מוצרים נתמכים ומגבלות

מידע נוסף על Infrastructure Manager מופיע במסמכי העזרה של המוצר.

אפשר להגן על ה-API של App Design Center באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על App Design Center זמין במסמכי העזרה של המוצר.

כדי להשתמש בכלי לניהול עומס העבודה בתוך מתחם אבטחה היקפית של VPC Service Controls:

• אתם צריכים להשתמש במאגר פרטי של עובדים ב-Cloud Build עבור סביבת הפריסה בכלי לניהול עומס העבודה. אי אפשר להשתמש במאגר העובדים שמוגדר כברירת מחדל ב-Cloud Build.
• צריך להפעיל קריאות לאינטרנט הציבורי במאגר הפרטי של Cloud Build כדי להוריד את ההגדרות של Terraform.

מידע נוסף זמין במאמר שימוש במאגר פרטי של עובדים ב-Cloud Build במסמכי התיעוד של כלי לניהול עומס העבודה.

מידע נוסף על כלי לניהול עומס העבודה זמין במאמרי עזרה.

אפשר להגן על ה-API של Google Cloud NetApp Volumes באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך service perimeters.

מידע נוסף על Google Cloud NetApp Volumes זמין במסמכי המוצר.

‫Google Cloud Search תומך באמצעי בקרה לאבטחה של ענן וירטואלי פרטי (VPC Service Controls) כדי לשפר את אבטחת הנתונים. בעזרת VPC Service Controls תוכלו להגדיר מתחם אבטחה היקפית מסביב למשאבים של Google Cloud Platform, וכך להגביל את הנתונים ולעזור בצמצום הסיכונים לזליגת נתונים.

מידע נוסף על Google Cloud Search זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של בדיקות קישוריות באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על בדיקות קישוריות זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של בדיקות הקישוריות עם VPC Service Controls.

שירות VPC Service Controls תומך בחיזוי אונליין, אבל לא בחיזוי באצווה.

מידע נוסף על AI Platform Prediction זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של AI Platform Training באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על AI Platform Training זמין במסמכי המוצר.

גבולות הגזרה של VPC Service Controls מגנים על AlloyDB API.

מידע נוסף על AlloyDB ל-PostgreSQL זמין במסמכי העזרה של המוצר.

• גבולות גזרה לשירות מגנים רק על AlloyDB ל-PostgreSQL Admin API. הם לא מגנים על גישה לנתונים שמבוססת על כתובת IP למסדי נתונים בסיסיים (כמו מכונות AlloyDB ל-PostgreSQL). כדי להגביל את הגישה לכתובות IP ציבוריות במכונות AlloyDB ל-PostgreSQL, צריך להשתמש באילוץ של מדיניות הארגון.
• לפני שמגדירים את VPC Service Controls ל-AlloyDB ל-PostgreSQL, צריך להפעיל את Service Networking API.
• כשמשתמשים ב-AlloyDB ל-PostgreSQL עם VPC משותף ו-VPC Service Controls, הפרויקט המארח ופרויקט השירות צריכים להיות באותו גבולות גזרה לשירות של VPC Service Controls.

אפשר להגן על ה-API של Vertex AI Workbench באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Vertex AI Workbench זמין במסמכי התיעוד של המוצר.

אפשר להגן על ה-API של Vertex AI באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף זמין במאמר בנושא Colab Enterprise.

מידע נוסף על Vertex AI זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Vertex AI Vision באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Vertex AI Vision זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Vertex AI ב-Firebase באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Vertex AI ב-Firebase זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Colab Enterprise באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

‫Colab Enterprise הוא חלק מ-Vertex AI. מידע נוסף על Vertex AI

‫Colab Enterprise משתמש ב-Dataform לאחסון מחברות. מידע נוסף על Dataform

מידע נוסף על Colab Enterprise זמין במסמכי התיעוד של המוצר.

אפשר להגן על ה-API של Apigee ו-Apigee Hybrid באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Apigee ו-Apigee Hybrid זמין במסמכי העזרה של המוצרים.

אפשר להגן על ה-API של Apigee API hub באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Apigee API hub זמין במסמכי העזרה של המוצר.

מידע נוסף על BigQuery sharing זמין במאמרי עזרה של המוצר.

אפשר להגן על ה-API של Cloud Service Mesh באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

אתם יכולים להשתמש ב-mesh.googleapis.com כדי להפעיל את ממשקי ה-API הנדרשים ל-Cloud Service Mesh. אין צורך להגביל את mesh.googleapis.com בגבולות הגזרה, כי הוא לא חושף אף ממשק API.

• מידע נוסף על הגדרת VPC Service Controls ל-Cloud Service Mesh (מנוהל)
• מידע נוסף על הוספת שירותים של Cloud Service Mesh לגבולות הגזרה לשירות

מידע נוסף על Cloud Service Mesh זמין במאמרי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Cloud Service Mesh עם VPC Service Controls.

בנוסף להגנה על Artifact Registry API, אפשר להשתמש ב-Artifact Registry בתוך גבולות שירות עם GKE ו-Compute Engine.

מידע נוסף על Artifact Registry זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Assured Open Source Software באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Assured Open Source Software זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Assured Workloads באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Assured Workloads זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Assured Workloads עם VPC Service Controls.

כדי להגן באופן מלא על AutoML API, צריך לכלול את כל ממשקי ה-API הבאים בגבולות הגזרה:

• ‫AutoML API ‏ (automl.googleapis.com)
• Cloud Storage API (storage.googleapis.com)
• ‫Compute Engine API ‏ (compute.googleapis.com)
• ‫BigQuery API‏ (bigquery.googleapis.com)

מידע נוסף על AutoML Translation זמין במסמכי התיעוד של המוצר.

אפשר להוסיף את Bare Metal Solution API למתחם מאובטח. עם זאת, האזורים של VPC Service Controls לא חלים על סביבת Bare Metal Solution בתוספים האזוריים.

מידע נוסף על Bare Metal Solution זמין במסמכי העזרה של המוצר.

חיבור של VPC Service Controls לסביבת Bare Metal Solution לא מבטיח שום בקרת שירות.

מידע נוסף על מגבלות של Bare Metal Solution בנוגע ל-VPC Service Controls זמין במאמר בעיות ומגבלות ידועות.

אפשר להגן על ה-API של Batch באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Batch זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של BigLake metastore באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על מאגר המטא-נתונים של BigLake זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של מאגר המטא-נתונים של BigLake עם VPC Service Controls.

כשמגנים על BigQuery API באמצעות גבולות גזרה לשירות, מוגנים גם BigQuery Storage API ‏ (bigquerystorage.googleapis.com), BigQuery Reservation API ‏ (bigqueryreservation.googleapis.com) ו-BigQuery Connection API ‏ (bigqueryconnection.googleapis.com). אין צורך להוסיף את ממשקי ה-API האלה בנפרד לרשימת השירותים המוגנים בהיקף.

מידע נוסף על הגדרת VPC Service Controls ל-BigQuery ועל מתן גישה לפונקציות שנוצרו על ידי הקהילה בתוך גבולות גזרה

מידע נוסף על BigQuery זמין במסמכי העזרה של המוצר.

אפשר להגן על BigQuery Data Policy API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך היקפי שירות.

מידע נוסף על BigQuery Data Policy API זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של BigQuery Data Policy API עם VPC Service Controls.

גבולות גזרה לשירות מגינים רק על BigQuery Data Transfer Service API. ההגנה בפועל על הנתונים נאכפת על ידי BigQuery. השירות נועד לאפשר ייבוא נתונים ממקורות חיצוניים שונים מחוץ ל-Google Cloud, כמו Amazon S3, ‏ Redshift, ‏ Teradata, ‏ YouTube,‏ Google Play ו-Google Ads, למערכי נתונים ב-BigQuery. מידע על הדרישות של VPC Service Controls להעברת נתונים מ-Teradata זמין במאמר דרישות של VPC Service Controls.

למידע נוסף על שירות העברת נתונים ל-BigQuery, אפשר לעיין במסמכי המוצר.

אפשר להגן על BigQuery Migration API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על BigQuery Migration API זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של BigQuery Migration API עם VPC Service Controls.

השירותים bigtable.googleapis.com ו-bigtableadmin.googleapis.com נמכרים בחבילה. כשמגבילים את השירות bigtable.googleapis.com בגבולות גזרה, השירות bigtableadmin.googleapis.com מוגבל כברירת מחדל. אי אפשר להוסיף את השירות bigtableadmin.googleapis.com לרשימת השירותים המוגבלים בגבולות גזרה כי הוא כלול בחבילה עם bigtable.googleapis.com.

מידע נוסף על Bigtable זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Bigtable עם VPC Service Controls.

כשמשתמשים בכמה פרויקטים עם Binary Authorization, כל פרויקט צריך להיכלל בהיקף של VPC Service Controls. מידע נוסף על תרחיש השימוש הזה זמין במאמר בנושא הגדרה של כמה פרויקטים.

באמצעות Binary Authorization, אפשר להשתמש ב-Artifact Analysis כדי לאחסן גורמים מאמתים (attestors) ואימותים (attestations) כהערות וכאירועים, בהתאמה. במקרה כזה, צריך לכלול גם את Artifact Analysis במערך של VPC Service Controls. פרטים נוספים זמינים במאמר הנחיות לשימוש ב-VPC Service Controls ל-Artifact Analysis.

מידע נוסף על Binary Authorization זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Binary Authorization עם VPC Service Controls.

אפשר להגן על ה-API של Blockchain Node Engine באמצעות VPC Service Controls ולהשתמש בו כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Blockchain Node Engine זמין במסמכי התיעוד של המוצר.

אפשר להגן על ה-API של Certificate Authority Service באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Certificate Authority Service זמין במסמכי התיעוד של המוצר.

כדי להשתמש ב-Config Controller עם VPC Service Controls, צריך להפעיל את ממשקי ה-API הבאים בתוך גבולות הגזרה:

• Cloud Monitoring API (monitoring.googleapis.com)
• Container Registry API ‏ (containerregistry.googleapis.com)
• Google Cloud Observability API ‏ (logging.googleapis.com)
• ‫Security Token Service API ‏ (sts.googleapis.com)
• Cloud Storage API (storage.googleapis.com)

אם אתם מקצים משאבים באמצעות Config Controller, עליכם להפעיל את ה-API של המשאבים האלה בתוך גבולות גזרה לשירות. לדוגמה, אם רוצים להוסיף חשבון שירות של IAM, צריך להוסיף את IAM API ‏ (iam.googleapis.com).

מידע נוסף על Config Controller זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Config Controller עם VPC Service Controls.

מידע נוסף על Data Catalog זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Data Catalog עם VPC Service Controls.

כדי להגן על Cloud Data Fusion באמצעות VPC Service Controls, צריך לבצע שלבים מיוחדים.

מידע נוסף על Cloud Data Fusion זמין במסמכי המוצר.

אפשר להגן על ה-API של Data Lineage API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Data Lineage API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Data Lineage API עם VPC Service Controls.

התמיכה של VPC Service Controls ב-Compute Engine מציעה את יתרונות האבטחה הבאים:

• הגבלת הגישה לפעולות רגישות ב-API
• הגבלת תמונות מצב של Persistent Disk ותמונות בהתאמה אישית להיקף
• הגבלת הגישה למטא-נתונים של מופע

התמיכה של VPC Service Controls ב-Compute Engine מאפשרת לכם גם להשתמש ברשתות של ענן וירטואלי פרטי (VPC) ובאשכולות פרטיים של Google Kubernetes Engine בתוך היקפי שירות.

מידע נוסף על Compute Engine זמין במסמכי העזרה של המוצר.

כדי להשתמש ב-CX Insights עם VPC Service Controls, צריך להוסיף את ממשקי ה-API הבאים ל-גבולות גזרה, בהתאם לשילוב שלכם.

• כדי לטעון נתונים ל-CX Insights, צריך להוסיף את Cloud Storage API לגבולות גזרה לשירות.

• כדי להשתמש בייצוא, צריך להוסיף את BigQuery API לגבולות גזרה לשירות.

• כדי לשלב כמה מוצרים של CCAI, צריך להוסיף את Vertex AI API לגבולות גזרה לשירות.

מידע נוסף על Customer Experience Insights זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Customer Experience Insights עם VPC Service Controls.

‫Dataflow תומך במספר מחברים של שירותי אחסון. המחברים הבאים נבדקו ואפשר להשתמש בהם עם Dataflow בתוך גבולות גזרה לשירות:

• Cloud Storage (Java , Python )
• ‫BigQuery (Java, Python )
• ‫Pub/Sub ‏( Java , Python )
• ‫Bigtable (Java )
• ‫Spanner (Java )

מידע נוסף על Dataflow זמין במסמכי העזרה של המוצר.

• אין תמיכה ב-BIND בהתאמה אישית כשמשתמשים ב-Dataflow. כדי להתאים אישית את פענוח ה-DNS כשמשתמשים ב-Dataflow עם VPC Service Controls, משתמשים באזורים פרטיים של Cloud DNS במקום בשרתי BIND בהתאמה אישית. כדי להשתמש בפענוח DNS משלכם בשרת מקומי, כדאי להשתמש בGoogle Cloud שיטת העברת DNS.

• אי אפשר להגן על שינוי גודל אוטומטי אנכי באמצעות היקף אבטחה של VPC Service Controls. כדי להשתמש בהתאמה אוטומטית לעומס אנכית ב-VPC Service Controls גבולות גזרה, צריך להשבית את התכונה 'שירותים נגישים ב-VPC'.

• אם מפעילים את Dataflow Prime ומריצים משימה חדשה בתוך גבולות גזרה של VPC Service Controls, המשימה משתמשת ב-Dataflow Prime בלי התאמה אוטומטית לעומס אנכית.

• לא כל המחברים של שירותי אחסון אומתו כמתאימים לשימוש עם Dataflow בתוך גבולות גזרה לשירות. רשימה של מחברים מאומתים מופיעה בקטע 'פרטים' שלמעלה.

• כשמשתמשים ב-Python 3.5 עם Apache Beam SDK 2.20.0 עד 2.22.0, עבודות Dataflow ייכשלו בהפעלה אם לעובדים יש רק כתובות IP פרטיות, למשל כשמשתמשים ב-VPC Service Controls כדי להגן על משאבים. אם לעובדי Dataflow יכולות להיות רק כתובות IP פרטיות, למשל כשמשתמשים ב-VPC Service Controls כדי להגן על משאבים, אל תשתמשו ב-Python 3.5 עם Apache Beam SDK 2.20.0‑2.22.0. השילוב הזה גורם לכך שהעבודות ייכשלו בהפעלה.

אפשר להגן על ה-API של Dataplex Universal Catalog באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

כדי לפעול בצורה תקינה, Dataplex Universal Catalog מקיים אינטראקציה עם BigQuery באמצעות נתיבים פנימיים. כשמגבילים את Dataplex Universal Catalog API בגבולות גזרה, צריך להגביל גם את BigQuery API באותם גבולות גזרה.

מידע נוסף על Dataplex Universal Catalog זמין במסמכי העזרה של המוצר.

כדי להגן על Dataproc באמצעות VPC Service Controls, צריך לבצע שלבים מיוחדים.

מידע נוסף על Dataproc זמין במסמכי העזרה של המוצר.

כדי להגן על אשכול Dataproc באמצעות גבול גזרה לשירות, פועלים לפי ההוראות במאמר רשתות Dataproc ו-VPC Service Controls.

‫ Google Cloud Serverless (בלי שרת) ל-Apache Spark דורש שלבים מיוחדים כדי להגן באמצעות VPC Service Controls.

למידע נוסף על Google Cloud Serverless for Apache Spark for Spark, אפשר לעיין בתיעוד המוצר.

כדי להגן על עומס העבודה ללא שרת באמצעות גבול גזרה לשירות, פועלים לפי ההוראות במאמר Google Cloud Serverless for Apache Spark ורשתות VPC Service Controls.

אפשר להגן על ה-API של Dataproc Metastore באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Dataproc Metastore זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Dataproc Metastore עם VPC Service Controls.

אפשר להגן על ה-API של Datastream באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Datastream זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Datastream עם VPC Service Controls.

אפשר להגן על ה-API של Database Center באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Database Center מופיע במסמכי העזרה של המוצר.

שירות VPC Service Controls לא תומך בגישה למשאבי Cloud Asset API ברמת התיקייה או הארגון ממקורות ולקוחות בתוך גבולות גזרה לשירות. ‫VPC Service Controls מגן על משאבים של Cloud Asset API ברמת הפרויקט. אתם יכולים לציין מדיניות יציאה כדי לאפשר גישה למשאבים של Cloud Asset API ברמת הפרויקט מפרויקטים שנמצאים בתוך גבולות הגזרה. כדי לנהל הרשאות של Database Center ברמת התיקייה או ברמת הארגון, מומלץ להשתמש ב-IAM.

אפשר להגן על ה-API של Database Insights באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Database Insights API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Database Insights API עם VPC Service Controls.

אפשר להגן על ה-API של Database Migration Service באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Database Migration Service מופיע במאמרי עזרה של המוצר.

אפשר להגן על ה-API של Dialogflow באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Dialogflow זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Agent Assist באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Agent Assist מופיע במסמכי העזרה של המוצר.

מידע על האופן שבו מאפשרים ל-Sensitive Data Protection לגלות נתונים בתוך מתחם היקפי של VPC Service Controls זמין במאמר איך מאפשרים מיון מידע אישי רגיש בתוך גבולות גזרה לשירות.

מידע נוסף על Sensitive Data Protection זמין במאמרי העזרה של המוצר.

אפשר להגן על ה-API של Distributed Cloud Edge Container באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Distributed Cloud Edge Container API זמין במסמכי המוצר.

אפשר להגן על ה-API של Cloud DNS באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud DNS זמין במסמכי העזרה של המוצר.

• אפשר לגשת ל-Cloud DNS דרך כתובת ה-VIP המוגבלת. עם זאת, אי אפשר ליצור או לעדכן אזורי DNS ציבוריים בפרויקטים שנמצאים בתוך ההיקף של VPC Service Controls.

אפשר להגן על ה-API של Document AI באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Document AI זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Document AI עם VPC Service Controls.

אפשר להגן על ה-API של Document AI Warehouse באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Document AI Warehouse זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Document AI Warehouse עם VPC Service Controls.

אפשר להגן על ה-API של Cloud Domains באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Domains זמין במסמכי העזרה של המוצר.

• יכול להיות שנתוני אנשי הקשר שמשמשים ב-Cloud Domains ישותפו עם רשם סיומות הדומיין או הדומיין ברמה העליונה (TLD), וייתכן שהם יהיו נגישים לציבור ב-WHOIS/RDAP בהתאם להגדרות שלכם, בהתאם לכללים של ICANN. פרטים נוספים זמינים במאמר בנושא הגנה על פרטיות.

• נתוני ההגדרה של ה-DNS שמשמשים ב-Cloud Domains – שרתי שמות ו הגדרות DNSSEC – הם ציבוריים. אם הדומיין שלכם מוקצה לתחום DNS ציבורי, שהוא ברירת המחדל, אז גם נתוני ההגדרה של ה-DNS בתחום הזה הם ציבוריים.

אפשר להגן על ממשקי API מתקדמים של Eventarc באמצעות VPC Service Controls, ואפשר להשתמש בתכונות כרגיל בתוך היקפי שירות.

אוטובוס Eventarc Advanced מחוץ לגבולות גזרה לשירות לא יכול לקבל אירועים מפרויקטים של Google Cloud Platform בתוך גבולות הגזרה. אוטובוס Eventarc Advanced בתוך גבולות גזרה לא יכול לנתב אירועים לצרכן מחוץ לגבולות הגזרה.

• כדי לפרסם באוטובוס Eventarc Advanced, המקור של אירוע צריך להיות בתוך אותו גבולות גזרה לשירות כמו האוטובוס.
• כדי לצרוך הודעה, צרכן אירועים צריך להיות בתוך גבולות הגזרה לשירות כמו האוטובוס.

כדי לבדוק אם יש תמיכה ב-VPC Service Controls במשאבים Enrollment,‏ GoogleApiSource, ‏ MessageBus ו-Pipeline, אפשר לעיין ביומני הפלטפורמה בתעבורת נתונים נכנסת (ingress).

מידע נוסף על Eventarc Advanced זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב המתקדם של Eventarc Advanced עם VPC Service Controls.

ב-Eventarc Standard, העברת האירועים מתבצעת באמצעות נושאים ב-Pub/Sub ומינויים מסוג push. כדי לגשת ל-Pub/Sub API ולנהל טריגרים של אירועים, צריך להגן על Eventarc API באותו גבול גזרה של שירות Service Controls בענן וירטואלי פרטי (VPC) כמו Pub/Sub API.

מידע נוסף על Eventarc Standard זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Distributed Cloud Edge Network באמצעות VPC Service Controls ולהשתמש בו בדרך כלל בתוך גבולות גזרה לשירות.

מידע נוסף על Distributed Cloud Edge Network API זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של Distributed Cloud Edge Network API עם VPC Service Controls.

אפשר להגן על ה-API של Anti Money Laundering AI באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Anti Money Laundering AI זמין במאמרי עזרה של המוצר.

אין מגבלות ידועות לשילוב של Anti Money Laundering AI עם VPC Service Controls.

כשמגדירים ומחליפים אסימונים של Firebase App Check, ‏ VPC Service Controls מגן רק על שירות Firebase App Check. כדי להגן על שירותים שמסתמכים על Firebase App Check, צריך להגדיר גבולות שירות לשירותים האלה.

מידע נוסף על Firebase App Check זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Firebase App Check עם VPC Service Controls.

VPC Service Controls עוזר להגן על בקשות ל-App Hosting API. עם זאת, ההגבלות של VPC Service Controls לא חלות על בקשות לאתרים שנפרסו ב-App Hosting.

מידע נוסף על Firebase App Hosting זמין בתיעוד המוצר.

גבולות גזרה של שירותים מגנים רק על Firebase Data Connect API. הם לא מגנים על הגישה למקורות הנתונים הבסיסיים (כמו מכונות Cloud SQL). צריך להגדיר בנפרד הגבלת גישה למופעים של מסדי נתונים.

מידע נוסף על Firebase Data Connect זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של Firebase Data Connect עם VPC Service Controls.

כשמנהלים מדיניות של כללי אבטחה ב-Firebase,‏ VPC Service Controls מגן רק על שירות כללי האבטחה ב-Firebase. כדי להגן על שירותים שמסתמכים על כללי אבטחה של Firebase, צריך להגדיר חומות אש לשירותים האלה.

מידע נוסף על כללי האבטחה של Firebase זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של כללי האבטחה של Firebase עם VPC Service Controls.

במסמכי התיעוד של פונקציות Cloud Run מפורטים שלבי ההגדרה. ההגנה של VPC Service Controls לא חלה על שלב הבנייה כשפונקציות של Cloud Run נבנות באמצעות Cloud Build. פרטים נוספים זמינים במאמר בנושא מגבלות ידועות.

מידע נוסף על פונקציות Cloud Run זמין במסמכי העזרה של המוצר.

כשמגבילים את IAM באמצעות גבולות גזרה, רק הפעולות שנעשה בהן שימוש ב-Identity and Access Management API מוגבלות. אלה חלק מהפעולות האפשריות:

• ניהול תפקידים ב-IAM בהתאמה אישית
• ניהול מאגרי זהויות של כוח עבודה
• ניהול חשבונות שירות ומפתחות
• ניהול כללי מדיניות דחייה
• ניהול של קשרי מדיניות עבור מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

גבולות הגזרה לא מגבילים פעולות שקשורות למאגרי עובדים ולמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), כי המשאבים האלה נוצרים ברמת הארגון.

גבולות הגזרה גם לא מגבילים את ניהול מדיניות ההרשאות למשאבים שבבעלות שירותים אחרים, כמו פרויקטים, תיקיות וארגונים במנהל המשאבים או מכונות וירטואליות של Compute Engine. כדי להגביל את ניהול מדיניות ההרשאות למשאבים האלה, יוצרים גבולות גזרה שמגבילים את השירות שהמשאבים נמצאים בבעלותו. במאמר בנושא סוגי משאבים שמקבלים מדיניות הרשאה תוכלו למצוא רשימה של המשאבים שמכבדים מדיניות הרשאה ואת השירותים שבבעלותם.

בנוסף, גבולות הגזרה סביב IAM לא מגבילים את הפעולות שנעזרות בממשקי API אחרים, כולל:

• IAM Policy Simulator API
• IAM Policy Troubleshooter API
• Security Token Service API
• ‫Service Account Credentials API (כולל השיטות הקודמות עם signBlob ו-signJwt ב-IAM API)

למידע נוסף על ניהול זהויות והרשאות גישה, אפשר לעיין במסמכי המוצר.

אם אתם נמצאים בתוך גבולות הגזרה, לא תוכלו להפעיל את השיטה roles.list עם מחרוזת ריקה כדי להציג רשימה של תפקידים מוגדרים מראש ב-IAM. אם אתם רוצים לראות את התפקידים המוגדרים מראש, תוכלו לעיין במסמכי התיעוד של תפקידי IAM.

‫IAP Admin API מאפשר למשתמשים להגדיר את IAP.

מידע נוסף על IAP Admin API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של IAP Admin API עם VPC Service Controls.

אפשר להגן על ה-API של Cloud KMS Inventory API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud KMS Inventory API זמין במסמכי התיעוד של המוצר.

שיטת ה-API‏ SearchProtectedResources לא אוכפת הגבלות של גבולות גזרה לשירות על פרויקטים שמוחזרים.

אפשר להגן על ה-API של Service Account Credentials באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על פרטי הכניסה של חשבון שירות זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של פרטי הכניסה לחשבון השירות עם VPC Service Controls.

אפשר להגן על ה-API של Service Metadata API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Service Metadata API זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Service Metadata API עם VPC Service Controls.

אם אתם משתמשים בגישה לשירותים פרטיים, מומלץ להפעיל את VPC Service Controls לחיבור Service Networking.כשמפעילים את VPC Service Controls, לבעלי שירותים מנוהלים יש גישה רק לממשקי ה-API שנתמכים על ידי VPC Service Controls דרך חיבור Service Networking.

אפשר להפעיל את VPC Service Controls עבור Service Networking רק באמצעות EnableVpcServiceControls API. אפשר להשבית את VPC Service Controls רק עבור Service Networking באמצעות DisableVpcServiceControls API.

מידע נוסף על Service Networking זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Service Networking עם VPC Service Controls.

אפשר להגן על ה-API של Serverless VPC Access באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Serverless VPC Access זמין בתיעוד המוצר.

אין מגבלות ידועות לשילוב של Serverless VPC Access עם VPC Service Controls.

אפשר להגן על Cloud KMS API באמצעות VPC Service Controls, ואפשר להשתמש במוצר בתוך גבולות גזרה לשירות. הגישה לשירותי Cloud HSM מוגנת גם על ידי VPC Service Controls, ואפשר להשתמש בהם בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Key Management Service זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של Cloud Key Management Service עם VPC Service Controls.

אפשר להגן על ה-API של Game Servers באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על שרתי משחקים מופיע במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Game Servers עם VPC Service Controls.

אפשר להגן על התכונה investigations של Gemini Cloud Assist באמצעות VPC Service Controls. במסגרת חקירה אפשר לגשת רק לנתונים ולממשקי API שנמצאים גם הם בתוך גבולות גזרה לשירות. בפרט, Cloud Asset API ו-Cloud Logging API חשובים כדי שכל חקירה תפעל, ולכן הם צריכים להיות בתוך גבולות הגזרה. באופן דומה, כל מוצר או שירות שרוצים לחקור צריך להיות בתוך גבולות גזרה כדי לקבל את התוצאות הטובות ביותר של החקירה.

מידע נוסף על Gemini Cloud Assist זמין במאמרי העזרה של המוצר.

ההגבלות של VPC Service Controls פועלות רק עם התכונה investigations ב-Gemini Cloud Assist. תכונת הצ'אט של Gemini Cloud Assist, שמשתמשת ב-API‏ cloudaicompanion.googleapis.com, לא תומכת בשימוש בהגבלות של VPC Service Controls.

אם מוסיפים את geminicloudassist.googleapis.com לגבולות גזרה לשירות, צריך לוודא שממשק ה-API של cloudaicompanion.googleapis.com נמצא גם הוא בתוך גבולות הגזרה, אחרת לא תוכלו להריץ חקירות.

חלק מהכלים לא זמינים ב-VPC Service Controls perimeters, ולכן תוצאות החקירה של כלים כאלה יהיו מוגבלות.

אפשר להגן על ה-API של Gemini Code Assist באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות. הדבר כולל התאמה אישית של הקוד.

מידע נוסף על Gemini Code Assist זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של שרת Proxy לאימות זהויות (IAP) ל-TCP באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על שרת proxy לאימות זהויות (IAP) עבור TCP מופיע במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Cloud Life Sciences באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך service perimeters.

מידע נוסף על Cloud Life Sciences זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Cloud Life Sciences עם VPC Service Controls.

נדרשת הגדרה נוספת עבור:

• גישה מקומית ל-API של שירות מנוהל ל-Microsoft AD
• VPC משותף

מידע נוסף על שירות מנוהל ל-Microsoft Active Directory זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של שירות מנוהל ל-Microsoft Active Directory עם VPC Service Controls.

אפשר להגן על ה-API של reCAPTCHA באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על reCAPTCHA זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של reCAPTCHA עם VPC Service Controls.

אפשר להגן על ה-API של Web Risk באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Web Risk זמין במסמכי העזרה של המוצר.

‫VPC Service Controls לא תומך ב-Evaluate API וב-Submission API.

אפשר להגן על ה-API של Recommender באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על שירות ההמלצות זמין במסמכי העזרה של המוצר.

• שירות VPC Service Controls לא תומך במשאבים של ארגון, תיקייה או חשבון לחיוב.

אפשר להגן על ממשק ה-API של Secret Manager באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Secret Manager זמין במאמרי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Secret Manager עם VPC Service Controls.

ההגנה של VPC Service Controls חלה על כל הפעולות של האדמינים, המוציאים לאור והמנויים (חוץ ממנויי פוש קיימים).

מידע נוסף על Pub/Sub זמין במסמכי התיעוד של המוצר.

בפרויקטים שמוגנים על ידי גבולות גזרה לשירות, חלות ההגבלות הבאות:

• צריך ליצור את המינוי באותם גבולות גזרה כמו הנושא, או להפעיל כללים של תעבורת נתונים יוצאת (egress) כדי לאפשר גישה מהנושא למינוי.
• אי אפשר ליצור מינויים חדשים לשליחת הודעות בדחיפה, אלא אם נקודות הקצה של הדחיפה מוגדרות לשירותי Cloud Run עם כתובות URL של run.app ברירת מחדל או להפעלת Workflows (דומיינים בהתאמה אישית לא פועלים). מידע נוסף על שילוב עם Cloud Run זמין במאמר בנושא שימוש ב-VPC Service Controls.
• כשמנתבים אירועים דרך Eventarc ליעדים של Workflows שהנקודה הסופית של ה-push מוגדרת להפעלה של Workflows, אפשר ליצור מינויים חדשים ל-push רק דרך Eventarc.
• מינויים ל-Pub/Sub שנוצרו לפני גבולות גזרה לשירות לא נחסמים.

ההגנה של VPC Service Controls חלה על כל הפעולות של המנויים.

מידע נוסף על Pub/Sub Lite זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Pub/Sub Lite עם VPC Service Controls.

כדי להוסיף עוד אבטחה לבנייה, אפשר להשתמש ב-VPC Service Controls עם מאגרי Cloud Build פרטיים.

מידע נוסף על Cloud Build זמין במסמכי התיעוד של המוצר.

• ההגנה של VPC Service Controls זמינה רק ל-builds שמופעלים במאגרי משאבים פרטיים.

• אין תמיכה בטריגרים של Cloud Build Pub/Sub.

אפשר להגן על ה-API של Cloud Deploy באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Deploy זמין במסמכי העזרה של המוצר.

כדי להשתמש ב-Cloud Deploy בגבולות גזרה, צריך להשתמש במאגר פרטי של Cloud Build עבור סביבות ההרצה של היעד. אל תשתמשו בברירת המחדל (Cloud Build) של מאגר העובדים, ואל תשתמשו במאגר היברידי.

הגדרת Composer לשימוש עם VPC Service Controls

מידע נוסף על Cloud Composer זמין במסמכי התיעוד של המוצר.

• הפעלת סריאליזציה של DAG מונעת מ-Airflow להציג תבנית שעברה עיבוד עם פונקציות בממשק המשתמש באינטרנט.

• הגדרת הדגל async_dagbag_loader לערך True לא נתמכת כשהסריאליזציה של DAG מופעלת.

• הפעלת סריאליזציה של DAG משביתה את כל הפלאגינים של שרת האינטרנט של Airflow, כי הם עלולים לסכן את האבטחה של רשת ה-VPC שבה נפרס Cloud Composer. ההגדרה הזו לא משפיעה על ההתנהגות של תוספים לתזמון או לעובדים, כולל אופרטורים וחיישנים של Airflow.

• כש-Cloud Composer פועל בתוך היקף, הגישה למאגרי PyPI ציבוריים מוגבלת. במסמכי Cloud Composer, אפשר לקרוא את המאמר התקנת יחסי תלות של Python כדי ללמוד איך להתקין מודולים של PyPi במצב של כתובת IP פרטית.

• ‫Cloud Composer לא תומך בשימוש בזהויות של צד שלישי בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) לפעולות בממשק האינטרנט של Apache Airflow. עם זאת, אפשר להשתמש בסוג הזהות ANY_IDENTITY בכללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress) כדי לאפשר גישה לכל הזהויות, כולל זהויות של צד שלישי. מידע נוסף על סוג הזהות ANY_IDENTITY זמין במאמר כללי כניסה ויציאה.

אפשר להגן על ה-API של Cloud Quotas באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על מכסות ב-Cloud זמין במסמכי העזרה של המוצר.

מידע נוסף על Cloud Run זמין במסמכי התיעוד של המוצר.

• יצירת משימה ב-Cloud Scheduler
• עדכונים לגבי משימות ב-Cloud Scheduler

מידע נוסף על Cloud Scheduler זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Spanner באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Spanner מופיע במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Spanner עם VPC Service Controls.

אפשר להגן על ה-API של זיהוי הדובר באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על זיהוי הדובר זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של זיהוי הדובר עם VPC Service Controls.

אפשר להגן על ה-API של Cloud Storage באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Storage זמין במסמכי המוצר.

אפשר להגן על ה-API של Cloud Tasks באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

יש תמיכה בבקשות HTTP מהרצות של Cloud Tasks באופן הבא:

• בקשות מאומתות לפונקציות Cloud Run ולנקודות קצה של Cloud Run שתואמות ל-VPC Service Controls מותרות.
• בקשות לפונקציות שאינן פונקציות Cloud Run ולנקודות קצה שאינן נקודות קצה של Cloud Run נחסמות.
• בקשות לפונקציות Cloud Run ולנקודות קצה של Cloud Run שלא תואמות ל-VPC Service Controls נחסמות.

מידע נוסף על Cloud Tasks זמין במסמכי העזרה של המוצר.

גבולות הגזרה של VPC Service Controls מגנים על Cloud SQL Admin API.

מידע נוסף על Cloud SQL זמין במסמכי העזרה של המוצר.

• היקפי שירות מגנים רק על Cloud SQL Admin API. הם לא מגנים על גישה לנתונים שמבוססת על כתובת IP למכונות Cloud SQL. צריך להשתמש באילוץ על מדיניות הארגון כדי להגביל את הגישה לכתובות IP ציבוריות במכונות Cloud SQL.
• לפני שמגדירים את VPC Service Controls ל-Cloud SQL, צריך להפעיל את Service Networking API.

• ייבוא וייצוא ב-Cloud SQL יכולים לבצע קריאה וכתיבה רק מקטגוריה של Cloud Storage שנמצאת באותם גבולות גזרה לשירות כמו מכונת הרפליקה של Cloud SQL.

• בתהליך ההעברה של שרת חיצוני, צריך להוסיף את קטגוריה של Cloud Storage לאותו גבולות גזרה לשירות.

• בתהליך יצירת מפתח עבור CMEK, משתמשים באחת מההגדרות הבאות:

  • יוצרים את המפתח באותו גבולות גזרה לשירות כמו המשאבים שמשתמשים בו, כמו Cloud SQL.
  • יוצרים את המפתח בגבולות גזרה לשירות שמחוברים באמצעות גשר בין גבולות גזרה לגבולות הגזרה לשירות שמגנים על Cloud SQL.
• כשמשחזרים מכונה וירטואלית מגיבוי, מכונת היעד צריכה להיות באותם גבולות גזרה לשירות כמו הגיבוי.

אפשר להגן על ה-API של Video Intelligence API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Video Intelligence API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Video Intelligence API עם VPC Service Controls.

אפשר להגן על ה-API של Cloud Vision API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Vision API זמין במסמכי העזרה של המוצר.

כדי להשתמש ב-Artifact Analysis עם VPC Service Controls, יכול להיות שתצטרכו להוסיף שירותים אחרים להיקף ה-VPC:

• אם אתם משתמשים בהתראות Pub/Sub עם Artifact Analysis, אתם צריכים להוסיף את Pub/Sub למתחם השירות שלכם.
• אם אתם משתמשים ב-Container Scanning API, הוסיפו את המרשם שלכם לגבולות הגזרה: Artifact Registry או Container Registry.

מכיוון ש-Container Scanning API הוא API ללא ממשק שמאחסן את התוצאות ב-Artifact Analysis, אין צורך להגן על ה-API באמצעות היקף שירות.

מידע נוסף על Artifact Analysis זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של Artifact Analysis עם VPC Service Controls.

בנוסף להגנה על Container Registry API, אפשר להשתמש ב-Container Registry בתוך גבולות גזרה לשירות עם GKE ו-Compute Engine.

מידע נוסף על Container Registry זמין במסמכי העזרה של המוצר.

• כשמציינים מדיניות כניסה או יציאה לגבולות גזרה לשירות, אי אפשר להשתמש ב-ANY_SERVICE_ACCOUNT וב-ANY_USER_ACCOUNT כסוג זהות לכל הפעולות ב-Container Registry.

  כפתרון זמני, אפשר להשתמש ב-ANY_IDENTITY כסוג הזהות.

• מכיוון ש-Container Registry משתמש בדומיין gcr.io, צריך להגדיר DNS עבור *.gcr.io כך שימופה ל-private.googleapis.com או ל-restricted.googleapis.com. מידע נוסף זמין במאמר בנושא אבטחת Container Registry בגבול גזרה לשירות.

• בנוסף למאגרי התמונות בתוך גבולות הגזרה שזמינים ל-Container Registry, המאגרים הבאים לקריאה בלבד זמינים לכל הפרויקטים, ללא קשר להגבלות שנאכפות על ידי גבולות גזרה לשירות:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  בכל המקרים, זמינות גם גרסאות רב-אזוריות של המאגרים האלה.

אפשר להגן על Google Kubernetes Engine API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות. התאימות הזו כוללת את ההגנה על נקודת הקצה של ה-DNS ב-GKE, שהוא שירות לגישה למישור הבקרה של האשכול ומשתמש בדומיין *.gke.goog.

כשמגבילים את שירות container.googleapis.com בגבולות גזרה, הגבולות מגבילים גם את נקודת הקצה של DNS ב-GKE.

למידע נוסף על Google Kubernetes Engine, אפשר לעיין במסמכי המוצר.

• כדי להגן באופן מלא על GKE API, צריך לכלול בהיקף גם את Kubernetes Metadata API‏ (kubernetesmetadata.googleapis.com).
• אפשר להגן רק על אשכולות פרטיים באמצעות VPC Service Controls. שירות VPC Service Controls לא תומך באשכולות עם כתובות IP ציבוריות.

• רשומת שירות GKE בטבלה הזו מציינת רק את השליטה ב-GKE API עצמו. הפעולה של GKE מסתמכת על כמה שירותים בסיסיים אחרים, כמו Compute Engine,‏ Cloud Logging,‏ Cloud Monitoring ו-Autoscaling API ‏ (autoscaling.googleapis.com). כדי לאבטח ביעילות את סביבות GKE באמצעות VPC Service Controls, צריך לוודא שכל השירותים הבסיסיים הנדרשים כלולים גם בתוך גבולות גזרה לשירות. רשימה מלאה של השירותים האלה מופיעה במסמכי GKE.

אפשר להגן על ממשקי ה-API של Google Security Operations באמצעות VPC Service Controls, ואפשר להשתמש ב-Google SecOps כרגיל בתוך גבולות גזרה לשירות. כדי להשתמש ב-Google SecOps מתוך גבולות גזרה לשירות של VPC Service Controls, אפשר לעיין במאמר הגדרה של VPC Service Controls ל-Google Security Operations.

מידע נוסף על Google Security Operations זמין במסמכי המוצר.

אפשר להגן על ה-API של Container Security API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Container Security API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Container Security API עם VPC Service Controls.

הזרמת תמונות היא תכונה של GKE להזרמת נתונים, שמספקת זמני שליפה קצרים יותר של קובצי אימג' של קונטיינר עבור תמונות שמאוחסנות ב-Artifact Registry. אם VPC Service Controls מגן על קובצי אימג' של קונטיינר ואתם משתמשים ב-Image streaming, אתם צריכים לכלול את Image streaming API גם בגבולות גזרה לשירות.

מידע נוסף על סטרימינג של תמונות זמין במסמכי העזרה של המוצר.

• המאגרים הבאים לקריאה בלבד זמינים לכל הפרויקטים, ללא קשר להגבלות שנאכפות על ידי גבולות השירות:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

אפשר להגן על ממשקי API לניהול צי, כולל שער Connect, באמצעות VPC Service Controls, ואפשר להשתמש בתכונות לניהול צי בדרך כלל בתוך גבולות שירות. למידע נוסף, קראו את המאמרים הבאים:

• שימוש ב-VPC Service Controls עם Connect Agent
• שימוש ב-VPC Service Controls עם שער Connect

מידע נוסף על Fleets זמין במסמכי התיעוד של המוצר.

• אפשר להשתמש בכל התכונות של ניהול הצי כרגיל, אבל אם מפעילים היקף שירות סביב Stackdriver API, התכונה Policy Controller fleet לא יכולה להשתלב עם Security Command Center.
• כשמשתמשים בשער Connect כדי לגשת לאשכולות GKE, לא נאכף היקף VPC Service Controls עבור container.googleapis.com.

אפשר להגן על API של FleetPackage באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על FleetPackage API זמין במסמכי המוצר.

אין מגבלות ידועות על שילוב של FleetPackage API עם VPC Service Controls.

אפשר להגן על השיטות הבאות של Cloud Resource Manager API באמצעות VPC Service Controls:

• v1 project.setIAMPolicy
• ‫v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

מידע נוסף על מנהל המשאבים זמין במאמרי עזרה של המוצר.

• אפשר להגן באמצעות VPC Service Controls רק על מפתחות תגים שמוגדרים ישירות כהורה של משאב פרויקט ועל ערכי התגים התואמים. כשמוסיפים פרויקט לגבולות גזרה של VPC Service Controls, כל מפתחות התגים והערכים התואמים של התגים בפרויקט נחשבים למשאבים בתוך גבולות הגזרה.
• אי אפשר לכלול ב-VPC Service Controls perimeter מפתחות תגים שמשויכים למשאב ארגוני ואת ערכי התגים התואמים שלהם, ואי אפשר להגן עליהם באמצעות VPC Service Controls.
• לקוחות בתוך גבולות גזרה של VPC Service Controls לא יכולים לגשת למפתחות תגים ולערכים התואמים שלהם שמשויכים למשאב ארגוני, אלא אם מוגדר כלל יציאה (egress) שמאפשר גישה לגבולות הגזרה. מידע נוסף על הגדרת כללי תעבורת נתונים יוצאת (egress) מופיע במאמר כללי תעבורת נתונים נכנסת (ingress) ותעבורת נתונים יוצאת (egress).
• קישורי תגים נחשבים למשאבים באותם גבולות גזרה של המשאב שאליו מקושר ערך התג. לדוגמה, שיוכי התגים במכונה של Compute Engine בפרויקט מסוים נחשבים כשייכים לפרויקט הזה, בלי קשר למקום שבו מוגדר מפתח התג.
• חלק מהשירותים, כמו Compute Engine, מאפשרים ליצור קישורי תגים באמצעות ממשקי ה-API של השירותים עצמם, בנוסף לממשקי ה-API של שירות מנהל המשאבים. לדוגמה, הוספת תגים למכונה וירטואלית של Compute Engine במהלך יצירת המשאב. כדי להגן על קשרי תגים שנוצרו או נמחקו באמצעות ממשקי ה-API של השירותים האלה, מוסיפים את השירות המתאים, כמו compute.googleapis.com, לרשימת השירותים המוגבלים בגבולות הגזרה.
• תגים תומכים בהגבלות ברמת השיטה, כך שאפשר להגדיר את ההיקף של method_selectors לשיטות ספציפיות של API. רשימה של שיטות שאפשר להגביל את הגישה אליהן זמינה במאמר הגבלות נתמכות על שיטות שירות.
• שירות VPC Service Controls תומך עכשיו בהענקת תפקיד הבעלים בפרויקט דרך Google Cloud המסוף. אי אפשר לשלוח הזמנה לבעלות או לאשר הזמנה מחוץ לגבולות של אזורי שירות. אם תנסו לאשר הזמנה מחוץ לגבולות גזרה, לא תקבלו את תפקיד הבעלים ולא תוצג הודעת שגיאה או אזהרה.

אפשר להגן על ה-API של Cloud Logging באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Logging זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Certificate Manager באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Certificate Manager זמין במאמרי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Certificate Manager עם VPC Service Controls.

אפשר להגן על ה-API של Cloud Monitoring באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Monitoring זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Cloud Profiler באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Profiler זמין במאמרי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Cloud Profiler עם VPC Service Controls.

אפשר להגן על ה-API של Telemetry API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Telemetry API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Telemetry API עם VPC Service Controls.

אפשר להגן על ה-API של Timeseries Insights API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Timeseries Insights API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Timeseries Insights API עם VPC Service Controls.

אפשר להגן על ה-API של Cloud Trace באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Trace זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Cloud Trace עם VPC Service Controls.

אפשר להגן על ה-API של Cloud TPU באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud TPU זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Cloud TPU עם VPC Service Controls.

מידע נוסף על Natural Language API זמין במסמכי העזרה של המוצר.

מכיוון ש-Natural Language API הוא API בלי שמירת מצב ולא פועל בפרויקטים, שימוש ב-VPC Service Controls כדי להגן על Natural Language API לא משפיע על כלום.

אפשר להגן על ה-API של NCC באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על NCC זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של NCC עם VPC Service Controls.

אפשר להגן על ה-API של Cloud Asset API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Asset API זמין במסמכי העזרה של המוצר.

• שירות VPC Service Controls לא תומך בגישה למשאבי Cloud Asset API ברמת התיקייה או הארגון ממקורות ומלקוחות שנמצאים בתוך גבולות גזרה לשירות. ‫VPC Service Controls מגביל משאבים של Cloud Asset API ברמת הפרויקט. אתם יכולים לציין מדיניות יציאה כדי למנוע גישה למשאבים של Cloud Asset API ברמת הפרויקט מפרויקטים שנמצאים בתוך גבולות גזרה.
• שירות VPC Service Controls לא תומך בהוספה של משאבי Cloud Asset API ברמת התיקייה או ברמת הארגון לגבולות גזרה לשירות. אי אפשר להשתמש בגבולות גזרה כדי להגביל משאבים של Cloud Asset API ברמת התיקייה או הארגון. כדי לנהל הרשאות של מאגר משאבי ענן ברמת התיקייה או הארגון, מומלץ להשתמש ב-IAM.
• VPC Service Controls מגביל משאבים ברמת הפרויקט ב-Cloud Asset API, אבל לא אוכף הגבלות בהיקפים של רמת התיקייה או רמת הארגון. שאילתות על המשאבים האלה באמצעות היקף של תיקייה או ארגון במסוף Google Cloud יכולות לחשוף נתונים מפרויקטים בתוך גבולות גזרה לשירות. כדי להגביל את הגישה למשאבים האלה, צריך להשתמש באמצעי בקרה של IAM.

אפשר להגן על ה-API של Speech-to-Text באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Speech-to-Text זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Speech-to-Text עם VPC Service Controls.

אפשר להגן על ה-API של Text-to-Speech באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על המרת טקסט לדיבור זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Text-to-Speech עם VPC Service Controls.

אפשר להגן על ה-API של Translation באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על תרגום מופיע במסמכי העזרה של המוצר.

‫Cloud Translation – Advanced‏ (גרסה 3) תומך ב-VPC Service Controls, אבל Cloud Translation – Basic‏ (גרסה 2) לא תומך בו. כדי להשתמש ב-VPC Service Controls, צריך להשתמש ב-Cloud Translation Advanced (גרסה 3). מידע נוסף על המהדורות השונות זמין במאמר השוואה בין מהדורות Basic ו-Advanced.

יצירת גבולות גזרה לשירות עבור License Manager באמצעות License Manager API כדי לאבטח את הרישיונות.

מידע נוסף על License Manager זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של License Manager עם VPC Service Controls.

שימוש ב-VPC Service Controls עם Live Stream API כדי לאבטח את צינור הנתונים.

מידע נוסף על Live Stream API זמין במסמכי המוצר.

כדי להגן על נקודות קצה של קלט באמצעות גבולות גזרה לשירות, צריך לפעול לפי ההוראות להגדרת מאגר פרטי ולשלוח זרמי וידאו של קלט דרך חיבור פרטי.

אפשר להגן על ה-API של Transcoder API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Transcoder API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Transcoder API עם VPC Service Controls.

אפשר להגן על ה-API של Video Stitcher API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Video Stitcher API זמין במאמרי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Video Stitcher API עם VPC Service Controls.

אפשר להגן על ה-API של אישור הגישה באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על אישור גישה מופיע במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של אישור גישה עם VPC Service Controls.

אפשר להגן על ה-API של Cloud Healthcare API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Healthcare API זמין במסמכי התיעוד של המוצר.

שירות VPC Service Controls לא תומך במפתחות הצפנה בניהול הלקוח (CMEK) ב-Cloud Healthcare API.

מומלץ למקם את הפרויקט של Storage Transfer Service בתוך גבולות גזרה לשירות כמו המשאבים של Cloud Storage. כך מוגנים גם ההעברה וגם משאבי Cloud Storage. Storage Transfer Service גם תומך בתרחישים שבהם הפרויקט של Storage Transfer Service לא נמצא באותם גבולות גזרה כמו הקטגוריות של Cloud Storage, באמצעות מדיניות תעבורת נתונים יוצאת (egress).

מידע על ההגדרה זמין במאמר שימוש ב-Storage Transfer Service עם VPC Service Controls

שירות העברה של נתונים מקומיים

פרטים ומידע על הגדרת Transfer for on-premises זמינים במאמר שימוש ב-Transfer for on-premises עם VPC Service Controls.

מידע נוסף על Storage Transfer Service זמין במסמכי המוצר.

אפשר להגן על ה-API של Service Control באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Service Control API זמין במסמכי התיעוד של המוצר.

• כשמפעילים את Service Control API מרשת VPC בגבול גזרה לשירות עם הגבלת Service Control לדיווח על מדדי חיוב או ניתוח נתונים, אפשר להשתמש רק בשיטה Service Control report כדי לדווח על מדדים לשירותים שנתמכים על ידי VPC Service Controls.

אפשר להגן על ה-API של Memorystore for Redis באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Memorystore for Redis זמין במסמכי העזרה של המוצר.

• גבולות גזרה של שירותים מגנים רק על Memorystore for Redis API. היקפים לא מגנים על גישה רגילה לנתונים במכונות של Memorystore for Redis באותה רשת.

• אם גם Cloud Storage API מוגן, אז פעולות הייבוא והייצוא של Memorystore for Redis יכולות רק לקרוא ולכתוב לקטגוריה של Cloud Storage בתוך גבולות גזרה לשירות כמו מופע Memorystore for Redis.

• אם אתם משתמשים גם ב-VPC משותף וגם ב-VPC Service Controls, כדי שהבקשות ל-Redis יצליחו, הפרויקט המארח שמספק את הרשת ופרויקט השירות שמכיל את מופע Redis צריכים להיות באותו גבול גזרה. בכל שלב, הפרדה בין פרויקט המארח לפרויקט השירות באמצעות גבול גזרה עלולה לגרום לכשל במופע Redis, בנוסף לחסימת בקשות. מידע נוסף מופיע במאמר בנושא דרישות ההגדרה של Memorystore for Redis.

אפשר להגן על ה-API של Memorystore for Memcached באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Memorystore for Memcached זמין במסמכי התיעוד של המוצר.

• גבולות גזרה של שירותים מגנים רק על Memorystore for Memcached API. היקפים לא מגנים על גישה רגילה לנתונים במופעי Memorystore for Memcached באותה רשת.

• גבולות הגזרה של השירות מגנים רק על Memorystore for Valkey API. היקפים לא מגנים על גישה רגילה לנתונים במופעים של Memorystore for Valkey באותה רשת.

• אם גם Cloud Storage API מוגן, אז פעולות הייבוא והייצוא של Memorystore for Valkey יכולות רק לקרוא ולכתוב לקטגוריה של Cloud Storage באותו גבולות גזרה לשירות כמו מופע Memorystore for Valkey.

• אם אתם משתמשים גם ב-VPC משותף וגם ב-VPC Service Controls, כדי שהבקשות ל-Redis יצליחו, הפרויקט המארח שמספק את הרשת ופרויקט השירות שמכיל את מופע Redis צריכים להיות באותו גבול גזרה. בכל שלב, הפרדה בין פרויקט המארח לפרויקט השירות באמצעות גבול גזרה עלולה לגרום לכשל במופע Redis, בנוסף לחסימת בקשות. מידע נוסף זמין במאמר בנושא דרישות ההגדרה של Memorystore for Valkey.

• ‫Memorystore for Valkey API הוא memorystore.googleapis.com. לכן, השם לתצוגה של Memorystore for Valkey הוא Memorystore API כשמשתמשים ב-VPC Service Controls במסוף Google Cloud .

מידע נוסף על Memorystore for Valkey זמין במסמכי התיעוד של המוצר.

אפשר להגן על ה-API של Service Directory באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Service Directory זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Service Directory עם VPC Service Controls.

יש תמיכה מלאה ב-Transfer Appliance בפרויקטים שמשתמשים ב-VPC Service Controls.

‫Transfer Appliance לא מציע API, ולכן הוא לא תומך בתכונות שקשורות ל-API ב-VPC Service Controls.

מידע נוסף על Transfer Appliance זמין במסמכי העזרה של המוצר.

• כש-Cloud Storage מוגן על ידי VPC Service Controls, מפתח Cloud KMS שמשתפים עם צוות Transfer Appliance צריך להיות באותו פרויקט כמו קטגוריית היעד של Cloud Storage.

אפשר להגן על API של Organization Policy Service באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Organization Policy Service זמין במסמכי המוצר.

שירות VPC Service Controls לא תומך בהגבלות גישה למדיניות ארגונית ברמת התיקייה או ברמת הארגון שמועברת בירושה לפרויקט. ‫VPC Service Controls מגן על משאבי Organization Policy Service API ברמת הפרויקט.

לדוגמה, אם כלל כניסה מגביל את הגישה של משתמש ל-API של שירות מדיניות הארגון, המשתמש יקבל שגיאת 403 כשיבצע שאילתה לגבי מדיניות הארגון שנאכפת בפרויקט. עם זאת, המשתמש עדיין יכול לגשת למדיניות הארגון של התיקייה והארגון שמכילים את הפרויקט.

אפשר להפעיל את OS Login API מתוך גבולות גזרה של VPC Service Controls. כדי לנהל את OS Login מתוך מתחמי אבטחה של VPC Service Controls, צריך להגדיר את OS Login.

חיבורי SSH למכונות וירטואליות לא מוגנים על ידי VPC Service Controls.

מידע נוסף על OS Login זמין במסמכי העזרה של המוצר.

השיטות של OS Login לקריאה ולכתיבה של מפתחות SSH לא אוכפות את היקפי האבטחה של VPC Service Controls. משתמשים בשירותים שניתן לגשת אליהם דרך VPC כדי להשבית את הגישה לממשקי OS Login API.

אפשר להגן על ה-API של Personalized Service Health באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על המרכז האישי ב-Service Health זמין במסמכי התיעוד של המוצר.

שירות VPC Service Controls לא תומך במשאבים OrganizationEvents ו-OrganizationImpacts של Service Health API. לכן, בדיקות המדיניות של VPC Service Controls לא יתבצעו כשקוראים למתודות של המשאבים האלה. עם זאת, אפשר לקרוא לשיטות מתוך גבולות גזרה לשירות באמצעות כתובת VIP מוגבלת.

אפשר להפעיל את OS Config API מתוך גבולות גזרה של VPC Service Controls. כדי להשתמש ב-VM Manager מתוך גבולות גזרה של VPC Service Controls, צריך להגדיר את VM Manager.

מידע נוסף על VM Manager זמין במסמכי העזרה של המוצר.

‫Workflows היא פלטפורמת תזמור שיכולה לשלב שירותים של Google Cloud Platform וממשקי API מבוססי-HTTP כדי להפעיל שירותים בסדר שאתם מגדירים.

כשמגנים על Workflows API באמצעות גבולות גזרה לשירות, מוגן גם Workflow Executions API. אין צורך להוסיף את workflowexecutions.googleapis.com בנפרד לרשימת השירותים המוגנים בהיקף האבטחה.

יש תמיכה בבקשות HTTP מהרצת Workflows באופן הבא:

• בקשות מאומתות לנקודות קצה (endpoints) שתואמות ל-VPC Service Controls מותרות. Google Cloud
• מותרות בקשות לפונקציות Cloud Run ולנקודות קצה של שירות Cloud Run.
• בקשות לנקודות קצה של צד שלישי נחסמות.
• בקשות לנקודות קצה שלא תואמות ל-VPC Service Controls Google Cloud נחסמות.

מידע נוסף על Workflows זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Workflows עם VPC Service Controls.

אפשר להגן על ה-API של Filestore באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Filestore זמין במסמכי המוצר.

• גבולות הגזרה של השירות מגנים רק על Filestore API. היקפים לא מגנים על גישה רגילה לנתוני NFS במופעי Filestore באותה רשת.

• אם אתם משתמשים גם ב-VPC משותף וגם ב-VPC Service Controls, הפרויקט המארח שמספק את הרשת ופרויקט השירות שמכיל את מופע Filestore צריכים להיות באותו גבול גזרה כדי שמופע Filestore יפעל בצורה תקינה. הפרדה בין פרויקט המארח לפרויקט השירות באמצעות גבולות גזרה עלולה לגרום לכך שהמופעים הקיימים לא יהיו זמינים, וגם לא ייווצרו מופעים חדשים.

מידע נוסף על Parallelstore זמין במסמכי העזרה של המוצר.

• אם אתם משתמשים גם ב-VPC משותף וגם ב-VPC Service Controls, הפרויקט המארח שמספק את הרשת ופרויקט השירות שמכיל את מופע Parallelstore צריכים להיות באותו גבול גזרה כדי שמופע Parallelstore יפעל בצורה תקינה. הפרדה בין פרויקט המארח לפרויקט השירות באמצעות גבולות גזרה עלולה לגרום לכך שהמופעים הקיימים לא יהיו זמינים, וגם לא ייווצרו מופעים חדשים.

אפשר להגן על ה-API של זיהוי איומים בקונטיינר באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על זיהוי איומים בקונטיינר זמין במאמרי עזרה.

מידע נוסף על Ads Data Hub זמין במסמכי העזרה של המוצר.

‫VPC Service Controls מגביל את המרות האסימונים רק אם הקהל בבקשה הוא משאב ברמת הפרויקט. לדוגמה, VPC Service Controls לא מגביל בקשות לאסימונים עם הרשאות מוגבלות, כי לבקשות האלה אין קהל. בנוסף, VPC Service Controls לא מגביל בקשות לאיחוד שירותי אימות הזהות של כוח העבודה, כי הקהל הוא משאב ברמת הארגון.

מידע נוסף על Security Token Service זמין במסמכי התיעוד של המוצר.

השירותים firestore.googleapis.com, ‏datastore.googleapis.com ו-firestorekeyvisualizer.googleapis.com נכללים בחבילה אחת. כשמגבילים את השירות firestore.googleapis.com בגבול גזרה, הגבול מגביל גם את השירותים datastore.googleapis.com ו-firestorekeyvisualizer.googleapis.com. אין צורך להוסיף את השירותים האלה בנפרד לרשימת השירותים המוגנים בהיקף.

כדי להגביל את השירות datastore.googleapis.com, משתמשים בשם השירות firestore.googleapis.com.

כדי לקבל הגנה מלאה על תעבורת נתונים יוצאת בפעולות ייבוא וייצוא, צריך להשתמש בסוכן השירות של Firestore. מידע נוסף זמין במאמרים הבאים:

• אבטחת פעולות ייבוא וייצוא של Firestore באמצעות VPC Service Controls
• אבטחת פעולות ייבוא וייצוא של Datastore באמצעות VPC Service Controls.

מידע נוסף על Firestore/Datastore זמין במסמכי העזרה של המוצרים.

אפשר להגן על ה-API של Migrate to Virtual Machines באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Migrate to Virtual Machines זמין במסמכי העזרה של המוצר.

• כדי להגן באופן מלא על Migrate to Virtual Machines, צריך להוסיף את כל ממשקי ה-API הבאים לגבולות גזרה לשירות:

  • ‫Artifact Registry API ‏ (artifactregistry.googleapis.com)
  • Pub/Sub API ‏ (pubsub.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  • Container Registry API ‏ (containerregistry.googleapis.com)
  • Secret Manager API (secretmanager.googleapis.com)
  • ‫Compute Engine API ‏ (compute.googleapis.com)

  מידע נוסף זמין במאמר בנושא מעבר ל-Virtual Machines.

בעזרת VPC Service Controls אפשר להגן על נתוני התשתית שנאספים באמצעות Migration Center באמצעות גבולות גזרה לשירות.

מידע נוסף על Migration Center זמין במאמרי העזרה בנושא המוצר.

אפשר להגן על ה-API של שירות Backup and DR באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על שירות Backup and DR זמין במאמרי עזרה של המוצר.

אם תסירו את נתיב ברירת המחדל לאינטרנט מפרויקט לשירות מנוהל באמצעות הפקודה gcloud services vpc-peerings enable-vpc-service-controls, יכול להיות שלא תהיה לכם גישה למסוף הניהול או לא תוכלו לפרוס אותו. אם נתקלתם בבעיה הזו, פנו אל Cloud Customer Care של Google.

אתם יכולים להשתמש ב-VPC Service Controls כדי להגן על הגיבוי ל-GKE, ולהשתמש בתכונות של הגיבוי ל-GKE כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Backup for GKE זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Backup for GKE עם VPC Service Controls.

אפשר להגן על ה-API של Retail API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Retail API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Retail API עם VPC Service Controls.

Application Integration היא מערכת לניהול תהליכי עבודה שיתופיים שמאפשרת לכם ליצור, להרחיב, לנפות באגים ולהבין תהליכי עבודה של מערכות עסקיות מרכזיות. תהליכי העבודה ב-Application Integration מורכבים מטריגרים וממשימות. יש כמה סוגים של טריגרים, כמו טריגר API, טריגר Pub/Sub, טריגר cron וטריגר sfdc.

מידע נוסף על Application Integration זמין במאמרי עזרה של המוצר.

אפשר להגן על ה-API של Integration Connectors באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Integration Connectors זמין במסמכי העזרה של המוצר.

אפשר להגן על ה-API של Error Reporting באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Error Reporting מופיע במאמרי העזרה של המוצר.

אפשר להגן על ה-API של Cloud Workstations באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Workstations זמין במסמכי העזרה של המוצר.

• כדי להגן באופן מלא על Cloud Workstations, צריך להגביל את Compute Engine API בגבולות גזרה לשירות בכל פעם שמגבילים את Cloud Workstations API.
• מוודאים ש-Google Cloud Storage API,‏ Google Container Registry API ו-Artifact Registry API הם נגישים ל-VPC בגבולות הגזרה של השירות. ההרשאה הזו נדרשת כדי להעביר תמונות לתחנת העבודה. מומלץ גם לאפשר גישה ל-Cloud Logging API ול-Cloud Error Reporting API ב-VPC בגבולות גזרה לשירות שלכם, למרות שזה לא נדרש לשימוש ב-Cloud Workstations.
• מוודאים שצביר תחנות העבודה הוא פרטי. הגדרת אשכול פרטי מונעת חיבורים לתחנות העבודה שלכם מחוץ לגבולות גזרה לשירות של ה-VPC.
• חשוב להשבית כתובות IP ציבוריות בהגדרות של תחנת העבודה. אם לא תעשו את זה, המכונות הווירטואליות בפרויקט יקבלו כתובות IP ציבוריות. מומלץ מאוד להשתמש באילוץ מדיניות הארגון constraints/compute.vmExternalIpAccess כדי להשבית כתובות IP ציבוריות לכל המכונות הווירטואליות בגבולות גזרה לשירות של ה-VPC. פרטים נוספים זמינים במאמר בנושא הגבלת כתובות IP חיצוניות למכונות וירטואליות ספציפיות.
• כשמתחברים לתחנת העבודה, בקרת הגישה מבוססת רק על השאלה אם הרשת הפרטית שממנה מתחברים שייכת לגבולות האבטחה. אין תמיכה בבקרת גישה שמבוססת על מכשיר, כתובת IP ציבורית או מיקום.

אפשר להגן על ה-API של Cloud IDS באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud IDS זמין במסמכי התיעוד של המוצר.

‫Cloud IDS משתמש ב-Cloud Logging כדי ליצור יומני איומים בפרויקט. אם Cloud Logging מוגבל על ידי גבולות גזרה לשירות, VPC Service Controls חוסם את יומני האיומים של Cloud IDS, גם אם Cloud IDS לא נוסף כסוג שירות מוגבל לגבולות הגזרה. כדי להשתמש ב-Cloud IDS בתוך גבולות גזרה לשירות, צריך להגדיר כלל כניסה לחשבון השירות של Cloud Logging בגבולות הגזרה לשירות.

מידע נוסף על Chrome Enterprise Premium זמין במאמרי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Chrome Enterprise Premium עם VPC Service Controls.

כשמגדירים גבולות גזרה כדי להגביל את Policy Troubleshooter API, חשבונות משתמשים יכולים לפתור בעיות שקשורות למדיניות הרשאות של IAM רק אם כל המשאבים שכלולים בבקשה נמצאים באותו גבול גזרה. בדרך כלל יש שני משאבים שמעורבים בבקשה לפתרון בעיות:

• המשאב שאתם מנסים לפתור את בעיית הגישה אליו. המשאב הזה יכול להיות מכל סוג. מציינים את המשאב הזה באופן מפורש כשמבצעים פתרון בעיות במדיניות הרשאה.

• המשאב שבו אתם משתמשים כדי לפתור בעיות בגישה. המשאב הזה הוא פרויקט, תיקייה או ארגון. במסוף Google Cloud וב-CLI של gcloud, המשאב הזה מוסק על סמך הפרויקט, התיקייה או הארגון שבחרתם. ב-REST API, מציינים את המשאב הזה באמצעות הכותרת x-goog-user-project.

  יכול להיות שהמשאב הזה יהיה זהה למשאב שאתם מנסים לפתור את בעיית הגישה אליו, אבל זה לא חובה.

אם המשאבים האלה לא נמצאים באותו גבולות גזרה, הבקשה תיכשל.

מידע נוסף על הכלי לפתרון בעיות שקשורות למדיניות זמין במאמרי העזרה של המוצר.

אין מגבלות ידועות לשילוב של פותר הבעיות שקשורות למדיניות עם VPC Service Controls.

אפשר להגביל את Policy Simulator API באמצעות גבולות גזרה כשמדמים מדיניות ארגונית או מדיניות הרשאה ומדיניות דחייה.

אפשר לדמות את מדיניות הארגון בתוך גבולות השירות, כפי שמצופה.

ישות מורשית יכולה לבצע סימולציה של מדיניות הרשאה רק אם משאבים מסוימים שמשתתפים בסימולציה נמצאים באותם גבולות גזרה. יש כמה משאבים שמשתתפים בהדמיה של מדיניות הרשאה:

• המשאב שמדיניות ההרשאות שלו מדמה. המשאב הזה נקרא גם משאב היעד. במסוף Google Cloud , זה המשאב שמדיניות ההרשאות שלו נערכת. ב-CLI של gcloud וב-API בארכיטקטורת REST, מציינים במפורש את המשאב הזה כשמדמים מדיניות הרשאה.

• הפרויקט, התיקייה או הארגון שיוצרים ומריצים את הסימולציה. המשאב הזה נקרא גם משאב המארח. במסוף Google Cloud וב-CLI של gcloud, המשאב הזה מוסק על סמך הפרויקט, התיקייה או הארגון שבחרתם. ב-REST API, מציינים את המשאב הזה באמצעות הכותרת x-goog-user-project.

  יכול להיות שהמשאב הזה יהיה זהה למשאב שאתם מדמים את הגישה אליו, אבל זה לא חובה.

• המשאב שמספק יומני גישה לסימולציה. בסימולציה, תמיד יש משאב אחד שמספק יומני גישה לסימולציה. המשאב הזה משתנה בהתאם לסוג משאב היעד:

  • אם אתם מדמים מדיניות הרשאות לפרויקט או לארגון, כלי סימולטור המדיניות מאחזר את יומני הגישה של הפרויקט או הארגון.
  • אם אתם מדמים מדיניות הרשאות לסוג אחר של משאב, הכלי Policy Simulator מאחזר את יומני הגישה של הפרויקט או הארגון שנמצאים מעל למשאב בהיררכיית המשאבים.
  • אם מדמים מדיניות הרשאות של כמה משאבים בו-זמנית, הכלי Policy Simulator מאחזר את יומני הגישה של הפרויקט או הארגון המשותפים הקרובים ביותר למשאבים.
• כל המשאבים הנתמכים עם כללי מדיניות הרשאה רלוונטיים. כשמריצים סימולציה בסימולטור המדיניות, הוא בודק את כל מדיניות ההרשאות שעשויה להשפיע על הגישה של המשתמש, כולל מדיניות הרשאות במשאבי האב והצאצא של משאב היעד. כתוצאה מכך, גם ישויות האב והצאצא האלה מעורבות בסימולציות.

אם משאב היעד ומשאב המארח לא נמצאים באותם גבולות גזרה, הבקשה תיכשל.

אם משאב היעד והמשאב שמספק יומני גישה לסימולציה לא נמצאים באותם גבולות גזרה, הבקשה תיכשל.

אם משאב היעד וחלק מהמשאבים הנתמכים עם כללי מדיניות הרשאה רלוונטיים לא נמצאים באותו היקף, הבקשה תצליח, אבל יכול להיות שהתוצאות לא יהיו מלאות. לדוגמה, אם מדמים מדיניות של פרויקט בגבול גזרה, התוצאות לא יכללו את מדיניות ההרשאות של הארגון שכולל את הפרויקט, כי ארגונים תמיד נמצאים מחוץ לגבולות הגזרה של VPC Service Controls. כדי לקבל תוצאות מלאות יותר, אפשר להגדיר כללי תעבורת נתונים נכנסת (ingress) וגם יוצאת (egress) לגבולות הגזרה.

מידע נוסף על סימולטור המדיניות זמין במסמכי העזרה של המוצר.

• שירות VPC Service Controls לא תומך בהוספת משאבים ברמת התיקייה או הארגון לאזורי שירות. לכן, אי אפשר להשתמש ב-VPC Service Controls כדי להגן על סימולציות של מדיניות דחייה ברמת התיקייה וברמת הארגון. סימולציות של מדיניות דחייה במשאבים מחוץ לגבולות גזרה לשירות עדיין מחזירות תוצאות מלאות, וסימולציות של מדיניות דחייה במשאבים ברמת הפרויקט מוגנות.

אפשר להגן על ה-API של Essential Contacts באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על אנשי קשר חיוניים זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Essential Contacts עם VPC Service Controls.

אפשר להגן על ה-API של Identity Platform באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Identity Platform מופיע במסמכי המוצר.

• כדי להגן באופן מלא על Identity Platform, צריך להוסיף את Secure Token API ‏ (securetoken.googleapis.com) לגבולות גזרה לשירות כדי לאפשר רענון של אסימונים. ‫securetoken.googleapis.com לא מופיע בדף VPC Service Controls במסוף Google Cloud . אפשר להוסיף את השירות הזה רק באמצעות הפקודה gcloud access-context-manager perimeters update.

• אם האפליקציה משולבת גם עם התכונה של פונקציות חסימה, צריך להוסיף פונקציות Cloud Run‏ (cloudfunctions.googleapis.com) לגבולות גזרה לשירות.

• השימוש באימות רב-שלבי (MFA) שמבוסס על SMS, באימות אימייל או בספקי זהויות של צד שלישי גורם לשליחת נתונים מחוץ להיקף. אם אתם לא משתמשים ב-MFA עם אימות באמצעות SMS, אימות באמצעות אימייל או ספקי זהויות של צד שלישי, כדאי להשבית את התכונות האלה.

אפשר להגן על ה-API של GKE Multi-Cloud באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על GKE Multi-Cloud זמין במסמכי התיעוד של המוצר.

• כדי להגן באופן מלא על GKE Multi-Cloud API, צריך לכלול בגבולות הגזרה גם את Kubernetes Metadata API ‏ (kubernetesmetadata.googleapis.com).

אפשר להגן על GKE On-Prem API באמצעות VPC Service Controls, ואפשר להשתמש ב-API כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על GKE On-Prem API זמין במסמכי העזרה של המוצר.

• כדי להגן באופן מלא על GKE On-Prem API, צריך להוסיף את כל ממשקי ה-API הבאים לגבולות גזרה לשירות:

  • Kubernetes Metadata API ‏ (kubernetesmetadata.googleapis.com)
  • Cloud Monitoring API (monitoring.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)
  שימו לב: שירות VPC Service Controls לא מספק הגנה מפני ייצוא יומנים של Cloud Logging ברמת התיקייה או הארגון.

אתם יכולים ליצור אשכול בסביבה שלכם שמחובר ל-VPC באמצעות Cloud Interconnect או Cloud VPN.

מידע נוסף על Google Distributed Cloud (תוכנה בלבד) לשרת פיזי זמין במסמכי העזרה של המוצר.

• כדי להגן על האשכולות, משתמשים ב-VIP מוגבל ב-Google Distributed Cloud (תוכנה בלבד) עבור bare metal, ומוסיפים את כל ממשקי ה-API הבאים למתחם השירות:

• ‫Artifact Registry API ‏ (artifactregistry.googleapis.com)
• ‫Google Cloud Resource Manager API‏ (cloudresourcemanager.googleapis.com)
• ‫Compute Engine API ‏ (compute.googleapis.com)
• ‫Connect Gateway API ‏ (connectgateway.googleapis.com)
• ‫Google Container Registry API‏ (containerregistry.googleapis.com)
• GKE Connect API ‏ (gkeconnect.googleapis.com)
• GKE Hub API ‏ (gkehub.googleapis.com)
• ‫GKE On-Prem API ‏ (gkeonprem.googleapis.com)
• Cloud IAM API ‏ (iam.googleapis.com)
• Cloud Logging API (logging.googleapis.com)
• Cloud Monitoring API (monitoring.googleapis.com)
• ‫Config Monitoring for Ops API ‏ (opsconfigmonitoring.googleapis.com)
• ‫Service Control API ‏ (servicecontrol.googleapis.com)
• Cloud Storage API (storage.googleapis.com)

אפשר להגן על ה-API של On-Demand Scanning באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על On-Demand Scanning API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של On-Demand Scanning API עם VPC Service Controls.

אפשר להגן על ה-API של Looker (ליבת Google Cloud) באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך service perimeters.

מידע נוסף על Looker (Google Cloud core) זמין במסמכי העזרה של המוצר.

• רק מהדורות Enterprise או Embed של מופעי Looker (ליבת Google Cloud) שמשתמשים בחיבורי IP פרטיים תומכות בתאימות ל-VPC Service Controls. מכונות Looker (Google Cloud core) עם חיבורי IP ציבוריים או עם חיבורי IP ציבוריים ופרטיים לא תומכות בתאימות ל-VPC Service Controls. כדי ליצור מכונה שמשתמשת בקישור דרך IP פרטי, בוחרים באפשרות Private IP (כתובת IP פרטית) בקטע Networking (רשת) בדף Create instance (יצירת מכונה) במסוף Google Cloud .

• כשממקמים או יוצרים מופע של Looker (ליבת Google Cloud) בתוך service perimeter של VPC Service Controls, צריך להסיר את נתיב ברירת המחדל לאינטרנט באמצעות קריאה לשיטה services.enableVpcServiceControls או באמצעות הפעלת הפקודה gcloud הבאה:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
  
  הסרת נתיב ברירת המחדל מגבילה את התעבורה היוצאת רק לשירותים שתואמים ל-VPC Service Controls. לדוגמה, שליחת אימייל תיכשל כי ה-API שמשמש לשליחת אימייל לא תואם ל-VPC Service Controls.

• אם אתם משתמשים ב-VPC משותף, אתם צריכים לוודא שפרויקט השירות של Looker (Google Cloud core) נכלל באותם גבולות גזרה לשירות כמו פרויקט המארח של ה-VPC המשותף, או ליצור גבולות גזרה מגושרים בין שני הפרויקטים. אם פרויקט השירות של Looker (Google Cloud core) ופרויקט המארח של ה-VPC המשותף לא נמצאים באותו גבולות גזרה או שלא יכולים לתקשר דרך גבולות גזרה מגושרים, יכול להיות שיצירת המופע תיכשל או שהמופע של Looker (Google Cloud core) לא יפעל כראוי.

• אם אתם משתמשים ב-Looker Studio Pro או ב-Studio ב-Looker}, אי אפשר להשתמש במחבר Looker כדי להתחבר למופע Looker (Google Cloud core) שנמצא בתוך service perimeter של VPC Service Controls. מידע נוסף על המגבלות של המחבר של Looker זמין בדף התיעוד סקירה כללית של הדרישות, המגבלות והתמיכה בתכונות של המחבר של Looker.

אפשר להגן על ה-API של Public Certificate Authority באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Public Certificate Authority זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Public Certificate Authority עם VPC Service Controls.

• כדי להשתמש ב-VPC Service Controls עם פעולות אצווה של אחסון, יוצרים גבולות גזרה לשירות כדי להגן על הפרויקט והשירותים הבאים:
  Google Cloud
  • פרויקט Cloud Storage
  • ‫Storage batch operations API (storagebatchoperations.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • אופציונלי: Cloud KMS API‏ (cloudkms.googleapis.com), אם משתמשים בסוג העבודה של עדכוני מפתח הצפנה של אובייקט).
• כדי לאפשר גישה לפעולות אצווה של אחסון מחוץ לגבולות הגזרה, צריך להגדיר מדיניות Ingress.

מידע נוסף על פעולות באצווה ב-Storage זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של פעולות אצווה ב-Storage עם VPC Service Controls.

אפשר להגן על ה-API של Storage Insights באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Storage Insights זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Storage Insights עם VPC Service Controls.

כדי להגן באופן מלא על צינורות הנתונים של Dataflow, צריך לכלול את כל ממשקי ה-API הבאים בגבולות הגזרה:

• Dataflow API ‏ (dataflow.googleapis.com)
• Cloud Scheduler API ‏ (cloudscheduler.googleapis.com)
• Container Registry API ‏ (containerregistry.googleapis.com)

מידע נוסף על צינורות נתונים של Dataflow מופיע במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Dataflow Data Pipelines עם VPC Service Controls.

אפשר להגן על ממשקי ה-API של Security Command Center באמצעות VPC Service Controls, ואפשר להשתמש ב-Security Command Center כרגיל בתוך גבולות גזרה לשירות.

השירותים securitycenter.googleapis.com ו-securitycentermanagement.googleapis.com נכללים בחבילה אחת. כשמגבילים את השירות securitycenter.googleapis.com בגבולות גזרה, השירות securitycentermanagement.googleapis.com מוגבל כברירת מחדל. אי אפשר להוסיף את השירות securitycentermanagement.googleapis.com לרשימת השירותים המוגבלים בהיקף, כי הוא כלול בחבילה עם securitycenter.googleapis.com.

מידע נוסף על Security Command Center זמין במסמכי המוצר.

• שירות VPC Service Controls לא תומך בגישה למשאבי API של Security Command Center ברמת התיקייה או הארגון, ממקורות ומלקוחות שנמצאים בתוך גבולות גזרה לשירות. ‫VPC Service Controls מגן על משאבי Security Command Center API ברמת הפרויקט. אתם יכולים לציין מדיניות יציאה כדי למנוע גישה למשאבי Security Command Center API ברמת הפרויקט מפרויקטים בתוך גבולות הגזרה.
• שירות VPC Service Controls לא תומך בהוספה של משאבי Security Command Center API ברמת התיקייה או הארגון לגבול גזרה של שירות. אי אפשר להשתמש בגבולות גזרה כדי להגן על משאבי Security Command Center API ברמת התיקייה או הארגון. כדי לנהל את ההרשאות של Security Command Center ברמת התיקייה או הארגון, מומלץ להשתמש ב-IAM.
• שירות VPC Service Controls לא תומך בשירות של מצב האבטחה כי משאבי מצב האבטחה (כמו מצבים, פריסות של מצבים ותבניות מוגדרות מראש של מצבים) הם משאבים ברמת הארגון.
• אי אפשר לייצא ממצאים ברמת התיקייה או הארגון ליעדים שנמצאים בתוך גבולות גזרה לשירות.
• שירות VPC Service Controls לא תומך ב-Google Security Operations (Google Security Operations SIEM ו-Google Security Operations SOAR). הפעלת Security Command Center Enterprise בפרויקטים בתוך גבולות גזרה של שירות עלולה להוביל להפרות משירותים לא נתמכים של פעולות אבטחה. אם הגדרתם VPC Service Controls, לפני שאתם יוצרים מופע של Google Security Operations, אתם צריכים להעביר את פרויקט Google Cloud Platform ואת פרויקט Cloud Key Management Service ‏ (Cloud KMS) של מפתחות הצפנה בניהול הלקוח (CMEK) אל מחוץ לגבולות הגזרה של VPC Service Controls.
• צריך להפעיל גישה היקפית בתרחישים הבאים:
  • כשמפעילים את האפשרות לקבל התראות על ממצאים ברמת התיקייה או הארגון, ונושא Pub/Sub נמצא בתוך גבולות גזרה לשירות.
  • כש מייצאים נתונים ל-BigQuery מרמת התיקייה או הארגון, ו-BigQuery נמצא בתוך גבולות גזרה לשירות.
  • כשמשלבים את Security Command Center עם מוצר SIEM או SOAR נתמך של צד שלישי, והמוצר נפרס בתוך גבולות גזרה לשירות בסביבת Google Cloud Platform. בין מערכות SIEM ו-SOAR הנתמכות: Splunk ו-IBM QRadar.
  • כשמפעילים את Assured Open Source Software בתוך גבולות גזרה לשירות.
  • כשרוצים ש זיהוי איומים במכונות וירטואליות יסרוק מכונות וירטואליות בהיקפי השירות.
  • כשרוצים לאפשר ל-הערכת נקודות חולשה Google Cloud לסרוק מכונות וירטואליות בגבולות הגזרה שלכם.
  • כדי להשתמש ב-זיהוי איומים בקונטיינר, צריך להעניק לחשבון השירות של זיהוי איומים בקונטיינר גישה נכנסת לגבולות גזרה לשירות.
  • כשרוצים ש- Event Threat Detection יעקוב אחרי זרמי רישום ביומן ב-Security Command Center בתוך גבולות של VPC Service Controls.
  • כשרוצים להשתמש ב- Mandiant Attack Surface Management ב-Security Command Center בתוך גבולות גזרה של VPC Service Controls.

אפשר להגן על ה-API של Cloud Customer Care באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Cloud Customer Care זמין במאמרי העזרה של המוצר.

אפשר להגן על ה-API של אפליקציות AI – חיפוש מבוסס-Vertex AI – באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על אפליקציות AI – חיפוש מבוסס-Vertex AI – זמין במסמכי המוצר.

כדי לוודא ש-Confidential Space פועל בצורה תקינה בגבולות גזרה, צריך להגדיר כללי יציאה.

• אם Confidential Space צריך לגשת לקטגוריות של Cloud Storage מחוץ לגבולות גזרה, צריך ליצור כלל תעבורת נתונים יוצאת (egress) כדי לאפשר גישה לקטגוריות האלה.
• אם אתם מפעילים את Confidential Space API במשאבי Compute Engine מחוץ לגבולות גזרה שלכם, צריך ליצור כלל יציאה כדי לאפשר גישה ל-API הזה.

מידע נוסף על Confidential Space זמין במסמכי המוצר.

כדי להשתמש בהגנה של VPC Service Controls כשמתחברים למסוף הטורי של מכונה וירטואלית (VM), צריך לציין כלל כניסה לגבולות גזרה לשירות. כשמגדירים את כלל הכניסה, רמת הגישה למקור צריכה להיות ערך מבוסס-IP ושם השירות צריך להיות ssh-serialport.googleapis.com. כלל הכניסה נדרש כדי לגשת למסוף הטורי, גם אם בקשת המקור ומשאב היעד נמצאים באותו היקף.

מידע נוסף על מסוף סדרתי זמין במסמכי המוצר.

מידע נוסף על Google Cloud VMware Engine זמין במסמכי המוצר.

במאמר הגדרת VPC Service Controls ל-Dataform מוסבר איך לשלוט בגישה ל-Dataform באמצעות VPC Service Controls.

מידע נוסף על Dataform זמין במסמכי העזרה של המוצר.

השימוש ב-Web Security Scanner וב-VPC Service Controls כפוף לתנאים שונים. פרטים נוספים זמינים בתנאים של כל מוצר.

Web Security Scanner שולח את הממצאים ל-Security Command Center לפי דרישה. אפשר להציג או להוריד את הנתונים ממרכז הבקרה של Security Command Center.

מידע נוסף על Web Security Scanner זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Web Security Scanner עם VPC Service Controls.

• לפני שיוצרים מופעים של VPC Service Controls של Secure Source Manager, צריך להגדיר את Certificate Authority Service עם רשות אישורים פעילה.
• כדי לגשת למופע של VPC Service Controls ב-Secure Source Manager, צריך להגדיר Private Service Connect.

מידע נוסף על Secure Source Manager זמין במסמכי העזרה של המוצר.

• אפשר להתעלם מהפרה של יומן ביקורת SERVICE_NOT_ALLOWED_FROM_VPC שנגרמה בגלל מגבלות של GKE.
• כדי לפתוח את ממשק האינטרנט של VPC Service Controls בדפדפן, הדפדפן צריך גישה לכתובות ה-URL הבאות:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • לדוגמה, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

• אפשר להגן על ממשקי ה-API של Secure Web Proxy באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.
• אם אתם מקצים לשרת הפרוקסי שלכם אישור, אתם צריכים לכלול גם את Certificate Manager API ‏ (certificatemanager.googleapis.com) בגבולות גזרה לשירות.
• אם מפעילים בדיקת TLS לשרת ה-proxy, צריך לכלול גם את Certificate Authority Service API ‏ (privateca.googleapis.com) בגבולות גזרה לשירות.

מידע נוסף על Secure Web Proxy זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של Secure Web Proxy עם VPC Service Controls.

אפשר להגן על ה-API של מפתחות API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על מפתחות API זמין במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של מפתחות API עם VPC Service Controls.

אפשר להגן על Cloud Controls Partner API באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Partner console ב-Sovereign Controls by Partners זמין בתיעוד המוצר.

אפשר להגן על ה-API של מיקרו-שירותים באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על מיקרו-שירותים מופיע במסמכי העזרה של המוצר.

אין מגבלות ידועות לשילוב של מיקרו-שירותים עם VPC Service Controls.

השירותים earthengine.googleapis.com ו-earthengine-highvolume.googleapis.com נמכרים בחבילה. כשמגבילים את השירות earthengine.googleapis.com בגבולות גזרה, השירות earthengine-highvolume.googleapis.com מוגבל כברירת מחדל. אי אפשר להוסיף את השירות earthengine-highvolume.googleapis.com לרשימת השירותים המוגבלים בהיקף, כי הוא כלול בחבילה עם earthengine.googleapis.com.

מידע נוסף על Earth Engine זמין במסמכי העזרה של המוצר.

‫App Hub מאפשר לכם לגלות משאבי תשתית ולארגן אותם באפליקציות. אתם יכולים להשתמש בגבולות גזרה של VPC Service Controls כדי להגן על המשאבים של App Hub.

מידע נוסף על App Hub זמין במסמכי העזרה של המוצר.

אפשר להגן על Cloud Code API באמצעות VPC Service Controls. כדי להשתמש בתכונות מבוססות-Gemini ב-Cloud Code, צריך להגדיר מדיניות Ingress שתאפשר תנועה מלקוחות סביבת פיתוח משולבת (IDE). פרטים נוספים זמינים במסמכי התיעוד של Gemini.

מידע נוסף על Cloud Code זמין במסמכי התיעוד של המוצר.

אין מגבלות ידועות לשילוב של Cloud Code עם VPC Service Controls.

גבולות הגזרה של VPC Service Controls מגנים על Commerce Org Governance API בשוק הפרטי של Google.

מידע נוסף על Commerce Org Governance API זמין במסמכי המוצר.

כדי להגביל את תנועת האינטרנט, משתמשים במדיניות הארגון. מפעילים את השיטות CREATE או UPDATE של Google Cloud Contact Center as a Service API כדי להחיל את ההגבלות של מדיניות הארגון באופן ידני.

מידע נוסף על Google Cloud Contact Center as a Service זמין במסמכי המוצר.

אין מגבלות ידועות לשילוב של Google Cloud Contact Center as a Service עם VPC Service Controls.

אפשר להגן על ה-API של Privileged Access Manager באמצעות VPC Service Controls, ואפשר להשתמש במוצר כרגיל בתוך גבולות גזרה לשירות.

מידע נוסף על Privileged Access Manager זמין במסמכי המוצר.