지원되는 제품 및 제한사항

이 페이지에는 VPC 서비스 제어에서 지원하는 제품 및 서비스의 표와 특정 서비스 및 인터페이스의 알려진 제한사항 목록이 포함되어 있습니다.

지원되는 모든 서비스 나열

모든 VPC 서비스 제어 지원 제품과 서비스의 전체 목록을 검색하려면 다음 명령어를 실행합니다.

gcloud access-context-manager supported-services list

제품과 서비스의 목록으로 응답을 받습니다.

NAME                 TITLE             SERVICE_SUPPORT_STAGE   AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS          RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

이 응답에는 다음 값이 포함됩니다.

설명
SERVICE_ADDRESS 제품이나 서비스의 서비스 이름입니다. 예를 들면 aiplatform.googleapis.com입니다.
SERVICE_NAME 제품이나 서비스의 이름입니다. 예를 들면 Vertex AI API입니다.
SERVICE_STATUS VPC 서비스 제어와 서비스 통합의 상태입니다. 사용 가능한 값은 다음과 같습니다.
  • GA: 서비스 통합은 VPC 서비스 제어 경계에서 완전히 지원됩니다.
  • PREVIEW: 서비스 통합을 다양한 테스트와 사용에 사용할 수 있지만 VPC 서비스 제어 경계에서는 이 통합이 프로덕션 환경에 완전히 지원되지 않습니다.
  • DEPRECATED: 서비스 통합이 종료되고 삭제될 예정입니다.
RESTRICTED_VIP_STATUS 제한된 VIP에서 VPC 서비스 제어와 서비스 통합이 지원되는지 지정합니다. 사용 가능한 값은 다음과 같습니다.
  • TRUE: 서비스 통합은 제한된 VIP에서 완전히 지원되며 VPC 서비스 제어 경계로 보호될 수 있습니다.
  • FALSE: 서비스 통합이 제한된 VIP에서 지원되지 않습니다.
제한된 VIP에서 사용할 수 있는 서비스의 전체 목록은 제한된 VIP에서 지원하는 서비스를 참조하세요.
LIMITATIONS_STATUS VPC 서비스 제어와 서비스 통합에 제한사항이 있는지 지정합니다. 사용 가능한 값은 다음과 같습니다.
  • TRUE: VPC 서비스 제어와 서비스 통합에는 알려진 제한사항이 있습니다. 이러한 제한사항에 대해 자세히 알아보려면 지원되는 제품 표에서 해당 서비스 항목을 확인하면 됩니다.
  • FALSE: VPC 서비스 제어와 서비스 통합에는 알려진 제한사항이 없습니다.

서비스에 지원되는 메서드 나열

서비스의 VPC 서비스 제어에서 지원하는 메서드와 권한의 목록을 검색하려면 다음 명령어를 실행합니다.

gcloud access-context-manager supported-services describe SERVICE_ADDRESS

SERVICE_ADDRESS를 제품이나 서비스의 서비스 이름으로 바꿉니다. 예를 들면 aiplatform.googleapis.com입니다.

메서드와 권한의 목록으로 응답을 받습니다.

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
serviceSupportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

이 응답에서 METHODS_LIST는 지정된 서비스의 VPC 서비스 제어에서 지원하는 모든 메서드와 권한을 나열합니다. 지원되는 모든 서비스 메서드와 권한의 전체 목록은 지원되는 서비스 메서드 제한사항을 참조하세요.

지원되는 제품

VPC 서비스 제어에서 지원하는 제품은 다음과 같습니다.

지원되는 제품 설명

Infrastructure Manager

상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
서비스 이름 config.googleapis.com
세부정보

Infrastructure Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

제한사항

경계에서 Infrastructure Manager를 사용하려면 다음 안내를 따르세요.

  • Infrastructure Manager에 사용되는 작업자 풀에 Cloud Build 비공개 풀을 사용해야 합니다. Terraform 제공업체 및 Terraform 구성을 다운로드하려면 이 비공개 풀에 공개 인터넷 호출이 사용 설정되어 있어야 합니다. 기본 Cloud Build 작업자 풀을 사용할 수 없습니다.
  • 다음이 동일한 경계 내에 있어야 합니다.
    • Infrastructure Manager가 사용하는 서비스 계정입니다.
    • Infrastructure Manager가 사용하는 Cloud Build 작업자 풀입니다.
    • Infrastructure Manager가 사용하는 스토리지 버킷입니다. 기본 스토리지 버킷을 사용할 수 있습니다.
  • 워크로드 관리자

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 workloadmanager.googleapis.com
    세부정보

    VPC 서비스 제어 경계에서 워크로드 관리자를 사용하려면 다음 안내를 따르세요.

    • 워크로드 관리자의 배포 환경에서 Cloud Build 비공개 작업자 풀을 사용해야 합니다. 기본 Cloud Build 작업자 풀을 사용할 수 없습니다.
    • Terraform 구성을 다운로드하려면 Cloud Build 비공개 풀에 공개 인터넷 호출이 사용 설정되어 있어야 합니다.

    자세한 내용은 워크로드 관리자 문서의 Cloud Build 비공개 작업자 풀 사용을 참조하세요.

    워크로드 관리자에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    다음 리소스가 동일한 VPC 서비스 제어 서비스 경계에 있어야 합니다.

    • 워크로드 관리자 서비스 계정.
    • Cloud Build 비공개 작업자 풀.
    • 워크로드 관리자가 배포에 사용하는 Cloud Storage 버킷.

    Google Cloud NetApp Volumes

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 netapp.googleapis.com
    세부정보

    VPC 서비스 제어로 Google Cloud NetApp Volumes용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.

    Google Cloud NetApp Volumes에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어에서는 네트워크 파일 시스템(NFS) 및 서버 메시지 블록(SMB) 읽기 및 쓰기와 같은 데이터 영역 경로를 다루지 않습니다. 또한 호스트 프로젝트와 서비스 프로젝트가 서로 다른 경계에 구성된 경우 Google Cloud 서비스 구현에 문제가 발생할 수 있습니다.

    Google Cloud Search

    상태 GA
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudsearch.googleapis.com
    세부정보

    Google Cloud Search는 데이터 보안을 강화할 수 있도록 Virtual Private Cloud Security Control(VPC 서비스 제어)을 지원합니다. VPC 서비스 제어를 사용하면 Google Cloud Platform 리소스 주위에 보안 경계를 정의하여 데이터를 통제하고 데이터 무단 반출 위험을 완화할 수 있습니다.

    Google Cloud Search에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Search 리소스는 Google Cloud 프로젝트에 저장되지 않으므로 VPC 경계 보호 프로젝트로 Cloud Search 고객 설정을 업데이트해야 합니다. VPC 프로젝트는 모든 Cloud Search 리소스의 가상 프로젝트 컨테이너 역할을 합니다. 이 매핑을 작성하지 않으면 VPC 서비스 제어가 Cloud Search API에서 작동하지 않습니다.

    Google Cloud Search에서 VPC 서비스 제어를 사용 설정하는 전체 단계는 Google Cloud Search의 보안 강화를 참조하세요.

    연결 테스트

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 networkmanagement.googleapis.com
    세부정보

    연결 테스트에 사용되는 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    연결 테스트에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    연결 테스트를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    AI Platform Prediction

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 ml.googleapis.com
    세부정보

    VPC 서비스 제어는 온라인 예측을 지원하지만 일괄 예측은 지원하지 않습니다.

    AI Platform Prediction에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • AI Platform Prediction을 완벽하게 보호하려면 서비스 경계에 다음 API를 모두 추가합니다.

      • AI Platform Training 및 Prediction API(ml.googleapis.com)
      • Pub/Sub API(pubsub.googleapis.com)
      • Cloud Storage API(storage.googleapis.com)
      • Google Kubernetes Engine API(container.googleapis.com)
      • Container Registry API(containerregistry.googleapis.com)
      • Cloud Logging API(logging.googleapis.com)

      AI Platform Prediction용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

    • 서비스 경계 내에서 AI Platform Prediction을 사용할 경우 일괄 예측은 지원되지 않습니다.

    • AI Platform Prediction과 AI Platform Training은 AI Platform Training 및 Prediction API를 사용하므로 두 제품 모두에 대해 VPC 서비스 제어를 구성해야 합니다. AI Platform Training용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

    AI Platform Training

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 ml.googleapis.com
    세부정보

    AI Platform Training용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    AI Platform Training에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • AI Platform Training 학습 작업을 완벽하게 보호하려면 다음 API를 서비스 경계에 모두 추가합니다.

      • AI Platform Training 및 Prediction API(ml.googleapis.com)
      • Pub/Sub API(pubsub.googleapis.com)
      • Cloud Storage API(storage.googleapis.com)
      • Google Kubernetes Engine API(container.googleapis.com)
      • Container Registry API(containerregistry.googleapis.com)
      • Cloud Logging API(logging.googleapis.com)

      AI Platform Training용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

    • 서비스 경계 내에서 AI Platform Training을 사용할 경우 TPU를 사용한 학습은 지원되지 않습니다.

    • AI Platform Training과 AI Platform Prediction은 AI Platform Training 및 Prediction API를 사용하므로 두 제품 모두에 대해 VPC 서비스 제어를 구성해야 합니다. AI Platform Prediction용 VPC 서비스 제어 설정에 대해 자세히 알아보세요.

    PostgreSQL용 AlloyDB

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 alloydb.googleapis.com
    세부정보

    VPC 서비스 제어 경계는 AlloyDB API를 보호합니다.

    PostgreSQL용 AlloyDB에 대한 상세 설명은 제품 문서를 참조하세요.

    제한사항

    • 서비스 경계는 PostgreSQL용 AlloyDB Admin API만 보호합니다. PostgreSQL용 AlloyDB 인스턴스와 같은 기본 데이터베이스에 대한 IP 기반 데이터 액세스는 보호되지 않습니다. PostgreSQL용 AlloyDB 인스턴스의 공개 IP 액세스를 제한하려면 조직 정책 제약조건을 사용합니다.
    • PostgreSQL용 AlloyDB에 대한 VPC 서비스 제어를 구성하기 전에 Service Networking API를 사용 설정합니다.
    • 공유 VPC 및 VPC 서비스 제어와 함께 PostgreSQL용 AlloyDB를 사용할 때 호스트 프로젝트와 서비스 프로젝트가 동일한 VPC 서비스 제어 서비스 경계에 있어야 합니다.

    Vertex AI Workbench

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 notebooks.googleapis.com
    세부정보

    Vertex AI Workbench용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Vertex AI Workbench에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    제한사항에 대한 자세한 내용은 Vertex AI Workbench 문서의 Vertex AI Workbench 인스턴스의 서비스 경계, 사용자 관리 노트북의 서비스 경계, 관리형 노트북의 서비스 경계를 참조하세요.

    Vertex AI

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 aiplatform.googleapis.com
    세부정보

    Vertex AI용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Colab Enterprise를 참조하세요.

    Vertex AI에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    제한사항에 대한 자세한 내용은 Vertex AI 문서의 제한사항을 참조하세요.

    Vertex AI Vision

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 visionai.googleapis.com
    세부정보

    Vertex AI Vision용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Vertex AI Vision에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    constraints/visionai.disablePublicEndpoint가 사용되면 클러스터의 공개 엔드포인트가 사용 중지됩니다. 사용자는 수동으로 PSC 대상에 연결하고 비공개 네트워크에서 서비스에 액세스해야 합니다. cluster 리소스에서 PSC 대상을 가져올 수 있습니다.

    Firebase용 Vertex AI

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 firebasevertexai.googleapis.com
    세부정보

    Vertex AI in Firebase용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Vertex AI in Firebase에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항
    • Vertex AI in Firebase API는 트래픽을 Vertex AI API(aiplatform.googleapis.com)로 프록시합니다.
    • Vertex AI in Firebase API에 대한 트래픽은 항상 서비스 경계 외부에 있는 모바일 또는 브라우저 클라이언트에서 발생하도록 되어 있습니다. 따라서 명시적인 인그레스 정책을 구성해야 합니다.

      서비스 경계 내에서 Vertex AI API에 연결해야 하는 경우 Vertex AI API를 직접 사용하거나 서버 SDK, Firebase Genkit 중 하나를 통해서나 Vertex AI API 서버 측에 액세스하는 데 사용할 수 있는 다른 서비스를 사용하는 것이 좋습니다.

    Colab Enterprise

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 aiplatform.googleapis.com
    세부정보

    Colab Enterprise용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Colab Enterprise는 Vertex AI의 일부입니다. Vertex AI를 참조하세요.

    Colab Enterprise는 Dataform을 사용하여 노트북을 저장합니다. Dataform을 참조하세요.

    Colab Enterprise에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    제한사항에 대한 자세한 내용은 Colab Enterprise 문서의 알려진 제한사항을 참조하세요.

    Apigee 및 Apigee Hybrid

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 apigee.googleapis.com,
    apigeeconnect.googleapis.com
    세부정보

    Apigee 및 Apigee Hybrid용 API는 VPC 서비스 제어로 보호할 수 있으며, 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Apigee 및 Apigee Hybrid에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와 Apigee 통합에는 다음과 같은 제한사항이 있습니다.

    • 통합 포털을 구성하려면 추가 단계가 필요합니다.
    • 서비스 경계 내에 Drupal 포털을 배포해야 합니다.

    Analytics Hub

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 analyticshub.googleapis.com
    세부정보 VPC 서비스 제어는 데이터 교환목록을 보호합니다. 서비스 경계를 사용하여 공유연결된 데이터 세트를 보호하려면 BigQuery API를 사용합니다. 자세한 내용은 Analytics Hub VPC 서비스 제어 규칙을 참조하세요.

    Analytics Hub에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    Analytics Hub는 메서드 기반 규칙을 지원하지 않으며 모든 메서드를 허용해야 합니다. 자세한 내용은 Analytics Hub VPC 서비스 제어 규칙 제한사항을 참조하세요.

    Cloud Service Mesh

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 meshca.googleapis.com,
    meshconfig.googleapis.com,
    trafficdirector.googleapis.com,
    networkservices.googleapis.com,
    networksecurity.googleapis.com
    세부정보

    Cloud Service Mesh용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    mesh.googleapis.com을 사용하여 Cloud Service Mesh에 필요한 API를 사용 설정할 수 있습니다. 경계는 API를 노출하지 않으므로 경계에서 mesh.googleapis.com을 제한할 필요가 없습니다.

    Cloud Service Mesh에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Service Mesh를 VPC 서비스 제어와 통합하는 경우 알려진 제한사항은 없습니다.

    Artifact Registry

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 artifactregistry.googleapis.com
    세부정보

    Artifact Registry API를 보호하는 것 외에도 GKE 및 Compute Engine과 함께 서비스 경계 내에서 Artifact Registry를 사용할 수 있습니다.

    Artifact Registry에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • Artifact Registry는 pkg.dev 도메인을 사용하므로 *.pkg.devprivate.googleapis.com 또는 restricted.googleapis.com에 매핑될 수 있도록 DNS를 구성해야 합니다. 자세한 내용은 서비스 경계에서 저장소 보호를 참조하세요.
    • Artifact Registry에서 사용 가능한 경계 내에 있는 아티팩트 외에도, Container Registry 저장소의 다음과 같은 읽기 전용 저장소는 서비스 경계에 관계없이 모든 프로젝트에서 사용 가능합니다.

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      모든 경우에 해당 저장소의 리전별 버전도 사용할 수 있습니다.

    Assured Workloads

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 assuredworkloads.googleapis.com
    세부정보

    Assured Workloads용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Assured Workloads에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Assured Workloads를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    AutoML Natural Language

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 automl.googleapis.com,
    eu-automl.googleapis.com
    세부정보

    AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

    • AutoML API(automl.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Compute Engine API(compute.googleapis.com)
    • BigQuery API(bigquery.googleapis.com)

    AutoML Natural Language에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 이름을 사용합니다.
    • 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다. automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.

    자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

    AutoML Tables

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 automl.googleapis.com,
    eu-automl.googleapis.com
    세부정보

    AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

    • AutoML API(automl.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Compute Engine API(compute.googleapis.com)
    • BigQuery API(bigquery.googleapis.com)

    AutoML Tables에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 이름을 사용합니다.
    • 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다. automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.

    자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

    AutoML Translation

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 automl.googleapis.com,
    eu-automl.googleapis.com
    세부정보

    AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

    • AutoML API(automl.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Compute Engine API(compute.googleapis.com)
    • BigQuery API(bigquery.googleapis.com)

    AutoML Translation에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 이름을 사용합니다.
    • 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다. automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.

    자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

    AutoML Video Intelligence

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 automl.googleapis.com,
    eu-automl.googleapis.com
    세부정보

    AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

    • AutoML API(automl.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Compute Engine API(compute.googleapis.com)
    • BigQuery API(bigquery.googleapis.com)

    AutoML Video Intelligence에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 이름을 사용합니다.
    • 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다. automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.

    자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

    AutoML Vision

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 automl.googleapis.com,
    eu-automl.googleapis.com
    세부정보

    AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

    • AutoML API(automl.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Compute Engine API(compute.googleapis.com)
    • BigQuery API(bigquery.googleapis.com)

    AutoML Vision에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어와 통합된 모든 AutoML 제품은 동일한 서비스 이름을 사용합니다.
    • 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다. automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.

    자세한 내용은 VPC 서비스 제어에서 AutoML 제품을 사용할 때 제한사항을 참조하세요.

    베어메탈 솔루션

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 아니요. 베어메탈 솔루션용 API는 서비스 경계로 보호할 수 없습니다. 하지만 베어메탈 솔루션은 경계 내부의 프로젝트에서 정상적으로 사용할 수 있습니다.
    세부정보

    베어메탈 솔루션 API는 보안 경계에 추가할 수 있습니다. 하지만 VPC 서비스 제어 경계는 리전별 확장 프로그램의 베어메탈 솔루션 환경으로 확장되지 않습니다.

    베어메탈 솔루션에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    베어메탈 솔루션 환경에 VPC 서비스 제어를 연결해도 서비스 제어가 보장되지 않습니다.

    VPC 서비스 제어와 관련된 베어메탈 솔루션 제한사항에 대한 자세한 내용은 알려진 문제 및 제한사항을 참조하세요.

    Batch

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 batch.googleapis.com
    세부정보

    Batch용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Batch에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    Batch를 완벽하게 보호하려면 경계에 다음 API를 포함해야 합니다.
    • Batch API(batch.googleapis.com)
    • Cloud Logging API(logging.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Container Registry API(containerregistry.googleapis.com)
    • Artifact Registry API(artifactregistry.googleapis.com)
    • Filestore API(file.googleapis.com)

    BigLake Metastore

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 biglake.googleapis.com
    세부정보

    BigLake Metastore용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    BigLake Metastore에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    BigLake Metastore와 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

    BigQuery

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 bigquery.googleapis.com
    세부정보

    서비스 경계를 사용하여 BigQuery API를 보호하면 BigQuery Storage API, BigQuery Reservation API, BigQuery Connection API도 보호됩니다. 경계의 보호되는 서비스 목록에 이러한 API를 별도로 추가할 필요가 없습니다.

    BigQuery에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • BigQuery 감사 로그 레코드는 내부적으로 여러 리소스에 대한 액세스를 처리하는 서비스로 인해 요청 실행 시 사용된 모든 리소스를 항상 포함하지는 않습니다.

    • 서비스 경계로 보호되는 BigQuery 인스턴스에 액세스할 때 BigQuery 작업은 경계 내 프로젝트 또는 경계의 이그레스 규칙에서 허용하는 프로젝트에서 실행해야 합니다. 기본적으로 BigQuery 클라이언트 라이브러리는 서비스 계정 또는 사용자 프로젝트 내에서 작업을 실행하므로 VPC 서비스 제어에 의해 쿼리가 거부됩니다.

    • BigQuery는 VPC 서비스 제어로 보호되는 경계에서 Google Drive에 쿼리 결과를 저장하는 것을 차단합니다.

    • ID 유형이 사용자 계정인 인그레스 규칙을 사용하여 액세스 권한을 부여하면 Monitoring 페이지에서 BigQuery 리소스 사용률 또는 관리 작업 탐색기를 볼 수 없습니다. 이 기능을 사용하려면 ANY_IDENTITY를 ID 유형으로 사용하는 인그레스 규칙을 구성합니다.

    • 인그레스 규칙을 사용하여 BigQuery 사용자에게 데이터 액세스 권한을 부여하면 사용자가 Google Cloud 콘솔을 사용하여 결과를 쿼리하고 로컬 파일에 저장할 수 있습니다.

    • VPC 서비스 제어는 BigQuery Enterprise, Enterprise Plus 또는 On-Demand를 통해 분석을 수행할 때만 지원됩니다.

    • BigQuery Reservation API는 부분적으로 지원됩니다. 할당 리소스를 만드는 BigQuery Reservation API는 할당 담당자에 서비스 경계 제한을 적용하지 않습니다.

    BigQuery Data Policy API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 bigquerydatapolicy.googleapis.com
    세부정보

    BigQuery Data Policy API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    BigQuery Data Policy API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    BigQuery Data Policy API를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    BigQuery Data Transfer Service

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 bigquerydatatransfer.googleapis.com
    세부정보

    서비스 경계는 BigQuery Data Transfer Service API만 보호합니다. BigQuery에서 실제 데이터 보호를 적용합니다. 이는 Amazon S3, Redshift, Teradata, YouTube, Google Play, Google Ads와 같은 Google Cloud 외부의 다양한 외부 소스에서 BigQuery 데이터 세트로 데이터를 가져올 수 있도록 설계되었습니다. Teradata에서 데이터를 마이그레이션하기 위한 VPC 서비스 제어 요구사항에 대한 자세한 내용은 VPC 서비스 제어 요구사항을 참조하세요.

    BigQuery Data Transfer Service에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • BigQuery Data Transfer Service는 BigQuery 데이터 세트에서 데이터를 내보내는 기능을 지원하지 않습니다. 자세한 내용은 테이블 데이터 내보내기를 참조하세요.
    • 프로젝트 간에 데이터를 전송하려면 대상 프로젝트가 소스 프로젝트와 동일한 경계 내에 있어야 합니다. 아니면 이그레스 규칙에서 경계 외부로의 데이터 전송을 허용해야 합니다. 이그레스 규칙 설정에 대한 자세한 내용은 BigQuery 데이터 세트 관리 제한사항을 참고하세요.
    • BigQuery Data Transfer Service의 반복 오프라인 전송 실행으로 시작된 BigQuery 작업의 인그레스 및 이그레스 위반에는 호출자 IP 주소 및 기기와 같은 사용자 컨텍스트 정보가 포함되지 않습니다.
    • BigQuery Data Transfer Service는 지원되는 데이터 소스에 나열된 커넥터 중 하나를 사용하여 서비스 경계로 보호되는 프로젝트로의 데이터 전송만 지원합니다. BigQuery Data Transfer Service는 다른 서드 파티 파트너가 제공하는 커넥터를 사용하여 서비스 경계로 보호되는 프로젝트로 데이터를 전송하는 기능을 지원하지 않습니다.

    BigQuery Migration API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 bigquerymigration.googleapis.com
    세부정보

    BigQuery Migration API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    BigQuery Migration API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    BigQuery Migration API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Bigtable

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 bigtable.googleapis.com,
    bigtableadmin.googleapis.com
    세부정보

    bigtable.googleapis.combigtableadmin.googleapis.com 서비스는 함께 번들로 제공됩니다. 경계에서 bigtable.googleapis.com 서비스를 제한하면 경계가 기본적으로 bigtableadmin.googleapis.com 서비스를 제한합니다. bigtableadmin.googleapis.com 서비스는 bigtable.googleapis.com와 함께 번들로 제공되므로 경계의 제한된 서비스 목록에 추가할 수 없습니다.

    Bigtable에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    VPC 서비스 제어와 Bigtable 통합에는 알려진 제한사항이 없습니다.

    Binary Authorization

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 binaryauthorization.googleapis.com
    세부정보

    Binary Authorization으로 여러 프로젝트를 사용하는 경우 각 프로젝트를 VPC 서비스 제어 경계에 포함해야 합니다. 이 사용 사례에 대한 자세한 내용은 다중 프로젝트 설정을 참조하세요.

    Binary Authorization에서는 Artifact Analysis를 사용하여 증명자 및 증명을 각각 메모 및 어커런스로 저장할 수 있습니다. 이 경우 VPC 서비스 제어 경계에도 Artifact Analysis를 포함해야 합니다. 자세한 내용은 Artifact Analysis를 위한 VPC 서비스 제어 안내를 참조하세요.

    Binary Authorization에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Binary Authorization을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    블록체인 노드 엔진

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 blockchainnodeengine.googleapis.com
    세부정보

    블록체인 노드 엔진용 API는 VPC 서비스 제어로 보호되며 서비스 경계 내에서 일반적으로 사용될 수 있습니다.

    블록체인 노드 엔진에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    블록체인 노드 엔진과 VPC 서비스 제어 통합에는 다음과 같은 제한사항이 있습니다.

    • VPC 서비스 제어는 블록체인 노드 엔진 API만 보호합니다. 노드가 생성될 때 여전히 Private Service Connect로 사용자 구성 비공개 네트워크를 위한 노드임을 표시해야 합니다.
    • P2P 트래픽은 VPC 서비스 제어 또는 Private Service Connect의 영향을 받지 않으며 공개 인터넷을 계속 사용합니다.

    Certificate Authority Service

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 privateca.googleapis.com
    세부정보

    Certificate Authority Service용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Certificate Authority Service에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • 보호된 환경에서 Certificate Authority Service를 사용하려면 Cloud KMS API(cloudkms.googleapis.com)와 Cloud Storage API(storage.googleapis.com)도 서비스 경계에 추가해야 합니다.

    구성 컨트롤러

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 krmapihosting.googleapis.com
    세부정보

    VPC 서비스 제어에서 구성 컨트롤러를 사용하려면 경계 내에서 다음 API를 사용 설정해야 합니다.

    • Cloud Monitoring API(monitoring.googleapis.com)
    • Container Registry API(containerregistry.googleapis.com)
    • Google Cloud Observability API(logging.googleapis.com)
    • 보안 토큰 서비스 API (sts.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)

    구성 컨트롤러로 리소스를 프로비저닝하는 경우 서비스 경계에서 해당 리소스에 대해 API를 사용 설정해야 합니다. 예를 들어 IAM 서비스 계정을 추가하려면 IAM API(iam.googleapis.com)를 추가해야 합니다.

    구성 컨트롤러에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    구성 컨트롤러를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    Data Catalog

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 datacatalog.googleapis.com
    세부정보 Data Catalog는 다른 Google Cloud 서비스 주변의 경계를 자동으로 고려합니다.

    Data Catalog에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Data Catalog를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Data Fusion

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 datafusion.googleapis.com
    세부정보

    VPC 서비스 제어로 Cloud Data Fusion을 보호하려면 몇 가지 특별 단계를 수행해야 합니다.

    Cloud Data Fusion에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • Cloud Data Fusion 비공개 인스턴스를 만들기 전에 VPC 서비스 제어 보안 경계를 설정합니다. VPC 서비스 제어를 설정하기 전에 만든 인스턴스의 경계 보호는 지원되지 않습니다.

    • 현재 Cloud Data Fusion 데이터 영역 UI에서는 인그레스 규칙 또는 액세스 수준을 사용한 ID 기반 액세스를 지원하지 않습니다.

    Data Lineage API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 datalineage.googleapis.com
    세부정보

    Data Lineage API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Data Lineage API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와의 Data Lineage API 통합에는 알려진 제한사항이 없습니다.

    Compute Engine

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 compute.googleapis.com
    세부정보

    Compute Engine에 대한 VPC 서비스 제어 지원은 다음과 같은 보안 이점을 제공합니다.

    • 민감한 API 작업에 대한 액세스 제한
    • 영구 디스크 스냅샷과 커스텀 이미지를 경계로 제한
    • 인스턴스 메타데이터에 대한 액세스 제한

    Compute Engine에 대한 VPC 서비스 제어 지원을 통해 서비스 경계 내에서 Virtual Private Cloud 네트워크 및 Google Kubernetes Engine 비공개 클러스터를 활용할 수 있습니다.

    Compute Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • 계층식 방화벽은 서비스 경계의 영향을 받지 않습니다.

    • VPC 피어링 작업은 VPC 서비스 경계 제한을 적용하지 않습니다.

    • 공유 VPC의 projects.ListXpnHosts API 메서드는 반환된 프로젝트에 서비스 경계 제한을 적용하지 않습니다.

    • 서비스 경계로 보호되는 프로젝트의 Cloud Storage에서 Compute Engine 이미지 만들기를 사용 설정하려면 해당 경계의 인그레스 규칙에 임시로 이미지를 만드는 사용자를 추가해야 합니다.

    • VPC 서비스 제어는 서비스 경계 내의 Compute Engine VM에서 Kubernetes의 오픈소스 버전을 사용할 수 없습니다.

    • 대화형 직렬 콘솔은 제한된 VIP를 지원하지 않습니다. 직렬 콘솔을 사용하여 인스턴스 문제를 해결해야 하는 경우 온프레미스 DNS 변환에서 인터넷을 통해 ssh-serialport.googleapis.com에 명령어를 보내도록 구성합니다.

    대화형 인사이트

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 contactcenterinsights.googleapis.com
    세부정보

    VPC 서비스 제어와 Conversational Insights를 사용하려면 통합에 따라 경계 내에 다음과 같은 추가 API가 있어야 합니다.

    • Conversational Insights에 데이터를 로드하려면 Cloud Storage API를 서비스 경계에 추가합니다.

    • 내보내기를 사용하려면 서비스 경계에 BigQuery API를 추가합니다.

    • 여러 CCAI 제품을 통합하려면 Vertex AI API를 서비스 경계에 추가합니다.

    Conversational Insights에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    VPC 서비스 제어와 Conversational Insights 통합에는 알려진 제한사항이 없습니다.

    Dataflow

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dataflow.googleapis.com
    세부정보

    Dataflow는 여러 스토리지 서비스 커넥터를 지원합니다. 다음 커넥터는 서비스 경계 내에서 Dataflow와 함께 작동하도록 확인되었습니다.

    Dataflow에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • Dataflow를 사용할 때는 커스텀 BIND가 지원되지 않습니다. VPC 서비스 제어에 Dataflow를 사용할 때 DNS 확인을 맞춤설정하려면 커스텀 BIND 서버를 사용하는 대신 Cloud DNS 비공개 영역을 사용합니다. 고유한 온프레미스 DNS 확인을 사용하려면 Google Cloud DNS 전달 방법을 사용하는 것이 좋습니다.

    • 수직 자동 확장은 VPC 서비스 제어 경계로 보호할 수 없습니다. VPC 서비스 제어 경계에서 수직 자동 확장을 사용하려면 VPC 액세스 가능 서비스 기능을 사용 중지해야 합니다.

    • Dataflow Prime을 사용 설정하고 VPC 서비스 제어 경계로 새 작업을 시작하면 작업에 수직 자동 확장이 없는 Dataflow Prime이 사용됩니다.

    • 일부 스토리지 서비스 커넥터는 서비스 경계 내에서 Dataflow와 함께 사용할 때 작동하도록 확인되었습니다. 확인된 커넥터 목록은 이전 섹션의 '세부정보'를 참조하세요.

    • Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용할 때 작업자가 VPC 서비스 제어를 사용하여 리소스를 보호하는 경우와 같이 비공개 IP 주소만 있는 경우 Dataflow 작업이 실패합니다. 리소스 보호를 위해 VPC 서비스 제어를 사용하는 경우처럼 Dataflow 작업자에게 비공개 IP 주소만 있는 경우 Apache Beam SDK 2.20.0~2.22.0과 Python 3.5를 함께 사용하지 마세요. 이 조합으로 사용하면 시작 시 작업이 실패합니다.

    Dataplex

    상태 GA
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dataplex.googleapis.com
    세부정보

    Dataplex용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Dataplex에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Dataplex 리소스를 만들기 전에 VPC 서비스 제어 보안 경계를 설정합니다. 그렇지 않으면 리소스에 경계 보호가 없습니다. Dataplex에서는 다음과 같은 리소스 유형을 지원합니다.

    • 호수
    • 데이터 프로필 스캔
    • 데이터 품질 스캔

    Dataproc

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dataproc.googleapis.com
    세부정보

    Dataproc을 VPC 서비스 제어로 보호하려면 특별 단계를 수행해야 합니다.

    Dataproc에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    서비스 경계로 Dataproc 클러스터를 보호하려면 Dataproc 및 VPC 서비스 제어 네트워크 안내를 따르세요.

    Spark를 위한 서버리스 Dataproc

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dataproc.googleapis.com
    세부정보

    Dataproc Serverless를 VPC 서비스 제어로 보호하려면 특별 단계를 수행해야 합니다.

    Spark를 위한 Dataproc Serverless에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    서비스 경계로 서버리스 워크로드를 보호하려면 Dataproc Serverless 및 VPC 서비스 제어 네트워크 안내를 따르세요.

    Dataproc Metastore

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 metastore.googleapis.com
    세부정보

    Dataproc Metastore용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Dataproc Metastore에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Dataproc 메타스토어와 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

    Datastream

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 datastream.googleapis.com
    세부정보

    Datastream용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Datastream에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Datastream과 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

    Database Migration Service

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 datamigration.googleapis.com
    세부정보

    Database Migration Service용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Database Migration Service에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • 서비스 경계는 Database Migration Service Admin API만 보호합니다. Cloud SQL 인스턴스와 같은 기본 데이터베이스에 대한 IP 기반 데이터 액세스는 보호되지 않습니다. Cloud SQL 인스턴스의 공개 IP 액세스를 제한하려면 조직 정책 제약조건을 사용합니다.
    • 마이그레이션의 초기 덤프 단계에서 Cloud Storage 파일을 사용할 때는 동일한 서비스 경계에 Cloud Storage 버킷을 추가합니다.
    • 대상 데이터베이스에서 고객 관리 암호화 키(CMEK)를 사용할 때는 키를 포함하는 연결 프로필과 동일한 서비스 경계에 CMEK가 있는지 확인합니다.

    Dialogflow

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dialogflow.googleapis.com
    세부정보

    Dialogflow용 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

    Dialogflow에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Sensitive Data Protection

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dlp.googleapis.com
    세부정보

    Sensitive Data Protection을 위한 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Sensitive Data Protection에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어는 현재 폴더 및 조직 리소스를 지원하지 않으므로 Sensitive Data Protection 호출은 조직 수준 리소스에 액세스를 시도할 때 403 응답을 반환할 수 있습니다. 폴더 및 조직 수준에서 Sensitive Data Protection 권한을 관리하는 데 IAM을 사용하는 것이 좋습니다.

    Cloud DNS

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dns.googleapis.com
    세부정보

    Cloud DNS용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud DNS에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 제한된 VIP를 통해 Cloud DNS에 액세스할 수 있습니다. 하지만 VPC 서비스 제어 경계 내의 프로젝트 내에 공개 DNS 영역을 만들거나 업데이트할 수 없습니다.

    Document AI

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 documentai.googleapis.com
    세부정보

    Document AI용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용 가능합니다.

    Document AI에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Document AI를 VPC 서비스 제어와 통합에서는 알려진 제한사항이 없습니다.

    Document AI Warehouse

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 contentwarehouse.googleapis.com
    세부정보

    Document AI Warehouse용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용 가능합니다.

    Document AI Warehouse에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와의 Document AI Warehouse 통합에는 알려진 제한사항이 없습니다.

    Cloud Domains

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 domains.googleapis.com
    세부정보

    Cloud Domains용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Domains에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • Cloud Domains에 사용된 연락처 데이터는 최상위 도메인 또는 TLD 레지스트리와 공유될 수 있으며 ICANN 규칙에 준하여 설정에 따라 WHOIS/RDAP용으로 공개적으로 액세스될 수 있습니다. 자세한 내용은 개인 정보 보호 기능을 참조하세요.

    • Cloud Domains에 사용된 DNS 구성 데이터(네임서버 DNSSEC 설정)는 공개됩니다. 도메인에서 기본 동작에 따라 DNS 영역으로 위임하면 해당 영역의 DNS 구성 데이터도 공개됩니다.

    Eventarc Advanced

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 eventarc.googleapis.com
    세부정보

    서비스 경계 외부의 Eventarc Advanced 버스는 경계 내 Google Cloud 프로젝트에서 이벤트를 수신할 수 없습니다. 경계 내의 Eventarc Advanced 버스는 경계 외부의 소비자에게 이벤트를 라우팅할 수 없습니다.

    • Eventarc Advanced 버스에 게시하려면 이벤트 소스가 버스와 동일한 서비스 경계 내에 있어야 합니다.
    • 메시지를 소비하려면 이벤트 소비자가 버스와 동일한 서비스 경계 내에 있어야 합니다.

    Eventarc Advanced에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항
    서비스 경계로 보호되는 프로젝트에서는 다음 제한사항이 적용됩니다.

    서비스 경계 내에서는 Eventarc Advanced 파이프라인을 만들 수 없습니다. 인그레스에서 플랫폼 로그를 확인하여 MessageBus, GoogleApiSource, Enrollment 리소스에 대한 VPC 서비스 제어 지원을 확인할 수 있지만 VPC 서비스 제어 이그레스는 테스트할 수 없습니다. 이러한 리소스가 서비스 경계에 있는 경우 Eventarc Advanced를 설정하여 해당 경계 내에서 이벤트를 엔드 투 엔드로 전송할 수 없습니다.

    Eventarc Standard

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 eventarc.googleapis.com
    세부정보

    Eventarc Standard는 Pub/Sub 주제와 푸시 구독을 사용하여 이벤트 전송을 처리합니다. Pub/Sub API에 액세스하고 이벤트 트리거를 관리하려면 Eventarc API는 Pub/Sub API와 동일한 VPC 서비스 제어 서비스 경계 내에서 보호되어야 합니다.

    Eventarc Standard에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항
    서비스 경계로 보호되는 프로젝트에서는 다음 제한사항이 적용됩니다.
    • Eventarc Standard에는 Pub/Sub와 동일한 제한사항이 적용됩니다.
      • 이벤트를 Cloud Run 대상으로 라우팅할 때 푸시 엔드포인트가 기본 run.app URL(커스텀 도메인은 작동하지 않음)이 있는 Cloud Run 서비스로 설정되어 있지 않으면 새로운 Pub/Sub 푸시 구독을 만들 수 없습니다.
      • Pub/Sub 푸시 엔드포인트가 Workflows 실행으로 설정된 Workflows를 대상으로 이벤트를 라우팅하는 경우 Eventarc Standard를 통해서만 새 Pub/Sub 푸시 구독을 만들 수 있습니다.
      이 문서에서 Pub/Sub 제한사항을 참조하세요.
    • VPC 서비스 제어는 내부 HTTP 엔드포인트에 대한 Eventarc 표준 트리거 생성을 차단합니다. 이러한 대상으로 이벤트를 라우팅할 때는 VPC 서비스 제어 보호가 적용되지 않습니다.

    Distributed Cloud Edge Network API

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 edgenetwork.googleapis.com
    세부정보

    Distributed Cloud Edge Network API용 API는 VPC 서비스 제어로 보호할 수 있으며 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Distributed Cloud Edge Network API에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    Distributed Cloud Edge Network API를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    자금 세탁 방지 AI

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 financialservices.googleapis.com
    세부정보

    자금 세탁 방지 AI용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    자금 세탁 방지 AI에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와 자금 세탁 방지 AI의 통합에는 알려진 제한사항이 없습니다.

    Firebase 앱 체크

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 firebaseappcheck.googleapis.com
    세부정보

    Firebase 앱 체크 토큰을 구성하고 교환하면 VPC 서비스 제어가 Firebase 앱 체크 서비스만 보호합니다. Firebase 앱 체크를 사용하는 서비스를 보호하려면 해당 서비스에 대해 서비스 경계를 설정해야 합니다.

    Firebase 앱 체크에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와 Firebase 앱 체크 통합은 알려진 제한사항이 없습니다.

    Firebase 보안 규칙

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 firebaserules.googleapis.com
    세부정보

    Firebase 보안 규칙 정책을 관리할 때 VPC 서비스 제어는 Firebase 보안 규칙 서비스만 보호합니다. Firebase 보안 규칙을 사용하는 서비스를 보호하려면 해당 서비스에 대해 서비스 경계를 설정해야 합니다.

    Firebase 보안 규칙에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Firebase 보안 규칙과 VPC 서비스 제어와의 통합에는 알려진 제한사항이 없습니다.

    Cloud Run 함수

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudfunctions.googleapis.com
    세부정보

    설정 단계는 Cloud Run 함수 문서를 참고하세요. Cloud Build를 사용하여 Cloud Run 함수를 빌드할 때 VPC 서비스 제어 보호는 빌드 단계에 적용되지 않습니다. 자세한 내용은 알려진 제한사항을 참조하세요.

    Cloud Run 함수에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • Cloud Run 함수는 Cloud Build, Container Registry, Cloud Storage를 사용하여 실행 가능한 컨테이너의 소스 코드를 빌드하고 관리합니다. 이러한 서비스가 서비스 경계로 제한되면 Cloud Run Functions가 경계에 제한된 서비스로 추가되지 않더라도 VPC 서비스 제어에서 Cloud Run Functions 빌드를 차단합니다. 서비스 경계 내에서 Cloud Run 함수를 사용하려면 서비스 경계의 Cloud Build 서비스 계정의 인그레스 규칙을 구성해야 합니다.

    • npm 패키지와 같은 외부 종속 항목을 함수에서 사용할 수 있도록 Cloud Build에는 무제한 인터넷 액세스가 있습니다. 이 인터넷 액세스는 업로드된 소스 코드와 같이 빌드 시 사용할 수 있는 데이터를 추출하는 데 사용될 수 있습니다. 이 추출 벡터를 완화하려면 신뢰할 수 있는 개발자만 함수를 배포하도록 허용하는 것이 좋습니다. Cloud Run 함수 소유자, 편집자 또는 개발자 IAM 역할을 신뢰할 수 없는 개발자에게 부여하지 마세요.

    • 서비스 경계에 대한 인그레스 또는 이그레스 정책을 지정할 때 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT를 ID 유형으로 사용하여 로컬 머신에서 Cloud Run 함수를 배포할 수 없습니다.

      이 문제를 해결하려면 ANY_IDENTITY를 ID 유형으로 사용하세요.

    • HTTP 트리거로 Cloud Run 함수 서비스를 호출하면 VPC 서비스 제어 정책 시행은 클라이언트의 IAM 인증 정보를 사용하지 않습니다. IAM 주 구성원을 사용하는 VPC 서비스 제어 인그레스 정책 규칙은 지원되지 않습니다. IAM 주 구성원을 사용하는 VPC 서비스 제어 경계의 액세스 수준은 지원되지 않습니다.

    Identity and Access Management

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 iam.googleapis.com
    세부정보

    경계로 IAM을 제한하는 경우 IAM API를 사용하는 작업만 제한됩니다. 이러한 작업에는 커스텀 IAM 역할 관리, 워크로드 아이덴티티 풀 관리, 서비스 계정 및 키 관리가 포함됩니다. 직원 풀은 조직 수준 리소스이므로 경계는 직원 풀 작업을 제한하지 않습니다.

    IAM 주변의 경계는 Resource Manager 프로젝트, 폴더, 조직, 또는 Compute Engine 가상 머신 인스턴 같은 다른 서비스에서 소유한 리소스의 액세스 관리(즉, IAM 정책 가져오기 또는 설정)를 제한하지 않습니다. 이러한 리소스의 액세스 관리를 제한하려면 리소스를 소유한 서비스를 제한하는 경계를 만듭니다. IAM 정책을 허용하는 리소스 목록 및 해당 정책을 소유한 서비스의 목록은 IAM 정책을 허용하는 리소스 유형을 참조하세요.

    또한 IAM 주변의 경계는 다음을 포함하여 다른 API를 사용하는 작업을 제한하지 않습니다.

    • IAM 정책 시뮬레이터 API
    • IAM 정책 문제 해결 도구 API
    • 보안 토큰 서비스 API
    • Service Account Credentials API(IAM API의 레거시 signBlobsignJwt 메서드 포함)

    Identity and Access Management에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    경계 내부에 있으면 빈 문자열로 roles.list 메서드를 호출하여 IAM 사전 정의된 역할을 나열할 수 없습니다. 사전 정의된 역할을 보려면 IAM 역할 문서를 참조하세요.

    IAP 관리자 API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 iap.googleapis.com
    세부정보

    IAP Admin API를 사용하면 사용자가 IAP를 구성할 수 있습니다.

    IAP Admin API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    IAP Admin API를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    Cloud KMS Inventory API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 kmsinventory.googleapis.com
    세부정보

    Cloud KMS Inventory API용 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

    Cloud KMS Inventory API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    SearchProtectedResources API 메서드는 반환된 프로젝트에 서비스 경계 제한을 적용하지 않습니다.

    서비스 계정 사용자 인증 정보

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 iamcredentials.googleapis.com
    세부정보

    서비스 계정 사용자 인증 정보용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    서비스 계정 사용자 인증 정보에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    서비스 계정 사용자 인증 정보를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Service Metadata API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloud.googleapis.com
    세부정보

    Service Metadata API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Service Metadata API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Service Metadata API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    서버리스 VPC 액세스

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 vpcaccess.googleapis.com
    세부정보

    서버리스 VPC 액세스용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    서버리스 VPC 액세스에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    서버리스 VPC 액세스를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Key Management Service

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudkms.googleapis.com
    세부정보

    Cloud KMS API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 사용할 수 있습니다. Cloud HSM 서비스에 대한 액세스도 VPC 서비스 제어로 보호되며 서비스 경계 내에서 사용할 수 있습니다.

    Cloud Key Management Service에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Key Management Service를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Game Servers

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 gameservices.googleapis.com
    세부정보

    Game Servers용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Game Servers에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Game Servers를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Gemini Code Assist

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudaicompanion.googleapis.com
    세부정보

    Gemini Code Assist용 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

    Gemini Code Assist에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    기기, 공개 IP 주소 또는 위치 기반의 액세스 제어는 Google Cloud 콘솔에서 Gemini에 지원되지 않습니다.

    TCP용 IAP(Identity-Aware Proxy)

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 iaptunnel.googleapis.com
    세부정보

    TCP용 IAP(Identity-Aware Proxy) API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    TCP용 IAP(Identity-Aware Proxy)에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • TCP용 IAP의 사용 API만 경계로 보호할 수 있습니다. 관리 API는 경계로 보호할 수 없습니다.

    • VPC 서비스 제어 서비스 경계 내에서 TCP용 IAP를 사용하려면 다음 도메인이 제한된 VIP를 가리키도록 DNS 항목 여러 개를 추가 또는 구성해야 합니다.

      • tunnel.cloudproxy.app
      • *.tunnel.cloudproxy.app

    Cloud Life Sciences

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 lifesciences.googleapis.com
    세부정보

    Cloud Life Sciences용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Life Sciences에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와 Cloud Life Sciences 통합에는 알려진 제한사항이 없습니다.

    Microsoft Active Directory용 관리형 서비스

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 managedidentities.googleapis.com
    세부정보

    다음에 추가 구성이 필요합니다.

    Microsoft Active Directory용 관리형 서비스에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와 Microsoft Active Directory용 관리형 서비스 통합에는 알려진 제한사항이 없습니다.

    reCAPTCHA

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 recaptchaenterprise.googleapis.com
    세부정보

    reCAPTCHA용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    reCAPTCHA에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와 reCAPTCHA 통합에는 알려진 제한사항이 없습니다.

    Web Risk

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 webrisk.googleapis.com
    세부정보

    Web Risk용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Web Risk에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Evaluate API 및 Submission API는 VPC 서비스 제어에서 지원되지 않습니다.

    추천자

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 recommender.googleapis.com
    세부정보

    추천자용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    추천자에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • VPC 서비스 제어는 조직, 폴더 또는 결제 계정 리소스를 지원하지 않습니다.

    Secret Manager

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 secretmanager.googleapis.com
    세부정보

    Secret Manager용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Secret Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Secret Manager를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Pub/Sub

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 pubsub.googleapis.com
    세부정보

    VPC 서비스 제어 보호는 모든 관리자 작업, 게시자 작업, 구독자 작업에 적용됩니다(기존 푸시 구독 제외).

    Pub/Sub에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    서비스 경계로 보호되는 프로젝트에서는 다음 제한사항이 적용됩니다.

    • 푸시 엔드포인트가 기본 run.app URL 또는 Workflows 실행(커스텀 도메인은 작동하지 않음)을 사용하는 Cloud Run 서비스로 설정되지 않는 한 새 푸시 구독을 만들 수 없습니다. Cloud Run과의 통합에 대한 자세한 내용은 VPC 서비스 제어 사용을 참조하세요.
    • 푸시되지 않는 구독의 경우 주제와 동일한 경계에 구독을 만들거나 주제에서 구독 액세스를 허용하는 이그레스 규칙을 사용 설정해야 합니다.
    • 푸시 엔드포인트가 Workflows 실행으로 설정된 Workflows를 대상으로 Eventarc를 통해 이벤트를 라우팅하는 경우 Eventarc를 통해서만 새 푸시 구독을 만들 수 있습니다.
    • 서비스 경계 이전에 생성된 Pub/Sub 구독은 차단되지 않습니다.

    Pub/Sub Lite

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 pubsublite.googleapis.com
    세부정보

    VPC 서비스 제어 보호는 모든 구독자 작업에 적용됩니다.

    Pub/Sub Lite에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Pub/Sub Lite를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Build

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 지원됩니다. 자세한 내용과 제한사항은 참고하세요.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudbuild.googleapis.com
    세부정보

    Cloud Build 비공개 풀과 함께 VPC 서비스 제어를 사용하여 빌드에 보안을 추가하는 방법을 보여줍니다.

    Cloud Build에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Deploy

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 clouddeploy.googleapis.com
    세부정보

    VPC 서비스 제어로 Cloud Deploy용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.

    Cloud Deploy에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    경계 안에서 Cloud Deploy를 사용하려면 대상의 실행 환경의 Cloud Build 비공개 풀을 사용해야 합니다. 기본(Cloud Build) 작업자 풀 및 하이브리드 풀을 사용하지 마세요.

    Cloud Composer

    상태 GA
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 composer.googleapis.com
    세부정보

    VPC 서비스 제어와 함께 사용할 Composer 구성

    Cloud Composer에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • DAG 직렬화를 사용 설정하면 Airflow가 웹 UI에 렌더링된 템플릿과 함수를 함께 표시하지 않습니다.

    • DAG 직렬화가 사용 설정된 상태에서는 async_dagbag_loader 플래그를 True로 설정하는 것이 지원되지 않습니다.

    • DAG 직렬화를 사용 설정하면 Cloud Composer가 배포된 VPC 네트워크의 보안이 저하될 수 있으므로 모든 Airflow 웹 서버 플러그인이 사용 중지됩니다. 이는 Airflow 연산자와 센서를 포함하여 스케줄러 또는 작업자 플러그인의 동작에 영향을 주지 않습니다.

    • Cloud Composer가 경계 내에서 실행 중인 경우 공개 PyPI 저장소에 대한 액세스가 제한됩니다. Cloud Composer 문서에서 Python 종속 항목 설치를 참조하여 비공개 IP 모드에서 PyPi 모듈을 설치하는 방법을 알아보세요.

    Cloud 할당량

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudquotas.googleapis.com
    세부정보

    Cloud Quotas의 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Quotas에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어는 프로젝트 수준에서 경계를 적용하므로 경계 내부의 클라이언트에서 발생하는 Cloud Quotas 요청은 조직에서 이그레스 규칙을 설정한 경우에만 조직 리소스에 액세스할 수 있습니다.
    • 할당량 감소를 요청하면 Cloud Quotas는 Monitoring에 대한 서비스 간(S2S) 호출을 실행합니다.

      이 S2S 호출은 감소 요청이 발생하더라도 경계 내에서 발생하지 않으므로 VPC 서비스 제어에서 차단됩니다.

      이 문제를 방지하려면 다음 중 하나를 수행하세요.

    인그레스 또는 이그레스 규칙을 설정하려면 인그레스 및 이그레스 정책 구성에 대한 VPC 서비스 제어 안내를 참고하세요.

    Cloud Run

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 run.googleapis.com
    세부정보 Cloud Run을 추가로 설정해야 합니다. Cloud Run VPC 서비스 제어 문서 페이지의 안내를 따릅니다.

    Cloud Run에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • Artifact Registry 및 Container Registry의 경우 컨테이너를 저장하는 레지스트리는 배포할 프로젝트와 동일한 VPC 서비스 제어 경계에 있어야 합니다. 빌드되는 코드는 컨테이너가 푸시되는 레지스트리와 동일한 VPC 서비스 제어 경계에 있어야 합니다.
    • VPC 서비스 제어 경계 내에 있는 프로젝트에서는 Cloud Run 지속적 배포 기능을 사용할 수 없습니다.
    • Cloud Run 서비스가 호출되면 VPC 서비스 제어 정책 시행에서 클라이언트의 IAM 인증 정보를 사용하지 않습니다. 이러한 요청에는 다음과 같은 제한사항이 있습니다.
      • IAM 주 구성원을 사용하는 VPC 서비스 제어 인그레스 정책 규칙은 지원되지 않습니다.
      • IAM 주 구성원을 사용하는 VPC 서비스 제어 경계의 액세스 수준은 지원되지 않습니다.
    • VPC 서비스 제어 이그레스 정책 시행은 제한된 가상 IP(VIP) 주소를 사용할 때만 보장됩니다.
    • Cloud Run이 VPC 액세스 가능 서비스로 구성되지 않은 경우에도 제한되지 않은 VIP에 대한 동일한 프로젝트의 요청은 허용됩니다.

    Cloud Scheduler

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudscheduler.googleapis.com
    세부정보 VPC 서비스 제어는 다음 작업에 적용됩니다.
    • Cloud Scheduler 작업 생성
    • Cloud Scheduler 작업 업데이트

    Cloud Scheduler에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    VPC 서비스 제어는 다음 대상이 있는 Cloud Scheduler 작업만 지원합니다.
    • Cloud Run 함수 functions.net 엔드포인트
    • Cloud Run run.app 엔드포인트
    • Dataflow API(Cloud Scheduler 작업과 동일한 Google Cloud 프로젝트에 있어야 함)
    • Data Pipelines(Cloud Scheduler 작업과 동일한 Google Cloud 프로젝트에 있어야 함)
    • Pub/Sub(Cloud Scheduler 작업과 동일한 Google Cloud 프로젝트에 있어야 함)

    Spanner

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 spanner.googleapis.com
    세부정보

    Spanner용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Spanner에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    VPC 서비스 제어와 Spanner 통합에는 알려진 제한사항이 없습니다.

    Speaker ID

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 speakerid.googleapis.com
    세부정보

    Speaker ID용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Speaker ID에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Speaker ID를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Storage

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 storage.googleapis.com
    세부정보

    Cloud Storage용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Storage에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • Cloud Storage 서비스를 보호하는 서비스 경계 에서 스토리지 버킷과 함께 요청자 지불 기능을 사용할 경우 경계 외부에 있는 지불할 프로젝트를 식별할 수 없습니다. 대상 프로젝트는 스토리지 버킷과 동일한 경계에 있거나 버킷의 프로젝트가 있는 경계 브리지에 있어야 합니다.

      요청자 지불에 대한 자세한 내용은 요청자 지불 사용 및 액세스 요구사항을 참조하세요.

    • 서비스 경계 내 프로젝트의 경우 Cloud Storage API가 경계로 보호되면 Google Cloud 콘솔의 Cloud Storage 페이지에 액세스할 수 없습니다. 페이지에 액세스 권한을 부여하려면 사용자 계정 또는 Cloud Storage API에 액세스하도록 허용할 공개 IP 범위가 포함된 인그레스 규칙 또는 액세스 수준을 만들어야 합니다.

    • 감사 로그 레코드에서 resourceName 필드는 버킷을 소유한 프로젝트를 식별하지 않습니다. 프로젝트를 별도로 검색해야 합니다.

    • 감사 로그 레코드에서 methodName 값이 항상 올바르지는 않습니다. methodName별로 Cloud Storage 감사 로그 레코드를 필터링하지 않는 것이 좋습니다.

    • 경우에 따라 액세스가 거부되어도 Cloud Storage 레거시 버킷 로그를 서비스 경계 외부의 대상에 쓸 수 있습니다.

    • 경우에 따라 객체에 VPC 서비스 제어를 사용 설정한 후에도 공개된 Cloud Storage 객체에 액세스할 수 있습니다. 객체는 기본 제공 캐시 및 최종 사용자와 Cloud Storage 간 네트워크의 다른 업스트림 캐시에서 만료될 때까지 액세스할 수 있습니다. Cloud Storage는 기본적으로 Cloud Storage 네트워크에서 공개적으로 액세스할 수 있는 데이터를 캐시합니다. Cloud Storage 객체가 캐시되는 방식에 대한 자세한 내용은 Cloud Storage를 참조하세요. 객체가 캐시될 수 있는 기간에 대한 자세한 내용은 Cache-control 메타데이터를 참조하세요.
    • 서비스 경계에 대한 인그레스 또는 이그레스 정책을 지정할 때 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT서명된 URL을 사용하는 모든 Cloud Storage 작업에 대한 ID 유형으로 사용할 수 없습니다.

      이 문제를 해결하려면 ANY_IDENTITY를 ID 유형으로 사용하세요.

    • 서명된 URL은 VPC 서비스 제어를 지원합니다.

      VPC 서비스 제어는 연결을 시작하는 호출자 또는 사용자 인증 정보가 아닌 VPC 서비스 제어 검사를 평가하기 위해 서명된 URL에 서명한 사용자 또는 서비스 계정의 서명 사용자 인증 정보를 사용합니다.

    Cloud Tasks

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudtasks.googleapis.com
    세부정보

    Cloud Tasks용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Tasks 실행의 HTTP 요청은 다음과 같이 지원됩니다.

    • VPC 서비스 제어와 호환되는 Cloud Run 함수 및 Cloud Run 엔드포인트에 대한 인증된 요청이 허용됩니다.
    • Cloud Run 함수 및 Cloud Run 이외의 엔드포인트에 대한 요청은 차단됩니다.
    • VPC 서비스 제어와 호환되지 않는 Cloud Run 함수 및 Cloud Run 엔드포인트에 대한 요청은 차단됩니다.

    Cloud Tasks에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    VPC 서비스 제어는 다음 대상에 대한 Cloud Tasks 요청만 지원합니다.
    • Cloud Run 함수 functions.net 엔드포인트
    • Cloud Run run.app 엔드포인트

    Cloud SQL

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 sqladmin.googleapis.com
    세부정보

    VPC 서비스 제어 경계는 Cloud SQL Admin API를 보호합니다.

    Cloud SQL에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 서비스 경계는 Cloud SQL Admin API만 보호합니다. Cloud SQL 인스턴스에 대한 IP 기반 데이터 액세스는 보호되지 않습니다. 조직 정책 제약조건을 사용하여 Cloud SQL 인스턴스의 공개 IP 액세스를 제한해야 합니다.
    • Cloud SQL용 VPC 서비스 제어를 구성하기 전에 Service Networking API를 사용 설정합니다.
    • Cloud SQL 가져오기 및 내보내기는 Cloud SQL 복제본 인스턴스와 동일한 서비스 경계 내에서 Cloud Storage 버킷의 읽기 및 쓰기만 수행할 수 있습니다.

    • 외부 서버 마이그레이션 흐름에서 Cloud Storage 버킷을 동일한 서비스 경계에 추가해야 합니다.
    • CMEK의 키 생성 흐름에서 키를 사용하는 리소스와 동일한 서비스 경계에 키를 만들어야 합니다.
    • 백업에서 인스턴스를 복원할 경우 백업과 동일한 서비스 경계에 대상 인스턴스가 있어야 합니다.

    Video Intelligence API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 videointelligence.googleapis.com
    세부정보

    Video Intelligence API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Video Intelligence API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Video Intelligence API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Vision API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 vision.googleapis.com
    세부정보

    Cloud Vision API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Vision API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    VPC 서비스 제어 경계 내에서 공개 URL 호출을 허용하는 이그레스 규칙을 만들더라도 Cloud Vision API는 공개 URL 호출을 차단합니다.

    Artifact Analysis

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 containeranalysis.googleapis.com
    세부정보

    VPC 서비스 제어에서 Artifact Analysis를 사용하려면 VPC 경계에 다른 서비스를 추가해야 할 수 있습니다.

    Container Scanning API는 Artifact Analysis에 결과를 저장하는 표면이 없는 API이기 때문에 서비스 경계로 API를 보호할 필요가 없습니다.

    Artifact Analysis에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Artifact Analysis를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Container Registry

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 containerregistry.googleapis.com
    세부정보

    Container Registry API를 보호하는 것 외에도 Container Registry는 GKE 및 Compute Engine으로 서비스 경계 내에서 사용할 수 있습니다.

    Container Registry에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 서비스 경계에 대한 인그레스 또는 이그레스 정책을 지정할 때 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT를 모든 Container Registry 작업의 ID 유형으로 사용할 수 없습니다.

      이 문제를 해결하려면 ANY_IDENTITY를 ID 유형으로 사용하세요.

    • Container Registry는 gcr.io 도메인을 사용하므로 *.gcr.ioprivate.googleapis.com 또는 restricted.googleapis.com에 매핑될 수 있도록 DNS를 구성해야 합니다. 자세한 내용은 서비스 경계에서 Container Registry 보호를 참조하세요.

    • Container Registry에서 사용 가능한 경계 내에 있는 컨테이너 외에도 다음과 같은 읽기 전용 저장소는 서비스 경계에서 적용하는 제한 사항과 관계없이 모든 프로젝트에서 사용 가능합니다.

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      모든 경우에 해당 저장소의 멀티 리전별 버전도 사용할 수 있습니다.

    Google Kubernetes Engine

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 container.googleapis.com
    세부정보

    Google Kubernetes Engine용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Google Kubernetes Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • Google Kubernetes Engine API를 완벽하게 보호하려면 경계에도 Kubernetes Metadata API(kubernetesmetadata.googleapis.com)를 포함해야 합니다.
    • VPC 서비스 제어를 사용하여 비공개 클러스터만 보호할 수 있습니다. 공개 IP 주소가 있는 클러스터는 VPC 서비스 제어에서 지원되지 않습니다.
    • 자동 확장은 GKE와 독립적으로 작동합니다. VPC 서비스 제어가 autoscaling.googleapis.com을 지원하지 않으므로 자동 확장이 작동하지 않습니다. GKE를 사용하면 autoscaling.googleapis.com 서비스로 인해 발생하는 감사 로그에서 SERVICE_NOT_ALLOWED_FROM_VPC 위반을 무시할 수 있습니다.

    Container Security API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 containersecurity.googleapis.com
    세부정보

    Container Security API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Container Security API에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    Container Security API와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

    이미지 스트리밍

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 containerfilesystem.googleapis.com
    세부정보

    이미지 스트리밍은 Artifact Registry에 저장된 이미지에 대해 컨테이너 이미지 가져오기 시간을 단축하는 GKE 데이터 스트리밍 기능입니다. VPC 서비스 제어가 컨테이너 이미지를 보호하고 이미지 스트리밍을 사용하는 경우 서비스 경계에 이미지 스트리밍 API도 포함해야 합니다.

    이미지 스트리밍에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 다음 읽기 전용 저장소는 서비스 경계에서 적용하는 제한 사항에 관계없이 모든 프로젝트에서 사용 가능합니다.

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

    Fleet

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 gkeconnect.googleapis.com,
    gkehub.googleapis.com,
    connectgateway.googleapis.com
    세부정보

    Connect 게이트웨이를 비롯한 Fleet 관리 API는 VPC 서비스 제어로 보호할 수 있으며, Fleet 관리 기능을 서비스 경계 내에서 정상적으로 사용할 수 있습니다. 자세한 내용은 다음을 참조하세요.

    Fleet에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 모든 Fleet 관리 기능을 정상적으로 사용할 수 있지만 Stackdriver API 주위의 서비스 경계를 사용 설정하면 정책 컨트롤러 그룹 특성 및 Security Command Center와의 통합이 제한됩니다.
    • Connect 게이트웨이를 사용하여 GKE 클러스터에 액세스하는 경우 container.googleapis.com의 VPC 서비스 제어 경계가 적용되지 않습니다.

    Resource Manager

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudresourcemanager.googleapis.com
    세부정보

    VPC 서비스 제어에서 다음 Cloud Resource Manager API 메서드를 보호할 수 있습니다.

    Resource Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 프로젝트 리소스 및 해당 태그 값이 직접적인 상위 요소인 태그 키만 VPC 서비스 제어를 사용하여 보호할 수 있습니다. 프로젝트가 VPC 서비스 제어 경계에 추가되면 프로젝트 아래의 모든 태그 키와 해당 태그 값이 경계 내에 있는 리소스로 간주됩니다.
    • 조직 리소스와 해당 태그 값이 상위 요소인 태그 키는 VPC 서비스 제어 경계에 포함될 수 없으며 VPC 서비스 제어를 사용하여 보호할 수 없습니다.
    • VPC 서비스 제어 경계 내의 클라이언트는 조직 리소스가 상위 요소인 태그 키와 해당 값에 액세스할 수 없습니다. 단, 액세스를 허용하는 이그레스 규칙이 경계에 설정되어 있어야 합니다. 이그레스 규칙 설정에 관한 자세한 내용은 인그레스 및 이그레스 규칙을 참고하세요.
    • 태그 바인딩은 태그 값이 바인딩된 리소스와 동일한 경계 내의 리소스로 간주됩니다. 예를 들어 프로젝트에 있는 Compute Engine 인스턴스의 태그 바인딩은 태그 키가 정의된 위치에 관계없이 해당 프로젝트에 속하는 것으로 간주됩니다.
    • Compute Engine과 같은 일부 서비스는 Resource Manager 서비스 API 외에도 자체 서비스 API를 사용하여 태그 바인딩을 만들 수 있도록 허용합니다. 예를 들어 리소스 생성 중에 Compute Engine VM에 태그를 추가합니다. 이러한 서비스 API를 사용하여 만들거나 삭제한 태그 바인딩을 보호하려면 compute.googleapis.com 등의 해당 서비스를 경계의 제한된 서비스 목록에 추가합니다.
    • 태그는 메서드 수준 제한사항을 지원하므로 method_selectors를 특정 API 메서드로 지정할 수 있습니다. 제한할 수 있는 메서드 목록은 지원되는 서비스 메서드 제한사항을 참고하세요.
    • Google Cloud 콘솔을 통한 프로젝트에 대한 소유자 역할 부여가 이제 VPC 서비스 제어에서 지원됩니다. 소유자 초대를 보내거나 서비스 경계 외부의 초대를 수락할 수 없습니다. 경계 외부의 초대를 수락하려고 하면 소유자 역할이 부여되지 않으며 오류 또는 경고 메시지가 표시되지 않습니다.

    Cloud Logging

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 logging.googleapis.com
    세부정보

    Cloud Logging용 API는 VPC 서비스 제어로 보호할 수 있으며 제품을 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Logging에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • 집계된 로그 싱크(폴더 또는 includeChildrentrue인 조직 싱크)는 서비스 경계 내 프로젝트에서 데이터에 액세스할 수 있습니다. 경계 내의 데이터에 액세스할 때 집계된 로그 싱크를 제한하려면 IAM을 사용해서 폴더 수준 또는 조직 수준의 집계된 로그 싱크에서 Logging 권한을 관리하는 것이 좋습니다.

    • VPC 서비스 제어에서는 폴더나 조직 리소스를 서비스 경계에 추가할 수 없습니다. 따라서 VPC 서비스 제어를 사용하여 집계 로그를 포함한 폴더 수준 로그와 조직 수준 로그를 보호할 수 없습니다. 폴더 수준 또는 조직 수준에서 Logging 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.

    • 조직 수준이나 폴더 수준 로그 싱크를 사용하여 로그를 서비스 경계가 보호하는 리소스에 라우팅하는 경우 인그레스 규칙을 서비스 경계에 추가해야 합니다. 인그레스 규칙은 로그 싱크에서 사용하는 서비스 계정의 리소스에 대한 액세스를 허용해야 합니다. 프로젝트 수준 싱크에는 이 단계가 필요 없습니다.

      자세한 내용은 다음 페이지를 참조하세요.

    • 서비스 경계에 대한 인그레스 또는 이그레스 정책을 지정할 때 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT를 ID 유형으로 사용하여 Cloud Logging 싱크에서 Cloud Storage 리소스로 로그를 내보낼 수 없습니다.

      이 문제를 해결하려면 ANY_IDENTITY를 ID 유형으로 사용하세요.

    인증서 관리자

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 certificatemanager.googleapis.com
    세부정보

    VPC 서비스 제어로 Certificate Manager용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.

    Certificate Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Certificate Manager를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Monitoring

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 monitoring.googleapis.com
    세부정보

    Cloud Monitoring용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Monitoring에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • 알림 채널, 알림 정책 및 커스텀 측정항목을 함께 사용하여 데이터/메타데이터를 추출할 수 있습니다. 현 시점부터 Monitoring 사용자는 조직 외부의 항목(예: 'baduser@badcompany.com')을 가리키는 알림 채널을 설정할 수 있습니다. 그런 다음 사용자는 알림 채널을 활용하는 커스텀 측정항목과 해당 알림 정책을 설정합니다. 이를 통해 사용자는 커스텀 측정항목을 조작하여 알림을 트리거하고 VPC 서비스 제어 경계 외부에 있는 baduser@badcompany.com으로 민감한 정보 추출을 알리는 알림을 보낼 수 있습니다.

    • Monitoring 에이전트가 설치된 모든 Compute Engine 또는 AWS VM은 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 에이전트 측정항목 쓰기가 실패합니다.

    • 모든 GKE Pod는 VPC 서비스 제어 경계 내에 있어야 합니다. 그렇지 않으면 GKE 모니터링이 작동하지 않습니다.

    • 측정항목 범위에 대한 측정항목을 쿼리할 때는 측정항목 범위에 대한 범위 지정 프로젝트의 VPC 서비스 제어 경계만 고려합니다. 측정항목 범위에서 개별 모니터링 프로젝트의 경계는 고려하지 않습니다.

    • 프로젝트가 측정항목 범위 지정 프로젝트와 동일한 VPC 서비스 제어 경계에 있으면 프로젝트는 기존 측정항목 범위에만 모니터링 프로젝트로 추가될 수 있습니다.

    • 서비스 경계로 보호되는 호스트 프로젝트의 Google Cloud 콘솔에서 Monitoring에 액세스하려면 인그레스 규칙을 사용합니다.

    Cloud Profiler

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudprofiler.googleapis.com
    세부정보

    Cloud Profiler용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Profiler에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Profiler를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Timeseries Insights API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 timeseriesinsights.googleapis.com
    세부정보

    Timeseries Insights API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Timeseries Insights API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Timeseries Insights API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Trace

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudtrace.googleapis.com
    세부정보

    Cloud Trace용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Trace에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Trace를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud TPU

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 tpu.googleapis.com
    세부정보

    Cloud TPU용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud TPU에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud TPU를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Natural Language API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 language.googleapis.com
    세부정보

    Natural Language API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Natural Language API는 스테이트리스 API이며 프로젝트에서 실행되지 않으므로 VPC 서비스 제어를 사용하여 Natural Language API를 보호해도 아무런 효과가 없습니다.

    Network Connectivity Center

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 networkconnectivity.googleapis.com
    세부정보

    Network Connectivity Center용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Network Connectivity Center에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Network Connectivity Center를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Asset API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudasset.googleapis.com
    세부정보

    Cloud Asset API용 API는 VPC 서비스 제어로 보호될 수 있으며 제품을 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Asset API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • VPC 서비스 제어는 서비스 경계 내에 있는 리소스 및 클라이언트의 폴더 수준 또는 조직 수준 Cloud Asset API 리소스에 대한 액세스를 지원하지 않습니다. VPC 서비스 제어는 프로젝트 수준의 Cloud Asset API 리소스를 보호합니다 경계 내부의 프로젝트에서 프로젝트 수준 Cloud Asset API 리소스에 액세스하지 못하도록 이그레스 정책을 지정할 수 있습니다.
    • VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 Cloud Asset API 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준 또는 조직 수준의 Cloud Asset API 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Cloud 애셋 인벤토리 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.

    Speech-to-Text

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 speech.googleapis.com
    세부정보

    Speech-to-Text용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Speech-to-Text에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Speech-to-Text를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Text-to-Speech

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 texttospeech.googleapis.com
    세부정보

    Text-to-Speech용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Text-to-Speech에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Text-to-Speech를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Translation

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 translate.googleapis.com
    세부정보

    Translation용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Translation에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Translation - Advanced(v3)는 VPC 서비스 제어를 지원하지만 Cloud Translation - Basic(v2)은 지원하지 않습니다. VPC 서비스 제어를 적용하려면 Cloud Translation - Advanced(v3)를 사용해야 합니다. 다른 버전에 대한 자세한 내용은 기본 및 고급 비교를 참조하세요.

    Live Stream API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 livestream.googleapis.com
    세부정보

    Live Stream API와 함께 VPC 서비스 제어를 사용하여 파이프라인 보호하세요.

    Live Stream API에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    서비스 경계를 사용하여 입력 엔드포인트를 보호하려면 비공개 풀 설정 안내를 따르고 비공개 연결을 통해 입력 동영상 스트림을 전송해야 합니다.

    Transcoder API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 transcoder.googleapis.com
    세부정보

    Transcoder용 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

    Transcoder API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Transcoder API와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

    Video Stitcher API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 videostitcher.googleapis.com
    세부정보

    Video Stitcher API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Video Stitcher API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Video Stitcher API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    액세스 승인

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 accessapproval.googleapis.com
    세부정보

    Access Approval용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Access Approval에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Access Approval을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Cloud Healthcare API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 healthcare.googleapis.com
    세부정보

    Cloud Healthcare API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Healthcare API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어는 Cloud Healthcare API에서 고객 관리 암호화 키(CMEK)를 지원하지 않습니다.

    Storage Transfer Service

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 storagetransfer.googleapis.com
    세부정보

    Storage Transfer Service 프로젝트를 Cloud Storage 리소스와 동일한 서비스 경계 내에 배치하는 것이 좋습니다. 그러면 전송과 Cloud Storage 리소스가 모두 보호됩니다. 또한 Storage Transfer Service는 이그레스 정책을 사용하여 Storage Transfer Service 프로젝트가 Cloud Storage 버킷과 동일한 경계에 있지 않은 시나리오도 지원합니다.

    설정 정보는 VPC 서비스 제어와 함께 Storage Transfer Service 사용을 참조하세요.

    Transfer Service for On Premises Data

    온프레미스 전송을 위한 세부정보 및 설정 정보는 VPC 서비스 제어로 온프레미스 전송 사용을 참조하세요.

    Storage Transfer Service에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    Storage Transfer Service를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    Service Control

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 servicecontrol.googleapis.com
    세부정보

    Service Control용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Service Control에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 청구 또는 분석 측정항목이 보고되도록 Service Control이 제한된 서비스 경계의 VPC 네트워크에서 Service Control API를 호출하면 VPC 서비스 제어 지원 서비스의 측정항목을 보고하는 데 Service Control 보고서만 사용할 수 있습니다.

    Memorystore for Redis

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 redis.googleapis.com
    세부정보

    Redis용 Memorystore에 대한 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Redis용 Memorystore에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 서비스 경계는 Redis용 Memorystore API만 보호합니다. 경계는 동일한 네트워크 내의 Redis용 Memorystore 인스턴스에서 일반 데이터 액세스를 보호하지 않습니다.

    • Cloud Storage API도 보호할 경우 Redis용 Memorystore 가져오기 및 내보내기 작업은 Redis용 Memorystore 인스턴스와 동일한 서비스 경계 내 Cloud Storage 버킷에만 읽고 쓸 수 있습니다.

    • 공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 Redis 요청에 성공하려면 네트워크를 제공하는 호스트 프로젝트와 동일한 경계 내에 Redis 인스턴스가 포함된 서비스 프로젝트가 있어야 합니다. 언제든지 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 Redis 인스턴스가 실패하고 요청이 차단됩니다. 자세한 내용은 Redis용 Memorystore 구성 요구사항을 참조하세요.

    Memorystore for Memcached

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 memcache.googleapis.com
    세부정보

    Memorystore for Memcached의 API는 VPC 서비스 제어로 보호될 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용할 수 있습니다.

    Memorystore for Memcached에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 서비스 경계는 Memorystore for Memcached API만 보호합니다. 경계는 동일한 네트워크 내의 Memorystore for Memcached 인스턴스에서 일반 데이터 액세스를 보호하지 않습니다.

    서비스 디렉터리

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 servicedirectory.googleapis.com
    세부정보

    서비스 디렉터리용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    서비스 디렉터리에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    서비스 디렉터리를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Visual Inspection AI

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 visualinspection.googleapis.com
    세부정보

    Visual Inspection AI를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

    • Visual Inspection AI API(visualinspection.googleapis.com)
    • Vertex AI API(aiplatform.googleapis.com)
    • Cloud Storage API(storage.googleapis.com)
    • Artifact Registry API(artifactregistry.googleapis.com)
    • Container Registry API(containerregistry.googleapis.com)

    Visual Inspection AI에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    The Visual Inspection AI와 VPC 서비스 제어와 통합에는 알려진 제한사항이 없습니다.

    Transfer Appliance

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 아니요. Transfer Appliance용 API는 서비스 경계로 보호할 수 없습니다. 하지만 경계 내의 프로젝트에서 일반적으로 Transfer Appliance를 사용할 수 있습니다.
    세부정보

    Transfer Appliance는 VPC 서비스 제어를 사용하는 프로젝트에 대해 완전히 지원됩니다.

    Transfer Appliance는 API를 제공하지 않으므로 VPC 서비스 제어에서 API 관련 기능을 지원하지 않습니다.

    Transfer Appliance에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • Cloud Storage가 VPC 서비스 제어로 보호되는 경우 Transfer Appliance팀과 공유하는 Cloud KMS 키는 대상 Cloud Storage 버킷과 동일한 프로젝트에 있어야 합니다.

    조직 정책 서비스

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 orgpolicy.googleapis.com
    세부정보

    VPC 서비스 제어에서 조직 정책 서비스용 API를 보호할 수 있으며 제품을 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    조직 정책 서비스에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어에서는 프로젝트에서 상속하는 폴더 수준이나 조직 수준의 조직 정책에 대한 액세스를 제한할 수 없습니다. VPC 서비스 제어는 프로젝트 수준의 조직 정책 서비스 API 리소스를 보호합니다.

    예를 들어 인그레스 규칙에서 사용자가 조직 정책 서비스 API에 액세스하지 못하도록 제한하는 경우 프로젝트에 적용된 조직 정책을 쿼리할 때 해당 사용자에게 403 오류가 발생합니다. 그러나 사용자는 프로젝트가 포함된 폴더와 조직의 조직 정책에 계속 액세스할 수 있습니다.

    OS 로그인

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 oslogin.googleapis.com
    세부정보

    VPC 서비스 제어 경계 내에서 OS 로그인 API를 호출할 수 있습니다. VPC 서비스 제어 경계 내에서 OS 로그인을 관리하려면 OS 로그인을 설정합니다.

    VM 인스턴스에 대한 SSH 연결은 VPC 서비스 제어로 보호되지 않습니다.

    OS 로그인에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    SSH 키를 읽고 쓰는 OS 로그인 방법은 VPC 서비스 제어 경계를 적용하지 않습니다. VPC 액세스 서비스를 사용하여 OS 로그인 API에 대한 액세스를 중지합니다.

    Personalized Service Health

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 servicehealth.googleapis.com
    세부정보

    VPC 서비스 제어로 Personalized Service Health용 API를 보호할 수 있으며 서비스 경계 내에서 제품을 정상적으로 사용될 수 있습니다.

    Personalized Service Health에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어는 Service Health API의 OrganizationEventsOrganizationImpacts 리소스를 지원하지 않습니다. 따라서 이러한 리소스의 메서드를 호출할 때 VPC 서비스 제어 정책 검사가 수행되지 않습니다. 그러나 제한된 VIP를 사용하여 서비스 경계에서 메서드를 호출할 수 있습니다.

    VM Manager

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 osconfig.googleapis.com
    세부정보

    VPC 서비스 제어 경계 내에서 OS Config API를 호출할 수 있습니다. VPC 서비스 제어 경계 내에서 VM Manager를 사용하려면 VM 관리자를 설정합니다.

    VM Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    VM Manager를 완벽하게 보호하려면 경계에 다음 API를 모두 포함해야 합니다.
    • OS Config API(osconfig.googleapis.com)
    • Compute Engine API(compute.googleapis.com)
    • Artifact Analysis API(containeranalysis.googleapis.com)
    VM Manager는 패키지 및 패치 콘텐츠를 호스팅하지 않습니다. OS 패치 관리는 패키지 업데이트와 패치를 VM에서 가져올 수 있어야 하는 운영체제의 업데이트 도구를 사용합니다. 패치가 작동하려면 Cloud NAT를 사용하거나 Virtual Private Cloud 내에서 고유 패키지 저장소 또는 Windows Server Update Service를 호스팅해야 할 수 있습니다.

    Workflows

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 workflows.googleapis.com
    세부정보

    Workflows는 Google Cloud 서비스와 HTTP 기반 API를 결합하여 사용자가 정의한 순서대로 서비스를 실행할 수 있는 조정 플랫폼입니다.

    서비스 경계를 사용하여 Workflows API를 보호하면 Workflow Executions API도 보호됩니다. 경계의 보호되는 서비스 목록에 workflowexecutions.googleapis.com를 별도로 추가할 필요가 없습니다.

    Workflows 실행의 HTTP 요청은 다음과 같이 지원됩니다.

    • VPC 서비스 제어와 호환되는 Google Cloud 엔드포인트에 대한 인증된 요청이 허용됩니다.
    • Cloud Run 함수 및 Cloud Run 서비스 엔드포인트에 대한 요청이 허용됩니다.
    • 타사 엔드포인트 요청은 차단됩니다.
    • VPC 서비스 제어와 호환되지 않는 Google Cloud 엔드포인트에 대한 요청은 차단됩니다.

    Workflows에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Workflows와 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

    Filestore

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 file.googleapis.com
    세부정보

    Filestore용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Filestore에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 서비스 경계는 Filestore API만 보호합니다. 경계는 동일한 네트워크 내의 Filestore 인스턴스에서 일반 NFS 데이터 액세스를 보호하지 않습니다.

    • 공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 Filestore 인스턴스가 올바르게 작동하려면 네트워크를 제공하는 호스트 프로젝트와 Filestore 인스턴스가 포함된 서비스 프로젝트가 동일한 경계 내에 있어야 합니다. 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 기존 인스턴스를 사용할 수 없게 되고 새 인스턴스가 생성되지 않을 수 있습니다.

    Parallelstore

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 parallelstore.googleapis.com
    세부정보

    Parallelstore에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 공유 VPC와 VPC 서비스 제어를 모두 사용하는 경우 Parallelstore 인스턴스가 올바르게 작동하려면 네트워크를 제공하는 호스트 프로젝트와 Parallelstore 인스턴스가 포함된 서비스 프로젝트가 동일한 경계 내에 있어야 합니다. 호스트 프로젝트와 서비스 프로젝트를 경계로 분리하면 기존 인스턴스를 사용할 수 없게 되고 새 인스턴스가 생성되지 않을 수 있습니다.

    Container Threat Detection

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 containerthreatdetection.googleapis.com
    세부정보

    Container Threat Detection용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Container Threat Detection에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Container Threat Detection을 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Ads Data Hub

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 adsdatahub.googleapis.com
    세부정보

    Ads Data Hub에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Ads Data Hub와 VPC 서비스 제어에는 다른 서비스 약관이 적용됩니다. 자세한 내용은 각 제품의 약관을 참조하세요.

    특정 Ads Data Hub 기능(예: 커스텀 잠재고객 활성화, 커스텀 입찰, LiveRamp 데이터 이동 색인)을 사용하려면 특정 사용자 데이터를 VPC 서비스 제어 경계 외부로 내보내야 합니다. Ads Data Hub를 제한된 서비스로 추가할 경우 기능을 유지하기 위해 이러한 기능의 VPC 서비스 제어 정책을 우회합니다.

    모든 종속 서비스는 동일한 VPC 서비스 제어 경계에서 허용되는 서비스로 포함되어야 합니다. 예를 들어 Ads Data Hub는 BigQuery를 사용하므로 BigQuery도 추가해야 합니다. 일반적으로 VPC 서비스 제어 권장사항에 따라 경계에 모든 서비스를 포함하는 것이 좋습니다(즉, '모든 서비스 제한').

    다중 계층 Ads Data Hub 계정 구조가 있는 고객(예: 자회사가 있는 대행사)은 동일한 경계에 있는 모든 관리자 프로젝트를 가지고 있어야 합니다. Ads Data Hub에서는 편의상 다중 계층 계정 구조를 사용하는 고객이 관리 프로젝트를 동일한 Google Cloud 조직으로 제한하도록 권장합니다.

    보안 토큰 서비스

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 sts.googleapis.com
    세부정보

    VPC 서비스 제어는 요청의 대상이 프로젝트 수준 리소스인 경우에만 토큰 교환을 제한합니다. 예를 들어 VPC 서비스 제어는 권한이 축소된 토큰에 대한 요청을 제한하지 않는데, 해당 요청의 대상이 없기 때문입니다. 또한 대상이 조직 수준 리소스이므로 VPC 서비스 제어는 직원 ID 제휴에 대한 요청도 제한하지 않습니다.

    보안 토큰 서비스에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Ads Data Hub와 VPC 서비스 제어에는 다른 서비스 약관이 적용됩니다. 자세한 내용은 각 제품의 약관을 참조하세요.

    특정 Ads Data Hub 기능(예: 커스텀 잠재고객 활성화, 커스텀 입찰, LiveRamp 데이터 이동 색인)을 사용하려면 특정 사용자 데이터를 VPC 서비스 제어 경계 외부로 내보내야 합니다. Ads Data Hub를 제한된 서비스로 추가할 경우 기능을 유지하기 위해 이러한 기능의 VPC 서비스 제어 정책을 우회합니다.

    모든 종속 서비스는 동일한 VPC 서비스 제어 경계에서 허용되는 서비스로 포함되어야 합니다. 예를 들어 Ads Data Hub는 BigQuery를 사용하므로 BigQuery도 추가해야 합니다. 일반적으로 VPC 서비스 제어 권장사항에 따라 경계에 모든 서비스를 포함하는 것이 좋습니다(즉, '모든 서비스 제한').

    다중 계층 Ads Data Hub 계정 구조가 있는 고객(예: 자회사가 있는 대행사)은 동일한 경계에 있는 모든 관리자 프로젝트를 가지고 있어야 합니다. Ads Data Hub에서는 편의상 다중 계층 계정 구조를 사용하는 고객이 관리 프로젝트를 동일한 Google Cloud 조직으로 제한하도록 권장합니다.

    Firestore/Datastore

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
    세부정보

    firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com 서비스는 함께 번들로 제공됩니다. 경계에서 firestore.googleapis.com 서비스를 제한하면 경계가 datastore.googleapis.comfirestorekeyvisualizer.googleapis.com 서비스도 제한합니다.

    datastore.googleapis.com 서비스를 제한하려면 firestore.googleapis.com 서비스 이름을 사용합니다.

    가져오기 및 내보내기 작업에 대한 완전한 이그레스 보호를 받으려면 Firestore 서비스 에이전트를 사용해야 합니다. 자세한 내용은 다음을 참조하세요.

    Firestore/Datastore에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Migrate to Virtual Machines

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 vmmigration.googleapis.com
    세부정보

    Migrate to Virtual Machines용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Migrate to Virtual Machines에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • Migrate to Virtual Machines를 완벽하게 보호하려면 다음 API를 서비스 경계에 모두 추가합니다.

      • Artifact Registry API(artifactregistry.googleapis.com)
      • Pub/Sub API(pubsub.googleapis.com)
      • Cloud Storage API(storage.googleapis.com)
      • Cloud Logging API(logging.googleapis.com)
      • Container Registry API(containerregistry.googleapis.com)
      • Secret Manager API(secretmanager.googleapis.com)
      • Compute Engine API(compute.googleapis.com)

      자세한 내용은 Migrate to Virtual Machines 문서를 참조하세요.

    Migration Center

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름
    • migrationcenter.googleapis.com
    • rapidmigrationassessment.googleapis.com
    세부정보

    VPC 서비스 제어를 사용하면 서비스 경계를 사용하여 Migration Center에서 수집한 인프라 데이터를 보호할 수 있습니다.

    마Migration Center에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    서비스 경계를 사용 설정한 후에는 인프라 데이터를 StratoZone으로 전송할 수 없습니다.

    백업 및 DR 서비스

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 backupdr.googleapis.com
    세부정보

    백업 및 DR 서비스용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    백업 및 DR 서비스에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    gcloud services vpc-peerings enable-vpc-service-controls 명령어를 사용하여 서비스 프로듀서 프로젝트에서 인터넷 기본 경로를 삭제하면 관리 콘솔에 액세스하거나 배포할 수 없습니다. 이 문제가 발생하면 Google Cloud Customer Care에 문의하세요.

    Backup for GKE

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 gkebackup.googleapis.com
    세부정보

    VPC 서비스 제어를 사용하여 backup for GKE를 보호하고 일반적으로 서비스 경계 내에서 backup for GKE 기능을 사용할 수 있습니다.

    Backup for GKE에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Backup for GKE를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Retail API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 retail.googleapis.com
    세부정보

    Retail API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Retail API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Retail API와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

    Application Integration

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 integrations.googleapis.com
    세부정보

    Application Integration은 핵심 비즈니스 시스템 워크플로를 생성, 보강, 디버그, 이해할 수 있는 공동작업 워크플로 관리 시스템입니다. Application Integration의 워크플로는 트리거와 태스크로 구성됩니다. API 트리거/Pub/Sub 트리거/크론 트리거/sfdc 트리거와 같은 여러 종류의 트리거가 있습니다.

    Application Integration에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어는 Application Integration 로그를 보호합니다. Application Integration을 사용하는 경우 Application Integration 팀과의 VPCSC 통합 지원을 확인합니다.

    Integration Connectors

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 connectors.googleapis.com
    세부정보

    VPC 서비스 제어로 Integration Connectors용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.

    Integration Connectors에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어를 사용할 때 Google Cloud CLI가 아닌 리소스에 연결되는 경우 연결 대상은 Private Service Connect 연결이어야 합니다. Private Service Connect 연결 없이 생성된 연결은 실패합니다.

    • Google Cloud CLI 프로젝트에 VPC 서비스 제어 서비스 경계를 설정하면 프로젝트에 이벤트 구독 기능을 사용할 수 없습니다.

    Error Reporting

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 clouderrorreporting.googleapis.com
    세부정보

    Error Reporting용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Error Reporting에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    새 오류 그룹이나 반복 오류 그룹이 발견되면 전송되는 알림에는 오류 그룹에 대한 정보가 포함됩니다. VPC 서비스 제어 경계 외부로 데이터 무단 반출을 방지하려면 알림 채널이 조직 내에 있는지 확인합니다.

    Cloud Workstations

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 workstations.googleapis.com
    세부정보

    Cloud Workstations용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud Workstations에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • Cloud Workstations를 완벽하게 보호하려면 Cloud Workstations API를 제한할 때마다 서비스 경계에서 Compute Engine API를 제한해야 합니다.
    • Google Cloud Storage API, Google Container Registry API, Artifact Registry API가 서비스 경계에서 VPC에 액세스할 수 있는지 확인합니다. 이렇게 하면 이미지를 워크스테이션으로 가져와야 합니다. 또한 Cloud Workstations을 사용하는 데 필수적인 것은 아니지만, Cloud Logging API 및 Cloud Error Reporting API가 서비스 경계에서 VPC에 액세스할 수 있도록 허용하는 것이 좋습니다.
    • 워크스테이션 클러스터가 비공개인지 확인합니다. 비공개 클러스터를 구성하면 VPC 서비스 경계 외부에서 워크스테이션에 연결할 수 없습니다.
    • 워크스테이션 구성에서 공개 IP 주소를 사용 중지해야 합니다. 그렇지 않으면 프로젝트에 공개 IP 주소를 사용하는 VM이 생성됩니다. VPC 서비스 경계의 모든 VM에 대해 공개 IP 주소를 사용 중지하기 위해 constraints/compute.vmExternalIpAccess 조직 정책 제약조건을 사용하는 것이 좋습니다. 자세한 내용은 외부 IP 주소를 특정 VM으로 제한을 참고하세요.
    • 워크스테이션에 연결하는 동안 액세스 제어는 연결하려는 비공개 네트워크가 보안 경계에 속하는지 여부만 기반으로 합니다. 기기, 공개 IP 주소 또는 위치에 기반한 액세스 제어는 지원되지 않습니다.

    Cloud IDS

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 ids.googleapis.com
    세부정보

    Cloud IDS용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Cloud IDS에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud IDS는 Cloud Logging을 사용하여 프로젝트에 위협 로그를 만듭니다. Cloud Logging이 서비스 경계로 제한되는 경우 Cloud IDS가 경계에 제한된 서비스로 추가되지 않더라도 VPC 서비스 제어가 Cloud IDS 위협 로그를 차단합니다. 서비스 경계 내에서 Cloud IDS를 사용하려면 서비스 경계의 Cloud Logging 서비스 계정의 인그레스 규칙을 구성해야 합니다.

    Chrome Enterprise Premium

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 beyondcorp.googleapis.com
    세부정보

    Chrome Enterprise Premium에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어와 Chrome Enterprise Premium통합에는 알려진 제한사항이 없습니다.

    정책 문제 해결 도구

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 policytroubleshooter.googleapis.com
    세부정보

    경계를 설정하여 정책 문제 해결 도구 API를 제한하면 주 구성원은 요청과 관련된 모든 리소스가 동일한 경계 내에 있는 경우에만 IAM 정책 문제를 해결할 수 있습니다. 일반적으로 문제 해결 요청에는 두 가지 리소스가 포함됩니다.

    • 액세스 문제를 해결하는 리소스. 이 리소스는 모든 유형이 될 수 있습니다. 허용 정책 문제를 해결할 때 이 리소스를 명시적으로 지정하세요.
    • 액세스 문제를 해결하는 데 사용하는 리소스. 이 리소스는 프로젝트, 폴더 또는 조직입니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는 x-goog-user-project 헤더를 사용하여 이 리소스를 지정합니다.

      이 리소스는 액세스 문제를 해결하는 리소스와 같은 수 있지만 반드시 그럴 필요는 없습니다.

    이러한 리소스가 동일한 경계 내에 있지 않으면 요청이 실패합니다.

    정책 문제 해결 도구에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    정책 문제 해결 도구와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

    정책 시뮬레이터

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 policysimulator.googleapis.com
    세부정보

    경계를 설정하여 Policy Simulator API를 제한하는 경우 주 구성원은 시뮬레이션에 관련된 특정 리소스가 같은 경계에 있는 경우에만 허용 정책을 시뮬레이션할 수 있습니다. 시뮬레이션에는 다음과 같은 여러 리소스가 포함됩니다.

    • 허용 정책을 시뮬레이션할 리소스. 이 리소스를 대상 리소스라고도 합니다. Google Cloud 콘솔에서 허용 정책을 수정할 리소스입니다. 허용 정책을 시뮬레이션할 때 gcloud CLI 및 REST API에서 이 리소스를 명시적으로 지정합니다.
    • 시뮬레이션을 만들고 실행하는 프로젝트, 폴더 또는 조직. 이 리소스를 호스트 리소스라고도 합니다. Google Cloud 콘솔 및 gcloud CLI에서 이 리소스는 선택한 프로젝트, 폴더 또는 조직을 기반으로 추론됩니다. REST API에서는 x-goog-user-project 헤더를 사용하여 이 리소스를 지정합니다.

      이 리소스는 액세스를 시뮬레이션하는 리소스와 동일할 수 있지만 반드시 그럴 필요는 없습니다.

    • 시뮬레이션에 대한 액세스 로그를 제공하는 리소스. 시뮬레이션에는 언제나 시뮬레이션에 대한 액세스 로그를 제공하는 리소스 하나가 있습니다. 이 리소스는 대상 리소스 유형에 따라 다릅니다.

      • 프로젝트 또는 조직에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 프로젝트 또는 조직의 액세스 로그를 검색합니다.
      • 다른 유형의 리소스에 대해 허용 정책을 시뮬레이션하는 경우 정책 시뮬레이터가 해당 리소스의 상위 프로젝트 또는 조직에 대해 액세스 로그를 검색합니다.
      • 한 번에 리소스 허용 정책 여러 개를 시뮬레이션하는 경우 정책 시뮬레이터는 리소스의 가장 일반적인 프로젝트나 조직의 액세스 로그를 검색합니다.
    • 관련 허용 정책이 있는 모든 지원되는 리소스. 정책 시뮬레이터에서 시뮬레이션을 실행할 때 대상 리소스의 상위 및 하위 리소스에 대한 허용 정책을 포함하여 사용자 액세스에 영향을 미칠 수 있는 모든 허용 정책을 고려합니다. 따라서 이러한 상위 리소스와 하위 리소스도 시뮬레이션에 포함됩니다.

    대상 리소스와 호스트 리소스가 같은 경계에 있지 않으면 요청이 실패합니다.

    대상 리소스 및 시뮬레이션에 대한 액세스 로그를 제공하는 리소스가 같은 경계에 있지 않으면 요청이 실패합니다.

    대상 리소스 및 관련 허용 정책에서 지원되는 일부 리소스가 같은 경계에 있지 않으면 요청은 성공하지만 결과가 불완전할 수 있습니다. 예를 들어 경계에서 프로젝트에 대한 정책을 시뮬레이션하는 경우 조직은 항상 VPC 서비스 제어 경계 외부에 있으므로 프로젝트의 상위 조직의 허용 정책이 결과에 포함되지 않습니다. 더욱 완전한 결과를 얻으려면 경계에 대한 인그레스 및 이그레스 규칙을 구성하면 됩니다.

    정책 시뮬레이터에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    정책 시뮬레이터를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    필수 연락처

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 essentialcontacts.googleapis.com
    세부정보

    필수 연락처용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    필수 연락처에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    필수 연락처와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

    Identity Platform

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 identitytoolkit.googleapis.com,
    securetoken.googleapis.com
    세부정보

    Identity Platform용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Identity Platform에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • Identity Platform을 완벽하게 보호하려면 토큰 새로고침을 허용하도록 Secure Token API(securetoken.googleapis.com)를 서비스 경계에 추가합니다. securetoken.googleapis.com은 Google Cloud 콘솔의 VPC 서비스 제어 페이지에 나열되지 않습니다. gcloud access-context-manager perimeters update 명령어로만 이 서비스를 추가할 수 있습니다.

    • 애플리케이션이 차단 함수 기능과 통합되는 경우 Cloud Run 함수(cloudfunctions.googleapis.com)를 서비스 경계에 추가합니다.

    • SMS 기반 다중 인증(MFA), 이메일 인증 또는 타사 ID 공급업체를 사용하면 경계 외부로 데이터가 전송됩니다. SMS, 이메일 인증 또는 타사 ID 공급업체에 MFA를 사용하지 않는 경우 이 기능을 사용 중지하세요.

    GKE Multi-Cloud

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 gkemulticloud.googleapis.com
    세부정보

    GKE Multi-Cloud용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    GKE Multi-Cloud에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • GKE Multi-Cloud API를 완벽하게 보호하려면 경계에도 Kubernetes Metadata API(kubernetesmetadata.googleapis.com)를 포함해야 합니다.

    Anthos On-Prem API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 gkeonprem.googleapis.com
    세부정보

    Anthos On-Prem API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Anthos On-Prem API에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    • Anthos On-Prem API를 완전히 보호하려면 다음 API를 서비스 경계에 모두 추가합니다.

      • Kubernetes Metadata API(kubernetesmetadata.googleapis.com)
      • Cloud Monitoring API(monitoring.googleapis.com)
      • Cloud Logging API(logging.googleapis.com)
      • VPC 서비스 제어는 폴더 또는 조직 수준의 Cloud Logging 로그 내보내기로부터 보호하지 않습니다.

    베어메탈용 Google Distributed Cloud(소프트웨어 전용)

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 아니요. 베어메탈용 Google Distributed Cloud(소프트웨어 전용) API는 서비스 경계로 보호할 수 없습니다. 하지만 경계 내부의 프로젝트에서는 베어메탈용 Google Distributed Cloud(소프트웨어 전용)를 정상적으로 사용할 수 있습니다.
    세부정보

    Cloud Interconnect 또는 Cloud VPN을 사용하여 VPC에 연결된 환경에서 클러스터를 만들 수 있습니다.

    베어메탈용 Google Distributed Cloud(소프트웨어 전용)에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    • 베어메탈용 Google Distributed Cloud(소프트웨어 전용)를 사용하여 클러스터를 만들거나 업그레이드하는 경우 Service Usage API(serviceusage.googleapis.com)는 VPC 서비스 제어에서 지원되지 않으므로 bmctl--skip-api-check 플래그를 사용하여 Service Usage API(serviceusage.googleapis.com) 호출을 우회합니다. 베어메탈용 Google Distributed Cloud(소프트웨어 전용)는 Service Usage API를 호출하여 프로젝트 내에 필요한 API가 사용 설정되었는지 검증합니다. API 엔드포인트의 연결 가능성을 검증하는 데에는 사용되지 않습니다.

    • 클러스터를 보호하려면 베어메탈용 Google Distributed Cloud(소프트웨어 전용)의 제한된 VIP를 사용하고 서비스 경계에 다음 API를 모두 추가합니다.

      • Artifact Registry API(artifactregistry.googleapis.com)
      • Google Cloud Resource Manager API(cloudresourcemanager.googleapis.com)
      • Compute Engine API(compute.googleapis.com)
      • Connect Gateway API(connectgateway.googleapis.com)
      • Google Container Registry API(containerregistry.googleapis.com)
      • GKE Connect API(gkeconnect.googleapis.com)
      • GKE Hub API(gkehub.googleapis.com)
      • GKE On-Prem API(gkeonprem.googleapis.com)
      • Cloud IAM API(iam.googleapis.com)
      • Cloud Logging API(logging.googleapis.com)
      • Cloud Monitoring API(monitoring.googleapis.com)
      • Config Monitoring for Ops API(opsconfigmonitoring.googleapis.com)
      • Service Control API(servicecontrol.googleapis.com)
      • Cloud Storage API(storage.googleapis.com)

    On-Demand Scanning API

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 ondemandscanning.googleapis.com
    세부정보

    On-Demand Scanning API용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    On-Demand Scanning API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    On-Demand Scanning API를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Looker(Google Cloud 핵심 서비스)

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 looker.googleapis.com
    세부정보

    Looker(Google Cloud 핵심 서비스)용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Looker(Google Cloud 핵심 서비스)에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • 비공개 IP 연결을 사용하는 Looker(Google Cloud 핵심 서비스) 인스턴스의 엔터프라이즈 또는 임베디드 버전은 VPC 서비스 제어 규정 준수를 지원합니다. 공개 IP 연결 또는 공개 및 비공개 IP 연결이 모두 있는 Looker(Google Cloud 핵심 서비스) 인스턴스는 VPC 서비스 제어 규정 준수를 지원하지 않습니다. 비공개 IP 연결을 사용하는 인스턴스를 만들려면 Google Cloud 콘솔의 인스턴스 만들기 페이지의 네트워킹 섹션에서 비공개 IP를 선택합니다.

    • VPC 서비스 제어 서비스 경계 내에 Looker (Google Cloud 핵심) 인스턴스를 배치하거나 만들 때 services.enableVpcServiceControls 메서드를 호출하거나 다음 gcloud 명령어를 실행하여 인터넷에 대한 기본 경로를 삭제해야 합니다.

      gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

      기본 경로를 삭제하면 발신 트래픽이 VPC 서비스 제어 규정을 준수하는 서비스로만 제한됩니다. 예를 들어 이메일을 보내는 데 사용되는 API가 VPC 서비스 제어를 준수하지 않으므로 이메일 전송이 실패합니다.

    • 공유 VPC를 사용하는 경우 Looker (Google Cloud 핵심 서비스) 서비스 프로젝트를 공유 VPC 호스트 프로젝트와 동일한 서비스 경계에 포함하거나 두 프로젝트 간에 경계 브리지를 만들어야 합니다. Looker (Google Cloud 핵심 서비스) 서비스 프로젝트와 공유 VPC 호스트 프로젝트가 동일한 경계에 있지 않거나 경계 브리지를 통해 통신할 수 없는 경우 인스턴스 생성에 실패하거나 Looker (Google Cloud 핵심 서비스) 인스턴스가 제대로 작동하지 않을 수 있습니다.

    Public Certificate Authority

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 publicca.googleapis.com
    세부정보

    Public Certificate Authority용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 일반적으로 사용할 수 있습니다.

    Public Certificate Authority에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Public Certificate Authority를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Storage Insights

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 storageinsights.googleapis.com
    세부정보

    Storage Insights용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Storage Insights에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Storage Insights와 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

    Dataflow Data Pipelines

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 datapipelines.googleapis.com
    세부정보

    Dataflow 데이터 파이프라인을 완벽하게 보호하려면 경계에 다음 API를 모두 포함하세요.

    • Dataflow API(dataflow.googleapis.com)
    • Cloud Scheduler API(cloudscheduler.googleapis.com)
    • Container Registry API(containerregistry.googleapis.com)

    Dataflow Data Pipelines에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Dataflow 데이터 파이프라인과 VPC 서비스 제어 통합에는 알려진 제한사항이 없습니다.

    Security Command Center

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 securitycenter.googleapis.com,
    securitycentermanagement.googleapis.com
    세부정보

    VPC 서비스 제어에서 Security Command Center용 API를 보호할 수 있으며 서비스 경계 내에서 Security Command Center룰 정상적으로 사용할 수 있습니다.

    securitycenter.googleapis.comsecuritycentermanagement.googleapis.com 서비스는 함께 번들로 제공됩니다. 경계에서 securitycenter.googleapis.com 서비스를 제한하면 경계가 기본적으로 securitycentermanagement.googleapis.com 서비스를 제한합니다. securitycentermanagement.googleapis.com 서비스는 securitycenter.googleapis.com와 함께 번들로 제공되므로 경계의 제한된 서비스 목록에 추가할 수 없습니다.

    Security Command Center에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • VPC 서비스 제어는 서비스 경계 내에 있는 리소스와 클라이언트에서 폴더 수준 또는 조직 수준의 Security Command Center API 리소스에 대한 액세스를 지원하지 않습니다. VPC 서비스 제어는 프로젝트 수준의 Security Command Center API 리소스를 보호합니다. 경계 내부의 프로젝트에서 프로젝트 수준의 Security Command Center API 리소스에 액세스하지 못하도록 이그레스 정책을 지정할 수 있습니다.
    • VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 Security Command Center API 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준이나 조직 수준의 Security Command Center API 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Security Command Center 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.
    • 보안 상황 리소스(예: 상황, 상황 배포, 사전 정의된 상황 템플릿)는 조직 수준 리소스이므로 VPC 서비스 제어에서 보안 상황 서비스를 지원하지 않습니다.
    • 폴더 또는 조직 수준에서 발견 항목을 서비스 경계 내에 있는 대상으로 내보낼 수 없습니다.
    • 다음 시나리오에서는 경계 액세스를 사용 설정해야 합니다.
      • 폴더 또는 조직 수준에서 발견 항목 알림을 사용 설정하고 Pub/Sub 주제가 서비스 경계 내에 있는 경우
      • 폴더 또는 조직 수준에서 데이터를 BigQuery로 내보내고 BigQuery가 서비스 경계 내에 있는 경우
      • Security Command Center를 SIEM 또는 SOAR 제품과 통합하고 제품을 Google Cloud 환경의 서비스 경계 내에 배포하는 경우. 지원되는 SIEM 및 SOAR에는 SplunkIBM QRadar가 포함됩니다.

    Cloud Customer Care

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudsupport.googleapis.com
    세부정보

    VPC 서비스 제어로 Cloud Customer Care용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.

    Cloud Customer Care에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    VPC 서비스 제어는 Cloud Support API를 통해 액세스하는 데이터를 보호하지만 Google Cloud 콘솔을 통해 액세스하는 데이터는 보호하지 않습니다.

    Vertex AI Agent Builder - Vertex AI Search

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 discoveryengine.googleapis.com
    세부정보

    Vertex AI Agent Builder - Vertex AI Search용 API는 VPC 서비스 제어로 보호할 수 있으며 이 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Vertex AI Agent Builder - Vertex AI Search에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Vertex AI Agent Builder - Vertex AI Search를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    Confidential Space

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 confidentialcomputing.googleapis.com
    세부정보

    Confidential Space API를 VPC 서비스 제어로 보호할 수 있으며 제품을 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    Confidential Space에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Confidential Space에는 증명 토큰을 검증하는 데 사용되는 인증서를 다운로드하도록 Cloud Storage 버킷에 대한 읽기 액세스 권한이 필요합니다. 이러한 Cloud Storage 버킷이 경계 외부에 있으면 다음 이그레스 규칙을 만들어야 합니다.

      - egressTo:
          operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
            - method: google.storage.objects.get
          resources:
          - projects/870449385679
          - projects/180376494128
        egressFrom:
          identityType: ANY_IDENTITY

    시리얼 콘솔

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 ssh-serialport.googleapis.com
    세부정보

    가상 머신(VM) 인스턴스의 직렬 콘솔에 연결할 때 VPC 서비스 제어 보호를 사용하려면 서비스 경계에 대한 인그레스 규칙을 지정해야 합니다. 인그레스 규칙을 설정할 때 소스의 액세스 수준이 IP 기반 값이어야 하며 서비스 이름을 ssh-serialport.googleapis.com으로 설정해야 합니다. 소스 요청과 대상 리소스가 동일한 경계에 있더라도 직렬 콘솔에 액세스하려면 인그레스 규칙이 필요합니다.

    직렬 콘솔에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항
    • 비공개 Google 액세스를 사용하여 직렬 콘솔에 액세스할 수 없습니다. 공개 인터넷에서만 직렬 콘솔에 액세스할 수 있습니다.
    • 직렬 콘솔을 사용하는 경우 직렬 콘솔에 대한 액세스를 허용하는 데 ID 기반 인그레스 또는 이그레스 규칙을 사용할 수 없습니다.

    Google Cloud VMware Engine

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 vmwareengine.googleapis.com
    세부정보 VMware Engine 서비스 제어에 대한 자세한 내용은 VMware Engine에서 VPC 서비스 제어를 참조하세요.

    Google Cloud VMware Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    기존 VMware Engine 네트워크, 프라이빗 클라우드, 네트워크 정책, VPC 피어링을 VPC 서비스 경계에 추가할 때 이전에 만든 리소스는 경계 정책을 계속 준수하는지 여부를 다시 확인하지 않습니다.

    Dataform

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 dataform.googleapis.com
    세부정보

    VPC 서비스 제어로 Dataform에 대한 액세스를 제어하는 방법은 Dataform의 VPC 서비스 제어 구성을 참고하세요.

    Dataform에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항
    Dataform에 VPC 서비스 제어 보호를 사용하려면 `dataform.restrictGitRemotes` 조직 정책을 설정하고 Dataform과 동일한 서비스 경계로 BigQuery를 제한해야 합니다. Dataform에서 사용하는 서비스 계정에 부여된 Identity and Access Management 권한이 보안 아키텍처를 반영하는지 확인해야 합니다.

    Web Security Scanner

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 websecurityscanner.googleapis.com
    세부정보

    웹 보안 스캐너와 VPC 서비스 제어에는 다른 서비스 약관이 적용됩니다. 자세한 내용은 각 제품의 약관을 참조하세요.

    Web Security Scanner는 요청 시 Security Command Center로 발견 항목을 전송합니다. Security Command Center 대시보드에서 데이터를 확인하거나 다운로드할 수 있습니다.

    웹 보안 검사기에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    Web Security Scanner와 VPC 서비스 제어의 통합에는 알려진 제한사항이 없습니다.

    Secure Source Manager

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 securesourcemanager.googleapis.com
    세부정보
    • Secure Source Manager VPC 서비스 제어 인스턴스를 만들려면 먼저 작동되는 인증 기관을 사용해서 Certificate Authority Service를 구성해야 합니다.
    • Secure Source Manager VPC 서비스 제어 인스턴스를 액세스하기 전에 Private Service Connect를 구성해야 합니다.

    Secure Source Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    • GKE 제한사항으로 인한 SERVICE_NOT_ALLOWED_FROM_VPC 감사 로그 위반은 무시할 수 있습니다.
    • 브라우저를 사용해서 VPC 서비스 제어 웹 인터페이스를 열려면 브라우저가 다음 URL에 액세스할 수 있어야 합니다.
      • https://accounts.google.com
      • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
        • 예를 들면 https://us-central1-sourcemanagerredirector-pa.client6.google.com입니다.
      • https://lh3.googleusercontent.com

    API 키

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 apikeys.googleapis.com
    세부정보

    API 키의 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    API 키에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    API 키를 VPC 서비스 제어와 통합할 때 알려진 제한사항은 없습니다.

    파트너별 주권 통제의 파트너 콘솔

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudcontrolspartner.googleapis.com
    세부정보

    Cloud Controls Partner API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    파트너별 주권 통제의 파트너 콘솔에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • 이 서비스는 파트너가 아닌 모든 사용자에게 제한되어야 합니다. 파트너별 주권 통제를 지원하는 파트너인 경우 서비스 경계를 사용하여 이 서비스를 보호할 수 있습니다.

    마이크로서비스

    상태 베타
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 microservices.googleapis.com
    세부정보

    마이크로서비스용 API는 VPC 서비스 제어로 보호할 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용할 수 있습니다.

    마이크로서비스에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    마이크로서비스를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    Earth Engine

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 earthengine.googleapis.com,
    earthengine-highvolume.googleapis.com
    세부정보

    earthengine.googleapis.comearthengine-highvolume.googleapis.com 서비스는 함께 번들로 제공됩니다. 경계에서 earthengine.googleapis.com 서비스를 제한하면 경계가 기본적으로 earthengine-highvolume.googleapis.com 서비스를 제한합니다. earthengine-highvolume.googleapis.com 서비스는 earthengine.googleapis.com와 함께 번들로 제공되므로 경계의 제한된 서비스 목록에 추가할 수 없습니다.

    Earth Engine에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • Earth Engine JavaScript API용 웹 기반 IDE인 Earth Engine 코드 편집기는 지원되지 않으며 VPC 서비스 제어에서 서비스 경계 내의 리소스 및 클라이언트에 Earth Engine 코드 편집기를 사용할 수 없습니다.
    • 기존 애셋은 VPC 서비스 제어로 보호되지 않습니다.
    • Google Drive로 내보내기는 VPC 서비스 제어에서 지원되지 않습니다.
    • Earth Engine 앱은 서비스 경계 내의 리소스 및 클라이언트에 대해 지원되지 않습니다.
    • VPC 서비스 제어는 프리미엄프로페셔널 Earth Engine 요금제에만 사용할 수 있습니다. 요금제에 대한 자세한 내용은 Earth Engine 요금제를 참조하세요.

    제한사항 및 해결 방법 예시에 대한 자세한 내용은 Earth Engine 액세스 제어 문서를 참조하세요.

    App Hub

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 apphub.googleapis.com
    세부정보

    App Hub를 사용하면 인프라 리소스를 애플리케이션에서 탐색하고 구성할 수 있습니다. VPC 서비스 제어 경계를 사용하여 App Hub 리소스를 보호할 수 있습니다.

    App Hub에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    애플리케이션을 만들고 서비스 및 워크로드를 애플리케이션에 등록하기 전에 App Hub 호스트 및 서비스 프로젝트에서 VPC 서비스 제어를 설정해야 합니다. App Hub는 다음과 같은 리소스 유형을 지원합니다.

    • 애플리케이션
    • 탐색된 서비스
    • 탐색된 워크로드
    • 서비스
    • 서비스 프로젝트 연결
    • 워크로드

    Cloud Code

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 cloudcode.googleapis.com
    세부정보

    Cloud Code API는 VPC 서비스 제어로 보호할 수 있습니다. Cloud Code에서 Gemini 기반 기능을 사용하려면 IDE 클라이언트의 트래픽을 허용하도록 인그레스 정책을 구성해야 합니다. 자세한 내용은 Gemini 문서를 참고하세요.

    Cloud Code에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    Cloud Code를 VPC 서비스 제어와 통합할 때 알려진 제한사항이 없습니다.

    상거래 조직 거버넌스 API

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 commerceorggovernance.googleapis.com
    세부정보

    VPC 서비스 제어 경계는 Google Private Marketplace용 상거래 조직 거버넌스 API를 보호합니다.

    상거래 조직 거버넌스 API에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항

    상거래 조직 거버넌스 API가 프로젝트 수준에서 만드는 조달 요청 및 액세스 요청과 같은 리소스는 조직 수준까지 표시되고 조직 관리자가 VPC 서비스 제어 정책을 시행하지 않고 이 리소스를 검토합니다.

    Google Cloud Contact Center as a Service

    상태 GA. 이 제품 통합은 VPC 서비스 제어에서 완전히 지원됩니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 contactcenteraiplatform.googleapis.com
    세부정보

    인터넷 트래픽을 제한하려면 조직 정책을 사용하세요. Google Cloud Contact Center as a Service API의 CREATE 또는 UPDATE 메서드를 호출하여 조직 정책 제약조건을 수동으로 적용합니다.

    Google Cloud Contact Center as a Service에 대한 자세한 내용은 제품 문서를 참고하세요.

    제한사항

    VPC 서비스 제어와 Google Cloud Contact Center as a Service의 통합에는 알려진 제한사항이 없습니다.

    Privileged Access Manager

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 privilegedaccessmanager.googleapis.com
    세부정보

    VPC 서비스 제어로 Privileged Access Manager용 API를 보호할 수 있으며 서비스 경계 내에서 정상적으로 제품을 사용할 수 있습니다.

    Privileged Access Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준 또는 조직 수준의 Privileged Access Manager 리소스를 보호할 수 없습니다. VPC 서비스 제어는 프로젝트 수준의 Privileged Access Manager 리소스를 보호합니다.
    • Privileged Access Manager를 보호하려면 경계에 다음 API를 포함해야 합니다.
      • Privileged Access Manager API(privilegedaccessmanager.googleapis.com)
      • Cloud Resource Manager API(cloudresourcemanager.googleapis.com)
      • Cloud Logging API(logging.googleapis.com)
      • Cloud Asset API(cloudasset.googleapis.com)

    감사 관리자

    상태 미리보기. 이 제품을 VPC 서비스 제어와 통합하는 것은 미리보기 버전이며 더 광범위한 테스트 및 사용이 가능하지만 프로덕션 환경에서는 완전히 지원되지 않습니다.
    경계로 보호하나요? 예. 경계를 구성하여 이 서비스를 보호할 수 있습니다.
    서비스 이름 auditmanager.googleapis.com
    세부정보

    Audit Manager용 API는 VPC 서비스 제어로 보호될 수 있으며 제품은 서비스 경계 내에서 정상적으로 사용 가능합니다.

    Audit Manager에 대한 자세한 내용은 제품 문서를 참조하세요.

    제한사항
    • 경계를 사용하여 폴더 수준 또는 조직 수준의 Audit Manager 리소스를 보호할 수 없습니다. 폴더 또는 조직 수준에서 Audit Manager 권한을 관리하려면 IAM을 사용하는 것이 좋습니다.
    • 다음 시나리오에서는 인그레스 및 이그레스 규칙을 사용하여 경계 액세스를 사용 설정해야 합니다.

    자세한 내용을 보려면 지원되는 서비스와 지원되지 않는 서비스를 읽어보세요.

    제한된 VIP 지원 서비스

    제한된 가상 IP(VIP)는 서비스 경계 내에 있는 VM이 인터넷에 요청을 노출하지 않고 Google Cloud 서비스를 호출하는 방법을 제공합니다. 제한된 VIP에서 사용할 수 있는 서비스의 전체 목록은 제한된 VIP에서 지원하는 서비스를 참조하세요.

    미지원 서비스

    gcloud 명령줄 도구 또는 Access Context Manager API를 사용하여 미지원 서비스를 제한하려는 경우 오류가 발생합니다.

    지원되는 서비스 데이터에 대한 프로젝트 간 액세스는 VPC 서비스 제어에서 차단합니다. 또한 제한된 VIP는 미지원 서비스를 호출하는 워크로드의 기능을 차단하는 데 사용할 수 있습니다.

    기타 알려진 제한사항

    이 섹션에서는 VPC 서비스 제어를 사용할 때 발생할 수 있는 특정 Google Cloud 서비스, 제품, 인터페이스의 알려진 제한사항을 설명합니다.

    VPC 서비스 제어에서 지원하는 제품에 대한 제한사항은 지원되는 제품 표를 참조하세요.

    VPC 서비스 제어 관련 문제를 해결하는 방법에 대한 자세한 내용은 문제 해결 페이지를 참조하세요.

    AutoML API

    VPC 서비스 제어와 함께 AutoML API를 사용하는 경우 다음 제한사항이 적용됩니다.

    • 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)는 경계의 제한된 서비스 목록에 추가할 수 없습니다. automl.googleapis.com 서비스를 보호할 때 경계는 지원되는 리전 엔드포인트(예: eu-automl.googleapis.com)도 보호합니다.

    • AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables 및 AutoML Video Intelligence 모두 AutoML API를 사용합니다.

      서비스 경계를 사용하여 automl.googleapis.com을 보호하는 경우 VPC 서비스 제어와 통합되고 경계 내에서 사용되는 모든 AutoML 제품에 대한 액세스가 영향을 받습니다. 경계 내에서 사용되는 모든 통합 AutoML 제품에 대해 VPC 서비스 제어 경계를 구성해야 합니다.

      AutoML API를 완벽하게 보호하려면 경계에 다음 API를 모두 포함합니다.

      • AutoML API(automl.googleapis.com)
      • Cloud Storage API(storage.googleapis.com)
      • Compute Engine API(compute.googleapis.com)
      • BigQuery API(bigquery.googleapis.com)

    App Engine

    • App Engine(표준 환경과 가변형 환경 모두)은 VPC 서비스 제어에서 지원되지 않습니다. 서비스 경계에 App Engine 프로젝트를 포함하지 마세요.

      하지만 서비스 경계 외부에 있는 프로젝트에서 생성된 App Engine 앱이 경계 에서 보호되는 서비스에 데이터를 읽고 쓸 수 있습니다. 앱이 보호된 서비스의 데이터에 액세스할 수 있게 하려면 프로젝트의 App Engine 서비스 계정이 포함된 액세스 수준을 만듭니다. App Engine을 서비스 경계 내에서 사용하도록 사용 설정하지 않습니다.

    베어메탈 솔루션

    • 베어메탈 솔루션 환경에 VPC 서비스 제어를 연결해도 서비스 제어가 보장되지 않습니다.

    • 베어메탈 솔루션 API는 보안 경계에 추가할 수 있습니다. 하지만 VPC 서비스 제어 경계는 리전별 확장 프로그램의 베어메탈 솔루션 환경으로 확장되지 않습니다.

    블록체인 노드 엔진

    • VPC 서비스 제어는 블록체인 노드 엔진 API만 보호합니다. 노드가 생성될 때 여전히 Private Service Connect로 사용자 구성 비공개 네트워크를 위한 노드임을 표시해야 합니다.

    • P2P 트래픽은 VPC 서비스 제어 또는 Private Service Connect의 영향을 받지 않으며 공개 인터넷을 계속 사용합니다.

    클라이언트 라이브러리

    • 지원되는 모든 서비스의 자바 및 Python 클라이언트 라이브러리는 제한된 VIP를 사용한 액세스를 완전히 지원합니다. 다른 언어의 지원은 알파 단계이며 테스트 목적으로만 사용해야 합니다.

    • 클라이언트는 2018년 11월 1일 또는 그 이후에 업데이트된 클라이언트 라이브러리를 사용해야 합니다.

    • 클라이언트가 사용하는 서비스 계정 키 또는 OAuth2 클라이언트 메타데이터는 2018년 11월 1일 또는 그 이후에 업데이트된 것이어야 합니다. 토큰 엔드포인트를 사용하는 이전 클라이언트는 최신 키 자료/클라이언트 메타데이터에 지정된 엔드포인트로 변경되어야 합니다.

    Cloud Billing

    • 액세스 수준 또는 인그레스 규칙을 구성하지 않고 서비스 경계로 보호되는 프로젝트의 Cloud Storage 버킷 또는 BigQuery 인스턴스로 Cloud Billing 데이터를 내보낼 수 있습니다.

    Cloud Deployment Manager

    • VPC 서비스 제어에서는 Deployment Manager가 지원되지 않습니다. 사용자가 VPC 서비스 제어를 준수하는 서비스를 호출할 수 있지만 이후 작동하지 않을 수 있으므로 이를 사용하지 않아야 합니다.

    • 문제 해결을 위해서는 VPC 서비스 제어로 보호되는 API 호출을 허용하기 위해 액세스 수준에 Deployment Manager 서비스 계정(PROJECT_NUMBER@cloudservices.gserviceaccount.com)을 추가할 수 있습니다.

    Cloud Shell

    VPC 서비스 제어에서는 Cloud Shell을 지원하지 않습니다. VPC 서비스 제어는 Cloud Shell을 서비스 경계 외부로 처리하고 VPC 서비스 제어에서 보호하는 데이터에 대한 액세스를 거부합니다. 하지만 VPC 서비스 제어를 사용하면 서비스 경계의 액세스 수준 요구사항을 충족하는 기기에서 Cloud Shell을 시작하면 Cloud Shell에 액세스할 수 있습니다.

    Google Cloud 콘솔

    • Google Cloud 콘솔은 인터넷을 통해서만 액세스할 수 있으므로 서비스 경계 외부로 처리됩니다. 서비스 경계를 적용하면 보호되는 서비스의 Google Cloud 콘솔 인터페이스가 일부 또는 전체에 액세스할 수 없게 될 수 있습니다. 예를 들어 경계로 Logging을 보호하면 Google Cloud 콘솔의 Logging 인터페이스에 액세스할 수 없습니다.

      Google Cloud 콘솔에서 경계로 보호되는 리소스에 액세스하려면 보호된 API로 Google Cloud 콘솔을 사용하려는 사용자의 머신이 포함된 공개 IP 범위의 액세스 수준을 만들어야 합니다. 예를 들어 비공개 네트워크 NAT 게이트웨이의 공개 IP 범위를 액세스 수준에 추가한 후 이 액세스 수준을 서비스 경계에 할당할 수 있습니다.

      경계에 대한 Google Cloud 콘솔 액세스 권한을 특정 사용자 세트로만 제한하려면 사용자도 액세스 수준에 추가하면 됩니다. 이 경우 지정된 사용자만 Google Cloud 콘솔에 액세스할 수 있습니다.

    • Cloud NAT에서 암시적으로 사용 설정되는 네트워크를 포함하여 비공개 Google 액세스가 사용 설정된 네트워크에서 Google Cloud 콘솔을 통한 요청은 요청 소스 네트워크 및 대상 리소스가 동일한 경계에 있더라도 차단될 수 있습니다. 비공개 Google 액세스를 통한 Google Cloud 콘솔 액세스가 VPC 서비스 제어에서 지원되지 않기 때문입니다.

    비공개 서비스 액세스

    • 비공개 서비스 액세스공유 VPC 네트워크에서 서비스 인스턴스 배포를 지원합니다. VPC 서비스 제어에 이 구성을 사용하는 경우 네트워크를 제공하는 호스트 프로젝트 및 서비스 인스턴스를 포함하는 서비스 프로젝트가 동일한 VPC 서비스 제어 경계 내에 있는지 확인합니다. 그렇지 않으면 요청이 차단되고 서비스 인스턴스가 올바르게 작동하지 않을 수 있습니다.

      비공개 서비스 액세스를 지원하는 서비스에 대한 자세한 내용은 지원되는 서비스를 참조하세요.

    GKE Multi-Cloud

    • VPC 서비스 제어는 Google Cloud 프로젝트 내의 리소스에만 적용됩니다. GKE Multi-Cloud 클러스터를 호스팅하는 타사 클라우드 환경은 서비스 제어를 보장하지 않습니다.

    Google Distributed Cloud

    • VPC 서비스 제어는 제한된 VIP를 사용하는 VPC 네트워크 프로젝트에 연결된 베어메탈 머신에만 적용됩니다.

    • OpenID Connect(OIDC)경량 디렉터리 액세스 프로토콜(LDAP) 서비스는 동일한 VPC 서비스 제어 경계에 있어야 합니다. 외부 엔드포인트에 대한 요청이 차단됩니다.

    마이그레이션 센터

    • 서비스 경계를 사용 설정한 후에는 인프라 데이터를 StratoZone으로 전송할 수 없습니다.

    직원 ID 제휴

    • VPC 서비스 제어에서는 Workforce Identity Federation이 지원되지 않습니다. 직원 풀은 조직 수준 리소스이며 VPC 서비스 제어에서는 조직 수준 리소스를 지원하지 않습니다.

    다음 단계