本頁面由 Cloud Translation API 翻譯而成。

支援的產品和限制

本頁面包含 VPC Service Controls 支援的產品和服務表，以及與特定服務和介面搭配使用時會有的已知限制清單。

列出所有支援的服務

如要擷取所有 VPC Service Controls 支援的產品和服務完整清單，請執行下列指令：

gcloud access-context-manager supported-services list

系統會回覆產品和服務清單。

NAME                 TITLE             SERVICE_SUPPORT_STAGE   AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS          RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

這項回應包含下列值：

值	說明
`SERVICE_ADDRESS`	產品或服務的服務名稱。例如 `aiplatform.googleapis.com`。
`SERVICE_NAME`	產品或服務名稱。例如 `Vertex AI API`。
`SERVICE_STATUS`	服務與 VPC Service Controls 的整合狀態。可能的值如下： `GA`：VPC Service Controls 範圍完全支援這項服務整合。 `PREVIEW`：服務整合已準備好進行更廣泛的測試和使用，但 VPC Service Controls 範圍尚未完全支援生產環境。 `DEPRECATED`：這項服務整合功能預計會停用並移除。
`RESTRICTED_VIP_STATUS`	指定受限 VIP 是否支援與 VPC Service Controls 的服務整合。可能的值如下： `TRUE`：受限制的 VIP 完全支援這項服務整合，且可透過 VPC Service Controls 範圍保護。 `FALSE`：受限 VIP 不支援服務整合。如需受限制的 VIP 支援的完整服務清單，請參閱「受限制的 VIP 支援的服務」。
`LIMITATIONS_STATUS`	指出服務與 VPC Service Controls 整合時是否有任何限制。可能的值如下： `TRUE`：服務與 VPC Service Controls 整合時，會受到已知限制。如要進一步瞭解這些限制，請查看「支援的產品」表格中服務的對應項目。 `FALSE`：服務與 VPC Service Controls 整合後，目前沒有已知限制。

列出服務支援的方法

如要擷取 VPC Service Controls 支援的服務方法和權限清單，請執行下列指令：

gcloud access-context-manager supported-services describe SERVICE_ADDRESS

將 SERVICE_ADDRESS 改為產品或服務的服務名稱。例如：aiplatform.googleapis.com。

您會收到內含方法和權限清單的回應。

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
serviceSupportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

在此回應中，METHODS_LIST 會列出 VPC Service Controls 支援指定服務的所有方法和權限。如需所有支援的服務方法和權限完整清單，請參閱支援的服務方法相關限制。

如要瞭解 VPC Service Controls 無法控管的服務方法，請參閱服務方法例外狀況。

支援的產品

VPC Service Controls 支援下列產品：

支援的產品說明

基礎架構管理員

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`config.googleapis.com`
詳細資料	如要進一步瞭解 Infrastructure Manager，請參閱產品說明文件。
限制	如要在服務範圍內使用 Infrastructure Manager，請按照下列步驟操作：您必須使用 Cloud Build 私人集區，做為 Infrastructure Manager 使用的工作站集區。這個私人集區必須啟用公開網際網路呼叫，才能下載 Terraform 供應商和 Terraform 設定。您無法使用預設的 Cloud Build 工作站集區。下列項目必須位於相同周邊： Infrastructure Manager 使用的服務帳戶。 Infrastructure Manager 使用的 Cloud Build 工作站集區。 Infrastructure Manager 使用的儲存空間值區。您可以使用預設儲存空間值區。

Workload Manager

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`workloadmanager.googleapis.com`
詳細資料	如要在 VPC Service Controls 範圍內使用 Workload Manager，請按照下列步驟操作：您必須在 Workload Manager 中，為部署環境使用 Cloud Build 私人工作站集區。您無法使用預設的 Cloud Build 工作站集區。 Cloud Build 私人集區必須啟用公開網際網路呼叫，才能下載 Terraform 設定。詳情請參閱 Workload Manager 說明文件中的「使用 Cloud Build 私有工作站集區」。如要進一步瞭解 Workload Manager，請參閱產品說明文件。
限制	請務必確保下列資源位於同一個 VPC Service Controls 服務範圍內： Workload Manager 服務帳戶。 Cloud Build 私人工作站集區。 Workload Manager 用於部署作業的 Cloud Storage 值區。

Google Cloud NetApp Volumes

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`netapp.googleapis.com`
詳細資料	Google Cloud NetApp Volumes 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Google Cloud NetApp Volumes，請參閱產品說明文件。
限制	VPC Service Controls 不涵蓋資料平面路徑，例如網路檔案系統 (NFS) 和伺服器訊息區塊 (SMB) 的讀取和寫入作業。此外，如果主專案和服務專案是在不同範圍中設定，您可能會遇到 Google Cloud 服務實作中斷的情況。

Google Cloud Search

狀態	GA
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudsearch.googleapis.com`
詳細資料	Google Cloud Search 支援虛擬私有雲安全控管機制 (VPC Service Controls)，可強化資料安全性。您可以透過 VPC Service Controls 定義 Google Cloud Platform 資源的安全範圍，藉此限制資料，並降低資料竊取風險。如要進一步瞭解 Google Cloud Search，請參閱產品說明文件。
限制	由於 Cloud Search 資源不會儲存在專案中，因此您必須使用受 VPC 範圍保護的專案，更新 Cloud Search 客戶設定。 Google Cloud 虛擬私有雲專案是所有 Cloud Search 資源的虛擬專案容器。如未建立這項對應，VPC Service Controls 就無法用於 Cloud Search API。如要瞭解如何啟用 VPC Service Controls 並搭配 Google Cloud Search 使用，請參閱「強化 Google Cloud Search 的安全性」。

連線測試

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`networkmanagement.googleapis.com`
詳細資料	連線測試的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解連線能力測試，請參閱產品說明文件。
限制	Connectivity Tests 與 VPC Service Controls 整合時，沒有已知限制。

AI 平台預測

狀態	已淘汰。舊版 AI Platform Prediction 已淘汰，2025 年 1 月 31 日後即無法再透過 Google Cloud 使用。2025 年 1 月 31 日後，系統會刪除所有模型、相關聯的中繼資料和部署作業。將資源遷移至 Vertex AI，即可使用 AI Platform 沒有的新機器學習功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`ml.googleapis.com`
詳細資料	VPC Service Controls 支援線上預測，但不支援批次預測。如要進一步瞭解 AI Platform Prediction，請參閱產品說明文件。
限制	如要全面保護 AI Platform Prediction，請將下列所有 API 新增至服務範圍： AI 平台訓練和預測 API (`ml.googleapis.com`) Pub/Sub API (`pubsub.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Google Kubernetes Engine API (`container.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) 進一步瞭解如何為 AI Platform Prediction 設定 VPC Service Controls。在服務周邊內使用 AI Platform Prediction 時，系統不支援批次預測。 AI Platform Prediction 和 AI Platform Training 都使用 AI Platform Training and Prediction API，因此您必須為這兩項產品設定 VPC Service Controls。進一步瞭解如何為 AI Platform Training 設定 VPC Service Controls。

AI 平台訓練

狀態	已淘汰。舊版 AI Platform Training 已淘汰，2025 年 1 月 31 日後即無法再透過 Google Cloud 使用。將資源遷移至 Vertex AI 自訂訓練，即可使用 AI Platform 未提供的全新機器學習功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`ml.googleapis.com`
詳細資料	VPC Service Controls 可保護 AI Platform Training 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解 AI Platform Training，請參閱產品說明文件。
限制	如要全面保護 AI Platform Training 訓練工作，請將下列所有 API 新增至服務周邊： AI 平台訓練和預測 API (`ml.googleapis.com`) Pub/Sub API (`pubsub.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Google Kubernetes Engine API (`container.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) 進一步瞭解如何為 AI Platform Training 設定 VPC Service Controls。在服務安全防護範圍內使用 AI Platform Training 時，系統不支援使用 TPU 進行訓練。 AI Platform Training 和 AI Platform Prediction 都使用 AI Platform Training and Prediction API，因此您必須為這兩項產品設定 VPC Service Controls。進一步瞭解如何為 AI Platform Prediction 設定 VPC Service Controls。

PostgreSQL 適用的 AlloyDB

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`alloydb.googleapis.com`
詳細資料	VPC Service Controls 範圍可保護 AlloyDB API。如要進一步瞭解 PostgreSQL 適用的 AlloyDB，請參閱產品說明文件。
限制	服務範圍只會保護 AlloyDB for PostgreSQL Admin API。這類規則不會保護對基礎資料庫 (例如 AlloyDB for PostgreSQL 執行個體) 的 IP 型資料存取。如要限制 AlloyDB for PostgreSQL 執行個體的公開 IP 存取權，請使用機構政策限制。為 PostgreSQL 適用的 AlloyDB 設定 VPC Service Controls 前，請先啟用 Service Networking API。搭配共用虛擬私有雲和 VPC Service Controls 使用 AlloyDB for PostgreSQL 時，主專案和服務專案必須位於同一個 VPC Service Controls 服務範圍內。

Vertex AI Workbench

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`notebooks.googleapis.com`
詳細資料	Vertex AI Workbench 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Vertex AI Workbench，請參閱產品說明文件。
限制	如要瞭解搭配使用 Vertex AI Workbench 與 VPC Service Controls 的限制，請參閱 Vertex AI Workbench 執行個體的服務範圍、使用者自行管理筆記本的服務範圍 (已淘汰)，以及代管筆記本的服務範圍 (已淘汰)。

Vertex AI

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`aiplatform.googleapis.com`
詳細資料	Vertex AI 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。請參閱 Colab Enterprise。如要進一步瞭解 Vertex AI，請參閱產品說明文件。
限制	如要進一步瞭解限制，請參閱 Vertex AI 說明文件中的限制。

Vertex AI Vision

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`visionai.googleapis.com`
詳細資料	Vertex AI Vision 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Vertex AI Vision，請參閱產品說明文件。
限制	開啟 `constraints/visionai.disablePublicEndpoint` 後，我們會停用叢集的公開端點。使用者必須手動連線至 PSC 目標，並從私人網路存取服務。您可以從 `cluster` 資源取得 PSC 目標。

Firebase 中的 Vertex AI

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`firebasevertexai.googleapis.com`
詳細資料	VPC Service Controls 可保護 Vertex AI in Firebase 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解 Firebase 適用的 Vertex AI，請參閱產品說明文件。
限制	Firebase 中的 Vertex AI API 會將流量 Proxy 至 Vertex AI API (`aiplatform.googleapis.com`)。請務必將 `aiplatform.googleapis.com` 也加入服務範圍的受限制服務清單。 Vertex AI in Firebase API 適用於Vertex AI API 的所有已知限制。 Vertex AI in Firebase API 的流量應來自行動或瀏覽器用戶端，這類流量一律位於服務安全防護範圍外。因此，您需要設定明確的輸入政策。如果只需從服務安全防護範圍內連線至 Vertex AI API，請考慮直接使用 Vertex AI API，或透過其中一個伺服器 SDK、Firebase Genkit，或任何其他可從伺服器端存取 Vertex AI API 的服務。

Colab Enterprise

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`aiplatform.googleapis.com`
詳細資料	Colab Enterprise 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。 Colab Enterprise 是 Vertex AI 的一部分。請參閱 Vertex AI。 Colab Enterprise 會使用 Dataform 儲存筆記本。請參閱「Dataform」。如要進一步瞭解 Colab Enterprise，請參閱產品說明文件。
限制	如要瞭解限制，請參閱 Colab Enterprise 說明文件中的「已知限制」。

Apigee 和 Apigee Hybrid

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`apigee.googleapis.com, apigeeconnect.googleapis.com`
詳細資料	Apigee 和 Apigee Hybrid 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Apigee 和 Apigee Hybrid，請參閱產品說明文件。
限制	Apigee 與 VPC Service Controls 整合時，有下列限制：整合式入口網站需要額外步驟才能完成設定。您必須在服務範圍內部署 Drupal 入口網站。

Apigee API Hub

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`apihub.googleapis.com`
詳細資料	Apigee API 中心的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Apigee API 中心，請參閱產品說明文件。
限制	與 API 中心執行個體相關聯的所有 Apigee 執行階段專案，都必須位於與 API 中心主專案相同的 VPC Service Controls 服務範圍內。

BigQuery 共用

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`analyticshub.googleapis.com`
詳細資料	VPC Service Controls 可保護資料交換和商家資訊。如要使用服務範圍保護共用和連結的資料集，請使用 BigQuery API。詳情請參閱共用 VPC Service Controls 規則。如要進一步瞭解 BigQuery 共用功能，請參閱產品說明文件。
限制	BigQuery 共用功能不支援以方法為準的規則，您必須允許所有方法。詳情請參閱「共用 VPC Service Controls 規則的限制」。

Cloud Service Mesh

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`meshca.googleapis.com, meshconfig.googleapis.com, trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com`
詳細資料	Cloud Service Mesh 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。您可以使用 `mesh.googleapis.com` 啟用 Cloud Service Mesh 的必要 API。您不需要限制範圍內的 `mesh.googleapis.com`，因為這項服務不會公開任何 API。瞭解如何為 Cloud Service Mesh (代管型) 設定 VPC Service Controls。瞭解如何將 Cloud Service Mesh 服務新增至服務安全防護範圍。如要進一步瞭解 Cloud Service Mesh，請參閱產品說明文件。
限制	Cloud Service Mesh 與 VPC Service Controls 整合時，沒有已知限制。

Artifact Registry

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`artifactregistry.googleapis.com`
詳細資料	除了保護 Artifact Registry API 之外，Artifact Registry 也可搭配 GKE 和 Compute Engine，在服務安全防護範圍內使用。如要進一步瞭解 Artifact Registry，請參閱產品說明文件。
限制	由於 Artifact Registry 使用 `pkg.dev` 網域，您必須設定 DNS，讓 `*.pkg.dev` 對應至 `private.googleapis.com` 或 `restricted.googleapis.com`。詳情請參閱「保護服務範圍內的存放區」。除了範圍內可供 Artifact Registry 使用的構件，所有專案還可使用下列 Container Registry 唯讀存放區 (無論服務範圍為何)： `gcr.io/anthos-baremetal-release` `gcr.io/asci-toolchain` `gcr.io/cloud-airflow-releaser` `gcr.io/cloud-builders` `gcr.io/cloud-dataflow` `gcr.io/cloud-ingest` `gcr.io/cloud-marketplace` `gcr.io/cloud-ssa` `gcr.io/cloudsql-docker` `gcr.io/config-management-release` `gcr.io/deeplearning-platform-release` `gcr.io/foundry-dev` `gcr.io/fn-img` `gcr.io/gae-runtimes` `gcr.io/serverless-runtimes` `gcr.io/gke-node-images` `gcr.io/gke-release` `gcr.io/gkeconnect` `gcr.io/google-containers` `gcr.io/kubeflow` `gcr.io/kubeflow-images-public` `gcr.io/kubernetes-helm` `gcr.io/istio-release` `gcr.io/ml-pipeline` `gcr.io/projectcalico-org` `gcr.io/rbe-containers` `gcr.io/rbe-windows-test-images` `gcr.io/speckle-umbrella` `gcr.io/stackdriver-agents` `gcr.io/tensorflow` `gcr.io/vertex-ai` `gcr.io/vertex-ai-restricted` `gke.gcr.io` `k8s.gcr.io` 在所有情況下，專案也可使用這些存放區的地區性版本。

Assured Open Source Software

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`assuredoss.googleapis.com`
詳細資料	VPC Service Controls 可保護 Assured Open Source Software 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解 Assured Open Source Software，請參閱產品說明文件。
限制	Assured Open Source Software 與 VPC Service Controls 整合時，沒有已知限制。

Assured Workloads

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`assuredworkloads.googleapis.com`
詳細資料	Assured Workloads 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Assured Workloads，請參閱產品說明文件。
限制	Assured Workloads 與 VPC Service Controls 整合後，目前沒有已知限制。

AutoML Translation

狀態	已淘汰。AutoML Translation API 已淘汰，2025 年 9 月 30 日後將無法使用。 Google Cloud 如要使用及管理自訂模型，請透過 Cloud Translation - Advanced API (v3) 進行。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`automl.googleapis.com, eu-automl.googleapis.com`
詳細資料	如要全面保護 AutoML API，請在周邊防護範圍內納入下列所有 API： AutoML API (`automl.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Compute Engine API (`compute.googleapis.com`) BigQuery API (`bigquery.googleapis.com`) 如要進一步瞭解 AutoML Translation，請參閱產品說明文件。
限制	與 VPC Service Controls 整合的所有 AutoML 產品都使用相同的服務名稱。您無法將支援的區域端點 (例如 `eu-automl.googleapis.com`) 新增至範圍的受限制服務清單。保護 `automl.googleapis.com` 服務時，服務範圍也會保護支援的區域端點，例如 `eu-automl.googleapis.com`。詳情請參閱限制，瞭解如何搭配使用 AutoML 產品與 VPC Service Controls。

Bare Metal 解決方案

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	否。Bare Metal 解決方案的 API 無法受到服務範圍保護。不過，您可以在安全防護範圍內的專案中正常使用 Bare Metal 解決方案。
詳細資料	Bare Metal 解決方案 API 可新增至安全周邊。不過，VPC Service Controls 服務範圍不會擴及區域擴充功能中的 Bare Metal Solution 環境。如要進一步瞭解 Bare Metal Solution，請參閱產品說明文件。
限制	將 VPC Service Controls 連線至 Bare Metal Solution 環境，不會維持任何服務控制保證。如要進一步瞭解 VPC Service Controls 對 Bare Metal Solution 的限制，請參閱已知問題和限制。

Batch

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`batch.googleapis.com`
詳細資料	Batch 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Batch，請參閱產品說明文件。
限制	如要全面保護 Batch，您需要在周邊防禦系統中加入下列 API： Batch API (`batch.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) Artifact Registry API (`artifactregistry.googleapis.com`) Filestore API (`file.googleapis.com`)

BigLake 中繼存放區

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`biglake.googleapis.com`
詳細資料	BigLake 中繼資料存放區的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 BigLake 中繼存放區，請參閱產品說明文件。
限制	BigLake Metastore 與 VPC Service Controls 整合時，沒有已知限制。

BigQuery

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`bigquery.googleapis.com, bigquerystorage.googleapis.com, bigqueryreservation.googleapis.com, bigqueryconnection.googleapis.com`
詳細資料	如果您使用服務範圍保護 BigQuery API，BigQuery Storage API (`bigquerystorage.googleapis.com`)、BigQuery Reservation API (`bigqueryreservation.googleapis.com`) 和 BigQuery Connection API (`bigqueryconnection.googleapis.com`) 也會受到保護。您不必在範圍的保護服務清單中另外新增這些 API。如要進一步瞭解 BigQuery，請參閱產品說明文件。
限制	由於服務會在內部處理多項資源的存取行為，因此 BigQuery 稽核記錄不一定會包含發出要求時使用的所有資源。存取受服務範圍保護的 BigQuery 執行個體時，BigQuery 工作必須在範圍內的專案中執行，或在範圍的輸出規則允許的專案中執行。根據預設，BigQuery 用戶端程式庫會在服務帳戶或使用者專案中執行工作，導致查詢遭 VPC Service Controls 拒絕。 BigQuery 會封鎖從 VPC Service Controls 保護的邊界，將查詢結果儲存至 Google 雲端硬碟。如果您使用以使用者帳戶做為身分類型，透過連入規則授予存取權，就無法在「監控」頁面上查看 BigQuery 資源用量或管理工作探索器。如要使用這些功能，請設定以 `ANY_IDENTITY` 做為身分識別類型的連入規則。如果您使用輸入規則授予 BigQuery 使用者資料存取權，使用者就能透過 Google Cloud 主控台查詢資料，並將結果儲存至本機檔案。透過 BigQuery Enterprise、Enterprise Plus 或 On-Demand 執行分析時，系統僅支援 VPC Service Controls。 BigQuery Reservation API 僅部分支援。 BigQuery Reservation API (用於建立指派資源) 不會對指派對象強制執行服務範圍限制。 BigQuery 資料準備功能使用 Dataform，因此有額外的存取權控管規定。請參閱「 Dataform」。

BigQuery Data Policy API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`bigquerydatapolicy.googleapis.com`
詳細資料	BigQuery Data Policy API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 BigQuery Data Policy API，請參閱產品說明文件。
限制	BigQuery Data Policy API 與 VPC Service Controls 整合後，目前沒有已知限制。

BigQuery 資料移轉服務

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`bigquerydatatransfer.googleapis.com`
詳細資料	服務範圍只會保護 BigQuery 資料移轉服務 API。實際的資料保護措施是由 BigQuery 強制執行。這項服務的設計宗旨，是允許從 Google Cloud 以外的各種外部來源 (例如 Amazon S3、Redshift、Teradata、YouTube、Google Play 和 Google Ads) 將資料匯入 BigQuery 資料集。如要瞭解從 Teradata 移轉資料的 VPC Service Controls 需求，請參閱「VPC Service Controls 需求」。如要進一步瞭解 BigQuery 資料移轉服務，請參閱產品說明文件。
限制	BigQuery 資料移轉服務不支援從 BigQuery 資料集匯出資料。詳情請參閱匯出資料表資料。如要在專案之間轉移資料，目的地專案必須與來源專案位於相同範圍內，否則輸出規則必須允許將資料移出範圍。如要瞭解如何設定輸出規則，請參閱「管理 BigQuery 資料集時的限制」。由 BigQuery 資料移轉服務定期離線移轉作業啟動的 BigQuery 工作，其輸入和輸出違規事項不含使用者環境資訊，例如呼叫端 IP 位址和裝置。 BigQuery 資料移轉服務僅支援使用「支援的資料來源」中列出的其中一個連接器，將資料移轉至受服務範圍保護的專案。BigQuery 資料移轉服務不支援使用其他第三方合作夥伴提供的連接器，將資料移轉至受服務範圍保護的專案。

BigQuery Migration API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`bigquerymigration.googleapis.com`
詳細資料	BigQuery Migration API 可受 VPC Service Controls 保護，且可在服務範圍內正常使用。如要進一步瞭解 BigQuery Migration API，請參閱產品說明文件。
限制	BigQuery Migration API 與 VPC Service Controls 整合時，沒有已知限制。

Bigtable

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`bigtable.googleapis.com, bigtableadmin.googleapis.com`
詳細資料	`bigtable.googleapis.com` 和 `bigtableadmin.googleapis.com` 服務會綁在一起。在範圍中限制 `bigtable.googleapis.com` 服務時，範圍會預設限制 `bigtableadmin.googleapis.com` 服務。您無法將 `bigtableadmin.googleapis.com` 服務新增至範圍的受限制服務清單，因為該服務與 `bigtable.googleapis.com` 綁定。如要進一步瞭解 Bigtable，請參閱產品說明文件。
限制	Bigtable 與 VPC Service Controls 整合時，沒有已知限制。

二進位授權

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`binaryauthorization.googleapis.com`
詳細資料	使用多個專案搭配 Binary Authorization 時，每個專案都必須納入 VPC Service Controls 範圍。如要進一步瞭解這個應用情境，請參閱「多專案設定」。使用二進位授權時，您可以透過構件分析功能，將驗證者和認證分別儲存為附註和出現次數。在這種情況下，您也必須將 Artifact Analysis 納入 VPC Service Controls 範圍。詳情請參閱 Artifact Analysis 的 VPC Service Controls 指引。如要進一步瞭解二進位授權，請參閱產品說明文件。
限制	Binary Authorization 與 VPC Service Controls 整合時，沒有已知限制。

Blockchain Node Engine

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`blockchainnodeengine.googleapis.com`
詳細資料	Blockchain Node Engine 的 API 可受 VPC Service Controls 保護，並在服務範圍內正常使用。如要進一步瞭解 Blockchain Node Engine，請參閱產品說明文件。
限制	Blockchain Node Engine 與 VPC Service Controls 整合時，有以下限制： VPC Service Controls 只會保護 Blockchain Node Engine API。建立節點時，您仍須指出節點適用於使用者設定的私人網路，並使用 Private Service Connect。點對點流量不會受到 VPC Service Controls 或 Private Service Connect 影響，仍會繼續使用公開網際網路。

憑證授權單位服務

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`privateca.googleapis.com`
詳細資料	憑證授權單位服務的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Certificate Authority Service，請參閱產品說明文件。
限制	如要在受保護的環境中使用 Certificate Authority Service，您也必須將 Cloud KMS API (`cloudkms.googleapis.com`) 和 Cloud Storage API (`storage.googleapis.com`) 新增至服務安全防護範圍。

設定控制器

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`krmapihosting.googleapis.com`
詳細資料	如要搭配 VPC Service Controls 使用 Config Controller，您必須在範圍內啟用下列 API： Cloud Monitoring API (`monitoring.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) Google Cloud Observability API (`logging.googleapis.com`) Security Token Service API (`sts.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) 如果您使用 Config Controller 佈建資源，就必須在服務範圍內啟用這些資源的 API。舉例來說，如要新增 IAM 服務帳戶，必須新增 IAM API (`iam.googleapis.com`)。如要進一步瞭解 Config Controller，請參閱產品說明文件。
限制	Config Controller 與 VPC Service Controls 整合時，沒有已知限制。

Data Catalog

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`datacatalog.googleapis.com`
詳細資料	資料目錄會自動遵守其他 Google Cloud 服務的範圍。如要進一步瞭解 Data Catalog，請參閱產品說明文件。
限制	Data Catalog 與 VPC Service Controls 整合時，沒有已知限制。

Cloud Data Fusion

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`datafusion.googleapis.com`
詳細資料	您必須採取一些特殊步驟，才能使用 VPC Service Controls 保護 Cloud Data Fusion。如要進一步瞭解 Cloud Data Fusion，請參閱產品說明文件。
限制	建立 Cloud Data Fusion 私人執行個體前，請先建立 VPC Service Controls 安全 perimeter。系統不支援為在設定 VPC Service Controls 前建立的執行個體提供範圍防護。目前 Cloud Data Fusion 資料平面 UI 不支援使用輸入規則或存取層級，以身分識別為依據控管存取權。

資料沿襲 API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`datalineage.googleapis.com`
詳細資料	資料沿革 API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Data Lineage API，請參閱產品說明文件。
限制	Data Lineage API 與 VPC Service Controls 整合時，沒有已知限制。

Compute Engine

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`compute.googleapis.com`
詳細資料	Compute Engine 的 VPC Service Controls 支援提供下列安全性優勢：限制存取機密 API 作業將永久磁碟快照和自訂映像檔限制在周邊內限制執行個體中繼資料的存取權 VPC Service Controls 支援 Compute Engine，讓您可在服務範圍內，利用虛擬私有雲網路和 Google Kubernetes Engine 私人叢集。如要進一步瞭解 Compute Engine，請參閱產品說明文件。
限制	階層式防火牆不受服務邊界影響。虛擬私有雲對等互連作業不會強制執行虛擬私有雲服務範圍限制。共用 VPC 的 `projects.ListXpnHosts` API 方法不會對傳回的專案強制執行服務範圍限制。如要允許使用者在受服務範圍保護的專案中，透過 Cloud Storage 建立 Compute Engine 映像檔，您必須將建立映像檔的使用者暫時新增至該範圍的輸入規則。 VPC Service Controls 不支援在服務範圍內的 Compute Engine VM 上使用 Kubernetes 開放原始碼版本。透過瀏覽器進行 SSH 連線的功能不支援周邊裝置。請改用 gcloud CLI。詳情請參閱連線至 Linux VM 或連線至序列埠，視您的用途而定。互動式序列主控台不支援受限制的 VIP。如要使用序列主控台排解執行個體問題，請設定內部部署 DNS 解析，透過網際網路將指令傳送至 `ssh-serialport.googleapis.com`。

對話式洞察

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`contactcenterinsights.googleapis.com`
詳細資料	如要搭配 VPC Service Controls 使用 Conversational Insights，您必須在範圍內加入下列額外 API (視整合方式而定)。如要將資料載入 Conversational Insights，請將 Cloud Storage API 新增至服務範圍。如要使用「匯出」，請將 BigQuery API 新增至服務周邊。如要整合多項 CCAI 產品，請將 Vertex AI API 新增至服務範圍。如要進一步瞭解對話深入分析，請參閱產品說明文件。
限制	Conversational Insights 與 VPC Service Controls 整合後，目前沒有已知限制。

Dataflow

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dataflow.googleapis.com`
詳細資料	Dataflow 支援多種儲存服務連接器。經驗證，下列連接器可在服務周邊內與 Dataflow 搭配運作： Cloud Storage (Java 、 Python ) BigQuery (Java、Python ) Pub/Sub ( Java 、 Python ) Bigtable (Java ) Spanner (Java ) 如要進一步瞭解 Dataflow，請參閱產品說明文件。
限制	使用 Dataflow 時，系統不支援自訂 BIND。如要在搭配使用 Dataflow 和 VPC Service Controls 時自訂 DNS 解析，請使用 Cloud DNS 不公開區域，而非自訂 BIND 伺服器。如要使用自己的內部部署 DNS 解析，請考慮採用Google Cloud DNS 轉送方法。垂直自動調度無法受到 VPC Service Controls 範圍保護。如要在 VPC Service Controls 範圍內使用垂直自動調整功能，請停用虛擬私有雲可存取的服務功能。注意：停用可透過 VPC 存取的服務會降低安全防護。如果您啟用 Dataflow Prime，並在 VPC Service Controls 範圍內啟動新工作，該工作會使用不含垂直自動調度資源的 Dataflow Prime。並非所有儲存空間服務連接器都已通過驗證，可與服務範圍內的 Dataflow 搭配使用。如需已驗證的連結器清單，請參閱上一節的「詳細資料」。如果搭配使用 Python 3.5 與 Apache Beam SDK 2.20.0 至 2.22.0 版，且工作站只有私人 IP 位址 (例如使用 VPC Service Controls 保護資源時)，Dataflow 工作會在啟動時失敗。如果 Dataflow 工作人員只能使用私人 IP 位址 (例如使用 VPC Service Controls 保護資源時)，請勿搭配使用 Python 3.5 和 Apache Beam SDK 2.20.0 至 2.22.0。這項組合會導致工作在啟動時失敗。 <0x0

Dataplex Universal Catalog

狀態	GA
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dataplex.googleapis.com`
詳細資料	Dataplex Universal Catalog 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Dataplex Universal Catalog，請參閱產品說明文件。
限制	建立 Dataplex Universal Catalog 資源前，請先設定 VPC Service Controls 安全範圍。否則資源不會受到服務範圍保護。 Dataplex Universal Catalog 支援下列資源類型：湖泊資料剖析掃描資料品質掃描

Dataproc

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dataproc.googleapis.com`
詳細資料	您必須採取特殊步驟，才能使用 VPC Service Controls 保護 Dataproc。如要進一步瞭解 Dataproc，請參閱產品說明文件。
限制	如要使用服務範圍保護 Dataproc 叢集，請按照這篇文章的指示操作。

Dataproc Serverless for Spark

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dataproc.googleapis.com`
詳細資料	您必須採取特殊步驟，才能使用 VPC Service Controls 保護 Dataproc Serverless。如要進一步瞭解 Dataproc Serverless for Spark，請參閱產品說明文件。
限制	如要使用服務範圍保護無伺服器工作負載，請按照「Dataproc Serverless 和 VPC Service Controls 網路」的指示操作。

Dataproc Metastore

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`metastore.googleapis.com`
詳細資料	Dataproc Metastore 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Dataproc Metastore，請參閱產品說明文件。
限制	Dataproc Metastore 與 VPC Service Controls 整合時，沒有已知限制。

Datastream

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`datastream.googleapis.com`
詳細資料	Datastream 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Datastream，請參閱產品說明文件。
限制	Datastream 與 VPC Service Controls 整合時，沒有已知限制。

資料庫中心

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`databasecenter.googleapis.com`
詳細資料	VPC Service Controls 可保護 Database Center 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解資料庫中心，請參閱產品說明文件。
限制	VPC Service Controls 不支援從服務範圍內的資源和用戶端，存取資料夾層級或機構層級的 Cloud Asset API 資源。VPC Service Controls 可保護專案層級的 Cloud Asset API 資源。您可以指定輸出政策，允許範圍內的專案存取專案層級的 Cloud Asset API 資源。如要在資料夾或機構層級管理資料庫中心權限，建議使用 IAM。

Database Insights API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`databaseinsights.googleapis.com`
詳細資料	Database Insights API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Database Insights API，請參閱產品說明文件。
限制	Database Insights API 與 VPC Service Controls 整合時，沒有已知限制。

資料庫移轉服務

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`datamigration.googleapis.com`
詳細資料	Database Migration Service 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解資料庫移轉服務，請參閱產品說明文件。
限制	服務範圍僅保護資料庫移轉服務管理 API。無法保護對基礎資料庫 (例如 Cloud SQL 執行個體) 的 IP 型資料存取權。如要限制 Cloud SQL 執行個體的公開 IP 存取權，請使用機構政策限制。在遷移作業的初始傾印階段使用 Cloud Storage 檔案時，請將 Cloud Storage 值區新增至相同的服務安全防護範圍。在目標資料庫中使用客戶管理加密金鑰 (CMEK) 時，請確保 CMEK 與包含該金鑰的連線設定檔位於相同的服務安全防護範圍。

Dialogflow

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dialogflow.googleapis.com`
詳細資料	Dialogflow 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Dialogflow，請參閱產品說明文件。
限制	請參閱 Dialogflow ES 限制。請參閱 Dialogflow CX 限制。

Agent Assist

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dialogflow.googleapis.com`
詳細資料	Agent Assist 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Agent Assist，請參閱產品說明文件。
限制

Sensitive Data Protection

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dlp.googleapis.com`
詳細資料	機密資料保護 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Sensitive Data Protection，請參閱產品說明文件。
限制	VPC Service Controls 目前不支援資料夾和機構資源，因此嘗試存取機構層級資源時，Sensitive Data Protection 呼叫可能會傳回 403 回應。建議您在資料夾和機構層級使用 IAM 管理 Sensitive Data Protection 權限。

Cloud DNS

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dns.googleapis.com`
詳細資料	Cloud DNS 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud DNS，請參閱產品說明文件。
限制	您可以透過受限 VIP 存取 Cloud DNS。不過，您無法在 VPC Service Controls 範圍內的專案中，建立或更新公開 DNS 區域。

Document AI

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`documentai.googleapis.com`
詳細資料	Document AI 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Document AI，請參閱產品說明文件。
限制	Document AI 與 VPC Service Controls 整合時，沒有已知限制。

Document AI 倉儲

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`contentwarehouse.googleapis.com`
詳細資料	Document AI Warehouse 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Document AI 倉儲，請參閱產品說明文件。
限制	Document AI Warehouse 與 VPC Service Controls 整合後，目前沒有已知限制。

Cloud Domains

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`domains.googleapis.com`
詳細資料	Cloud Domains 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Domains，請參閱產品說明文件。
限制	Cloud Domains 使用的聯絡資料可能會與網域結尾或頂層網域 (TLD) 註冊機構共用，並可能根據您的設定，透過 WHOIS/RDAP 公開存取，但會遵守 ICANN 規則。詳情請參閱「隱私權保護」。 Cloud Domains 使用的 DNS 設定資料 (名稱伺服器和 DNSSEC 設定) 為公開資訊。如果網域委派給公用 DNS 區域 (預設)，該區域的 DNS 設定資料也會公開。

Eventarc Advanced

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`eventarc.googleapis.com`
詳細資料	服務範圍外的 Eventarc Advanced 匯流排無法接收範圍內專案的事件。 Google Cloud 在安全範圍內的 Eventarc Advanced 匯流排，無法將事件轉送至安全範圍外的消費者。如要發布至 Eventarc Advanced 匯流排，事件來源必須與匯流排位於相同的服務安全防護範圍內。如要取用訊息，事件消費者必須與匯流排位於同一個服務安全防護範圍內。如要進一步瞭解 Eventarc Advanced，請參閱產品說明文件。
限制	在受服務範圍保護的專案中，適用下列限制：您無法在服務範圍內建立 Eventarc Advanced pipeline。您可以查看平台記錄 (傳入) 來驗證 `MessageBus`、`GoogleApiSource` 和 `Enrollment` 資源的 VPC Service Controls 支援，但無法測試 VPC Service Controls 傳出。如果這些資源位於服務範圍內，您就無法設定 Eventarc Advanced，在該範圍內端對端傳送事件。

Eventarc Standard

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`eventarc.googleapis.com`
詳細資料	Eventarc Standard 會使用 Pub/Sub 主題和推送訂閱項目處理事件傳送作業。如要存取 Pub/Sub API 及管理事件觸發條件，Eventarc API 必須與 Pub/Sub API 位於同一個 VPC Service Controls 服務範圍內。如要進一步瞭解 Eventarc Standard，請參閱產品說明文件。
限制	在受服務範圍保護的專案中，適用下列限制： Eventarc Standard 受到與 Pub/Sub 相同的限制：將事件路由至 Cloud Run 目標時，除非推送端點設為具有預設 `run.app` URL 的 Cloud Run 服務 (自訂網域不適用)，否則無法建立新的 Pub/Sub 推送訂閱。將事件傳送至 Pub/Sub 推送端點設為 Workflows 執行的 Workflows 目標時，您只能透過 Eventarc Standard 建立新的 Pub/Sub 推送訂閱項目。請參閱本文中的 Pub/Sub 限制。 VPC Service Controls 會封鎖內部 HTTP 端點的 Eventarc Standard 觸發條件建立作業。將事件傳送至這類目的地時，VPC Service Controls 保護措施不適用。

Distributed Cloud Edge Network API

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`edgenetwork.googleapis.com`
詳細資料	Distributed Cloud Edge Network API 可受到 VPC Service Controls 保護，並在服務範圍內正常使用。如要進一步瞭解 Distributed Cloud Edge Network API，請參閱產品說明文件。
限制	Distributed Cloud Edge Network API 與 VPC Service Controls 整合時，沒有已知限制。

Anti Money Laundering AI

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`financialservices.googleapis.com`
詳細資料	反洗錢 AI 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Anti Money Laundering AI，請參閱產品說明文件。
限制	目前已知沒有任何限制。

Firebase App Check

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`firebaseappcheck.googleapis.com`
詳細資料	設定及交換 Firebase App Check 權杖時，VPC Service Controls 只會保護 Firebase App Check 服務。如要保護依賴 Firebase App Check 的服務，請為這些服務設定服務範圍。如要進一步瞭解 Firebase App Check，請參閱產品說明文件。
限制	Firebase App Check 與 VPC Service Controls 整合後，目前沒有已知限制。

Firebase Data Connect

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`firebasedataconnect.googleapis.com`
詳細資料	服務範圍只會保護 Firebase Data Connect API。但不會保護基礎資料來源 (例如 Cloud SQL 執行個體) 的存取權。您必須另外設定資料庫執行個體的存取限制。如要進一步瞭解 Firebase Data Connect，請參閱產品說明文件。
限制	Firebase Data Connect 與 VPC Service Controls 整合時，沒有已知限制。

Firebase 安全性規則

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`firebaserules.googleapis.com`
詳細資料	管理 Firebase 安全性規則政策時，VPC Service Controls 只會保護 Firebase 安全性規則服務。如要保護依賴 Firebase 安全性規則的服務，請為這些服務設定服務範圍。如要進一步瞭解 Firebase 安全性規則，請參閱產品說明文件。
限制	Firebase 安全性規則與 VPC Service Controls 整合時，沒有已知限制。

Cloud Run functions

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudfunctions.googleapis.com`
詳細資料	如需設定步驟，請參閱 Cloud Run functions 說明文件。使用 Cloud Build 建構 Cloud Run 函式時，VPC Service Controls 保護機制不會套用至建構階段。詳情請參閱已知限制。如要進一步瞭解 Cloud Run 函式，請參閱產品說明文件。
限制	Cloud Run functions 會使用 Cloud Build、Container Registry 和 Cloud Storage，在可執行的容器中建構及管理原始碼。如果服務範圍限制了上述任何服務，即使 Cloud Run 函式未新增為範圍的受限制服務，VPC Service Controls 也會封鎖 Cloud Run 函式建構作業。如要在服務安全防護範圍內使用 Cloud Run 函式，您必須在服務安全防護範圍中，為 Cloud Build 服務帳戶設定連入規則。如要讓函式使用外部依附元件 (例如 npm 套件)，Cloud Build 必須具備無限制的網際網路存取權。這項網際網路存取權可用於外洩建構時可用的資料，例如您上傳的原始碼。如要防範這種外洩向量，建議只允許信任的開發人員部署函式。請勿將 Cloud Run functions 的擁有者、編輯者或開發人員 IAM 角色授予不受信任的開發人員。為服務安全防護範圍指定輸入或輸出政策時，您無法使用 `ANY_SERVICE_ACCOUNT` 和 `ANY_USER_ACCOUNT` 做為身分類型，從本機部署 Cloud Run 函式。如要解決這個問題，請改用 `ANY_IDENTITY` 做為身分識別類型。透過 HTTP 觸發程序叫用 Cloud Run 函式服務時，VPC Service Controls 政策強制執行作業不會使用用戶端的 IAM 驗證資訊。VPC Service Controls 不支援使用 IAM 主體的連入政策規則。不支援使用 IAM 主體的 VPC Service Controls 範圍存取層級。

身分與存取權管理

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`iam.googleapis.com`
詳細資料	使用安全範圍限制 IAM 時，只有使用 Identity and Access Management API 的動作會受到限制。這些動作包括：管理自訂 IAM 角色管理 Workload Identity 集區管理服務帳戶和金鑰管理拒絕政策管理主體存取邊界政策的政策繫結由於工作團隊集區和主體存取邊界政策是在機構層級建立，因此邊界不會限制與這些資源相關的動作。此外，安全防護範圍不會限制其他服務所擁有資源的允許政策管理作業，例如 Resource Manager 專案、資料夾和機構，或是 Compute Engine 虛擬機器執行個體。如要限制這些資源的允許政策管理權，請建立範圍，限制擁有這些資源的服務。如需接受允許政策的資源清單，以及擁有這些資源的服務，請參閱接受允許政策的資源類型。此外，IAM 周邊範圍「不會」限制使用其他 API 的動作，包括： IAM Policy Simulator API IAM Policy Troubleshooter API Security Token Service API Service Account Credentials API (包括 IAM API 中的舊版 `signBlob` 和 `signJwt` 方法) 如要進一步瞭解 Identity and Access Management，請參閱產品說明文件。
限制	如果您位於安全防護範圍內，就無法使用空字串呼叫 `roles.list` 方法，列出 IAM 預先定義角色。如要查看預先定義的角色，請參閱 IAM 角色說明文件。

IAP Admin API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`iap.googleapis.com`
詳細資料	使用者可透過 IAP Admin API 設定 IAP。如要進一步瞭解 IAP Admin API，請參閱產品說明文件。
限制	IAP Admin API 與 VPC Service Controls 整合時，沒有已知限制。

Cloud KMS Inventory API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`kmsinventory.googleapis.com`
詳細資料	Cloud KMS Inventory API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud KMS Inventory API，請參閱產品說明文件。
限制	SearchProtectedResources API 方法不會對傳回的專案強制執行服務範圍限制。

服務帳戶憑證

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`iamcredentials.googleapis.com`
詳細資料	服務帳戶憑證的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解服務帳戶憑證，請參閱產品說明文件。
限制	將服務帳戶憑證與 VPC Service Controls 整合時，沒有已知限制。

Service Metadata API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloud.googleapis.com`
詳細資料	Service Metadata API 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Service Metadata API，請參閱產品說明文件。
限制	Service Metadata API 與 VPC Service Controls 整合時，沒有已知限制。

服務網路

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	否。Service Networking API 無法受到服務範圍保護。不過，您可以在範圍內的專案中正常使用 Service Networking。
詳細資料	如果您使用私人服務存取權，建議為 Service Networking 連線啟用 VPC Service Controls。啟用 VPC Service Controls 後，服務供應商只能透過 Service Networking 連線存取 VPC Service Controls 支援的 API。您只能使用 EnableVpcServiceControls API 為 Service Networking 啟用 VPC Service Controls。您只能使用 DisableVpcServiceControls API 停用 Service Networking 的 VPC Service Controls。如要進一步瞭解 Service Networking，請參閱產品說明文件。
限制	Service Networking 與 VPC Service Controls 整合時，沒有已知限制。

無伺服器虛擬私有雲存取

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`vpcaccess.googleapis.com`
詳細資料	無伺服器虛擬私有雲存取 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解無伺服器虛擬私有雲存取，請參閱產品說明文件。
限制	無伺服器虛擬私有雲存取與 VPC Service Controls 整合後，目前沒有已知限制。

Cloud Key Management Service

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudkms.googleapis.com`
詳細資料	Cloud KMS API 可受到 VPC Service Controls 保護，且產品可在服務範圍內使用。VPC Service Controls 也會保護 Cloud HSM 服務的存取權，且可在服務範圍內使用。如要進一步瞭解 Cloud Key Management Service，請參閱產品說明文件。
限制	Cloud Key Management Service 與 VPC Service Controls 整合功能沒有已知限制。

遊戲伺服器

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`gameservices.googleapis.com`
詳細資料	VPC Service Controls 可保護 Game Servers API，且產品可在服務範圍內正常使用。如要進一步瞭解遊戲伺服器，請參閱產品說明文件。
限制	Game Servers 與 VPC Service Controls 整合後，目前沒有已知限制。

Gemini Code Assist

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudaicompanion.googleapis.com`
詳細資料	Gemini Code Assist 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。包括自訂程式碼。如要進一步瞭解 Gemini Code Assist，請參閱產品說明文件。
限制	Gemini 版 Google Cloud 控制台不支援依據裝置、公開 IP 位址或位置資訊進行存取權控管。

TCP 適用的 Identity-Aware Proxy

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`iaptunnel.googleapis.com`
詳細資料	TCP 適用的 Identity-Aware Proxy API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 TCP 適用的 Identity-Aware Proxy，請參閱產品說明文件。
限制	只有 TCP 適用的 IAP 用量 API 可受邊界保護。範圍無法保護管理 API。如要在 VPC Service Controls 服務範圍內使用 TCP 適用的 IAP，您必須新增或設定一些 DNS 項目，將下列網域指向受限制的 VIP： tunnel.cloudproxy.app *.tunnel.cloudproxy.app

Cloud Life Sciences

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`lifesciences.googleapis.com`
詳細資料	Cloud Life Sciences 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Life Sciences，請參閱產品說明文件。
限制	Cloud Life Sciences 與 VPC Service Controls 整合時，沒有已知限制。

Managed Service for Microsoft Active Directory

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`managedidentities.googleapis.com`
詳細資料	需要額外設定的項目：從內部部署環境存取 Managed Microsoft AD API 共用虛擬私有雲如要進一步瞭解 Managed Service for Microsoft Active Directory，請參閱產品說明文件。
限制	Managed Service for Microsoft Active Directory 與 VPC Service Controls 整合時，沒有已知限制。

reCAPTCHA

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`recaptchaenterprise.googleapis.com`
詳細資料	reCAPTCHA 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 reCAPTCHA，請參閱產品說明文件。
限制	目前已知 reCAPTCHA 與 VPC Service Controls 整合時沒有任何限制。

Web Risk

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`webrisk.googleapis.com`
詳細資料	Web Risk API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Web Risk，請參閱產品說明文件。
限制	VPC Service Controls 不支援 Evaluate API 和 Submission API。

建議工具

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`recommender.googleapis.com`
詳細資料	VPC Service Controls 可保護 Recommender API，且產品可在服務範圍內正常使用。如要進一步瞭解建議工具，請參閱產品說明文件。
限制	VPC Service Controls 不支援機構、資料夾或帳單帳戶資源。

Secret Manager

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`secretmanager.googleapis.com`
詳細資料	Secret Manager 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Secret Manager，請參閱產品說明文件。
限制	Secret Manager 與 VPC Service Controls 整合時，沒有已知限制。

Pub/Sub

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`pubsub.googleapis.com`
詳細資料	VPC Service Controls 保護設定會套用至所有管理員、發布者和訂閱者作業 (現有的推送訂閱項目除外)。如要進一步瞭解 Pub/Sub，請參閱產品說明文件。
限制	在受服務範圍保護的專案中，適用下列限制：除非推送端點設為具有預設 `run.app` 網址的 Cloud Run 服務，或是設為 Workflows 執行作業 (自訂網域不適用)，否則無法建立新的推送訂閱項目。如要進一步瞭解如何與 Cloud Run 整合，請參閱「使用 VPC Service Controls」。對於非推送訂閱項目，您必須在與主題相同的範圍內建立訂閱項目，或啟用輸出規則，允許從主題存取訂閱項目。透過 Eventarc 將事件轉送至 Workflows 目標時，如果推送端點設為 Workflows 執行作業，您只能透過 Eventarc 建立新的推送訂閱項目。在服務範圍設定完成前所建立的 Pub/Sub 訂閱項目不會遭到封鎖。

Pub/Sub Lite

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`pubsublite.googleapis.com`
詳細資料	VPC Service Controls 保護設定會套用到所有訂閱者作業。如要進一步瞭解 Pub/Sub Lite，請參閱產品說明文件。
限制	Pub/Sub Lite 與 VPC Service Controls 整合時，沒有已知限制。

Cloud Build

狀態	GA。VPC Service Controls 支援這項產品整合功能。詳情請參閱詳細資料和限制。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudbuild.googleapis.com`
詳細資料	使用 VPC Service Controls 和 Cloud Build 私人集區，為建構作業增添額外安全性。如要進一步瞭解 Cloud Build，請參閱產品說明文件。
限制	VPC Service Controls 保護機制僅適用於在私人集區中執行的建構作業。不支援 Cloud Build Pub/Sub 觸發條件。

Cloud Deploy

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`clouddeploy.googleapis.com`
詳細資料	Cloud Deploy 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Deploy，請參閱產品說明文件。
限制	如要在安全防護範圍內使用 Cloud Deploy，您必須為目標的執行環境使用 Cloud Build 私人集區。請勿使用預設 (Cloud Build) 工作站集區，也不要使用混合式集區。

Cloud Composer

狀態	GA
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`composer.googleapis.com`
詳細資料	設定 Composer 以搭配 VPC Service Controls 使用如要進一步瞭解 Cloud Composer，請參閱產品說明文件。
限制	啟用 DAG 序列化功能後，Airflow 就不會在網頁 UI 中顯示含有函式的已算繪範本。啟用 DAG 序列化時，不支援將 `async_dagbag_loader` 標記設為 `True`。啟用 DAG 序列化功能後，系統會停用所有 Airflow 網路伺服器外掛程式，因為這些外掛程式可能會危及 Cloud Composer 部署所在 VPC 網路的安全性。這不會影響排程器或工作站外掛程式的行為，包括 Airflow 運算子和感應器。在範圍內執行 Cloud Composer 時，系統會限制對公開 PyPI 存放區的存取權。如要瞭解如何在私人 IP 模式下安裝 PyPi 模組，請參閱 Cloud Composer 說明文件中的「安裝 Python 依附元件」。

Cloud Quotas

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudquotas.googleapis.com`
詳細資料	Cloud Quotas 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Quotas，請參閱產品說明文件。
限制	由於 VPC Service Controls 會在專案層級強制執行邊界，因此如果組織設定輸出規則，源自範圍內用戶端的 Cloud Quotas 要求就只能存取組織資源。要求減少配額時，Cloud Quotas 會執行服務對服務 (S2S) 呼叫，以監控服務。即使減少要求來自範圍內，這項 S2S 呼叫也不會來自範圍內，因此會遭到 VPC Service Controls 封鎖。如要避免這個問題，請採取下列任一做法：將 `ignoreSafetyChecks` 查詢參數設為 `QUOTA_DECREASE_BELOW_USAGE` 值。建立輸入規則，允許從您的身分和所有來源發出的 S2S 呼叫，傳送到您要求調降配額的專案。如要設定輸入或輸出規則，請參閱 VPC Service Controls 的設定輸入和輸出政策操作說明。

Cloud Run

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`run.googleapis.com`
詳細資料	您必須為 Cloud Run 進行額外設定。按照 Cloud Run VPC Service Controls 說明文件頁面的指示操作。如要進一步瞭解 Cloud Run，請參閱產品說明文件。
限制	如果是 Artifact Registry 和 Container Registry，您儲存容器的登錄檔必須與部署專案位於相同的 VPC Service Controls 範圍。建構中的程式碼必須與要推送容器的登錄檔位於相同的 VPC Service Controls 範圍。如果專案位於 VPC Service Controls 範圍內，就無法使用 Cloud Run 持續部署功能。叫用 Cloud Run 服務時，VPC Service Controls 政策強制執行不會使用用戶端的 IAM 驗證資訊。這類要求有以下限制： VPC Service Controls 不支援使用 IAM 主體的連入政策規則。 VPC Service Controls 範圍不支援使用 IAM 主體的存取層級。只有在使用受限虛擬 IP (VIP) 位址時，才能確保系統強制執行 VPC Service Controls 輸出政策。即使 Cloud Run 未設定為可透過虛擬私有雲存取的服務，系統仍允許來自相同專案的要求 (透過非受限的 VIP)。

Cloud Scheduler

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudscheduler.googleapis.com`
詳細資料	系統會在下列動作中強制執行 VPC Service Controls：建立 Cloud Scheduler 工作 Cloud Scheduler 工作更新如要進一步瞭解 Cloud Scheduler，請參閱產品說明文件。
限制	VPC Service Controls 僅支援以下列目標執行的 Cloud Scheduler 工作： Cloud Run functions `functions.net` 端點 Cloud Run `run.app` 端點 Dataflow API (必須與 Cloud Scheduler 工作位於同一個 Google Cloud 專案) Data Pipelines (必須與 Cloud Scheduler 工作位於同一個專案中) Google Cloud Pub/Sub (必須與 Cloud Scheduler 工作位於相同專案) Google Cloud

Spanner

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`spanner.googleapis.com`
詳細資料	Spanner 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Spanner，請參閱產品說明文件。
限制	Spanner 與 VPC Service Controls 整合時，沒有已知限制。

Speaker ID

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`speakerid.googleapis.com`
詳細資料	VPC Service Controls 可保護 Speaker ID 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解聲紋辨識，請參閱產品說明文件。
限制	Speaker ID 與 VPC Service Controls 整合時，沒有已知限制。

Cloud Storage

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`storage.googleapis.com`
詳細資料	Cloud Storage 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Storage，請參閱產品說明文件。
限制	如果儲存空間值區位於保護 Cloud Storage 服務的服務範圍內，您就無法使用要求者付費功能，指定範圍外的專案支付費用。目標專案必須與儲存空間 bucket 位於相同範圍，或與 bucket 的專案位於重疊範圍。如要進一步瞭解「要求者付費」功能，請參閱「要求者付費的使用及存取需求」一文。如果專案位於服務範圍內，且 Cloud Storage API 受該範圍保護，您就無法存取 Google Cloud 控制台中的 Cloud Storage 頁面。如要授予頁面存取權，請建立包含使用者帳戶和/或公用 IP 範圍的 Ingress 規則和/或存取層級，允許存取 Cloud Storage API。稽核記錄中的 `resourceName` 欄位不會表示擁有值區的專案。您必須另外找出專案。稽核記錄中 `methodName` 的值不一定正確。建議您「不要」依 `methodName` 篩選 Cloud Storage 稽核記錄。在某些情況下，即使存取遭拒，也仍可將 Cloud Storage 舊版值區記錄寫入服務範圍外的目標。在某些情況下，即使您對 Cloud Storage 物件啟用 VPC Service Controls，仍可存取這些物件 (如果物件原本是公開的)。物件在內建快取和使用者與 Cloud Storage 之間網路上的任何其他上游快取過期前，都可以存取。根據預設，Cloud Storage 會在 Cloud Storage 網路中快取可公開存取的資料。如要進一步瞭解 Cloud Storage 物件的快取方式，請參閱 Cloud Storage。如要瞭解物件的快取時間長度，請參閱快取控制中繼資料。為服務安全防護範圍指定輸入或輸出政策時，您無法使用 `ANY_SERVICE_ACCOUNT` 和 `ANY_USER_ACCOUNT` 做為身分識別類型，透過簽署網址執行所有 Cloud Storage 作業。如要解決這個問題，請改用 `ANY_IDENTITY` 做為身分識別類型。簽署網址支援 VPC Service Controls。 VPC Service Controls 會使用簽署已簽署網址的使用者或服務帳戶簽署憑證，評估 VPC Service Controls 檢查，而非啟動連線的呼叫端或使用者憑證。 VPC Service Controls 可保護 Storage Intelligence API。 VPC Service Controls 不支援將資料夾層級或機構層級的資源新增至服務範圍。因此，雖然您可以在資料夾、機構或專案層級啟用 Storage Intelligence，但 VPC Service Controls 只會保護專案層級的資源。如要在資料夾或機構層級管理 Storage Intelligence，建議使用 IAM。

Cloud Tasks

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudtasks.googleapis.com`
詳細資料	Cloud Tasks 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。系統支援 Cloud Tasks 執行作業發出的 HTTP 要求，如下所示：允許對符合 VPC Service Controls 規範的 Cloud Run 函式和 Cloud Run 端點發出經過驗證的要求。系統會封鎖對非 Cloud Run 函式和非 Cloud Run 端點的要求。系統會封鎖對不符合 VPC Service Controls 規範的 Cloud Run 函式和 Cloud Run 端點提出的要求。如要進一步瞭解 Cloud Tasks，請參閱產品說明文件。
限制	VPC Service Controls 僅支援對下列目標發出的 Cloud Tasks 要求： Cloud Run functions `functions.net` 端點 Cloud Run `run.app` 端點

Cloud SQL

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`sqladmin.googleapis.com`
詳細資料	VPC Service Controls 範圍可保護 Cloud SQL Admin API。如要進一步瞭解 Cloud SQL，請參閱產品說明文件。
限制	服務範圍只會保護 Cloud SQL Admin API。但無法保護 Cloud SQL 執行個體的 IP 型資料存取權。您需要使用機構政策限制，限制對 Cloud SQL 執行個體的公開 IP 存取權。為 Cloud SQL 設定 VPC Service Controls 前，請先啟用 Service Networking API。 Cloud SQL 匯入和匯出作業只能從與 Cloud SQL 副本執行個體位於相同服務範圍內的 Cloud Storage 值區讀取和寫入資料。在外部伺服器遷移流程中，您需要將 Cloud Storage 值區新增至相同的服務範圍。在 CMEK 的金鑰建立流程中，請使用下列其中一種設定：在與使用金鑰的資源 (例如 Cloud SQL) 相同的服務安全防護範圍中建立金鑰。在透過範圍橋接器連線的服務範圍中建立金鑰，該範圍會連線至保護 Cloud SQL 的服務範圍。從備份還原執行個體時，目標執行個體必須與備份位於相同的服務範圍。

Video Intelligence API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`videointelligence.googleapis.com`
詳細資料	Video Intelligence API 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Video Intelligence API，請參閱產品說明文件。
限制	Video Intelligence API 與 VPC Service Controls 整合後，目前沒有已知限制。

Cloud Vision API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`vision.googleapis.com`
詳細資料	Cloud Vision API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Vision API，請參閱產品說明文件。
限制	即使您建立輸出規則，允許從 VPC Service Controls 範圍內呼叫公開網址，Cloud Vision API 仍會封鎖對公開網址的呼叫。

Artifact Analysis

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`containeranalysis.googleapis.com`
詳細資料	如要搭配 VPC Service Controls 使用 Artifact Analysis，您可能必須將其他服務新增至 VPC 服務範圍：如果您搭配 Artifact Analysis 使用 Pub/Sub 通知，請將 Pub/Sub 新增至服務安全防護範圍。如果您使用 Container Scanning API，請將登錄檔新增至安全防護範圍：Artifact Registry 或 Container Registry。由於 Container Scanning API 是無介面的 API，可將結果儲存在 Artifact Analysis 中，因此您不需要使用服務邊界保護 API。如要進一步瞭解 Artifact Analysis，請參閱產品說明文件。
限制	Artifact Analysis 與 VPC Service Controls 整合時，沒有已知限制。

Container Registry

狀態	注意：Container Registry 已淘汰。自 2025 年 3 月 18 日起，Container Registry 將終止運作，且無法再將映像檔寫入 Container Registry。如要進一步瞭解淘汰事宜，以及如何遷移至 Artifact Registry，請參閱「Container Registry 淘汰事宜」。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`containerregistry.googleapis.com`
詳細資料	除了保護 Container Registry API 以外，Container Registry 也可搭配 GKE 和 Compute Engine，在服務範圍內使用。如要進一步瞭解 Container Registry，請參閱產品說明文件。
限制	為服務安全防護措施指定輸入或輸出政策時，您無法將 `ANY_SERVICE_ACCOUNT` 和 `ANY_USER_ACCOUNT` 做為所有 Container Registry 作業的身分類型。如要解決這個問題，請改用 `ANY_IDENTITY` 做為身分識別類型。由於 Container Registry 使用 `gcr.io` 網域，因此您必須設定 DNS，讓 `*.gcr.io` 對應至 `private.googleapis.com` 或 `restricted.googleapis.com`。詳情請參閱「在服務範圍內保護 Container Registry」。除了範圍內可供 Container Registry 使用的容器，所有專案還可使用下列唯讀存放區 (無論服務範圍強制執行的任何限制)： `gcr.io/anthos-baremetal-release` `gcr.io/asci-toolchain` `gcr.io/cloud-airflow-releaser` `gcr.io/cloud-builders` `gcr.io/cloud-dataflow` `gcr.io/cloud-ingest` `gcr.io/cloud-marketplace` `gcr.io/cloud-ssa` `gcr.io/cloudsql-docker` `gcr.io/config-management-release` `gcr.io/deeplearning-platform-release` `gcr.io/foundry-dev` `gcr.io/fn-img` `gcr.io/gae-runtimes` `gcr.io/serverless-runtimes` `gcr.io/gke-node-images` `gcr.io/gke-release` `gcr.io/gkeconnect` `gcr.io/google-containers` `gcr.io/kubeflow` `gcr.io/kubeflow-images-public` `gcr.io/kubernetes-helm` `gcr.io/istio-release` `gcr.io/ml-pipeline` `gcr.io/projectcalico-org` `gcr.io/rbe-containers` `gcr.io/rbe-windows-test-images` `gcr.io/speckle-umbrella` `gcr.io/stackdriver-agents` `gcr.io/tensorflow` `gcr.io/vertex-ai` `gcr.io/vertex-ai-restricted` `gke.gcr.io` `k8s.gcr.io` 在所有情況下，專案也可使用這些存放區的多區域版本。

Google Kubernetes Engine

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`container.googleapis.com`
詳細資料	Google Kubernetes Engine 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Google Kubernetes Engine，請參閱產品說明文件。
限制	如要全面保護 Google Kubernetes Engine API，您也必須在安全防護範圍內納入 Kubernetes Metadata API (`kubernetesmetadata.googleapis.com`)。只有私人叢集可以使用 VPC Service Controls 進行防護。VPC Service Controls 不支援具有公開 IP 位址的叢集。這個表格中的 GKE 服務項目僅指定 GKE API 本身的控制項。GKE 運作時會依賴其他多項基礎服務，例如 Compute Engine、Cloud Logging、Cloud Monitoring 和 Autoscaling API (`autoscaling.googleapis.com`)。如要使用 VPC Service Controls 有效保護 GKE 環境，請務必確保所有必要的基礎服務也包含在服務安全防護範圍內。如需這些服務的完整清單，請參閱 GKE 說明文件。

Container Security API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`containersecurity.googleapis.com`
詳細資料	Container Security API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Container Security API，請參閱產品說明文件。
限制	Container Security API 與 VPC Service Controls 整合時，沒有已知限制。

影像串流

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`containerfilesystem.googleapis.com`
詳細資料	映像檔串流是 GKE 的資料串流功能，可縮短提取儲存在 Artifact Registry 中映像檔的時間。如果 VPC Service Controls 會保護容器映像檔，且您使用映像檔串流，則必須在服務範圍內加入 Image streaming API。如要進一步瞭解映像檔串流，請參閱產品說明文件。
限制	無論服務範圍強制執行的任何限制，所有專案都可使用下列唯讀存放區： `gcr.io/anthos-baremetal-release` `gcr.io/asci-toolchain` `gcr.io/cloud-airflow-releaser` `gcr.io/cloud-builders` `gcr.io/cloud-dataflow` `gcr.io/cloud-ingest` `gcr.io/cloud-marketplace` `gcr.io/cloud-ssa` `gcr.io/cloudsql-docker` `gcr.io/config-management-release` `gcr.io/deeplearning-platform-release` `gcr.io/foundry-dev` `gcr.io/fn-img` `gcr.io/gae-runtimes` `gcr.io/serverless-runtimes` `gcr.io/gke-node-images` `gcr.io/gke-release` `gcr.io/gkeconnect` `gcr.io/google-containers` `gcr.io/kubeflow` `gcr.io/kubeflow-images-public` `gcr.io/kubernetes-helm` `gcr.io/istio-release` `gcr.io/ml-pipeline` `gcr.io/projectcalico-org` `gcr.io/rbe-containers` `gcr.io/rbe-windows-test-images` `gcr.io/speckle-umbrella` `gcr.io/stackdriver-agents` `gcr.io/tensorflow` `gcr.io/vertex-ai` `gcr.io/vertex-ai-restricted` `gke.gcr.io` `k8s.gcr.io`

車隊

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`gkeconnect.googleapis.com, gkehub.googleapis.com, connectgateway.googleapis.com`
詳細資料	VPC Service Controls 可保護包括連線閘道在內的車隊管理 API，且車隊管理功能可在服務範圍內正常使用。詳情請參閱下列說明：將 VPC Service Controls 與 Connect 代理程式搭配使用將 VPC Service Controls 與 Connect 閘道搭配使用如要進一步瞭解 Fleets，請參閱產品說明文件。
限制	雖然所有車隊管理功能都能正常使用，但如果為 Stackdriver API 啟用服務安全防護範圍，Policy Controller 車隊功能就無法與 Security Command Center 整合。使用 Connect 閘道存取 GKE 叢集時，系統不會強制執行 `container.googleapis.com` 的 VPC Service Controls 範圍。

`FleetPackage` API

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`configdelivery.googleapis.com`
詳細資料	`FleetPackage` API 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 `FleetPackage` API，請參閱產品說明文件。
限制	`FleetPackage` API 與 VPC Service Controls 整合後，目前沒有已知限制。

Resource Manager

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudresourcemanager.googleapis.com`
詳細資料	下列 Cloud Resource Manager API 方法可透過 VPC Service Controls 受到保護： v1 `project.setIAMPolicy` v1beta1 `project.setIAMPolicy` v3 `tagKeys.` v3 `tagValues.` v3 `tagValues.tagHolds.` v3 `tagBindings.` 如要進一步瞭解 Resource Manager，請參閱產品說明文件。
限制	只有直接以專案資源為父項的標記鍵和對應的標記值，才能使用 VPC Service Controls 保護。將專案新增至 VPC Service Controls 範圍後，專案中的所有標記鍵和對應的標記值都會視為範圍內的資源。以機構資源為父項的標記鍵及其對應的標記值，無法納入 VPC Service Controls 範圍，也無法使用 VPC Service Controls 保護。除非在範圍內設定允許存取的輸出規則，否則 VPC Service Controls 範圍內的用戶端無法存取由機構資源做為父項的標記鍵和對應值。如要進一步瞭解如何設定輸出規則，請參閱「輸入和輸出規則」。標記繫結會視為與標記值繫結的資源位於相同範圍內的資源。舉例來說，專案中 Compute Engine 執行個體的標籤繫結會視為屬於該專案，無論標籤鍵的定義位置為何。除了 Resource Manager 服務 API，部分服務 (例如 Compute Engine) 也允許使用自己的服務 API 建立標記繫結。舉例來說，在建立資源時，將標記新增至 Compute Engine VM。如要保護使用這些服務 API 建立或刪除的標記繫結，請將對應的服務 (例如 `compute.googleapis.com`) 新增至服務範圍的受限服務清單。標記支援方法層級的限制，因此您可以將 `method_selectors` 範圍限定為特定 API 方法。如需可限制的方法清單，請參閱「支援的服務方法相關限制」。 VPC Service Controls 現在支援透過 Google Cloud 主控台授予專案的擁有者角色。你無法在服務範圍外傳送或接受擁有者邀請。如果嘗試接受來自周邊範圍外的邀請，系統不會授予您擁有者角色，也不會顯示任何錯誤或警告訊息。

Cloud Logging

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`logging.googleapis.com`
詳細資料	Cloud Logging 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Logging，請參閱產品說明文件。
限制	匯總記錄接收器 (當 `includeChildren` 為 `true` 時進行的資料夾或機構接收器) 可存取服務範圍內專案的資料。如要限制匯總記錄接收器存取安全防護範圍內的資料，建議您使用 IAM 管理資料夾層級或機構層級匯總記錄接收器的 Logging 權限。 VPC Service Controls 不支援將資料夾或機構資源新增至服務範圍。因此，您無法使用 VPC Service Controls 保護資料夾層級和機構層級的記錄，包括匯總記錄。如要在資料夾層級或機構層級管理 Logging 權限，建議使用 IAM。如果您使用機構層級或資料夾層級的記錄接收器，將記錄檔傳送至受服務範圍保護的資源，則必須在服務範圍中新增傳入規則。記錄接收器使用的服務帳戶必須允許存取資源的連入規則。如要匯出專案層級的記錄，則不必進行這項操作。詳情請參閱下列頁面：輸入和輸出規則管理服務範圍設定及管理接收器為服務安全防護措施指定輸入或輸出政策時，您無法使用 `ANY_SERVICE_ACCOUNT` 和 `ANY_USER_ACCOUNT` 做為身分類型，將 Cloud Logging 接收器的記錄檔匯出至 Cloud Storage 資源。如要解決這個問題，請改用 `ANY_IDENTITY` 做為身分識別類型。

Certificate Manager

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`certificatemanager.googleapis.com`
詳細資料	Certificate Manager 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Certificate Manager，請參閱產品說明文件。
限制	Certificate Manager 與 VPC Service Controls 整合時，沒有已知限制。

Cloud Monitoring

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`monitoring.googleapis.com`
詳細資料	Cloud Monitoring 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Monitoring，請參閱產品說明文件。
限制	通知管道、快訊政策和自訂指標可一併用於外洩資料/中繼資料。從今天起，監控服務使用者可以設定指向機構外部實體的通知管道，例如「baduser@badcompany.com」。接著，使用者會設定自訂指標和相應的警告政策，並使用通知管道。因此，使用者可以透過操控自訂指標觸發快訊並傳送快訊觸發通知，將機密資料外洩至 VPC Service Controls 範圍外的 baduser@badcompany.com。凡是安裝監控代理程式的 Compute Engine 或 AWS VM，都必須位於 VPC Service Controls 範圍內，否則代理程式指標寫入作業會失敗。所有 GKE Pod 都必須位於 VPC Service Controls 範圍內，否則 GKE 監控將無法運作。查詢指標範圍的指標時，系統只會考量指標範圍的範圍專案 VPC Service Controls 服務範圍。系統不會考量指標範圍內個別受監控專案的邊界。只有當專案與指標範圍的範圍界定專案位於同一個 VPC Service Controls 服務範圍時，才能將專案新增為現有指標範圍的受監控專案。如要存取受服務範圍保護的主專案的 Google Cloud 控制台中的 Monitoring，請使用輸入規則。

Cloud Profiler

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudprofiler.googleapis.com`
詳細資料	Cloud Profiler 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Profiler，請參閱產品說明文件。
限制	Cloud Profiler 與 VPC Service Controls 整合時，沒有已知限制。

Telemetry API

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`telemetry.googleapis.com`
詳細資料	Telemetry API 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Telemetry API，請參閱產品說明文件。
限制	Telemetry API 與 VPC Service Controls 整合時，目前沒有已知限制。

Timeseries Insights API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`timeseriesinsights.googleapis.com`
詳細資料	Timeseries Insights API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Timeseries Insights API，請參閱產品說明文件。
限制	Timeseries Insights API 與 VPC Service Controls 整合時，沒有已知限制。

Cloud Trace

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudtrace.googleapis.com`
詳細資料	Cloud Trace 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Trace，請參閱產品說明文件。
限制	Cloud Trace 與 VPC Service Controls 整合時，沒有已知限制。

Cloud TPU

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`tpu.googleapis.com`
詳細資料	Cloud TPU 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud TPU，請參閱產品說明文件。
限制	Cloud TPU 與 VPC Service Controls 整合時，沒有已知限制。

Natural Language API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`language.googleapis.com`
詳細資料	如要進一步瞭解 Natural Language API，請參閱產品說明文件。
限制	由於 Natural Language API 是無狀態 API，且不會在專案上執行，因此使用 VPC Service Controls 保護 Natural Language API 不會產生任何影響。

Network Connectivity Center

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`networkconnectivity.googleapis.com`
詳細資料	VPC Service Controls 可保護 Network Connectivity Center 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解 Network Connectivity Center，請參閱產品說明文件。
限制	Network Connectivity Center 與 VPC Service Controls 整合時，沒有已知限制。

Cloud Asset API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudasset.googleapis.com`
詳細資料	Cloud Asset API 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Asset API，請參閱產品說明文件。
限制	VPC Service Controls 不支援從服務範圍內的資源和用戶端，存取資料夾層級或機構層級的 Cloud Asset API 資源。VPC Service Controls 可保護專案層級的 Cloud Asset API 資源。您可以指定輸出政策，防止範圍內的專案存取專案層級的 Cloud Asset API 資源。 VPC Service Controls 不支援將資料夾層級或機構層級的 Cloud Asset API 資源新增至服務範圍。您無法使用服務範圍保護資料夾層級或機構層級的 Cloud Asset API 資源。如要在資料夾或機構層級管理 Cloud Asset Inventory 權限，建議使用 IAM。

Speech-to-Text

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`speech.googleapis.com`
詳細資料	VPC Service Controls 可保護語音轉文字 API，且產品可在服務範圍內正常使用。如要進一步瞭解 Speech-to-Text，請參閱產品說明文件。
限制	Speech-to-Text 與 VPC Service Controls 整合後，目前沒有已知限制。

Text-to-Speech

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`texttospeech.googleapis.com`
詳細資料	VPC Service Controls 可保護 Text-to-Speech API，且產品可在服務範圍內正常使用。如要進一步瞭解 Text-to-Speech，請參閱產品說明文件。
限制	Text-to-Speech 與 VPC Service Controls 整合後，目前沒有已知限制。

翻譯

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`translate.googleapis.com`
詳細資料	Translation API 可受到 VPC Service Controls 保護，且可在服務範圍內正常使用。如要進一步瞭解 Translation，請參閱產品說明文件。
限制	Cloud Translation - Advanced (v3) 支援 VPC Service Controls，但 Cloud Translation - Basic (v2) 不支援。如要套用 VPC Service Controls，請務必使用 Cloud Translation - Advanced (v3)。如要進一步瞭解各個版本，請參閱「比較 Basic 和 Advanced」。

Live Stream API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`livestream.googleapis.com`
詳細資料	搭配使用 VPC Service Controls 與 Live Stream API，確保管道安全無虞。如要進一步瞭解 Live Stream API，請參閱產品說明文件。
限制	如要使用服務範圍保護輸入端點，請按照設定私人集區的指示操作，並透過私人連線傳送輸入影片串流。

Transcoder API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`transcoder.googleapis.com`
詳細資料	Transcoder API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Transcoder API，請參閱產品說明文件。
限制	Transcoder API 與 VPC Service Controls 整合時，沒有已知限制。

Video Stitcher API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`videostitcher.googleapis.com`
詳細資料	VPC Service Controls 可保護 Video Stitcher API，且產品可在服務範圍內正常使用。如要進一步瞭解 Video Stitcher API，請參閱產品說明文件。
限制	Video Stitcher API 與 VPC Service Controls 整合時，沒有已知限制。

存取權核准

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`accessapproval.googleapis.com`
詳細資料	Access Approval 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解存取核准，請參閱產品說明文件。
限制	存取核准與 VPC Service Controls 整合時，沒有已知限制。

Cloud Healthcare API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`healthcare.googleapis.com`
詳細資料	Cloud Healthcare API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Healthcare API，請參閱產品說明文件。
限制	VPC Service Controls 不支援 Cloud Healthcare API 中的客戶自行管理的加密金鑰 (CMEK)。

Storage 移轉服務

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`storagetransfer.googleapis.com`
詳細資料	建議將 Storage 移轉服務專案放在與 Cloud Storage 資源相同的服務範圍內。這可保護移轉作業和 Cloud Storage 資源。Storage 移轉服務也支援 Storage 移轉服務專案與 Cloud Storage 值區不在同一週邊的情況，方法是使用輸出政策。如需設定資訊，請參閱透過 VPC Service Controls 使用 Storage 移轉服務。 Transfer Service for On Premises Data 如需 Transfer for On Premises 的詳細資料和設定資訊，請參閱透過 VPC Service Controls 使用 Transfer for On Premises。如要進一步瞭解 Storage 移轉服務，請參閱產品說明文件。
限制	Storage 移轉服務與 VPC Service Controls 整合後，目前沒有已知限制。

服務控制

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`servicecontrol.googleapis.com`
詳細資料	Service Control API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Service Control，請參閱產品說明文件。
限制	從服務範圍內的 VPC 網路呼叫 Service Control API 時，如果 Service Control 僅限於回報帳單或分析指標，您就只能使用 Service Control 報告方法，回報 VPC Service Controls 支援服務的指標。

Memorystore for Redis

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`redis.googleapis.com`
詳細資料	Memorystore for Redis 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Memorystore for Redis，請參閱產品說明文件。
限制	服務範圍只會保護 Memorystore for Redis API。如果 Memorystore for Redis 執行個體位於相同網路中，邊界不會保護正常資料存取作業。如果 Cloud Storage API 也受到保護，則 Memorystore for Redis 匯入和匯出作業只能讀取及寫入與 Memorystore for Redis 執行個體位於相同服務邊界的 Cloud Storage 值區。如果您同時使用共用 VPC 和 VPC Service Controls，提供網路的主專案和包含 Redis 執行個體的服務專案必須位於同一個服務範圍內，Redis 要求才能成功。隨時以範圍分隔主專案和服務專案，除了會封鎖要求，也可能導致 Redis 執行個體故障。詳情請參閱 Memorystore for Redis 設定需求。

Memorystore for Memcached

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`memcache.googleapis.com`
詳細資料	Memorystore for Memcached 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Memorystore for Memcached，請參閱產品說明文件。
限制	服務範圍只會保護 Memorystore for Memcached API。如果 Memorystore for Memcached 執行個體位於同一網路中，邊界不會保護正常資料存取作業。

Memorystore for Valkey

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`memorystore.googleapis.com`
詳細資料	服務範圍僅保護 Memorystore for Valkey API。在同一網路中，邊界不會保護 Memorystore for Valkey 執行個體上的正常資料存取作業。如果 Cloud Storage API 也受到保護，則 Memorystore for Valkey 匯入和匯出作業只能讀取及寫入與 Memorystore for Valkey 執行個體位於相同服務邊界的 Cloud Storage 值區。如果您同時使用共用 VPC 和 VPC Service Controls，提供網路的主專案和包含 Redis 執行個體的服務專案必須位於同一個服務範圍內，Redis 要求才能成功。隨時以範圍分隔主專案和服務專案，除了會封鎖要求，也可能導致 Redis 執行個體故障。詳情請參閱 Memorystore for Valkey 設定需求。 Memorystore for Valkey API 目前為 `memorystore.googleapis.com`。因此，在 Google Cloud 控制台使用 VPC Service Controls 時，Memorystore for Valkey 的顯示名稱為「Memorystore API」。如要進一步瞭解 Memorystore for Valkey，請參閱產品說明文件。
限制	目前已知 Memorystore for Valkey 與 VPC Service Controls 整合時沒有任何限制。

Service Directory

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`servicedirectory.googleapis.com`
詳細資料	Service Directory 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Service Directory，請參閱產品說明文件。
限制	Service Directory 與 VPC Service Controls 整合時，沒有已知限制。

目視檢測 AI

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`visualinspection.googleapis.com`
詳細資料	如要全面保護 Visual Inspection AI，請在周邊範圍內納入下列所有 API：目視檢測 AI API (`visualinspection.googleapis.com`) Vertex AI API (`aiplatform.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Artifact Registry API (`artifactregistry.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) 如要進一步瞭解 Visual Inspection AI，請參閱產品說明文件。
限制	Visual Inspection AI 與 VPC Service Controls 整合時，沒有已知限制。

Transfer Appliance

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	否。Transfer Appliance 的 API 無法受到服務範圍保護。不過，您可以在邊界內的專案中正常使用 Transfer Appliance。
詳細資料	使用 VPC Service Controls 的專案完全支援 Transfer Appliance。 Transfer Appliance 不提供 API，因此不支援 VPC Service Controls 中的 API 相關功能。如要進一步瞭解 Transfer Appliance，請參閱產品說明文件。
限制	如果 Cloud Storage 受到 VPC Service Controls 保護，您與 Transfer Appliance 團隊共用的 Cloud KMS 金鑰必須與目的地 Cloud Storage 值區位於同一個專案中。

機構政策服務

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`orgpolicy.googleapis.com`
詳細資料	VPC Service Controls 可保護 Organization Policy Service 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解機構政策服務，請參閱產品說明文件。
限制	VPC Service Controls 不支援對專案繼承的資料夾層級或機構層級機構政策，設定存取限制。VPC Service Controls 可保護專案層級的 Organization Policy Service API 資源。舉例來說，如果輸入規則限制使用者存取 Organization Policy Service API，該使用者在查詢專案強制執行的組織政策時，就會收到 403 錯誤。不過，使用者仍可存取含有專案的資料夾和機構的機構政策。

OS 登入

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`oslogin.googleapis.com`
詳細資料	您可以在 VPC Service Controls 範圍內呼叫 OS Login API。如要透過 VPC Service Controls 範圍管理 OS Login，請設定 OS Login。 VPC Service Controls 不會保護與 VM 執行個體的 SSH 連線。如要進一步瞭解 OS 登入，請參閱產品說明文件。
限制	讀取及寫入 SSH 金鑰的 OS 登入方法不會強制執行 VPC Service Controls 範圍。使用可透過虛擬私有雲存取的服務，停用 OS Login API 的存取權。

Personalized Service Health

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`servicehealth.googleapis.com`
詳細資料	Personalized Service Health 的 API 可透過 VPC Service Controls 受到保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Personalized Service Health，請參閱產品說明文件。
限制	VPC Service Controls 不支援 Service Health API 的 `OrganizationEvents` 和 `OrganizationImpacts` 資源。因此，當您呼叫這些資源的方法時，系統不會進行 VPC Service Controls 政策檢查。不過，您可以使用受限 VIP，從服務範圍呼叫方法。

VM 管理員

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`osconfig.googleapis.com`
詳細資料	您可以在 VPC Service Controls 範圍內呼叫 OS Config API。如要在 VPC Service Controls 範圍內使用 VM Manager，請設定 VM Manager。如要進一步瞭解 VM 管理員，請參閱產品說明文件。
限制	如要全面保護 VM 管理工具，您必須在周邊範圍內納入下列所有 API： OS Config API (`osconfig.googleapis.com`) Compute Engine API (`compute.googleapis.com`) 構件分析 API (`containeranalysis.googleapis.com`) VM 管理員不會代管套件和修補程式內容。OS 修補程式管理服務會使用作業系統的更新工具，因此 VM 必須能夠擷取套件更新和修補程式。如要順利修補，您可能需要在虛擬私有雲中使用 Cloud NAT，或自行代管套件存放區或 Windows Server Update Service。

工作流程

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`workflows.googleapis.com`
詳細資料	Workflows 是一個自動化調度管理平台，可以合併 Google Cloud 服務和以 HTTP 為基礎的 API，按照您定義的順序執行服務。如果您使用服務範圍保護 Workflows API，Workflow Executions API 也會受到保護。您不必在範圍的保護服務清單中另外新增 `workflowexecutions.googleapis.com`。系統支援從工作流程執行作業發出的 HTTP 要求，如下所示：通過驗證的要求可傳送至符合 VPC Service Controls 規範的 Google Cloud 端點。允許對 Cloud Run functions 和 Cloud Run 服務端點提出要求。系統會封鎖對第三方端點的要求。系統會封鎖對不符合 VPC Service Controls 規範的 Google Cloud 端點提出的要求。如要進一步瞭解工作流程，請參閱產品說明文件。
限制	Workflows 與 VPC Service Controls 整合時，沒有已知限制。

Filestore

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`file.googleapis.com`
詳細資料	Filestore 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Filestore，請參閱產品說明文件。
限制	服務範圍只會保護 Filestore API。如果 Filestore 執行個體位於相同網路中，邊界無法保護正常的 NFS 資料存取權。如果您同時使用共用 VPC 和 VPC Service Controls，提供網路的主專案和包含 Filestore 執行個體的服務專案必須位於同一個服務範圍內，Filestore 執行個體才能正常運作。使用安全防護範圍分隔主專案和服務專案，可能會導致現有執行個體無法使用，且無法建立新的執行個體。

Parallelstore

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`parallelstore.googleapis.com`
詳細資料	如要進一步瞭解 Parallelstore，請參閱產品說明文件。
限制	如果您同時使用共用 VPC 和 VPC Service Controls，提供網路的主專案和包含 Parallelstore 執行個體的服務專案必須位於同一範圍內，Parallelstore 執行個體才能正常運作。使用安全防護範圍分隔主專案和服務專案，可能會導致現有執行個體無法使用，且可能無法建立新的執行個體。

Container Threat Detection

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`containerthreatdetection.googleapis.com`
詳細資料	Container Threat Detection 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Container Threat Detection，請參閱產品說明文件。
限制	Container Threat Detection 與 VPC Service Controls 整合時，沒有已知限制。

廣告資料中心

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`adsdatahub.googleapis.com`
詳細資料	如要進一步瞭解廣告資料中心，請參閱產品說明文件。
限制	廣告資料中心和 VPC Service Controls 適用不同的服務條款。如需詳細資訊，請參閱各項產品的條款。使用部分廣告資料中心功能 (例如自訂目標對象啟用、自訂出價和 LiveRamp 對照表) 時，必須將特定使用者資料匯出至 VPC Service Controls 範圍外。假如廣告資料中心現在列為受限制的服務，則會略過這些功能的 VPC Service Controls 政策，以利繼續運作。所有相依服務都必須納入同一個 VPC Service Controls 範圍中，做為允許使用的服務。舉例來說，廣告資料中心需要使用 BigQuery，因此您也必須新增 BigQuery。一般而言，使用 VPC Service Controls 時，建議將所有服務納入範圍，也就是「限制所有服務」。如果客戶的廣告資料中心帳戶屬於多層式結構 (例如擁有子公司的代理商)，應將所有管理員專案納入同一個範圍。為簡化作業，廣告資料中心建議帳戶屬於多層式結構的客戶，將管理員專案只歸入同一個 Google Cloud 機構。

安全性權杖服務

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`sts.googleapis.com`
詳細資料	只有當要求中的對象是專案層級資源時，VPC Service Controls 才會限制權杖交換。舉例來說，VPC Service Controls 不會限制範圍縮減權杖的要求，因為這些要求沒有對象。此外，由於對象是機構層級的資源，VPC Service Controls 也不會限制員工身分聯盟的要求。如要進一步瞭解 Security Token Service，請參閱產品說明文件。
限制	建立輸入或輸出規則來允許權杖交換時，您必須將身分類型設為 `ANY_IDENTITY`，因為 token 方法沒有授權。

Firestore/Datastore

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com`
詳細資料	`firestore.googleapis.com`、`datastore.googleapis.com` 和 `firestorekeyvisualizer.googleapis.com` 服務已組合在一起。在範圍中限制 `firestore.googleapis.com` 服務時，範圍也會限制 `datastore.googleapis.com` 和 `firestorekeyvisualizer.googleapis.com` 服務。如要限制 `datastore.googleapis.com` 服務，請使用`firestore.googleapis.com`服務名稱。如要在匯入和匯出作業中獲得完整的輸出內容保護，請務必使用 Firestore 服務代理。詳情請參閱下列說明：透過 VPC Service Controls 保護 Firestore 匯入和匯出作業。使用 VPC Service Controls 確保 Datastore 匯入和匯出作業安全無虞。如要進一步瞭解 Firestore/Datastore，請參閱產品說明文件。
限制	除非使用 Firestore 服務代理，否則匯入和匯出作業不會受到完整保護。詳情請參閱下列說明：透過 VPC Service Controls 保護 Firestore 匯入和匯出作業。使用 VPC Service Controls 確保 Datastore 匯入和匯出作業安全無虞。 App Engine 舊版套裝組合服務 (適用於 Datastore) 不支援服務周邊。使用服務範圍保護 Datastore 服務時，會封鎖來自 App Engine 舊版套裝組合服務的流量。舊版套裝組合服務包括： Java 8 Datastore 與 App Engine API 適用於 Datastore 的 Python 2 NDB 用戶端程式庫 Go 1.11 Datastore 與 App Engine API 如要搭配受限 VIP 使用 Firestore Enterprise 版 (搶先版)，請將下列 IP 位址範圍新增至允許清單： `136.124.0.0/23` (適用於 IPv4) `2600:1904::/47` (適用於 IPv6) 這些 IP 位址範圍僅供 Firestore 服務使用，且符合 VPC Service Controls 規定。

Migrate to Virtual Machines

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`vmmigration.googleapis.com`
詳細資料	Migrate to Virtual Machines 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Migrate to Virtual Machines，請參閱產品說明文件。
限制	如要全面保護 Migrate to Virtual Machines，請將下列所有 API 新增至服務範圍： Artifact Registry API (`artifactregistry.googleapis.com`) Pub/Sub API (`pubsub.googleapis.com`) Cloud Storage API (`storage.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) Secret Manager API (`secretmanager.googleapis.com`) Compute Engine API (`compute.googleapis.com`) 詳情請參閱 Migrate to Virtual Machines 說明文件。

遷移中心

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`migrationcenter.googleapis.com rapidmigrationassessment.googleapis.com`
詳細資料	您可以透過 VPC Service Controls，使用服務範圍保護 Migration Center 收集的基礎架構資料。如要進一步瞭解遷移中心，請參閱產品說明文件。
限制	啟用服務安全防護措施後，您就無法將基礎架構資料移轉至 StratoZone。

備份與 DR 服務

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`backupdr.googleapis.com`
詳細資料	備份和災難復原服務的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解備份和災難復原服務，請參閱產品說明文件。
限制	如果您使用 `gcloud services vpc-peerings enable-vpc-service-controls` 指令從服務生產者專案中移除網際網路預設路由，您可能就無法存取或部署管理控制台。如果遇到這個問題，請與 Google Cloud Customer Care 聯絡。

GKE 備份

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`gkebackup.googleapis.com`
詳細資料	您可以使用 VPC Service Controls 保護 GKE 備份，並在服務範圍內正常使用 GKE 備份功能。如要進一步瞭解 Backup for GKE，請參閱產品說明文件。
限制	Backup for GKE 與 VPC Service Controls 整合時，沒有已知限制。

Retail API

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`retail.googleapis.com`
詳細資料	Retail API 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Retail API，請參閱產品說明文件。
限制	Retail API 與 VPC Service Controls 整合時，沒有已知限制。

應用程式整合

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`integrations.googleapis.com`
詳細資料	Application Integration 是一種協作式工作流程管理系統，可讓您建立、擴增、偵錯及瞭解核心業務系統工作流程。Application Integration 的工作流程是由觸發條件和工作組成。觸發條件類型有很多種，例如 API 觸發條件/Pub/Sub 觸發條件/cron 觸發條件/sfdc 觸發條件。如要進一步瞭解 Application Integration，請參閱產品說明文件。
限制	VPC Service Controls 可保護 Application Integration 記錄。如果您使用 Application Integration，請向 Application Integration 團隊確認是否支援 vpcsc 整合。

Integration Connectors

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`connectors.googleapis.com`
詳細資料	Integration Connectors 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Integration Connectors，請參閱產品說明文件。
限制	使用 VPC Service Controls 時，如果連線要連至非 Google Cloud CLI 資源，連線目的地必須是 Private Service Connect 連結。如果建立連線時未附加 Private Service Connect，連線就會失敗。如果為 Google Cloud CLI 專案設定 VPC Service Controls 服務範圍，就無法使用該專案的事件訂閱功能。

Error Reporting

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`clouderrorreporting.googleapis.com`
詳細資料	VPC Service Controls 可保護 Error Reporting API，且產品可在服務範圍內正常使用。如要進一步瞭解 Error Reporting，請參閱產品說明文件。
限制	系統在發現新的或重複發生的錯誤群組時傳送的通知，會包含錯誤群組的相關資訊。為防止資料遭竊取至 VPC Service Controls 範圍外，請確保通知管道位於貴機構內。

Cloud Workstations

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`workstations.googleapis.com`
詳細資料	Cloud Workstations 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Workstations，請參閱產品說明文件。
限制	如要全面保護 Cloud Workstations，請在限制 Cloud Workstations API 時，一併限制服務範圍內的 Compute Engine API。請確認服務範圍內的 Google Cloud Storage API、Google Container Registry API 和 Artifact Registry API 可透過 VPC 存取。這是將映像檔拉到工作站的必要步驟。此外，我們建議您在服務安全防護範圍內允許 VPC 存取 Cloud Logging API 和 Cloud Error Reporting API，但使用 Cloud Workstations 時不一定要這麼做。確認工作站叢集為私有。設定私人叢集可防止從虛擬私有雲服務邊界外部連線至工作站。請務必在工作站設定中停用公開 IP 位址。否則，專案中的 VM 會擁有公開 IP 位址。強烈建議您使用`constraints/compute.vmExternalIpAccess`機構政策限制，為 VPC 服務範圍內的所有 VM 停用公用 IP 位址。詳情請參閱「將外部 IP 位址限制為特定 VM」。連線至工作站時，存取控制項只會根據您連線的私人網路是否屬於安全防護範圍而定。不支援根據裝置、公開 IP 位址或位置資訊控管存取權。

Cloud IDS

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`ids.googleapis.com`
詳細資料	Cloud IDS 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud IDS，請參閱產品說明文件。
限制	Cloud IDS 會使用 Cloud Logging 在專案中建立威脅記錄。如果服務範圍限制了 Cloud Logging，即使 Cloud IDS 未新增為範圍的受限服務，VPC Service Controls 仍會封鎖 Cloud IDS 威脅記錄。如要在服務安全防護範圍內使用 Cloud IDS，您必須在服務安全防護範圍中，為 Cloud Logging 服務帳戶設定連入規則。

Chrome Enterprise Premium

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`beyondcorp.googleapis.com`
詳細資料	如要進一步瞭解 Chrome Enterprise 進階版，請參閱產品說明文件。
限制	Chrome Enterprise 進階版與 VPC Service Controls 整合後，目前沒有已知限制。

政策疑難排解工具

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`policytroubleshooter.googleapis.com`
詳細資料	使用安全防護範圍限制 Policy Troubleshooter API 時，只有當要求中涉及的所有資源都位於同一個安全防護範圍內，主體才能排解 IAM 允許政策問題。通常，疑難排解要求會涉及兩項資源：要排解存取問題的資源。這個資源可以是任何類型。排解允許政策問題時，您會明確指定這項資源。您用來排解存取問題的資源。這個資源可以是專案、資料夾或機構。在 Google Cloud 控制台和 gcloud CLI 中，系統會根據您選取的專案、資料夾或機構推斷這項資源。在 REST API 中，您可以使用 `x-goog-user-project` 標頭指定這項資源。這個資源可以與您要排解存取權問題的資源相同，但不必如此。如果這些資源不在同一個範圍內，要求就會失敗。如要進一步瞭解政策疑難排解工具，請參閱產品說明文件。
限制	政策疑難排解工具與 VPC Service Controls 整合後，目前沒有已知限制。

政策模擬器

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`policysimulator.googleapis.com`
詳細資料	使用安全防護範圍限制 Policy Simulator API 時，只有在模擬作業涉及的特定資源位於同一安全防護範圍內，主體才能模擬允許政策。模擬作業會用到多項資源：要模擬允許政策的資源。這個資源也稱為「目標資源」。在 Google Cloud 控制台中，這是您要編輯允許政策的資源。在 gcloud CLI 和 REST API 中，模擬允許政策時，您需要明確指定這項資源。建立及執行模擬作業的專案、資料夾或機構。這個資源也稱為「主機資源」。在 Google Cloud 控制台和 gcloud CLI 中，系統會根據您選取的專案、資料夾或機構推斷這項資源。在 REST API 中，您可以使用 `x-goog-user-project` 標頭指定這項資源。這項資源可以與您要模擬存取的資源相同，但不必如此。提供模擬存取記錄的資源。在模擬作業中，一律會有一個資源提供模擬作業的存取記錄。這個資源會因目標資源類型而異：如果您要模擬專案或機構的允許政策，Policy Simulator 會擷取該專案或機構的存取記錄。如果您要模擬其他資源類型的允許政策，政策模擬工具會擷取該資源的父項專案或機構的存取記錄。如果您要一次模擬多項資源的允許政策，政策模擬工具會擷取資源最接近的共同專案或機構的存取記錄。所有支援的資源，以及相關的允許政策。 Policy Simulator 執行模擬時，會考量所有可能影響使用者存取權的允許政策，包括目標資源的祖先和子代資源的允許政策。因此，這些祖先和後代資源也會參與模擬。如果目標資源和主機資源不在同一個服務範圍內，要求就會失敗。如果目標資源和提供模擬存取記錄的資源不在同一個範圍內，要求就會失敗。如果目標資源和一些具有相關允許政策的支援資源不在同一週邊範圍內，要求會成功，但結果可能不完整。舉例來說，如果您要模擬範圍內專案的政策，結果不會包含專案父項機構的允許政策，因為機構一律位於 VPC Service Controls 範圍外。如要取得更完整的結果，可以為安全防護範圍設定輸入和輸出規則。如要進一步瞭解政策模擬器，請參閱產品說明文件。
限制	政策模擬器與 VPC Service Controls 整合時，沒有已知限制。

重要聯絡人

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`essentialcontacts.googleapis.com`
詳細資料	VPC Service Controls 可保護 Essential Contacts API，且產品可在服務範圍內正常使用。如要進一步瞭解重要聯絡人，請參閱產品說明文件。
限制	Essential Contacts 與 VPC Service Controls 整合時，沒有已知限制。

Identity Platform

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`identitytoolkit.googleapis.com, securetoken.googleapis.com`
詳細資料	Identity Platform 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Identity Platform，請參閱產品說明文件。
限制	如要全面保護 Identity Platform，請將 Secure Token API (`securetoken.googleapis.com`) 新增至服務範圍，允許權杖重新整理。`securetoken.googleapis.com` 未列在 Google Cloud 控制台的 VPC Service Controls 頁面上。您只能使用 gcloud access-context-manager perimeters update 指令新增這項服務。如果應用程式也整合了封鎖函式功能，請將 Cloud Run 函式 (`cloudfunctions.googleapis.com`) 新增至服務周邊。使用簡訊多重驗證 (MFA)、電子郵件驗證或第三方身分識別提供者，會導致資料傳送至安全範圍外。如果您未使用簡訊、電子郵件驗證或第三方身分識別提供者進行多重驗證，請停用這些功能。

GKE Multi-Cloud

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`gkemulticloud.googleapis.com`
詳細資料	GKE Multi-Cloud 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 GKE Multi-Cloud，請參閱產品說明文件。
限制	如要全面保護 GKE Multi-Cloud API，您也必須在服務範圍內加入 Kubernetes Metadata API (`kubernetesmetadata.googleapis.com`)。

GKE On-Prem API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`gkeonprem.googleapis.com`
詳細資料	VPC Service Controls 可保護 GKE On-Prem API，且 API 可在服務範圍內正常使用。如要進一步瞭解 GKE On-Prem API，請參閱產品說明文件。
限制	如要全面保護 GKE On-Prem API，請將下列所有 API 新增至服務範圍： Kubernetes Metadata API (`kubernetesmetadata.googleapis.com`) Cloud Monitoring API (`monitoring.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) 請注意，VPC Service Controls 無法防範資料夾或機構層級的 Cloud Logging 記錄匯出作業。

適用於裸機的 Google Distributed Cloud (僅限軟體)

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	否。Google Distributed Cloud (僅限軟體) 的裸機 API 無法受到服務範圍保護。不過，您可以在邊界內的專案中正常使用 Google Distributed Cloud (僅限軟體) for Bare Metal。
詳細資料	您可以在環境中建立叢集，並使用 Cloud Interconnect 或 Cloud VPN 連線至 VPC。如要進一步瞭解適用於裸機的 Google Distributed Cloud (僅限軟體)，請參閱產品說明文件。
限制	如要保護叢集，請在 Google Distributed Cloud (僅限軟體) 中使用 Bare Metal 的受限 VIP，並將下列所有 API 新增至服務 perimeter： Artifact Registry API (`artifactregistry.googleapis.com`) Google Cloud Resource Manager API (`cloudresourcemanager.googleapis.com`) Compute Engine API (`compute.googleapis.com`) Connect Gateway API (`connectgateway.googleapis.com`) Google Container Registry API (`containerregistry.googleapis.com`) GKE Connect API (`gkeconnect.googleapis.com`) GKE Hub API (`gkehub.googleapis.com`) GKE On-Prem API (`gkeonprem.googleapis.com`) Cloud IAM API (`iam.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) Cloud Monitoring API (`monitoring.googleapis.com`) 作業 API 的設定監控 (`opsconfigmonitoring.googleapis.com`) Service Control API (`servicecontrol.googleapis.com`) Cloud Storage API (`storage.googleapis.com`)

On-Demand Scanning API

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`ondemandscanning.googleapis.com`
詳細資料	VPC Service Controls 可保護 On-Demand Scanning API，且產品可在服務範圍內正常使用。如要進一步瞭解 On-Demand Scanning API，請參閱產品說明文件。
限制	On-Demand Scanning API 與 VPC Service Controls 整合後，目前沒有已知限制。

Looker (Google Cloud Core)

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`looker.googleapis.com`
詳細資料	Looker (Google Cloud Core) 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Looker (Google Cloud Core)，請參閱產品說明文件。
限制	只有使用私人 IP 連線的 Enterprise 或 Embed 版 Looker (Google Cloud Core) 執行個體，才支援 VPC Service Controls 合規性。如果 Looker (Google Cloud Core) 執行個體使用公開 IP 連線，或同時使用公開和私人 IP 連線，則不支援 VPC Service Controls 合規性。如要建立使用私人 IP 連線的執行個體，請在 Google Cloud 控制台的「建立執行個體」頁面中，選取「網路」區段的「私人 IP」。在 VPC Service Controls 服務範圍內放置或建立 Looker (Google Cloud Core) 執行個體時，您必須呼叫 `services.enableVpcServiceControls` 方法或執行下列 `gcloud` 指令，移除預設的網際網路路徑： `gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com` 移除預設路徑後，傳出流量只會流向符合 VPC Service Controls 規範的服務。舉例來說，由於用於傳送電子郵件的 API 不符合 VPC Service Controls 規定，因此傳送電子郵件會失敗。如果您使用共用虛擬私有雲，請務必將 Looker (Google Cloud Core) 服務專案納入與共用虛擬私有雲主專案相同的服務範圍，或在這兩個專案之間建立範圍橋接器。如果 Looker (Google Cloud Core) 服務專案和共用 VPC 託管專案不在同一個範圍內，或無法透過範圍橋接器通訊，執行個體建立作業可能會失敗，或 Looker (Google Cloud Core) 執行個體可能無法正常運作。如果您使用 Looker Studio Pro 或 Looker 中的 Studio，Looker 連接器無法連線至 VPC Service Controls 範圍內的 Looker (Google Cloud Core) 執行個體。如要進一步瞭解 Looker 連接器的限制，請參閱「Looker 連接器的限制」說明文件頁面。

公開憑證授權單位

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`publicca.googleapis.com`
詳細資料	VPC Service Controls 可保護公開憑證授權單位 API，且產品可在服務範圍內正常使用。如要進一步瞭解公開認證授權單位，請參閱產品說明文件。
限制	目前已知沒有任何限制會影響公開憑證授權單位與 VPC Service Controls 的整合。

Storage 批次作業

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`storagebatchoperations.googleapis.com`
詳細資料	如要搭配儲存空間批次作業使用 VPC Service Controls，請建立服務範圍，保護下列專案和 Google Cloud 服務： Cloud Storage 專案儲存空間批次作業 API (`storagebatchoperations.googleapis.com)` Cloud Storage API (`storage.googleapis.com`) 選用：Cloud KMS API (`cloudkms.googleapis.com)`，如果您使用物件加密金鑰更新作業類型)。如要允許從範圍外存取儲存空間批次作業，請設定輸入政策。如要進一步瞭解 Storage 批次作業，請參閱產品說明文件。
限制	Storage 批次作業與 VPC Service Controls 整合後，目前沒有已知限制。

儲存空間洞察

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`storageinsights.googleapis.com`
詳細資料	Storage Insights 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解儲存空間分析，請參閱產品說明文件。
限制	Storage Insights 與 VPC Service Controls 整合時，沒有已知限制。

Dataflow 資料管道

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`datapipelines.googleapis.com`
詳細資料	如要全面保護 Dataflow 資料管道，請在服務範圍內加入下列所有 API： Dataflow API (`dataflow.googleapis.com`) Cloud Scheduler API (`cloudscheduler.googleapis.com`) Container Registry API (`containerregistry.googleapis.com`) 如要進一步瞭解 Dataflow 資料管道，請參閱產品說明文件。
限制	Dataflow Data Pipelines 與 VPC Service Controls 整合時，沒有已知限制。

Security Command Center

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`securitycenter.googleapis.com, securitycentermanagement.googleapis.com`
詳細資料	Security Command Center 的 API 可受到 VPC Service Controls 保護，且 Security Command Center 可在服務範圍內正常使用。 `securitycenter.googleapis.com` 和 `securitycentermanagement.googleapis.com` 服務會綁在一起。在範圍中限制 `securitycenter.googleapis.com` 服務時，範圍會依預設限制 `securitycentermanagement.googleapis.com` 服務。您無法將 `securitycentermanagement.googleapis.com` 服務新增至服務範圍的受限制服務清單，因為該服務與 `securitycenter.googleapis.com` 綁定。如要進一步瞭解 Security Command Center，請參閱產品說明文件。
限制	VPC Service Controls 不支援從服務範圍內的資源和用戶端，存取資料夾層級或機構層級的 Security Command Center API 資源。VPC Service Controls 可保護專案層級的 Security Command Center API 資源。您可以指定輸出政策，防止範圍內的專案存取專案層級的 Security Command Center API 資源。 VPC Service Controls 不支援將資料夾層級或機構層級的 Security Command Center API 資源新增至服務範圍。您無法使用安全防護範圍保護資料夾層級或機構層級的 Security Command Center API 資源。如要在資料夾或機構層級管理 Security Command Center 權限，建議使用 IAM。 VPC Service Controls 不支援安全性防護機制服務，因為安全性防護機制資源 (例如防護機制、防護機制部署作業和預先定義的防護機制範本) 屬於機構層級資源。您無法將資料夾或機構層級的調查結果匯出至服務範圍內的目標。在下列情況下，您必須啟用周邊存取權：在資料夾或機構層級啟用發現項目通知，且 Pub/Sub 主題位於服務範圍內。從資料夾或機構層級將資料匯出至 BigQuery，且 BigQuery 位於服務安全防護範圍內。將 Security Command Center 與 SIEM 或 SOAR 產品整合，且產品部署在 Google Cloud 環境的服務邊界內。支援的 SIEM 和 SOAR 包括 Splunk 和 IBM QRadar。

Cloud Customer Care

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudsupport.googleapis.com`
詳細資料	Cloud Customer Care 的 API 可受 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Cloud Customer Care，請參閱產品說明文件。
限制	VPC Service Controls 會保護透過 Cloud Support API 存取的資料，但不會保護透過 Google Cloud 控制台存取的資料。

AI 應用程式 - Vertex AI Search

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`discoveryengine.googleapis.com`
詳細資料	VPC Service Controls 可保護 AI 應用程式 - Vertex AI Search 的 API，且產品可在服務範圍內正常使用。如要進一步瞭解 AI 應用程式 - Vertex AI Search，請參閱產品說明文件。
限制	如果您設定 Vertex AI Search 小工具以供公開存取 (也就是不使用 OAuth 權杖)，系統會透過 Google 管理的服務代理程式呼叫 API 後端。由於這類流量不會攜帶驗證權杖，要求可以有效略過貴機構設定的 VPC Service Controls 傳入規則。即使您在 VPC Service Controls 範圍內保護 `discoveryengine.googleapis.com` 服務，仍可從該範圍外存取具有公開存取權的小工具。如果貴機構要求強制執行 VPC Service Controls 來保護機密資料，請勿啟用可公開存取的 Widget。

機密空間

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`confidentialcomputing.googleapis.com`
詳細資料	為確保 Confidential Space 在邊界範圍內正常運作，您必須設定輸出規則。如果 Confidential Space 需要存取範圍外的 Cloud Storage 值區，請建立輸出規則，允許存取這些值區。如果您要在周邊以外的 Compute Engine 資源上啟用 Confidential Space API，請建立輸出規則，允許存取這個 API。如要進一步瞭解 Confidential Space，請參閱產品說明文件。
限制

序列主控台

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`ssh-serialport.googleapis.com`
詳細資料	如要在連線至虛擬機器 (VM) 執行個體的序列埠時使用 VPC Service Controls 保護機制，您需要為服務範圍指定連入規則。設定輸入規則時，來源的存取層級必須是 IP 型值，且服務名稱設為 `ssh-serialport.googleapis.com`。即使來源要求和目標資源位於相同安全防護範圍內，仍須有連入規則才能存取序列埠主控台。如要進一步瞭解序列埠控制台，請參閱產品說明文件。
限制	您無法使用瀏覽器中的 SSH 存取序列主控台。您無法使用 Private Google Access 存取序列主控台。您只能透過公用網際網路存取序列埠控制台。使用序列埠時，無法透過以身分識別為依據的輸入或輸出規則，允許存取序列埠。

Google Cloud VMware Engine

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`vmwareengine.googleapis.com`
詳細資料	如要進一步瞭解 VMware Engine Service Controls，請參閱「搭配 VMware Engine 使用 VPC Service Controls」。如要進一步瞭解 Google Cloud VMware Engine，請參閱產品說明文件。
限制	將現有的 VMware Engine 網路、私有雲、網路政策和 VPC 對等互連新增至 VPC 服務範圍時，系統不會再次檢查先前建立的資源是否仍符合範圍政策。

Dataform

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`dataform.googleapis.com`
詳細資料	如要瞭解如何使用 VPC Service Controls 控制 Dataform 的存取權，請參閱「為 Dataform 設定 VPC Service Controls」。如要進一步瞭解 Dataform，請參閱產品說明文件。
限制	如要為 Dataform 使用 VPC Service Controls 保護機制，您必須設定 `dataform.restrictGitRemotes` 機構政策，並使用與 Dataform 相同的服務範圍限制 BigQuery。請確保授予 Dataform 所用服務帳戶的身分與存取權管理權限，符合您的安全架構。

Web Security Scanner

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`websecurityscanner.googleapis.com`
詳細資料	Web Security Scanner 和 VPC Service Controls 適用的服務條款不同。如需詳細資訊，請參閱各項產品的條款。 Web Security Scanner 會視需要將發現項目傳送至 Security Command Center。您可以透過 Security Command Center 資訊主頁查看或下載資料。如要進一步瞭解 Web Security Scanner，請參閱產品說明文件。
限制	Web Security Scanner 與 VPC Service Controls 整合時，沒有已知限制。

Secure Source Manager

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`securesourcemanager.googleapis.com`
詳細資料	建立 Secure Source Manager VPC Service Controls 執行個體前，您需要使用有效的憑證授權單位設定憑證授權單位服務。存取 Secure Source Manager VPC Service Controls 執行個體前，請先設定 Private Service Connect。如要進一步瞭解 Secure Source Manager，請參閱產品說明文件。
限制	因 GKE 限制而導致的`SERVICE_NOT_ALLOWED_FROM_VPC`稽核記錄違規事項可以忽略。如要透過瀏覽器開啟 VPC Service Controls 網頁介面，瀏覽器必須能存取下列網址： `https://accounts.google.com` `https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com` 例如 `https://us-central1-sourcemanagerredirector-pa.client6.google.com`。 `https://lh3.googleusercontent.com`

Secure Web Proxy

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`networkservices.googleapis.com, networksecurity.googleapis.com`
詳細資料	Secure Web Proxy 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如果您使用憑證佈建 Proxy 或啟用 TLS 檢查，則也必須在安全範圍內啟用 Certificate Manager API (`certificatemanager.googleapis.com`)。如要進一步瞭解 Secure Web Proxy，請參閱產品說明文件。
限制	Secure Web Proxy 與 VPC Service Controls 整合時，沒有已知限制。

API 金鑰

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`apikeys.googleapis.com`
詳細資料	API 金鑰的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 API 金鑰，請參閱產品說明文件。
限制	API 金鑰與 VPC Service Controls 整合後，目前沒有已知限制。

由合作夥伴管理的主權控管機制中的合作夥伴控制台

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudcontrolspartner.googleapis.com`
詳細資料	Cloud Controls Partner API 可受到 VPC Service Controls 保護，且可在服務範圍內正常使用。如要進一步瞭解合作夥伴主權控管機制中的合作夥伴控制台，請參閱產品說明文件。
限制	所有非合作夥伴都不得使用這項服務。如果您是合作夥伴，並支援合作夥伴主權控制項，可以使用服務範圍保護這項服務。

微服務

狀態	Beta 版
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`microservices.googleapis.com`
詳細資料	微服務的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解微服務，請參閱產品說明文件。
限制	微服務與 VPC Service Controls 整合時，沒有已知限制。

Earth Engine

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`earthengine.googleapis.com, earthengine-highvolume.googleapis.com`
詳細資料	`earthengine.googleapis.com` 和 `earthengine-highvolume.googleapis.com` 服務會綁在一起。在範圍中限制 `earthengine.googleapis.com` 服務時，範圍會預設限制 `earthengine-highvolume.googleapis.com` 服務。您無法將 `earthengine-highvolume.googleapis.com` 服務新增至範圍的受限制服務清單，因為該服務與 `earthengine.googleapis.com` 綁定。如要進一步瞭解 Earth Engine，請參閱產品說明文件。
限制	Earth Engine 程式碼編輯器是 Earth Engine JavaScript API 的網頁式 IDE，不支援 VPC Service Controls，且 VPC Service Controls 不允許在服務範圍內使用 Earth Engine 程式碼編輯器搭配資源和用戶端。舊版資產不會受到 VPC Service Controls 保護。 VPC Service Controls 不支援匯出至 Google 雲端硬碟。服務範圍內的資源和用戶端不支援 Earth Engine 應用程式。 VPC Service Controls 僅適用於 Premium 和 Professional Earth Engine 定價方案。如要進一步瞭解定價方案，請參閱 Earth Engine 方案。如要進一步瞭解限制和解決方法範例，請參閱 Earth Engine 的存取權控管說明文件。

應用程式中心

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`apphub.googleapis.com`
詳細資料	App Hub 可讓您發掘基礎架構資源，並將其歸類至應用程式。您可以使用 VPC Service Controls 範圍保護 App Hub 資源。如要進一步瞭解應用程式中心，請參閱產品說明文件。
限制	您必須先在 App Hub 主機和服務專案上設定 VPC Service Controls，才能建立應用程式，並向應用程式註冊服務和工作負載。應用程式中心支援下列資源類型：應用程式探索到的服務已探索的工作負載服務附加服務專案工作負載

Cloud Code

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`cloudcode.googleapis.com`
詳細資料	Cloud Code API 可受到 VPC Service Controls 保護。如要在 Cloud Code 中使用 Gemini 輔助功能，必須設定輸入政策，允許來自 IDE 用戶端的流量。詳情請參閱 Gemini 說明文件。如要進一步瞭解 Cloud Code，請參閱產品說明文件。
限制	Cloud Code 與 VPC Service Controls 整合時，沒有已知限制。

Commerce Org Governance API

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`commerceorggovernance.googleapis.com`
詳細資料	VPC Service Controls 範圍可保護 Google Private Marketplace 的 Commerce Org Governance API。如要進一步瞭解 Commerce Org Governance API，請參閱產品說明文件。
限制	Commerce Org Governance API 在專案層級建立的資源 (例如採購要求和存取要求) 會顯示在機構層級，並由機構管理員審查，不會強制執行 VPC Service Controls 政策。

Google Cloud Contact Center as a Service

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`contactcenteraiplatform.googleapis.com`
詳細資料	如要限制網際網路流量，請使用機構政策。叫用 Google Cloud Contact Center as a Service API 的 `CREATE` 或 `UPDATE` 方法，手動套用機構政策限制。如要進一步瞭解 Google Cloud Contact Center as a Service，請參閱產品說明文件。
限制	Google Cloud Contact Center as a Service 與 VPC Service Controls 的整合功能沒有已知限制。

Privileged Access Manager

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`privilegedaccessmanager.googleapis.com`
詳細資料	Privileged Access Manager 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Privileged Access Manager，請參閱產品說明文件。
限制	VPC Service Controls 不支援將資料夾層級或機構層級的資源新增至服務範圍。您無法使用安全防護範圍保護資料夾層級或機構層級的 Privileged Access Manager 資源。VPC Service Controls 可保護專案層級的 Privileged Access Manager 資源。如要保護 Privileged Access Manager，您需要在周邊範圍內加入下列 API： Privileged Access Manager API (`privilegedaccessmanager.googleapis.com`) Cloud Resource Manager API (`cloudresourcemanager.googleapis.com`) Cloud Logging API (`logging.googleapis.com`) Cloud Asset API (`cloudasset.googleapis.com`)

Service Usage

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`serviceusage.googleapis.com`
詳細資料	Service Usage API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Service Usage，請參閱產品說明文件。
限制	Service Usage 與 VPC Service Controls 整合時，沒有已知限制。

稽核管理員

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`auditmanager.googleapis.com`
詳細資料	稽核管理員的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Audit Manager，請參閱產品說明文件。
限制	您無法使用安全防護範圍保護資料夾層級或機構層級的 Audit Manager 資源。如要在資料夾或機構層級管理稽核管理員權限，建議使用 IAM。在下列情況中，您必須使用輸入和輸出規則啟用範圍存取權：如果您在資料夾層級執行稽核，且 Cloud Storage 值區位於範圍內，請為服務帳戶設定連入規則。如果您在資料夾層級執行稽核，且資料夾內的專案受到服務範圍保護，請為服務帳戶設定連入規則。如果您在專案層級執行稽核，且專案受到範圍保護，但 Cloud Storage 值區不在同一個範圍內，請為包含 Cloud Storage 值區的專案設定輸出規則。詳情請參閱「為 Audit Manager 設定 VPC Service Controls」。

Google Agentspace Enterprise

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`discoveryengine.googleapis.com`
詳細資料	Google Agentspace Enterprise 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Google Agentspace Enterprise，請參閱產品說明文件。
限制	Google Agentspace Enterprise 與 VPC Service Controls 整合時，沒有已知限制。

Google Agentspace - NotebookLM for enterprise

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`discoveryengine.googleapis.com`
詳細資料	Google Agentspace - NotebookLM for enterprise 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Google Agentspace - NotebookLM 企業版，請參閱產品說明文件。
限制	Google Agentspace - NotebookLM for enterprise 與 VPC Service Controls 整合後，目前沒有已知限制。

Developer Connect

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`developerconnect.googleapis.com`
詳細資料	Developer Connect 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Developer Connect，請參閱產品說明文件。
限制	如要限制第三方原始碼管理工具的存取權，可以建立自訂機構政策。

Parameter Manager

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`parametermanager.googleapis.com`
詳細資料	Parameter Manager 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解參數管理工具，請參閱產品說明文件。
限制	Parameter Manager 必須與 Secret Manager 位於相同的 VPC Service Controls 範圍。

Model Armor

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`modelarmor.googleapis.com`
詳細資料	Model Armor 的 API 可受到 VPC Service Controls 保護，且產品可在服務範圍內正常使用。如要進一步瞭解 Model Armor，請參閱產品說明文件。
限制	Model Armor 與 VPC Service Controls 整合時，沒有已知限制。

自動調度資源

狀態	GA。VPC Service Controls 完全支援這項產品整合功能。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`autoscaling.googleapis.com`
詳細資料	VPC Service Controls 可保護 Autoscaling 的 API，且產品可在服務範圍內正常使用。
限制	Autoscaling 與 VPC Service Controls 整合時，沒有已知限制。

地址驗證

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`addressvalidation.googleapis.com`
詳細資料	VPC Service Controls 可保護 Address Validation API，且產品可在服務範圍內正常使用。如要進一步瞭解地址驗證，請參閱產品說明文件。
限制	與 VPC Service Controls 整合的地址驗證服務沒有已知限制。

地點介面集 (新版)

狀態	預覽。這項產品與 VPC Service Controls 的整合功能目前為預先發布版，適用於更廣泛的測試和用途，但尚未完全支援正式環境。
使用服務範圍保護資料？	是。您可以設定服務範圍來保護這項服務。
服務名稱	`places.googleapis.com`
詳細資料	VPC Service Controls 可保護 Places (新版) API，且產品可在服務範圍內正常使用。如要進一步瞭解 Places (新版)，請參閱產品說明文件。
限制	Places (New) 與 VPC Service Controls 整合時，沒有已知限制。

詳情請參閱支援與不支援的服務。

受限制的 VIP 支援的服務

受限制的虛擬 IP (VIP) 可讓服務範圍內的 VM 呼叫 Google Cloud 服務，但不會向網際網路公開要求。如需受限制的 VIP 支援的完整服務清單，請參閱「受限制的 VIP 支援的服務」。

不支援的服務

如果您嘗試使用 gcloud 指令列工具或 Access Context Manager API 限制不支援的服務，將會導致系統發生錯誤。

VPC Service Controls 會封鎖支援服務資料的跨專案存取權。此外，受限制的 VIP 可用來禁止工作負載呼叫不支援的服務。

其他已知限制

本節說明搭配特定Google Cloud 服務、產品和介面使用 VPC Service Controls 時可能會碰到的已知限制。

如要瞭解 VPC Service Controls 支援的產品限制，請參閱支援的產品表。

如要進一步瞭解如何解決 VPC Service Controls 的問題，請參閱疑難排解頁面。

AutoML API

透過 VPC Service Controls 使用 AutoML API 時，請注意下列限制：

您無法將支援的區域端點 (例如 eu-automl.googleapis.com) 新增至範圍的受限制服務清單。保護 automl.googleapis.com 服務時，服務範圍也會保護支援的區域端點，例如 eu-automl.googleapis.com。
使用服務範圍保護 automl.googleapis.com 時，所有與 VPC Service Controls 整合並在範圍內使用的 AutoML 產品存取權都會受到影響。您必須為在範圍內使用的所有整合式 AutoML 產品，設定 VPC Service Controls 範圍。

如要全面保護 AutoML API，請在周邊防護範圍內納入下列所有 API：
- AutoML API (automl.googleapis.com)
- Cloud Storage API (storage.googleapis.com)
- Compute Engine API (compute.googleapis.com)
- BigQuery API (bigquery.googleapis.com)

App Engine

VPC Service Controls 不支援 App Engine (標準環境和彈性環境)。請勿在服務範圍中加入 App Engine 專案。

不過，您可以允許在服務範圍外專案中建立的 App Engine 應用程式，針對範圍內受保護的服務讀取和寫入資料。如要允許應用程式存取受保護服務的資料，請建立存取層級，並將專案的 App Engine 服務帳戶納入其中。這不會啟用在服務周邊內使用的 App Engine。

Bare Metal 解決方案

將 VPC Service Controls 連線至 Bare Metal Solution 環境，不會維護任何服務控制保證。
Bare Metal 解決方案 API 可新增至安全周邊。不過，VPC Service Controls 範圍不會延伸至區域擴充功能中的 Bare Metal Solution 環境。

Blockchain Node Engine

VPC Service Controls 只會保護 Blockchain Node Engine API。建立節點時，您仍須指出節點適用於使用者設定的私人網路，並使用 Private Service Connect。
點對點流量不會受到 VPC Service Controls 或 Private Service Connect 影響，仍會繼續使用公開網際網路。

用戶端程式庫

所有支援服務的 Java 和 Python 用戶端程式庫都可使用受限制的 VIP 存取。其他語言的支援仍在 Alpha 版測試階段，僅供測試之用。
用戶端必須使用已於 2018 年 11 月 1 日或之後更新的用戶端程式庫。
用戶端必須使用已於 2018 年 11 月 1 日或之後更新的服務帳戶金鑰或 OAuth2 用戶端中繼資料。使用憑證端點的舊版用戶端必須改用新版金鑰內容或用戶端中繼資料中指定的端點。

Cloud Billing

VPC Service Controls 不支援 Cloud Billing。您可以將 Cloud Billing 資料匯出至受服務範圍保護的專案中的 Cloud Storage 值區或 BigQuery 執行個體，不必設定存取層級或輸入規則。

Cloud Deployment Manager

VPC Service Controls 不支援 Deployment Manager。使用者或許可以呼叫符合 VPC 服務控管機制的服務，但不應依賴這項功能，因為可能會發生中斷。
如要解決這個問題，您可以將 Deployment Manager 服務帳戶 (PROJECT_NUMBER@cloudservices.gserviceaccount.com) 新增至存取層級，允許呼叫受 VPC Service Controls 保護的 API。

Cloud Shell

VPC Service Controls 不支援 Cloud Shell。VPC Service Controls 會將 Cloud Shell 視為位在服務範圍外，並禁止其存取受 VPC Service Controls 保護的資料。不過，如果裝置符合服務範圍的存取層級規定，VPC Service Controls 允許存取 Cloud Shell。

Google Cloud 控制台

由於 Google Cloud 主控台只能透過網際網路存取，因此會被視為位在服務範圍外。套用服務範圍後，您可能會無法存取受保護服務的部分或所有 Google Cloud 主控台介面。舉例來說，假設您透過範圍保護 Logging，您將無法在 Google Cloud 主控台中存取 Logging 的介面。

如要允許透過 Google Cloud 主控台存取受範圍保護的資源，您必須為公開 IP 範圍建立存取層級，其中包含要透過 Google Cloud 主控台使用受保護 API 的使用者機器。舉例來說，您可以將私人網路 NAT 閘道的公開 IP 範圍新增至某個存取層級，然後將該存取層級指派至服務範圍。

如果您只想讓特定使用者透過 Google Cloud 主控台存取範圍內的資源，也可以在存取層級中新增這些使用者。在這種情況下，只有指定的使用者可存取Google Cloud 主控台。
如果網路已啟用 Private Google Access，包括 Cloud NAT 隱含啟用的網路，即使要求來源網路和目標資源位於相同安全防護範圍內，透過 Google Cloud 主控台提出的要求仍可能遭到封鎖。這是因為 VPC Service Controls 不支援透過私人 Google 存取權存取Google Cloud 控制台。

Google Cloud 中繼資料伺服器

對於 Compute Engine VM 執行個體和 GKE 節點，VPC 服務控管保護機制不適用於Google Cloud 中繼資料伺服器的傳入或傳出流量。

私人服務存取權

私人服務存取權支援在共用虛擬私有雲網路中部署服務執行個體。如果搭配 VPC Service Controls 使用這項設定，請確保提供網路的主專案和包含服務執行個體的服務專案，都位於同一個 VPC Service Controls 範圍內。否則，要求可能會遭到封鎖，服務執行個體也可能無法正常運作。

如要進一步瞭解支援私人服務存取權的服務，請參閱「支援的服務」。

GKE Multi-cloud

VPC Service Controls 只會套用至 Google Cloud專案中的資源。代管 GKE Multi-Cloud 叢集的第三方雲端環境不會提供任何服務控制保證。

Google Distributed Cloud

VPC Service Controls 只會套用至連線至 VPC 網路專案的裸機，且這些專案使用受限 VIP。
OpenID Connect (OIDC) 和 Lightweight Directory Access Protocol (LDAP) 服務必須位於相同的 VPC Service Controls 範圍。系統會封鎖對外部端點的要求。

Migration Center

啟用服務安全防護措施後，您就無法將基礎架構資料移轉至 StratoZone。

員工身分聯盟

VPC Service Controls 不支援員工身分聯盟。工作人員集區是機構層級的資源，而 VPC Service Controls 不支援機構層級的資源。