ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
config.googleapis.com
詳細
Infrastructure Manager の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
境界で Infrastructure Manager を使用するには:
Infrastructure Manager で使用されるワーカープールには、Cloud Build のプライベート プールを使用する必要があります。Terraform プロバイダと Terraform の構成をダウンロードするには、このプライベート プールで公共のインターネット呼び出しを有効にする 必要があります。デフォルトの Cloud Build ワーカープールは使用できません。
次のものは同じ境界内に存在する必要があります。
Infrastructure Manager で使用されるサービス アカウント。
Infrastructure Manager で使用される Cloud Build ワーカープール。
Infrastructure Manager で使用されるストレージ バケット。デフォルトのストレージ バケットを使用できます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
workloadmanager.googleapis.com
詳細
VPC Service Controls の境界で Workload Manager を使用するには:
Workload Manager のデプロイ環境には、Cloud Build のプライベート ワーカープールを使用する必要があります。デフォルトの Cloud Build ワーカープールは使用できません。
Terraform 構成をダウンロードするには、Cloud Build プライベート プールで公共のインターネット呼び出しを有効にする 必要があります。
詳細については、Workload Manager のドキュメントで
Cloud Build のプライベート ワーカープールを使用する をご覧ください。
Workload Manager の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
次のリソースが同じ VPC Service Controls サービス境界 内にあることを確認する必要があります。
Workload Manager サービス アカウント。
Cloud Build プライベート ワーカープール。
Workload Manager がデプロイに使用する Cloud Storage バケット。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
netapp.googleapis.com
詳細
Google Cloud NetApp Volumes の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。
Google Cloud NetApp Volume の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls は、ネットワーク ファイル システム(NFS)とサーバー メッセージ ブロック(SMB)の読み取りおよび書き込みなどのデータプレーン パスには対応していません。また、ホスト プロジェクトとサービス プロジェクトが異なる境界で構成されている場合、Google Cloud サービスの実装が中断される可能性があります。
ステータス
GA
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudsearch.googleapis.com
詳細
Google Cloud Search は、Virtual Private Cloud Security Controls(VPC Service Controls)をサポートして、データのセキュリティを強化します。VPC Service Controls によって、Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、データを制約し、データ漏洩のリスクを軽減できます。
Google Cloud Search の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Cloud Search リソースは Google Cloud プロジェクトに保存されないため、VPC 境界で保護されたプロジェクトで Cloud Search のお客様の設定を更新する必要があります。VPC プロジェクトは、すべての Cloud Search リソースの仮想プロジェクト コンテナとして機能します。このマッピングを行わないと、Cloud Search API で VPC Service Controls が動作しません。
Google Cloud Search で VPC Service Controls を有効にする完全な手順については、Google Cloud Search のためにセキュリティを強化する をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
networkmanagement.googleapis.com
詳細
接続テスト用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
接続テストの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
接続テストと VPC Service Controls の統合には既知の制限がありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
ml.googleapis.com
詳細
VPC Service Controls は、オンライン予測をサポートしていますが、バッチ予測はサポートされません。
AI Platform Prediction の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
AI Platform Prediction を完全に保護するには、次の API をすべてサービス境界に追加します。
AI Platform Training and Prediction API(ml.googleapis.com
)
Pub/Sub API(pubsub.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Google Kubernetes Engine API(container.googleapis.com
)
Container Registry API(containerregistry.googleapis.com
)
Cloud Logging API(logging.googleapis.com
)
詳細については、AI Platform Prediction の VPC Service Controls の設定 をご覧ください。
サービス境界内で AI Platform Prediction を使用する場合、バッチ予測 はサポートされません。
AI Platform Prediction と AI Platform Training はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳しくは AI Platform Training 用の VPC Service Controls の設定 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
ml.googleapis.com
詳細
AI Platform Training の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
AI Platform Training の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
AI Platform Training トレーニング ジョブを完全に保護するには、次の API をすべてサービス境界に追加します。
AI Platform Training and Prediction API(ml.googleapis.com
)
Pub/Sub API(pubsub.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Google Kubernetes Engine API(container.googleapis.com
)
Container Registry API(containerregistry.googleapis.com
)
Cloud Logging API(logging.googleapis.com
)
詳しくは AI Platform Training 用の VPC Service Controls の設定 をご覧ください。
AI Platform Training をサービス境界内で使用する場合、TPU トレーニング はサポートされません。
AI Platform Training と AI Platform Prediction はどちらも AI Platform Training and Prediction API を使用するため、両方のプロダクトで VPC Service Controls を構成する必要があります。詳細については、AI Platform Prediction の VPC Service Controls の設定 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
alloydb.googleapis.com
詳細
VPC Service Controls 境界は AlloyDB API を保護します。
AlloyDB for PostgreSQL の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界は、AlloyDB for PostgreSQL Admin API のみを保護します。基盤となるデータベース(AlloyDB for PostgreSQL インスタンスなど)に対する IP ベースのデータアクセスは保護されません。AlloyDB for PostgreSQL インスタンスに対するパブリック IP のアクセスを制限するには、組織のポリシーの制約 を使用します。
PostgreSQL 向け AlloyDB に VPC Service Controls を構成する前に、Service Networking API を有効にします。
共有 VPC と VPC Service Controls で PostgreSQL 向け AlloyDB を使用する場合、ホスト プロジェクトとサービス プロジェクトは同じ VPC Service Controls サービス境界内にある必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
notebooks.googleapis.com
詳細
Vertex AI Workbench の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Vertex AI Workbench の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
aiplatform.googleapis.com
詳細
Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Colab Enterprise をご覧ください。
Vertex AI の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
制限事項の詳細については、Vertex AI ドキュメントの制限事項 をご覧ください。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
visionai.googleapis.com
詳細
Vertex AI Vision の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Vertex AI Vision の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
constraints/visionai.disablePublicEndpoint
がオンの場合、クラスタのパブリック エンドポイントが無効になります。ユーザーは手動で PSC ターゲットに接続し、プライベート ネットワークからサービスにアクセスする必要があります。PSC ターゲットは、
cluster
リソースから取得できます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
firebasevertexai.googleapis.com
詳細
Firebase の Vertex AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Firebase の Vertex AI の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Vertex AI in Firebase API は、Vertex AI API(aiplatform.googleapis.com
) にトラフィックをプロキシします。
aiplatform.googleapis.com
がサービス境界の制限付きサービスのリストにも追加されていることを確認します。
Vertex AI API の既知の制限事項 はすべて、Vertex AI in Firebase API に適用されます。
Firebase API の Vertex AI へのトラフィックは、常にサービス境界外にあるモバイル クライアントまたはブラウザ クライアントから送信されることを前提としています。そのため、明示的な上り(内向き)ポリシーを構成する必要があります。
サービス境界内からのみ Vertex AI API に接続する必要がある場合は、Vertex AI API を直接使用するか、サーバー SDK、Firebase Genkit、または Vertex AI API にサーバーサイドからアクセスするために利用可能な他のサービスのいずれかを使用してください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
aiplatform.googleapis.com
詳細
Colab Enterprise の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Colab Enterprise は Vertex AI の一部です。Vertex AI をご確認ください。
Colab Enterprise は、ノートブックの保存に Dataform を使用します。Dataform をご覧ください。
Colab Enterprise の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
制限事項については、Colab Enterprise のドキュメントの既知の制限事項 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
apigee.googleapis.com, apigeeconnect.googleapis.com
詳細
Apigee と Apigee ハイブリッドの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Apigee と Apigee Hybrid の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Apigee と VPC Service Controls とのインテグレーションには次の制限があります。
統合ポータルを構成するには、追加の手順 が必要です。
サービス境界内に Drupal ポータルをデプロイする必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
meshca.googleapis.com, meshconfig.googleapis.com, trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
詳細
Cloud Service Mesh の API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。
mesh.googleapis.com
を使用すると、Cloud Service Mesh に必要な API を有効にできます。API は公開していないため、境界の mesh.googleapis.com
を制限する必要はありません。
Cloud Service Mesh の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Service Mesh と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
artifactregistry.googleapis.com
詳細
Artifact Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Artifact Registry の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
assuredworkloads.googleapis.com
詳細
Assured Workloads の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Assured Workloads の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Assured Workloads と VPC Service Controls の統合に既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
automl.googleapis.com, eu-automl.googleapis.com
詳細
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
AutoML API(automl.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Compute Engine API(compute.googleapis.com
)
BigQuery API(bigquery.googleapis.com
)
AutoML Natural Language の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
サポートされているリージョン エンドポイント (eu-automl.googleapis.com
など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com
サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com
など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項 をご覧ください。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
automl.googleapis.com, eu-automl.googleapis.com
詳細
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
AutoML API(automl.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Compute Engine API(compute.googleapis.com
)
BigQuery API(bigquery.googleapis.com
)
AutoML Tables の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
サポートされているリージョン エンドポイント (eu-automl.googleapis.com
など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com
サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com
など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
automl.googleapis.com, eu-automl.googleapis.com
詳細
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
AutoML API(automl.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Compute Engine API(compute.googleapis.com
)
BigQuery API(bigquery.googleapis.com
)
AutoML Translation の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
サポートされているリージョン エンドポイント (eu-automl.googleapis.com
など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com
サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com
など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項 をご覧ください。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
automl.googleapis.com, eu-automl.googleapis.com
詳細
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
AutoML API(automl.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Compute Engine API(compute.googleapis.com
)
BigQuery API(bigquery.googleapis.com
)
AutoML Video Intelligence の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
サポートされているリージョン エンドポイント (eu-automl.googleapis.com
など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com
サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com
など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
automl.googleapis.com, eu-automl.googleapis.com
詳細
AutoML API を完全に保護するには、次のすべての API を境界に含めます。
AutoML API(automl.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Compute Engine API(compute.googleapis.com
)
BigQuery API(bigquery.googleapis.com
)
AutoML Vision の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls と統合されているすべての AutoML プロダクトは同じサービス名を使用します。
サポートされているリージョン エンドポイント (eu-automl.googleapis.com
など)を境界内の制限付きサービスのリストに追加することはできません。automl.googleapis.com
サービスを保護すると、サポートされているリージョン エンドポイント(eu-automl.googleapis.com
など)も保護されます。
詳細については、VPC Service Controls で AutoML プロダクトを使用する際の制限事項 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
いいえ。 Bare Metal Solution の API をサービス境界により保護することはできません。
ただし、境界内のプロジェクトで Bare Metal Solution を通常どおり使用できます。
詳細
Bare Metal Solution API は、安全な境界に追加できます。ただし、VPC Service Controls の境界は、リージョン拡張の Bare Metal Solution 環境までは拡張されません。
Bare Metal Solution の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls を Bare Metal Solution 環境に接続しても、サービス コントロールの保証は維持されません。
VPC Service Controls に関する Bare Metal Solution の制限事項の詳細については、既知の問題と制限事項 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
batch.googleapis.com
詳細
Batch の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Batch の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Batch を完全に保護するには、境界に次の API を含める必要があります。
Batch API(batch.googleapis.com
)
Cloud Logging API(logging.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Container Registry API(containerregistry.googleapis.com
)
Artifact Registry API(artifactregistry.googleapis.com
)
Filestore API(file.googleapis.com
)
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
biglake.googleapis.com
詳細
BigLake Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
BigLake Metastore の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls と BigLake Metastore の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
bigquery.googleapis.com
詳細
サービス境界を使用して BigQuery API を保護すると、BigQuery Storage API、BigQuery Reservation API、BigQuery Connection API も保護されます。境界で保護されるサービスのリストにこれらの API を個別に追加する必要はありません。
BigQuery の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービスが複数のリソースに対するアクセスを内部的に処理するため、リクエストで使用されたすべてのリソースが常に BigQuery 監査ログレコードに含まれるわけではありません。
サービス境界で保護された BigQuery インスタンスにアクセスする場合、BigQuery ジョブは境界内のプロジェクト内、または境界の下り(外向き)ルール で許可されたプロジェクト内で実行しなければなりません。デフォルトでは、BigQuery クライアント ライブラリはサービス アカウントまたはユーザーのプロジェクト内でジョブを実行するため、クエリは VPC Service Controls によって拒否されます。
BigQuery は、VPC Service Controls の保護された境界から Google ドライブへのクエリ結果の保存をブロックします。
ID タイプとしてユーザー アカウントを持つ上り(内向き)ルールを使用してアクセス権を付与する場合、Monitoring ページで BigQuery リソース使用率または管理ジョブ エクスプローラを表示できません。これらの機能を使用するには、ID タイプとして ANY_IDENTITY
を使用する上り(内向き)ルール を構成します。
上り(内向き)ルールを使用して BigQuery ユーザーにデータへのアクセス権を付与すると、ユーザーは Google Cloud コンソールを使用してクエリを実行し、結果をローカル ファイルに保存できます。
VPC Service Controls は、BigQuery Enterprise、Enterprise Plus、On-Demand で分析を行う場合にのみサポートされます。
BigQuery Reservation API は部分的にサポートされています。割り当てリソースを作成する BigQuery Reservation API では、割り当て先に対してサービス境界の制限は適用されません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
bigquerydatapolicy.googleapis.com
詳細
BigQuery Data Policy API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。
BigQuery Data Policy API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
BigQuery Data Policy API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
bigquerydatatransfer.googleapis.com
詳細
サービス境界は、BigQuery Data Transfer Service API のみを保護します。実際のデータ保護は BigQuery によって適用されます。BigQuery は、Amazon S3、Redshift、Teradata、YouTube、Google Play、Google 広告などの Google Cloud 以外のさまざまなソースから BigQuery データセットにデータをインポートできるように設計されています。Teradata からデータを移行するための VPC Service Controls の要件については、VPC Service Controls の要件 をご覧ください。
BigQuery Data Transfer Service の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
BigQuery Data Transfer Service は、BigQuery データセットからのデータのエクスポートをサポートしていません。詳細については、テーブルデータのエクスポート をご覧ください。
プロジェクト間でデータを転送するには、宛先と送信元のプロジェクトが同じ境界内にあるか、下り(外向き)ルールで境界外のデータ転送が許可されている必要があります。下り(外向き)ルールの設定については、BigQuery データセットの管理の制限事項 をご覧ください。
BigQuery Data Transfer Service の定期的なオフライン転送実行によって開始された BigQuery ジョブのイングレス違反と下り(外向き)違反には、呼び出し元の IP アドレスやデバイスなどのユーザー コンテキスト情報は含まれません。
BigQuery Data Transfer Service は、サポートされているデータソース に記載されているコネクタのいずれかを使用して、サービス境界で保護されたプロジェクトへのデータ転送のみをサポートしています。BigQuery Data Transfer Service は、他のサードパーティ パートナーが提供するコネクタを使用して、サービス境界で保護されたプロジェクトにデータを転送することをサポートしていません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
bigquerymigration.googleapis.com
詳細
BigQuery Migration API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。
BigQuery Migration API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
BigQuery Migration API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
bigtable.googleapis.com, bigtableadmin.googleapis.com
詳細
bigtable.googleapis.com
サービスと bigtableadmin.googleapis.com
サービスがバンドルされています。境界で bigtable.googleapis.com
サービスを制限すると、デフォルトで bigtableadmin.googleapis.com
サービスが制限されます。bigtableadmin.googleapis.com
サービスは bigtable.googleapis.com
にバンドルされているため、境界の制限付きサービスのリストに追加できません。
Bigtable の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Bigtable と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
binaryauthorization.googleapis.com
詳細
Binary Authorization で複数のプロジェクトを使用する場合は、各プロジェクトを VPC Service Controls の境界に含める必要があります。このユースケースについて詳しくは、マルチプロジェクト設定 をご覧ください。
Binary Authorization では、Artifact Analysis を使用して、認証者と証明書をそれぞれメモとオカレンスとして保存できます。この場合、VPC Service Controls の境界に Artifact Analysis も含める必要があります。詳細については、Artifact Analysis の VPC Service Controls ガイダンス をご覧ください。
Binary Authorization の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Binary Authorization と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
blockchainnodeengine.googleapis.com
詳細
Blockchain Node Engine の API は VPC Service Controls で保護でき、サービス境界内で通常どおり使用できます。
ブロックチェーン ノード エンジンの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ブロックチェーン ノード エンジンと VPC Service Controls の統合には、次の制限事項があります。
VPC Service Controls は、Blockchain Node Engine API のみを保護します。ノードを作成する場合は、引き続き、Private Service Connect を使用して、ノードがユーザーが構成したプライベート ネットワーク用であることを示す必要があります。
ピアツーピア トラフィックは、VPC Service Controls や Private Service Connect の影響を受けず、引き続き公共のインターネットを使用します。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
privateca.googleapis.com
詳細
Certificate Authority Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Certificate Authority Service サービスの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
krmapihosting.googleapis.com
詳細
Config Controller と VPC Service Controls を使用するには、境界内で次の API を有効にする必要があります。
Cloud Monitoring API(monitoring.googleapis.com
)
Container Registry API(containerregistry.googleapis.com
)
Google Cloud Observability API(logging.googleapis.com
)
Security Token Service API(sts.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Config Controller を使用してリソースをプロビジョニングする場合は、サービス境界でそれらのリソースの API を有効にする必要があります。たとえば、IAM サービス アカウントを追加する場合は、IAM API (iam.googleapis.com
)を追加する必要があります。
Config Controller の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Config Controller と VPC Service Controls のインテグレーションに既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
datacatalog.googleapis.com
詳細
Data Catalog は、他の Google Cloud サービスの境界を自動的に考慮 します。
Data Catalog の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Data Catalog と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
datafusion.googleapis.com
詳細
Cloud Data Fusion を VPC Service Controls で保護するには、特別な手順 が必要になります。
Cloud Data Fusion の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。
現在、Cloud Data Fusion データプレーンの UI では、上り(内向き)ルール またはアクセスレベル を使用するアクセスに基づく ID はサポートされていません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
datalineage.googleapis.com
詳細
Data Lineage API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Data Lineage API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Data Lineage API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
compute.googleapis.com
詳細
Compute Engine に対する VPC Service Controls のサポートには、次のセキュリティ上のメリットがあります。
機密性の高い API オペレーションへのアクセスを制限します
永続ディスクのスナップショットとカスタム イメージを境界に制限します
インスタンス メタデータへのアクセスを制限します
Compute Engine に対する VPC Service Controls のサポートにより、サービス境界内で Virtual Private Cloud ネットワークと Google Kubernetes Engine の限定公開クラスタも利用できます。
Compute Engine の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
階層型ファイアウォール はサービス境界の影響を受けません。
VPC ピアリング オペレーションでは、VPC サービス境界の制限は適用されません。
共有 VPC の projects.ListXpnHosts
API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。
サービス境界で保護されているプロジェクトの Cloud Storage から Compute Engine イメージを作成できるようにするには、イメージを作成しているユーザーを上り(内向き)ルール に一時的に追加すべきです。
VPC Service Controls は、サービス境界内の Compute Engine VM 上でオープンソース バージョンの Kubernetes の使用をサポートしていません。
インタラクティブ シリアル コンソールでは、制限付き VIP はサポートされません。シリアル コンソールを使用してインスタンスのトラブルシューティングを行う 必要がある場合は、オンプレミスの DNS 解決を構成して、インターネット経由でコマンドを ssh-serialport.googleapis.com
に送信します。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
contactcenterinsights.googleapis.com
詳細
Conversational Insights を VPC Service Controls で使用するには、インテグレーションに応じて、境界内に次の API を追加する必要があります。
Conversational Insights にデータを読み込むには、サービス境界に Cloud Storage API を追加します。
エクスポート を使用するには、BigQuery API をサービス境界に追加します。
複数の CCAI プロダクトを統合するには、サービス境界に Vertex AI API を追加します。
Conversational Insights の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Conversational Insights と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dataflow.googleapis.com
詳細
Dataflow は複数のストレージ サービス コネクタ をサポートしています。次のコネクタは、サービス境界内の Dataflow で動作することが確認されています。
Dataflow の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Dataflow を使用する場合、カスタム BIND はサポートされません。VPC Service Controls で Dataflow を使用する際の DNS 解決をカスタマイズするには、カスタム BIND サーバーではなく Cloud DNS のプライベート ゾーン を使用します。独自のオンプレミス DNS の解決サービスを使用する場合は、Google Cloud の DNS 転送方法 の使用を検討してください。
垂直自動スケーリング は、VPC Service Controls の境界で保護できません。VPC Service Controls の境界内で垂直自動スケーリングを使用するには、VPC のアクセス可能なサービス機能 を無効にする必要があります。
注意: VPC のアクセス可能なサービスを無効にすると、セキュリティ対策が緩和されます。Dataflow Prime を有効にして VPC Service Controls の境界内で新しいジョブを起動する場合、ジョブは垂直自動スケーリングなしの Dataflow Prime を使用します。
すべてのストレージ サービス コネクタがサービス境界内で Dataflow と併用されているとは限りません。確認済みコネクタの一覧については、前のセクションの「詳細」をご覧ください。
Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用する際、VPC Service Controls を使用してリソースを保護する場合など、ワーカーにプライベート IP アドレスしかない場合、Dataflow ジョブは起動時に失敗します。Dataflow ワーカーがプライベート IP アドレスしか持てない場合(VPC Service Controls を使用してリソースを保護する場合など)、Apache Beam SDK 2.20.0~2.22.0 で Python 3.5 を使用しないでください。この組み合わせを使用すると、起動時にジョブが失敗します。
ステータス
GA
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dataplex.googleapis.com
詳細
Dataplex の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dataplex の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Dataplex リソースを作成する前に、VPC Service Controls のセキュリティ境界を設定します。そうしないと、リソースに境界保護が適用されません。Dataplex では、次のリソースタイプがサポートされています。
湖
データ プロファイルのスキャン
データ品質のスキャン
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dataproc.googleapis.com
詳細
Dataproc を VPC Service Controls で保護するには、特別な手順 が必要になります。
Dataproc の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界で Dataproc クラスタを保護するには、Dataproc と VPC Service Controls のネットワーク の手順に沿って操作します。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dataproc.googleapis.com
詳細
Dataproc Serverless を VPC Service Controls で保護するには、特別な手順 が必要になります。
Dataproc Serverless for Spark の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
サービス境界でサーバーレス ワークロードを保護するには、Dataproc Serverless と VPC Service Controls のネットワーク の手順に沿って操作します。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
metastore.googleapis.com
詳細
Dataproc Metastore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dataproc Metastore の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls と Dataproc Metastore の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
datastream.googleapis.com
詳細
Datastream の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Datastream の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Datastream と VPC Service Controls のインテグレーションには既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
datamigration.googleapis.com
詳細
Database Migration Service の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Database Migration Service の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
サービス境界は、Database Migration Service Admin API のみを保護します。基盤となるデータベース(Cloud SQL インスタンスなど)に対する IP ベースのデータアクセスは保護されません。パブリック IP から Cloud SQL インスタンスへのアクセスを制限するには、組織のポリシーの制約 を使用します。
移行の最初のダンプフェーズで Cloud Storage ファイルを使用する場合は、Cloud Storage バケットを同じサービス境界に追加します。
宛先データベースで顧客管理の暗号鍵(CMEK)を使用する場合は、CMEK が鍵を含む接続プロファイルと同じサービス境界にあることを確認してください。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dialogflow.googleapis.com
詳細
Dialogflow の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Dialogflow の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dlp.googleapis.com
詳細
機密データの保護の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
機密データの保護の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dns.googleapis.com
詳細
Cloud DNS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud DNS の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
documentai.googleapis.com
詳細
Document AI の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Document AI の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Document AI と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
contentwarehouse.googleapis.com
詳細
Document AI ウェアハウスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Document AI ウェアハウスの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Document AI ウェアハウスと VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
domains.googleapis.com
詳細
Cloud Domains の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Domains の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
eventarc.googleapis.com
詳細
サービス境界外の Eventarc Advanced バスは、境界内の Google Cloud プロジェクトからイベントを受信できません。境界内の Eventarc Advanced バスは、境界外のコンシューマにイベントを転送できません。
Eventarc Advanced バスにパブリッシュするには、イベントのソースがバスと同じサービス境界内にある必要があります。
メッセージを使用するには、イベント コンシューマがバスと同じサービス境界内にある必要があります。
Eventarc Advanced の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
サービス境界で保護されているプロジェクトでは、次の制限が適用されます。
サービス境界内に Eventarc Advanced パイプラインを作成することはできません。上り(内向き)のプラットフォーム ログを表示すると、MessageBus
、GoogleApiSource
、Enrollment
リソースに対する VPC Service Controls のサポートを確認できます。ただし、VPC Service Controls の下り(外向き)はテストできません。これらのリソースのいずれかがサービス境界内にある場合、その境界内でイベントをエンドツーエンドで配信するように Eventarc Advanced を設定することはできません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
eventarc.googleapis.com
詳細
Eventarc Standard は、Pub/Sub トピックと push サブスクリプションを使用してイベント配信を処理します。Pub/Sub API にアクセスしてイベント トリガーを管理するには、Eventarc API を Pub/Sub API と同じ VPC Service Controls サービス境界内で保護する必要があります。
Eventarc Standard の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
サービス境界で保護されているプロジェクトでは、次の制限が適用されます。
Eventarc Standard には Pub/Sub と同じ制限が適用されます。
Cloud Run ターゲットにイベントをルーティングする場合は、push エンドポイントがデフォルトの run.app
URL とともに Cloud Run サービスに設定されていない限り、新しい Pub/Sub push サブスクリプションを作成できません(カスタム ドメインは動作しません)。
Pub/Sub push エンドポイントが Workflows 実行に設定されている Workflows ターゲットにイベントをルーティングする場合、新しい Pub/Sub push サブスクリプションは Eventarc Standard 経由でのみ作成できます。
このドキュメントの Pub/Sub の制限事項 をご覧ください。
VPC Service Controls は、内部 HTTP エンドポイント の Eventarc Standard トリガーの作成をブロックします。このような宛先にイベントをルーティングする場合、VPC Service Controls の保護は適用されません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
edgenetwork.googleapis.com
詳細
Distributed Cloud Edge Network API 用の API は VPC Service Controls で保護でき、サービス境界内で通常どおり使用できます。
Distributed Cloud Edge Network API の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Distributed Cloud Edge Network API と VPC Service Controls のインテグレーションには既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
financialservices.googleapis.com
詳細
Anti Money Laundering AI の API は VPC Service Controls で保護することができ、プロダクトはサービス境界内で通常どおり使用することができます。
Anti Money Laundering AI の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Anti Money Laundering AI と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
firebaseappcheck.googleapis.com
詳細
Firebase App Check トークンを構成して交換する場合、VPC Service Controls は Firebase App Check サービスのみを保護します。Firebase App Check に依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。
Firebase App Check の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Firebase App Check と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
firebaserules.googleapis.com
詳細
Firebase セキュリティ ルール ポリシーを管理している場合、VPC Service Controls は Firebase セキュリティ ルール サービスのみを保護します。Firebase セキュリティ ルールに依存するサービスを保護するには、これらのサービスにサービス境界を設定する必要があります。
Firebase セキュリティ ルールの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Firebase セキュリティ ルールの VPC Service Controls との統合に関する既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudfunctions.googleapis.com
詳細
設定手順については、Cloud Run 関数のドキュメント をご覧ください。Cloud Build を使用して Cloud Run Functions がビルドされている場合、VPC Service Controls の保護はビルドフェーズには適用されません。詳細については、既知の制限事項をご覧ください。
Cloud Run Functions の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Run Functions は、Cloud Build、Container Registry、Cloud Storage を使用して、実行可能なコンテナでソースコードをビルドして管理します。これらのサービスのいずれかがサービス境界によって制限されている場合、Cloud Run functions が制限付きサービスとして境界に追加されていない場合でも、VPC Service Controls は Cloud Run functions のビルドをブロックします。サービス境界内で Cloud Run 関数を使用するには、サービス境界で Cloud Build サービス アカウントの内向きルール を構成する必要があります。
npm パッケージなどの外部依存関係を関数で使用できるように、Cloud Build には無制限のインターネット アクセスがあります。このインターネット アクセスは、アップロードされたソースコードなど、ビルド時に使用できるデータを抽出するために使用できます。この抽出ベクトルを軽減する場合は、信頼できるデベロッパーにのみ関数のデプロイを許可することをおすすめします。Cloud Run 関数の オーナー、編集者、デベロッパーの IAM ロール を信頼できないデベロッパーに付与しないでください。
サービス境界に内向きポリシーまたは外向きポリシーを指定すると、ローカルマシン からの Cloud Run 関数 のデプロイに ANY_SERVICE_ACCOUNT
と ANY_USER_ACCOUNT
を ID タイプとして使用できません。
回避策として、ID タイプに ANY_IDENTITY
を使用します。
HTTP トリガーによって Cloud Run 関数サービスが呼び出されると、VPC Service Controls ポリシーの適用でクライアントの IAM 認証情報は使用されません。IAM プリンシパルを使用する VPC Service Controls の上り(内向き)ポリシールールはサポートされません。IAM プリンシパルを使用する VPC Service Controls 境界のアクセスレベルはサポートされません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
iam.googleapis.com
詳細
境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。ワークフォース プールは組織レベルのリソースであるため、境界によってワークフォース プールの処理が制限されることはありません。
IAM 周囲の境界では、Resource Manager プロジェクト、フォルダ、組織、Compute Engine 仮想マシン インスタンスなどの他のサービスが所有するリソースのアクセス管理(つまり、IAM ポリシーの取得や設定)が制限されません 。これらのリソースのアクセス管理を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、IAM ポリシーを受け入れるリソースタイプ をご覧ください。
また、IAM 周囲の境界では、次のような他の API を使用するアクションは制限されません 。
IAM Policy Simulator API
IAM Policy Troubleshooter API
Security Token Service API
Service Account Credentials API(IAM API のレガシー signBlob
メソッドと signJwt
メソッドを含む)
Identity and Access Management の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
境界内にある場合は、空の文字列を使用して roles.list
メソッドを呼び出し、IAM の事前定義ロールを一覧表示することはできません。事前定義ロールを表示する必要がある場合は、IAM ロールのドキュメント をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
iap.googleapis.com
詳細
IAP Admin API を使用すると、ユーザーが IAP を構成できます。
IAP Admin API の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
IAP Admin API と VPC Service Controls のインテグレーションに既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
kmsinventory.googleapis.com
詳細
Cloud KMS Inventory API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud KMS Inventory API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
SearchProtectedResources API メソッドでは、返されるプロジェクトに対してサービス境界の制限は適用されません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
iamcredentials.googleapis.com
詳細
サービス アカウント認証情報用の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
サービス アカウント認証情報の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス アカウント認証情報と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloud.googleapis.com
詳細
Service Metadata API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Metadata API の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Service Metadata API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
vpcaccess.googleapis.com
詳細
サーバーレス VPC アクセスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
サーバーレス VPC アクセスの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サーバーレス VPC アクセスと VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudkms.googleapis.com
詳細
Cloud KMS API は VPC Service Controls で保護でき、プロダクトをサービス境界内で使用できます。Cloud HSM サービスへのアクセスは VPC Service Controls でも保護され、サービス境界内で使用できます。
Cloud Key Management Service の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Key Management Service と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
gameservices.googleapis.com
詳細
Game Servers の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Game Servers の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Game Servers と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudaicompanion.googleapis.com
詳細
Gemini Code Assist の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Gemini Code Assist の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Google Cloud コンソールの Gemini については、デバイス、パブリック IP アドレス、またはロケーションに基づくアクセス制御はサポートされていません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
iaptunnel.googleapis.com
詳細
TCP 用 Identity-Aware Proxy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
TCP 用 Identity-Aware Proxy の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
lifesciences.googleapis.com
詳細
Cloud Life Sciences API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Life Sciences の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Life Sciences と VPC Service Controls の統合には、既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
managedidentities.googleapis.com
詳細
次の場合は追加の構成が必要です。
Managed Service for Microsoft Active Directory の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Managed Service for Microsoft Active Directory と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
recaptchaenterprise.googleapis.com
詳細
reCAPTCHA の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
reCAPTCHA の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
reCAPTCHA と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
webrisk.googleapis.com
詳細
Web Risk の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Web Risk の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Evaluate API と Submission API は VPC Service Controls ではサポートされていません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
recommender.googleapis.com
詳細
Recommender の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Recommender の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
secretmanager.googleapis.com
詳細
Secret Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Secret Manager の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Secret Manager と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
pubsub.googleapis.com
詳細
VPC Service Controls の保護は、すべての管理者オペレーション、パブリッシャー オペレーション、サブスクライバー オペレーションに適用されます(既存の push サブスクリプションを除く)。
Pub/Sub の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界で保護されているプロジェクトでは、次の制限が適用されます。
push エンドポイントがデフォルトの run.app
URL または Workflows の実行で Cloud Run サービスに設定されていない限り、新しい push サブスクリプションを作成できません(カスタム ドメイン は機能しません)。Cloud Run とのインテグレーションの詳細については、VPC Service Controls の使用 をご覧ください。
非 push サブスクリプションの場合、トピックと同じ境界内にサブスクリプションを作成するか、トピックからサブスクリプションへのアクセスを許可する下り(外向き)ルールを有効にする必要があります。
push エンドポイントが Workflows 実行に設定されている Workflows ターゲットに Eventarc を介してイベントをルーティングする場合、新しい push サブスクリプションは Eventarc を介してのみ作成できます。
サービス境界より前に作成された Pub/Sub サブスクリプションはブロックされません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
pubsublite.googleapis.com
詳細
VPC Service Controls の保護は、すべてのサブスクライバー オペレーションに適用されます。
Pub/Sub Lite の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Pub/Sub Lite と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
clouddeploy.googleapis.com
詳細
Cloud Deploy の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Deploy の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Deploy を境界で使用するには、ターゲットの実行環境 に Cloud Build プライベート プールを使用する必要があります。デフォルト(Cloud Build)のワーカープールとハイブリッド プールは使用しないでください。
ステータス
GA
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
composer.googleapis.com
詳細
Composer を VPC Service Controls で使用できるように構成します 。
Cloud Composer の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
DAG のシリアル化を有効にすると、ウェブ UI の機能とともにレンダリングされたテンプレートは表示されません。
DAG のシリアル化が有効の場合、async_dagbag_loader
フラグを True
に設定できません。
DAG のシリアル化を有効にすると、Cloud Composer がデプロイされている VPC ネットワークのセキュリティを損なう可能性があるため、すべての Airflow ウェブサーバー プラグインが無効になります。これは、Airflow オペレーターやセンサーを含む、スケジューラやワーカーのプラグインには影響しません。
Cloud Composer が境界内で実行中は、一般公開 PyPI リポジトリへのアクセスは制限されます。Cloud Composer のドキュメントで Python 依存関係のインストール を確認し、プライベート IP モードで PyPI モジュールをインストールする方法をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudquotas.googleapis.com
詳細
Cloud Quotas の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。
Cloud Quotas の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
run.googleapis.com
詳細
Cloud Run の追加設定が必要です。Cloud Run の VPC Service Controls ドキュメント ページに記載されている手順を行います。
Cloud Run の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Artifact Registry と Container Registry では、コンテナを保存するレジストリが、デプロイ先のプロジェクトと同じ VPC Service Controls の境界内に存在する必要があります。ビルドするコードは、コンテナが push されるレジストリと同じ VPC Service Controls の境界内に存在する必要があります。
VPC Service Controls 境界内のプロジェクトでは、Cloud Run の継続的デプロイ 機能を使用できません。
Cloud Run サービスが呼び出されている場合、VPC Service Controls ポリシーを適用してもクライアントの IAM 認証情報は使用されません。このようなリクエストには次の制限があります。
IAM プリンシパルを使用する VPC Service Controls の上り(内向き)ポリシールールはサポートされません。
IAM プリンシパルを使用する VPC Service Controls 境界のアクセスレベルはサポートされません。
VPC Service Controls 下り(外向き)ポリシーの適用は、制限付き仮想 IP(VIP)アドレス を使用する場合にのみ保証されます。
Cloud Run が VPC でアクセス可能なサービス として構成されていない場合でも、制限なしの VIP に対する同じプロジェクトからのリクエストは許可されます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudscheduler.googleapis.com
詳細
VPC Service Controls は、次のアクションに適用されます。
Cloud Scheduler ジョブの作成
Cloud Scheduler ジョブの更新
Cloud Scheduler の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls は、次のターゲットを持つ Cloud Scheduler ジョブのみをサポートします。
Cloud Run 関数の functions.net
エンドポイント
Cloud Run run.app
エンドポイント
Dataflow API(Cloud Scheduler ジョブと同じ Google Cloud プロジェクトに存在する必要があります)
Data Pipelines(Cloud Scheduler ジョブと同じ Google Cloud プロジェクト内に存在する必要があります)
Pub/Sub(Cloud Scheduler ジョブと同じ Google Cloud プロジェクトに存在する必要があります)
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
spanner.googleapis.com
詳細
Spanner の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Spanner の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Spanner と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
speakerid.googleapis.com
詳細
Speaker ID の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Speaker ID について詳しくは、サービス ドキュメント をご覧ください。
制限事項
Speaker ID と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
storage.googleapis.com
詳細
Cloud Storage の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Storage の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Storage サービスを保護するサービス境界内 のストレージ バケットとともに、リクエスト元による支払い機能 を使用する場合、サービス境界外 の支払いへプロジェクトを指定できません。ターゲット プロジェクトは、ストレージ バケットと同じ境界かバケットのプロジェクトの境界ブリッジ内になければなりません。
リクエスト元による支払いの詳細については、リクエスト元の支払いの使用とアクセスの要件 をご覧ください。
サービス境界内のプロジェクトの場合、Google Cloud コンソールの Cloud Storage ページは、Cloud Storage API がその境界で保護されていればアクセスできません。ページへのアクセスを許可するには、Cloud Storage API へのアクセスを許可するユーザー アカウントまたはパブリック IP 範囲を含む上り(内向き)ルールまたはアクセスレベルを作成する必要があります。
監査ログレコードの resourceName
フィールドに、バケットを所有するプロジェクトが記録されません。プロジェクトは個別に探す必要があります 。
監査ログレコードの methodName
の値が常に正しいとは限りません。Cloud Storage 監査ログレコードを methodName
でフィルタリングしない ようにしてください。
アクセスが拒否されても、Cloud Storage の従来のバケットログをサービス境界外の宛先に書き込める場合があります。
オブジェクトで VPC Service Controls を有効にした後でも、一般公開された Cloud Storage オブジェクトにアクセスできる場合があります。オブジェクトには、組み込みキャッシュで期限切れになるか、エンドユーザーと Cloud Storage 間のネットワーク上のアップストリーム キャッシュで期限切れになるまでアクセスできます。デフォルトでは、Cloud Storage は一般公開されているデータを Cloud Storage ネットワークのキャッシュに保存します。Cloud Storage オブジェクトがキャッシュに保存される方法については、Cloud Storage をご覧ください。オブジェクトがキャッシュに保存される期間については、キャッシュ制御メタデータ をご覧ください。
サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、署名付き URL を使用したすべての Cloud Storage オペレーションの ID タイプとして ANY_SERVICE_ACCOUNT
と ANY_USER_ACCOUNT
を使用できません。
回避策として、ID タイプに ANY_IDENTITY
を使用します。
署名付き URL は、VPC Service Controls をサポートしています。
VPC Service Controls は、署名付き URL を署名したユーザーまたはサービス アカウントの署名認証情報を使用して、接続を開始した呼び出し元またはユーザー認証情報ではなく、VPC Service Controls のチェックを評価します。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudtasks.googleapis.com
詳細
Cloud Tasks の API は VPC Service Controls で保護できます。プロダクトは、サービス境界内で通常どおり使用できます。
Cloud Tasks の実行からの HTTP リクエストは、次のようにサポートされています。
VPC Service Controls 準拠の Cloud Run 関数エンドポイントと Cloud Run エンドポイントへの認証済みリクエストが許可されます。
Cloud Run 関数と Cloud Run 以外のエンドポイントへのリクエストはブロックされます。
VPC Service Controls に準拠していない Cloud Run 関数および Cloud Run エンドポイントへのリクエストはブロックされます。
Cloud Tasks の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls では、次のターゲットに対する Cloud Tasks リクエストのみがサポートされます。
Cloud Run 関数の functions.net
エンドポイント
Cloud Run run.app
エンドポイント
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
sqladmin.googleapis.com
詳細
VPC Service Controls 境界は Cloud SQL Admin API を保護します。
Cloud SQL の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
videointelligence.googleapis.com
詳細
Video Intelligence API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Video Intelligence API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Video Intelligence API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
vision.googleapis.com
詳細
Cloud Vision API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Vision API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls の境界内から公開 URL の呼び出しを許可する下り(外向き)ルールを作成した場合でも、Cloud Vision API は公開 URL の呼び出しをブロックします。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
containeranalysis.googleapis.com
詳細
VPC Service Controls で Artifact Analysis を使用するには、VPC 境界に他のサービスを追加する必要がある場合があります。
Container Scanning API は、Artifact Analysis に結果を格納する Sufaceless API であるため、サービス境界で Container Scanning API を保護する必要はありません。
Artifact Registry の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Artifact Analysis と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
containerregistry.googleapis.com
詳細
Container Registry API が保護されます。また、GKE、Compute Engine をサービス境界内で使用できます。
Container Registry の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、すべてのContainer Registry オペレーションの ID タイプとして ANY_SERVICE_ACCOUNT
と ANY_USER_ACCOUNT
を使用できません。
回避策として、ID のタイプとして ANY_IDENTITY
を使用します。
Container Registry は gcr.io
ドメインを使用するため、*.gcr.io
が private.googleapis.com
または restricted.googleapis.com
にマッピングされるように、DNS を構成 する必要があります。詳細については、サービス境界での Container Registry の保護 をご覧ください。
Container Registry で使用可能な境界内のコンテナに加えて、読み取り専用の次のリポジトリをサービス境界によって適用される制限に関係なくすべてのプロジェクトで使用できます。
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
いずれの場合も、これらのリポジトリのマルチリージョン版も利用できます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
container.googleapis.com
詳細
Google Kubernetes Engine の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Google Kubernetes Engine の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Google Kubernetes Engine API を完全に保護するには、Kubernetes Metadata API(kubernetesmetadata.googleapis.com
)も境界に含める必要があります。
VPC Service Controls を使用して保護できるのは限定公開クラスタのみです。パブリック IP アドレスを持つクラスタは、VPC Service Controls でサポートされていません。
自動スケーリングは GKE とは独立して機能します。VPC Service Controls は autoscaling.googleapis.com
をサポートしていないため、自動スケーリングは機能しません。GKE を使用する場合、監査ログ内の autoscaling.googleapis.com
サービスに起因する SERVICE_NOT_ALLOWED_FROM_VPC
違反は無視できます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
containersecurity.googleapis.com
詳細
Container Security API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Container Security API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Container Security API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
containerfilesystem.googleapis.com
詳細
イメージ ストリーミングは、Artifact Registry に保存されているイメージについて、コンテナ イメージの pull 時間を短縮する GKE データ ストリーミング機能です。VPC Service Controls がコンテナ イメージを保護し、イメージ ストリーミングを使用する場合は、サービス境界に Image Streaming API も含める必要があります。
イメージ ストリーミングの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
gkeconnect.googleapis.com, gkehub.googleapis.com, connectgateway.googleapis.com
詳細
フリート管理 API(Connect gateway を含む)は VPC Service Controls で保護でき、フリート管理機能はサービス境界内で通常どおり使用できます。詳しくは以下をご覧ください。
フリートの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
すべてのフリート管理機能は通常どおり使用できますが、Stackdriver API のサービス境界を有効にすると、Policy Controller フリート機能と Security Command Center との統合が制限されます。
Connect Gateway を使用して GKE クラスタにアクセスする場合、container.googleapis.com
の VPC Service Controls 境界は適用されません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudresourcemanager.googleapis.com
詳細
VPC Service Controls で保護できる Cloud Resource Manager API メソッドは次のとおりです。
Resource Manager の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls を使用して保護できるのは、プロジェクト リソースを直接親とするタグキーと、対応するタグ値のみです。プロジェクトを VPC Service Controls の境界に追加すると、プロジェクト内のすべてのタグキーと対応するタグ値は境界内のリソースとみなされます。
組織リソースを親とするタグキーと、それらに対応するタグ値は、VPC Service Controls の境界に含めることはできず、VPC Service Controls を使用して保護することもできません。
VPC Service Controls の境界内のクライアントは、組織リソースを親とするタグキーと対応する値にアクセスできません。ただし、アクセスを許可する下り(外向き)ルールが境界で設定されている場合を除きます。下り(外向き)ルールの設定の詳細については、上り(内向き)ルールと下り(外向き)ルール をご覧ください。
タグ バインディングは、タグ値がバインドされているリソースと同じ境界内のリソースと見なされます。たとえば、プロジェクト内の Compute Engine インスタンスのタグ バインディングは、タグキーが定義されている場所に関係なく、そのプロジェクトに属しているとみなされます。
Compute Engine などの一部のサービスでは、Resource Manager サービス API に加えて、独自のサービス API を使用してタグ バインディングを作成 できます。たとえば、リソースの作成時に Compute Engine VM にタグを追加します。これらのサービス API を使用して作成または削除されたタグ バインディングを保護するには、対応するサービス(compute.googleapis.com
など)を境界の制限されたサービスのリストに追加します。
タグはメソッドレベルの制限をサポートしているため、method_selectors
のスコープを特定の API メソッドに制限できます。制限付きのメソッドの一覧については、サポートされているサービス メソッドの制限 をご覧ください。
VPC Service Controls により、Google Cloud コンソールでのプロジェクトへのオーナーロールの付与がサポートされるようになりました。オーナーの招待を送信したり、サービス境界外の招待を承諾することはできません。境界外からの招待を承諾しようとすると、オーナーロールは付与されません。また、エラーや警告メッセージは表示されません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
logging.googleapis.com
詳細
Cloud Logging の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Logging の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
集約されたログシンク(includeChildren
が true
のフォルダまたは組織のシンク)は、サービス境界内にあるプロジェクトからデータにアクセスできます。集約されたログシンクが境界内のデータにアクセスするのを制限するには、IAM を使用してフォルダレベルまたは組織レベルの集約ログシンクで Logging 権限を管理することをおすすめします。
VPC Service Controls では、フォルダまたは組織のリソースをサービス境界に追加できません。したがって、VPC Service Controls を使用して、フォルダレベルと組織レベルのログ(集約ログを含む)を保護することはできません。フォルダレベルまたは組織レベルで Logging 権限を管理するには、IAM を使用することをおすすめします。
組織レベルまたはフォルダレベルのログシンクを使用して、サービス境界で保護されるリソースにログをルーティングする場合は、サービス境界に上り(内向き)ルールを追加する必要があります。上り(内向き)ルールで、ログシンクが使用するサービス アカウントからリソースへのアクセスを許可する必要があります。この手順は、プロジェクト レベルのシンクには必要ありません。
詳しくは、以下のページをご覧ください。
サービス境界に上り(内向き)ポリシーまたは下り(外向き)ポリシーを指定すると、Cloud Logging シンクからCloud Storage リソースへのログのエクスポートに ANY_SERVICE_ACCOUNT
と ANY_USER_ACCOUNT
を使用できません。
回避策として、ID タイプに ANY_IDENTITY
を使用します。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
certificatemanager.googleapis.com
詳細
Certificate Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Certificate Manager の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Certificate Manager と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
monitoring.googleapis.com
詳細
Cloud Monitoring の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Monitoring の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
通知チャネル、アラート ポリシー、カスタム指標を組み合わせて、データやメタデータを抽出できます。現時点では、Monitoring のユーザーは、組織外のエンティティを指す通知チャネルを設定できます(例: 「baduser@badcompany.com」)。ユーザーは、通知チャネルを利用するカスタム指標と対応するアラート ポリシーを設定します。その結果、カスタム指標を操作することで、ユーザーは、アラートをトリガーし、VPC Service Controls 境界外の「baduser@badcompany.com」への機密データの流出についてのアラート通知を発動できます。
Monitoring Agent がインストールされている Compute Engine または AWS VM が VPC Service Controls の境界内になければ、エージェント指標の書き込みは失敗します。
GKE Pod は VPC Service Controls の境界内にある必要があり、なければ GKE Monitoring は動作しません。
指標スコープ の指標のクエリの場合、指標スコープのスコープ対象プロジェクトの VPC Service Controls の境界のみが考慮されます。指標スコープ内の個々のモニタリング対象プロジェクトの境界は考慮されません。
プロジェクトを既存の指標スコープ にモニタリング対象プロジェクトとして追加できるのは、そのプロジェクトが指標スコープのスコープ対象プロジェクトと同じ VPC Service Controls 境界にある場合のみです。
サービス境界で保護されているホスト プロジェクトについて Google Cloud コンソールの Monitoring にアクセスするには、上り(内向き)ルール を使用します。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudprofiler.googleapis.com
詳細
Cloud Profiler の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Profiler の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Profiler と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
timeseriesinsights.googleapis.com
詳細
Timeseries Insights API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Timeseries Insights API の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Timeseries Insights API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudtrace.googleapis.com
詳細
Cloud Trace の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Trace の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Trace と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
tpu.googleapis.com
詳細
Cloud TPU の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud TPU の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud TPU と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
language.googleapis.com
詳細
Natural Language API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Natural Language API はステートレス API であり、プロジェクトでは実行されないため、VPC Service Controls を使用して Natural Language API を保護しても効果はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
networkconnectivity.googleapis.com
詳細
Network Connectivity Center の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Network Connectivity Center の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Network Connectivity Center と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudasset.googleapis.com
詳細
Cloud Asset API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Asset API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls では、サービス境界内のリソースとクライアントからのフォルダレベルまたは組織レベルの Cloud Asset API リソースへのアクセスをサポートしていません。VPC Service Controls は、プロジェクト レベルの Cloud Asset API リソースを保護します。下り(外向き)ポリシーを指定すると、境界内のプロジェクトから Cloud Asset API リソースへのプロジェクト レベルでのアクセスを防止できます。
VPC Service Controls では、フォルダレベルまたは組織レベルの Cloud Asset API リソースのサービス境界への追加をサポートしていません。境界を使用してフォルダレベルまたは組織レベルの Cloud Asset API リソースを保護することはできません。フォルダレベルまたは組織レベルで Cloud Asset Inventory の権限を管理するには、IAM を使用することをおすすめします。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
speech.googleapis.com
詳細
Speech-to-Text の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Speech-to-Text の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Speech-to-Text と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
texttospeech.googleapis.com
詳細
Text-to-Speech の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Text-to-Speech の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Text-to-Speech と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
translate.googleapis.com
詳細
Translation の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Translation の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Translation - Advanced(v3)は VPC Service Controls をサポートしていますが、Cloud Translation - Basic(v2)はサポートしていません。VPC Service Controls を適用するには、Cloud Translation - Advanced(v3)を使用する必要があります。各エディションの詳細については、Basic と Advanced の比較 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
livestream.googleapis.com
詳細
Live Stream API で VPC Service Controls を使用 してパイプラインを保護します。
Live Stream API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界で入力エンドポイントを保護するには、手順に沿ってプライベート プールを設定し、プライベート接続で入力動画ストリームを送信する必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
transcoder.googleapis.com
詳細
Transcoder API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Transcoder API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Transcoder API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
videostitcher.googleapis.com
詳細
Video Stitcher API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Video Stitcher API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Video Stitcher API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
accessapproval.googleapis.com
詳細
Access Approval の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Access Approval の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Access Approval と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
healthcare.googleapis.com
詳細
Cloud Healthcare API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Healthcare API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls は、Cloud Healthcare API の顧客管理の暗号鍵(CMEK) をサポートしていません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
storagetransfer.googleapis.com
詳細
Storage Transfer Service プロジェクトは、Cloud Storage リソースと同じサービス境界内に配置することをおすすめします。これにより、転送と Cloud Storage リソースの両方が保護されます。Storage Transfer Service では、下り(外向き)ポリシー を使用して、Storage Transfer Service プロジェクトが Cloud Storage バケットと同じ境界内にないシナリオもサポートしています。
設定情報については、Storage Transfer Service を VPC Service Controls とともに使用する をご覧ください。
Transfer service for on-premises data
オンプレミス用 Transfer の詳細と設定情報については、VPC Service Controls でオンプレミス用 Transfer を使用する をご覧ください。
Storage Transfer Service の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Storage Transfer Service と VPC Service Controls のインテグレーションに既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
servicecontrol.googleapis.com
詳細
Service Control の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Control の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
課金または分析の指標の報告を制限している Service Control を使用して、サービス境界内の VPC ネットワークから Service Control API を呼び出しているときに、VPC Service Controls でサポートされているサービスの指標を報告するには、Service Control レポート を使用する必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
redis.googleapis.com
詳細
Memorystore for Redis の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Redis の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界により Memorystore for Redis API だけが保護されます。同じネットワーク内の Memorystore for Redis インスタンスに対する通常のデータアクセスは保護されません。
Cloud Storage API も保護されている場合、Memorystore for Redis のインポートとエクスポートのオペレーションは、Memorystore for Redis インスタンスと同じサービス境界内の Cloud Storage バケットへの読み取りと書き込みのみができます。
共有 VPC と VPC Service Controls の両方を使用する場合、Redis リクエストを成功させるには、ネットワークを提供するホスト プロジェクトと、Redis インスタンスを含むサービス プロジェクトを同じ境界内に設定する必要があります。随時、ホスト プロジェクトとサービス プロジェクトを境界で分割すると、ブロックされたリクエストだけでなく、Redis インスタンスで障害が発生する可能性があります。詳細については、Memorystore for Redis の構成要件 をご覧ください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
memcache.googleapis.com
詳細
Memorystore for Memcached の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Memorystore for Memcached の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
servicedirectory.googleapis.com
詳細
Service Directory の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Service Directory の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Service Directory と VPC Service Controls の統合に既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
visualinspection.googleapis.com
詳細
Visual Inspection AI を完全に保護するには、次の API をすべて境界に含めます。
Visual Inspection AI API(visualinspection.googleapis.com
)
Vertex AI API(aiplatform.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
Artifact Registry API(artifactregistry.googleapis.com
)
Container Registry API(containerregistry.googleapis.com
)
Visual Inspection AI の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Visual Inspection AI と VPC Service Controls のインテグレーションに既知の制限事項はありません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
いいえ。 Transfer Appliance の API はサービス境界で保護できません。ただし、境界内のプロジェクトで Transfer Appliance を通常どおり使用できます。
詳細
Transfer Appliance は、VPC Service Controls を使用するプロジェクトで完全にサポートされています。
Transfer Appliance は API を提供していないため、VPC Service Controls で API 関連の機能をサポートしていません。
Transfer Appliance の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Storage が VPC Service Controls で保護されている場合、Transfer Appliance チームと共有する Cloud KMS 鍵は、保護対象の Cloud Storage バケットと同じプロジェクト内に存在する必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
orgpolicy.googleapis.com
詳細
組織のポリシーの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
組織のポリシー サービスの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls は、プロジェクトによって継承される、フォルダレベルまたは組織レベルの組織のポリシーに対するアクセス制限をサポートしていません。
VPC Service Controls は、プロジェクト レベルの組織のポリシー サービス API のリソースを保護します。
たとえば、上り(内向き)ルールによってユーザーが組織のポリシー サービス API にアクセスできない場合、そのプロジェクトに適用されている組織のポリシーをクエリすると、403 エラーが発生します。ただし、ユーザーは引き続き、プロジェクトを含むフォルダと組織の組織のポリシーにアクセスできます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
oslogin.googleapis.com
詳細
VPC Service Controls の境界内から OS Login API を呼び出すことができます。VPC Service Controls の境界内から OS Login を管理するには、OS ログインを設定 します。
VM インスタンスへの SSH 接続は、VPC Service Controls で保護されません。
OS Login の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
SSH 認証鍵を読み書きするための OS Login メソッドでは、VPC Service Controls の境界は適用されません。OS Login API へのアクセスを無効にするには、VPC のアクセス可能なサービスを使用します。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
servicehealth.googleapis.com
詳細
Personalized Service Health の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Personalized Service Health の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls は、Service Health API の OrganizationEvents
リソースと OrganizationImpacts
リソースをサポートしていません。したがって、これらのリソースのメソッドを呼び出すときに VPC Service Controls ポリシー チェックは行われません。ただし、制限付き VIP を使用してサービス境界からメソッドを呼び出すことはできます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
osconfig.googleapis.com
詳細
VPC Service Controls の境界内から OS Config API を呼び出すことができます。VPC Service Controls の境界内から VM Manager を使用するには、VM Manager を設定 します。
VM Manager の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VM Manager を完全に保護するには、次のすべての API を境界に含める必要があります。
OS Config API(osconfig.googleapis.com
)
Compute Engine API(compute.googleapis.com
)
Artifact Analysis API(containeranalysis.googleapis.com
)
VM Manager はパッケージとパッチのコンテンツをホストしません。OS Patch Management では、オペレーティング システムの更新ツールを使用して、VM 上でパッケージの更新とパッチを取得する必要があります。パッチ適用が動作するために、Cloud NAT を使用するか、Virtual Private Cloud 内で独自のパッケージ リポジトリまたは Windows Server Update Service をホストすることが必要になる場合があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
workflows.googleapis.com
詳細
Workflows は、定義した順序でサービスを実行するために、Google Cloud サービスと HTTP ベースの API を組み合わせることができるオーケストレーション プラットフォームです。
サービス境界を使用して Workflows API を保護すると、Workflow Executions API も保護されます。境界のリスト(保護されるサービスが含まれる)に workflowexecutions.googleapis.com
を個別に追加する必要はありません。
Workflows の実行からの HTTP リクエストは、次のようにサポートされています。
VPC Service Controls 準拠の Google Cloud エンドポイントへの認証済みリクエスト は許可されます。
Cloud Run 関数および Cloud Run サービス エンドポイントへのリクエストは許可されます。
サードパーティ エンドポイントへのリクエストはブロックされます。
VPC Service Controls に準拠していない Google Cloud エンドポイントへのリクエストはブロックされます。
Workflows の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Workflows と VPC Service Controls のインテグレーションには既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
file.googleapis.com
詳細
Filestore の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Filestore の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界は、Filestore API のみを保護します。同じネットワーク内の Filestore インスタンスへの通常の NFS データアクセスは、境界で保護されません。
共有 VPC と VPC Service Controls の両方を使用する場合、Filestore インスタンスを正常に機能させるには、ネットワークを提供するホスト プロジェクトと、同じ境界内の Filestore インスタンスを含むサービス プロジェクトが必要です。境界でホスト プロジェクトとサービス プロジェクトを分離すると、既存のインスタンスが利用できなくなり、新しいインスタンスを作成できない場合があります。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
parallelstore.googleapis.com
詳細
Parallelstore の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
containerthreatdetection.googleapis.com
詳細
Container Threat Detection の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Container Threat Detection の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Container Threat Detection と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
adsdatahub.googleapis.com
詳細
Ads Data Hub の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。
Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。
依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。
多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
sts.googleapis.com
詳細
VPC Service Controls がトークン交換を制限するのは、リクエストのオーディエンス がプロジェクト レベルのリソースである場合のみです。たとえば、スコープが限定されたトークン のリクエストにはオーディエンスがないため、VPC Service Controls では制限が適用されません。また、オーディエンスは組織レベルのリソースであるため、Workforce Identity Federation のリクエストも制限されません。
Security Token Service の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Ads Data Hub と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。
Ads Data Hub の特定の機能(カスタム オーディエンスの有効化、カスタム入札、LiveRamp のマッチテーブルなど)では、VPC Service Controls の境界外で特定のユーザーデータがエクスポートされる必要があります。Ads Data Hub が制限付きサービスとして追加される場合、それらの機能を維持するため VPC Service Controls ポリシーは適用されません。
依存サービスはすべて、同じ VPC Service Controls の境界で許可されているサービスとして含める必要があります。たとえば、Ads Data Hub は BigQuery に依存しているため、BigQuery も追加する必要があります。一般に、VPC Service Controls のベスト プラクティスでは、「すべてのサービスを制限する」などの境界にすべてのサービスを含めることをおすすめします。
多層の Ads Data Hub アカウント構造(子会社がある代理店など)を持つお客様は、すべての管理プロジェクトを同じ境界内に設定する必要があります。簡単にするため、Ads Data Hub では、多層のアカウント構造を持つお客様は、管理プロジェクトを同じ Google Cloud 組織に制限することをおすすめします。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
詳細
firestore.googleapis.com
、datastore.googleapis.com
、firestorekeyvisualizer.googleapis.com
サービスがバンドルされています。境界で firestore.googleapis.com
サービスを制限すると、境界によって datastore.googleapis.com
サービスと firestorekeyvisualizer.googleapis.com
サービスも制限されます。
datastore.googleapis.com
サービスを制限するには、
firestore.googleapis.com
サービス名 を使用します。
インポートとエクスポートのオペレーションで完全な下り(外向き)保護を実現するには、Firestore サービス エージェントを使用する必要があります。詳しくは以下をご覧ください。
Firestore / Datastore の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Firestore サービス エージェントを使用しない場合は、インポートとエクスポートのオペレーションは完全に保護されません。詳しくは以下をご覧ください。
Datastore 用の App Engine レガシー バンドル サービス はサービス境界をサポートしていません。Datastore サービスをサービス境界で保護すると、App Engine のレガシー バンドル サービスからのトラフィックがブロックされます。レガシー バンドル サービスには以下が含まれます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
vmmigration.googleapis.com
詳細
Migrate to Virtual Machines の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Migrate to Virtual Machines の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
migrationcenter.googleapis.com
rapidmigrationassessment.googleapis.com
詳細
VPC Service Controls を使用すると、Migration Center で収集したインフラストラクチャ データをサービス境界で保護できます。
Migration Center の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
サービス境界を有効にすると、インフラストラクチャ データを StratoZone に転送できなくなります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
backupdr.googleapis.com
詳細
バックアップと DR サービスの API は VPC Service Controls で保護することができ、プロダクトはサービス境界内で通常どおり使用することができます。
バックアップと DR サービスの詳細については、プロダクトのドキュメント をご覧ください。
制限事項
gcloud services vpc-peerings enable-vpc-service-controls
コマンドを使用して、サービス プロデューサー プロジェクトからインターネットのデフォルト ルートを削除すると、管理コンソールにアクセスできなくなるか、デプロイできなくなる場合があります。この問題が発生した場合は、Google Cloud カスタマーケア にお問い合わせください。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
gkebackup.googleapis.com
詳細
VPC Service Controls を使用して GKE のバックアップを保護します。Backup for GKE の機能はサービス境界内で正常に機能します。
Backup for GKE の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Backup for GKE と VPC Service Controls の統合に既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
retail.googleapis.com
詳細
Retail API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Retail API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Retail API と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
integrations.googleapis.com
詳細
Application Integration はコラボレーション ワークフロー管理システムです。これを使用すると、主要なビジネス システムのワークフローを作成、強化、デバッグ、理解できます。
Application Integration のワークフローは、トリガーとタスクで構成されています。
トリガーには複数の種類(API トリガー / Pub/Sub トリガー / cron トリガー / sfdc トリガーなど)があります。
Application Integration の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
connectors.googleapis.com
詳細
Integration Connectors の API は VPC Service Controls で保護できます。プロダクトはサービス境界内で通常どおり使用できます。
Integration Connectors の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls を使用する際に、Google Cloud CLI 以外のリソースに接続する場合は、接続の宛先が Private Service Connect アタッチメント である必要があります。Private Service Connect アタッチメントなしで作成された接続は失敗します。
Google Cloud CLI プロジェクトに VPC Service Controls サービス境界を設定している場合、プロジェクトでイベント サブスクリプション機能 を使用できません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
clouderrorreporting.googleapis.com
詳細
Error Reporting の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Error Reporting の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
新規または繰り返し発生するエラーグループが検出されると、エラーグループに関する情報が通知に含まれます。VPC Service Controls の境界外へのデータの漏えいを防ぐには、通知チャンネルが組織内にあることを確認してください。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
workstations.googleapis.com
詳細
Cloud Workstations の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud Workstations の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Cloud Workstations を完全に保護するには、Cloud Workstations API を制限する場合は常に、サービス境界内の Compute Engine API を制限する必要があります。
Google Cloud Storage API、Google Container Registry API、Artifact Registry API がサービス境界で VPC からアクセスできる ことを確認します。これは、ワークステーションにイメージを pull するために必要です。また、Cloud Logging API と Cloud Error Reporting API にサービス境界で VPC からアクセスできるようにすることをおすすめします。ただし、これは Cloud Workstations の使用には必要ありません。
ワークステーション クラスタが限定公開 であることを確認します。限定公開クラスタを構成すると、VPC サービス境界の外部からワークステーションに接続できなくなります。
ワークステーション構成でパブリック IP アドレスが無効になっていることを確認します。無効にしないと、プロジェクトにパブリック IP アドレスを持つ VM が作成されます。constraints/compute.vmExternalIpAccess
組織のポリシーの制約を使用して、VPC サービス境界内のすべての VM のパブリック IP アドレスを無効にすることを強くおすすめします。詳細については、外部 IP アドレスを特定の VM に制限する をご覧ください。
ワークステーションとの接続中、アクセス制御は接続元のプライベート ネットワークがセキュリティ境界に属しているかどうかのみに基づいて決まります。デバイス、パブリック IP アドレス、または場所に基づくアクセス制御はサポートされていません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
ids.googleapis.com
詳細
Cloud IDS の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud IDS の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Cloud IDS は、Cloud Logging を使用してプロジェクトに脅威ログを作成します。Cloud Logging がサービス境界によって制限されている場合、Cloud IDS が制限付きサービスとして境界に追加されていない場合でも、VPC Service Controls は Cloud IDS の脅威ログをブロックします。サービス境界内で Cloud IDS を使用するには、サービス境界で Cloud Logging サービス アカウントの上り(内向き)ルール を構成する必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
beyondcorp.googleapis.com
詳細
Chrome Enterprise Premium の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Chrome Enterprise Premium と VPC Service Controls の統合に既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
policytroubleshooter.googleapis.com
詳細
Policy Troubleshooter API を境界で制限する場合、リクエストに関連するすべてのリソースが同じ境界内にある場合にのみ、プリンシパルが IAM 許可ポリシーをトラブルシューティングできます。トラブルシューティング リクエストには、通常、次に示す 2 つのリソースが含まれます。
トラブルシューティングを行うアクセス先のリソース。 このリソースは任意の型を指定できます。このリソースは、許可ポリシーのトラブルシューティングで明示的に指定します。
アクセスのトラブルシューティングに使用するリソース。 このリソースは、プロジェクト、フォルダ、または組織です。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、x-goog-user-project
ヘッダーを使用してこのリソースを指定します。
このリソースは、トラブルシューティングを行うアクセス先のリソースと同じリソースを指定できますが、必ずしも同じである必要はありません。
これらのリソースが同じ境界内にない場合、リクエストは失敗します。
Policy Troubleshooter の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Policy Troubleshooter と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
policysimulator.googleapis.com
詳細
Policy Simulator API を境界で制限する場合、シミュレーションに関連する特定のリソースが同じ境界内にある場合にのみ、プリンシパルが許可ポリシーをシミュレートできます。シミュレーションには、いくつかのリソースが含まれます。
許可ポリシーをシミュレーションするリソース。 このリソースは、ターゲット リソースとも呼ばれます。 Google Cloud コンソールでは、これは許可ポリシーを編集するリソースです。gcloud CLI と REST API では、許可ポリシーをシミュレートするときに、このリソースを明示的に指定します。
シミュレーションを作成して実行するプロジェクト、フォルダ、または組織。 このリソースは、 ホストリソースとも呼ばれます。Google Cloud コンソールと gcloud CLI では、このリソースは選択したプロジェクト、フォルダ、または組織に基づいて推測されます。REST API では、x-goog-user-project
ヘッダーを使用してこのリソースを指定します。
このリソースは、トラブルシューティングを行うアクセス先のリソースと同じリソースを指定できますが、必ずしも同じである必要はありません。
シミュレーションでアクセスログを提供するリソース。 シミュレーションでは、シミュレーションのアクセスログを提供するリソースが必ず 1 つあります。このリソースは、ターゲットのリソースタイプによって異なります。
プロジェクトまたは組織の許可ポリシーをシミュレートする場合は、Policy Simulator が対象のプロジェクトまたは組織のアクセスログを取得します。
別の種類のリソースに対して許可ポリシーをシミュレートする場合は、Policy Simulator が対象のリソースの親プロジェクトまたは組織のアクセスログを取得します。
複数のリソースの許可ポリシーを一度にシミュレートする場合、Policy Simulator は、リソースに最も近い共通のプロジェクトまたは組織のアクセスログを取得します。
サポートされているすべてのリソース(関連する許可ポリシー)
Policy Simulator は、シミュレーションを実行するときに、ターゲット リソースの祖先リソースと子孫リソースの許可ポリシーを含めて、ユーザーのアクセス権に影響を与える可能性のあるすべての許可ポリシーを考慮します。その結果、これらの祖先と子孫リソースはシミュレーションにも関与します。
ターゲット リソースとホストリソースが同じ境界内にない場合、リクエストは失敗します。
ターゲット リソースとシミュレーションのアクセス ログを提供するリソースが同じ境界内にない場合、リクエストは失敗します。
ターゲット リソースと、関連する許可ポリシーでサポートされているリソースが同じ境界内にない場合、リクエストは成功しますが、結果は不完全になる可能性があります。たとえば、境界内のプロジェクトのポリシーをシミュレートする場合、組織は常に VPC Service Controls 境界の外部にあるため、結果にはプロジェクトの親組織の許可ポリシーは含まれません。完全な結果を得るには、境界の上り(内向き)ルールと下り(外向き)ルール を構成します。
Policy Simulator の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Policy Simulator と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
essentialcontacts.googleapis.com
詳細
重要な連絡先の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
重要な連絡先の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
重要な連絡先と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
identitytoolkit.googleapis.com, securetoken.googleapis.com
詳細
Identity Platform の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Identity Platform の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Identity Platform を完全に保護するには、サービス境界に Secure Token API(securetoken.googleapis.com
)を追加して、トークンの更新を許可します。securetoken.googleapis.com
は、Google Cloud コンソールの VPC Service Controls ページには表示されません。このサービスは、gcloud access-context-manager perimeters update コマンドでのみ追加できます。
アプリケーションがブロッキング関数機能 と統合されている場合は、Cloud Run 関数(cloudfunctions.googleapis.com
)をサービス境界に追加します。
SMS ベースの多要素認証(MFA)、メール認証、またはサードパーティの ID プロバイダを使用すると、データは境界外に送信されます。SMS、メール認証、サードパーティの ID プロバイダで MFA を使用しない場合は、これらの機能を無効にします。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
gkemulticloud.googleapis.com
詳細
GKE Multi-cloud の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
GKE Multi-cloud の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
GKE Multi-Cloud API を完全に保護するには、Kubernetes Metadata API(kubernetesmetadata.googleapis.com
)も境界に含める必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
gkeonprem.googleapis.com
詳細
Anthos On-Prem API は VPC Service Controls によって保護され、サービス境界内で通常どおり使用できます。
Anthos On-Prem API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
いいえ。 ベアメタル向け Google Distributed Cloud(ソフトウェアのみ)の API はサービス境界で保護できません。ただし、ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)は境界内に存在するプロジェクト内で通常どおり使用できます。
詳細
環境内にクラスタを作成して、Cloud Interconnect または Cloud VPN を使用して作成したクラスタを VPC に接続できます。
ベアメタル用 Google Distributed Cloud(ソフトウェアのみ)の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Bare Metal 用の Google Distributed Cloud(ソフトウェアのみ)を使用してクラスタを作成またはアップグレードする場合は、bmctl
で --skip-api-check
フラグを使用し、Service Usage API(serviceusage.googleapis.com
)の呼び出しをバイパスします。これは、Service Usage API(serviceusage.googleapis.com
)は VPC Service Controls ではサポートされていないためです。Bare Metal 用の Google Distributed Cloud(ソフトウェアのみ)は、Service Usage API を呼び出して、プロジェクト内で必要な API が有効になっていることを検証します。API エンドポイントの到達可能性の検証には使用されません。
クラスタを保護するには、ベアメタル用の Google Distributed Cloud(ソフトウェアのみ)で制限付き VIP を使用し、次のすべての API をサービス境界に追加します。
Artifact Registry API(artifactregistry.googleapis.com
)
Google Cloud Resource Manager API(cloudresourcemanager.googleapis.com
)
Compute Engine API(compute.googleapis.com
)
Connect Gateway API(connectgateway.googleapis.com
)
Google Container Registry API(containerregistry.googleapis.com
)
GKE Connect API(gkeconnect.googleapis.com
)
GKE Hub API(gkehub.googleapis.com
)
GKE On-Prem API(gkeonprem.googleapis.com
)
Cloud IAM API(iam.googleapis.com
)
Cloud Logging API(logging.googleapis.com
)
Cloud Monitoring API(monitoring.googleapis.com
)
Ops API の構成モニタリング(opsconfigmonitoring.googleapis.com
)
Service Control API(servicecontrol.googleapis.com
)
Cloud Storage API(storage.googleapis.com
)
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
ondemandscanning.googleapis.com
詳細
On-Demand Scanning API の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
On-Demand Scanning API の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
On-Demand Scanning API と VPC Service Controls の統合に既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
looker.googleapis.com
詳細
Looker(Google Cloud コア)の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Looker(Google Cloud コア)の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls のコンプライアンスに対応しているのは、プライベート IP 接続を使用する Looker(Google Cloud コア)の Enterprise エディションまたは Embed エディションだけです。Looker(Google Cloud コア)のパブリック IP 接続を使用するインスタンスや、パブリック IP 接続とプライベート IP 接続を使用するインスタンスは、VPC Service Controls のコンプライアンスに対応していません。プライベート IP 接続を使用するインスタンスを作成するには、Google Cloud コンソールの [インスタンスの作成 ] ページの [ネットワーキング ] セクションで [プライベート IP ] を選択します。
VPC Service Controls サービス境界内に Looker(Google Cloud コア)インスタンスを配置または作成する場合は、services.enableVpcServiceControls
メソッドを呼び出すか、次の gcloud
コマンドを実行して、インターネットへのデフォルト ルートを削除する必要があります。gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
デフォルト ルートを削除すると、送信トラフィックが VPC Service Controls 準拠のサービス に制限されます。たとえば、メールの送信に使用される API が VPC Service Controls に準拠していないため、メールの送信は失敗します。
共有 VPC を使用している場合は、Looker(Google Cloud コア)サービス プロジェクトを共有 VPC ホスト プロジェクトと同じサービス境界に含めるか、2 つのプロジェクト間に境界ブリッジ を作成します。Looker(Google Cloud コア)サービス プロジェクトと共有 VPC ホスト プロジェクトが同じ境界にない場合、または境界ブリッジを介して通信できない場合、インスタンスの作成に失敗するか、Looker(Google Cloud コア)インスタンスが正しく機能しない可能性があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
publicca.googleapis.com
詳細
パブリック認証局の API は、VPC Service Controls によって保護され、プロダクトはサービス境界内で通常どおり使用できます。
パブリック認証局の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Public Certificate Authority と VPC Service Controls のインテグレーションに既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
storageinsights.googleapis.com
詳細
Storage Insights の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Storage Insights の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Storage Insights と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
datapipelines.googleapis.com
詳細
Dataflow Data Pipelines を完全に保護するには、境界に次の API をすべて含めます。
Dataflow API(dataflow.googleapis.com
)
Cloud Scheduler API(cloudscheduler.googleapis.com
)
Container Registry API(containerregistry.googleapis.com
)
Dataflow Data Pipelines の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Dataflow Data Pipelines と VPC Service Controls のインテグレーションに既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
securitycenter.googleapis.com,
securitycentermanagement.googleapis.com
詳細
Security Command Center の API は VPC Service Controls で保護でき、Security Command Center はサービス境界内で通常どおり使用できます。
securitycenter.googleapis.com
と securitycentermanagement.googleapis.com
サービスがバンドルされています。境界で securitycenter.googleapis.com
サービスを制限すると、デフォルトで securitycentermanagement.googleapis.com
サービスが制限されます。securitycentermanagement.googleapis.com
サービスは securitycenter.googleapis.com
にバンドルされているため、境界の制限付きサービスのリストに追加できません。
Security Command Center の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls では、フォルダレベル、組織レベルのどちらでも、サービス境界内のリソースやクライアントから Security Command Center API リソースへのアクセスをサポートしていません。VPC Service Controls は、プロジェクト レベルの Security Command Center API リソースを保護します。下り(外向き)ポリシーを指定すると、境界内のプロジェクトから Security Command Center API リソースへのプロジェクト レベルでのアクセスを防止できます。
VPC Service Controls では、フォルダレベルや組織レベルの Security Command Center API リソースのサービス境界への追加をサポートしていません。境界を使用して、フォルダレベルや組織レベルの Security Command Center API リソースを保護することはできません。フォルダレベルまたは組織レベルで Security Command Center の権限を管理するには、IAM を使用することをおすすめします。
セキュリティ対策リソース(対策、対策のデプロイ、事前定義された対策テンプレートなど)は組織レベルのリソースであるため、VPC Service Controls はセキュリティ対策サービス をサポートしていません。
フォルダレベルや組織レベルで、サービス境界内の宛先にアセットをエクスポートすることはできません。
次のシナリオでは、境界アクセスを有効にする必要があります。
フォルダレベルや組織レベルで検出通知を有効にし 、Pub/Sub トピックがサービス境界内にある場合。
フォルダレベルまたは組織レベルから BigQuery にデータをエクスポート し、BigQuery がサービス境界内にある場合。
Security Command Center を SIEM または SOAR プロダクトと統合し、そのプロダクトが Google Cloud 環境のサービス境界内にデプロイされている場合。サポートされている SIEM と SOAR には、Splunk と IBM QRadar があります。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudsupport.googleapis.com
詳細
Cloud カスタマーケアの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Cloud カスタマーケアの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
VPC Service Controls は Cloud Support API を介してアクセスされるデータを保護しますが、Google Cloud コンソールを介してアクセスされるデータは保護しません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
discoveryengine.googleapis.com
詳細
Vertex AI Agent Builder の API - Vertex AI Search は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Vertex AI Agent Builder - Vertex AI Search の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Vertex AI Agent Builder - Vertex AI Search と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
confidentialcomputing.googleapis.com
詳細
Confidential Space の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Confidential Space の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Confidential Space は、構成証明トークンの検証に使用される証明書をダウンロードするために、Cloud Storage バケットへの読み取りアクセス権を必要とします。これらの Cloud Storage バケットが境界外にある場合は、次の下り(外向き)ルール を作成する必要があります。
- egressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: google.storage.objects.get
resources:
- projects/870449385679
- projects/180376494128
egressFrom:
identityType: ANY_IDENTITY
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
ssh-serialport.googleapis.com
詳細
仮想マシン(VM)インスタンスのシリアル コンソールに接続するときに VPC Service Controls 保護を使用するには、サービス境界に上り(内向き)ルール を指定する必要があります。上り(内向き)ルールを設定する場合、送信元のアクセスレベルは、IP に基づく値にして、サービス名を ssh-serialport.googleapis.com
に設定する必要があります。ソース リクエストとターゲット リソースが同じ境界内にある場合でも、シリアル コンソールにアクセスするために上り(内向き)ルールが必要です。
シリアル コンソールの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
限定公開の Google アクセスを使用してシリアル コンソールにアクセスすることはできません。シリアル コンソールには、パブリック インターネットからのみアクセスできます。
シリアル コンソールを使用する場合、ID ベースの上り(内向き)ルールまたは下り(外向き)ルールを使用してシリアル コンソールへのアクセスを許可することはできません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
vmwareengine.googleapis.com
詳細
VMware Engine Service Controls の詳細については、VMware Engine を使用した VPC Service Controls をご覧ください。
Google Cloud VMware Engine の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
既存の VMware Engine ネットワーク、プライベート クラウド、ネットワーク ポリシー、VPC ピアリングを VPC サービス境界に追加する場合、以前に作成されたリソースが引き続き境界のポリシーを遵守しているかどうかは再確認されせん。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
dataform.googleapis.com
詳細
VPC Service Controls を使用して Dataform へのアクセスを管理する方法については、Dataform 用に VPC Service Controls を構成する をご覧ください。
Dataform の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Dataform に対して VPC Service Controls の保護を使用するには、
「dataform.restrictGitRemotes」組織ポリシーを設定 し、Dataform と同じサービス境界で BigQuery を制限する必要があります。Dataform で使用するサービス アカウントに付与されている Identity and Access Management 権限に、セキュリティ アーキテクチャを確実に反映させる必要があります。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
websecurityscanner.googleapis.com
詳細
Web Security Scanner と VPC Service Controls には異なる利用規約が適用されます。詳細については、各プロダクトの利用規約をご覧ください。
Web Security Scanner は、検出結果をオンデマンドで Security Command Center に送信します。データは Security Command Center のダッシュボードで表示またはダウンロードできます。
Web Security Scanner の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Web Security Scanner と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
securesourcemanager.googleapis.com
詳細
Secure Source Manager の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
GKE の制限によって引き起こされた SERVICE_NOT_ALLOWED_FROM_VPC
監査ログの違反は無視できます。
ブラウザで VPC Service Controls ウェブ インターフェースを開くには、ブラウザで次の URL にアクセスする必要があります。https://accounts.google.com
https://LOCATION_OF_INSTANCE -sourcemanagerredirector-pa.client6.google.com
例: https://us-central1-sourcemanagerredirector-pa.client6.google.com
https://lh3.googleusercontent.com
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
apikeys.googleapis.com
詳細
Datastream の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
API キーの詳細については、プロダクトのドキュメント をご覧ください。
制限事項
API キーと VPC Service Controls の統合に既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudcontrolspartner.googleapis.com
詳細
Cloud Controls Partner API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
パートナーによる主権管理のパートナー コンソールについて詳しくは、プロダクト ドキュメント をご覧ください。
制限事項
このサービスは、パートナー以外のすべてのユーザーに対して制限する必要があります。Sovereign Controls by Partners をサポートしているパートナーは、サービス境界を使用してこのサービスを保護できます。
ステータス
ベータ版
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
microservices.googleapis.com
詳細
マイクロサービスの API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
マイクロサービスの詳細については、プロダクト ドキュメント をご覧ください。
制限事項
マイクロサービスと VPC Service Controls の統合には既知の制限事項はありません。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
earthengine.googleapis.com, earthengine-highvolume.googleapis.com
詳細
earthengine.googleapis.com
サービスと earthengine-highvolume.googleapis.com
サービスがバンドルされています。境界で earthengine.googleapis.com
サービスを制限すると、デフォルトで earthengine-highvolume.googleapis.com
サービスが制限されます。earthengine-highvolume.googleapis.com
サービスは earthengine.googleapis.com
にバンドルされているため、境界の制限付きサービスのリストに追加できません。
Earth Engine の詳細については、プロダクト ドキュメント をご覧ください。
制限事項
Earth Engine JavaScript API のウェブベースの IDE である Earth Engine コードエディタ はサポートされておらず、VPC Service Controls では、サービス境界内のリソースおよびクライアントで Earth Engine コードエディタを使用することはできません。
従来のアセット は VPC Service Controls で保護されません。
Google ドライブにエクスポート は、VPC Service Controls ではサポートされていません。
Earth Engine Apps は、サービス境界内のリソースとクライアントではサポートされていません。
VPC Service Controls は、Earth Engine のPremium と Professional の料金プランでのみ使用できます。料金プランの詳細については、
Earth Engine のプラン をご覧ください。
制限と回避策の例については、Earth Engine のアクセス制御のドキュメント をご覧ください。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
apphub.googleapis.com
詳細
App Hub を使用すると、インフラストラクチャ リソースを検出して、アプリケーション別に整理できます。また、VPC Service Controls の境界を使用して App Hub のリソースを保護できます。
App Hub の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
アプリケーションを作成し、サービスとワークロードをアプリケーションに登録する前に、App Hub のホスト プロジェクトとサービス プロジェクトで VPC Service Controls を設定する必要があります。App Hub では、次のリソースタイプがサポートされています。
アプリケーション
検出されたサービス
検出されたワークロード
サービス
サービス プロジェクトの接続
ワークロード
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
cloudcode.googleapis.com
詳細
Cloud Code API は VPC Service Controls で保護できます。Cloud Code で Gemini を活用した機能を使用するには、IDE クライアントからのトラフィックを許可するように上り(内向き)ポリシーを構成する必要があります。詳細については、Gemini のドキュメント をご覧ください。
Cloud Codes の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Cloud Code と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
commerceorggovernance.googleapis.com
詳細
VPC Service Controls の境界は、Google プライベート マーケットプレイスの Commerce Org Governance API を保護します。
Commerce Org Governance API の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Commerce Org Governance API がプロジェクト レベルで作成する調達リクエストやアクセス リクエストなどのリソースは、組織レベルに表示され、VPC Service Controls ポリシーを適用せずに組織管理者によって確認されます。
ステータス
一般提供版 。このプロダクト統合は、VPC Service Controls で完全サポートされています。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
contactcenteraiplatform.googleapis.com
詳細
インターネット トラフィックを制限するには、組織のポリシーを使用します。Google Cloud Contact Center as a Service API の CREATE
メソッドまたは UPDATE
メソッドを呼び出して、手動で組織ポリシーの制約を適用 します。
Google Cloud Contact Center as a Service の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
Google Cloud Contact Center as a Service と VPC Service Controls の統合には既知の制限事項はありません。
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
privilegedaccessmanager.googleapis.com
詳細
Privileged Access Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Privileged Access Manager の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
VPC Service Controls では、フォルダレベルまたは組織レベルのリソースをサービス境界に追加できません。境界を使用して、フォルダレベルまたは組織レベルの Privileged Access Manager リソースを保護することはできません。VPC Service Controls は、プロジェクト レベルの Privileged Access Manager リソースを保護します。
Privileged Access Manager を保護するには、境界に次の API を含める必要があります。
Privileged Access Manager API(privilegedaccessmanager.googleapis.com
)
Cloud Resource Manager API(cloudresourcemanager.googleapis.com
)
Cloud Logging API(logging.googleapis.com
)
Cloud Asset API(cloudasset.googleapis.com
)
ステータス
プレビュー 。このプロダクトと VPC Service Controls のインテグレーションはプレビュー版です。より広範なテストと使用に対応していますが、本番環境で完全にサポートされているものではありません。
境界によって保護されているか
はい。 境界を構成して、このサービスを保護できます。
サービス名
auditmanager.googleapis.com
詳細
Audit Manager の API は VPC Service Controls で保護でき、プロダクトはサービス境界内で通常どおり使用できます。
Audit Manager の詳細については、プロダクトのドキュメント をご覧ください。
制限事項
境界を使用して、フォルダレベルまたは組織レベルの Audit Manager リソースを保護することはできません。フォルダレベルまたは組織レベルで Audit Manager の権限を管理するには、IAM を使用することをおすすめします。
次のシナリオでは、上り(内向き)ルールと下り(外向き)ルール を使用して境界アクセスを有効にする必要があります。