Produtos e limitações compatíveis

Para mais informações sobre o Infrastructure Manager, consulte a documentação do produto.

Para usar o Workload Manager em um perímetro do VPC Service Controls:

• Use um pool de workers privado do Cloud Build para seu ambiente de implantação no Workload Manager. Não é possível usar o pool de workers padrão do Cloud Build.
• As chamadas públicas da Internet precisam estar ativadas para esse pool privado do Cloud Build para que você possa fazer o download da configuração do Terraform.

Para mais informações, consulte Usar um pool de workers privado do Cloud Build na documentação do Workload Manager.

Para mais informações sobre o Workload Manager, consulte a documentação do produto.

A API do Google Cloud NetApp Volumes pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Google Cloud NetApp Volumes, consulte a documentação do produto.

O Google Cloud Search é compatível com o serviço de controles de segurança da nuvem privada virtual (VPC Service Controls) para aumentar a segurança dos dados. O VPC Service Controls permite definir um perímetro de segurança em torno dos recursos do Google Cloud Platform para restringir dados e ajudar a reduzir os riscos de exfiltração de dados.

Para mais informações sobre o Google Cloud Search, consulte a documentação do produto.

A API dos Testes de Conectividade pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre os Testes de Conectividade, consulte a documentação do produto.

A integração dos Testes de Conectividade com o VPC Service Controls não tem limitações conhecidas.

O VPC Service Controls é compatível com a previsão on-line, mas não com a previsão em lote.

Para mais informações sobre o AI Platform Prediction, consulte a documentação do produto.

A API do AI Platform Training pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o AI Platform Training, consulte a documentação do produto.

Os perímetros do VPC Service Controls protegem a API AlloyDB.

Para mais informações sobre o AlloyDB para PostgreSQL, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Admin do AlloyDB para PostgreSQL. Eles não protegem o acesso a dados com base em IP nos bancos de dados subjacentes, como as instâncias do AlloyDB para PostgreSQL. Para restringir o acesso de IPs públicos em instâncias do AlloyDB para PostgreSQL, use uma restrição de política da organização.
• Antes de configurar o VPC Service Controls do AlloyDB para PostgreSQL, ative a API Service Networking.
• Quando você usa o AlloyDB para PostgreSQL com VPC compartilhada e o VPC Service Controls, o projeto host e o projeto de serviço precisam estar no mesmo perímetro de serviço do VPC Service Controls.

A API do Vertex AI Workbench pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Vertex AI Workbench, consulte a documentação do produto.

A API da Vertex AI pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Consulte Colab Enterprise.

Para mais informações sobre o Vertex AI, consulte a documentação do produto.

A API do Vertex AI Vision pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Vertex AI Vision, consulte a documentação do produto.

A API da Vertex AI no Firebase pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a Vertex AI no Firebase, consulte a documentação do produto.

A API do Colab Enterprise pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

O Colab Enterprise faz parte da Vertex AI. Confira a seção sobre a Vertex AI.

O Colab Enterprise usa o Dataform para armazenar notebooks. Confira a seção sobre o Dataform.

Para mais informações sobre o Colab Enterprise, consulte a documentação do produto.

A API para Apigee híbrida e a Apigee pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre Apigee e Apigee híbrida, consulte a documentação do produto.

A API do hub de APIs da Apigee pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o hub de APIs da Apigee, consulte a documentação do produto.

Para mais informações sobre o BigQuery Sharing, consulte a documentação do produto.

A API do Cloud Service Mesh pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Você pode usar mesh.googleapis.com para ativar as APIs necessárias para o Cloud Service Mesh. Não é necessário restringir o mesh.googleapis.com no seu perímetro, já que ele não expõe nenhuma API.

• Saiba como configurar o VPC Service Controls para o Cloud Service Mesh (gerenciado).
• Saiba mais sobre como adicionar os serviços do Cloud Service Mesh aos perímetros de serviço.

Para mais informações sobre o Cloud Service Mesh, consulte a documentação do produto.

A integração do Cloud Service Mesh com o VPC Service Controls não tem limitações conhecidas.

Além de proteger a API Artifact Registry, o Artifact Registry pode ser usado dentro de perímetros de serviço com o GKE e o Compute Engine.

Para mais informações sobre o Artifact Registry, consulte a documentação do produto.

A API do Assured Open Source Software pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Assured Open Source Software, consulte a documentação do produto.

A API do Assured Workloads pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Assured Workloads, consulte a documentação do produto.

A integração do Assured Workloads com o VPC Service Controls não tem limitações conhecidas.

Para proteger totalmente a API AutoML, inclua todas as seguintes APIs no perímetro:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Para mais informações sobre o AutoML Translation, consulte a documentação do produto.

A API da Solução Bare Metal pode ser adicionada a um perímetro seguro. No entanto, os perímetros do VPC Service Controls não se estendem ao ambiente da Solução Bare Metal nas extensões regionais.

Para mais informações sobre a Solução Bare Metal, consulte a documentação do produto.

Conectar o VPC Service Controls ao ambiente da Solução Bare Metal não garante nenhum controle de serviço.

Para mais informações sobre a limitação da Solução Bare Metal em relação ao VPC Service Controls, consulte Limitações e problemas conhecidos.

A API do Batch pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Batch, consulte a documentação do produto.

A API do metastore do BigLake pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o metastore do BigLake, consulte a documentação do produto.

A integração do metastore do BigLake com o VPC Service Controls não tem limitações conhecidas.

Quando você protege a API BigQuery usando um perímetro de serviço, as APIs BigQuery Storage (bigquerystorage.googleapis.com), BigQuery Reservation (bigqueryreservation.googleapis.com) e BigQuery Connection (bigqueryconnection.googleapis.com) também são protegidas. Não é necessário adicionar essas APIs separadamente à lista de serviços protegidos do seu perímetro.

Saiba mais sobre como configurar o VPC Service Controls para o BigQuery e como permitir o acesso a funções que são contribuições da comunidade em um perímetro.

Para mais informações sobre o BigQuery, consulte a documentação do produto.

A API BigQuery Data Policy pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API BigQuery Data Policy, consulte a documentação do produto.

A integração da API BigQuery Data Policy com o VPC Service Controls não tem limitações conhecidas.

O perímetro de serviço protege apenas a API BigQuery Data Transfer Service. A proteção de dados real é aplicada pelo BigQuery. Ele foi projetado para permitir a importação de dados de várias fontes fora do Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, para os conjuntos de dados do BigQuery. Para informações sobre os requisitos do VPC Service Controls quanto à migração de dados do Teradata, consulte este link.

Para mais informações sobre o serviço de transferência de dados do BigQuery, consulte a documentação do produto.

A API BigQuery Migration pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API BigQuery Migration, consulte a documentação do produto.

A integração da API BigQuery Migration com o VPC Service Controls não tem limitações conhecidas.

Os serviços bigtable.googleapis.com e bigtableadmin.googleapis.com são agrupados. Quando você restringe o serviço bigtable.googleapis.com em um perímetro, o perímetro restringe o serviço bigtableadmin.googleapis.com por padrão. Não é possível adicionar o serviço bigtableadmin.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com bigtable.googleapis.com.

Para mais informações sobre o Bigtable, consulte a documentação do produto.

A integração do Bigtable com o VPC Service Controls não tem limitações conhecidas.

Ao usar vários projetos com autorização binária, cada projeto precisa ser incluído no perímetro do VPC Service Controls. Para mais informações sobre esse caso de uso, consulte Configuração de vários projetos.

Com a autorização binária, é possível usar o Artifact Analysis para armazenar atestadores e atestações como observações e ocorrências, respectivamente. Nesse caso, você também precisa incluir o Artifact Analysis no perímetro do VPC Service Controls. Consulte Orientação do VPC Service Controls para Artifact Analysis e veja mais detalhes.

Para mais informações sobre a autorização binária, consulte a documentação do produto.

A integração da autorização binária com o VPC Service Controls não tem limitações conhecidas.

A API do Blockchain Node Engine pode ser protegida pelo VPC Service Controls e usada normalmente dentro de perímetros de serviço.

Para mais informações sobre o Blockchain Node Engine, consulte a documentação do produto.

A API do Certificate Authority Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Certificate Authority Service, consulte a documentação do produto.

Para usar o Controlador de Configuração com o VPC Service Controls, ative as seguintes APIs dentro do seu perímetro:

• API Cloud Monitoring (monitoring.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

Se você provisionar recursos com o Controlador de Configuração, ative a API para esses recursos no perímetro de serviço. Por exemplo, se você quiser incluir uma conta de serviço do IAM, adicione a API IAM (iam.googleapis.com).

Para mais informações sobre o Controlador de Configuração, consulte a documentação do produto.

A integração do Controlador de Configuração com o VPC Service Controls não tem limitações conhecidas.

Para mais informações sobre o Data Catalog, consulte a documentação do produto.

A integração do Data Catalog com o VPC Service Controls não tem limitações conhecidas.

O Cloud Data Fusion requer algumas etapas especiais para a proteção com VPC Service Controls.

Para mais informações sobre o Cloud Data Fusion, consulte a documentação do produto.

A API Data Lineage pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Data Lineage, consulte a documentação do produto.

A integração da API Data Lineage com o VPC Service Controls não tem limitações conhecidas.

O suporte do VPC Service Controls para o Compute Engine oferece os seguintes benefícios de segurança:

• Restringe o acesso a operações confidenciais da API.
• Restringe snapshots de disco permanente e imagens personalizadas para um perímetro.
• Restringe o acesso a metadados de instância.

O suporte do VPC Service Controls para o Compute Engine permite também que você utilize redes de nuvem privada virtual e clusters particulares do Google Kubernetes Engine dentro de perímetros de serviço.

Para mais informações sobre o Compute Engine, consulte a documentação do produto.

Para usar os Insights de Conversação com o VPC Service Controls, é necessário ter as seguintes APIs adicionais dentro do seu perímetro, dependendo da sua integração.

• Para carregar dados nos Insights de Conversação, adicione a API Cloud Storage ao perímetro de serviço.

• Para usar a exportação, adicione a API BigQuery ao seu perímetro de serviço.

• Para integrar vários produtos de CCAI, adicione a API Vertex AI ao perímetro de serviço.

Para mais informações sobre Insights de Conversação, consulte a documentação do produto.

A integração dos Insights de Conversação com o VPC Service Controls não tem limitações conhecidas.

O Dataflow é compatível com vários conectores de serviço de armazenamento (em inglês). Os seguintes conectores foram verificados e funcionam com o Dataflow dentro de um perímetro de serviço:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub (Java, Python)
• Bigtable (Java)
• Spanner (Java)

Para mais informações sobre o Dataflow, consulte a documentação do produto.

• O BIND personalizado não é compatível com o Dataflow. Para personalizar a resolução de DNS ao usar o Dataflow com o VPC Service Controls, utilize as zonas particulares do Cloud DNS em vez de servidores BIND personalizados. Para usar sua própria resolução de DNS local, use um método de encaminhamento de DNS doGoogle Cloud .

• O escalonamento automático vertical não pode ser protegido por um perímetro do VPC Service Controls. Para usar o escalonamento automático vertical em um perímetro do VPC Service Controls, é preciso desativar o recurso de serviços de acessíveis pela VPC.

• Se você ativar o Dataflow Prime e lançar um novo job em um perímetro do VPC Service Controls, o job usará o Dataflow Prime sem o escalonamento automático vertical.

• Nem todos os conectores do serviço de armazenamento foram verificados quanto ao funcionamento quando usados com o Dataflow dentro de um perímetro de serviço. Para conferir uma lista dos conectores verificados, consulte "Detalhes" na seção anterior.

• Ao usar o Python 3.5 com o SDK do Apache Beam 2.20.0‐2.22.0, os jobs do Dataflow falharão na inicialização se os workers tiverem apenas endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos. Se os workers do Dataflow só puderem ter endereços IP particulares, como ao usar o VPC Service Controls para proteger recursos, não use o Python 3.5 com o SDK do Apache Beam 2.20.0-2.22.0. Essa combinação faz com que os jobs falhem na inicialização.

A API do Dataplex Universal Catalog pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Dataplex Universal Catalog, consulte a documentação do produto.

O Cloud Dataproc requer algumas etapas especiais para proteção com o VPC Service Controls.

Para mais informações sobre o Dataproc, consulte a documentação do produto.

Para proteger um cluster do Dataproc com um perímetro de serviço, siga as instruções de redes do Dataproc e do VPC Service Controls.

Google Cloud O Serverless para Apache Spark requer etapas especiais para proteção com o VPC Service Controls.

Para mais informações sobre o Google Cloud Serverless para Apache Spark, consulte a documentação do produto.

Para proteger sua carga de trabalho sem servidor com um perímetro de serviço, siga as instruções em Redes doGoogle Cloud sem servidor para Apache Spark e do VPC Service Controls.

A API do metastore do Dataproc pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Dataproc, consulte a documentação do produto.

A integração do metastore do Dataproc com o VPC Service Controls não tem limitações conhecidas.

A API do Datastream pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Datastream, consulte a documentação do produto.

A integração do Datastream com o VPC Service Controls não tem limitações conhecidas.

A API do Database Center pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Database Center, consulte a documentação do produto.

O VPC Service Controls não é compatível com acesso a recursos da API Cloud Asset no nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. O VPC Service Controls protege os recursos da API Cloud Asset no nível do projeto. É possível especificar uma política de saída para impedir o acesso a recursos da API Cloud Asset no nível do projeto a partir de projetos dentro do perímetro. Para gerenciar as permissões do Database Center no nível da pasta ou da organização, recomendamos o uso do IAM.

A API Database Insights pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Database Insights, consulte a documentação do produto.

A integração da API Database Insights com o VPC Service Controls não tem limitações conhecidas.

A API do Database Migration Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Saiba mais sobre o Database Migration Service na documentação do produto.

A API do Dialogflow pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Dialogflow, consulte a documentação do produto.

A API do Agent Assist pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Agent Assist, consulte a documentação do produto.

A API da Proteção de Dados Sensíveis pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a Proteção de Dados Sensíveis, consulte a documentação do produto.

A API do Cloud DNS pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud DNS, consulte a documentação do produto.

• Você pode acessar o Cloud DNS pelo VIP restrito. No entanto, não é possível criar ou atualizar zonas DNS públicas em projetos dentro do perímetro do VPC Service Controls.

A API da Document AI pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a Document AI, consulte a documentação do produto.

A integração da Document AI com o VPC Service Controls não tem limitações conhecidas.

A API da Document AI Warehouse pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a Document AI Warehouse, consulte a documentação do produto.

A integração da Document AI Warehouse com o VPC Service Controls não tem limitações conhecidas.

A do API Cloud Domains pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Domains, consulte a documentação do produto.

• Os dados de contato usados no Cloud Domains podem ser compartilhados com o registro de terminação de domínio ou domínio de nível superior (TLD) e podem ser acessados publicamente pelo WHOIS/RDAP, conforme suas configurações permitirem, em conformidade com as regras da ICANN. Para ver mais detalhes, consulte a página Proteção de privacidade.

• Os dados de configuração de DNS usados no Cloud Domains, ou seja, os servidores de nomes e as configurações de DNSSEC, são públicos. Se o seu domínio delegar a uma zona de DNS pública, que é o padrão, os dados de configuração de DNS dessa zona também serão públicos.

As APIs do Eventarc Advanced podem ser protegidas com o VPC Service Controls, e os recursos podem ser usados normalmente dentro de perímetros de serviço.

Um barramento do Eventarc Advanced fora de um perímetro de serviço não pode receber eventos de projetos do Google Cloud Platform dentro do perímetro. Um barramento do Eventarc Advanced dentro de um perímetro não pode rotear eventos para um consumidor fora dele.

• Para publicar em um barramento do Eventarc Advanced, a origem de um evento precisa estar no mesmo perímetro de serviço que o barramento.
• Para consumir uma mensagem, um consumidor de eventos precisa estar no mesmo perímetro de serviço que o barramento.

Para verificar a compatibilidade do VPC Service Controls com os recursos Enrollment, GoogleApiSource, MessageBus e Pipeline, consulte os registros da plataforma na entrada.

Para mais informações sobre o Eventarc Advanced, consulte a documentação do produto.

A integração do Eventarc Advanced com o VPC Service Controls não tem limitações conhecidas.

Observação: o Eventarc Standard gerencia a entrega de eventos usando tópicos e assinaturas por push do Pub/Sub. Para acessar a API Pub/Sub e gerenciar gatilhos de eventos, a API Eventarc precisa estar protegida no mesmo perímetro de serviço do VPC Service Controls que a API Pub/Sub.

Para mais informações sobre o Eventarc Standard, consulte a documentação do produto.

A API do Distributed Cloud Edge Network pode ser protegida pelo VPC Service Controls e usada normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Distributed Cloud Edge Network, consulte a documentação do produto.

A integração da API Distributed Cloud Edge Network com o VPC Service Controls não tem limitações conhecidas.

A API da IA antilavagem de dinheiro pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a IA antilavagem de dinheiro, consulte a documentação do produto.

A integração da IA antilavagem de dinheiro com o VPC Service Controls não tem limitações conhecidas.

Quando você configura e troca tokens do Firebase App Check, o VPC Service Controls protege apenas o serviço do Firebase App Check. Se quiser proteger serviços que dependem do Firebase App Check, configure perímetros de serviço para eles.

Para mais informações sobre o Firebase App Check, consulte a documentação do produto.

A integração do Firebase App Check com o VPC Service Controls não tem limitações conhecidas.

Os perímetros de serviço protegem apenas a API Firebase Data Connect. Eles não protegem o acesso às fontes de dados subjacentes, como instâncias do Cloud SQL. A restrição de acesso em instâncias de bancos de dados precisa ser configurada separadamente.

Para mais informações sobre o Firebase Data Connect, consulte a documentação do produto.

A integração do Firebase Data Connect com o VPC Service Controls não tem limitações conhecidas.

Quando você gerencia as políticas de regras de segurança do Firebase, o VPC Service Controls protege apenas o serviço de regras de segurança do Firebase. Se quiser proteger serviços que dependem das regras de segurança do Firebase, configure permissões de serviço para eles.

Para mais informações sobre as regras de segurança do Firebase, consulte a documentação do produto.

A integração das regras de segurança do Firebase com o VPC Service Controls não tem limitações conhecidas.

Consulte a documentação do Cloud Run functions para ver as etapas de configuração. A proteção do VPC Service Controls não se aplica à fase de criação, quando Cloud Run functions são criadas usando o Cloud Build. Para mais detalhes, consulte as limitações conhecidas.

Para mais informações sobre o Cloud Run functions, consulte a documentação do produto.

Quando você restringe o IAM com um perímetro, apenas as ações que usam a API Identity and Access Management são restritas. Essas ações incluem o seguinte:

• Gerenciar papéis personalizados do IAM
• Gerenciar pools de identidade da carga de trabalho
• Gerenciar contas de serviço e chaves
• Gerenciar políticas de negação
• Gerenciar vinculações de política para políticas de limite de acesso de principal

O perímetro não restringe ações relacionadas a pools de força de trabalho e políticas de limite de acesso de principal porque esses recursos são criados no nível da organização.

O perímetro também não restringe o gerenciamento de políticas de permissão para recursos pertencentes a outros serviços, como projetos, pastas e organizações do Resource Manager ou instâncias de máquina virtual do Compute Engine. Para restringir o gerenciamento de políticas de permissão para esses recursos, crie um perímetro que restrinja o serviço que detém os recursos. Para ver uma lista de recursos que aceitam políticas de permissão e os serviços que os possuem, consulte Tipos de recursos que aceitam políticas de permissão.

Além disso, o perímetro ao redor do IAM não restringe ações que usam outras APIs, incluindo as seguintes:

• API IAM Policy Simulator
• API IAM Policy Troubleshooter
• API Security Token Service
• API Service Account Credentials (incluindo os métodos legados signBlob e signJwt na API IAM)

Para mais informações sobre o Identity and Access Management, consulte a documentação do produto.

Se você estiver dentro do perímetro, não será possível chamar o método roles.list com uma string vazia para listar papéis predefinidos do IAM. Caso precise visualizar os papéis predefinidos, consulte a documentação de papéis do IAM.

Com a API IAP Admin, os usuários podem configurar o IAP.

Para mais informações sobre a API IAP Admin, consulte a documentação do produto.

A integração da API IAP Admin com o VPC Service Controls não tem limitações conhecidas.

A API Cloud KMS Inventory pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Cloud KMS Inventory, consulte a documentação do produto.

O método da API SearchProtectedResources não impõe restrições de perímetro de serviço em projetos retornados.

A API para credenciais da conta de serviço pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre as credenciais da conta de serviço, consulte a documentação do produto.

A integração das credenciais da conta de serviço com o VPC Service Controls não tem limitações conhecidas.

A API Service Metadata pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Service Metadata, consulte a documentação do produto.

A integração da API Service Metadata com o VPC Service Controls não tem limitações conhecidas.

Se você estiver usando o acesso a serviços particulares, recomendamos ativar o VPC Service Controls para a conexão com a rede de serviços. Assim, os produtores de serviços ficam restritos a acessar apenas as APIs compatíveis com o VPC Service Controls pela conexão com a rede de serviços.

Só é possível ativar o VPC Service Controls para a rede de serviços usando a API EnableVpcServiceControls. Só é possível desativar o VPC Service Controls para a rede de serviços usando a API DisableVpcServiceControls.

Para mais informações sobre a rede de serviços, consulte a documentação do produto.

A integração da rede de serviços com o VPC Service Controls não tem limitações conhecidas.

A API para acesso VPC sem servidor pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o acesso VPC sem servidor, consulte a documentação do produto.

A integração do acesso VPC sem servidor com o VPC Service Controls não tem limitações conhecidas.

A API Cloud KMS pode ser protegida pelo VPC Service Controls, e o produto pode ser usado dentro de perímetros de serviço. O acesso aos serviços do Cloud HSM também é protegido pelo VPC Service Controls e pode ser usado dentro de perímetros de serviço.

Para mais informações sobre o Cloud Key Management Service, consulte a documentação do produto.

A integração do Cloud Key Management Service com VPC Service Controls não tem limitações conhecidas.

A API do Game Servers pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre os servidores de jogos, consulte a documentação do produto.

A integração do Game Servers com o VPC Service Controls não tem limitações conhecidas.

A API do Gemini Code Assist pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço. Isso inclui a personalização de código.

Para mais informações sobre o Gemini Code Assist, consulte a documentação do produto.

O controle de acesso com base no dispositivo, endereço IP público ou local não é compatível com o Gemini no console do Google Cloud .

A API do Identity-Aware Proxy para TCP pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Identity-Aware Proxy para TCP, consulte a documentação do produto.

A API do Cloud Life Sciences pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Life Sciences, consulte a documentação do produto.

A integração do Cloud Life Sciences com o VPC Service Controls não tem limitações conhecidas.

Configuração extra necessária para:

• Acesso local à API Managed Microsoft AD
• VPC compartilhada

Para mais informações sobre o serviço gerenciado para o Microsoft Active Directory, consulte a documentação do produto.

A integração do serviço gerenciado para o Microsoft Active Directory com o VPC Service Controls não tem limitações conhecidas.

A API do reCAPTCHA pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o reCAPTCHA, consulte a documentação do produto.

A integração do reCAPTCHA com o VPC Service Controls não tem limitações conhecidas.

A API do Web Risk pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Web Risk, consulte a documentação do produto.

A API Evaluate e a API Submission não são compatíveis com o VPC Service Controls.

A API do Recomendador pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Recomendador, consulte a documentação do produto.

• O VPC Service Controls não é compatível com recursos de organização, pasta ou conta de faturamento.

A API do Secret Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Secret Manager, consulte a documentação do produto.

A integração do Secret Manager com o VPC Service Controls não tem limitações conhecidas.

A proteção do VPC Service Controls se aplica a todas as operações de administrador, editor e assinante (exceto para assinaturas por push).

Para mais informações sobre o Pub/Sub, consulte a documentação do produto.

Em projetos protegidos por um perímetro de serviço, as seguintes limitações se aplicam:

• Não é possível criar assinaturas por push, a menos que os endpoints de push estejam configurados para serviços do Cloud Run com URLs run.app padrão ou uma execução do Workflows (domínios personalizados não funcionam). Para mais informações sobre a integração com o Cloud Run, consulte Como usar o VPC Service Controls.
• Para assinaturas que não são por push, é necessário criar uma assinatura no mesmo perímetro do tópico ou ativar regras de saída para permitir o acesso do tópico à assinatura.
• Ao rotear eventos pelo Eventarc para destinos do Workflows em que o endpoint de push está definido como uma execução do Workflows, só é possível criar assinaturas por push pelo Eventarc.
• As assinaturas do Pub/Sub criadas antes do perímetro de serviço não são bloqueadas.

A proteção do VPC Service Controls se aplica a todas as operações do assinante.

Para mais informações sobre o Pub/Sub Lite, consulte a documentação do produto.

A integração do Pub/Sub Lite com o VPC Service Controls não tem limitações conhecidas.

Use o VPC Service Controls com pools privados do Cloud Build para aumentar a segurança dos seus builds.

Para mais informações sobre o Cloud Build, consulte a documentação do produto.

• A proteção do VPC Service Controls está disponível apenas para builds executados em pools privados.

• Não há compatibilidade com gatilhos do Cloud Build Pub/Sub.

A API do Cloud Deploy pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Deploy, consulte a documentação do produto.

Para usar o Cloud Deploy em um perímetro, você precisa usar um pool privado do Cloud Build para os ambientes de execução de destino. Não use o pool de workers padrão do Cloud Build e nem um pool híbrido.

Como configurar o Composer para uso com o VPC Service Controls

Para mais informações sobre o Cloud Composer, consulte a documentação do produto.

• A ativação da serialização do DAG impede que o Airflow exiba um modelo renderizado com funções na IU da Web.

• A definição da sinalização async_dagbag_loader como True não é permitida com a serialização do DAG ativada.

• A ativação da serialização do DAG desativa todos os plug-ins do servidor da Web do Airflow, porque eles podem prejudicar a segurança da rede VPC em que o Cloud Composer está implantado. Isso não afeta o comportamento dos plug-ins do programador ou do worker, incluindo os operadores e sensores do Airflow.

• Quando o Cloud Composer está sendo executado em um perímetro, o acesso a repositórios PyPI públicos é restrito. Na documentação do Cloud Composer, consulte Como instalar dependências do Python para saber como instalar os módulos do PyPi no modo de IP privado.

• O Cloud Composer não é compatível com o uso de identidades de terceiros em regras de entrada e saída para operações da interface da Web do Apache Airflow. No entanto, é possível usar o tipo de identidade ANY_IDENTITY nas regras de entrada e saída para permitir o acesso a todas as identidades, incluindo as de terceiros. Para mais informações sobre o tipo de identidade ANY_IDENTITY, consulte Regras de entrada e saída.

A API de cotas do Cloud pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre as cotas do Cloud, consulte a documentação do produto.

Para mais informações sobre o Cloud Run, consulte a documentação do produto.

• Criação de job do Cloud Scheduler
• Atualizações de jobs do Cloud Scheduler

Para mais informações sobre o Cloud Scheduler, consulte a documentação do produto.

A API do Spanner pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Spanner, consulte a documentação do produto.

A integração Spanner com VPC Service Controls não tem limitações conhecidas.

A API do Speaker ID pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Speaker ID, consulte a documentação do produto.

A integração do Speaker ID com o VPC Service Controls não tem limitações conhecidas.

A API do Cloud Storage pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Storage, consulte a documentação do produto.

A API do Cloud Tasks pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

As solicitações HTTP das execuções do Cloud Tasks são compatíveis da seguinte maneira:

• As solicitações autenticadas para endpoints do Cloud Run functions e Cloud Run compatíveis com o VPC Service Controls são permitidas.
• As solicitações para endpoints que não são do Cloud Run functions nem do Cloud Run são bloqueadas.
• As solicitações para endpoints do Cloud Run functions e do Cloud Run que não são compatíveis com o VPC Service Controls são bloqueadas.

Para mais informações sobre o Cloud Tasks, consulte a documentação do produto.

Os perímetros do VPC Service Controls protegem a API Cloud SQL Admin.

Para mais informações sobre o Cloud SQL, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Cloud SQL Admin. Eles não protegem o acesso a dados com base em IP nas instâncias do Cloud SQL. Você precisa usar uma restrição de política da organização para restringir o acesso ao IP público nas instâncias do Cloud SQL.
• Antes de configurar o VPC Service Controls para o Cloud SQL, ative a API Service Networking.

• As importações e exportações do Cloud SQL só podem executar leituras e gravações de um bucket do Cloud Storage no mesmo perímetro de serviço da instância de réplica do Cloud SQL.

• No fluxo de migração do servidor externo, você precisa adicionar o bucket do Cloud Storage ao mesmo perímetro de serviço.

• No fluxo de criação de chaves para CMEK, use uma das seguintes configurações:

  • Crie a chave no mesmo perímetro de serviço que os recursos que a usam, como o Cloud SQL.
  • Crie a chave em um perímetro de serviço conectado, por uma ponte de perímetro, ao perímetro de serviço que protege o Cloud SQL.
• Ao restaurar uma instância de um backup, a instância de destino precisa estar no mesmo perímetro de serviço que o backup.

A API Video Intelligence pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Video Intelligence, consulte a documentação do produto.

A integração da API Video Intelligence com o VPC Service Controls não tem limitações conhecidas.

A API Cloud Vision pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Cloud Vision, consulte a documentação do produto.

Para usar o Artifact Analysis com o VPC Service Controls, talvez seja necessário adicionar outros serviços ao perímetro do VPC:

• Se você estiver usando as notificações do Pub/Sub com o Artifact Analysis, adicione o Pub/Sub ao perímetro de serviço.
• Se estiver usando a API Container Scanning, adicione seu registro ao perímetro: Artifact Registry ou Container Registry.

Como a API Container Scanning não tem superfície e armazena os resultados no Artifact Analysis, você não precisa protegê-la com um perímetro de serviço.

Para mais informações sobre o Artifact Analysis, consulte a documentação do produto.

A integração do Artifact Analysis com o VPC Service Controls não tem limitações conhecidas.

Além de proteger a API Container Registry, o Container Registry pode ser usado dentro de um perímetro de serviço com o GKE e o Compute Engine.

Para mais informações sobre o Container Registry, consulte a documentação do produto.

• Ao especificar uma política de entrada ou saída para um perímetro de serviço, não é possível usar ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Container Registry.

  Como solução alternativa, use ANY_IDENTITY como o tipo de identidade.

• Como o Container Registry usa o domínio gcr.io, configure o DNS para que *.gcr.io mapeie para private.googleapis.com ou restricted.googleapis.com. Para mais informações, consulte Como proteger o Container Registry em um perímetro de serviço.

• Além dos contêineres dentro de um perímetro que estão disponíveis para o Container Registry, os seguintes repositórios somente de leitura estão disponíveis para todos os projetos, seja qual for a restrição aplicada pelos perímetros de serviço:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  Em todos os casos, as versões regionais desses repositórios também estão disponíveis.

A API do Google Kubernetes Engine pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Google Kubernetes Engine, consulte a documentação do produto.

• Para proteger totalmente a API Google Kubernetes Engine, inclua também a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.
• Somente clusters particulares podem ser protegidos usando o VPC Service Controls. Os clusters com endereços IP públicos não são compatíveis com o VPC Service Controls.

• A entrada de serviço do GKE nesta tabela especifica apenas o controle da própria API do GKE. O GKE depende de vários outros serviços subjacentes para operar, como Compute Engine, Cloud Logging, Cloud Monitoring e a API Autoscaling (autoscaling.googleapis.com). Para proteger seus ambientes do GKE com o VPC Service Controls, verifique se todos os serviços subjacentes necessários também estão incluídos no perímetro de serviço. Consulte a documentação do GKE para uma lista completa desses serviços.

A API Container Security pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Container Security, consulte a documentação do produto.

A integração da API Container Security com o VPC Service Controls não tem limitações conhecidas.

O streaming de imagens é um recurso de streaming de dados do GKE que fornece tempos de extração de imagem de contêiner menores para imagens armazenadas no Artifact Registry. Caso o VPC Service Controls proteja suas imagens de contêiner e você use o streaming de imagens, inclua também a API Image Streaming no perímetro de serviço.

Para mais informações sobre o streaming de imagens, consulte a documentação do produto.

• Os seguintes repositórios somente leitura estão disponíveis para todos os projetos, independentemente das restrições aplicadas pelos perímetros de serviço:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

As APIs de gerenciamento de frota, incluindo o Connect Gateway, podem ser protegidas com o VPC Service Controls, e os recursos de gerenciamento de frotas podem ser usados normalmente dentro de perímetros de serviço. Para ver mais informações, consulte os seguintes tópicos:

• Usar o VPC Service Controls com o Agente do Connect
• Usar o VPC Service Controls com o Connect Gateway

Para mais informações sobre frotas, consulte a documentação do produto.

• Embora todos os recursos de gerenciamento de frota possam ser usados normalmente, ativar um perímetro de serviço na API do Stackdriver impede que o recurso de frota do Controlador de Políticas se integre ao Security Command Center.
• Ao usar o Connect Gateway para acessar clusters do GKE, o perímetro do VPC Service Controls para container.googleapis.com não é aplicado.

A API FleetPackage pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API FleetPackage, consulte a documentação do produto.

A integração da API FleetPackage com o VPC Service Controls não tem limitações conhecidas.

Os métodos da API Cloud Resource Manager a seguir podem ser protegidos pelo VPC Service Controls:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Para mais informações sobre o Resource Manager, consulte a documentação do produto.

• Usando o VPC Service Controls, só é possível proteger as chaves de tag subordinadas a um recurso do projeto e os valores de tag correspondentes. Quando um projeto é adicionado a um perímetro do VPC Service Controls, todas as chaves de tag e os valores de tag correspondentes no projeto são considerados recursos dentro do perímetro.
• As chaves de tag subordinadas a um recurso da organização e os valores de tag correspondentes não podem ser incluídos em um perímetro do VPC Service Controls e não podem ser protegidos usando o VPC Service Controls.
• Os clientes dentro de um perímetro do VPC Service Controls não podem acessar chaves de tag e valores correspondentes subordinados a um recurso da organização, a menos que uma regra de saída que permita acesso esteja definida no perímetro. Consulte mais informações sobre como definir regras de saída em Regras de entrada e saída.
• As vinculações de tag são consideradas recursos dentro do mesmo perímetro que o recurso a que o valor da tag está vinculado. Por exemplo, as vinculações de tag em uma instância do Compute Engine em um projeto são consideradas pertencentes a esse projeto, independentemente de onde a chave de tag está definida.
• Alguns serviços, como o Compute Engine, permitem criar vinculações de tag usando as próprias APIs de serviço, além das APIs de serviço do Resource Manager. Por exemplo, adicionar tags a uma VM do Compute Engine durante a criação do recurso. Para proteger as vinculações de tag criadas ou excluídas usando essas APIs de serviço, adicione o serviço correspondente, como compute.googleapis.com, à lista de serviços restritos no perímetro.
• As tags são compatíveis com restrições no nível do método. Assim, é possível definir o escopo do method_selectors para métodos específicos da API. Consulte uma lista de métodos restritos em Restrições de método de serviço compatíveis.
• A atribuição do papel de proprietário em um projeto pelo console do Google Cloud agora é compatível com o VPC Service Controls. Não é possível enviar um convite de proprietário nem aceitar convites fora dos perímetros de serviço. Se tentar aceitar um convite de fora do perímetro, você não vai receber o papel de proprietário nem ver nenhum erro ou mensagem de aviso.

A API do Cloud Logging pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Logging, consulte a documentação do produto.

A API do Certificate Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Certificate Manager, consulte a documentação do produto.

A integração do Certificate Manager com o VPC Service Controls não tem limitações conhecidas.

A API do Cloud Monitoring pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Monitoring, consulte a documentação do produto.

A API do Cloud Profiler pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Profiler, consulte a documentação do produto.

A integração do Cloud Profiler com o VPC Service Controls não tem limitações conhecidas.

A API Telemetry pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Telemetry, consulte a documentação do produto.

A integração da API Telemetry com o VPC Service Controls não tem limitações conhecidas.

A API Timeseries Insights pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API TimeSeries Insights, consulte a documentação do produto.

A integração da API Timeseries Insights com o VPC Service Controls não tem limitações conhecidas.

A do API Cloud Trace pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Trace, consulte a documentação do produto.

A integração do Cloud Trace com o VPC Service Controls não tem limitações conhecidas.

A API do Cloud TPU pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud TPU, consulte a documentação do produto.

A integração do Cloud TPU com o VPC Service Controls não tem limitações conhecidas.

Para mais informações sobre a API Natural Language, consulte a documentação do produto.

Como a API Natural Language é uma API sem estado e não é executada em projetos, o uso do VPC Service Controls para protegê-la não tem efeito.

A API do Network Connectivity Center pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Network Connectivity Center, consulte a documentação do produto.

A integração do Network Connectivity Center com o VPC Service Controls não tem limitações conhecidas.

A API Cloud Asset pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Cloud Asset, consulte a documentação do produto.

• O VPC Service Controls não é compatível com acesso a recursos da API Cloud Asset no nível da pasta ou da organização a partir de recursos e clientes dentro de um perímetro de serviço. O VPC Service Controls protege os recursos da API Cloud Asset no nível do projeto. É possível especificar uma política de saída para impedir o acesso de projetos dentro do perímetro a recursos da API Cloud Asset no nível do projeto.
• O VPC Service Controls não é compatível com a adição de recursos da API Cloud Asset no nível da pasta ou da organização a um perímetro de serviço. Não é possível usar um perímetro para proteger os recursos da API Cloud Asset no nível da pasta ou da organização. Para gerenciar as permissões do Inventário de Recursos do Cloud no nível da pasta ou da organização, recomendamos o uso do IAM.

A API do Speech-to-Text pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Speech-to-Text, consulte a documentação do produto.

A integração do Speech-to-Text com o VPC Service Controls não tem limitações conhecidas.

A API do Text-to-Speech pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Text-to-Speech, consulte a documentação do produto.

A integração do Text-to-Speech com o VPC Service Controls não tem limitações conhecidas.

A API do Translation pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Translation, consulte a documentação do produto.

O Cloud Translation - Advanced (v3) é compatível com o VPC Service Controls, mas não com o Cloud Translation - Basic (v2). Para aplicar o VPC Service Controls, é necessário usar a versão Advanced do Cloud Translation (v3). Para mais informações sobre as diferentes edições, consulte Comparar as edições Basic e Advanced.

Crie um perímetro de serviço para o License Manager com a API License Manager para proteger suas licenças.

Para mais informações sobre o License Manager, consulte a documentação do produto.

A integração do License Manager com o VPC Service Controls não tem limitações conhecidas.

Use o VPC Service Controls com a API Live Stream para proteger seu pipeline.

Para mais informações sobre a API Live Stream, consulte a documentação do produto.

Para proteger os endpoints de entrada com um perímetro de serviço, siga as instruções para configurar um pool particular e enviar streams de vídeo de entrada por uma conexão particular.

A API Transcoder pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Transcoder, consulte a documentação do produto.

A integração da API Transcoder com o VPC Service Controls não tem limitações conhecidas.

A API Video Stitcher pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Video Stitcher, consulte a documentação do produto.

A integração da API Video Stitcher com o VPC Service Controls não tem limitações conhecidas.

A API do Access Approval pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Access Approval, consulte a documentação do produto.

A integração do Access Approval com o VPC Service Controls não tem limitações conhecidas.

A API Cloud Healthcare pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Cloud Healthcare, consulte a documentação do produto.

O VPC Service Controls não é compatível com chaves de criptografia gerenciadas pelo cliente (CMEK) na API Cloud Healthcare.

Recomendamos colocar o projeto do Serviço de transferência do Cloud Storage no mesmo perímetro de serviço que os recursos do Cloud Storage. Isso protege a transferência e os recursos do Cloud Storage. O Serviço de transferência do Cloud Storage também aceita cenários em que o projeto dele não esteja no mesmo perímetro dos buckets do Cloud Storage usando uma política de saída.

Para informações de configuração, consulte Como usar o serviço de transferência do Cloud Storage com VPC Service Controls

Serviço de transferência de dados locais

Consulte Como usar a transferência local com VPC Service Controls para ver detalhes e informações de configuração da transferência local.

Para mais informações sobre o serviço de transferência do Cloud Storage, consulte a documentação do produto.

A API do Service Control pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Service Control, consulte a documentação do produto.

• Quando você chama a API Service Control de uma rede VPC em um perímetro de serviço com o Service Control restrito para gerar relatórios de métricas de faturamento ou análises, só é possível usar o método Relatório do Service Control para gerar relatórios de métricas de serviços compatíveis com o VPC Service Controls.

A API do Memorystore for Redis pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Memorystore para Redis, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Memorystore for Redis. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Redis dentro da mesma rede.

• Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Redis só poderão ler e gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da instância do Memorystore for Redis.

• Ao usar a VPC compartilhada e o VPC Service Controls, é necessário que você tenha o projeto de host que fornece a rede e o projeto de serviço que contém a instância do Redis dentro do mesmo perímetro para que as solicitações do Redis sejam bem-sucedidas. A qualquer momento, separar o projeto de host e o de serviço com um perímetro pode causar uma falha na instância do Redis, além das solicitações bloqueadas. Para mais informações, consulte os requisitos de configuração do Memorystore for Redis.

A API do Memorystore for Memcached pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Memorystore for Memcached, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Memorystore for Memcached. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Memcached dentro da mesma rede.

• Os perímetros de serviço protegem apenas a API Memorystore for Valkey. Os perímetros não protegem o acesso normal aos dados em instâncias do Memorystore for Valkey dentro da mesma rede.

• Se a API Cloud Storage também estiver protegida, as operações de importação e exportação do Memorystore for Valkey só poderão ler e gravar em um bucket do Cloud Storage dentro do mesmo perímetro de serviço da instância do Memorystore for Valkey.

• Ao usar a VPC compartilhada e o VPC Service Controls, é necessário que você tenha o projeto de host que fornece a rede e o projeto de serviço que contém a instância do Redis dentro do mesmo perímetro para que as solicitações do Redis sejam bem-sucedidas. A qualquer momento, separar o projeto de host e o de serviço com um perímetro pode causar uma falha na instância do Redis, além das solicitações bloqueadas. Para mais informações, consulte os requisitos de configuração do Memorystore for Valkey.

• A API Memorystore for Valkey está disponível em memorystore.googleapis.com. Por isso, o nome de exibição do Memorystore for Valkey é "API Memorystore" ao usar o VPC Service Controls no console do Google Cloud .

Para mais informações sobre o Memorystore for Valkey, consulte a documentação do produto.

A API do Diretório de serviços pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Diretório de serviços, consulte a documentação do produto.

A integração do Diretório de Serviços com o VPC Service Controls não tem limitações conhecidas.

Para proteger totalmente a Visual Inspection AI, inclua todas as seguintes APIs no perímetro:

• API Visual Inspection AI (visualinspection.googleapis.com)
• API Vertex AI (aiplatform.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Artifact Registry (artifactregistry.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Para mais informações sobre a Visual Inspection AI, consulte a documentação do produto.

A integração da Visual Inspection AI com o VPC Service Controls não tem limitações conhecidas.

O Transfer Appliance é totalmente compatível com projetos que usam VPC Service Controls.

O Transfer Appliance não oferece uma API e, portanto, não é compatível com recursos relacionados à API no VPC Service Controls.

Para mais informações sobre o Transfer Appliance, consulte a documentação do produto.

• Quando o Cloud Storage é protegido pelo VPC Service Controls, a chave do Cloud KMS que você compartilha com a equipe do Transfer Appliance precisa estar no mesmo projeto que o bucket do Cloud Storage de destino.

A API do Organization Policy Service pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Organization Policy Service, consulte a documentação do produto.

O VPC Service Controls não aceita restrições de acesso a políticas da organização no nível da pasta ou da organização que são herdadas pelo projeto. O VPC Service Controls protege os recursos da API Organization Policy Service no nível do projeto.

Por exemplo, se uma regra de entrada restringir o acesso de um usuário à API Organization Policy Service, esse usuário receberá um erro 403 ao consultar as políticas da organização aplicadas ao projeto. Mas o usuário ainda pode acessar as políticas da organização da pasta e da organização que contém o projeto.

É possível chamar a API OS Login de dentro dos perímetros do VPC Service Controls. Para gerenciar o login do SO nos perímetros do VPC Service Controls, configure o login do SO.

As conexões SSH com instâncias de VM não são protegidas pelo VPC Service Controls.

Para mais informações sobre o login do SO, consulte a documentação do produto.

Os métodos de Login do SO para ler e gravar chaves SSH não aplicam os perímetros do VPC Service Controls. Use os serviços acessíveis pelo VPC para desativar o acesso às APIs OS Login.

A API do Personalized Service Health pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Personalized Service Health, consulte a documentação do produto.

O VPC Service Controls não é compatível com os recursos OrganizationEvents e OrganizationImpacts da API Service Health. Portanto, as verificações de política do VPC Service Controls não ocorrem quando você chama os métodos desses recursos. No entanto, é possível chamar os métodos de um perímetro de serviço usando um VIP restrito.

É possível chamar a API OS Config de dentro dos perímetros do VPC Service Controls. Para usar o VM Manager a partir de perímetros do VPC Service Controls, configure o VM Manager.

Para mais informações sobre o VM Manager, consulte a documentação do produto.

O Workflows é uma plataforma de orquestração que pode combinar serviços do Google Cloud Platform e APIs baseadas em HTTP para executar serviços na ordem que você definir.

Quando você protege a API Workflows usando um perímetro de serviço, a API Workflow Executions também é protegida. Não é necessário adicionar workflowexecutions.googleapis.com separadamente à lista de serviços protegidos do seu perímetro.

As solicitações HTTP de uma execução do Workflows são compatíveis da seguinte maneira:

• São permitidas solicitações autenticadas para os endpoints do Google Cloud compatíveis com o VPC Service Controls.
• As solicitações para endpoints do Cloud Run functions e do serviço do Cloud Run são permitidas.
• As solicitações para endpoints de terceiros são bloqueadas.
• As solicitações para endpoints do Google Cloud não compatíveis com o VPC Service Controls são bloqueadas.

Para mais informações sobre o Workflows, consulte a documentação do produto.

A integração do Workflows com o VPC Service Controls não tem limitações conhecidas.

A API do Filestore pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Filestore, consulte a documentação do produto.

• Os perímetros de serviço protegem apenas a API Filestore. Os perímetros não protegem o acesso normal a dados NFS em instâncias do Filestore na mesma rede.

• Ao usar a VPC compartilhada e o VPC Service Controls, o projeto de host que fornece a rede e o projeto de serviço que contém a instância do Filestore precisam estar dentro do mesmo perímetro para que essa instância funcione corretamente. Separar o projeto de host e o projeto de serviço com um perímetro pode fazer com que as instâncias atuais fiquem indisponíveis e impedir a criação de novas instâncias.

Para mais informações sobre o Parallelstore, consulte a documentação do produto.

• Ao usar a VPC compartilhada e o VPC Service Controls, o projeto de host que fornece a rede e o projeto de serviço que contém a instância do Filestore precisam estar dentro do mesmo perímetro para que essa instância funcione corretamente. Separar o projeto de host e o projeto de serviço com um perímetro pode fazer com que as instâncias fiquem indisponíveis e impedir a criação de novas instâncias.

A API do Container Threat Detection pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Container Threat Detection, consulte a documentação do produto.

Para mais informações sobre o Ads Data Hub, consulte a documentação do produto.

O VPC Service Controls só restringe trocas de token se o público-alvo na solicitação for um recurso no nível do projeto. Por exemplo, o VPC Service Controls não restringe solicitações de tokens com escopo reduzido, porque essas solicitações não têm público-alvo. O VPC Service Controls também não restringe solicitações para a federação de identidade de colaboradores porque o público-alvo é um recurso da organização.

Para mais informações sobre o serviço de token de segurança, consulte a documentação do produto.

Os serviços firestore.googleapis.com, datastore.googleapis.com e firestorekeyvisualizer.googleapis.com são agrupados. Quando você restringe o serviço firestore.googleapis.com em um perímetro, o perímetro também restringe os serviços datastore.googleapis.com e firestorekeyvisualizer.googleapis.com. Não é necessário adicionar esses serviços separadamente à lista de serviços protegidos do seu perímetro.

Para restringir o serviço datastore.googleapis.com, use o nome de serviço firestore.googleapis.com.

Para ter proteção total de saída em operações de importação e exportação, é necessário usar o agente de serviço do Firestore. Para saber mais, consulte os seguintes artigos:

• Como proteger as operações de importação e exportação do Firestore com o VPC Service Controls.
• Como proteger as operações de importação e exportação do Datastore com o VPC Service Controls.

Para mais informações sobre o Firestore/Datastore, consulte a documentação do produto.

A API do Migrate to Virtual Machines pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Migrate to Virtual Machines, consulte a documentação do produto.

• Para proteger totalmente o Migrate to Virtual Machines, adicione todas as APIs a seguir ao perímetro de serviço:

  • API Artifact Registry (artifactregistry.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Para mais informações, consulte a documentação do Migrate to Virtual Machines.

Com o VPC Service Controls, é possível proteger os dados de infraestrutura coletados com o Migration Center usando um perímetro de serviço.

Para mais informações sobre o Migration Center, consulte a documentação do produto.

A API do Serviço de Backup e DR pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Serviço de Backup e DR, consulte a documentação do produto.

Se você remover a rota padrão da Internet do projeto de produtor de serviços usando o comando gcloud services vpc-peerings enable-vpc-service-controls, talvez não seja possível acessar ou implantar o console de gerenciamento. Se encontrar esse problema, entre em contato com o Google Cloud Customer Care.

É possível usar o VPC Service Controls para proteger o Backup para GKE e usar os recursos dele normalmente dentro de perímetros de serviço.

Para mais informações sobre o Backup para GKE, consulte a documentação do produto.

A integração do Backup para GKE com o VPC Service Controls não tem limitações conhecidas.

A API Retail pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API Retail, consulte a documentação do produto.

A integração da API Retail com o VPC Service Controls não tem limitações conhecidas.

O Application Integration é um sistema de gerenciamento de fluxo de trabalho colaborativo que permite criar, aumentar, depurar e entender os principais fluxos de trabalho do sistema de negócios. Os fluxos de trabalho no Application Integration são compostos por gatilhos e tarefas. Há vários tipos de gatilhos, como gatilhos de API, do Pub/Sub, de cron e do SFDC.

Para mais informações sobre o Application Integration, consulte a documentação do produto.

A API do Integration Connectors pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Integration Connectors, consulte a documentação do produto.

A API do Error Reporting pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Error Reporting, consulte a documentação do produto.

A do API do Cloud Workstations pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Workstations, consulte a documentação do produto.

• Para proteger totalmente o Cloud Workstations, é preciso restringir a API Compute Engine ao perímetro de serviço sempre que restringir a API Cloud Workstations.
• Verifique se as APIs Google Cloud Storage, Google Container Registry e Artifact Registry são acessíveis por VPC no seu perímetro de serviço. Isso é necessário para extrair imagens para sua estação de trabalho. Também é recomendável permitir que as APIs Cloud Logging e Cloud Error Reporting sejam acessíveis por VPC no perímetro de serviço, embora isso não seja necessário para usar as Cloud Workstations.
• Verifique se o cluster da sua estação de trabalho é particular. A configuração de um cluster particular impede conexões às suas estações de trabalho a partir de fora do perímetro de serviço do VPC.
• Desative os endereços IP públicos na configuração da sua estação de trabalho. Não fazer isso resulta em VMs com endereços IP públicos no seu projeto. Recomendamos usar a restrição de política da organização constraints/compute.vmExternalIpAccess para desativar endereços IP públicos em todas as VMs no perímetro de serviço da VPC. Para mais detalhes, consulte Como restringir endereços IP externos a VMs específicas.
• Durante a conexão com a estação de trabalho, o controle de acesso considera apenas se a rede privada pertence ao perímetro de segurança. O controle de acesso com base no dispositivo, endereço IP público ou local não é compatível.

A API do Cloud IDS pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud IDS, consulte a documentação do produto.

O Cloud IDS usa o Cloud Logging para criar registros de ameaças no seu projeto. Se o Cloud Logging for restrito pelo perímetro de serviço, o VPC Service Controls vai bloquear os registros de ameaças do Cloud IDS, mesmo que o Cloud IDS não seja adicionado como um serviço restrito ao perímetro. Para usar o Cloud IDS dentro de um perímetro de serviço, configure uma regra de entrada para a conta de serviço do Cloud Logging no perímetro de serviço.

Para mais informações sobre o Chrome Enterprise Premium, consulte a documentação do produto.

A integração do Chrome Enterprise Premium com o VPC Service Controls não tem limitações conhecidas.

Ao restringir a API Policy Troubleshooter com um perímetro, os principais só podem resolver problemas de políticas de permissão do IAM se todos os recursos envolvidos na solicitação estiverem no mesmo perímetro. Geralmente, há dois recursos envolvidos em uma solicitação de solução de problemas:

• O recurso para o qual você está resolvendo o problema de acesso. Esse recurso pode ser de qualquer tipo. Especifique-o explicitamente ao resolver problemas de uma política de permissão.

• O recurso que você está usando para resolver problemas de acesso. Esse recurso é um projeto, uma pasta ou uma organização. No console do Google Cloud e na gcloud CLI, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho x-goog-user-project.

  Esse recurso pode ser igual ao recurso para o qual você está resolvendo problemas de acesso, mas não precisa ser.

Se esses recursos não estiverem no mesmo perímetro, a solicitação vai falhar.

Para mais informações sobre o Solucionador de Problemas de Políticas, consulte a documentação do produto.

A integração do Solucionador de Problemas de Políticas ao VPC Service Controls não tem limitações conhecidas.

Ao restringir a API Policy Simulator com um perímetro, os principais podem simular políticas de permissão somente se determinados recursos envolvidos na simulação estiverem no mesmo perímetro. Vários recursos são envolvidos em uma simulação:

• O recurso cuja política de permissão você está simulando. Ele também é chamado de recurso de destino. No console do Google Cloud , esse é o recurso cuja política de permissão você está editando. Na gcloud CLI e na API REST, você especifica esse recurso explicitamente ao simular uma política de permissão.

• O projeto, a pasta ou a organização que cria e executa a simulação. Esse recurso também é chamado de recurso de host. No console do Google Cloud e na gcloud CLI, esse recurso é inferido com base no projeto, na pasta ou na organização selecionada. Na API REST, você especifica esse recurso usando o cabeçalho x-goog-user-project.

  Esse recurso pode ser igual àquele para o qual você está simulando acesso, mas não precisa ser.

• O recurso que fornece registros de acesso para a simulação. Em uma simulação, sempre há um recurso que fornece registros de acesso. Ele varia de acordo com o tipo de recurso de destino:

  • Se você estiver simulando uma política de permissão para um projeto ou organização, o Simulador de Política recupera os registros de acesso desse projeto ou organização.
  • Se você estiver simulando uma política de permissão para um tipo diferente de recurso, o Simulador de Política recupera os registros de acesso do projeto-pai ou da organização-mãe desse recurso.
  • Se você estiver simulando as políticas de permissão de vários recursos de uma só vez, o Simulador de Política recupera os registros de acesso do projeto ou da organização comum mais próximo dos recursos.
• Todos os recursos compatíveis com políticas de permissão relevantes. Quando o Simulador de Política executa uma simulação, ele considera todas as políticas de permissão que podem afetar o acesso do usuário, incluindo as políticas de permissão nos recursos ancestrais e descendentes do recurso de destino. Como resultado, esses recursos ancestrais e descendentes também são envolvidos em simulações.

Se o recurso de destino e o recurso de host não estiverem no mesmo perímetro, a solicitação vai falhar.

Se o recurso de destino e o recurso que fornece registros de acesso para a simulação não estiverem no mesmo perímetro, a solicitação vai falhar.

Se o recurso de destino e alguns recursos compatíveis com políticas de permissão relevantes não estiverem no mesmo perímetro, as solicitações serão bem-sucedidas, mas os resultados poderão ficar incompletos. Por exemplo, se você estiver simulando uma política para um projeto em um perímetro, os resultados não incluirão a política de permissão da organização-mãe do projeto, porque as organizações estão sempre fora dos perímetros do VPC Service Controls. Para resultados mais completos, configure regras de entrada e saída para o perímetro.

Para mais informações sobre o Simulador de Política, consulte a documentação do produto.

A integração do Simulador de Política com o VPC Service Controls não tem limitações conhecidas.

A API dos Contatos Essenciais pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre os Contatos Essenciais, consulte a documentação do produto.

A integração dos Contatos Essenciais com o VPC Service Controls não tem limitações conhecidas.

A API do Identity Platform pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Identity Platform, consulte a documentação do produto.

• Se quiser proteger totalmente o Identity Platform, adicione a API Secure Token (securetoken.googleapis.com) ao perímetro de serviço para permitir a atualização do token. securetoken.googleapis.com não está listado na página do VPC Service Controls do console do Google Cloud . Esse serviço só pode ser adicionado com o comando gcloud access-context-manager perimeters update.

• Se o aplicativo também for integrado ao recurso de funções de bloqueio, adicione o Cloud Run functions (cloudfunctions.googleapis.com) ao perímetro de serviço.

• O uso da autenticação multifator (MFA) por SMS, da autenticação de e-mail ou de provedores de identidade de terceiros faz com que os dados sejam enviados para fora do perímetro. Se você não usa esses recursos, desative-os.

A API do GKE Multi-cloud pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o GKE Multi-cloud, consulte a documentação do produto.

• Para proteger totalmente a API GKE Multi-cloud, inclua também a API Kubernetes Metadata (kubernetesmetadata.googleapis.com) no seu perímetro.

A API GKE On-Prem pode ser protegida pelo VPC Service Controls, e a API pode ser usada normalmente dentro de perímetros de serviço.

Para mais informações sobre a API GKE On-Prem, consulte a documentação do produto.

• Para proteger totalmente a API GKE On-Prem, adicione todas as APIs a seguir ao perímetro de serviço:

  • API Kubernetes Metadata (kubernetesmetadata.googleapis.com)
  • API Cloud Monitoring (monitoring.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  O VPC Service Controls não protege contra exportações de registros do Cloud Logging no nível de pasta ou organização.

É possível criar um cluster no ambiente conectado à VPC usando o Cloud Interconnect ou o Cloud VPN.

Para mais informações sobre o Google Distributed Cloud (somente software) para Bare Metal, consulte a documentação do produto.

• Para proteger seus clusters, use o VIP restrito no Google Distributed Cloud (somente software) para Bare Metal e adicione todas as APIs a seguir ao perímetro de serviço:

• API Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• API GKE Hub (gkehub.googleapis.com)
• API GKE On-Prem (gkeonprem.googleapis.com)
• API Cloud IAM (iam.googleapis.com)
• API Cloud Logging (logging.googleapis.com)
• API Cloud Monitoring (monitoring.googleapis.com)
• API Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

A API On-Demand Scanning pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a API On-Demand Scanning, consulte a documentação do produto.

A integração da API On-Demand Scanning com o VPC Service Controls não tem limitações conhecidas.

A API do Looker (Google Cloud Core) pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Looker (Google Cloud Core), consulte a documentação do produto.

• Somente as edições Enterprise ou Embed de instâncias do Looker (Google Cloud Core) que usam conexões de IP privado são compatíveis com o VPC Service Controls. As instâncias do Looker (Google Cloud Core) com conexões de IP público ou de IP público e privado não são compatíveis com o VPC Service Controls. Para criar uma instância que usa uma conexão de IP privado, selecione IP privado na seção Rede da página Criar instância do console do Google Cloud .

• Ao colocar ou criar uma instância do Looker (Google Cloud Core) em um perímetro de serviço do VPC Service Controls, é necessário remover a rota padrão para a Internet chamando o método services.enableVpcServiceControls ou executando o seguinte comando gcloud:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
  
  . A remoção da rota padrão restringe o tráfego de saída apenas a serviços compatíveis com o VPC Service Controls. Por exemplo, o envio de e-mails vai falhar porque a API usada para isso não está em conformidade com o VPC Service Controls.

• Se você estiver usando a VPC compartilhada, inclua o projeto de serviço do Looker (Google Cloud Core) no mesmo perímetro de serviço do projeto de host da VPC compartilhada ou crie uma ponte de perímetro entre os dois projetos. Se o projeto de serviço do Looker (Google Cloud Core) e o projeto de host da VPC compartilhada não estiverem no mesmo perímetro ou não puderem se comunicar por uma ponte de perímetro, a criação da instância poderá falhar ou a instância do Looker (Google Cloud Core) talvez não funcione corretamente.

• Se você estiver usando o Looker Studio Pro ou o Studio no Looker, o conector do Looker não poderá se conectar a uma instância do Looker (Google Cloud Core) dentro de um perímetro do VPC Service Controls. Para mais informações sobre as limitações do conector do Looker, consulte a página de documentação Visão geral dos requisitos, limites e suporte a recursos do conector do Looker.

A API da Public Certificate Authority pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre a Public Certificate Authority, consulte a documentação do produto.

A integração da Public Certificate Authority com o VPC Service Controls não tem limitações conhecidas.

• Para usar o VPC Service Controls com operações em lote de armazenamento, crie um perímetro de serviço para proteger o seguinte projeto e os serviços do Google Cloud :
  • Projeto do Cloud Storage
  • API Storage Batch Operations (storagebatchoperations.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • Opcional: API Cloud KMS (cloudkms.googleapis.com), se você usar o tipo de job de atualizações da chave de criptografia do objeto.
• Para permitir o acesso a operações em lote de armazenamento de fora do perímetro, é preciso configurar políticas de entrada.

Para mais informações sobre operações em lote do armazenamento, consulte a documentação do produto.

A integração das operações em lote de armazenamento com o VPC Service Controls não tem limitações conhecidas.

A API do Storage Insights pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Storage Insights, consulte a documentação do produto.

A integração do Storage Insights com o VPC Service Controls não tem limitações conhecidas.

Para proteger totalmente os Data Pipelines do Dataflow, inclua todas as seguintes APIs no perímetro:

• API Dataflow (dataflow.googleapis.com)
• API Cloud Scheduler (cloudscheduler.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Consulte mais informações sobre os Data Pipelines do Dataflow na documentação do produto.

A integração dos Data Pipelines do Dataflow com o VPC Service Controls não tem limitações conhecidas.

As APIs do Security Command Center podem ser protegidas pelo VPC Service Controls, e o Security Command Center pode ser usado normalmente dentro de perímetros de serviço.

Os serviços securitycenter.googleapis.com e securitycentermanagement.googleapis.com são agrupados. Quando você restringe o serviço securitycenter.googleapis.com em um perímetro, o perímetro restringe o serviço securitycentermanagement.googleapis.com por padrão. Não é possível adicionar o serviço securitycentermanagement.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com securitycenter.googleapis.com.

Para mais informações sobre o Security Command Center, consulte a documentação do produto.

• O VPC Service Controls não protege o acesso a recursos da API Security Command Center no nível da pasta ou da organização por recursos e clientes dentro de um perímetro de serviço. Esse serviço protege os recursos da API Security Command Center no nível do projeto. É possível especificar uma política de saída para impedir o acesso a recursos da API Security Command Center no nível do projeto por projetos dentro do perímetro.
• O VPC Service Controls não é compatível com a adição de recursos da API Security Command Center no nível da pasta ou da organização em um perímetro de serviço. Não é possível usar um perímetro para proteger recursos da API Security Command Center no nível da pasta ou da organização. Para gerenciar as permissões do Security Command Center no nível da pasta ou da organização, recomendamos o uso do IAM.
• O VPC Service Controls não é compatível com o serviço de postura de segurança porque os recursos de postura de segurança (como posturas, implantações de postura e modelos de postura predefinidos) são recursos no nível da organização.
• Não é possível exportar descobertas no nível da pasta ou da organização para destinos dentro de um perímetro de serviço.
• Ative o acesso ao perímetro nos seguintes cenários:
  • Quando você ativa notificações de descoberta no nível da pasta ou da organização e o tópico do Pub/Sub está dentro de um perímetro de serviço.
  • Quando você exporta dados para o BigQuery do nível da pasta ou da organização e o BigQuery está dentro de um perímetro de serviço.
  • Quando você integra o Security Command Center a um produto SIEM ou SOAR, e o produto é implantado dentro de um perímetro de serviço em um ambiente do Google Cloud Platform. As SIEMs e SOARs compatíveis incluem Splunk e IBM QRadar.
  • Ao ativar o Assured Open Source Software em um perímetro de serviço.
  • Quando você quer que a Detecção de Ameaças a Máquinas Virtuais verifique as VMs nos seus perímetros de serviço.
  • Quando você quer permitir que a avaliação de vulnerabilidades para do Google Cloud verifique as VMs nos seus perímetros.
  • Conceda à conta de serviço do Container Threat Detection acesso de entrada ao perímetro de serviço se quiser usar esse recurso.
  • Quando você quer que o Event Threat Detection monitore fluxos de geração de registros no Security Command Center dentro dos perímetros do VPC Service Controls.
  • Quando você quer usar o Mandiant Attack Surface Management no Security Command Center dentro dos perímetros do VPC Service Controls.

A API do Cloud Customer Care pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Cloud Customer Care, consulte a documentação do produto.

A API para aplicativos de IA: Vertex AI para Pesquisa pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre os aplicativos de IA: Vertex AI para Pesquisa, consulte a documentação do produto.

Para garantir que o Confidential Space funcione corretamente em todos os limites do perímetro, configure regras de saída.

• Se o Confidential Space precisar acessar buckets do Cloud Storage fora do perímetro, crie uma regra de saída para permitir o acesso a esses buckets.
• Se você estiver ativando a API Confidential Space em recursos do Compute Engine fora do seu perímetro, crie uma regra de saída para permitir o acesso a essa API.

Para mais informações sobre o Confidential Space, consulte a documentação do produto.

Para usar a proteção do VPC Service Controls ao se conectar ao console serial de uma instância de máquina virtual (VM), é necessário especificar uma regra de entrada para o perímetro de serviço. Ao configurar a regra de entrada, o nível de acesso da origem precisa ser um valor baseado em IP e o nome do serviço tem que ser definido como ssh-serialport.googleapis.com. A regra de entrada é necessária para acessar o console serial, mesmo que a solicitação de origem e o recurso de destino estejam no mesmo perímetro.

Para mais informações sobre o console serial, consulte a documentação do produto.

Para mais informações sobre o Google Cloud VMware Engine, consulte a documentação do produto.

Para saber como controlar o acesso ao Dataform com o VPC Service Controls, consulte Configurar o VPC Service Controls para o Dataform.

Para mais informações sobre o Dataform, consulte a documentação do produto.

O Web Security Scanner e o VPC Service Controls estão sujeitos a Termos de Serviço diferentes. Consulte os termos de cada produto para mais detalhes.

O Web Security Scanner envia as descobertas ao Security Command Center sob demanda. É possível ver ou baixar os dados no painel do Security Command Center.

Para mais informações sobre o Web Security Scanner, consulte a documentação do produto.

A integração do Web Security Scanner com o VPC Service Controls não tem limitações conhecidas.

• É necessário configurar o Certificate Authority Service com uma autoridade de certificação funcional antes de criar instâncias do VPC Service Controls relacionadas ao Secure Source Manager.
• Configure o Private Service Connect antes de acessar a instância do VPC Service Controls relacionada ao Secure Source Manager.

Para mais informações sobre o Secure Source Manager, consulte a documentação do produto.

• A violação do registro de auditoria SERVICE_NOT_ALLOWED_FROM_VPC causada por limitações do GKE pode ser ignorada.
• Para abrir a interface da Web do VPC Service Controls com um navegador, ele precisa de acesso aos seguintes URLs:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Por exemplo, https://us-central1-sourcemanagerredirector-pa.client6.google.com.
  • https://lh3.googleusercontent.com

• As APIs do Secure Web Proxy podem ser protegidas pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.
• Se você provisionar o proxy com um certificado, inclua também a API Certificate Manager (certificatemanager.googleapis.com) no perímetro de serviço.
• Se você ativar a inspeção TLS para seu proxy, também precisará incluir a API Certificate Authority Service (privateca.googleapis.com) no perímetro de serviço.

Para mais informações sobre o Secure Web Proxy, consulte a documentação do produto.

A integração do Secure Web Proxy com o VPC Service Controls não tem limitações conhecidas.

A API para chaves de API pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre chaves de API, consulte a documentação do produto.

A integração das chaves de API com o VPC Service Controls não tem limitações conhecidas.

A API Cloud Controls Partner pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o console de parceiros em Controles de Soberania Oferecidos por Parceiros, consulte a documentação do produto.

A API de microsserviços pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre microsserviços, consulte a documentação do produto.

A integração de microsserviços com o VPC Service Controls não tem limitações conhecidas.

Os serviços earthengine.googleapis.com e earthengine-highvolume.googleapis.com são agrupados. Quando você restringe o serviço earthengine.googleapis.com em um perímetro, o perímetro restringe o serviço earthengine-highvolume.googleapis.com por padrão. Não é possível adicionar o serviço earthengine-highvolume.googleapis.com à lista de serviços restritos em um perímetro porque ele está agrupado com earthengine.googleapis.com.

Para mais informações sobre o Compute Engine, consulte a documentação do produto.

Com o App Hub, é possível descobrir e organizar recursos de infraestrutura em aplicativos. Você pode usar os perímetros do VPC Service Controls para proteger os recursos do App Hub.

Para mais informações sobre o App Hub, consulte a documentação do produto.

A API Cloud Code pode ser protegida pelo VPC Service Controls. Para usar os recursos do Gemini no Cloud Code, é necessário configurar uma política de entrada para permitir o tráfego de clientes a partir do ambiente de desenvolvimento integrado. Consulte a documentação do Gemini para mais detalhes.

Para mais informações sobre o Cloud Code, consulte a documentação do produto.

A integração do Cloud Trace com o VPC Service Controls não tem limitações conhecidas.

O perímetro do VPC Service Controls protege a API Commerce Org Governance para o marketplace privado do Google.

Para mais informações sobre a API Commerce Org Governance, consulte a documentação do produto.

Para restringir o tráfego da Internet, use as políticas da organização. Invoque os métodos CREATE ou UPDATE da API relacionada à Central de Atendimento como Serviço do Google Cloud para aplicar manualmente as restrições da política da organização.

Para mais informações sobre a Central de Atendimento como Serviço do Google Cloud, consulte a documentação do produto.

A integração da Central de Atendimento como Serviço do Google Cloud com o VPC Service Controls não tem limitações conhecidas.

A API do Privileged Access Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Privileged Access Manager, consulte a documentação do produto.

A API do Service Usage pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Service Usage, consulte a documentação do produto.

A integração do Service Usage com o VPC Service Controls não tem limitações conhecidas.

A API do Audit Manager pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Audit Manager, consulte a documentação do produto.

A API do Google Agentspace pode ser protegida pelo VPC Service Controls e o produto pode ser usado normalmente dentro de perímetros de serviço.

Para mais informações sobre o Google Agentspace, consulte a documentação do produto.

A API do Google Agentspace - NotebookLM para empresas pode ser protegida pelo VPC Service Controls, e o produto pode ser usado normalmente dentro de perímetros de serviço.

Se quiser mais informações sobre o Google Agentspace - NotebookLM para empresas, consulte a documentação do produto.

A integração do Google Agentspace - NotebookLM para empresas com o VPC Service Controls não tem limitações conhecidas.