Prodotti supportati e limitazioni

Per saperne di più su Infrastructure Manager, consulta la documentazione del prodotto.

Per utilizzare Workload Manager in un perimetro dei Controlli di servizio VPC:

• Devi utilizzare un pool di worker privati di Cloud Build per l'ambiente di deployment in Workload Manager. Non puoi utilizzare il pool di worker di Cloud Build predefinito.
• Il pool privato Cloud Build deve avere chiamate internet pubbliche abilitate per scaricare la configurazione Terraform.

Per ulteriori informazioni, consulta Utilizzare un pool di worker privato di Cloud Build nella documentazione di Workload Manager.

Per saperne di più su Workload Manager, consulta la documentazione del prodotto.

L'API per Google Cloud NetApp Volumes può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Google Cloud NetApp Volumes, consulta la documentazione del prodotto.

Google Cloud Search supporta i controlli di sicurezza Virtual Private Cloud (Controlli di servizio VPC) per migliorare la sicurezza dei tuoi dati. I Controlli di servizio VPC ti consentono di definire un perimetro di sicurezza attorno alle risorse di Google piattaforma Cloud per applicare vincoli ai dati e contribuire a mitigare i rischi di esfiltrazione di dati.

Per saperne di più su Google Cloud Search, consulta la documentazione del prodotto.

L'API per Connectivity Tests può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Connectivity Tests, consulta la documentazione del prodotto.

L'integrazione di Connectivity Tests con i Controlli di servizio VPC non presenta limitazioni note.

Controlli di servizio VPC supporta la previsione online, ma non quella batch.

Per saperne di più su AI Platform Prediction, consulta la documentazione del prodotto.

L'API AI Platform Training può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su AI Platform Training, consulta la documentazione del prodotto.

I perimetri dei Controlli di servizio VPC proteggono l'API AlloyDB.

Per saperne di più su AlloyDB per PostgreSQL, consulta la documentazione del prodotto.

• I service perimeter proteggono solo l'API AlloyDB for PostgreSQL Admin. Non proteggono l'accesso ai dati basato su IP ai database sottostanti (come le istanze AlloyDB per PostgreSQL). Per limitare l'accesso IP pubblico sulle istanze AlloyDB per PostgreSQL, utilizza un vincolo di policy dell'organizzazione.
• Prima di configurare i Controlli di servizio VPC per AlloyDB per PostgreSQL, abilita l'API Service Networking.
• Quando utilizzi AlloyDB per PostgreSQL con VPC condiviso e Controlli di servizio VPC, il progetto host e il progetto di servizio devono trovarsi nello stesso perimetro di servizio Controlli di servizio VPC.

L'API per Vertex AI Workbench può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Workbench, consulta la documentazione del prodotto.

L'API per Vertex AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Vedi Colab Enterprise.

Per saperne di più su Vertex AI, consulta la documentazione del prodotto.

L'API per Vertex AI Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Vision, consulta la documentazione del prodotto.

L'API per Vertex AI in Firebase può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI in Firebase, consulta la documentazione del prodotto.

L'API per Colab Enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Colab Enterprise fa parte di Vertex AI. Vedi Vertex AI.

Colab Enterprise utilizza Dataform per archiviare i notebook. Vedi Dataform.

Per saperne di più su Colab Enterprise, consulta la documentazione del prodotto.

L'API per Apigee e Apigee Hybrid può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Apigee e Apigee hybrid, consulta la documentazione del prodotto.

L'API per l'hub API Apigee può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'hub API Apigee, consulta la documentazione del prodotto.

Per ulteriori informazioni sulla condivisione di BigQuery, consulta la documentazione del prodotto.

L'API per Cloud Service Mesh può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Puoi utilizzare mesh.googleapis.com per abilitare le API richieste per Cloud Service Mesh. Non devi limitare mesh.googleapis.com nel perimetro, in quanto non espone alcuna API.

• Scopri di più sulla configurazione dei Controlli di servizio VPC per Cloud Service Mesh (gestito).
• Scopri di più su come aggiungere servizi Cloud Service Mesh ai perimetri di servizio.

Per ulteriori informazioni su Cloud Service Mesh, consulta la documentazione del prodotto.

L'integrazione di Cloud Service Mesh con Controlli di servizio VPC non presenta limitazioni note.

Oltre a proteggere l'API Artifact Registry, Artifact Registry può essere utilizzato all'interno dei service perimeter con GKE e Compute Engine.

Per saperne di più su Artifact Registry, consulta la documentazione del prodotto.

L'API per Assured Open Source Software può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Assured Open Source Software, consulta la documentazione del prodotto.

L'integrazione di Assured Open Source Software con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Assured Workloads può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Assured Workloads, consulta la documentazione del prodotto.

L'integrazione di Assured Workloads con i Controlli di servizio VPC non presenta limitazioni note.

Per proteggere completamente l'API AutoML, includi tutte le seguenti API nel tuo perimetro:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Translation, consulta la documentazione del prodotto.

L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, i perimetri dei Controlli di servizio VPC non si estendono all'ambiente Bare Metal Solution nelle estensioni regionali.

Per saperne di più su Bare Metal Solution, consulta la documentazione del prodotto.

Il collegamento di Controlli di servizio VPC all'ambiente Bare Metal Solution non garantisce alcun controllo di servizio.

Per ulteriori informazioni sulla limitazione di Bare Metal Solution relativa ai Controlli di servizio VPC, consulta la sezione Problemi e limitazioni noti.

L'API Batch può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Batch, consulta la documentazione del prodotto.

L'API per il metastore BigLake può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sul metastore BigLake, consulta la documentazione del prodotto.

L'integrazione del metastore BigLake con Controlli di servizio VPC non presenta limitazioni note.

Quando proteggi l'API BigQuery utilizzando un perimetro di servizio, vengono protette anche l'API BigQuery Storage (bigquerystorage.googleapis.com), l'API BigQuery Reservation (bigqueryreservation.googleapis.com) e l'API BigQuery Connection (bigqueryconnection.googleapis.com). Non devi aggiungere separatamente queste API all'elenco dei servizi protetti del tuo perimetro.

Per saperne di più su BigQuery, consulta la documentazione del prodotto.

L'API BigQuery Data Policy può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API BigQuery Data Policy, consulta la documentazione del prodotto.

L'integrazione dell'API BigQuery Data Policy con Controlli di servizio VPC non presenta limitazioni note.

Il service perimeter protegge solo l'API BigQuery Data Transfer Service. La protezione effettiva dei dati viene applicata da BigQuery. È progettato per consentire l'importazione di dati da varie origini esterne a Google Cloud, come Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, nei set di dati BigQuery. Per informazioni sui requisiti dei Controlli di servizio VPC per la migrazione dei dati da Teradata, consulta la sezione Requisiti dei Controlli di servizio VPC.

Per saperne di più su BigQuery Data Transfer Service, consulta la documentazione del prodotto.

L'API BigQuery Migration può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API BigQuery Migration, consulta la documentazione del prodotto.

L'integrazione dell'API BigQuery Migration con i Controlli di servizio VPC non presenta limitazioni note.

I servizi bigtable.googleapis.com e bigtableadmin.googleapis.com sono raggruppati. Quando limiti il servizio bigtable.googleapis.com in un perimetro, il perimetro limita il servizio bigtableadmin.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio bigtableadmin.googleapis.com all'elenco dei servizi con limitazioni in un perimetro perché è incluso in bigtable.googleapis.com.

Per saperne di più su Bigtable, consulta la documentazione del prodotto.

L'integrazione di Bigtable con i Controlli di servizio VPC non presenta limitazioni note.

Quando utilizzi più progetti con Autorizzazione binaria, ogni progetto deve essere incluso nel perimetro dei Controlli di servizio VPC. Per ulteriori informazioni su questo caso d'uso, vedi Configurazione di più progetti.

Con Autorizzazione binaria, puoi utilizzare Artifact Analysis per archiviare gli attestatori e le attestazioni rispettivamente come note e occorrenze. In questo caso, devi includere anche Artifact Analysis nel perimetro dei Controlli di servizio VPC. Per ulteriori dettagli, consulta le indicazioni per i Controlli di servizio VPC per l'analisi degli artefatti.

Per saperne di più su Autorizzazione binaria, consulta la documentazione del prodotto.

L'integrazione di Binary Authorization con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Blockchain Node Engine può essere protetta dai Controlli di servizio VPC e utilizzata normalmente all'interno dei perimetri di servizio.

Per saperne di più su Blockchain Node Engine, consulta la documentazione del prodotto.

L'API per Certificate Authority Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Certificate Authority Service, consulta la documentazione del prodotto.

Per utilizzare Config Controller con Controlli di servizio VPC, devi abilitare le seguenti API all'interno del perimetro:

• API Cloud Monitoring (monitoring.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

Se esegui il provisioning delle risorse con Config Controller, devi abilitare l'API per queste risorse nel perimetro di servizio. Ad esempio, se vuoi aggiungere un account di servizio IAM, devi aggiungere l'API IAM (iam.googleapis.com).

Per ulteriori informazioni su Config Controller, consulta la documentazione del prodotto.

L'integrazione di Config Controller con i Controlli di servizio VPC non presenta limitazioni note.

Per saperne di più su Data Catalog, consulta la documentazione del prodotto.

L'integrazione di Data Catalog con i Controlli di servizio VPC non presenta limitazioni note.

Cloud Data Fusion richiede alcuni passaggi speciali per proteggere utilizzando i Controlli di servizio VPC.

Per ulteriori informazioni su Cloud Data Fusion, consulta la documentazione del prodotto.

L'API Data Lineage può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Data Lineage, consulta la documentazione del prodotto.

L'integrazione dell'API Data Lineage con i Controlli di servizio VPC non presenta limitazioni note.

Il supporto dei Controlli di servizio VPC per Compute Engine offre i seguenti vantaggi in termini di sicurezza:

• Limita l'accesso alle operazioni API sensibili
• Limita gli snapshot disco permanente e le immagini personalizzate a un perimetro
• Limita l'accesso ai metadati dell'istanza

Il supporto dei Controlli di servizio VPC per Compute Engine consente anche di utilizzare le reti Virtual Private Cloud e i cluster privati Google Kubernetes Engine all'interno dei perimetri di servizio.

Per ulteriori informazioni su Compute Engine, consulta la documentazione del prodotto.

Per utilizzare Conversational Insights con Controlli di servizio VPC, devi avere le seguenti API aggiuntive all'interno del perimetro, a seconda dell'integrazione.

• Per caricare i dati in Conversational Insights, aggiungi l'API Cloud Storage al perimetro di servizio.

• Per utilizzare export, aggiungi l'API BigQuery al perimetro di servizio.

• Per integrare più prodotti CCAI, aggiungi l'API Vertex AI al perimetro di servizio.

Per saperne di più su Conversational Insights, consulta la documentazione del prodotto.

L'integrazione di Conversational Insights con i Controlli di servizio VPC non presenta limitazioni note.

Dataflow supporta diversi connettori di servizi di archiviazione. È stato verificato che i seguenti connettori funzionano con Dataflow all'interno di un perimetro di servizio:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Per saperne di più su Dataflow, consulta la documentazione del prodotto.

• BIND personalizzato non è supportato quando utilizzi Dataflow. Per personalizzare la risoluzione DNS quando utilizzi Dataflow con i Controlli di servizio VPC, utilizza le zone private di Cloud DNS anziché utilizzare server BIND personalizzati. Per utilizzare la tua risoluzione DNS on-premise, valuta la possibilità di utilizzare un Google Cloud metodo di inoltro DNS.

• La scalabilità automatica verticale non può essere protetta da un perimetro dei Controlli di servizio VPC. Per utilizzare lo scalabilità automatica verticale in un perimetro dei Controlli di servizio VPC, devi disattivare la funzionalità Servizi accessibili al VPC.

• Se abiliti Dataflow Prime e avvii un nuovo job all'interno di un perimetro di Controlli di servizio VPC, il job utilizza Dataflow Prime senza scalabilità automatica verticale.

• Non tutti i connettori del servizio di archiviazione sono stati verificati per funzionare se utilizzati con Dataflow all'interno di un perimetro di servizio. Per un elenco dei connettori verificati, consulta la sezione "Dettagli" della sezione precedente.

• Quando utilizzi Python 3.5 con l'SDK Apache Beam 2.20.0-2.22.0, i job Dataflow non vengono avviati se i worker hanno solo indirizzi IP privati, ad esempio quando utilizzi Controlli di servizio VPC per proteggere le risorse. Se i worker Dataflow possono avere solo indirizzi IP privati, ad esempio quando utilizzi i Controlli di servizio VPC per proteggere le risorse, non utilizzare Python 3.5 con l'SDK Apache Beam 2.20.0-2.22.0. Questa combinazione causa l'errore dei job all'avvio.

L'API per il catalogo universale Dataplex può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dataplex Universal Catalog, consulta la documentazione del prodotto.

Dataproc richiede passaggi speciali per proteggere utilizzando i Controlli di servizio VPC.

Per saperne di più su Dataproc, consulta la documentazione del prodotto.

Per proteggere un cluster Dataproc con un perimetro di servizio, segui le istruzioni Reti Dataproc e Controlli di servizio VPC.

Dataproc Serverless richiede passaggi speciali per proteggere utilizzando i Controlli di servizio VPC.

Per saperne di più su Dataproc Serverless per Spark, consulta la documentazione del prodotto.

Per proteggere il tuo workload serverless con un perimetro di servizio, segui le istruzioni Reti Dataproc Serverless e Controlli di servizio VPC.

L'API per Dataproc Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dataproc Metastore, consulta la documentazione del prodotto.

L'integrazione di Dataproc Metastore con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Datastream può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Datastream, consulta la documentazione del prodotto.

L'integrazione di Datastream con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Database Center può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Database Center, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Cloud Asset a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare un criterio di uscita per consentire l'accesso alle risorse dell'API Cloud Asset a livello di progetto dai progetti all'interno del perimetro. Per gestire le autorizzazioni di Database Center a livello di cartella o di organizzazione, ti consigliamo di utilizzare IAM.

L'API Database Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Database Insights, consulta la documentazione del prodotto.

L'integrazione dell'API Database Insights con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Database Migration Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Database Migration Service, consulta la documentazione del prodotto.

L'API per Dialogflow può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dialogflow, consulta la documentazione del prodotto.

L'API per Agent Assist può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Agent Assist, consulta la documentazione del prodotto.

L'API Sensitive Data Protection può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Sensitive Data Protection, consulta la documentazione del prodotto.

L'API per Cloud DNS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud DNS, consulta la documentazione del prodotto.

• Puoi accedere a Cloud DNS tramite il VIP con limitazioni. Tuttavia, non puoi creare o aggiornare zone DNS pubbliche all'interno di progetti nel perimetro di Controlli di servizio VPC.

L'API Document AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Document AI, consulta la documentazione del prodotto.

L'integrazione di Document AI con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Document AI Warehouse può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Document AI Warehouse, consulta la documentazione del prodotto.

L'integrazione di Document AI Warehouse con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Cloud Domains può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Domains, consulta la documentazione del prodotto.

• I dati di contatto utilizzati in Cloud Domains potrebbero essere condivisi con il suffisso di dominio o dominio di primo livello (TLD) e potrebbero essere accessibili pubblicamente per WHOIS/RDAP come consentito dalle tue impostazioni, in conformità con le regole dell'ICANN. Per i dettagli, consulta Protezione della privacy.

• I dati di configurazione DNS utilizzati in Cloud Domains (server dei nomi e impostazioni DNSSEC) sono pubblici. Se il tuo dominio delega a una zona DNS pubblica, che è l'impostazione predefinita, anche i dati di configurazione DNS di questa zona sono pubblici.

Un bus Eventarc Advanced al di fuori di un perimetro di servizio non può ricevere eventi dai progetti Google Cloud all'interno del perimetro. Un bus Eventarc Advanced all'interno di un perimetro non può indirizzare gli eventi a un consumer al di fuori del perimetro.

• Per pubblicare su un bus Eventarc Advanced, l'origine di un evento deve trovarsi all'interno dello stesso perimetro di servizio del bus.
• Per utilizzare un messaggio, un consumer di eventi deve trovarsi all'interno dello stesso perimetro di servizio del bus.

Per saperne di più su Eventarc Advanced, consulta la documentazione del prodotto.

Eventarc Standard gestisce la distribuzione degli eventi utilizzando argomenti Pub/Sub e sottoscrizioni push. Per accedere all'API Pub/Sub e gestire i trigger di eventi, l'API Eventarc deve essere protetta all'interno dello stesso perimetro di servizio Controlli di servizio VPC dell'API Pub/Sub.

Per saperne di più su Eventarc Standard, consulta la documentazione del prodotto.

L'API Distributed Cloud Edge Network può essere protetta dai Controlli di servizio VPC e utilizzata normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Distributed Cloud Edge Network, consulta la documentazione del prodotto.

L'integrazione dell'API Distributed Cloud Edge Network con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'AI antiriciclaggio può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'AI per il contrasto al riciclaggio di denaro, consulta la documentazione del prodotto.

L'integrazione di Anti Money Laundering AI con i Controlli di servizio VPC non presenta limitazioni note.

Quando configuri e scambi i token Firebase App Check, i Controlli di servizio VPC proteggono solo il servizio Firebase App Check. Per proteggere i servizi che si basano su Firebase App Check, devi configurare i perimetri di servizio per questi servizi.

Per saperne di più su Firebase App Check, consulta la documentazione del prodotto.

L'integrazione di Firebase App Check con i Controlli di servizio VPC non presenta limitazioni note.

I perimetri di servizio proteggono solo l'API Firebase Data Connect. Non proteggono l'accesso alle origini dati sottostanti (come le istanze Cloud SQL). La limitazione dell'accesso alle istanze di database deve essere configurata separatamente.

Per saperne di più su Firebase Data Connect, consulta la documentazione del prodotto.

L'integrazione di Firebase Data Connect con Controlli di servizio VPC non presenta limitazioni note.

Quando gestisci le policy delle regole di sicurezza Firebase, Controlli di servizio VPC protegge solo il servizio delle regole di sicurezza Firebase. Per proteggere i servizi che si basano sulle regole di sicurezza Firebase, devi configurare i perimetri di servizio per questi servizi.

Per saperne di più sulle regole di sicurezza Firebase, consulta la documentazione del prodotto.

L'integrazione delle Regole di sicurezza Firebase con i Controlli di servizio VPC non presenta limitazioni note.

Per i passaggi di configurazione, consulta la documentazione di Cloud Run Functions. La protezione dei controlli di servizio VPC non si applica alla fase di build quando le funzioni Cloud Run vengono create utilizzando Cloud Build. Per ulteriori dettagli, consulta le limitazioni note.

Per ulteriori informazioni su Cloud Run Functions, consulta la documentazione del prodotto.

Quando limiti IAM con un perimetro, vengono limitate solo le azioni che utilizzano l'API Identity and Access Management. Queste azioni includono:

• Gestione dei ruoli IAM personalizzati
• Gestione dei pool di identità del workload
• Gestione degli account di servizio e delle chiavi
• Gestione delle policy di negazione
• Gestione delle associazioni di policy per le policy di Principal Access Boundary

Il perimetro non limita le azioni relative ai pool di forza lavoro e alle policy di Principal Access Boundary perché queste risorse vengono create a livello di organizzazione.

Il perimetro non limita la gestione dei criteri di autorizzazione per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione dei criteri di autorizzazione per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano le policy di autorizzazione e dei servizi che le possiedono, consulta Tipi di risorse che accettano le policy di autorizzazione.

Inoltre, il perimetro intorno a IAM non limita le azioni che utilizzano altre API, tra cui:

• API IAM Policy Simulator
• API IAM Policy Troubleshooter
• API Security Token Service
• API Service Account Credentials (inclusi i metodi legacy signBlob e signJwt nell'API IAM)

Per saperne di più su Identity and Access Management, consulta la documentazione del prodotto.

Se ti trovi all'interno del perimetro, non puoi chiamare il metodo roles.list con una stringa vuota per elencare i ruoli IAM predefiniti. Se devi visualizzare i ruoli predefiniti, consulta la documentazione sui ruoli IAM.

L'API IAP Admin consente agli utenti di configurare IAP.

Per saperne di più sull'API IAP Admin , consulta la documentazione del prodotto.

L'integrazione dell'API IAP Admin con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Cloud KMS Inventory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud KMS Inventory, consulta la documentazione del prodotto.

Il metodo API SearchProtectedResources non applica le restrizioni dei perimetro di servizio ai progetti restituiti.

L'API per le credenziali del service account può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulle credenziali del service account, consulta la documentazione del prodotto.

L'integrazione delle credenziali del service account con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Service Metadata può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Service Metadata, consulta la documentazione del prodotto.

L'integrazione dell'API Service Metadata con i Controlli di servizio VPC non presenta limitazioni note.

Se utilizzi l'accesso privato ai servizi, ti consigliamo di attivare Controlli di servizio VPC per la connessione Service Networking.Quando attivi Controlli di servizio VPC, i producer di servizi possono accedere solo alle API supportate da Controlli di servizio VPC tramite la connessione Service Networking.

Puoi abilitare Controlli di servizio VPC per Service Networking solo utilizzando l'API EnableVpcServiceControls. Puoi disattivare Controlli di servizio VPC per il networking dei servizi solo utilizzando l'API DisableVpcServiceControls.

Per saperne di più su Service Networking, consulta la documentazione del prodotto.

L'integrazione di Service Networking con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'accesso VPC serverless può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'accesso VPC serverless, consulta la documentazione del prodotto.

L'integrazione di accesso VPC serverless con i Controlli di servizio VPC non presenta limitazioni note.

L'API Cloud KMS può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato all'interno dei perimetri di servizio. L'accesso ai servizi Cloud HSM è protetto anche dai Controlli di servizio VPC e può essere utilizzato all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Key Management Service, consulta la documentazione del prodotto.

L'integrazione di Cloud Key Management Service con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Game Servers può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Game Servers, consulta la documentazione del prodotto.

L'integrazione di Game Servers con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Gemini Code Assist può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio. Ciò include la personalizzazione del codice.

Per saperne di più su Gemini Code Assist, consulta la documentazione del prodotto.

Il controllo degli accessi basato su dispositivo, indirizzo IP pubblico o posizione non è supportato per Gemini nella console Google Cloud .

L'API per Identity-Aware Proxy per TCP può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Identity-Aware Proxy per TCP, consulta la documentazione del prodotto.

L'API per Cloud Life Sciences può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Life Sciences, consulta la documentazione del prodotto.

L'integrazione di Cloud Life Sciences con i Controlli di servizio VPC non presenta limitazioni note.

Configurazione aggiuntiva richiesta per:

• Accesso on-premise all'API Managed Microsoft AD
• VPC condiviso

Per ulteriori informazioni su Managed Service for Microsoft Active Directory, consulta la documentazione del prodotto.

L'integrazione di Managed Service for Microsoft Active Directory con i Controlli di servizio VPC non presenta limitazioni note.

L'API per reCAPTCHA può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su reCAPTCHA, consulta la documentazione del prodotto.

L'integrazione di reCAPTCHA con i Controlli di servizio VPC non presenta limitazioni note.

L'API Web Risk può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Web Risk, consulta la documentazione del prodotto.

L'API Evaluate e l'API Submission non sono supportate da Controlli di servizio VPC.

L'API Recommender può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Recommender, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta le risorse di organizzazione, cartella o account di fatturazione.

L'API Secret Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Secret Manager, consulta la documentazione del prodotto.

L'integrazione di Secret Manager con i Controlli di servizio VPC non presenta limitazioni note.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni di amministratore, editore e abbonato (ad eccezione degli abbonamenti push esistenti).

Per saperne di più su Pub/Sub, consulta la documentazione del prodotto.

Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:

• Non è possibile creare nuove sottoscrizioni push a meno che gli endpoint push non siano impostati su servizi Cloud Run con URL run.app predefiniti o su un'esecuzione di Workflows (i domini personalizzati non funzionano). Per ulteriori informazioni sull'integrazione con Cloud Run, consulta Utilizzo dei Controlli di servizio VPC.
• Per le sottoscrizioni non push, devi creare una sottoscrizione nello stesso perimetro dell'argomento o attivare le regole di uscita per consentire l'accesso dall'argomento alla sottoscrizione.
• Quando esegui il routing degli eventi tramite Eventarc verso destinazioni Workflows per le quali l'endpoint push è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push solo tramite Eventarc.
• Le sottoscrizioni Pub/Sub create prima del perimetro di servizio non vengono bloccate.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni dei sottoscrittori.

Per saperne di più su Pub/Sub Lite, consulta la documentazione del prodotto.

L'integrazione di Pub/Sub Lite con i Controlli di servizio VPC non presenta limitazioni note.

Utilizza i controlli di servizio VPC con i pool privati Cloud Build per aggiungere ulteriore sicurezza alle tue build.

Per saperne di più su Cloud Build, consulta la documentazione del prodotto.

• La protezione dei Controlli di servizio VPC è disponibile solo per le build eseguite in pool privati.

• I trigger Pub/Sub di Cloud Build non sono supportati.

L'API per Cloud Deploy può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Deploy, consulta la documentazione del prodotto.

Per utilizzare Cloud Deploy in un perimetro, devi utilizzare un pool privato Cloud Build per gli ambienti di esecuzione della destinazione. Non utilizzare il pool di worker predefinito (Cloud Build) e non utilizzare un pool ibrido.

Configurazione di Composer per l'utilizzo con i Controlli di servizio VPC

Per ulteriori informazioni su Cloud Composer, consulta la documentazione del prodotto.

• L'abilitazione della serializzazione DAG impedisce ad Airflow di visualizzare un modello con funzioni nell'interfaccia utente web.

• L'impostazione del flag async_dagbag_loader su True non è supportata mentre la serializzazione DAG è abilitata.

• L'attivazione della serializzazione DAG disattiva tutti i plug-in del server web Airflow, in quanto potrebbero compromettere la sicurezza della rete VPC in cui è deployato Cloud Composer. Ciò non influisce sul comportamento dei plug-in di scheduler o worker, inclusi operatori e sensori Airflow.

• Quando Cloud Composer viene eseguito all'interno di un perimetro, l'accesso ai repository PyPI pubblici è limitato. Nella documentazione di Cloud Composer, consulta Installazione delle dipendenze Python per scoprire come installare i moduli PyPi in modalità IP privato.

L'API per Cloud Quotas può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Quotas, consulta la documentazione del prodotto.

Per saperne di più su Cloud Run, consulta la documentazione del prodotto.

• Creazione del job Cloud Scheduler
• Aggiornamenti dei job Cloud Scheduler

Per saperne di più su Cloud Scheduler, consulta la documentazione del prodotto.

L'API per Spanner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Spanner, consulta la documentazione del prodotto.

L'integrazione di Spanner con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Speaker ID può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Speaker ID, consulta la documentazione del prodotto.

L'integrazione di Speaker ID con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Cloud Storage può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Storage, consulta la documentazione del prodotto.

L'API Cloud Tasks può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Le richieste HTTP dalle esecuzioni di Cloud Tasks sono supportate come segue:

• Sono consentite le richieste autenticate a Cloud Run Functions e agli endpoint Cloud Run conformi a Controlli di servizio VPC.
• Le richieste a funzioni non Cloud Run e a endpoint non Cloud Run vengono bloccate.
• Le richieste alle funzioni Cloud Run e agli endpoint Cloud Run non conformi ai Controlli di servizio VPC vengono bloccate.

Per saperne di più su Cloud Tasks, consulta la documentazione del prodotto.

I perimetri dei Controlli di servizio VPC proteggono l'API Cloud SQL Admin.

Per saperne di più su Cloud SQL, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Cloud SQL Admin. Non proteggono l'accesso ai dati basato su IP alle istanze Cloud SQL. Devi utilizzare un vincolo dei criteri dell'organizzazione per limitare l'accesso IP pubblico sulle istanze Cloud SQL.
• Prima di configurare i Controlli di servizio VPC per Cloud SQL, abilita l'API Service Networking.

• Le importazioni e le esportazioni di Cloud SQL possono eseguire solo letture e scritture da un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza di replica Cloud SQL.

• Nel flusso di migrazione del server esterno, devi aggiungere il bucket Cloud Storage allo stesso perimetro di servizio.

• Nel flusso di creazione delle chiavi per CMEK, utilizza una delle seguenti configurazioni:

  • Crea la chiave nello stesso perimetro di servizio delle risorse che la utilizzano, come Cloud SQL.
  • Crea la chiave in un perimetro di servizio connesso, tramite un bridge perimetrale, al perimetro di servizio che protegge Cloud SQL.
• Quando ripristini un'istanza da un backup, l'istanza di destinazione deve trovarsi nello stesso perimetro di servizio del backup.

L'API Video Intelligence può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Video Intelligence, consulta la documentazione del prodotto.

L'integrazione dell'API Video Intelligence con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Cloud Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Cloud Vision, consulta la documentazione del prodotto.

Per utilizzare Artifact Analysis con i controlli di servizio VPC, potresti dover aggiungere altri servizi al perimetro VPC:

• Se utilizzi le notifiche Pub/Sub con Artifact Analysis, aggiungi Pub/Sub al tuo perimetro di servizio.
• Se utilizzi l'API Container Scanning, aggiungi il tuo registro al perimetro: Artifact Registry o Container Registry.

Poiché l'API Container Scanning è un'API senza superficie che archivia i risultati in Artifact Analysis, non è necessario proteggerla con un perimetro di servizio.

Per saperne di più su Artifact Analysis, consulta la documentazione del prodotto.

L'integrazione di Artifact Analysis con i Controlli di servizio VPC non presenta limitazioni note.

Oltre a proteggere l'API Container Registry, Container Registry può essere utilizzato all'interno di un perimetro di servizio con GKE e Compute Engine.

Per ulteriori informazioni su Container Registry, consulta la documentazione del prodotto.

• Quando specifichi un criterio di ingresso o di uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Container Registry.

  Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.

• Poiché Container Registry utilizza il dominio gcr.io, devi configurare il DNS per *.gcr.io in modo che venga mappato a private.googleapis.com o restricted.googleapis.com. Per saperne di più, vedi Protezione di Container Registry in un perimetro di servizio.

• Oltre ai container all'interno di un perimetro disponibili per Container Registry, i seguenti repository di sola lettura sono disponibili per tutti i progetti, indipendentemente dalle limitazioni imposte dai perimetri di servizio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  In tutti i casi, sono disponibili anche le versioni multiregionali di questi repository.

L'API per Google Kubernetes Engine può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Google Kubernetes Engine, consulta la documentazione del prodotto.

• Per proteggere completamente l'API Google Kubernetes Engine, devi includere anche l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) nel perimetro.
• Solo i cluster privati possono essere protetti utilizzando i Controlli di servizio VPC. I cluster con indirizzi IP pubblici non sono supportati da Controlli di servizio VPC.

• La voce del servizio GKE in questa tabella specifica solo il controllo dell'API GKE stessa. GKE si basa su diversi altri servizi sottostanti per il suo funzionamento, come Compute Engine, Cloud Logging, Cloud Monitoring e l'API Autoscaling (autoscaling.googleapis.com). Per proteggere in modo efficace gli ambienti GKE con i controlli di servizio VPC, devi assicurarti che tutti i servizi sottostanti necessari siano inclusi anche nel perimetro di servizio. Consulta la documentazione di GKE per un elenco completo di questi servizi.

L'API per l'API Container Security può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Container Security, consulta la documentazione del prodotto.

L'integrazione dell'API Container Security con i Controlli di servizio VPC non presenta limitazioni note.

Lo streaming di immagini è una funzionalità di streaming dei dati di GKE che offre tempi di pull delle immagini container più brevi per le immagini archiviate in Artifact Registry. Se Controlli di servizio VPC protegge le tue immagini container e utilizzi lo streaming di immagini, devi includere anche l'API Image Streaming nel perimetro di servizio.

Per saperne di più sullo streaming delle immagini, consulta la documentazione del prodotto.

• I seguenti repository di sola lettura sono disponibili per tutti i progetti, indipendentemente dalle limitazioni imposte dai service perimeter:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Le API di gestione del parco veicoli, incluso il gateway di connessione, possono essere protette con i Controlli di servizio VPC e le funzionalità di gestione del parco veicoli possono essere utilizzate normalmente all'interno dei perimetri di servizio. Per ulteriori informazioni, consulta le seguenti risorse:

• Utilizzare Controlli di servizio VPC con l'agente Connect
• Utilizzare Controlli di servizio VPC con il gateway Connect

Per saperne di più su Fleet, consulta la documentazione del prodotto.

• Sebbene tutte le funzionalità di gestione della flotta possano essere utilizzate normalmente, l'attivazione di un perimetro di servizio intorno all'API Stackdriver impedisce l'integrazione della funzionalità di Policy Controller della flotta con Security Command Center.
• Quando utilizzi il gateway Connect per accedere ai cluster GKE, il perimetro di Controlli di servizio VPC per container.googleapis.com non viene applicato.

L'API per l'API FleetPackage può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API FleetPackage, consulta la documentazione del prodotto.

L'integrazione dell'API FleetPackage con i Controlli di servizio VPC non presenta limitazioni note.

I seguenti metodi dell'API Cloud Resource Manager possono essere protetti dai Controlli di servizio VPC:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Per saperne di più su Resource Manager, consulta la documentazione del prodotto.

• Solo le chiavi tag direttamente associate a una risorsa di progetto e i valori tag corrispondenti possono essere protetti utilizzando i Controlli di servizio VPC. Quando un progetto viene aggiunto a un perimetro di Controlli di servizio VPC, tutte le chiavi tag e i valori tag corrispondenti nel progetto vengono considerati risorse all'interno del perimetro.
• Le chiavi tag associate a una risorsa dell'organizzazione e i relativi valori tag non possono essere inclusi in un perimetro Controlli di servizio VPC e non possono essere protetti utilizzando i Controlli di servizio VPC.
• I client all'interno di un perimetro Controlli di servizio VPC non possono accedere alle chiavi tag e ai valori corrispondenti associati a una risorsa dell'organizzazione, a meno che non sia impostata una regola di uscita che consenta l'accesso al perimetro. Per saperne di più sull'impostazione delle regole di uscita, vedi Regole di ingresso e di uscita.
• Le associazioni di tag sono considerate risorse all'interno dello stesso perimetro della risorsa a cui è associato il valore del tag. Ad esempio, le associazioni di tag su un'istanza Compute Engine in un progetto sono considerate appartenenti a quel progetto indipendentemente da dove è definita la chiave del tag.
• Alcuni servizi, come Compute Engine, consentono di creare associazioni di tag utilizzando le proprie API di servizio, oltre alle API di servizio Resource Manager. Ad esempio, l'aggiunta di tag a una VM Compute Engine durante la creazione della risorsa. Per proteggere i binding dei tag creati o eliminati utilizzando queste API di servizio, aggiungi il servizio corrispondente, ad esempio compute.googleapis.com, all'elenco dei servizi con limitazioni nel perimetro.
• I tag supportano le limitazioni a livello di metodo, quindi puoi limitare l'ambito di method_selectors a metodi API specifici. Per un elenco dei metodi soggetti a restrizioni, vedi Limitazioni del metodo dei servizi supportati.
• La concessione del ruolo di proprietario di un progetto tramite la console Google Cloud è ora supportata dai Controlli di servizio VPC. Non puoi inviare un invito al proprietario o accettare un invito al di fuori dei perimetri del servizio. Se provi ad accettare un invito dall'esterno del perimetro, non ti verrà concesso il ruolo di proprietario e non verrà visualizzato alcun messaggio di errore o avviso.

L'API per Cloud Logging può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Logging, consulta la documentazione del prodotto.

L'API per Certificate Manager può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Certificate Manager, consulta la documentazione del prodotto.

L'integrazione di Certificate Manager con i Controlli di servizio VPC non presenta limitazioni note.

L'API Cloud Monitoring può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Monitoring, consulta la documentazione del prodotto.

L'API per Cloud Profiler può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Profiler, consulta la documentazione del prodotto.

L'integrazione di Cloud Profiler con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Telemetry può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Telemetry, consulta la documentazione del prodotto.

L'integrazione dell'API Telemetry con i Controlli di servizio VPC non presenta limitazioni note.

L'API Timeseries Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Timeseries Insights, consulta la documentazione del prodotto.

L'integrazione dell'API Timeseries Insights con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Cloud Trace può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Trace, consulta la documentazione del prodotto.

L'integrazione di Cloud Trace con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Cloud TPU può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud TPU, consulta la documentazione del prodotto.

L'integrazione di Cloud TPU con Controlli di servizio VPC non presenta limitazioni note.

Per saperne di più sull'API Natural Language, consulta la documentazione del prodotto.

Poiché l'API Natural Language è un'API stateless e non viene eseguita sui progetti, l'utilizzo di Controlli di servizio VPC per proteggere l'API Natural Language non ha alcun effetto.

L'API per Network Connectivity Center può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Network Connectivity Center, consulta la documentazione del prodotto.

L'integrazione di Network Connectivity Center con i Controlli di servizio VPC non presenta limitazioni note.

L'API Cloud Asset può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Cloud Asset, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta l'accesso alle risorse dell'API Cloud Asset a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. Controlli di servizio VPC proteggono le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare una policy di uscita per impedire l'accesso alle risorse dell'API Cloud Asset a livello di progetto dai progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta di risorse dell'API Cloud Asset a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse dell'API Cloud Asset a livello di cartella o di organizzazione. Per gestire le autorizzazioni Cloud Asset Inventory a livello di cartella o organizzazione, ti consigliamo di utilizzare IAM.

L'API Speech-to-Text può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Speech-to-Text, consulta la documentazione del prodotto.

L'integrazione di Speech-to-Text con i Controlli di servizio VPC non presenta limitazioni note.

L'API Text-to-Speech può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Text-to-Speech, consulta la documentazione del prodotto.

L'integrazione di Text-to-Speech con i Controlli di servizio VPC non presenta limitazioni note.

L'API Translation può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sulla traduzione, consulta la documentazione del prodotto.

Cloud Translation - Advanced (v3) supporta Controlli di servizio VPC, ma non Cloud Translation - Basic (v2). Per applicare i Controlli di servizio VPC, devi utilizzare Cloud Translation - Advanced (v3). Per saperne di più sulle diverse versioni, vedi Confronto tra Basic e Advanced.

Utilizza i Controlli di servizio VPC con l'API Live Stream per proteggere la tua pipeline.

Per saperne di più sull'API Live Stream, consulta la documentazione del prodotto.

Per proteggere gli endpoint di input con un perimetro di servizio, devi seguire le istruzioni per configurare un pool privato e inviare i flussi video di input tramite una connessione privata.

L'API per l'API Transcoder può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Transcoder, consulta la documentazione del prodotto.

L'integrazione dell'API Transcoder con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Video Stitcher può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Video Stitcher, consulta la documentazione del prodotto.

L'integrazione dell'API Video Stitcher con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'approvazione dell'accesso può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Access Approval, consulta la documentazione del prodotto.

L'integrazione di Access Approval con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Cloud Healthcare può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Cloud Healthcare, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta le chiavi di crittografia gestite dal cliente (CMEK) nell'API Cloud Healthcare.

Ti consigliamo di inserire il progetto Storage Transfer Service nello stesso perimetro di servizio delle risorse Cloud Storage. In questo modo vengono protetti sia il trasferimento sia le risorse Cloud Storage. Storage Transfer Service supporta anche scenari in cui il progetto Storage Transfer Service non si trova nello stesso perimetro dei bucket Cloud Storage, utilizzando un criterio di uscita.

Per informazioni sulla configurazione, consulta Utilizzo di Storage Transfer Service con i Controlli di servizio VPC

Transfer Service for On Premises Data

Per informazioni dettagliate e sulla configurazione di Transfer for on-premises, consulta Utilizzo di Transfer for on-premises con i Controlli di servizio VPC.

Per ulteriori informazioni su Storage Transfer Service, consulta la documentazione del prodotto.

L'API per Service Control può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Service Control, consulta la documentazione del prodotto.

• Quando chiami l'API Service Control da una rete VPC in un perimetro di servizio con Service Control limitato alla generazione di report sulle metriche di fatturazione o analisi, puoi utilizzare solo il metodo Service Control report per generare report sulle metriche per i servizi supportati da Controlli di servizio VPC.

L'API per Memorystore for Redis può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Memorystore for Redis, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Redis. I perimetri non proteggono l'accesso normale ai dati sulle istanze Memorystore for Redis all'interno della stessa rete.

• Se anche l'API Cloud Storage è protetta, le operazioni di importazione ed esportazione di Memorystore for Redis possono leggere e scrivere solo in un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza Memorystore for Redis.

• Se utilizzi sia VPC condiviso sia Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Redis all'interno dello stesso perimetro affinché le richieste Redis vadano a buon fine. In qualsiasi momento, la separazione del progetto host e del progetto di servizio con un perimetro può causare un errore dell'istanza Redis, oltre alle richieste bloccate. Per ulteriori informazioni, consulta i requisiti di configurazione di Memorystore for Redis.

L'API per Memorystore for Memcached può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Memorystore for Memcached, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Memcached. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Memcached all'interno della stessa rete.

• I perimetri di servizio proteggono solo l'API Memorystore for Valkey. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Valkey all'interno della stessa rete.

• Se anche l'API Cloud Storage è protetta, le operazioni di importazione ed esportazione di Memorystore for Valkey possono leggere e scrivere solo in un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza Memorystore for Valkey.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Redis all'interno dello stesso perimetro affinché le richieste Redis vadano a buon fine. In qualsiasi momento, la separazione del progetto host e del progetto di servizio con un perimetro può causare un errore dell'istanza Redis, oltre alle richieste bloccate. Per ulteriori informazioni, consulta i requisiti di configurazione di Memorystore for Valkey.

• L'API Memorystore for Valkey è memorystore.googleapis.com. Per questo motivo, il nome visualizzato per Memorystore for Valkey è "API Memorystore" quando utilizzi i Controlli di servizio VPC nella console Google Cloud .

Per saperne di più su Memorystore for Valkey, consulta la documentazione del prodotto.

L'API per Service Directory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Service Directory, consulta la documentazione del prodotto.

L'integrazione di Service Directory con i Controlli di servizio VPC non presenta limitazioni note.

Per proteggere completamente l'API Visual Inspection AI, includi tutte le seguenti API nel tuo perimetro:

• API Visual Inspection AI (visualinspection.googleapis.com)
• API Vertex AI (aiplatform.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Artifact Registry (artifactregistry.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per saperne di più su Visual Inspection AI, consulta la documentazione del prodotto.

L'integrazione di Visual Inspection AI con i Controlli di servizio VPC non presenta limitazioni note.

Transfer Appliance è completamente supportato per i progetti che utilizzano i Controlli di servizio VPC.

Transfer Appliance non offre un'API, pertanto non supporta le funzionalità correlate alle API nei Controlli di servizio VPC.

Per saperne di più su Transfer Appliance, consulta la documentazione del prodotto.

• Quando Cloud Storage è protetto dai controlli di servizio VPC, la chiave Cloud KMS che condividi con il team di Transfer Appliance deve trovarsi nello stesso progetto del bucket Cloud Storage di destinazione.

L'API per il servizio Organization Policy può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sul servizio Policy dell'organizzazione, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta le limitazioni di accesso ai criteri dell'organizzazione a livello di cartella o di organizzazione ereditati dal progetto. Controlli di servizio VPC protegge le risorse dell'API Organization Policy Service a livello di progetto.

Ad esempio, se una regola di ingresso impedisce a un utente di accedere all'API Organization Policy Service, questo utente riceve un errore 403 quando esegue una query per i criteri dell'organizzazione applicati al progetto. Tuttavia, l'utente può comunque accedere ai criteri dell'organizzazione della cartella e dell'organizzazione che contiene il progetto.

Puoi chiamare l'API OS Login dall'interno dei perimetri Controlli di servizio VPC. Per gestire OS Login all'interno dei perimetri dei Controlli di servizio VPC, configura OS Login.

Le connessioni SSH alle istanze VM non sono protette da Controlli di servizio VPC.

Per saperne di più su OS Login, consulta la documentazione del prodotto.

I metodi OS Login per la lettura e la scrittura delle chiavi SSH non applicano i perimetri di Controlli di servizio VPC. Utilizza i servizi accessibili da VPC per disattivare l'accesso alle API OS Login.

L'API per Personalized Service Health può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Personalized Service Health, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta le risorse OrganizationEvents e OrganizationImpacts dell'API Service Health. Pertanto, i controlli delle policy dei Controlli di servizio VPC non verranno eseguiti quando chiami i metodi per queste risorse. Tuttavia, puoi chiamare i metodi da un perimetro di servizio utilizzando un VIP con limitazioni.

Puoi chiamare l'API OS Config dall'interno dei perimetri Controlli di servizio VPC. Per utilizzare VM Manager all'interno dei perimetri dei Controlli di servizio VPC, configura VM Manager.

Per saperne di più su VM Manager, consulta la documentazione del prodotto.

Workflows è una piattaforma di orchestrazione che può combinare servizi e API basate su HTTP per eseguire i servizi in un ordine definito da te. Google Cloud

Quando proteggi l'API Workflows utilizzando un perimetro di servizio, viene protetta anche l'API Workflow Execution. Non è necessario aggiungere separatamente workflowexecutions.googleapis.com all'elenco dei servizi protetti del perimetro.

Le richieste HTTP da un'esecuzione di Workflows sono supportate come segue:

• Sono consentite le richieste autenticate agli endpoint Google Cloud conformi a Controlli di servizio VPC.
• Sono consentite le richieste agli endpoint di servizio Cloud Run Functions e Cloud Run.
• Le richieste agli endpoint di terze parti sono bloccate.
• Le richieste agli endpoint non conformi ai Controlli di servizio VPC Google Cloud sono bloccate.

Per saperne di più su Workflows, consulta la documentazione del prodotto.

L'integrazione di Workflows con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Filestore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Filestore, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Filestore. I perimetri non proteggono il normale accesso ai dati NFS sulle istanze Filestore all'interno della stessa rete.

• Se utilizzi sia VPC condiviso sia Controlli di servizio VPC, il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Filestore devono trovarsi all'interno dello stesso perimetro affinché l'istanza Filestore funzioni correttamente. La separazione del progetto host e del progetto di servizio con un perimetro potrebbe rendere non disponibili le istanze esistenti e potrebbe non creare nuove istanze.

Per saperne di più su Parallelstore, consulta la documentazione del prodotto.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Parallelstore all'interno dello stesso perimetro affinché l'istanza Parallelstore funzioni correttamente. La separazione del progetto host e del progetto di servizio con un perimetro potrebbe rendere non disponibili le istanze esistenti e potrebbe non creare nuove istanze.

L'API per Container Threat Detection può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Container Threat Detection, consulta la documentazione del prodotto.

L'integrazione di Container Threat Detection con i Controlli di servizio VPC non presenta limitazioni note.

Per saperne di più su Ads Data Hub, consulta la documentazione del prodotto.

Controlli di servizio VPC limita gli scambi di token solo se l'audience nella richiesta è una risorsa a livello di progetto. Ad esempio, i Controlli di servizio VPC non limitano le richieste di token con ambito ridotto, perché queste richieste non hanno un pubblico. I Controlli di servizio VPC non limitano nemmeno le richieste per la federazione delle identità per la forza lavoro perché il pubblico è una risorsa a livello di organizzazione.

Per ulteriori informazioni su Security Token Service, consulta la documentazione del prodotto.

I servizi firestore.googleapis.com, datastore.googleapis.com e firestorekeyvisualizer.googleapis.com sono raggruppati. Quando limiti il servizio firestore.googleapis.com in un perimetro, il perimetro limita anche i servizi datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.

Per limitare il servizio datastore.googleapis.com, utilizza il nome del servizio firestore.googleapis.com.

Per ottenere la protezione completa in uscita nelle operazioni di importazione ed esportazione, devi utilizzare l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:

• Protezione delle operazioni di importazione ed esportazione di Firestore con i Controlli di servizio VPC.
• Protezione delle operazioni di importazione ed esportazione di Datastore con i Controlli di servizio VPC.

Per ulteriori informazioni su Firestore/Datastore, consulta la documentazione del prodotto.

L'API per Migrate to Virtual Machines può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Migrate to Virtual Machines, consulta la documentazione del prodotto.

• Per proteggere completamente Migrate to Virtual Machines, aggiungi tutte le seguenti API al perimetro di servizio:

  • API Artifact Registry (artifactregistry.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Per saperne di più, consulta la documentazione di Migrate to Virtual Machines.

I Controlli di servizio VPC ti consentono di proteggere i dati dell'infrastruttura che raccogli con Migration Center con un perimetro di servizio.

Per saperne di più su Migration Center, consulta la documentazione del prodotto.

L'API per il servizio di Backup e DR può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sul servizio di Backup e DR, consulta la documentazione del prodotto.

Se rimuovi la route predefinita di internet dal progetto di producer di servizi utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls, potresti non essere in grado di accedere o eseguire il deployment della console di gestione. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.

Puoi utilizzare i Controlli di servizio VPC per proteggere Backup per GKE e puoi utilizzare le funzionalità di Backup per GKE normalmente all'interno dei service perimeter.

Per saperne di più su Backup per GKE, consulta la documentazione del prodotto.

L'integrazione di Backup per GKE con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Retail può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Retail, consulta la documentazione del prodotto.

L'integrazione dell'API Retail con i Controlli di servizio VPC non presenta limitazioni note.

Application Integration è un sistema di gestione dei flussi di lavoro collaborativo che ti consente di creare, migliorare, eseguire il debug e comprendere i flussi di lavoro dei sistemi aziendali principali. I workflow in Application Integration sono costituiti da trigger e attività. Esistono diversi tipi di trigger, ad esempio trigger API/trigger Pub/Sub/trigger cron/trigger sfdc.

Per saperne di più su Application Integration, consulta la documentazione del prodotto.

L'API per Integration Connectors può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Integration Connectors, consulta la documentazione del prodotto.

L'API Error Reporting può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Error Reporting, consulta la documentazione del prodotto.

L'API per Cloud Workstations può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Workstations, consulta la documentazione del prodotto.

• Per proteggere completamente Cloud Workstations, devi limitare l'API Compute Engine nel perimetro di servizio ogni volta che limiti l'API Cloud Workstations.
• Assicurati che l'API Google Cloud Storage, l'API Google Container Registry e l'API Artifact Registry siano accessibili al VPC nel perimetro di servizio. Questo passaggio è necessario per scaricare le immagini sulla workstation. Ti abbiamo anche consigliato di consentire l'accesso VPC all'API Cloud Logging e all'API Cloud Error Reporting nel perimetro del servizio, anche se non è necessario per utilizzare Cloud Workstations.
• Assicurati che il cluster di workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle workstation dall'esterno del perimetro di servizio VPC.
• Assicurati di disattivare gli indirizzi IP pubblici nella configurazione della workstation. In caso contrario, nel tuo progetto verranno create VM con indirizzi IP pubblici. Ti consigliamo vivamente di utilizzare il vincolo dei criteri dell'organizzazione constraints/compute.vmExternalIpAccess per disattivare gli indirizzi IP pubblici per tutte le VM nel perimetro di servizio VPC. Per maggiori dettagli, consulta Limitare gli indirizzi IP esterni a VM specifiche.
• Durante la connessione alla workstation, il controllo dell'accesso si basa solo sul fatto che la rete privata da cui ti connetti appartenga al perimetro di sicurezza. Il controllo dell'accesso basato su dispositivo, indirizzo IP pubblico o posizione non è supportato.

L'API per Cloud IDS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud IDS, consulta la documentazione del prodotto.

Cloud IDS utilizza Cloud Logging per creare log delle minacce nel tuo progetto. Se Cloud Logging è limitato dal perimetro di servizio, i Controlli di servizio VPC bloccano i log delle minacce di Cloud IDS, anche se Cloud IDS non è aggiunto come servizio con limitazioni al perimetro. Per utilizzare Cloud IDS all'interno di un perimetro di servizio, devi configurare una regola di ingresso per l'account di servizio Cloud Logging nel perimetro di servizio.

Per saperne di più su Chrome Enterprise Premium, consulta la documentazione del prodotto.

L'integrazione di Chrome Enterprise Premium con i Controlli di servizio VPC non presenta limitazioni note.

Quando limiti l'API Policy Troubleshooter con un perimetro, le entità possono risolvere i problemi relativi alle policy di autorizzazione IAM solo se tutte le risorse coinvolte nella richiesta si trovano nello stesso perimetro. In genere, in una richiesta di risoluzione dei problemi sono coinvolte due risorse:

• La risorsa per cui stai risolvendo i problemi di accesso. Questa risorsa può essere di qualsiasi tipo. Specifichi esplicitamente questa risorsa quando risolvi i problemi relativi a un criterio di autorizzazione.

• La risorsa che stai utilizzando per risolvere i problemi di accesso. Questa risorsa è un progetto, una cartella o un'organizzazione. Nella console Google Cloud e nella gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifica questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere la stessa per cui stai risolvendo i problemi di accesso, ma non è necessario.

Se queste risorse non si trovano nello stesso perimetro, la richiesta non va a buon fine.

Per saperne di più sullo strumento per la risoluzione dei problemi relativi ai criteri, consulta la documentazione del prodotto.

L'integrazione di Policy Troubleshooter con i Controlli di servizio VPC non presenta limitazioni note.

Quando limiti l'API Policy Simulator con un perimetro, le entità possono simulare le policy di autorizzazione solo se determinate risorse coinvolte nella simulazione si trovano nello stesso perimetro. In una simulazione sono coinvolte diverse risorse:

• La risorsa di cui stai simulando il criterio di autorizzazione. Questa risorsa è detta anche risorsa target. Nella console Google Cloud , questa è la risorsa di cui stai modificando i criteri di autorizzazione. Nell'interfaccia alla gcloud CLI e nell'API REST, specifica esplicitamente questa risorsa quando simuli un criterio di autorizzazione.

• Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è anche chiamata risorsa host. Nella console Google Cloud e nella gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, specifica questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere la stessa per cui stai simulando l'accesso, ma non è necessario.

• La risorsa che fornisce i log di accesso per la simulazione. In una simulazione, c'è sempre una risorsa che fornisce i log di accesso per la simulazione. Questa risorsa varia a seconda del tipo di risorsa di destinazione:

  • Se stai simulando una policy di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log di accesso per quel progetto o quell'organizzazione.
  • Se simuli un criterio di autorizzazione per un tipo diverso di risorsa, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione padre della risorsa.
  • Se simuli contemporaneamente le policy di autorizzazione di più risorse, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione comune più vicino alle risorse.
• Tutte le risorse supportate con le policy di autorizzazione pertinenti. Quando Policy Simulator esegue una simulazione, prende in considerazione tutte le policy di autorizzazione che potrebbero influire sull'accesso dell'utente, incluse le policy di autorizzazione sulle risorse padre e figlio della risorsa di destinazione. Di conseguenza, anche queste risorse antenate e discendenti sono coinvolte nelle simulazioni.

Se la risorsa di destinazione e la risorsa host non si trovano nello stesso perimetro, la richiesta non va a buon fine.

Se la risorsa di destinazione e la risorsa che fornisce i log di accesso per la simulazione non si trovano nello stesso perimetro, la richiesta non va a buon fine.

Se la risorsa di destinazione e alcune risorse supportate con criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste vanno a buon fine, ma i risultati potrebbero essere incompleti. Ad esempio, se simuli una policy per un progetto in un perimetro, i risultati non includeranno la policy di autorizzazione dell'organizzazione padre del progetto, perché le organizzazioni si trovano sempre al di fuori dei perimetri dei Controlli di servizio VPC. Per ottenere risultati più completi, puoi configurare le regole di ingresso e uscita per il perimetro.

Per saperne di più su Policy Simulator, consulta la documentazione del prodotto.

L'integrazione di Policy Simulator con i Controlli di servizio VPC non presenta limitazioni note.

L'API per i contatti essenziali può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Contatti essenziali, consulta la documentazione del prodotto.

L'integrazione di Essential Contacts con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Identity Platform può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Identity Platform, consulta la documentazione del prodotto.

• Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al perimetro di servizio per consentire l'aggiornamento del token. securetoken.googleapis.com non è elencato nella pagina Controlli di servizio VPC della console Google Cloud . Puoi aggiungere questo servizio solo con il comando gcloud access-context-manager perimeters update.

• Se la tua applicazione si integra anche con la funzionalità delle funzioni di blocco, aggiungi Cloud Run Functions (cloudfunctions.googleapis.com) al perimetro di servizio.

• L'utilizzo dell'autenticazione a più fattori (MFA) basata su SMS, dell'autenticazione via email o di provider di identità di terze parti comporta l'invio di dati al di fuori del perimetro. Se non utilizzi l'MFA con SMS, l'autenticazione via email o i provider di identità di terze parti, disattiva queste funzionalità.

L'API per GKE Multi-Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su GKE Multi-Cloud, consulta la documentazione del prodotto.

• Per proteggere completamente l'API GKE Multi-Cloud, devi includere anche l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) nel tuo perimetro.

L'API GKE On-Prem può essere protetta dai Controlli di servizio VPC e può essere utilizzata normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API GKE On-Prem, consulta la documentazione del prodotto.

• Per proteggere completamente l'API GKE On-Prem, aggiungi tutte le seguenti API al perimetro di servizio:

  • API Kubernetes Metadata (kubernetesmetadata.googleapis.com)
  • API Cloud Monitoring (monitoring.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  Tieni presente che Controlli di servizio VPC non protegge dalle esportazioni dei log di Cloud Logging a livello di cartella o organizzazione.

Puoi creare un cluster nel tuo ambiente, che è connesso a VPC utilizzando Cloud Interconnect o Cloud VPN.

Per saperne di più su Google Distributed Cloud (solo software) per bare metal, consulta la documentazione del prodotto.

• Per proteggere i tuoi cluster, utilizza VIP limitato in Google Distributed Cloud (solo software) per bare metal e aggiungi tutte le seguenti API al perimetro di servizio:

• API Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• API GKE Hub (gkehub.googleapis.com)
• API GKE On-Prem (gkeonprem.googleapis.com)
• API Cloud IAM (iam.googleapis.com)
• API Cloud Logging (logging.googleapis.com)
• API Cloud Monitoring (monitoring.googleapis.com)
• Monitoraggio della configurazione per l'API Ops (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

L'API per l'API On-Demand Scanning può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API On-Demand Scanning, consulta la documentazione del prodotto.

L'integrazione dell'API On-Demand Scanning con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Looker (Google Cloud core) può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Looker (Google Cloud core), consulta la documentazione del prodotto.

• Solo le versioni Enterprise o Incorpora delle istanze di Looker (Google Cloud core) che utilizzano connessioni con IP privati supportano la conformità ai Controlli di servizio VPC. Le istanze di Looker (Google Cloud core) con connessioni IP pubbliche o con connessioni IP sia pubbliche che private non supportano la conformità ai Controlli di servizio VPC. Per creare un'istanza che utilizza una connessione con IP privato, seleziona IP privato nella sezione Networking della pagina Crea istanza della console Google Cloud .

• Quando inserisci o crei un'istanza di Looker (Google Cloud core) all'interno di un perimetro di servizio Controlli di servizio VPC, devi rimuovere la route predefinita a internet chiamando il metodo services.enableVpcServiceControls o eseguendo il seguente comando gcloud:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
  
  La rimozione della route predefinita limita il traffico in uscita solo ai servizi conformi a Controlli di servizio VPC. Ad esempio, l'invio di email non riuscirà perché l'API utilizzata per inviare email non è conforme ai Controlli di servizio VPC.

• Se utilizzi il VPC condiviso, assicurati di includere il progetto di servizio Looker (Google Cloud core) nello stesso perimetro di servizio del progetto host del VPC condiviso o di creare un bridge perimetrale tra i due progetti. Se il progetto di servizio Looker (Google Cloud core) e il progetto host VPC condiviso non si trovano nello stesso perimetro o non possono comunicare tramite un bridge del perimetro, la creazione dell'istanza potrebbe non riuscire o l'istanza Looker (Google Cloud core) potrebbe non funzionare correttamente.

• Se utilizzi Looker Studio Pro o Studio in Looker}, il connettore Looker non può connettersi a un'istanza di Looker (Google Cloud core) all'interno di un perimetro Controlli di servizio VPC. Per saperne di più sui limiti del connettore Looker, consulta la pagina della documentazione Limiti del connettore Looker.

L'API per l'Public Certificate Authority può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'Public Certificate Authority, consulta la documentazione del prodotto.

L'integrazione dell'autorità di certificazione pubblica con i Controlli di servizio VPC non presenta limitazioni note.

• Per utilizzare Controlli di servizio VPC con le operazioni batch di archiviazione, crea un perimetro di servizio per proteggere il seguente progetto e i seguenti servizi:
  Google Cloud
  • Progetto Cloud Storage
  • API per le operazioni batch di archiviazione (storagebatchoperations.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • (Facoltativo) API Cloud KMS (cloudkms.googleapis.com)), se utilizzi il tipo di job di aggiornamento della chiave di crittografia degli oggetti.
• Per consentire l'accesso alle operazioni batch di archiviazione dall'esterno del perimetro, devi configurare i criteri di ingresso.

Per saperne di più sulle operazioni batch di Storage, consulta la documentazione del prodotto.

L'integrazione delle operazioni batch di Storage con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Storage Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Storage Insights, consulta la documentazione del prodotto.

L'integrazione di Storage Insights con i Controlli di servizio VPC non presenta limitazioni note.

Per proteggere completamente le pipeline di dati Dataflow, includi tutte le seguenti API nel tuo perimetro:

• API Dataflow (dataflow.googleapis.com)
• API Cloud Scheduler (cloudscheduler.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per saperne di più sulle pipeline di dati Dataflow, consulta la documentazione del prodotto.

L'integrazione di Dataflow Data Pipelines con i Controlli di servizio VPC non presenta limitazioni note.

Le API per Security Command Center possono essere protette dai Controlli di servizio VPC e Security Command Center può essere utilizzato normalmente all'interno dei perimetri di servizio.

I servizi securitycenter.googleapis.com e securitycentermanagement.googleapis.com sono raggruppati. Quando limiti il servizio securitycenter.googleapis.com in un perimetro, il perimetro limita il servizio securitycentermanagement.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio securitycentermanagement.googleapis.com all'elenco dei servizi con limitazioni in un perimetro perché è incluso in securitycenter.googleapis.com.

Per ulteriori informazioni su Security Command Center, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta l'accesso alle risorse API Security Command Center a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse API Security Command Center a livello di progetto. Puoi specificare una policy di uscita per impedire l'accesso alle risorse dell'API Security Command Center a livello di progetto dai progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta di risorse API Security Command Center a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse API Security Command Center a livello di cartella o organizzazione. Per gestire le autorizzazioni di Security Command Center a livello di cartella o organizzazione, ti consigliamo di utilizzare IAM.
• Controlli di servizio VPC non supporta il servizio di postura di sicurezza perché le risorse di postura di sicurezza (come posture, deployment di posture e modelli di posture predefiniti) sono risorse a livello di organizzazione.
• Non puoi esportare i risultati a livello di cartella o organizzazione nelle destinazioni all'interno di un perimetro di servizio.
• Devi abilitare l'accesso perimetrale nei seguenti scenari:
  • Quando attivi le notifiche sui risultati a livello di cartella o organizzazione e l'argomento Pub/Sub si trova all'interno di un perimetro di servizio.
  • Quando esporti i dati in BigQuery dal livello di cartella o organizzazione e BigQuery si trova all'interno di un perimetro di servizio.
  • Quando integri Security Command Center con un prodotto SIEM o SOAR e il prodotto viene implementato all'interno di un perimetro di servizio in un ambiente Google Cloud . I SIEM e SOAR supportati includono Splunk e IBM QRadar.

L'API per assistenza clienti Google Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'assistenza clienti Google Cloud, consulta la documentazione del prodotto.

L'API per le applicazioni di AI - Vertex AI Search può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su AI Applications - Vertex AI Search, consulta la documentazione del prodotto.

Per garantire il corretto funzionamento di Confidential Space oltre i confini del perimetro, devi configurare le regole di uscita.

• Se il tuo Confidential Space deve accedere ai bucket Cloud Storage al di fuori del perimetro, crea una regola di uscita per consentire l'accesso a questi bucket.
• Se abiliti l'API Confidential Space sulle risorse Compute Engine al di fuori del perimetro, crea una regola di uscita per consentire l'accesso a questa API.

Per saperne di più su Confidential Space, consulta la documentazione del prodotto.

Per utilizzare la protezione dei Controlli di servizio VPC quando ti connetti alla console seriale per un'istanza di macchina virtuale (VM), devi specificare una regola di ingresso per il perimetro di servizio. Quando configuri la regola di ingresso, il livello di accesso per l'origine deve essere un valore basato su IP e il nome del servizio impostato su ssh-serialport.googleapis.com. La regola di ingresso è necessaria per accedere alla console seriale anche se la richiesta di origine e la risorsa di destinazione si trovano nello stesso perimetro.

Per saperne di più sulla console seriale, consulta la documentazione del prodotto.

Per saperne di più su Google Cloud VMware Engine, consulta la documentazione del prodotto.

Per scoprire come controllare l'accesso a Dataform con i Controlli di servizio VPC, consulta Configurare i Controlli di servizio VPC per Dataform.

Per saperne di più su Dataform, consulta la documentazione del prodotto.

Web Security Scanner e i Controlli di servizio VPC sono soggetti a Termini di servizio diversi. Per informazioni dettagliate, consulta i termini di ogni prodotto.

Web Security Scanner invia i risultati a Security Command Center su richiesta. Puoi visualizzare o scaricare i dati dalla dashboard di Security Command Center.

Per ulteriori informazioni su Web Security Scanner, consulta la documentazione del prodotto.

L'integrazione di Web Security Scanner con i Controlli di servizio VPC non presenta limitazioni note.

• Prima di creare istanze dei Controlli di servizio VPC di Secure Source Manager, devi configurare Certificate Authority Service con un'autorità di certificazione funzionante.
• Devi configurare Private Service Connect prima di accedere all'istanza dei controlli di servizio VPC di Secure Source Manager.

Per saperne di più su Secure Source Manager, consulta la documentazione del prodotto.

• La violazione del log di controllo SERVICE_NOT_ALLOWED_FROM_VPC causata dalle limitazioni di GKE può essere ignorata.
• Per aprire l'interfaccia web di Controlli di servizio VPC con un browser, il browser deve accedere ai seguenti URL:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Ad esempio, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

• Le API per Secure Web Proxy possono essere protette dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.
• Se esegui il provisioning del proxy con un certificato o abiliti l'ispezione TLS, devi anche abilitare l'API Certificate Manager (certificatemanager.googleapis.com) all'interno del perimetro.

Per saperne di più su Secure Web Proxy, consulta la documentazione del prodotto.

L'integrazione di Secure Web Proxy con i Controlli di servizio VPC non presenta limitazioni note.

L'API per le chiavi API può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sulle chiavi API, consulta la documentazione del prodotto.

L'integrazione delle chiavi API con i Controlli di servizio VPC non presenta limitazioni note.

L'API Cloud Controls Partner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulla Partner Console in Sovereign Controls by Partners, consulta la documentazione del prodotto.

L'API per i microservizi può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sui microservizi, consulta la documentazione del prodotto.

L'integrazione di microservizi con i Controlli di servizio VPC non presenta limitazioni note.

I servizi earthengine.googleapis.com e earthengine-highvolume.googleapis.com sono raggruppati. Quando limiti il servizio earthengine.googleapis.com in un perimetro, il perimetro limita il servizio earthengine-highvolume.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio earthengine-highvolume.googleapis.com all'elenco dei servizi con limitazioni in un perimetro perché è incluso in earthengine.googleapis.com.

Per saperne di più su Earth Engine, consulta la documentazione del prodotto.

App Hub ti consente di individuare e organizzare le risorse dell'infrastruttura in applicazioni. Puoi utilizzare i perimetri di Controlli di servizio VPC per proteggere le risorse di App Hub.

Per saperne di più su App Hub, consulta la documentazione del prodotto.

L'API Cloud Code può essere protetta da Controlli di servizio VPC. Per utilizzare le funzionalità basate su Gemini in Cloud Code, è necessario configurare un criterio di ingresso per consentire il traffico dai client IDE. Per informazioni dettagliate, consulta la documentazione di Gemini.

Per saperne di più su Cloud Code, consulta la documentazione del prodotto.

L'integrazione di Cloud Code con i Controlli di servizio VPC non presenta limitazioni note.

Il perimetro dei Controlli di servizio VPC protegge l'API Commerce Org Governance per Google Private Marketplace.

Per ulteriori informazioni sull'API Commerce Org Governance, consulta la documentazione del prodotto.

Per limitare il traffico internet, utilizza i criteri dell'organizzazione. Richiama i metodi CREATE o UPDATE dell'API Google Cloud Contact Center as a Service per applicare manualmente i vincoli dei criteri dell'organizzazione.

Per ulteriori informazioni su Google Cloud Contact Center as a Service, consulta la documentazione del prodotto.

L'integrazione di Google Cloud Contact Center as a Service con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Privileged Access Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Privileged Access Manager, consulta la documentazione del prodotto.

L'API Service Usage può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Service Usage, consulta la documentazione del prodotto.

L'integrazione di Service Usage con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Audit Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Audit Manager, consulta la documentazione del prodotto.

L'API per Google Agentspace Enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Google Agentspace Enterprise, consulta la documentazione del prodotto.

L'integrazione di Google Agentspace Enterprise con i controlli di servizio VPC non presenta limitazioni note.

L'API per Google Agentspace - NotebookLM for enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Google Agentspace - NotebookLM for enterprise, consulta la documentazione del prodotto.

L'integrazione di Google Agentspace - NotebookLM for enterprise con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Developer Connect può essere protetta da Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Developer Connect, consulta la documentazione del prodotto.

L'API per Parameter Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Parameter Manager, consulta la documentazione del prodotto.

Parameter Manager deve trovarsi nello stesso perimetro dei Controlli di servizio VPC di Secret Manager.