Filestore, consultez la documentation du produit.

• Les périmètres de service ne protègent que l'API Filestore. Ils ne protègent pas l'accès normal aux données NFS sur les instances Filestore au sein du même réseau.

• Si vous utilisez le VPC partagé et VPC Service Controls, vous devez disposer du projet hôte qui fournit le réseau et du projet de service qui contient l'instance Filestore dans le même périmètre afin que l'instance Filestore puisse fonctionner correctement. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances.

Pour en savoir plus sur Parallelstore, consultez la documentation produit.

• Si vous utilisez à la fois le VPC partagé et VPC Service Controls, vous devez disposer du projet hôte qui fournit le réseau et du projet de service qui contient l'instance Parallelstore dans le même périmètre afin que l'instance Parallelstore puisse fonctionner correctement. La séparation du projet hôte et du projet de service par rapport au périmètre peut rendre les instances existantes indisponibles et empêcher la création d'instances.

L'API pour Container Threat Detection peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Container Threat Detection, consultez la documentation du produit.

L'intégration de Container Threat Detection à VPC Service Controls n'a pas de limites connues.

Pour plus d'informations sur Ads Data Hub, consultez la documentation du produit.

VPC Service Controls ne limite les échanges de jetons que si l'audience de la requête est une ressource au niveau du projet. Par exemple, VPC Service Controls ne limite pas les requêtes pour les jetons à champ d'application limité, car ces requêtes n'ont pas d'audience. VPC Service Controls ne limite pas non plus les requêtes de fédération d'identité de personnel, car l'audience est une ressource au niveau de l'organisation.

Pour en savoir plus sur Security Token Service, consultez la documentation du produit.

Les services firestore.googleapis.com, datastore.googleapis.com et firestorekeyvisualizer.googleapis.com sont liés. Lorsque vous restreignez le service firestore.googleapis.com dans un périmètre, le périmètre s'applique également aux services datastore.googleapis.com et firestorekeyvisualizer.googleapis.com.

Pour restreindre le service datastore.googleapis.com, utilisez le nom de service firestore.googleapis.com.

Pour obtenir une protection complète de la sortie sur les opérations d'importation et d'exportation, vous devez utiliser l'agent de service Firestore. Pour en savoir plus, lisez les informations ci-après.

• Sécuriser les opérations d'importation et d'exportation Firestore avec VPC Service Controls.
• Sécuriser les opérations d'importation et d'exportation Datastore avec VPC Service Controls.

Pour plus d'informations sur Firestore/Datastore, consultez la documentation du produit.

L'API pour Migrate to Virtual Machines peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Migrate to Virtual Machines, consultez la documentation du produit.

• Pour assurer une protection complète de Migrate to Virtual Machines, ajoutez toutes les API suivantes au périmètre de service :

  • API Artifact Registry (artifactregistry.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Pour plus d'informations, consultez la documentation de Migrate to Virtual Machines.

VPC Service Controls vous permet de protéger les données d'infrastructure que vous collectez avec Migration Center à l'aide d'un périmètre de service.

Pour en savoir plus sur Migration Center, consultez la documentation du produit.

L'API pour le service Backup and DR peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur le service Backup and DR, consultez la documentation du produit.

Si vous supprimez la route Internet par défaut du projet du producteur de services à l'aide de la commande gcloud services vpc-peerings enable-vpc-service-controls, vous risquez de ne pas pouvoir accéder à la console de gestion ni la déployer. Si vous rencontrez ce problème, contactez l'assistance Google Cloud.

Vous pouvez utiliser VPC Service Controls afin de protéger la sauvegarde pour GKE. Vous pouvez utiliser les fonctionnalités de sauvegarde pour GKE normalement dans les périmètres de service.

Pour plus d'informations sur la sauvegarde pour GKE, consultez la documentation du produit.

L'intégration de la sauvegarde pour GKE à VPC Service Controls n'a pas de limites connues.

L'API pour l'API Retail peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur l'API Retail, consultez la documentation produit.

L'intégration de l'API Retail avec VPC Service Controls n'a pas de limites connues.

Application Integration est un système de gestion collaborative des workflows qui vous permet de créer, d'améliorer, de déboguer et de comprendre les principaux workflows de système d'entreprise. Les workflows d'Application Integration sont constitués de déclencheurs et de tâches. Il existe plusieurs types de déclencheurs, tels que les déclencheurs d'API, Pub/Sub, Cron ou SFDC.

Pour en savoir plus sur Application Integration, consultez la documentation produit.

L'API pour Integration Connectors peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Integration Connectors, consultez la documentation du produit.

L'API pour Error Reporting peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Error Reporting, consultez la documentation du produit.

L'API pour Cloud Workstations peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Cloud Workstations, consultez la documentation produit.

• Pour protéger entièrement Cloud Workstations, vous devez limiter l'API Compute Engine dans votre périmètre de service chaque fois que vous limitez l'API Cloud Workstations.
• Assurez-vous que l'API Google Cloud Storage, l'API Google Container Registry et l'API Artifact Registry sont accessibles par les VPC dans votre périmètre de service. Cela est nécessaire pour récupérer des images sur votre poste de travail. Nous vous recommandons également d'autoriser l'API Cloud Logging et l'API Cloud Error Reporting pour qu'elles soient accessibles par les VPC dans votre périmètre de service, même si cela n'est pas obligatoire pour utiliser Cloud Workstations.
• Assurez-vous que votre cluster de poste de travail est privé. La configuration d'un cluster privé empêche les connexions à vos postes de travail depuis l'extérieur de votre périmètre de service VPC.
• Veillez à désactiver les adresses IP publiques dans la configuration de votre poste de travail. Sans cela, les VM disposeront d'adresses IP publiques dans votre projet. Nous vous recommandons vivement d'utiliser la contrainte de règle d'administration constraints/compute.vmExternalIpAccess pour désactiver les adresses IP publiques pour toutes les VM de votre périmètre de service VPC. Pour en savoir plus, consultez Limiter les adresses IP externes à des VM spécifiques.
• Lorsque vous vous connectez à votre poste de travail, le contrôle des accès ne dépend que du fait que le réseau privé depuis lequel vous vous connectez appartient au périmètre de sécurité. Les contrôles des accès basés sur l'appareil, l'adresse IP publique ou l'emplacement utilisés ne sont pas disponibles.

L'API pour Cloud IDS peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour plus d'informations sur Cloud IDS, consultez la documentation produit.

Cloud IDS crée des journaux d'analyse des menaces dans votre projet à l'aide de Cloud Logging. Si Cloud Logging est limité par le périmètre de service, VPC Service Controls bloque les journaux de menaces Cloud IDS, même si Cloud IDS n'est pas ajouté en tant que service restreint au périmètre. Pour utiliser Cloud IDS à l'intérieur d'un périmètre de service, vous devez configurer une règle d'entrée pour le compte de service Cloud Logging dans votre périmètre de service.

Pour en savoir plus sur Chrome Enterprise Premium, consultez la documentation produit.

L'intégration de Chrome Enterprise Premium avec VPC Service Controls n'a pas de limites connues.

Lorsque vous limitez l'API Policy Troubleshooter avec un périmètre, les comptes principaux ne peuvent résoudre les problèmes liés aux stratégies d'autorisation IAM que si toutes les ressources impliquées dans la requête se trouvent dans le même périmètre. Une demande de dépannage implique généralement deux ressources :

• La ressource pour laquelle vous rencontrez des problèmes d'accès : Cette ressource peut être de n'importe quel type. Vous spécifiez explicitement cette ressource lorsque vous résolvez les problèmes liés à une règle d'autorisation.

• Ressource que vous utilisez pour résoudre les problèmes d'accès. Cette ressource est un projet, un dossier ou une organisation. Dans la console Google Cloud et gcloud CLI, cette ressource est déduite en fonction du projet, du dossier ou de l'organisation que vous avez sélectionnés. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project.

  Cette ressource peut être identique à celle pour laquelle vous résolvez les problèmes d'accès, mais ce n'est pas obligatoire.

Si ces ressources ne se trouvent pas dans le même périmètre, la requête échoue.

Pour en savoir plus sur l'outil de dépannage des règles, consultez la documentation du produit.

L'intégration de l'outil de dépannage des règles avec VPC Service Controls n'a pas de limites connues.

Lorsque vous limitez l'API Policy Simulator avec un périmètre, les comptes principaux ne peuvent simuler des stratégies d'autorisation que si certaines ressources impliquées dans la simulation se trouvent dans le même périmètre. Une simulation implique plusieurs ressources :

• Ressource dont vous simulez la stratégie d'autorisation. Cette ressource est également appelée ressource cible. Dans la console Google Cloud , il s'agit de la ressource dont vous modifiez la stratégie d'autorisation. Dans gcloud CLI et l'API REST, vous spécifiez explicitement cette ressource lorsque vous simulez une stratégie d'autorisation.

• Projet, dossier ou organisation qui crée et exécute la simulation. Cette ressource est également appelée ressource hôte. Dans la console Google Cloud et gcloud CLI, cette ressource est déduite en fonction du projet, du dossier ou de l'organisation que vous avez sélectionnés. Dans l'API REST, vous spécifiez cette ressource à l'aide de l'en-tête x-goog-user-project.

  Cette ressource peut être identique à celle pour laquelle vous simulez l'accès, mais ce n'est pas obligatoire.

• Ressource qui fournit les journaux d'accès pour la simulation. Dans une simulation, il existe toujours une ressource qui fournit les journaux d'accès pour la simulation. Cette ressource varie en fonction du type de ressource cible :

  • Si vous simulez une stratégie d'autorisation pour un projet ou une organisation, Policy Simulator récupère les journaux d'accès de ce projet ou de cette organisation.
  • Si vous simulez une stratégie d'autorisation pour un type de ressource différent, Policy Simulator récupère les journaux d'accès pour le projet ou l'organisation parent de cette ressource.
  • Si vous simulez des stratégies d'autorisation pour plusieurs ressources à la fois, Policy Simulator récupère les journaux d'accès du projet ou de l'organisation les plus proches des ressources.
• Toutes les ressources compatibles avec les stratégies d'autorisation pertinentes. Lorsque Policy Simulator exécute une simulation, il prend en compte toutes les stratégies d'autorisation susceptibles d'avoir un impact sur l'accès de l'utilisateur, y compris les stratégies d'autorisation sur les ressources ancêtres et descendantes de la ressource cible. Par conséquent, ces ressources ancêtres et descendantes sont également impliquées dans les simulations.

Si la ressource cible et la ressource hôte ne se trouvent pas dans le même périmètre, la requête échoue.

Si la ressource cible et la ressource qui fournit les journaux d'accès pour la simulation ne se trouvent pas dans le même périmètre, la requête échoue.

Si la ressource cible et certaines ressources compatibles avec des règles d'autorisation pertinentes ne se trouvent pas dans le même périmètre, la requête aboutit, mais les résultats peuvent être incomplets. Par exemple, si vous simulez une règle pour un projet dans un périmètre, les résultats n'incluront pas la règle d'autorisation de l'organisation parente du projet, car les organisations se trouvent toujours en dehors des périmètres VPC Service Controls. Pour obtenir des résultats plus complets, vous pouvez configurer des règles d'entrée et de sortie pour le périmètre.

Pour en savoir plus sur Policy Simulator, consultez la documentation du produit.

L'intégration du simulateur de règles avec VPC Service Controls n'a pas de limites connues.

L'API pour les contacts essentiels peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur les contacts essentiels, consultez la documentation du produit.

L'intégration des contacts essentiels à VPC Service Controls ne présente aucune limitation connue.

L'API pour Identity Platform peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Identity Platform, consultez la documentation du produit.

• Pour assurer une protection complète d'Identity Platform, ajoutez l'API Secure Token (securetoken.googleapis.com) au périmètre de service pour autoriser l'actualisation des jetons. securetoken.googleapis.com n'est pas listé sur la page "VPC Service Controls" de la console Google Cloud . Vous ne pouvez ajouter ce service qu'avec la commande gcloud access-context-manager perimeters update.

• Si votre application s'intègre également à la fonctionnalité de fonctions de blocage, ajoutez Cloud Run Functions (cloudfunctions.googleapis.com) au périmètre de service.

• L'utilisation de l'authentification multifacteur (MFA) par SMS, de l'authentification par e-mail ou de fournisseurs d'identité tiers entraîne l'envoi de données en dehors du périmètre. Si vous n'utilisez pas la MFA avec l'authentification par SMS, par e-mail ou avec des fournisseurs d'identité tiers, désactivez ces fonctionnalités.

L'API pour GKE Multi-Cloud peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur GKE Multi-Cloud, consultez la documentation du produit.

• Pour protéger entièrement l'API GKE Multi-Cloud, vous devez également inclure l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) dans votre périmètre.

L'API GKE On-Prem peut être protégée par VPC Service Controls et utilisée normalement dans les périmètres de service.

Pour en savoir plus sur l'API GKE On-Prem, consultez la documentation produit.

• Pour assurer une protection complète de l'API GKE On-Prem, ajoutez toutes les API suivantes au périmètre de service :

  • API Kubernetes Metadata (kubernetesmetadata.googleapis.com)
  • API Cloud Monitoring (monitoring.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  Notez que VPC Service Controls ne protège pas contre les exportations de journaux Cloud Logging au niveau d'un dossier ou d'une organisation.

Vous pouvez créer un cluster dans votre environnement, qui est connecté au VPC à l'aide de Cloud Interconnect ou Cloud VPN.

Pour en savoir plus sur Google Distributed Cloud (logiciel uniquement) pour Bare Metal, consultez la documentation produit.

• Pour protéger vos clusters, utilisez une adresse IP virtuelle restreinte dans Google Distributed Cloud (logiciel uniquement) pour Bare Metal, et ajoutez toutes les API suivantes au périmètre de service :

• API Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• API GKE Hub (gkehub.googleapis.com)
• API GKE On-Prem (gkeonprem.googleapis.com)
• API Cloud IAM (iam.googleapis.com)
• API Cloud Logging (logging.googleapis.com)
• API Cloud Monitoring (monitoring.googleapis.com)
• API Config Monitoring pour Ops (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

L'API pour l'API On-Demand Scanning peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'API On-Demand Scanning, consultez la documentation produit.

L'intégration de l'API On-Demand Scanning avec VPC Service Controls n'a pas de limites connues.

L'API pour Looker (Google Cloud Core) peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Looker (Google Cloud Core), consultez la documentation du produit.

• Seules les éditions Enterprise ou Embed des instances Looker (Google Cloud Core) utilisant des connexions IP privées sont compatibles avec VPC Service Controls. Les instances Looker (Google Cloud Core) avec des connexions IP publiques ou des connexions IP publiques et privées ne sont pas compatibles avec la conformité VPC Service Controls. Pour créer une instance qui utilise une connexion IP privée, sélectionnez Adresse IP privée dans la section Réseau de la page Créer une instance de la console Google Cloud .

• Lorsque vous placez ou créez une instance Looker (Google Cloud Core) dans un périmètre de service VPC Service Controls, vous devez supprimer la route par défaut vers Internet en appelant la méthode services.enableVpcServiceControls ou en exécutant la commande gcloud suivante :
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
  
  La suppression de la route par défaut limite le trafic sortant aux services compatibles avec VPC Service Controls. Par exemple, l'envoi d'e-mails échouera, car l'API utilisée pour envoyer des e-mails n'est pas conforme à VPC Service Controls.

• Si vous utilisez un VPC partagé, assurez-vous d'inclure le projet de service Looker (Google Cloud Core) dans le même périmètre de service que le projet hôte du VPC partagé ou de créer une liaison de périmètre entre les deux projets. Si le projet de service Looker (Google Cloud Core) et le projet hôte VPC partagé ne se trouvent pas dans le même périmètre ou ne peuvent pas communiquer via un pont de périmètre, la création de l'instance peut échouer ou l'instance Looker (Google Cloud Core) peut ne pas fonctionner correctement.

• Si vous utilisez Looker Studio Pro ou Studio dans Looker, le connecteur Looker ne peut pas se connecter à une instance Looker (Google Cloud Core) située dans un périmètre VPC Service Controls. Pour en savoir plus sur les limites du connecteur Looker, consultez la page de documentation Limites du connecteur Looker.

L'API pour l'Public Certificate Authority peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur l'Public Certificate Authority, consultez la documentation du produit.

L'intégration de l'autorité de certification publique avec VPC Service Controls n'a pas de limites connues.

• Pour utiliser VPC Service Controls avec les opérations par lot de stockage, créez un périmètre de service afin de protéger le projet et les services Google Cloud suivants :
  • Projet Cloud Storage
  • API d'opérations par lot Storage (storagebatchoperations.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • Facultatif : API Cloud KMS (cloudkms.googleapis.com)), si vous utilisez le type de job de mise à jour de la clé de chiffrement des objets.
• Pour autoriser l'accès aux opérations par lot de stockage depuis l'extérieur du périmètre, vous devez configurer des règles d'entrée.

Pour en savoir plus sur les opérations par lot Storage, consultez la documentation du produit.

L'intégration des opérations par lot Storage avec VPC Service Controls ne fait l'objet d'aucune limitation connue.

L'API pour Storage Insights peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Storage Insights, consultez la documentation du produit.

L'intégration de Storage Insights avec VPC Service Controls n'a pas de limites connues.

Pour protéger entièrement les pipelines de données Dataflow, incluez toutes les API suivantes dans votre périmètre :

• API Dataflow (dataflow.googleapis.com)
• API Cloud Scheduler (cloudscheduler.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Pour en savoir plus sur les pipelines de données Dataflow, consultez la documentation du produit.

L'intégration de Dataflow Data Pipelines avec VPC Service Controls n'a pas de limites connues.

Les API pour Security Command Center peuvent être protégées par VPC Service Controls, et Security Command Center peut être utilisé normalement dans les périmètres de service.

Les services securitycenter.googleapis.com et securitycentermanagement.googleapis.com sont liés. Lorsque vous limitez le service securitycenter.googleapis.com dans un périmètre, le périmètre limite le service securitycentermanagement.googleapis.com par défaut. Vous ne pouvez pas ajouter le service securitycentermanagement.googleapis.com à la liste des services limités dans un périmètre, car il est lié à securitycenter.googleapis.com.

Pour en savoir plus sur Security Command Center, consultez la documentation du produit.

• VPC Service Controls ne permet pas d'accéder aux ressources de l'API Security Command Center au niveau du dossier ou de l'organisation depuis les ressources et les clients situés dans un périmètre de service. VPC Service Controls protège les ressources de l'API Security Command Center au niveau du projet. Vous pouvez spécifier une règle de sortie pour empêcher l'accès aux ressources de l'API Security Command Center au niveau du projet à partir des projets situés à l'intérieur du périmètre.
• VPC Service Controls ne permet pas d'ajouter des ressources de l'API Security Command Center au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources de l'API Security Command Center au niveau du dossier ou de l'organisation. Pour gérer les autorisations Security Command Center au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.
• VPC Service Controls n'est pas compatible avec le service de posture de sécurité, car les ressources de posture de sécurité (comme les postures, les déploiements de postures et les modèles de postures prédéfinis) sont des ressources au niveau de l'organisation.
• Vous ne pouvez pas exporter des résultats au niveau d'un dossier ou d'une organisation vers des destinations situées à l'intérieur d'un périmètre de service.
• Vous devez activer l'accès au périmètre dans les cas suivants :
  • Lorsque vous activez les notifications de résultats au niveau du dossier ou de l'organisation, et que le sujet Pub/Sub se trouve dans un périmètre de service.
  • Lorsque vous exportez des données vers BigQuery au niveau du dossier ou de l'organisation, et que BigQuery se trouve dans un périmètre de service.
  • Lorsque vous intégrez Security Command Center à un produit SIEM ou SOAR et que le produit est déployé dans un périmètre de service dans un environnement Google Cloud . Les systèmes SIEM et SOAR compatibles incluent Splunk et IBM QRadar.

L'API pour le Cloud Customer Care peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Cloud Customer Care, consultez la documentation produit.

L'API pour les applications d'IA – Vertex AI Search peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur les applications d'IA Vertex AI Search, consultez la documentation du produit.

Pour vous assurer que Confidential Space fonctionne correctement au-delà des limites du périmètre, vous devez configurer des règles de sortie.

• Si votre Confidential Space doit accéder à des buckets Cloud Storage en dehors de votre périmètre, créez une règle de sortie pour autoriser l'accès à ces buckets.
• Si vous activez l'API Confidential Space sur des ressources Compute Engine en dehors de votre périmètre, créez une règle de sortie pour autoriser l'accès à cette API.

Pour en savoir plus sur Confidential Space, consultez la documentation du produit.

Pour utiliser la protection VPC Service Controls lorsque vous vous connectez à la console série d'une instance de machine virtuelle (VM), vous devez spécifier une règle d'entrée pour le périmètre de service. Lorsque vous configurez la règle d'entrée, le niveau d'accès à la source doit être une valeur basée sur une adresse IP et le nom du service doit être défini sur ssh-serialport.googleapis.com. La règle d'entrée est requise pour accéder à la console série, même si la requête source et la ressource cible se trouvent dans le même périmètre.

Pour en savoir plus sur la console série, consultez la documentation du produit.

Pour en savoir plus sur Google Cloud VMware Engine, consultez la documentation du produit.

Pour savoir comment contrôler l'accès à Dataform avec VPC Service Controls, consultez Configurer VPC Service Controls pour Dataform.

Pour en savoir plus sur Dataform, consultez la documentation du produit.

Web Security Scanner et VPC Service Controls sont soumis à des conditions d'utilisation différentes. Pour en savoir plus, consultez les conditions de chaque produit.

Web Security Scanner envoie les résultats à Security Command Center à la demande. Vous pouvez afficher ou télécharger les données depuis le tableau de bord Security Command Center.

Pour en savoir plus sur Web Security Scanner, consultez la documentation du produit.

L'intégration de Web Security Scanner à VPC Service Controls n'a pas de limites connues.

• Vous devez configurer Certificate Authority Service avec une autorité de certification fonctionnelle avant de créer des instances Secure Source Manager VPC Service Controls.
• Vous devez configurer Private Service Connect avant d'accéder à l'instance Secure Source Manager VPC Service Controls.

Pour en savoir plus sur Secure Source Manager, consultez la documentation du produit.

• Vous pouvez ignorer les cas de non-respect des journaux d'audit SERVICE_NOT_ALLOWED_FROM_VPC causés par des limites de GKE.
• Pour ouvrir l'interface Web de VPC Service Controls avec un navigateur, celui-ci doit avoir accès aux URL suivantes :
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Par exemple : https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

• Les API pour Secure Web Proxy peuvent être protégées par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.
• Si vous provisionnez votre proxy avec un certificat ou activez l'inspection TLS, vous devez également activer l'API Certificate Manager (certificatemanager.googleapis.com) dans votre périmètre.

Pour en savoir plus sur le proxy Web sécurisé, consultez la documentation du produit.

L'intégration de Secure Web Proxy avec VPC Service Controls n'a pas de limites connues.

L'API pour les clés API peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur les clés API, consultez la documentation produit.

L'intégration des clés API avec VPC Service Controls n'a pas de limites connues.

L'API Cloud Controls Partner peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur la console de partenaire dans Sovereign Controls by Partners, consultez la documentation du produit.

L'API pour les microservices peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur les microservices, consultez la documentation produit.

L'intégration de microservices avec VPC Service Controls n'a pas de limites connues.

Les services earthengine.googleapis.com et earthengine-highvolume.googleapis.com sont liés. Lorsque vous limitez le service earthengine.googleapis.com dans un périmètre, le périmètre limite le service earthengine-highvolume.googleapis.com par défaut. Vous ne pouvez pas ajouter le service earthengine-highvolume.googleapis.com à la liste des services limités dans un périmètre, car il est lié à earthengine.googleapis.com.

Pour en savoir plus sur Earth Engine, consultez la documentation du produit.

App Hub vous permet de découvrir et d'organiser les ressources d'infrastructure dans des applications. Vous pouvez utiliser les périmètres VPC Service Controls pour protéger les ressources App Hub.

Pour en savoir plus sur App Hub, consultez la documentation du produit.

L'API Cloud Code peut être protégée par VPC Service Controls. Pour utiliser les fonctionnalités optimisées par Gemini dans Cloud Code, une règle d'entrée doit être configurée pour autoriser le trafic provenant des clients IDE. Pour en savoir plus, consultez la documentation Gemini.

Pour en savoir plus sur Cloud Code, consultez la documentation du produit.

L'intégration de Cloud Code avec VPC Service Controls ne fait l'objet d'aucune limite connue.

Le périmètre VPC Service Controls protège l'API Commerce Org Governance pour Google Private Marketplace.

Pour en savoir plus sur l'API Commerce Org Governance, consultez la documentation produit.

Pour limiter le trafic Internet, utilisez des règles d'administration. Appelez les méthodes CREATE ou UPDATE de l'API Google Cloud Contact Center as a Service pour appliquer manuellement les contraintes de la règle d'administration.

Pour en savoir plus sur Google Cloud Contact Center as a Service, consultez la documentation du produit.

L'intégration de Google Cloud Contact Center as a Service à VPC Service Controls n'a pas de limites connues.

L'API pour Privileged Access Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Privileged Access Manager, consultez la documentation produit.

L'API pour Service Usage peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Service Usage, consultez la documentation du produit.

L'intégration de l'utilisation des services à VPC Service Controls n'a pas de limites connues.

L'API pour Audit Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Audit Manager, consultez la documentation du produit.

L'API pour Google Agentspace Enterprise peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Google Agentspace Enterprise, consultez la documentation du produit.

L'intégration de Google Agentspace Enterprise avec VPC Service Controls n'a pas de limites connues.

L'API pour Google Agentspace – NotebookLM pour les entreprises peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Google Agentspace – NotebookLM pour les entreprises, consultez la documentation du produit.

L'intégration de Google Agentspace – NotebookLM pour les entreprises à VPC Service Controls n'a pas de limites connues.

L'API pour Developer Connect peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Developer Connect, consultez la documentation du produit.

L'API pour Parameter Manager peut être protégée par VPC Service Controls et le produit peut être utilisé normalement dans les périmètres de service.

Pour en savoir plus sur Parameter Manager, consultez la documentation du produit.

Parameter Manager doit se trouver dans le même périmètre VPC Service Controls que Secret Manager.