サポートされているプロダクトと制限事項

このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。

サポートされているすべてのサービスを一覧表示する

VPC Service Controls でサポートされているすべてのプロダクトとサービスの完全なリストを取得するには、次のコマンドを実行します。

gcloud access-context-manager supported-services list

プロダクトとサービスのリストを含むレスポンスが返されます。

NAME                 TITLE             SERVICE_SUPPORT_STAGE   AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS          RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

このレスポンスには次の値が含まれます。

説明
SERVICE_ADDRESS 商品またはサービスのサービス名。例: aiplatform.googleapis.com
SERVICE_NAME 商品またはサービスの名称。例: Vertex AI API
SERVICE_STATUS VPC Service Controls とのサービス統合のステータス。可能な値は次のとおりです。
  • GA: サービス統合は、VPC Service Controls の境界で完全にサポートされています。
  • PREVIEW: このサービス統合はより広範なテストと使用に対応していますが、本番環境では VPC Service Controls 境界で完全にサポートされていません。
  • DEPRECATED: サービス統合は停止して削除される予定です。
RESTRICTED_VIP_STATUS VPC Service Controls とのサービス統合が制限付き VIP によってサポートされるかどうかを指定します。可能な値は次のとおりです。
  • TRUE: サービス統合は制限付き VIP で完全にサポートされており、VPC Service Controls の境界で保護できます。
  • FALSE: サービス統合は制限付き VIP でサポートされていません。
制限付き VIP で利用可能なサービスの一覧については、制限付き VIP でサポートされているサービスをご覧ください。
LIMITATIONS_STATUS VPC Service Controls とのサービス統合に制限があるかどうかを指定します。可能な値は次のとおりです。
  • TRUE: VPC Service Controls とのサービス統合には既知の制限事項があります。これらの制限事項の詳細については、サポート対象プロダクトの表でサービスに対応するエントリをご覧ください。
  • FALSE: VPC Service Controls とのサービス統合には既知の制限事項はありません。

サービスに対してサポートされているメソッドを一覧表示する

サービスに対して VPC Service Controls でサポートされているメソッドと権限のリストを取得するには、次のコマンドを実行します。

gcloud access-context-manager supported-services describe SERVICE_ADDRESS

SERVICE_ADDRESS は、プロダクトまたはサービスのサービス名に置き換えます。たとえば、aiplatform.googleapis.com です。

メソッドと権限のリストを含むレスポンスが返されます。

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
serviceSupportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

このレスポンスでは、METHODS_LIST によって、指定したサービスに対して VPC Service Controls でサポートされているすべてのメソッドと権限が一覧表示されます。サポートされているすべてのサービス メソッドと権限の一覧については、サポートされているサービス メソッドの制限をご覧ください。

サポート対象プロダクト

VPC Service Controls がサポートするプロダクトは次のとおりです。

サポート対象プロダクト 説明

Infrastructure Manager

ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
サービス名 config.googleapis.com
詳細

Infrastructure Manager の詳細については、プロダクトのドキュメントをご覧ください。

制限事項

境界で Infrastructure Manager を使用するには:

  • Infrastructure Manager で使用されるワーカープールには、Cloud Build のプライベート プールを使用する必要があります。Terraform プロバイダと Terraform の構成をダウンロードするには、このプライベート プールで公共のインターネット呼び出しを有効にする必要があります。デフォルトの Cloud Build ワーカープールは使用できません。
  • 次のものは同じ境界内に存在する必要があります。
    • Infrastructure Manager で使用されるサービス アカウント。
    • Infrastructure Manager で使用される Cloud Build ワーカープール。
    • Infrastructure Manager で使用されるストレージ バケット。デフォルトのストレージ バケットを使用できます。
  • ワークロード マネージャー

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 workloadmanager.googleapis.com
    詳細

    VPC Service Controls の境界で Workload Manager を使用するには:

    • Workload Manager のデプロイ環境には、Cloud Build のプライベート ワーカープールを使用する必要があります。デフォルトの Cloud Build ワーカープールは使用できません。
    • Terraform 構成をダウンロードするには、Cloud Build プライベート プールで公共のインターネット呼び出しを有効にする必要があります。

    詳細については、Workload Manager のドキュメントで Cloud Build のプライベート ワーカープールを使用するをご覧ください。

    Workload Manager の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    次のリソースが同じ VPC Service Controls サービス境界内にあることを確認する必要があります。

    • Workload Manager サービス アカウント。
    • Cloud Build プライベート ワーカープール。
    • Workload Manager がデプロイに使用する Cloud Storage バケット。

    Google Cloud NetApp Volumes

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 netapp.googleapis.com
    詳細

    Google Cloud NetApp Volumes の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    Google Cloud NetApp Volume の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    VPC Service Controls は、ネットワーク ファイル システム(NFS)とサーバー メッセージ ブロック(SMB)の読み取りおよび書き込みなどのデータプレーン パスには対応していません。また、ホスト プロジェクトとサービス プロジェクトが異なる境界で構成されている場合、Google Cloud サービスの実装が中断される可能性があります。

    Google Cloud Search

    ステータス GA
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudsearch.googleapis.com
    詳細

    Google Cloud Search は、Virtual Private Cloud Security Controls(VPC Service Controls)をサポートして、データのセキュリティを強化します。VPC Service Controls によって、Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。

    Google Cloud Search の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Cloud Search リソースは Google Cloud プロジェクトに保存されないため、VPC 境界で保護されたプロジェクトで Cloud Search のお客様の設定を更新する必要があります。VPC プロジェクトは、すべての Cloud Search リソースの仮想プロジェクト コンテナとして機能します。このマッピングを行わないと、Cloud Search API で VPC Service Controls が動作しません。

    Google Cloud Search で VPC Service Controls を有効にする完全な手順については、Google Cloud Search のためにセキュリティを強化するをご覧ください。

    接続テスト

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 networkmanagement.googleapis.com
    詳細

    接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    接続テストの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    接続テストと VPC Service Controls の統合には既知の制限がありません。

    AI Platform Prediction

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 ml.googleapis.com
    詳細

    VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。

    AI Platform Prediction の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。

      • AI Platform Training and Prediction API(ml.googleapis.com
      • Pub/Sub API(pubsub.googleapis.com
      • Cloud Storage API(storage.googleapis.com
      • Google Kubernetes Engine API(container.googleapis.com
      • Container Registry API(containerregistry.googleapis.com
      • Cloud Logging API(logging.googleapis.com

      詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

    • サービス境界内で AI Platform Prediction を使用する場合、バッチ予測はサポートされません。

    • AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

    AI Platform Training

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 ml.googleapis.com
    詳細

    AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    AI Platform Training の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。

      • AI Platform Training and Prediction API(ml.googleapis.com
      • Pub/Sub API(pubsub.googleapis.com
      • Cloud Storage API(storage.googleapis.com
      • Google Kubernetes Engine API(container.googleapis.com
      • Container Registry API(containerregistry.googleapis.com
      • Cloud Logging API(logging.googleapis.com

      詳しくは AI Platform Training 用の VPC Service Controls の設定をご覧ください。

    • AI Platform Training をサービス境界内で使用する場合、TPU トレーニングはサポートされません。

    • AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定をご覧ください。

    PostgreSQL 向け AlloyDB

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 alloydb.googleapis.com
    詳細

    VPC Service Controls 境界は AlloyDB API を保護します。

    AlloyDB for PostgreSQL の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界は、AlloyDB for PostgreSQL Admin API のみを保護します。基盤となるデータベース(AlloyDB for PostgreSQL インスタンスなど)に対する IP ベースのデータアクセスは保護されません。AlloyDB for PostgreSQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用します。
    • PostgreSQL 向け AlloyDB に VPC Service Controls を構成する前に、Service Networking API を有効にします。
    • 共有 VPC と VPC Service Controls で PostgreSQL 向け AlloyDB を使用する場合、ホスト プロジェクトとサービス プロジェクトは同じ VPC Service Controls サービス境界内にある必要があります。

    Vertex AI Workbench

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 notebooks.googleapis.com
    詳細

    Vertex AI Workbench の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Vertex AI Workbench の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    制限事項について詳しくは、Vertex AI Workbench のドキュメントで、Vertex AI Workbench インスタンスのサービス境界ユーザー管理ノートブックのサービス境界マネージド ノートブックのサービス境界をご覧ください。

    Vertex AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 aiplatform.googleapis.com
    詳細

    Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Colab Enterprise をご覧ください。

    Vertex AI の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    制限事項の詳細については、Vertex AI ドキュメントの制限事項をご覧ください。

    Vertex AI Vision

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 visionai.googleapis.com
    詳細

    Vertex AI Vision の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Vertex AI Vision の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    constraints/visionai.disablePublicEndpoint がオンの場合、クラスタのパブリック エンドポイントが無効になります。ユーザーは手動で PSC ターゲットに接続し、プライベート ネットワークからサービスにアクセスする必要があります。PSC ターゲットは、cluster リソースから取得できます。

    Vertex AI in Firebase

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 firebasevertexai.googleapis.com
    詳細

    Firebase の Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Firebase の Vertex AI の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Vertex AI in Firebase API は、Vertex AI API(aiplatform.googleapis.comにトラフィックをプロキシします。
      • aiplatform.googleapis.com がサービス境界の制限付きサービスのリストにも追加されていることを確認します。
      • Vertex AI API の既知の制限事項はすべて、Vertex AI in Firebase API に適用されます。
    • Firebase API の Vertex AI へのトラフィックは、常にサービス境界外にあるモバイル クライアントまたはブラウザ クライアントから送信されることを前提としています。そのため、明示的な上り(内向き)ポリシーを構成する必要があります。

      サービス境界内からのみ Vertex AI API に接続する必要がある場合は、Vertex AI API を直接使用するか、サーバー SDK、Firebase Genkit、または Vertex AI API にサーバーサイドからアクセスするために利用可能な他のサービスのいずれかを使用してください。

    Colab Enterprise

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 aiplatform.googleapis.com
    詳細

    Colab Enterprise の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Colab Enterprise は Vertex AI の一部です。Vertex AI をご確認ください。

    Colab Enterprise は、ノートブックの保存に Dataform を使用します。Dataform をご覧ください。

    Colab Enterprise の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    制限事項については、Colab Enterprise のドキュメントの既知の制限事項をご覧ください。

    Apigee と Apigee ハイブリッド

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 apigee.googleapis.com,
    apigeeconnect.googleapis.com
    詳細

    Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Apigee と VPC Service Controls とのインテグレーションには次の制限があります。

    • 統合ポータルを構成するには、追加の手順が必要です。
    • サービス境界内に Drupal ポータルをデプロイする必要があります。

    Analytics Hub

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 analyticshub.googleapis.com
    詳細 VPC Service Controls は、データ交換リスティングを保護します。サービス境界を使用して共有データセットリンクされたデータセットを保護するには、BigQuery API を使用します。詳細については、Analytics Hub の VPC Service Controls のルールをご覧ください。

    Analytics Hub の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    Analytics Hub はメソッドベースのルールをサポートしていないため、すべてのメソッドを許可する必要があります。詳細については、Analytics Hub VPC Service Controls ルールの制限事項をご覧ください。

    Cloud Service Mesh

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 meshca.googleapis.com,
    meshconfig.googleapis.com,
    trafficdirector.googleapis.com,
    networkservices.googleapis.com,
    networksecurity.googleapis.com
    詳細

    Cloud Service Mesh の API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。

    mesh.googleapis.com を使用すると、Cloud Service Mesh に必要な API を有効にできます。API は公開していないため、境界の mesh.googleapis.com を制限する必要はありません。

    Cloud Service Mesh の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Service Mesh と VPC Service Controls の統合には既知の制限事項はありません。

    Artifact Registry

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 artifactregistry.googleapis.com
    詳細

    Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

    Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Artifact Registry は pkg.dev ドメインを使用するため、*.pkg.devprivate.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界でのリポジトリの保護をご覧ください。
    • Artifact Registry で使用可能な境界内のアーティファクトに加えて、Container Registry 内の読み取り専用の次のリポジトリをサービス境界に関係なくすべてのプロジェクトで利用できます。

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      いずれの場合も、これらのリポジトリのリージョン版も利用できます。

    Assured Workloads

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 assuredworkloads.googleapis.com
    詳細

    Assured Workloads の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Assured Workloads の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Assured Workloads と VPC Service Controls の統合に既知の制限事項はありません。

    AutoML Natural Language

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Natural Language の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Tables

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Tables の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Translation

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Translation の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Video Intelligence

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Video Intelligence の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    AutoML Vision

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 automl.googleapis.com,
    eu-automl.googleapis.com
    詳細

    AutoML API を完全に保護するには、次のすべての API を境界に含めます。

    • AutoML API(automl.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • BigQuery API(bigquery.googleapis.com

    AutoML Vision の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項をご覧ください。

    Bare Metal Solution

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか いいえ。Bare Metal Solution の API をサービス境界により保護することはできません。 ただし、境界内のプロジェクトで Bare Metal Solution を通常どおり使用できます。
    詳細

    Bare Metal Solution API は、安全な境界に追加できます。ただし、VPC Service Controls の境界は、リージョン拡張の Bare Metal Solution 環境までは拡張されません。

    Bare Metal Solution の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls を Bare Metal Solution 環境に接続しても、サービス コントロールの保証は維持されません。

    VPC Service Controls に関する Bare Metal Solution の制限事項の詳細については、既知の問題と制限事項をご覧ください。

    Batch

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 batch.googleapis.com
    詳細

    Batch の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Batch の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    Batch を完全に保護するには、境界に次の API を含める必要があります。
    • Batch API(batch.googleapis.com
    • Cloud Logging API(logging.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Artifact Registry API(artifactregistry.googleapis.com
    • Filestore API(file.googleapis.com

    BigLake Metastore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 biglake.googleapis.com
    詳細

    BigLake Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    BigLake Metastore の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls と BigLake Metastore の統合には既知の制限事項はありません。

    BigQuery

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquery.googleapis.com
    詳細

    サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API、BigQuery Reservation API、BigQuery Connection API も保護されます。境界で保護されるサービスのリストにこれらの API を個別に追加する必要はありません。

    BigQuery の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。

    • サービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内、または境界の下り(外向き)ルールで許可されたプロジェクト内で実行しなければなりません。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。

    • BigQuery は、VPC Service Controls の保護された境界から Google ドライブへのクエリ結果の保存をブロックします。

    • ID タイプとしてユーザー アカウントを持つ上り(内向き)ルールを使用してアクセス権を付与する場合、Monitoring ページで BigQuery リソース使用率または管理ジョブ エクスプローラを表示できません。これらの機能を使用するには、ID タイプとして ANY_IDENTITY を使用する上り(内向き)ルールを構成します。

    • 上り(内向き)ルールを使用して BigQuery ユーザーにデータへのアクセス権を付与すると、ユーザーは Google Cloud コンソールを使用してクエリを実行し、結果をローカル ファイルに保存できます。

    • VPC Service Controls は、BigQuery Enterprise、Enterprise Plus、On-Demand で分析を行う場合にのみサポートされます。

    • BigQuery Reservation API は部分的にサポートされています。割り当てリソースを作成する BigQuery Reservation API では、割り当て先に対してサービス境界の制限は適用されません。

    BigQuery Data Policy API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquerydatapolicy.googleapis.com
    詳細

    BigQuery Data Policy API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    BigQuery Data Policy API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    BigQuery Data Policy API と VPC Service Controls の統合には既知の制限事項はありません。

    BigQuery Data Transfer Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquerydatatransfer.googleapis.com
    詳細

    サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。Teradata からデータを移行するための VPC Service Controls の要件については、VPC Service Controls の要件をご覧ください。

    BigQuery Data Transfer Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポートをご覧ください。
    • プロジェクト間でデータを転送するには、宛先と送信元のプロジェクトが同じ境界内にあるか、下り(外向き)ルールで境界外のデータ転送が許可されている必要があります。下り(外向き)ルールの設定については、BigQuery データセットの管理の制限事項をご覧ください。
    • BigQuery Data Transfer Service の定期的なオフライン転送実行によって開始された BigQuery ジョブのイングレス違反と下り(外向き)違反には、呼び出し元の IP アドレスやデバイスなどのユーザー コンテキスト情報は含まれません。
    • BigQuery Data Transfer Service は、サポートされているデータソースに記載されているコネクタのいずれかを使用して、サービス境界で保護されたプロジェクトへのデータ転送のみをサポートしています。BigQuery Data Transfer Service は、他のサードパーティ パートナーが提供するコネクタを使用して、サービス境界で保護されたプロジェクトにデータを転送することをサポートしていません。

    BigQuery Migration API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigquerymigration.googleapis.com
    詳細

    BigQuery Migration API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    BigQuery Migration API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    BigQuery Migration API と VPC Service Controls の統合には既知の制限事項はありません。

    Bigtable

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 bigtable.googleapis.com,
    bigtableadmin.googleapis.com
    詳細

    bigtable.googleapis.com サービスと bigtableadmin.googleapis.com サービスがバンドルされています。境界で bigtable.googleapis.com サービスを制限すると、デフォルトで bigtableadmin.googleapis.com サービスが制限されます。bigtableadmin.googleapis.com サービスは bigtable.googleapis.com にバンドルされているため、境界の制限付きサービスのリストに追加できません。

    Bigtable の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Bigtable と VPC Service Controls の統合には既知の制限事項はありません。

    Binary Authorization

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 binaryauthorization.googleapis.com
    詳細

    Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定をご覧ください。

    Binary Authorization では、Artifact Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Artifact Analysis も含める必要があります。詳細については、Artifact Analysis の VPC Service Controls ガイダンスをご覧ください。

    Binary Authorization の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。

    ブロックチェーン ノード エンジン

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 blockchainnodeengine.googleapis.com
    詳細

    Blockchain Node Engine の API は VPC Service Controls で保護でき、サービス境界内で通常どおり使用できます。

    ブロックチェーン ノード エンジンの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    ブロックチェーン ノード エンジンと VPC Service Controls の統合には、次の制限事項があります。

    • VPC Service Controls は、Blockchain Node Engine API のみを保護します。ノードを作成する場合は、引き続き、Private Service Connect を使用して、ノードがユーザーが構成したプライベート ネットワーク用であることを示す必要があります。
    • ピアツーピア トラフィックは、VPC Service Controls や Private Service Connect の影響を受けず、引き続き公共のインターネットを使用します。

    Certificate Authority Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 privateca.googleapis.com
    詳細

    Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Certificate Authority Service サービスの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 保護された環境で Certificate Authority Service を使用するには、Cloud KMS API(cloudkms.googleapis.com)と Cloud Storage API(storage.googleapis.com)もサービス境界に追加する必要があります。

    Config Controller

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 krmapihosting.googleapis.com
    詳細

    Config Controller と VPC Service Controls を使用するには、境界内で次の API を有効にする必要があります。

    • Cloud Monitoring API(monitoring.googleapis.com
    • Container Registry API(containerregistry.googleapis.com
    • Google Cloud Observability API(logging.googleapis.com
    • Security Token Service API(sts.googleapis.com
    • Cloud Storage API(storage.googleapis.com

    Config Controller を使用してリソースをプロビジョニングする場合は、サービス境界でそれらのリソースの API を有効にする必要があります。たとえば、IAM サービス アカウントを追加する場合は、IAM API (iam.googleapis.com)を追加する必要があります。

    Config Controller の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Config Controller と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Data Catalog

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datacatalog.googleapis.com
    詳細 Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮します。

    Data Catalog の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Data Fusion

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datafusion.googleapis.com
    詳細

    Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順が必要になります。

    Cloud Data Fusion の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。

    • 現在、Cloud Data Fusion データプレーンの UI では、上り(内向き)ルールまたはアクセスレベルを使用するアクセスに基づく ID はサポートされていません。

    データリネージ API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datalineage.googleapis.com
    詳細

    Data Lineage API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Data Lineage API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Data Lineage API と VPC Service Controls の統合には既知の制限事項はありません。

    Compute Engine

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 compute.googleapis.com
    詳細

    Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。

    • 機密性の高い API オペレーションへのアクセスを制限します
    • 永続ディスクのスナップショットとカスタム イメージを境界に制限します
    • インスタンス メタデータへのアクセスを制限します

    Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。

    Compute Engine の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 階層型ファイアウォールはサービス境界の影響を受けません。

    • VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。

    • 共有 VPC の projects.ListXpnHosts API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

    • サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、イメージを作成しているユーザーを上り(内向き)ルールに一時的に追加すべきです。

    • VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。

    • インタラクティブ シリアル コンソールでは、制限付き VIP はサポートされません。シリアル コンソールを使用してインスタンスのトラブルシューティングを行う必要がある場合は、オンプレミスの DNS 解決を構成して、インターネット経由でコマンドを ssh-serialport.googleapis.com に送信します。

    会話型分析情報

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 contactcenterinsights.googleapis.com
    詳細

    Conversational Insights を VPC Service Controls で使用するには、インテグレーションに応じて、境界内に次の API を追加する必要があります。

    • Conversational Insights にデータを読み込むには、サービス境界に Cloud Storage API を追加します。

    • エクスポートを使用するには、BigQuery API をサービス境界に追加します。

    • 複数の CCAI プロダクトを統合するには、サービス境界に Vertex AI API を追加します。

    Conversational Insights の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Conversational Insights と VPC Service Controls の統合には既知の制限事項はありません。

    Dataflow

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataflow.googleapis.com
    詳細

    Dataflow は複数のストレージ サービス コネクタをサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。

    Dataflow の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーンを使用します。独自のオンプレミス DNS の解決サービスを使用する場合は、Google Cloud の DNS 転送方法の使用を検討してください。

    • 垂直自動スケーリングは、VPC Service Controls の境界で保護できません。VPC Service Controls の境界内で垂直自動スケーリングを使用するには、VPC のアクセス可能なサービス機能を無効にする必要があります。

    • Dataflow Prime を有効にして VPC Service Controls の境界内で新しいジョブを起動する場合、ジョブは垂直自動スケーリングなしの Dataflow Prime を使用します。

    • すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、前のセクションの「詳細」をご覧ください。

    • Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。

    Dataplex

    ステータス GA
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataplex.googleapis.com
    詳細

    Dataplex の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Dataplex の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Dataplex リソースを作成する前に、VPC Service Controls のセキュリティ境界を設定します。そうしないと、リソースに境界保護が適用されません。Dataplex では、次のリソースタイプがサポートされています。

    • データ プロファイルのスキャン
    • データ品質のスキャン

    Dataproc

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataproc.googleapis.com
    詳細

    Dataproc を VPC Service Controls で保護するには、特別な手順が必要になります。

    Dataproc の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス境界で Dataproc クラスタを保護するには、Dataproc と VPC Service Controls のネットワークの手順に沿って操作します。

    Spark 向け Dataproc サーバーレス

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataproc.googleapis.com
    詳細

    Dataproc Serverless を VPC Service Controls で保護するには、特別な手順が必要になります。

    Dataproc Serverless for Spark の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    サービス境界でサーバーレス ワークロードを保護するには、Dataproc Serverless と VPC Service Controls のネットワークの手順に沿って操作します。

    Dataproc Metastore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 metastore.googleapis.com
    詳細

    Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Dataproc Metastore の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。

    Datastream

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datastream.googleapis.com
    詳細

    Datastream の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Datastream の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Datastream と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Database Migration Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datamigration.googleapis.com
    詳細

    Database Migration Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Database Migration Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • サービス境界は、Database Migration Service Admin API のみを保護します。基盤となるデータベース(Cloud SQL インスタンスなど)に対する IP ベースのデータアクセスは保護されません。パブリック IP から Cloud SQL インスタンスへのアクセスを制限するには、組織のポリシーの制約を使用します。
    • 移行の最初のダンプフェーズで Cloud Storage ファイルを使用する場合は、Cloud Storage バケットを同じサービス境界に追加します。
    • 宛先データベースで顧客管理の暗号鍵(CMEK)を使用する場合は、CMEK が鍵を含む接続プロファイルと同じサービス境界にあることを確認してください。

    Dialogflow

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dialogflow.googleapis.com
    詳細

    Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Dialogflow の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    機密データの保護

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dlp.googleapis.com
    詳細

    機密データの保護の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    機密データの保護の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 現在、VPC Service Controls はフォルダと組織のリソースをサポートしていません。このため、機密データ保護の呼び出しでは、組織レベルのリソースにアクセスしようとすると 403 レスポンスが返されることがあります。IAM を使用して、フォルダレベルと組織レベルで Sensitive Data Protection 権限を管理することをおすすめします。

    Cloud DNS

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dns.googleapis.com
    詳細

    Cloud DNS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud DNS の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • 制限付き VIP を介して Cloud DNS にアクセスできます。ただし、VPC Service Controls の境界内のプロジェクト内で一般公開 DNS ゾーンを作成または更新することはできません。

    Document AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 documentai.googleapis.com
    詳細

    Document AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Document AI の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Document AI と VPC Service Controls の統合には既知の制限事項はありません。

    Document AI ウェアハウス

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 contentwarehouse.googleapis.com
    詳細

    Document AI ウェアハウスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Document AI ウェアハウスの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Document AI ウェアハウスと VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Domains

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 domains.googleapis.com
    詳細

    Cloud Domains の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Domains の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Eventarc Advanced

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 eventarc.googleapis.com
    詳細

    サービス境界外の Eventarc Advanced バスは、境界内の Google Cloud プロジェクトからイベントを受信できません。境界内の Eventarc Advanced バスは、境界外のコンシューマにイベントを転送できません。

    • Eventarc Advanced バスにパブリッシュするには、イベントのソースがバスと同じサービス境界内にある必要があります。
    • メッセージを使用するには、イベント コンシューマがバスと同じサービス境界内にある必要があります。

    Eventarc Advanced の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    サービス境界で保護されているプロジェクトでは、次の制限が適用されます。

    サービス境界内に Eventarc Advanced パイプラインを作成することはできません。上り(内向き)のプラットフォーム ログを表示すると、MessageBusGoogleApiSourceEnrollment リソースに対する VPC Service Controls のサポートを確認できます。ただし、VPC Service Controls の下り(外向き)はテストできません。これらのリソースのいずれかがサービス境界内にある場合、その境界内でイベントをエンドツーエンドで配信するように Eventarc Advanced を設定することはできません。

    Eventarc Standard

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 eventarc.googleapis.com
    詳細

    Eventarc Standard は、Pub/Sub トピックと push サブスクリプションを使用してイベント配信を処理します。Pub/Sub API にアクセスしてイベント トリガーを管理するには、Eventarc API を Pub/Sub API と同じ VPC Service Controls サービス境界内で保護する必要があります。

    Eventarc Standard の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    サービス境界で保護されているプロジェクトでは、次の制限が適用されます。
    • Eventarc Standard には Pub/Sub と同じ制限が適用されます。
      • Cloud Run ターゲットにイベントをルーティングする場合は、push エンドポイントがデフォルトの run.app URL とともに Cloud Run サービスに設定されていない限り、新しい Pub/Sub push サブスクリプションを作成できません(カスタム ドメインは動作しません)。
      • Pub/Sub push エンドポイントが Workflows 実行に設定されている Workflows ターゲットにイベントをルーティングする場合、新しい Pub/Sub push サブスクリプションは Eventarc Standard 経由でのみ作成できます。
      このドキュメントの Pub/Sub の制限事項をご覧ください。
    • VPC Service Controls は、内部 HTTP エンドポイントの Eventarc Standard トリガーの作成をブロックします。このような宛先にイベントをルーティングする場合、VPC Service Controls の保護は適用されません。

    Distributed Cloud Edge Network API

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 edgenetwork.googleapis.com
    詳細

    Distributed Cloud Edge Network API 用の API は VPC Service Controls で保護でき、サービス境界内で通常どおり使用できます。

    Distributed Cloud Edge Network API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Distributed Cloud Edge Network API と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Anti Money Laundering AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 financialservices.googleapis.com
    詳細

    Anti Money Laundering AI の API は VPC Service Controls で保護することができ、プロダクトはサービス境界内で通常どおり使用することができます。

    Anti Money Laundering AI の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Anti Money Laundering AI と VPC Service Controls の統合には既知の制限事項はありません。

    Firebase App Check

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 firebaseappcheck.googleapis.com
    詳細

    Firebase App Check トークンを構成して交換する場合、VPC Service Controls は Firebase App Check サービスのみを保護します。Firebase App Check に依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。

    Firebase App Check の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Firebase App Check と VPC Service Controls の統合には既知の制限事項はありません。

    Firebase セキュリティ ルール

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 firebaserules.googleapis.com
    詳細

    Firebase セキュリティ ルール ポリシーを管理している場合、VPC Service Controls は Firebase セキュリティ ルール サービスのみを保護します。Firebase セキュリティ ルールに依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。

    Firebase セキュリティ ルールの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Firebase セキュリティ ルールの VPC Service Controls との統合に関する既知の制限事項はありません。

    Cloud Run 関数

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudfunctions.googleapis.com
    詳細

    設定手順については、Cloud Run 関数のドキュメントをご覧ください。Cloud Build を使用して Cloud Run Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。詳細については、既知の制限事項をご覧ください。

    Cloud Run Functions の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Cloud Run Functions は、Cloud Build、Container Registry、Cloud Storage を使用して、実行可能なコンテナでソースコードをビルドして管理します。これらのサービスのいずれかがサービス境界によって制限されている場合、Cloud Run functions が制限付きサービスとして境界に追加されていない場合でも、VPC Service Controls は Cloud Run functions のビルドをブロックします。サービス境界内で Cloud Run 関数を使用するには、サービス境界で Cloud Build サービス アカウントの内向きルールを構成する必要があります。

    • npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Run 関数の オーナー、編集者、デベロッパーの IAM ロールを信頼できないデベロッパーに付与しないでください。

    • サービス境界に内向きポリシーまたは外向きポリシーを指定すると、ローカルマシンからの Cloud Run 関数 のデプロイに ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を ID タイプとして使用できません。

      回避策として、ID タイプに ANY_IDENTITY を使用します。

    • HTTP トリガーによって Cloud Run 関数サービスが呼び出されると、VPC Service Controls ポリシーの適用でクライアントの IAM 認証情報は使用されません。IAM プリンシパルを使用する VPC Service Controls の上り(内向き)ポリシールールはサポートされません。IAM プリンシパルを使用する VPC Service Controls 境界のアクセスレベルはサポートされません。

    Identity and Access Management

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iam.googleapis.com
    詳細

    境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。ワークフォース プールは組織レベルのリソースであるため、境界によってワークフォース プールの処理が制限されることはありません。

    IAM 周囲の境界では、Resource Manager プロジェクト、フォルダ、組織、Compute Engine 仮想マシン インスタンスなどの他のサービスが所有するリソースのアクセス管理(つまり、IAM ポリシーの取得や設定)が制限されません。これらのリソースのアクセス管理を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、IAM ポリシーを受け入れるリソースタイプをご覧ください。

    また、IAM 周囲の境界では、次のような他の API を使用するアクションは制限されません

    • IAM Policy Simulator API
    • IAM Policy Troubleshooter API
    • Security Token Service API
    • Service Account Credentials API(IAM API のレガシー signBlob メソッドと signJwt メソッドを含む)

    Identity and Access Management の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    境界内にある場合は、空の文字列を使用して roles.list メソッドを呼び出し、IAM の事前定義ロールを一覧表示することはできません。事前定義ロールを表示する必要がある場合は、IAM ロールのドキュメントをご覧ください。

    IAP Admin API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iap.googleapis.com
    詳細

    IAP Admin API を使用すると、ユーザーが IAP を構成できます。

    IAP Admin API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    IAP Admin API と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Cloud KMS Inventory API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 kmsinventory.googleapis.com
    詳細

    Cloud KMS Inventory API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud KMS Inventory API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    SearchProtectedResources API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。

    サービス アカウント認証情報

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iamcredentials.googleapis.com
    詳細

    サービス アカウント認証情報用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    サービス アカウント認証情報の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス アカウント認証情報と VPC Service Controls の統合には既知の制限事項はありません。

    Service Metadata API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloud.googleapis.com
    詳細

    Service Metadata API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Service Metadata API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Service Metadata API と VPC Service Controls の統合には既知の制限事項はありません。

    サーバーレス VPC アクセス

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 vpcaccess.googleapis.com
    詳細

    サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    サーバーレス VPC アクセスの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Key Management Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudkms.googleapis.com
    詳細

    Cloud KMS API は VPC Service Controls で保護でき、プロダクトをサービス境界内で使用できます。Cloud HSM サービスへのアクセスは VPC Service Controls でも保護され、サービス境界内で使用できます。

    Cloud Key Management Service の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。

    Game Servers

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gameservices.googleapis.com
    詳細

    Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Game Servers の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Game Servers と VPC Service Controls の統合には既知の制限事項はありません。

    Gemini Code Assist

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudaicompanion.googleapis.com
    詳細

    Gemini Code Assist の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Gemini Code Assist の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Google Cloud コンソールの Gemini については、デバイス、パブリック IP アドレス、またはロケーションに基づくアクセス制御はサポートされていません。

    TCP 用 Identity-Aware Proxy

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 iaptunnel.googleapis.com
    詳細

    TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • 境界では TCP 用 IAP の使用 API のみが保護されます。管理 API を境界で保護することはできません。

    • VPC Service Controls サービス境界内で TCP 用 IAP を使用するには、次のドメインを制限付き VIP に指定するように一部の DNS エントリを追加または構成する必要があります。

      • tunnel.cloudproxy.app
      • *.tunnel.cloudproxy.app

    Cloud Life Sciences

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 lifesciences.googleapis.com
    詳細

    Cloud Life Sciences API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Life Sciences の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Life Sciences と VPC Service Controls の統合には、既知の制限事項はありません。

    Managed Service for Microsoft Active Directory

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 managedidentities.googleapis.com
    詳細

    次の場合は追加の構成が必要です。

    Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。

    reCAPTCHA

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 recaptchaenterprise.googleapis.com
    詳細

    reCAPTCHA の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    reCAPTCHA の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    reCAPTCHA と VPC Service Controls の統合には既知の制限事項はありません。

    Web Risk

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 webrisk.googleapis.com
    詳細

    Web Risk の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Web Risk の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Evaluate API と Submission API は VPC Service Controls ではサポートされていません。

    Recommender

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 recommender.googleapis.com
    詳細

    Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Recommender の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • VPC Service Controls は、組織、フォルダ、請求先アカウントのリソースをサポートしていません。

    Secret Manager

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 secretmanager.googleapis.com
    詳細

    Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Secret Manager の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。

    Pub/Sub

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 pubsub.googleapis.com
    詳細

    VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。

    Pub/Sub の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス境界で保護されているプロジェクトでは、次の制限が適用されます。

    • push エンドポイントがデフォルトの run.app URL または Workflows の実行で Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメインは機能しません)。Cloud Run とのインテグレーションの詳細については、VPC Service Controls の使用をご覧ください。
    • 非 push サブスクリプションの場合、トピックと同じ境界内にサブスクリプションを作成するか、トピックからサブスクリプションへのアクセスを許可する下り(外向き)ルールを有効にする必要があります。
    • push エンドポイントが Workflows 実行に設定されている Workflows ターゲットに Eventarc を介してイベントをルーティングする場合、新しい push サブスクリプションは Eventarc を介してのみ作成できます。
    • サービス境界より前に作成された Pub/Sub サブスクリプションはブロックされません。

    Pub/Sub Lite

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 pubsublite.googleapis.com
    詳細

    VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。

    Pub/Sub Lite の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Build

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。詳細と制限事項については、以下をご覧ください。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudbuild.googleapis.com
    詳細

    VPC Service Controls と Cloud Build のプライベート プールを使用して、ビルドのセキュリティを強化します。

    Cloud Build の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Cloud Deploy

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 clouddeploy.googleapis.com
    詳細

    Cloud Deploy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Deploy の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Deploy を境界で使用するには、ターゲットの実行環境に Cloud Build プライベート プールを使用する必要があります。デフォルト(Cloud Build)のワーカープールとハイブリッド プールは使用しないでください。

    Cloud Composer

    ステータス GA
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 composer.googleapis.com
    詳細

    Composer を VPC Service Controls で使用できるように構成します

    Cloud Composer の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。

    • DAG のシリアル化が有効の場合、async_dagbag_loader フラグを True に設定できません。

    • DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。

    • Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストールを確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。

    クラウド割り当て

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudquotas.googleapis.com
    詳細

    Cloud Quotas の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Quotas の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • VPC Service Controls はプロジェクト レベルで境界を適用するため、境界内のクライアントから発信された Cloud Quotas リクエストは、組織が下り(外向き)ルールを設定している場合にのみ、組織リソースにアクセスできます。
    • 割り当ての削減をリクエストすると、Cloud Quotas は Monitoring へのサービス間(S2S)呼び出しを実行します。

      この S2S 呼び出しは、引き下げリクエストが送信された場合でも境界内からは開始されないため、VPC Service Controls によってブロックされます。

      この問題を回避するには、次のいずれかを行います。

    上り(内向き)ルールまたは下り(外向き)ルールを設定するには、上り(内向き)と下り(外向き)のポリシーの構成に関する VPC Service Controls の手順をご覧ください。

    Cloud Run

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 run.googleapis.com
    詳細 Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。

    Cloud Run の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Artifact Registry と Container Registry では、コンテナを保存するレジストリが、デプロイ先のプロジェクトと同じ VPC Service Controls の境界内に存在する必要があります。ビルドするコードは、コンテナが push されるレジストリと同じ VPC Service Controls の境界内に存在する必要があります。
    • VPC Service Controls 境界内のプロジェクトでは、Cloud Run の継続的デプロイ機能を使用できません。
    • Cloud Run サービスが呼び出されている場合、VPC Service Controls ポリシーを適用してもクライアントの IAM 認証情報は使用されません。このようなリクエストには次の制限があります。
      • IAM プリンシパルを使用する VPC Service Controls の上り(内向き)ポリシールールはサポートされません。
      • IAM プリンシパルを使用する VPC Service Controls 境界のアクセスレベルはサポートされません。
    • VPC Service Controls 下り(外向き)ポリシーの適用は、制限付き仮想 IP(VIP)アドレスを使用する場合にのみ保証されます。
    • Cloud Run が VPC でアクセス可能なサービスとして構成されていない場合でも、制限なしの VIP に対する同じプロジェクトからのリクエストは許可されます。

    Cloud Scheduler

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudscheduler.googleapis.com
    詳細 VPC Service Controls は、次のアクションに適用されます。
    • Cloud Scheduler ジョブの作成
    • Cloud Scheduler ジョブの更新

    Cloud Scheduler の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    VPC Service Controls は、次のターゲットを持つ Cloud Scheduler ジョブのみをサポートします。
    • Cloud Run 関数の functions.net エンドポイント
    • Cloud Run run.app エンドポイント
    • Dataflow API(Cloud Scheduler ジョブと同じ Google Cloud プロジェクトに存在する必要があります)
    • Data Pipelines(Cloud Scheduler ジョブと同じ Google Cloud プロジェクト内に存在する必要があります)
    • Pub/Sub(Cloud Scheduler ジョブと同じ Google Cloud プロジェクトに存在する必要があります)

    Spanner

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 spanner.googleapis.com
    詳細

    Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Spanner の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Spanner と VPC Service Controls の統合には既知の制限事項はありません。

    Speaker ID

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 speakerid.googleapis.com
    詳細

    Speaker ID の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Speaker ID について詳しくは、サービス ドキュメントをご覧ください。

    制限事項

    Speaker ID と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Storage

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 storage.googleapis.com
    詳細

    Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Storage の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Cloud Storage サービスを保護するサービス境界内のストレージ バケットとともに、リクエスト元による支払い機能を使用する場合、サービス境界外の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。

      リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件をご覧ください。

    • サービス境界内のプロジェクトの場合、Google Cloud コンソールの Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含む上り(内向き)ルールまたはアクセスレベルを作成する必要があります。

    • 監査ログレコードの resourceName フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります

    • 監査ログレコードの methodName の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName でフィルタリングしないようにしてください。

    • アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。

    • オブジェクトで VPC Service Controls を有効にした後でも、一般公開された Cloud Storage オブジェクトにアクセスできる場合があります。オブジェクトには、組み込みキャッシュで期限切れになるか、エンドユーザーと Cloud Storage 間のネットワーク上のアップストリーム キャッシュで期限切れになるまでアクセスできます。デフォルトでは、Cloud Storage は一般公開されているデータを Cloud Storage ネットワークのキャッシュに保存します。Cloud Storage オブジェクトがキャッシュに保存される方法については、Cloud Storage をご覧ください。オブジェクトがキャッシュに保存される期間については、キャッシュ制御メタデータをご覧ください。
    • サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、署名付き URL を使用したすべての Cloud Storage オペレーションの ID タイプとして ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を使用できません。

      回避策として、ID タイプに ANY_IDENTITY を使用します。

    • 署名付き URL は、VPC Service Controls をサポートしています。

      VPC Service Controls は、署名付き URL を署名したユーザーまたはサービス アカウントの署名認証情報を使用して、接続を開始した呼び出し元またはユーザー認証情報ではなく、VPC Service Controls のチェックを評価します。

    Cloud Tasks

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudtasks.googleapis.com
    詳細

    Cloud Tasks の API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。

    Cloud Tasks の実行からの HTTP リクエストは、次のようにサポートされています。

    • VPC Service Controls 準拠の Cloud Run 関数エンドポイントと Cloud Run エンドポイントへの認証済みリクエストが許可されます。
    • Cloud Run 関数と Cloud Run 以外のエンドポイントへのリクエストはブロックされます。
    • VPC Service Controls に準拠していない Cloud Run 関数および Cloud Run エンドポイントへのリクエストはブロックされます。

    Cloud Tasks の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    VPC Service Controls では、次のターゲットに対する Cloud Tasks リクエストのみがサポートされます。
    • Cloud Run 関数の functions.net エンドポイント
    • Cloud Run run.app エンドポイント

    Cloud SQL

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 sqladmin.googleapis.com
    詳細

    VPC Service Controls 境界は Cloud SQL Admin API を保護します。

    Cloud SQL の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界は、Cloud SQL Admin API のみを保護します。Cloud SQL インスタンスへの IP ベースのデータアクセスは保護されません。Cloud SQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約を使用する必要があります。
    • Cloud SQL 用の VPC Service Controls を構成する前に、Service Networking API を有効にします。
    • Cloud SQL のインポートとエクスポートは、Cloud SQL レプリカ インスタンスと同じサービス境界内の Cloud Storage バケットから読み取りと書き込みのみを行えます。

    • 外部サーバー移行フローでは、Cloud Storage バケットを同じサービス境界に追加する必要があります。
    • CMEK の鍵作成フローでは、鍵を使用するリソースと同じサービス境界に鍵を作成する必要があります。
    • バックアップからインスタンスを復元する場合、ターゲット インスタンスは、バックアップと同じサービス境界に存在する必要があります。

    Video Intelligence API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 videointelligence.googleapis.com
    詳細

    Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Video Intelligence API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Vision API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 vision.googleapis.com
    詳細

    Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Vision API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    VPC Service Controls の境界内から公開 URL の呼び出しを許可する下り(外向き)ルールを作成した場合でも、Cloud Vision API は公開 URL の呼び出しをブロックします。

    Artifact Analysis

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containeranalysis.googleapis.com
    詳細

    VPC Service Controls で Artifact Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。

    Container Scanning API は、Artifact Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。

    Artifact Registry の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Artifact Analysis と VPC Service Controls の統合には既知の制限事項はありません。

    Container Registry

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containerregistry.googleapis.com
    詳細

    Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。

    Container Registry の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、すべてのContainer Registry オペレーションの ID タイプとして ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を使用できません。

      回避策として、ID のタイプとして ANY_IDENTITY を使用します。

    • Container Registry は gcr.io ドメインを使用するため、*.gcr.ioprivate.googleapis.com または restricted.googleapis.com にマッピングされるように、DNS を構成する必要があります。詳細については、サービス境界での Container Registry の保護をご覧ください。

    • Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次のリポジトリをサービス境界によって適用される制限に関係なくすべてのプロジェクトで使用できます。

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。

    Google Kubernetes Engine

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 container.googleapis.com
    詳細

    Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Google Kubernetes Engine の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Google Kubernetes Engine API を完全に保護するには、Kubernetes Metadata API(kubernetesmetadata.googleapis.com)も境界に含める必要があります。
    • VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。
    • 自動スケーリングは GKE とは独立して機能します。VPC Service Controls は autoscaling.googleapis.com をサポートしていないため、自動スケーリングは機能しません。GKE を使用する場合、監査ログ内の autoscaling.googleapis.com サービスに起因する SERVICE_NOT_ALLOWED_FROM_VPC 違反は無視できます。

    Container Security API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containersecurity.googleapis.com
    詳細

    Container Security API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Container Security API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Container Security API と VPC Service Controls の統合には既知の制限事項はありません。

    イメージ ストリーミング

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containerfilesystem.googleapis.com
    詳細

    イメージ ストリーミングは、Artifact Registry に保存されているイメージについて、コンテナ イメージの pull 時間を短縮する GKE データ ストリーミング機能です。VPC Service Controls がコンテナ イメージを保護し、イメージ ストリーミングを使用する場合は、サービス境界に Image Streaming API も含める必要があります。

    イメージ ストリーミングの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • 次の読み取り専用リポジトリは、サービス境界によって適用される制限に関係なく、すべてのプロジェクトで使用できます。

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

    フリート

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gkeconnect.googleapis.com,
    gkehub.googleapis.com,
    connectgateway.googleapis.com
    詳細

    フリート管理 API(Connect gateway を含む)は VPC Service Controls で保護でき、フリート管理機能はサービス境界内で通常どおり使用できます。詳しくは以下をご覧ください。

    フリートの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • すべてのフリート管理機能は通常どおり使用できますが、Stackdriver API のサービス境界を有効にすると、Policy Controller フリート機能と Security Command Center との統合が制限されます。
    • Connect Gateway を使用して GKE クラスタにアクセスする場合、container.googleapis.com の VPC Service Controls 境界は適用されません。

    Resource Manager

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudresourcemanager.googleapis.com
    詳細

    VPC Service Controls で保護できる Cloud Resource Manager API メソッドは次のとおりです。

    Resource Manager の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • VPC Service Controls を使用して保護できるのは、プロジェクト リソースを直接親とするタグキーと、対応するタグ値のみです。プロジェクトを VPC Service Controls の境界に追加すると、プロジェクト内のすべてのタグキーと対応するタグ値は境界内のリソースとみなされます。
    • 組織リソースを親とするタグキーと、それらに対応するタグ値は、VPC Service Controls の境界に含めることはできず、VPC Service Controls を使用して保護することもできません。
    • VPC Service Controls の境界内のクライアントは、組織リソースを親とするタグキーと対応する値にアクセスできません。ただし、アクセスを許可する下り(外向き)ルールが境界で設定されている場合を除きます。下り(外向き)ルールの設定の詳細については、上り(内向き)ルールと下り(外向き)ルールをご覧ください。
    • タグ バインディングは、タグ値がバインドされているリソースと同じ境界内のリソースと見なされます。たとえば、プロジェクト内の Compute Engine インスタンスのタグ バインディングは、タグキーが定義されている場所に関係なく、そのプロジェクトに属しているとみなされます。
    • Compute Engine などの一部のサービスでは、Resource Manager サービス API に加えて、独自のサービス API を使用してタグ バインディングを作成できます。たとえば、リソースの作成時に Compute Engine VM にタグを追加します。これらのサービス API を使用して作成または削除されたタグ バインディングを保護するには、対応するサービス(compute.googleapis.com など)を境界の制限されたサービスのリストに追加します。
    • タグはメソッドレベルの制限をサポートしているため、method_selectors のスコープを特定の API メソッドに制限できます。制限付きのメソッドの一覧については、サポートされているサービス メソッドの制限をご覧ください。
    • VPC Service Controls により、Google Cloud コンソールでのプロジェクトへのオーナーロールの付与がサポートされるようになりました。オーナーの招待を送信したり、サービス境界外の招待を承諾することはできません。境界外からの招待を承諾しようとすると、オーナーロールは付与されません。また、エラーや警告メッセージは表示されません。

    Cloud Logging

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 logging.googleapis.com
    詳細

    Cloud Logging の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Logging の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 集約されたログシンク(includeChildrentrue のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。集約されたログシンクが境界内のデータにアクセスするのを制限するには、IAM を使用してフォルダレベルまたは組織レベルの集約ログシンクで Logging 権限を管理することをおすすめします。

    • VPC Service Controls では、フォルダまたは組織のリソースをサービス境界に追加できません。したがって、VPC Service Controls を使用して、フォルダレベルと組織レベルのログ(集約ログを含む)を保護することはできません。フォルダレベルまたは組織レベルで Logging 権限を管理するには、IAM を使用することをおすすめします。

    • 組織レベルまたはフォルダレベルのログシンクを使用して、サービス境界で保護されるリソースにログをルーティングする場合は、サービス境界に上り(内向き)ルールを追加する必要があります。上り(内向き)ルールで、ログシンクが使用するサービス アカウントからリソースへのアクセスを許可する必要があります。この手順は、プロジェクト レベルのシンクには必要ありません。

      詳しくは、以下のページをご覧ください。

    • サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、Cloud LoggingシンクからCloud Storageリソースへのログのエクスポートに ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT を使用できません。

      回避策として、ID タイプに ANY_IDENTITY を使用します。

    Certificate Manager

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 certificatemanager.googleapis.com
    詳細

    Certificate Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Certificate Manager の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Certificate Manager と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Monitoring

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 monitoring.googleapis.com
    詳細

    Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Monitoring の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。

    • Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。

    • GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。

    • 指標スコープの指標のクエリの場合、指標スコープのスコープ対象プロジェクトの VPC Service Controls の境界のみが考慮されます。指標スコープ内の個々のモニタリング対象プロジェクトの境界は考慮されません。

    • プロジェクトを既存の指標スコープにモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトが指標スコープのスコープ対象プロジェクトと同じ VPC Service Controls 境界にある場合のみです。

    • サービス境界で保護されているホスト プロジェクトについて Google Cloud コンソールの Monitoring にアクセスするには、上り(内向き)ルールを使用します。

    Cloud Profiler

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudprofiler.googleapis.com
    詳細

    Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Profiler の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。

    Timeseries 分析情報 API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 timeseriesinsights.googleapis.com
    詳細

    Timeseries Insights API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Timeseries Insights API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Timeseries Insights API と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Trace

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudtrace.googleapis.com
    詳細

    Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Trace の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud TPU

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 tpu.googleapis.com
    詳細

    Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud TPU の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。

    Natural Language API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 language.googleapis.com
    詳細

    Natural Language API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Natural Language API はステートレス API であり、プロジェクトでは実行されないため、VPC Service Controls を使用して Natural Language API を保護しても効果はありません。

    Network Connectivity Center

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 networkconnectivity.googleapis.com
    詳細

    Network Connectivity Center の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Network Connectivity Center の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Network Connectivity Center と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Asset API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudasset.googleapis.com
    詳細

    Cloud Asset API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Asset API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • VPC Service Controls では、サービス境界内のリソースとクライアントからのフォルダレベルまたは組織レベルの Cloud Asset API リソースへのアクセスをサポートしていません。VPC Service Controls は、プロジェクト レベルの Cloud Asset API リソースを保護します。下り(外向き)ポリシーを指定すると、境界内のプロジェクトから Cloud Asset API リソースへのプロジェクト レベルでのアクセスを防止できます。
    • VPC Service Controls では、フォルダレベルまたは組織レベルの Cloud Asset API リソースのサービス境界への追加をサポートしていません。境界を使用してフォルダレベルまたは組織レベルの Cloud Asset API リソースを保護することはできません。フォルダレベルまたは組織レベルで Cloud Asset Inventory の権限を管理するには、IAM を使用することをおすすめします。

    Speech-to-Text

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 speech.googleapis.com
    詳細

    Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Speech-to-Text の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。

    Text-to-Speech

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 texttospeech.googleapis.com
    詳細

    Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Text-to-Speech の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。

    Translation

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 translate.googleapis.com
    詳細

    Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Translation の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Cloud Translation - Advanced(v3)は VPC Service Controls をサポートしていますが、Cloud Translation - Basic(v2)はサポートしていません。VPC Service Controls を適用するには、Cloud Translation - Advanced(v3)を使用する必要があります。各エディションの詳細については、Basic と Advanced の比較をご覧ください。

    Live Stream API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 livestream.googleapis.com
    詳細

    Live Stream API で VPC Service Controls を使用してパイプラインを保護します。

    Live Stream API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス境界で入力エンドポイントを保護するには、手順に沿ってプライベート プールを設定し、プライベート接続で入力動画ストリームを送信する必要があります。

    Transcoder API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 transcoder.googleapis.com
    詳細

    Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Transcoder API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。

    Video Stitcher API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 videostitcher.googleapis.com
    詳細

    Video Stitcher API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Video Stitcher API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Video Stitcher API と VPC Service Controls の統合には既知の制限事項はありません。

    Access Approval

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 accessapproval.googleapis.com
    詳細

    Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Access Approval の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Access Approval と VPC Service Controls の統合には既知の制限事項はありません。

    Cloud Healthcare API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 healthcare.googleapis.com
    詳細

    Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Healthcare API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    VPC Service Controls は、Cloud Healthcare API の顧客管理の暗号鍵(CMEK)をサポートしていません。

    Storage Transfer Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 storagetransfer.googleapis.com
    詳細

    Storage Transfer Service プロジェクトは、Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、下り(外向き)ポリシーを使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。

    設定情報については、Storage Transfer Service を VPC Service Controls とともに使用するをご覧ください。

    Transfer service for on-premises data

    オンプレミス用 Transfer の詳細と設定情報については、VPC Service Controls でオンプレミス用 Transfer を使用するをご覧ください。

    Storage Transfer Service の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    Storage Transfer Service と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Service Control

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 servicecontrol.googleapis.com
    詳細

    Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Service Control の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • 課金または分析の指標の報告を制限している Service Control を使用して、サービス境界内の VPC ネットワークから Service Control API を呼び出しているときに、VPC Service Controls でサポートされているサービスの指標を報告するには、Service Control レポートを使用する必要があります。

    Memorystore for Redis

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 redis.googleapis.com
    詳細

    Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Memorystore for Redis の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。

    • Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。

    • 共有 VPC と VPC Service Controls の両方を使用する場合、Redis リクエストを成功させるには、ネットワークを提供するホスト プロジェクトと、Redis インスタンスを含むサービス プロジェクトを同じ境界内に設定する必要があります。随時、ホスト プロジェクトとサービス プロジェクトを境界で分割すると、ブロックされたリクエストだけでなく、Redis インスタンスで障害が発生する可能性があります。詳細については、Memorystore for Redis の構成要件をご覧ください。

    Memorystore for Memcached

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 memcache.googleapis.com
    詳細

    Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Memorystore for Memcached の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界により Memorystore for Memcached API だけが保護されます。同じネットワーク内の Memorystore for Memcached インスタンスに対する通常のデータアクセスは保護されません。

    Service Directory

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 servicedirectory.googleapis.com
    詳細

    Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Service Directory の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Service Directory と VPC Service Controls の統合に既知の制限事項はありません。

    Visual Inspection AI

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 visualinspection.googleapis.com
    詳細

    Visual Inspection AI を完全に保護するには、次の API をすべて境界に含めます。

    • Visual Inspection AI API(visualinspection.googleapis.com
    • Vertex AI API(aiplatform.googleapis.com
    • Cloud Storage API(storage.googleapis.com
    • Artifact Registry API(artifactregistry.googleapis.com
    • Container Registry API(containerregistry.googleapis.com

    Visual Inspection AI の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Visual Inspection AI と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Transfer Appliance

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか いいえ。Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
    詳細

    Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。

    Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。

    Transfer Appliance の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。

    Organization Policy Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 orgpolicy.googleapis.com
    詳細

    組織のポリシーの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    組織のポリシー サービスの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    VPC Service Controls は、プロジェクトによって継承される、フォルダレベルまたは組織レベルの組織のポリシーに対するアクセス制限をサポートしていません。 VPC Service Controls は、プロジェクト レベルの組織のポリシー サービス API のリソースを保護します。

    たとえば、上り(内向き)ルールによってユーザーが組織のポリシー サービス API にアクセスできない場合、そのプロジェクトに適用されている組織のポリシーをクエリすると、403 エラーが発生します。ただし、ユーザーは引き続き、プロジェクトを含むフォルダと組織の組織のポリシーにアクセスできます。

    OS ログイン

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 oslogin.googleapis.com
    詳細

    VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定します。

    VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。

    OS Login の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    SSH 認証鍵を読み書きするための OS Login メソッドでは、VPC Service Controls の境界は適用されません。OS Login API へのアクセスを無効にするには、VPC のアクセス可能なサービスを使用します。

    Personalized Service Health

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 servicehealth.googleapis.com
    詳細

    Personalized Service Health の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Personalized Service Health の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    VPC Service Controls は、Service Health API の OrganizationEvents リソースと OrganizationImpacts リソースをサポートしていません。したがって、これらのリソースのメソッドを呼び出すときに VPC Service Controls ポリシー チェックは行われません。ただし、制限付き VIP を使用してサービス境界からメソッドを呼び出すことはできます。

    VM Manager

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 osconfig.googleapis.com
    詳細

    VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定します。

    VM Manager の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。
    • OS Config API(osconfig.googleapis.com
    • Compute Engine API(compute.googleapis.com
    • Artifact Analysis API(containeranalysis.googleapis.com
    VM Manager はパッケージとパッチのコンテンツをホストしません。OS Patch Management では、オペレーティング システムの更新ツールを使用して、VM 上でパッケージの更新とパッチを取得する必要があります。パッチ適用が動作するために、Cloud NAT を使用するか、Virtual Private Cloud 内で独自のパッケージ リポジトリまたは Windows Server Update Service をホストすることが必要になる場合があります。

    Workflows

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 workflows.googleapis.com
    詳細

    Workflows は、定義した順序でサービスを実行するために、Google Cloud サービスと HTTP ベースの API を組み合わせることができるオーケストレーション プラットフォームです。

    サービス境界を使用して Workflows API を保護すると、Workflow Executions API も保護されます。境界のリスト(保護されるサービスが含まれる)に workflowexecutions.googleapis.com を個別に追加する必要はありません。

    Workflows の実行からの HTTP リクエストは、次のようにサポートされています。

    • VPC Service Controls 準拠の Google Cloud エンドポイントへの認証済みリクエストは許可されます。
    • Cloud Run 関数および Cloud Run サービス エンドポイントへのリクエストは許可されます。
    • サードパーティ エンドポイントへのリクエストはブロックされます。
    • VPC Service Controls に準拠していない Google Cloud エンドポイントへのリクエストはブロックされます。

    Workflows の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Workflows と VPC Service Controls のインテグレーションには既知の制限事項はありません。

    Filestore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 file.googleapis.com
    詳細

    Filestore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Filestore の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • サービス境界は、Filestore API のみを保護します。同じネットワーク内の Filestore インスタンスへの通常の NFS データアクセスは、境界で保護されません。

    • 共有 VPC と VPC Service Controls の両方を使用する場合、Filestore インスタンスを正常に機能させるには、ネットワークを提供するホスト プロジェクトと、同じ境界内の Filestore インスタンスを含むサービス プロジェクトが必要です。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できない場合があります。

    Parallelstore

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 parallelstore.googleapis.com
    詳細

    Parallelstore の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • 共有 VPC と VPC Service Controls の両方を使用する場合、Parallelstore インスタンスを正常に機能させるには、ネットワークを提供するホスト プロジェクトと、同じ境界内の Parallelstore インスタンスを含むサービス プロジェクトが必要です。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できない場合があります。

    Container Threat Detection

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 containerthreatdetection.googleapis.com
    詳細

    Container Threat Detection の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Container Threat Detection の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Container Threat Detection と VPC Service Controls の統合には既知の制限事項はありません。

    Ads Data Hub

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 adsdatahub.googleapis.com
    詳細

    Ads Data Hub の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。

    Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。

    依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。

    多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。

    Security Token Service

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 sts.googleapis.com
    詳細

    VPC Service Controls がトークン交換を制限するのは、リクエストのオーディエンスがプロジェクト レベルのリソースである場合のみです。たとえば、スコープが限定されたトークンのリクエストにはオーディエンスがないため、VPC Service Controls では制限が適用されません。また、オーディエンスは組織レベルのリソースであるため、Workforce Identity Federation のリクエストも制限されません。

    Security Token Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。

    Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。

    依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。

    多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。

    Firestore / Datastore

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
    詳細

    firestore.googleapis.comdatastore.googleapis.comfirestorekeyvisualizer.googleapis.com サービスがバンドルされています。境界で firestore.googleapis.com サービスを制限すると、境界によって datastore.googleapis.com サービスと firestorekeyvisualizer.googleapis.com サービスも制限されます。

    datastore.googleapis.com サービスを制限するには、 firestore.googleapis.com サービス名を使用します。

    インポートとエクスポートのオペレーションで完全な下り(外向き)保護を実現するには、Firestore サービス エージェントを使用する必要があります。詳しくは以下をご覧ください。

    Firestore / Datastore の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Migrate to Virtual Machines

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 vmmigration.googleapis.com
    詳細

    Migrate to Virtual Machines の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Migrate to Virtual Machines の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Migrate to Virtual Machines を完全に保護するには、次の API をすべてサービス境界に追加します。

      • Artifact Registry API(artifactregistry.googleapis.com
      • Pub/Sub API(pubsub.googleapis.com
      • Cloud Storage API(storage.googleapis.com
      • Cloud Logging API(logging.googleapis.com
      • Container Registry API(containerregistry.googleapis.com
      • Secret Manager API(secretmanager.googleapis.com
      • Compute Engine API(compute.googleapis.com

      詳細については、Migrate to Virtual Machines のドキュメントをご覧ください。

    移行センター

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名
    • migrationcenter.googleapis.com
    • rapidmigrationassessment.googleapis.com
    詳細

    VPC Service Controls を使用すると、Migration Center で収集したインフラストラクチャ データをサービス境界で保護できます。

    Migration Center の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    サービス境界を有効にすると、インフラストラクチャ データを StratoZone に転送できなくなります。

    バックアップと DR サービス

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 backupdr.googleapis.com
    詳細

    バックアップと DR サービスの API は VPC Service Controls で保護することができ、プロダクトはサービス境界内で通常どおり使用することができます。

    バックアップと DR サービスの詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    gcloud services vpc-peerings enable-vpc-service-controls コマンドを使用して、サービス プロデューサー プロジェクトからインターネットのデフォルト ルートを削除すると、管理コンソールにアクセスできなくなるか、デプロイできなくなる場合があります。この問題が発生した場合は、Google Cloud カスタマーケアにお問い合わせください。

    Backup for GKE

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gkebackup.googleapis.com
    詳細

    VPC Service Controls を使用して GKE のバックアップを保護します。Backup for GKE の機能はサービス境界内で正常に機能します。

    Backup for GKE の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Backup for GKE と VPC Service Controls の統合に既知の制限事項はありません。

    Retail API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 retail.googleapis.com
    詳細

    Retail API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Retail API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Retail API と VPC Service Controls の統合には既知の制限事項はありません。

    Application Integration

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 integrations.googleapis.com
    詳細

    Application Integration はコラボレーション ワークフロー管理システムです。これを使用すると、主要なビジネス システムのワークフローを作成、強化、デバッグ、理解できます。 Application Integration のワークフローは、トリガーとタスクで構成されています。 トリガーには複数の種類(API トリガー / Pub/Sub トリガー / cron トリガー / sfdc トリガーなど)があります。

    Application Integration の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls は、Application Integration のログを保護します。Application Integration を使用する場合は、Application Integration チームと vpcsc の統合のサポートを確認します。

    Integration Connectors

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 connectors.googleapis.com
    詳細

    Integration Connectors の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。

    Integration Connectors の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • VPC Service Controls を使用する際に、Google Cloud CLI 以外のリソースに接続する場合は、接続の宛先が Private Service Connect アタッチメントである必要があります。Private Service Connect アタッチメントなしで作成された接続は失敗します。

    • Google Cloud CLI プロジェクトに VPC Service Controls サービス境界を設定している場合、プロジェクトでイベント サブスクリプション機能を使用できません。

    Error Reporting

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 clouderrorreporting.googleapis.com
    詳細

    Error Reporting の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Error Reporting の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    新規または繰り返し発生するエラーグループが検出されると、エラーグループに関する情報が通知に含まれます。VPC Service Controls の境界外へのデータの漏えいを防ぐには、通知チャンネルが組織内にあることを確認してください。

    Cloud Workstations

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 workstations.googleapis.com
    詳細

    Cloud Workstations の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud Workstations の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Cloud Workstations を完全に保護するには、Cloud Workstations API を制限する場合は常に、サービス境界内の Compute Engine API を制限する必要があります。
    • Google Cloud Storage API、Google Container Registry API、Artifact Registry API がサービス境界で VPC からアクセスできることを確認します。これは、ワークステーションにイメージを pull するために必要です。また、Cloud Logging API と Cloud Error Reporting API にサービス境界で VPC からアクセスできるようにすることをおすすめします。ただし、これは Cloud Workstations の使用には必要ありません。
    • ワークステーション クラスタが限定公開であることを確認します。限定公開クラスタを構成すると、VPC サービス境界の外部からワークステーションに接続できなくなります。
    • ワークステーション構成でパブリック IP アドレスが無効になっていることを確認します。無効にしないと、プロジェクトにパブリック IP アドレスを持つ VM が作成されます。constraints/compute.vmExternalIpAccess 組織のポリシーの制約を使用して、VPC サービス境界内のすべての VM のパブリック IP アドレスを無効にすることを強くおすすめします。詳細については、外部 IP アドレスを特定の VM に制限するをご覧ください。
    • ワークステーションとの接続中、アクセス制御は接続元のプライベート ネットワークがセキュリティ境界に属しているかどうかのみに基づいて決まります。デバイス、パブリック IP アドレス、または場所に基づくアクセス制御はサポートされていません。

    Cloud IDS

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 ids.googleapis.com
    詳細

    Cloud IDS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud IDS の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Cloud IDS は、Cloud Logging を使用してプロジェクトに脅威ログを作成します。Cloud Logging がサービス境界によって制限されている場合、Cloud IDS が制限付きサービスとして境界に追加されていない場合でも、VPC Service Controls は Cloud IDS の脅威ログをブロックします。サービス境界内で Cloud IDS を使用するには、サービス境界で Cloud Logging サービス アカウントの上り(内向き)ルールを構成する必要があります。

    Chrome Enterprise Premium

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 beyondcorp.googleapis.com
    詳細

    Chrome Enterprise Premium の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Chrome Enterprise Premium と VPC Service Controls の統合に既知の制限事項はありません。

    Policy Troubleshooter

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 policytroubleshooter.googleapis.com
    詳細

    Policy Troubleshooter API を境界で制限する場合、リクエストに関連するすべてのリソースが同じ境界内にある場合にのみ、プリンシパルが IAM 許可ポリシーをトラブルシューティングできます。トラブルシューティング リクエストには、通常、次に示す 2 つのリソースが含まれます。

    • トラブルシューティングを行うアクセス先のリソース。このリソースは任意の型を指定できます。このリソースは、許可ポリシーのトラブルシューティングで明示的に指定します。
    • アクセスのトラブルシューティングに使用するリソース。 このリソースは、プロジェクト、フォルダ、または組織です。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、x-goog-user-project ヘッダーを使用してこのリソースを指定します。

      このリソースは、トラブルシューティングを行うアクセス先のリソースと同じリソースを指定できますが、必ずしも同じである必要はありません。

    これらのリソースが同じ境界内にない場合、リクエストは失敗します。

    Policy Troubleshooter の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Policy Troubleshooter と VPC Service Controls の統合には既知の制限事項はありません。

    Policy Simulator

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 policysimulator.googleapis.com
    詳細

    Policy Simulator API を境界で制限する場合、シミュレーションに関連する特定のリソースが同じ境界内にある場合にのみ、プリンシパルが許可ポリシーをシミュレートできます。シミュレーションには、いくつかのリソースが含まれます。

    • 許可ポリシーをシミュレーションするリソース。このリソースは、ターゲット リソースとも呼ばれます。Google Cloud コンソールでは、これは許可ポリシーを編集するリソースです。gcloud CLI と REST API では、許可ポリシーをシミュレートするときに、このリソースを明示的に指定します。
    • シミュレーションを作成して実行するプロジェクト、フォルダ、または組織。このリソースは、ホストリソースとも呼ばれます。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、x-goog-user-project ヘッダーを使用してこのリソースを指定します。

      このリソースは、トラブルシューティングを行うアクセス先のリソースと同じリソースを指定できますが、必ずしも同じである必要はありません。

    • シミュレーションでアクセスログを提供するリソース。シミュレーションでは、シミュレーションのアクセスログを提供するリソースが必ず 1 つあります。このリソースは、ターゲットのリソースタイプによって異なります。

      • プロジェクトまたは組織の許可ポリシーをシミュレートする場合は、Policy Simulator が対象のプロジェクトまたは組織のアクセスログを取得します。
      • 別の種類のリソースに対して許可ポリシーをシミュレートする場合は、Policy Simulator が対象のリソースの親プロジェクトまたは組織のアクセスログを取得します。
      • 複数のリソースの許可ポリシーを一度にシミュレートする場合、Policy Simulator は、リソースに最も近い共通のプロジェクトまたは組織のアクセスログを取得します。
    • サポートされているすべてのリソース(関連する許可ポリシー) Policy Simulator は、シミュレーションを実行するときに、ターゲット リソースの祖先リソースと子孫リソースの許可ポリシーを含めて、ユーザーのアクセス権に影響を与える可能性のあるすべての許可ポリシーを考慮します。その結果、これらの祖先と子孫リソースはシミュレーションにも関与します。

    ターゲット リソースとホストリソースが同じ境界内にない場合、リクエストは失敗します。

    ターゲット リソースとシミュレーションのアクセス ログを提供するリソースが同じ境界内にない場合、リクエストは失敗します。

    ターゲット リソースと、関連する許可ポリシーでサポートされているリソースが同じ境界内にない場合、リクエストは成功しますが、結果は不完全になる可能性があります。たとえば、境界内のプロジェクトのポリシーをシミュレートする場合、組織は常に VPC Service Controls 境界の外部にあるため、結果にはプロジェクトの親組織の許可ポリシーは含まれません。完全な結果を得るには、境界の上り(内向き)ルールと下り(外向き)ルールを構成します。

    Policy Simulator の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Policy Simulator と VPC Service Controls の統合には既知の制限事項はありません。

    重要な連絡先

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 essentialcontacts.googleapis.com
    詳細

    重要な連絡先の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    重要な連絡先の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    重要な連絡先と VPC Service Controls の統合には既知の制限事項はありません。

    Identity Platform

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 identitytoolkit.googleapis.com,
    securetoken.googleapis.com
    詳細

    Identity Platform の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Identity Platform の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Identity Platform を完全に保護するには、サービス境界に Secure Token API(securetoken.googleapis.com)を追加して、トークンの更新を許可します。securetoken.googleapis.com は、Google Cloud コンソールの VPC Service Controls ページには表示されません。このサービスは、gcloud access-context-manager perimeters update コマンドでのみ追加できます。

    • アプリケーションがブロッキング関数機能と統合されている場合は、Cloud Run 関数(cloudfunctions.googleapis.com)をサービス境界に追加します。

    • SMS ベースの多要素認証(MFA)、メール認証、またはサードパーティの ID プロバイダを使用すると、データは境界外に送信されます。SMS、メール認証、サードパーティの ID プロバイダで MFA を使用しない場合は、これらの機能を無効にします。

    GKE Multi-Cloud

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gkemulticloud.googleapis.com
    詳細

    GKE Multi-cloud の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    GKE Multi-cloud の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • GKE Multi-Cloud API を完全に保護するには、Kubernetes Metadata API(kubernetesmetadata.googleapis.com)も境界に含める必要があります。

    Anthos On-Prem API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 gkeonprem.googleapis.com
    詳細

    Anthos On-Prem API は VPC Service Controls によって保護され、サービス境界内で通常どおり使用できます。

    Anthos On-Prem API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • Anthos On-Prem API を完全に保護するには、次のすべての API をサービス境界に追加します。

      • Kubernetes Metadata API(kubernetesmetadata.googleapis.com
      • Cloud Monitoring API(monitoring.googleapis.com
      • Cloud Logging API(logging.googleapis.com
      • VPC Service Controls は、フォルダレベルまたは組織レベルでの Cloud Logging ログのエクスポートに対する保護を行いません。

    ベアメタル向け Google Distributed Cloud(ソフトウェアのみ)

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか いいえ。ベアメタル向け Google Distributed Cloud(ソフトウェアのみ)の API はサービス境界で保護できません。ただし、ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)は境界内に存在するプロジェクト内で通常どおり使用できます。
    詳細

    環境内にクラスタを作成して、Cloud Interconnect または Cloud VPN を使用して作成したクラスタを VPC に接続できます。

    ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • Bare Metal 用の Google Distributed Cloud(ソフトウェアのみ)を使用してクラスタを作成またはアップグレードする場合は、bmctl--skip-api-check フラグを使用し、Service Usage API(serviceusage.googleapis.com)の呼び出しをバイパスします。これは、Service Usage API(serviceusage.googleapis.com)は VPC Service Controls ではサポートされていないためです。Bare Metal 用の Google Distributed Cloud(ソフトウェアのみ)は、Service Usage API を呼び出して、プロジェクト内で必要な API が有効になっていることを検証します。API エンドポイントの到達可能性の検証には使用されません。

    • クラスタを保護するには、ベアメタル用の Google Distributed Cloud(ソフトウェアのみ)で制限付き VIP を使用し、次のすべての API をサービス境界に追加します。

      • Artifact Registry API(artifactregistry.googleapis.com
      • Google Cloud Resource Manager API(cloudresourcemanager.googleapis.com
      • Compute Engine API(compute.googleapis.com
      • Connect Gateway API(connectgateway.googleapis.com
      • Google Container Registry API(containerregistry.googleapis.com
      • GKE Connect API(gkeconnect.googleapis.com
      • GKE Hub API(gkehub.googleapis.com
      • GKE On-Prem API(gkeonprem.googleapis.com
      • Cloud IAM API(iam.googleapis.com
      • Cloud Logging API(logging.googleapis.com
      • Cloud Monitoring API(monitoring.googleapis.com
      • Ops API の構成モニタリング(opsconfigmonitoring.googleapis.com
      • Service Control API(servicecontrol.googleapis.com
      • Cloud Storage API(storage.googleapis.com

    On-Demand Scanning API

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 ondemandscanning.googleapis.com
    詳細

    On-Demand Scanning API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    On-Demand Scanning API の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    On-Demand Scanning API と VPC Service Controls の統合に既知の制限事項はありません。

    Looker(Google Cloud コア)

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 looker.googleapis.com
    詳細

    Looker(Google Cloud コア)の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Looker(Google Cloud コア)の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    • VPC Service Controls のコンプライアンスに対応しているのは、プライベート IP 接続を使用する Looker(Google Cloud コア)の Enterprise エディションまたは Embed エディションだけです。Looker(Google Cloud コア)のパブリック IP 接続を使用するインスタンスや、パブリック IP 接続とプライベート IP 接続を使用するインスタンスは、VPC Service Controls のコンプライアンスに対応していません。プライベート IP 接続を使用するインスタンスを作成するには、Google Cloud コンソールの [インスタンスの作成] ページの [ネットワーキング] セクションで [プライベート IP] を選択します。

    • VPC Service Controls サービス境界内に Looker(Google Cloud コア)インスタンスを配置または作成する場合は、services.enableVpcServiceControls メソッドを呼び出すか、次の gcloud コマンドを実行して、インターネットへのデフォルト ルートを削除する必要があります。

      gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

      デフォルト ルートを削除すると、送信トラフィックが VPC Service Controls 準拠のサービスに制限されます。たとえば、メールの送信に使用される API が VPC Service Controls に準拠していないため、メールの送信は失敗します。

    • 共有 VPC を使用している場合は、Looker(Google Cloud コア)サービス プロジェクトを共有 VPC ホスト プロジェクトと同じサービス境界に含めるか、2 つのプロジェクト間に境界ブリッジを作成します。Looker(Google Cloud コア)サービス プロジェクトと共有 VPC ホスト プロジェクトが同じ境界にない場合、または境界ブリッジを介して通信できない場合、インスタンスの作成に失敗するか、Looker(Google Cloud コア)インスタンスが正しく機能しない可能性があります。

    Public Certificate Authority

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 publicca.googleapis.com
    詳細

    パブリック認証局の API は、VPC Service Controls によって保護され、プロダクトはサービス境界内で通常どおり使用できます。

    パブリック認証局の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Public Certificate Authority と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Storage Insights

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 storageinsights.googleapis.com
    詳細

    Storage Insights の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Storage Insights の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Storage Insights と VPC Service Controls の統合には既知の制限事項はありません。

    Dataflow Data Pipelines

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 datapipelines.googleapis.com
    詳細

    Dataflow Data Pipelines を完全に保護するには、境界に次の API をすべて含めます。

    • Dataflow API(dataflow.googleapis.com
    • Cloud Scheduler API(cloudscheduler.googleapis.com
    • Container Registry API(containerregistry.googleapis.com

    Dataflow Data Pipelines の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Dataflow Data Pipelines と VPC Service Controls のインテグレーションに既知の制限事項はありません。

    Security Command Center

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 securitycenter.googleapis.com,
    securitycentermanagement.googleapis.com
    詳細

    Security Command Center の API は VPC Service Controls で保護でき、Security Command Center はサービス境界内で通常どおり使用できます。

    securitycenter.googleapis.comsecuritycentermanagement.googleapis.com サービスがバンドルされています。境界で securitycenter.googleapis.com サービスを制限すると、デフォルトで securitycentermanagement.googleapis.com サービスが制限されます。securitycentermanagement.googleapis.com サービスは securitycenter.googleapis.com にバンドルされているため、境界の制限付きサービスのリストに追加できません。

    Security Command Center の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • VPC Service Controls では、フォルダレベル、組織レベルのどちらでも、サービス境界内のリソースやクライアントから Security Command Center API リソースへのアクセスをサポートしていません。VPC Service Controls は、プロジェクト レベルの Security Command Center API リソースを保護します。下り(外向き)ポリシーを指定すると、境界内のプロジェクトから Security Command Center API リソースへのプロジェクト レベルでのアクセスを防止できます。
    • VPC Service Controls では、フォルダレベルや組織レベルの Security Command Center API リソースのサービス境界への追加をサポートしていません。境界を使用して、フォルダレベルや組織レベルの Security Command Center API リソースを保護することはできません。フォルダレベルまたは組織レベルで Security Command Center の権限を管理するには、IAM を使用することをおすすめします。
    • セキュリティ対策リソース(対策、対策のデプロイ、事前定義された対策テンプレートなど)は組織レベルのリソースであるため、VPC Service Controls はセキュリティ対策サービスをサポートしていません。
    • フォルダレベルや組織レベルで、サービス境界内の宛先にアセットをエクスポートすることはできません。
    • 次のシナリオでは、境界アクセスを有効にする必要があります。
      • フォルダレベルや組織レベルで検出通知を有効にし、Pub/Sub トピックがサービス境界内にある場合。
      • フォルダレベルまたは組織レベルから BigQuery にデータをエクスポートし、BigQuery がサービス境界内にある場合。
      • Security Command Center を SIEM または SOAR プロダクトと統合し、そのプロダクトが Google Cloud 環境のサービス境界内にデプロイされている場合。サポートされている SIEM と SOAR には、SplunkIBM QRadar があります。

    Cloud カスタマーケア

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudsupport.googleapis.com
    詳細

    Cloud カスタマーケアの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Cloud カスタマーケアの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    VPC Service Controls は Cloud Support API を介してアクセスされるデータを保護しますが、Google Cloud コンソールを介してアクセスされるデータは保護しません。

    Vertex AI エージェント ビルダー - Vertex AI Search

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 discoveryengine.googleapis.com
    詳細

    Vertex AI Agent Builder の API - Vertex AI Search は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Vertex AI Agent Builder - Vertex AI Search の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Vertex AI Agent Builder - Vertex AI Search と VPC Service Controls の統合には既知の制限事項はありません。

    Confidential Space

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 confidentialcomputing.googleapis.com
    詳細

    Confidential Space の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Confidential Space の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    Confidential Space は、構成証明トークンの検証に使用される証明書をダウンロードするために、Cloud Storage バケットへの読み取りアクセス権を必要とします。これらの Cloud Storage バケットが境界外にある場合は、次の下り(外向き)ルールを作成する必要があります。

      - egressTo:
          operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
            - method: google.storage.objects.get
          resources:
          - projects/870449385679
          - projects/180376494128
        egressFrom:
          identityType: ANY_IDENTITY

    シリアルコンソール

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 ssh-serialport.googleapis.com
    詳細

    仮想マシン(VM)インスタンスのシリアル コンソールに接続するときに VPC Service Controls 保護を使用するには、サービス境界に上り(内向き)ルールを指定する必要があります。上り(内向き)ルールを設定する場合、送信元のアクセスレベルは、IP に基づく値にして、サービス名を ssh-serialport.googleapis.com に設定する必要があります。ソース リクエストとターゲット リソースが同じ境界内にある場合でも、シリアル コンソールにアクセスするために上り(内向き)ルールが必要です。

    シリアル コンソールの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • 限定公開の Google アクセスを使用してシリアル コンソールにアクセスすることはできません。シリアル コンソールには、パブリック インターネットからのみアクセスできます。
    • シリアル コンソールを使用する場合、ID ベースの上り(内向き)ルールまたは下り(外向き)ルールを使用してシリアル コンソールへのアクセスを許可することはできません。

    Google Cloud VMware Engine

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 vmwareengine.googleapis.com
    詳細 VMware Engine Service Controls の詳細については、VMware Engine を使用した VPC Service Controls をご覧ください。

    Google Cloud VMware Engine の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    既存の VMware Engine ネットワーク、プライベート クラウド、ネットワーク ポリシー、VPC ピアリングを VPC サービス境界に追加する場合、以前に作成されたリソースが引き続き境界のポリシーを遵守しているかどうかは再確認されせん。

    Dataform

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 dataform.googleapis.com
    詳細

    VPC Service Controls を使用して Dataform へのアクセスを管理する方法については、Dataform 用に VPC Service Controls を構成するをご覧ください。

    Dataform の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    Dataform に対して VPC Service Controls の保護を使用するには、「dataform.restrictGitRemotes」組織ポリシーを設定し、Dataform と同じサービス境界で BigQuery を制限する必要があります。Dataform で使用するサービス アカウントに付与されている Identity and Access Management 権限に、セキュリティ アーキテクチャを確実に反映させる必要があります。

    Web Security Scanner

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 websecurityscanner.googleapis.com
    詳細

    Web Security Scanner と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。

    Web Security Scanner は、検出結果をオンデマンドで Security Command Center に送信します。データは Security Command Center のダッシュボードで表示またはダウンロードできます。

    Web Security Scanner の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Web Security Scanner と VPC Service Controls の統合には既知の制限事項はありません。

    Secure Source Manager

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 securesourcemanager.googleapis.com
    詳細
    • Secure Source Manager VPC Service Controls インスタンスを作成する前に、有効な認証局を使用して Certificate Authority Service を構成する必要があります。
    • Secure Source Manager VPC Service Controls インスタンスにアクセスする前に、Private Service Connect を構成する必要があります。

    Secure Source Manager の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    • GKE の制限によって引き起こされた SERVICE_NOT_ALLOWED_FROM_VPC 監査ログの違反は無視できます。
    • ブラウザで VPC Service Controls ウェブ インターフェースを開くには、ブラウザで次の URL にアクセスする必要があります。
      • https://accounts.google.com
      • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
        • 例: https://us-central1-sourcemanagerredirector-pa.client6.google.com
      • https://lh3.googleusercontent.com

    API キー

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 apikeys.googleapis.com
    詳細

    Datastream の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    API キーの詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    API キーと VPC Service Controls の統合に既知の制限事項はありません。

    パートナーによる主権管理のパートナー コンソール

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudcontrolspartner.googleapis.com
    詳細

    Cloud Controls Partner API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    パートナーによる主権管理のパートナー コンソールについて詳しくは、プロダクト ドキュメントをご覧ください。

    制限事項
    • このサービスは、パートナー以外のすべてのユーザーに対して制限する必要があります。Sovereign Controls by Partners をサポートしているパートナーは、サービス境界を使用してこのサービスを保護できます。

    マイクロサービス

    ステータス ベータ版
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 microservices.googleapis.com
    詳細

    マイクロサービスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    マイクロサービスの詳細については、プロダクト ドキュメントをご覧ください。

    制限事項

    マイクロサービスと VPC Service Controls の統合には既知の制限事項はありません。

    Earth Engine

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 earthengine.googleapis.com,
    earthengine-highvolume.googleapis.com
    詳細

    earthengine.googleapis.com サービスと earthengine-highvolume.googleapis.com サービスがバンドルされています。境界で earthengine.googleapis.com サービスを制限すると、デフォルトで earthengine-highvolume.googleapis.com サービスが制限されます。earthengine-highvolume.googleapis.com サービスは earthengine.googleapis.com にバンドルされているため、境界の制限付きサービスのリストに追加できません。

    Earth Engine の詳細については、プロダクト ドキュメントをご覧ください。

    制限事項
    • Earth Engine JavaScript API のウェブベースの IDE である Earth Engine コードエディタはサポートされておらず、VPC Service Controls では、サービス境界内のリソースおよびクライアントで Earth Engine コードエディタを使用することはできません。
    • 従来のアセットは VPC Service Controls で保護されません。
    • Google ドライブにエクスポートは、VPC Service Controls ではサポートされていません。
    • Earth Engine Apps は、サービス境界内のリソースとクライアントではサポートされていません。
    • VPC Service Controls は、Earth Engine のPremiumProfessional の料金プランでのみ使用できます。料金プランの詳細については、 Earth Engine のプランをご覧ください。

    制限と回避策の例については、Earth Engine のアクセス制御のドキュメントをご覧ください。

    App Hub

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 apphub.googleapis.com
    詳細

    App Hub を使用すると、インフラストラクチャ リソースを検出して、アプリケーション別に整理できます。また、VPC Service Controls の境界を使用して App Hub のリソースを保護できます。

    App Hub の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    アプリケーションを作成し、サービスとワークロードをアプリケーションに登録する前に、App Hub のホスト プロジェクトとサービス プロジェクトで VPC Service Controls を設定する必要があります。App Hub では、次のリソースタイプがサポートされています。

    • アプリケーション
    • 検出されたサービス
    • 検出されたワークロード
    • サービス
    • サービス プロジェクトの接続
    • ワークロード

    Cloud Code

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 cloudcode.googleapis.com
    詳細

    Cloud Code API は VPC Service Controls で保護できます。Cloud Code で Gemini を活用した機能を使用するには、IDE クライアントからのトラフィックを許可するように上り(内向き)ポリシーを構成する必要があります。詳細については、Gemini のドキュメントをご覧ください。

    Cloud Codes の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Cloud Code と VPC Service Controls の統合には既知の制限事項はありません。

    Commerce Org Governance API

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 commerceorggovernance.googleapis.com
    詳細

    VPC Service Controls の境界は、Google プライベート マーケットプレイスの Commerce Org Governance API を保護します。

    Commerce Org Governance API の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Commerce Org Governance API がプロジェクト レベルで作成する調達リクエストやアクセス リクエストなどのリソースは、組織レベルに表示され、VPC Service Controls ポリシーを適用せずに組織管理者によって確認されます。

    Google Cloud の Contact Center as a Service

    ステータス 一般提供版。このプロダクト統合は、VPC Service Controls で完全サポートされています。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 contactcenteraiplatform.googleapis.com
    詳細

    インターネット トラフィックを制限するには、組織のポリシーを使用します。Google Cloud Contact Center as a Service API の CREATE メソッドまたは UPDATE メソッドを呼び出して、手動で組織ポリシーの制約を適用します。

    Google Cloud Contact Center as a Service の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    Google Cloud Contact Center as a Service と VPC Service Controls の統合には既知の制限事項はありません。

    Privileged Access Manager

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 privilegedaccessmanager.googleapis.com
    詳細

    Privileged Access Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Privileged Access Manager の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項
    • VPC Service Controls では、フォルダレベルまたは組織レベルのリソースをサービス境界に追加できません。境界を使用して、フォルダレベルまたは組織レベルの Privileged Access Manager リソースを保護することはできません。VPC Service Controls は、プロジェクト レベルの Privileged Access Manager リソースを保護します。
    • Privileged Access Manager を保護するには、境界に次の API を含める必要があります。
      • Privileged Access Manager API(privilegedaccessmanager.googleapis.com
      • Cloud Resource Manager API(cloudresourcemanager.googleapis.com
      • Cloud Logging API(logging.googleapis.com
      • Cloud Asset API(cloudasset.googleapis.com

    Audit Manager

    ステータス プレビュー。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
    境界によって保護されているか はい。境界を構成して、このサービスを保護できます。
    サービス名 auditmanager.googleapis.com
    詳細

    Audit Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。

    Audit Manager の詳細については、プロダクトのドキュメントをご覧ください。

    制限事項

    詳しくは、サポートされているサービスとサポートされていないサービスをご覧ください。

    制限付き VIP サポート対象のサービス

    制限付き仮想 IP(VIP)は、サービス境界内の VM がリクエストをインターネットに公開せずに Google Cloud サービスを呼び出すための手段を提供します。制限付き VIP で利用可能なサービスの一覧については、制限付き VIP でサポートされているサービスをご覧ください。

    サポートされていないサービス

    gcloud コマンドライン ツールまたは Access Context Manager API を使用して、サポートされていないサービスを制限しようとするとエラーが発生します。

    サポートされているサービスのデータに対するプロジェクト間のアクセスは、VPC Service Controls によってブロックされます。また、制限付き VIP を使用して、サポートされていないサービスを呼び出すワークロードをブロックできます。

    その他の既知の制限事項

    このセクションでは、VPC Service Controls の使用時に検出される特定の Google Cloud サービス、プロダクト、インターフェースに関する既知の制限事項について説明します。

    VPC Service Controls でサポートされているプロダクトの制限については、サポート対象プロダクトの表をご覧ください。

    VPC Service Controls に関する問題の解決方法については、トラブルシューティングをご覧ください。

    AutoML API

    VPC Service Controls で AutoML API を使用する場合、次の制限が適用されます。

    • サポートされているリージョン エンドポイントeu-automl.googleapis.com など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com など)も保護されます。

    • AutoML Vision、AutoML Natural Language、AutoML Translation、AutoML Tables と AutoML Video Intelligence はすべて AutoML API を使用します。

      サービス境界を使用して automl.googleapis.com を保護すると、VPC Service Controls と統合されて境界内で使用されているすべての AutoML プロダクトへのアクセスに影響があります。VPC Service Controls の境界は、その境界内で使用されているすべての統合 AutoML プロダクトに対して構成する必要があります。

      AutoML API を完全に保護するには、次のすべての API を境界に含めます。

      • AutoML API(automl.googleapis.com
      • Cloud Storage API(storage.googleapis.com
      • Compute Engine API(compute.googleapis.com
      • BigQuery API(bigquery.googleapis.com

    App Engine

    • App Engine(スタンダード環境とフレキシブル環境の両方)は、VPC Service Controls ではサポートされていません。サービス境界に App Engine プロジェクトを含めないでください。

      ただし、サービス境界外のプロジェクトで作成された App Engine アプリに、境界内の保護されたサービスに対するデータの読み取りと書き込みを許可できます。アプリが保護されたサービスのデータにアクセスできるようにするには、プロジェクトの App Engine サービス アカウントを含むアクセスレベルを作成します。これは、サービス境界内で App Engine を使用できるようにするものではありません。

    Bare Metal Solution

    • VPC Service Controls を Bare Metal Solution 環境に接続しても、サービス コントロールの保証は維持されません。

    • Bare Metal Solution API は、安全な境界に追加できます。ただし、VPC Service Controls の境界は、リージョン拡張の Bare Metal Solution 環境までは拡張されません。

    ブロックチェーン ノード エンジン

    • VPC Service Controls は、Blockchain Node Engine API のみを保護します。ノードを作成する場合は、引き続き、Private Service Connect を使用して、ノードがユーザーが構成したプライベート ネットワーク用であることを示す必要があります。

    • ピアツーピア トラフィックは、VPC Service Controls や Private Service Connect の影響を受けず、引き続き公共のインターネットを使用します。

    クライアント ライブラリ

    • 制限付き VIP を使用したアクセスに対して、すべてのサポート対象サービス用の Java および Python クライアント ライブラリが完全にサポートされています。他の言語のサポートはアルファ版段階で、テストのみの目的で使用する必要があります。

    • クライアントでは、2018 年 11 月 1 日以降に更新されたクライアント ライブラリを使用する必要があります。

    • クライアントでは、2018 年 11 月 1 日以降に更新されたサービス アカウントキーまたは OAuth2 クライアント メタデータを使用する必要があります。トークン エンドポイントを使用している古いクライアントは、新しい鍵マテリアル / クライアント メタデータで指定されているエンドポイントに変更する必要があります。

    Cloud Billing

    • アクセスレベルまたは上り(内向き)ルールを構成しなくても、サービス境界で保護されているプロジェクトの Cloud Storage バケットまたは BigQuery インスタンスに Cloud Billing データをエクスポートできます。

    Cloud Deployment Manager

    • Deployment Manager は VPC Service Controls でサポートされていません。ユーザーは VPC Service Controls に準拠したサービスを呼び出すことはできますが、今後使用できなくなる可能性があるため、これに依存しないようにしてください。

    • 回避策としては、Deployment Manager サービス アカウント(PROJECT_NUMBER@cloudservices.gserviceaccount.com)をアクセスレベルに追加して、VPC Service Controls で保護された API への呼び出しを許可します。

    Cloud Shell

    VPC Service Controls は Cloud Shell をサポートしていません。VPC Service Controls は、Cloud Shell をサービス境界外として扱い、VPC Service Controls が保護するデータへのアクセスを拒否します。ただし、サービス境界のアクセスレベル要件を満たすデバイスが Cloud Shell を起動した場合、VPC Service Controls は Cloud Shell にアクセスできます。

    Google Cloud Console

    • Google Cloud コンソールはインターネット経由でのみアクセス可能なため、サービス境界外として扱われます。サービス境界を適用すると、保護したサービスの Google Cloud コンソール インターフェースが部分的または完全にアクセスできなくなることがあります。たとえば、境界で Logging を保護した場合、Google Cloud コンソールで Logging インターフェースにアクセスできなくなります。

      Google Cloud コンソールから境界で保護されたリソースへのアクセスを許可するには、保護された API で Google Cloud コンソールを使用するユーザーのマシンを含むパブリック IP 範囲のアクセスレベルを作成する必要があります。たとえば、プライベート ネットワークの NAT ゲートウェイのパブリック IP 範囲をアクセスレベルに追加し、そのアクセスレベルをサービス境界に割り当てることができます。

      Google Cloud コンソールの境界へのアクセスを一連の特定ユーザーのみに制限する場合は、アクセスレベルにそのユーザーを追加することもできます。その場合、指定したユーザーだけが Google Cloud コンソールにアクセスできます。

    • 限定公開の Google アクセスが有効なネットワークから Google Cloud コンソールを介してリクエストすると(Cloud NAT により暗黙的に有効にされたネットワークを含む)、ソース ネットワークとターゲット リソースが同じ境界内にある場合でもブロックされる可能性があります。これは、限定公開の Google アクセスによる Google Cloud コンソールのアクセスは、VPC Service Controls でサポートされていないためです。

    プライベート サービス アクセス

    • プライベート サービス アクセスは、共有 VPC ネットワークでのサービス インスタンスのデプロイをサポートしています。この構成を VPC Service Controls で使用する場合は、ネットワークを提供するホスト プロジェクトと、サービス インスタンスを含むサービス プロジェクトが同じ VPC Service Controls の境界内にあることを確認してください。そうしないと、リクエストがブロックされ、サービス インスタンスが正常に機能しない可能性があります。

      プライベート サービス アクセスをサポートするサービスの詳細については、サポートされているサービスをご覧ください。

    GKE Multi-Cloud

    • VPC Service Controls は、Google Cloud プロジェクト内のリソースにのみ適用されます。GKE Multi-cloud クラスタをホストするサードパーティのクラウド環境では、サービス制御の保証を維持されません。

    Google Distributed Cloud

    • VPC Service Controls は、制限付き VIP を使用する VPC ネットワーク プロジェクトに接続されているベアメタル マシンにのみ適用されます。

    • OpenID Connect(OIDC)サービスと Lightweight Directory Access Protocol(LDAP)サービスは、同じ VPC Service Controls の境界内に配置する必要があります。外部エンドポイントへのリクエストはブロックされます。

    移行センター

    • サービス境界を有効にすると、インフラストラクチャ データを StratoZone に転送できなくなります。

    Workforce Identity の連携

    • Workforce Identity 連携は VPC Service Controls でサポートされていません。ワークフォース プールは組織レベルのリソースであり、組織レベルのリソースは VPC Service Controls でサポートされていません。

    次のステップ