Produk yang didukung dan batasan
Tetap teratur dengan koleksi
Simpan dan kategorikan konten berdasarkan preferensi Anda.
Halaman ini berisi tabel produk dan layanan yang didukung oleh Kontrol Layanan VPC, serta daftar batasan yang diketahui pada layanan dan antarmuka tertentu.
Mencantumkan semua layanan yang didukung
Untuk mengambil daftar lengkap semua produk dan layanan yang didukung Kontrol Layanan VPC, jalankan perintah berikut:
gcloud access-context-manager supported-services list
Anda akan mendapatkan respons berupa daftar produk dan layanan.
NAME TITLE SERVICE_SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Respons ini mencakup nilai berikut:
Nilai
Deskripsi
SERVICE_ADDRESS
Nama layanan produk atau layanan. Misalnya, aiplatform.googleapis.com.
SERVICE_NAME
Nama produk atau layanan. Misalnya, Vertex AI API.
SERVICE_STATUS
Status integrasi layanan dengan Kontrol Layanan VPC. Berikut adalah kemungkinan nilainya:
GA: Integrasi layanan sepenuhnya didukung oleh perimeter Kontrol Layanan VPC.
PREVIEW: Integrasi layanan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan produksi oleh perimeter Kontrol Layanan VPC.
DEPRECATED: Integrasi layanan dijadwalkan untuk dinonaktifkan dan dihapus.
RESTRICTED_VIP_STATUS
Menentukan apakah integrasi layanan dengan Kontrol Layanan VPC didukung oleh VIP terbatas. Berikut adalah kemungkinan nilainya:
TRUE: Integrasi layanan sepenuhnya didukung oleh VIP terbatas dan dapat dilindungi oleh perimeter Kontrol Layanan VPC.
FALSE: Integrasi layanan tidak didukung oleh VIP terbatas.
Menentukan apakah integrasi layanan dengan Kontrol Layanan VPC memiliki batasan. Berikut adalah kemungkinan nilainya:
TRUE: Integrasi layanan dengan Kontrol Layanan VPC memiliki batasan yang diketahui. Anda dapat memeriksa entri yang sesuai untuk layanan di tabel Produk yang didukung untuk mengetahui lebih lanjut batasan ini.
FALSE: Integrasi layanan dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Mencantumkan metode yang didukung untuk layanan
Untuk mengambil daftar metode dan izin yang didukung oleh Kontrol Layanan VPC
untuk suatu layanan, jalankan perintah berikut:
Dalam respons ini, METHODS_LIST mencantumkan semua metode dan izin yang didukung oleh VPC Service Controls untuk layanan yang ditentukan. Untuk mengetahui daftar lengkap semua metode dan izin layanan yang didukung, lihat Pembatasan metode layanan yang didukung.
Untuk mengetahui informasi tentang metode layanan yang tidak dapat dikontrol oleh Kontrol Layanan VPC, lihat Pengecualian metode layanan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
config.googleapis.com
Detail
Untuk mengetahui informasi selengkapnya tentang Infrastructure Manager, lihat
dokumentasi produk.
Batasan
Untuk menggunakan Infrastructure Manager dalam perimeter:
Anda harus menggunakan kumpulan pribadi Cloud Build untuk kumpulan pekerja yang digunakan oleh Infrastructure Manager. Anda harus
menggunakan penyedia Terraform yang dikelola Infra Manager untuk Google Cloud
jika tidak ingin mengaktifkan panggilan internet publik
untuk mendownload penyedia dan konfigurasi Terraform yang dikelola HashiCorp. Anda tidak dapat menggunakan
kumpulan pekerja Cloud Build default.
Berikut ini harus berada dalam perimeter yang sama:
Akun layanan yang digunakan Infrastructure Manager.
Kumpulan pekerja Cloud Build yang digunakan Infrastructure Manager.
Bucket penyimpanan yang digunakan Infrastructure Manager. Anda dapat menggunakan bucket penyimpanan default.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
designcenter.googleapis.com
Detail
API untuk Pusat Desain Aplikasi dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Pusat Desain Aplikasi, lihat
dokumentasi produk.
Batasan
Untuk menggunakan Pusat Desain Aplikasi di perimeter:
Anda harus menggunakan kumpulan pribadi Cloud Build untuk kumpulan pekerja yang digunakan oleh Pusat Desain Aplikasi.
Aktifkan panggilan internet publik
untuk mendownload penyedia dan konfigurasi Terraform yang dikelola HashiCorp. Anda tidak dapat menggunakan
kumpulan pekerja Cloud Build default.
Resource berikut harus dibatasi dalam perimeter yang sama:
Project pengelolaan tempat Anda menyiapkan Pusat Desain Aplikasi.
Kumpulan pekerja Cloud Build yang digunakan App Design Center.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workloadmanager.googleapis.com
Detail
Untuk menggunakan Workload Manager di perimeter Kontrol Layanan VPC:
Anda harus menggunakan kumpulan pekerja pribadi Cloud Build
untuk lingkungan deployment di Workload Manager.
Anda tidak dapat menggunakan kumpulan pekerja Cloud Build default.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
netapp.googleapis.com
Detail
API untuk Google Cloud NetApp Volumes dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Google Cloud NetApp Volumes, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mencakup jalur dataplane seperti operasi baca dan tulis Network File System (NFS) dan Server Message Block (SMB). Selain itu, jika project host dan layanan dikonfigurasi dalam perimeter yang berbeda, Anda dapat mengalami gangguan dalam penerapan layanan Google Cloud .
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudsearch.googleapis.com
Detail
Google Cloud Search mendukung Kontrol Keamanan Virtual Private Cloud (Kontrol Layanan VPC) untuk meningkatkan
keamanan data Anda. Kontrol Layanan VPC memungkinkan Anda menentukan perimeter keamanan di seputar resource Google Cloud Platform untuk membatasi data dan membantu mengurangi risiko pemindahan data yang tidak sah.
Untuk mengetahui informasi selengkapnya tentang Google Cloud Search, lihat
dokumentasi produk.
Batasan
Karena resource Cloud Search tidak disimpan dalam project Google Cloud , Anda harus
memperbarui setelan pelanggan Cloud Search dengan project yang dilindungi perimeter VPC. Project VPC berfungsi sebagai container project virtual untuk semua resource Cloud Search Anda.
Tanpa membuat pemetaan ini, Kontrol Layanan VPC tidak akan berfungsi untuk Cloud Search API.
Prediksi batch tidak
didukung saat Anda menggunakan AI Platform Prediction di dalam perimeter layanan.
AI Platform Prediction dan AI Platform Training menggunakan
AI Platform Training and Prediction API, jadi Anda harus mengonfigurasi Kontrol Layanan VPC untuk
kedua produk tersebut. Baca selengkapnya cara menyiapkan Kontrol Layanan VPC untuk
Pelatihan AI Platform.
Pelatihan dengan TPU tidak didukung
saat Anda menggunakan AI Platform Training di dalam perimeter layanan.
AI Platform Training dan AI Platform Prediction menggunakan
AI Platform Training and Prediction API, jadi Anda harus mengonfigurasi Kontrol Layanan VPC untuk
kedua produk tersebut. Baca selengkapnya tentang menyiapkan Kontrol Layanan VPC untuk
Prediksi AI Platform.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
alloydb.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi AlloyDB API.
Untuk mengetahui informasi selengkapnya tentang AlloyDB untuk PostgreSQL, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Admin API AlloyDB untuk PostgreSQL. Akses ini tidak melindungi
akses data berbasis IP ke database pokok (seperti instance AlloyDB untuk PostgreSQL). Untuk membatasi akses IP publik di instance AlloyDB untuk PostgreSQL, gunakan batasan kebijakan organisasi.
Sebelum mengonfigurasi Kontrol Layanan VPC untuk AlloyDB for PostgreSQL, aktifkan Service Networking
API.
Saat Anda menggunakan AlloyDB for PostgreSQL dengan VPC Bersama dan Kontrol Layanan VPC, project host dan project layanan harus berada di perimeter layanan Kontrol Layanan VPC yang sama.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
visionai.googleapis.com
Detail
API untuk Vertex AI Vision dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Vertex AI Vision, lihat
dokumentasi produk.
Batasan
Jika constraints/visionai.disablePublicEndpoint aktif, kami akan menonaktifkan endpoint publik cluster. Pengguna harus terhubung secara manual ke target PSC dan mengakses layanan dari jaringan pribadi. Anda bisa mendapatkan target PSC dari
resource
cluster.
Traffic ke Vertex AI in Firebase API dimaksudkan untuk
berasal dari klien seluler atau browser, yang akan selalu berada
di luar perimeter layanan. Jadi, Anda perlu mengonfigurasi
kebijakan ingress eksplisit.
Jika Anda perlu terhubung ke Vertex AI API dari dalam
perimeter layanan saja, pertimbangkan untuk menggunakan
Vertex AI API secara langsung atau melalui salah satu SDK server,
Firebase Genkit, atau salah satu layanan lain yang tersedia untuk
mengakses sisi server Vertex AI API.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
apihub.googleapis.com
Detail
API untuk hub API Apigee dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang hub API Apigee, lihat
dokumentasi produk.
Batasan
Semua project runtime Apigee yang terkait dengan instance hub API harus berada dalam perimeter layanan Kontrol Layanan VPC yang sama dengan project host hub API.
Untuk mengetahui informasi selengkapnya tentang berbagi BigQuery, lihat
dokumentasi produk.
Batasan
Berbagi BigQuery tidak mendukung aturan berbasis metode dan Anda
harus mengizinkan semua metode. Untuk mengetahui informasi selengkapnya, lihat
batasan berbagi aturan Kontrol Layanan VPC.
API untuk Cloud Service Mesh dapat dilindungi oleh Kontrol Layanan VPC, dan produk
dapat digunakan secara normal di dalam perimeter layanan.
Anda dapat menggunakan mesh.googleapis.com untuk mengaktifkan API yang diperlukan untuk Cloud Service Mesh.
Anda tidak perlu membatasi mesh.googleapis.com di perimeter karena tidak mengekspos API apa pun.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
artifactregistry.googleapis.com
Detail
Selain melindungi Artifact Registry API,
Artifact Registry dapat digunakan di dalam perimeter layanan
dengan GKE dan Compute Engine.
Untuk mengetahui informasi selengkapnya tentang Artifact Registry, lihat
dokumentasi produk.
Batasan
Untuk repositori Artifact Registry yang menggunakan domain pkg.dev, Anda harus
mengonfigurasi DNS
untuk *.pkg.dev agar dipetakan ke private.googleapis.com atau restricted.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat Mengamankan
repositori di perimeter layanan.
Selain artefak di dalam perimeter yang tersedia untuk
Artifact Registry, repositori hanya baca berikut tersedia untuk semua project
terlepas dari perimeter layanan:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dalam semua kasus, versi regional dari repositori ini juga
tersedia.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
assuredworkloads.googleapis.com
Detail
API untuk Assured Workloads dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Assured Workloads, lihat
dokumentasi produk.
Batasan
Integrasi Assured Workloads dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
automl.googleapis.com, eu-automl.googleapis.com
Detail
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Compute Engine API (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
Untuk mengetahui informasi selengkapnya tentang AutoML Translation, lihat
dokumentasi produk.
Batasan
Semua produk AutoML yang terintegrasi dengan Kontrol Layanan VPC menggunakan nama
layanan yang sama.
Anda tidak dapat menambahkan endpoint regional yang didukung,
seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam perimeter.
Saat Anda melindungi layanan automl.googleapis.com, perimeter juga melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Untuk mengetahui informasi selengkapnya, lihat batasan penggunaan produk AutoML dengan Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Tidak. API untuk Solusi Bare Metal tidak dapat dilindungi oleh perimeter layanan.
Namun, Solusi Bare Metal dapat digunakan secara normal dalam project di dalam perimeter.
Detail
Bare Metal Solution API dapat ditambahkan ke perimeter yang aman. Namun, perimeter Kontrol Layanan VPC tidak mencakup lingkungan Solusi Bare Metal di ekstensi regional.
Untuk mengetahui informasi selengkapnya tentang Solusi Bare Metal, lihat
dokumentasi produk.
Batasan
Menghubungkan Kontrol Layanan VPC ke lingkungan Solusi Bare Metal Anda
tidak menjamin kontrol layanan apa pun.
Untuk mengetahui informasi selengkapnya tentang batasan Solusi Bare Metal terkait Kontrol Layanan VPC, lihat
Masalah
dan batasan yang diketahui.
Saat Anda melindungi BigQuery API
menggunakan perimeter layanan, BigQuery Storage API (bigquerystorage.googleapis.com), BigQuery Reservation API (bigqueryreservation.googleapis.com), dan
BigQuery Connection API (bigqueryconnection.googleapis.com) juga dilindungi. Anda tidak perlu menambahkan API ini secara terpisah ke daftar layanan yang dilindungi perimeter Anda.
Untuk mengetahui informasi selengkapnya tentang BigQuery, lihat
dokumentasi produk.
Batasan
Entri log audit BigQuery tidak selalu menyertakan semua
resource yang digunakan saat permintaan dibuat, karena layanan
secara internal memproses akses ke beberapa resource.
Saat mengakses instance BigQuery yang dilindungi oleh perimeter
layanan, tugas BigQuery harus dijalankan dalam project
di dalam perimeter, atau dalam project yang diizinkan oleh aturan
keluar perimeter. Secara default, library klien BigQuery menjalankan tugas dalam project akun layanan atau pengguna, sehingga kueri ditolak oleh Kontrol Layanan VPC.
BigQuery memblokir penyimpanan hasil kueri ke Google Drive dari
perimeter yang dilindungi Kontrol Layanan VPC.
Jika Anda memberikan akses menggunakan aturan masuk dengan akun pengguna
sebagai jenis identitas, Anda tidak dapat melihat penggunaan resource
BigQuery atau penjelajah tugas administratif di halaman
Monitoring. Untuk menggunakan fitur ini, konfigurasikan
aturan ingress yang
menggunakan ANY_IDENTITY sebagai jenis identitas.
Jika Anda memberi pengguna BigQuery akses ke data menggunakan aturan masuk,
pengguna dapat menggunakan konsol Google Cloud untuk membuat kueri dan menyimpan hasilnya ke file
lokal.
Mengakses resource di perimeter Kontrol Layanan VPC tidak diizinkan dalam edisi Standar BigQuery. Kontrol Layanan VPC hanya didukung saat melakukan analisis melalui BigQuery Enterprise, Enterprise Plus, atau On-Demand.
BigQuery Reservation API didukung sebagian.
BigQuery Reservation API, yang membuat resource penetapan, tidak menerapkan
pembatasan perimeter layanan pada penerima penetapan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
bigquerydatatransfer.googleapis.com
Detail
Perimeter layanan hanya melindungi BigQuery Data Transfer Service API. Perlindungan data sebenarnya diterapkan oleh BigQuery. Hal ini dirancang untuk memungkinkan impor data dari berbagai sumber eksternal di luar Google Cloud, seperti Amazon S3, Redshift, Teradata, YouTube, Google Play, dan Google Ads, ke dalam set data BigQuery. Untuk mengetahui informasi tentang
persyaratan Kontrol Layanan VPC untuk memigrasikan data dari Teradata, lihat Persyaratan
Kontrol layanan VPC.
Untuk mengetahui informasi selengkapnya tentang BigQuery Data Transfer Service, lihat
dokumentasi produk.
Batasan
BigQuery Data Transfer Service tidak mendukung ekspor data dari set data BigQuery. Untuk mengetahui informasi selengkapnya,
lihat Mengekspor data tabel.
Untuk mentransfer data antar-project, project tujuan harus berada di dalam
perimeter yang sama dengan project sumber, atau aturan keluar harus mengizinkan transfer
data keluar dari perimeter. Untuk mengetahui informasi tentang cara menetapkan aturan keluar, lihat
Batasan dalam Mengelola
set data BigQuery.
Pelanggaran masuk dan keluar untuk tugas BigQuery yang dimulai oleh
operasi transfer offline berulang BigQuery Data Transfer Service tidak berisi informasi
konteks pengguna seperti alamat IP dan perangkat pemanggil.
BigQuery Data Transfer Service hanya mendukung transfer data ke project yang dilindungi
oleh perimeter layanan menggunakan salah satu konektor yang tercantum di
Sumber data yang didukung. BigQuery Data Transfer Service tidak mendukung transfer data ke dalam
project yang dilindungi oleh perimeter layanan menggunakan konektor yang disediakan oleh
partner pihak ketiga lainnya.
Layanan bigtable.googleapis.com dan bigtableadmin.googleapis.com
dipaketkan bersama. Saat Anda membatasi layanan bigtable.googleapis.com
dalam perimeter, perimeter akan membatasi layanan bigtableadmin.googleapis.com
secara default. Anda tidak dapat menambahkan layanan bigtableadmin.googleapis.com
ke daftar layanan yang dibatasi dalam perimeter karena layanan ini dibundel dengan
bigtable.googleapis.com.
Untuk mengetahui informasi selengkapnya tentang Bigtable, lihat
dokumentasi produk.
Batasan
Integrasi Bigtable dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
binaryauthorization.googleapis.com
Detail
Saat menggunakan beberapa project dengan Otorisasi Biner, setiap project harus disertakan dalam perimeter Kontrol Layanan VPC. Untuk mengetahui informasi selengkapnya tentang kasus penggunaan ini, lihat
Penyiapan multi-project.
Dengan Otorisasi Biner, Anda dapat menggunakan Analisis Artefak untuk menyimpan
pengesah dan pengesahan sebagai catatan dan kejadian. Dalam hal ini, Anda juga harus menyertakan Artifact Analysis dalam perimeter Kontrol Layanan VPC.
Lihat panduan Kontrol Layanan VPC untuk Analisis Artefak
untuk mengetahui detail tambahan.
Untuk mengetahui informasi selengkapnya tentang Otorisasi Biner, lihat
dokumentasi produk.
Batasan
Integrasi Otorisasi Biner dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
blockchainnodeengine.googleapis.com
Detail
API untuk Blockchain Node Engine dapat dilindungi oleh Kontrol Layanan VPC
dan digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Blockchain Node Engine, lihat
dokumentasi produk.
Batasan
Integrasi Blockchain Node Engine dengan Kontrol Layanan VPC memiliki batasan berikut:
Kontrol Layanan VPC hanya melindungi Blockchain Node Engine API.
Saat membuat node, Anda tetap harus menunjukkan bahwa node tersebut ditujukan untuk jaringan pribadi yang dikonfigurasi pengguna dengan
Private Service Connect.
Traffic peer-to-peer tidak terpengaruh oleh Kontrol Layanan VPC atau
Private Service Connect dan akan terus menggunakan internet publik.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
privateca.googleapis.com
Detail
API untuk Layanan Otoritas Sertifikat dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Certificate Authority Service, lihat
dokumentasi produk.
Batasan
Untuk menggunakan Certificate Authority Service di lingkungan yang dilindungi, Anda juga harus menambahkan
Cloud KMS API (cloudkms.googleapis.com) dan Cloud Storage API
(storage.googleapis.com) ke perimeter layanan Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
krmapihosting.googleapis.com
Detail
Untuk menggunakan Config Controller dengan Kontrol Layanan VPC, Anda harus mengaktifkan API berikut di dalam
perimeter Anda:
Cloud Monitoring API (monitoring.googleapis.com)
Container Registry API (containerregistry.googleapis.com)
Google Cloud Observability API (logging.googleapis.com)
Security Token Service API (sts.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Jika Anda menyediakan resource dengan Config Controller, Anda harus mengaktifkan API untuk
resource tersebut di perimeter layanan Anda. Misalnya, jika Anda ingin menambahkan akun layanan IAM, Anda harus menambahkan IAM API (iam.googleapis.com).
Untuk mengetahui informasi selengkapnya tentang Config Controller, lihat
dokumentasi produk.
Batasan
Integrasi Config Controller dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
datafusion.googleapis.com
Detail
Cloud Data Fusion memerlukan beberapa
langkah khusus untuk melindungi
menggunakan Kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang Cloud Data Fusion, lihat
dokumentasi produk.
Batasan
Buat perimeter keamanan Kontrol Layanan VPC sebelum membuat instance pribadi Cloud Data Fusion. Perlindungan perimeter untuk
instance yang dibuat sebelum menyiapkan Kontrol Layanan VPC tidak
didukung.
Saat ini, UI bidang data Cloud Data Fusion tidak mendukung
akses berbasis identitas menggunakan aturan traffic masuk atau
tingkat
akses.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
compute.googleapis.com
Detail
Dukungan Kontrol Layanan VPC untuk Compute Engine menawarkan manfaat keamanan berikut:
Membatasi akses ke operasi API sensitif
Membatasi snapshot persistent disk dan image kustom ke perimeter
Membatasi akses ke metadata instance
Dukungan Kontrol Layanan VPC untuk Compute Engine juga memungkinkan Anda memanfaatkan
jaringan Virtual Private Cloud dan cluster pribadi Google Kubernetes Engine
di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Compute Engine, lihat
dokumentasi produk.
Operasi Peering VPC tidak menerapkan batasan perimeter layanan VPC.
Metode API projects.ListXpnHosts
untuk VPC Bersama tidak menerapkan pembatasan perimeter layanan pada
project yang ditampilkan.
Untuk mengaktifkan pembuatan image Compute Engine dari
Cloud Storage dalam project yang dilindungi oleh
perimeter layanan, pengguna yang membuat image harus ditambahkan
sementara ke aturan ingress perimeter.
Kontrol Layanan VPC tidak mendukung penggunaan Kubernetes versi open source di VM Compute Engine di dalam perimeter layanan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
contactcenterinsights.googleapis.com
Detail
Untuk menggunakan Conversational Insights dengan Kontrol Layanan VPC, Anda harus memiliki API tambahan berikut di dalam perimeter Anda, bergantung pada integrasi Anda.
Untuk memuat data ke Conversational Insights, tambahkan Cloud Storage API ke perimeter layanan Anda.
Untuk menggunakan ekspor, tambahkan BigQuery API ke perimeter layanan Anda.
Untuk mengintegrasikan beberapa produk CCAI, tambahkan Vertex AI API ke perimeter layanan Anda.
Untuk mengetahui informasi selengkapnya tentang Insight Percakapan, lihat
dokumentasi produk.
Batasan
Integrasi Conversational Insights dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dataflow.googleapis.com
Detail
Dataflow mendukung sejumlah
konektor layanan penyimpanan. Konektor berikut telah
diverifikasi agar berfungsi dengan Dataflow di dalam perimeter layanan:
Untuk mengetahui informasi selengkapnya tentang Dataflow, lihat
dokumentasi produk.
Batasan
BIND kustom tidak didukung saat menggunakan Dataflow. Untuk menyesuaikan resolusi DNS saat
menggunakan Dataflow dengan Kontrol Layanan VPC, gunakan zona pribadi Cloud DNS,
bukan menggunakan server BIND kustom. Untuk menggunakan resolusi DNS lokal Anda sendiri, pertimbangkan untuk menggunakan
metode penerusan DNSGoogle Cloud .
Tidak semua konektor layanan penyimpanan telah diverifikasi agar berfungsi saat digunakan
dengan Dataflow di dalam perimeter layanan. Untuk mengetahui daftar
konektor terverifikasi, lihat "Detail" di bagian sebelumnya.
Saat menggunakan Python 3.5 dengan Apache Beam SDK 2.20.0‑2.22.0,
tugas Dataflow akan gagal saat startup jika pekerja hanya memiliki
alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource.
Jika pekerja Dataflow hanya dapat memiliki alamat IP pribadi, seperti saat menggunakan Kontrol Layanan VPC untuk melindungi resource,
jangan gunakan Python 3.5 dengan Apache Beam SDK 2.20.0‑2.22.0. Kombinasi ini menyebabkan tugas gagal saat dimulai.
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dataplex.googleapis.com
Detail
API untuk Katalog Universal Dataplex dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Dataplex Universal Catalog, lihat
dokumentasi produk.
Batasan
Sebelum membuat resource Dataplex Universal Catalog, siapkan perimeter keamanan
Kontrol Layanan VPC. Jika tidak, resource Anda tidak memiliki perlindungan perimeter.
Katalog Universal Dataplex mendukung jenis resource berikut:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
databasecenter.googleapis.com
Detail
API untuk Pusat Database dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Database Center, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung akses ke resource Cloud Asset API tingkat folder atau tingkat organisasi dari resource dan klien di dalam perimeter layanan.
Kontrol Layanan VPC melindungi resource Cloud Asset API tingkat project. Anda dapat menentukan
kebijakan traffic keluar untuk mengizinkan akses ke resource Cloud Asset API tingkat project dari project
di dalam perimeter. Untuk mengelola izin Pusat Database di tingkat folder
atau tingkat organisasi, sebaiknya gunakan IAM.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
datamigration.googleapis.com
Detail
API untuk Database Migration Service dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Database Migration Service, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Database Migration Service Admin API. Akses ini tidak melindungi
akses data berbasis IP ke database pokok (seperti instance Cloud SQL). Untuk membatasi akses IP publik di instance Cloud SQL, gunakan batasan kebijakan organisasi.
Saat Anda menggunakan file Cloud Storage dalam fase dump awal migrasi,
tambahkan bucket Cloud Storage ke perimeter layanan yang sama.
Saat Anda menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) di database tujuan, pastikan CMEK berada di perimeter layanan yang sama dengan profil koneksi yang berisi kunci.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dlp.googleapis.com
Detail
API untuk Sensitive Data Protection dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Sensitive Data Protection, lihat
dokumentasi produk.
Batasan
Karena Kontrol Layanan VPC saat ini tidak mendukung resource folder dan organisasi, panggilan Sensitive Data Protection dapat menampilkan respons 403 saat mencoba mengakses resource tingkat organisasi. Sebaiknya IAM digunakan untuk mengelola
izin Perlindungan Data Sensitif di tingkat folder dan organisasi.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
dns.googleapis.com
Detail
API untuk Cloud DNS dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud DNS, lihat
dokumentasi produk.
Batasan
Anda dapat mengakses Cloud DNS melalui VIP yang dibatasi. Namun, Anda tidak dapat membuat atau mengupdate zona DNS publik dalam project di dalam perimeter Kontrol Layanan VPC.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
domains.googleapis.com
Detail
API untuk Cloud Domains dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Domains, lihat
dokumentasi produk.
Data konfigurasi DNS yang digunakan di
Cloud Domains—server nama
dan setelan DNSSEC—bersifat
publik. Jika domain Anda didelegasikan ke zona DNS publik, yang merupakan
default, maka data konfigurasi DNS zona tersebut juga bersifat publik.
API Lanjutan Eventarc dapat dilindungi dengan Kontrol Layanan VPC,
dan fitur dapat digunakan secara normal di dalam perimeter layanan.
Bus Lanjutan Eventarc di luar perimeter layanan tidak dapat menerima
peristiwa dari project Google Cloud Platform di dalam perimeter. Bus Eventarc Advanced
di dalam perimeter tidak dapat merutekan peristiwa ke konsumen di luar perimeter.
Untuk memublikasikan ke bus Eventarc Advanced, sumber peristiwa
harus berada di dalam perimeter layanan yang sama dengan bus.
Untuk menggunakan pesan, konsumen peristiwa harus berada di dalam perimeter layanan yang sama dengan
bus.
Anda dapat memverifikasi dukungan Kontrol Layanan VPC untuk resource Enrollment,
GoogleApiSource, MessageBus, dan Pipeline
dengan melihat log platform pada ingress.
Untuk mengetahui informasi selengkapnya tentang Eventarc Advanced, lihat
dokumentasi produk.
Batasan
Integrasi Eventarc Advanced dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Eventarc Standar menangani pengiriman peristiwa menggunakan topik Pub/Sub dan langganan push. Untuk mengakses Pub/Sub API dan mengelola pemicu peristiwa, Eventarc API harus dilindungi dalam perimeter layanan Kontrol Layanan VPC yang sama dengan Pub/Sub API.
Untuk mengetahui informasi selengkapnya tentang Eventarc Standard, lihat
dokumentasi produk.
Batasan
Di project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:
Eventarc Standar terikat oleh batasan yang sama seperti Pub/Sub:
Saat merutekan peristiwa ke target Cloud Run, langganan push Pub/Sub
baru tidak dapat dibuat kecuali jika endpoint push disetel ke
layanan Cloud Run dengan URL run.app default (domain
kustom tidak berfungsi).
Saat merutekan peristiwa ke target Workflows yang
endpoint push Pub/Sub-nya ditetapkan ke eksekusi
Workflows, Anda hanya dapat membuat langganan push Pub/Sub
baru melalui Eventarc Standard.
Kontrol Layanan VPC memblokir pembuatan pemicu Standar Eventarc untuk
endpoint HTTP
internal. Perlindungan Kontrol Layanan VPC tidak berlaku saat merutekan
peristiwa ke tujuan tersebut.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebaseappcheck.googleapis.com
Detail
Saat Anda mengonfigurasi dan menukar token Firebase App Check, VPC Service Controls hanya melindungi layanan Firebase App Check. Untuk melindungi layanan yang mengandalkan
Firebase App Check, Anda harus menyiapkan perimeter layanan untuk layanan tersebut.
Untuk mengetahui informasi selengkapnya tentang Firebase App Check, lihat
dokumentasi produk.
Batasan
Integrasi Firebase App Check dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebaseapphosting.googleapis.com
Detail
Kontrol Layanan VPC membantu melindungi permintaan ke App Hosting API. Namun,
pembatasan Kontrol Layanan VPC tidak berlaku untuk permintaan ke situs yang di-deploy di
App Hosting.
Untuk mengetahui informasi selengkapnya tentang Firebase App Hosting, lihat
dokumentasi produk.
Batasan
Situs yang di-deploy di App Hosting tersedia di internet publik dan tidak dapat
dibatasi dalam perimeter layanan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebasedataconnect.googleapis.com
Detail
Perimeter layanan hanya melindungi Firebase Data Connect API. Mereka tidak
melindungi akses ke sumber data pokok (seperti instance Cloud SQL).
Membatasi akses pada instance database harus dikonfigurasi secara terpisah.
Untuk mengetahui informasi selengkapnya tentang Firebase Data Connect, lihat
dokumentasi produk.
Batasan
Integrasi Firebase Data Connect dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
firebaserules.googleapis.com
Detail
Saat Anda mengelola kebijakan Aturan Keamanan Firebase, Kontrol Layanan VPC hanya melindungi layanan Aturan Keamanan Firebase. Untuk melindungi layanan yang mengandalkan
Aturan Keamanan Firebase, Anda harus menyiapkan perimeter layanan untuk layanan tersebut.
Untuk mengetahui informasi selengkapnya tentang Aturan Keamanan Firebase, lihat
dokumentasi produk.
Batasan
Integrasi Aturan Keamanan Firebase dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudfunctions.googleapis.com
Detail
Lihat dokumentasi Cloud Run Functions
untuk mengetahui langkah-langkah penyiapan. Perlindungan Kontrol Layanan VPC tidak berlaku untuk fase build saat
fungsi Cloud Run dibangun menggunakan Cloud Build. Untuk mengetahui detail selengkapnya, lihat batasan yang diketahui.
Untuk mengetahui informasi selengkapnya tentang Cloud Run Functions, lihat
dokumentasi produk.
Batasan
Fungsi Cloud Run menggunakan Cloud Build, Container Registry, dan
Cloud Storage untuk membangun dan mengelola kode sumber Anda dalam container yang dapat dijalankan. Jika
salah satu layanan ini dibatasi oleh perimeter layanan, Kontrol Layanan VPC
akan memblokir build fungsi Cloud Run, meskipun fungsi Cloud Run tidak ditambahkan sebagai
layanan yang dibatasi ke perimeter. Untuk menggunakan fungsi Cloud Run di dalam perimeter layanan, Anda harus mengonfigurasi aturan ingress untuk akun layanan Cloud Build di perimeter layanan Anda.
Agar fungsi Anda dapat menggunakan dependensi eksternal seperti paket npm, Cloud Build memiliki akses internet tak terbatas. Akses internet ini dapat digunakan untuk mengekstrak data yang tersedia pada waktu build, seperti kode sumber yang Anda upload. Jika Anda ingin memitigasi vektor
pemindahan data yang tidak sah ini, sebaiknya izinkan hanya developer tepercaya untuk men-deploy
fungsi. Jangan berikan
peran IAM Pemilik, Editor, atau Developer Cloud Run Functions
kepada developer yang tidak tepercaya.
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk men-deploy Cloud Run Functions dari mesin lokal.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
Saat layanan fungsi Cloud Run dipanggil oleh pemicu HTTP, penegakan kebijakan Kontrol Layanan VPC tidak menggunakan informasi autentikasi IAM klien. Aturan kebijakan ingress Kontrol Layanan VPC yang menggunakan akun utama IAM
tidak didukung. Tingkat akses perimeter Kontrol Layanan VPC yang menggunakan
akun utama IAM tidak didukung.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
iam.googleapis.com
Detail
Saat Anda membatasi IAM dengan perimeter, hanya tindakan
yang menggunakan Identity and Access Management API yang akan dibatasi. Tindakan ini
mencakup hal berikut:
Mengelola peran IAM kustom
Mengelola workload identity pool
Mengelola akun layanan dan kunci
Mengelola kebijakan penolakan
Mengelola binding kebijakan untuk kebijakan batas akses utama
Perimeter tidak membatasi tindakan yang terkait dengan kumpulan tenaga kerja dan kebijakan batas akses utama karena resource tersebut dibuat di tingkat organisasi.
Perimeter juga tidak membatasi pengelolaan kebijakan izin untuk
resource yang dimiliki oleh layanan lain, seperti project, folder, dan
organisasi Resource Manager atau instance mesin virtual Compute Engine. Untuk membatasi pengelolaan kebijakan izinkan untuk resource ini,
buat perimeter yang membatasi layanan yang memiliki resource tersebut.
Untuk daftar resource yang menerima kebijakan izinkan dan layanan yang memilikinya, lihat Jenis resource yang menerima kebijakan izinkan.
Selain itu, perimeter di sekitar IAM tidak
membatasi tindakan yang menggunakan API lain, termasuk yang berikut:
API Policy Simulator IAM
IAM Policy Troubleshooter API
Security Token Service API
Service Account Credentials API (termasuk metode signBlob dan
signJwt lama di IAM API)
Untuk mengetahui informasi selengkapnya tentang Identity and Access Management, lihat
dokumentasi produk.
Batasan
Jika berada di dalam perimeter, Anda tidak dapat memanggil
metode roles.list dengan
string kosong untuk mencantumkan peran bawaan IAM. Jika Anda perlu melihat
peran bawaan, lihat
dokumentasi peran IAM.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Tidak. API untuk Service Networking tidak dapat dilindungi oleh perimeter layanan.
Namun, Service Networking dapat digunakan secara normal di project di dalam perimeter.
Detail
Jika Anda menggunakan akses layanan pribadi, sebaiknya aktifkan Kontrol Layanan VPC untuk koneksi Jaringan Layanan.Jika Anda mengaktifkan Kontrol Layanan VPC, produsen layanan hanya dapat mengakses API yang didukung oleh Kontrol Layanan VPC melalui koneksi Jaringan Layanan.
Anda dapat mengaktifkan Kontrol Layanan VPC untuk Service Networking hanya menggunakan EnableVpcServiceControls API. Anda dapat menonaktifkan Kontrol Layanan VPC untuk Service Networking hanya menggunakan DisableVpcServiceControls API.
Untuk mengetahui informasi selengkapnya tentang Service Networking, lihat
dokumentasi produk.
Batasan
Integrasi Service Networking dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudkms.googleapis.com
Detail
Cloud KMS API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan di dalam perimeter layanan. Akses ke layanan Cloud HSM juga dilindungi
oleh Kontrol Layanan VPC dan dapat digunakan di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Key Management Service, lihat
dokumentasi produk.
Batasan
Integrasi Cloud Key Management Service dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudaicompanion.googleapis.com
Detail
API untuk Gemini Code Assist dapat dilindungi oleh Kontrol Layanan VPC
dan produk dapat digunakan secara normal di dalam perimeter layanan. Ini termasuk
penyesuaian kode.
Untuk mengetahui informasi selengkapnya tentang Gemini Code Assist, lihat
dokumentasi produk.
Batasan
Kontrol akses berdasarkan perangkat, alamat IP publik, atau lokasi tidak
didukung untuk Gemini di konsol Google Cloud .
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
iaptunnel.googleapis.com
Detail
API untuk Identity-Aware Proxy untuk TCP dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Identity-Aware Proxy untuk TCP, lihat
dokumentasi produk.
Batasan
Hanya API penggunaan IAP untuk TCP yang dapat dilindungi oleh perimeter.
Administrative API tidak dapat dilindungi oleh perimeter.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
lifesciences.googleapis.com
Detail
API untuk Cloud Life Sciences dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Life Sciences, lihat
dokumentasi produk.
Batasan
Integrasi Cloud Life Sciences dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
pubsub.googleapis.com
Detail
Perlindungan Kontrol Layanan VPC berlaku untuk semua operasi administrator, operasi penayang, dan
operasi pelanggan (kecuali untuk langganan push yang ada).
Untuk mengetahui informasi selengkapnya tentang Pub/Sub, lihat
dokumentasi produk.
Batasan
Di project yang dilindungi oleh perimeter layanan, batasan berikut berlaku:
Langganan push baru tidak dapat dibuat kecuali jika endpoint push ditetapkan ke
layanan Cloud Run dengan URL run.app default atau
eksekusi Workflows
(domain kustom tidak berfungsi). Untuk mengetahui informasi selengkapnya tentang cara berintegrasi dengan Cloud Run, lihat Menggunakan Kontrol Layanan VPC.
Untuk langganan non-push, Anda harus membuat langganan di perimeter yang sama dengan
topik atau mengaktifkan aturan keluar untuk mengizinkan akses dari topik ke langganan.
Saat merutekan peristiwa melalui Eventarc ke target Workflows yang titik push-nya ditetapkan ke eksekusi Workflows, Anda hanya dapat membuat langganan push baru melalui Eventarc.
Langganan Pub/Sub yang dibuat sebelum perimeter layanan tidak diblokir.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
clouddeploy.googleapis.com
Detail
API untuk Cloud Deploy dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Deploy, lihat
dokumentasi produk.
Batasan
Untuk menggunakan Cloud Deploy dalam perimeter, Anda harus menggunakan pool pribadi Cloud Build untuk lingkungan eksekusi target.
Jangan gunakan pool pekerja default (Cloud Build), dan jangan gunakan pool hybrid.
Untuk mengetahui informasi selengkapnya tentang Cloud Composer, lihat
dokumentasi produk.
Batasan
Mengaktifkan serialisasi DAG mencegah Airflow menampilkan template yang dirender dengan fungsi di UI web.
Menetapkan tanda async_dagbag_loader ke True tidak didukung saat serialisasi DAG
diaktifkan.
Mengaktifkan serialisasi DAG akan menonaktifkan semua plugin server web Airflow, karena
dapat membahayakan keamanan jaringan VPC tempat Cloud Composer di-deploy. Hal ini tidak memengaruhi perilaku plugin penjadwal atau pekerja,
termasuk operator dan sensor Airflow.
Saat Cloud Composer berjalan di dalam perimeter, akses ke repositori PyPI publik dibatasi. Dalam dokumentasi Cloud Composer, lihat Menginstal dependensi Python untuk mempelajari cara menginstal modul PyPi dalam mode IP Pribadi.
Cloud Composer tidak mendukung penggunaan
identitas pihak ketiga
dalam aturan ingress dan egress untuk operasi antarmuka web Apache Airflow. Namun, Anda dapat menggunakan jenis identitas ANY_IDENTITY dalam aturan ingress dan egress untuk mengizinkan akses ke semua identitas, termasuk identitas pihak ketiga. Untuk mengetahui informasi selengkapnya tentang jenis identitas ANY_IDENTITY, lihat Aturan ingress dan egress.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudquotas.googleapis.com
Detail
API untuk Kuota Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Kuota Cloud, lihat
dokumentasi produk.
Batasan
Karena Kontrol Layanan VPC menerapkan batas di tingkat project,
permintaan Kuota Cloud yang berasal dari klien dalam
perimeter hanya dapat mengakses resource organisasi jika organisasi menyiapkan
aturan traffic keluar.
Saat meminta
penurunan kuota
, Cloud Quotas akan mengeksekusi panggilan layanan ke layanan (S2S) ke
Monitoring.
Panggilan S2S ini tidak berasal dari dalam perimeter meskipun
permintaan penurunan berasal dari dalam perimeter, sehingga akan diblokir oleh Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
run.googleapis.com
Detail
Penyiapan tambahan untuk Cloud Run diperlukan. Ikuti
petunjuk di halaman dokumentasi VPC Service Controls Cloud Run.
Untuk mengetahui informasi selengkapnya tentang Cloud Run, lihat
dokumentasi produk.
Batasan
Untuk Artifact Registry dan Container Registry, registry tempat Anda menyimpan container
harus berada di perimeter Kontrol Layanan VPC yang sama dengan project yang Anda deploy. Kode yang dibuat harus berada dalam perimeter Kontrol Layanan VPC yang sama dengan registry tempat
container dikirim.
Fitur
deployment berkelanjutan
Cloud Run tidak tersedia untuk project di dalam perimeter Kontrol Layanan VPC.
Saat layanan Cloud Run dipanggil, penegakan kebijakan Kontrol Layanan VPC
tidak menggunakan informasi autentikasi IAM
klien. Permintaan tersebut memiliki batasan berikut:
Aturan kebijakan ingress Kontrol Layanan VPC yang menggunakan akun utama IAM
tidak didukung.
Tingkat akses untuk perimeter Kontrol Layanan VPC yang menggunakan akun utama IAM
tidak didukung.
Permintaan dari project yang sama pada VIP yang tidak dibatasi diizinkan, meskipun
Cloud Run tidak dikonfigurasi sebagai
layanan yang dapat diakses VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudscheduler.googleapis.com
Detail
Kontrol Layanan VPC diterapkan pada tindakan berikut:
Pembuatan tugas Cloud Scheduler
Pembaruan tugas Cloud Scheduler
Untuk mengetahui informasi selengkapnya tentang Cloud Scheduler, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC hanya mendukung tugas Cloud Scheduler
dengan target berikut:
Endpoint Cloud Run run.app
Endpoint functions.net Cloud Run Functions
Google Cloud API yang kompatibel dengan Kontrol Layanan VPC (baik dalam Pratinjau
atau GA)—dapat berada di project Google Cloud yang berbeda dari
job Cloud Scheduler Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
storage.googleapis.com
Detail
API untuk Cloud Storage dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Storage, lihat
dokumentasi produk.
Batasan
Saat menggunakan fitur Requester Pays dengan
bucket penyimpanan di dalam perimeter layanan yang melindungi
layanan Cloud Storage, Anda tidak dapat mengidentifikasi project yang akan membayar yang
di luar perimeter. Project target harus berada di perimeter yang sama
dengan bucket penyimpanan atau di jembatan perimeter dengan project bucket.
Untuk project dalam perimeter layanan, halaman Cloud Storage di konsol Google Cloud tidak dapat diakses jika Cloud Storage API dilindungi oleh perimeter tersebut. Jika ingin memberikan akses ke halaman tersebut, Anda harus membuat aturan ingress dan/atau tingkat akses yang menyertakan akun pengguna dan/atau rentang IP publik yang ingin Anda izinkan untuk mengakses Cloud Storage API.
Dalam catatan log audit, nilai untuk methodName tidak selalu benar. Sebaiknya
jangan memfilter catatan log audit Cloud Storage
menurut methodName.
Dalam kasus tertentu, log bucket lama Cloud Storage dapat ditulis
ke tujuan di luar perimeter layanan meskipun akses ditolak.
Dalam kasus tertentu, objek Cloud Storage yang bersifat publik dapat diakses meskipun
setelah Anda mengaktifkan Kontrol Layanan VPC pada objek tersebut. Objek dapat diakses hingga
masa berlakunya berakhir dari cache bawaan dan cache upstream lainnya di jaringan antara
pengguna akhir dan Cloud Storage. Cloud Storage menyimpan data yang dapat diakses secara publik dalam cache secara default di jaringan Cloud Storage.
Untuk mengetahui informasi selengkapnya tentang cara objek Cloud Storage di-cache,
lihat Cloud Storage
Untuk mengetahui informasi tentang jangka waktu objek dapat di-cache, lihat
Metadata cache-control.
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat
menggunakan ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT sebagai jenis identitas
untuk semua operasi Cloud Storage menggunakan
URL bertanda tangan.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
Kontrol Layanan VPC menggunakan kredensial penandatanganan pengguna atau akun layanan yang menandatangani
URL yang Ditandatangani
untuk mengevaluasi pemeriksaan Kontrol Layanan VPC, bukan kredensial pemanggil atau pengguna yang memulai koneksi.
Kontrol Layanan VPC tidak mendukung penambahan resource tingkat folder atau
tingkat organisasi ke perimeter layanan. Oleh karena itu, meskipun Anda dapat mengaktifkan Storage Intelligence di tingkat folder, organisasi, atau project, Kontrol Layanan VPC hanya melindungi resource tingkat project.
Untuk mengelola Storage Intelligence di tingkat folder atau tingkat organisasi, sebaiknya gunakan IAM.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
sqladmin.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi Cloud SQL Admin API.
Untuk mengetahui informasi selengkapnya tentang Cloud SQL, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Cloud SQL Admin API. Fitur ini
tidak melindungi akses data berbasis IP ke instance Cloud SQL. Anda harus
menggunakan batasan kebijakan organisasi
untuk membatasi akses IP publik di instance Cloud SQL.
Sebelum mengonfigurasi Kontrol Layanan VPC untuk Cloud SQL, aktifkan Service Networking
API.
Impor dan ekspor Cloud SQL hanya dapat melakukan pembacaan dan penulisan dari
bucket Cloud Storage dalam perimeter layanan yang sama dengan
instance replika Cloud SQL.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
vision.googleapis.com
Detail
API untuk Cloud Vision API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Vision API, lihat
dokumentasi produk.
Batasan
Meskipun Anda membuat aturan egress untuk mengizinkan panggilan ke URL publik dari
dalam perimeter Kontrol Layanan VPC, Cloud Vision API memblokir panggilan ke URL publik.
Karena Container Scanning API adalah API tanpa antarmuka yang menyimpan hasilnya
di Artifact Analysis, Anda tidak perlu melindungi API dengan perimeter
layanan.
Untuk mengetahui informasi selengkapnya tentang Artifact Analysis, lihat
dokumentasi produk.
Batasan
Integrasi Analisis Artefak dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containerregistry.googleapis.com
Detail
Selain melindungi Container Registry API, Container Registry dapat digunakan di dalam perimeter layanan dengan GKE dan Compute Engine.
Untuk mengetahui informasi selengkapnya tentang Container Registry, lihat
dokumentasi produk.
Batasan
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk semua operasi Container Registry.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
Selain penampung di dalam perimeter yang tersedia untuk
Container Registry, repositori hanya baca berikut
tersedia untuk semua project, terlepas dari batasan apa pun yang diterapkan oleh perimeter layanan:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/serverless-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
Dalam semua kasus, versi multi-regional dari repositori ini juga
tersedia.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
container.googleapis.com
Detail
Google Kubernetes Engine API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan. Kompatibilitas ini mencakup perlindungan endpoint DNS untuk GKE, yang merupakan layanan untuk mengakses bidang kontrol cluster dan menggunakan domain *.gke.goog.
Saat Anda membatasi layanan container.googleapis.com dalam perimeter, perimeter juga membatasi endpoint DNS untuk GKE.
Untuk mengetahui informasi selengkapnya tentang Google Kubernetes Engine, lihat
dokumentasi produk.
Batasan
Untuk melindungi GKE API sepenuhnya, Anda juga harus menyertakan Kubernetes Metadata API (kubernetesmetadata.googleapis.com) dalam perimeter Anda.
Hanya cluster pribadi yang dapat dilindungi menggunakan Kontrol Layanan VPC. Cluster dengan alamat IP publik tidak didukung oleh Kontrol Layanan VPC.
Entri layanan GKE dalam tabel ini hanya menentukan kontrol
API GKE itu sendiri. GKE mengandalkan beberapa layanan pokok lainnya untuk pengoperasiannya, seperti Compute Engine, Cloud Logging, Cloud Monitoring, dan Autoscaling API (autoscaling.googleapis.com). Untuk mengamankan lingkungan GKE Anda secara efektif dengan Kontrol Layanan VPC, Anda harus memastikan bahwa semua layanan pokok yang diperlukan juga disertakan dalam perimeter layanan Anda. Lihat
dokumentasi
GKE untuk mengetahui daftar lengkap layanan ini.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
containerfilesystem.googleapis.com
Detail
Streaming image adalah fitur streaming data GKE yang memberikan
waktu penarikan image container yang lebih singkat untuk image yang disimpan di Artifact Registry.
Jika Kontrol Layanan VPC melindungi image container dan Anda menggunakan streaming Image,
Anda juga harus menyertakan Image streaming API di perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang streaming Gambar, lihat
dokumentasi produk.
Batasan
Repositori hanya baca berikut
tersedia untuk semua project, terlepas dari batasan apa pun yang diterapkan oleh perimeter layanan:
API pengelolaan armada, termasuk gateway Connect, dapat dilindungi dengan Kontrol Layanan VPC, dan fitur pengelolaan armada dapat digunakan secara normal di dalam perimeter layanan.
Untuk informasi selengkapnya, lihat referensi berikut:
Untuk mengetahui informasi selengkapnya tentang Fleets, lihat
dokumentasi produk.
Batasan
Meskipun semua fitur pengelolaan armada dapat digunakan secara normal, mengaktifkan perimeter layanan di sekitar Stackdriver API membatasi fitur armada Policy Controller agar tidak terintegrasi dengan Security Command Center.
Saat menggunakan gateway Connect untuk mengakses cluster GKE, perimeter Kontrol Layanan VPC untuk container.googleapis.com tidak diterapkan.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudresourcemanager.googleapis.com
Detail
Metode Cloud Resource Manager API berikut dapat dilindungi oleh Kontrol Layanan VPC:
Untuk mengetahui informasi selengkapnya tentang Resource Manager, lihat
dokumentasi produk.
Batasan
Hanya kunci tag yang secara langsung dimiliki oleh resource project dan nilai tag yang sesuai
yang dapat dilindungi menggunakan Kontrol Layanan VPC. Saat project ditambahkan ke perimeter Kontrol Layanan VPC, semua kunci tag dan nilai tag yang sesuai dalam project tersebut dianggap sebagai resource dalam perimeter.
Kunci tag yang dimiliki oleh resource organisasi dan nilai tag yang sesuai
tidak dapat disertakan dalam perimeter Kontrol Layanan VPC dan tidak dapat dilindungi menggunakan
Kontrol Layanan VPC.
Klien di dalam perimeter Kontrol Layanan VPC tidak dapat mengakses kunci tag dan
nilai yang sesuai yang dimiliki oleh resource organisasi, kecuali jika aturan keluar
yang mengizinkan akses ditetapkan di perimeter. Untuk mengetahui informasi selengkapnya tentang cara menetapkan aturan egress, lihat Aturan ingress dan egress.
Pengikatan tag dianggap sebagai resource dalam perimeter yang sama dengan resource
yang nilai tagnya terikat. Misalnya, binding tag pada instance Compute Engine dalam project dianggap termasuk dalam project tersebut, terlepas dari tempat kunci tag ditentukan.
Beberapa layanan seperti Compute Engine memungkinkan
pembuatan binding tag
menggunakan API layanan mereka sendiri, selain API layanan Resource Manager. Misalnya, menambahkan tag ke VM Compute Engine selama pembuatan resource. Untuk melindungi
binding tag yang dibuat atau dihapus menggunakan API layanan ini, tambahkan layanan
yang sesuai, seperti compute.googleapis.com, ke daftar layanan yang dibatasi
di perimeter.
Tag mendukung pembatasan tingkat metode, sehingga Anda dapat mencakup
method_selectors ke metode API tertentu. Untuk mengetahui daftar metode yang dapat dibatasi, lihat
Pembatasan metode layanan yang didukung.
Pemberian peran pemilik pada project melalui konsol Google Cloud kini didukung oleh
Kontrol Layanan VPC. Anda tidak dapat mengirim undangan pemilik atau menerima undangan
di luar perimeter layanan. Jika Anda mencoba menerima undangan dari luar perimeter,
Anda tidak akan diberi peran pemilik dan tidak akan ada pesan error atau peringatan yang ditampilkan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
logging.googleapis.com
Detail
API untuk Cloud Logging dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Logging, lihat
dokumentasi produk.
Batasan
Sink log gabungan (sink folder atau organisasi dengan
includeChildren adalah true) dapat mengakses data dari project di dalam perimeter
layanan. Untuk membatasi sink log gabungan agar tidak mengakses data di dalam perimeter, sebaiknya gunakan IAM untuk mengelola izin Logging di tingkat folder atau sink log gabungan tingkat organisasi.
Kontrol Layanan VPC tidak mendukung penambahan folder atau
resource organisasi ke perimeter layanan. Oleh karena itu, Anda tidak dapat menggunakan Kontrol Layanan VPC untuk
melindungi log tingkat folder dan tingkat organisasi, termasuk log gabungan. Untuk mengelola izin Logging di tingkat folder atau tingkat organisasi, sebaiknya gunakan IAM.
Jika Anda merutekan log, menggunakan sink log tingkat organisasi atau tingkat folder, ke
resource yang dilindungi oleh perimeter layanan, Anda harus menambahkan aturan ingress ke
perimeter layanan. Aturan ingress harus mengizinkan akses ke resource dari akun layanan yang digunakan sink log. Langkah ini tidak diperlukan untuk sink level project.
Untuk informasi selengkapnya, lihat halaman berikut:
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
dan ANY_USER_ACCOUNT sebagai jenis identitas untuk mengekspor log dari sink Cloud Logging ke resource Cloud Storage.
Sebagai solusi, gunakan ANY_IDENTITY sebagai jenis identitas.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
monitoring.googleapis.com
Detail
API untuk Cloud Monitoring dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Monitoring, lihat
dokumentasi produk.
Batasan
Saluran notifikasi, kebijakan pemberitahuan, dan metrik kustom dapat digunakan bersama-sama untuk mengekstraksi data/metadata. Mulai hari ini, pengguna Monitoring dapat menyiapkan saluran notifikasi yang mengarah ke entitas di luar organisasi, misalnya, "baduser@badcompany.com". Pengguna
kemudian menyiapkan metrik kustom dan kebijakan pemberitahuan yang sesuai
yang menggunakan saluran notifikasi. Akibatnya, dengan memanipulasi metrik
kustom, pengguna dapat memicu pemberitahuan dan mengirimkan notifikasi pemicuan pemberitahuan,
serta mengekstraksi data sensitif ke baduser@badcompany.com, di luar
perimeter Kontrol Layanan VPC.
Setiap VM Compute Engine atau AWS dengan
Agen Pemantauan
yang diinstal harus berada di dalam perimeter Kontrol Layanan VPC atau penulisan
metrik agen akan gagal.
Pod GKE apa pun harus berada di dalam
perimeter Kontrol Layanan VPC atau
GKE Monitoring tidak akan berfungsi.
Saat membuat kueri metrik untuk
cakupan metrik, hanya
perimeter Kontrol Layanan VPC dari project pencakupan untuk cakupan metrik yang
dipertimbangkan. Perimeter masing-masing project yang dipantau dalam cakupan metrik tidak dipertimbangkan.
Project hanya dapat ditambahkan sebagai project yang dipantau ke cakupan metrik yang ada jika project tersebut berada di perimeter Kontrol Layanan VPC yang sama dengan project pencakupan cakupan metrik.
Untuk mengakses Monitoring di konsol Google Cloud untuk project host yang dilindungi oleh perimeter layanan, gunakan aturan ingress.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
language.googleapis.com
Detail
Untuk mengetahui informasi selengkapnya tentang Natural Language API, lihat
dokumentasi produk.
Batasan
Karena Natural Language API adalah API tanpa status dan tidak berjalan di project,
penggunaan Kontrol Layanan VPC untuk melindungi Natural Language API tidak akan berpengaruh.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudasset.googleapis.com
Detail
API untuk Cloud Asset API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Asset API, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung akses ke resource Cloud Asset API tingkat folder atau tingkat organisasi dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC
melindungi resource Cloud Asset API tingkat project. Anda dapat menentukan kebijakan traffic keluar untuk mencegah
akses ke resource Cloud Asset API tingkat project dari project di dalam perimeter.
Kontrol Layanan VPC tidak mendukung penambahan resource Cloud Asset API tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi
resource Cloud Asset API tingkat folder atau organisasi. Untuk mengelola izin Cloud Asset Inventory di tingkat folder atau organisasi, sebaiknya gunakan IAM.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
translate.googleapis.com
Detail
API untuk Terjemahan dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Terjemahan, lihat
dokumentasi produk.
Batasan
Cloud Translation - Advanced (v3) mendukung Kontrol Layanan VPC, tetapi
tidak dengan Cloud Translation - Basic (v2). Untuk menerapkan Kontrol Layanan VPC,
Anda harus menggunakan Cloud Translation - Advanced (v3). Untuk mengetahui informasi selengkapnya
tentang berbagai edisi, lihat Membandingkan
Basic dan Advanced.
Untuk mengetahui informasi selengkapnya tentang Live Stream API, lihat
dokumentasi produk.
Batasan
Untuk melindungi endpoint input dengan perimeter layanan, Anda harus mengikuti
petunjuk untuk menyiapkan kumpulan pribadi dan mengirimkan streaming video input melalui koneksi
pribadi.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
storagetransfer.googleapis.com
Detail
Sebaiknya tempatkan project Storage Transfer Service Anda dalam perimeter layanan yang sama dengan resource Cloud Storage Anda. Tindakan ini melindungi transfer dan resource Cloud Storage Anda. Storage Transfer Service juga
mendukung skenario saat project Storage Transfer Service tidak berada dalam perimeter yang sama dengan bucket Cloud Storage Anda, menggunakan kebijakan keluar.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
servicecontrol.googleapis.com
Detail
API untuk Kontrol Layanan dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan, lihat
dokumentasi produk.
Batasan
Saat memanggil Service Control API dari jaringan VPC dalam perimeter
layanan dengan Service Control yang dibatasi untuk melaporkan metrik penagihan atau analisis, Anda hanya dapat menggunakan
metode pelaporan Service Control
untuk melaporkan metrik bagi layanan yang didukung Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
redis.googleapis.com
Detail
API untuk Memorystore for Redis dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Memorystore for Redis, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Memorystore for Redis API. Perimeter
tidak melindungi akses data normal pada instance Memorystore for Redis
dalam jaringan yang sama.
Jika Cloud Storage API juga dilindungi, maka
operasi impor dan ekspor Memorystore for Redis hanya dapat membaca dan
menulis ke bucket Cloud Storage dalam perimeter layanan yang sama dengan
instance Memorystore for Redis.
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Redis di dalam perimeter yang sama agar permintaan Redis berhasil. Kapan saja,
memisahkan project host dan project layanan dengan perimeter dapat menyebabkan kegagalan
instance Redis, selain permintaan yang diblokir. Untuk mengetahui informasi selengkapnya, lihat persyaratan konfigurasi Memorystore for Redis.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
memcache.googleapis.com
Detail
API untuk Memorystore for Memcached dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Memorystore for Memcached, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Memorystore for Memcached API. Perimeter
tidak melindungi akses data normal pada instance Memorystore for Memcached
dalam jaringan yang sama.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
memorystore.googleapis.com
Detail
Perimeter layanan hanya melindungi Memorystore for Valkey API. Perimeter
tidak melindungi akses data normal pada instance Memorystore for Valkey
dalam jaringan yang sama.
Jika Cloud Storage API juga dilindungi, maka
operasi impor dan ekspor Memorystore for Valkey hanya dapat membaca dan
menulis ke bucket Cloud Storage dalam perimeter layanan yang sama dengan
instance Memorystore for Valkey.
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Redis di dalam perimeter yang sama agar permintaan Redis berhasil. Kapan saja,
memisahkan project host dan project layanan dengan perimeter dapat menyebabkan kegagalan
instance Redis, selain permintaan yang diblokir. Untuk mengetahui informasi selengkapnya, lihat persyaratan konfigurasi Memorystore untuk Valkey.
Memorystore for Valkey API adalah memorystore.googleapis.com.
Oleh karena itu, nama tampilan untuk Memorystore for Valkey adalah "Memorystore
API" saat menggunakan VPC Service Controls di konsol Google Cloud .
Untuk mengetahui informasi selengkapnya tentang Memorystore for Valkey, lihat
dokumentasi produk.
Batasan
Integrasi Memorystore for Valkey dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Tidak. API untuk Transfer Appliance tidak dapat dilindungi oleh perimeter layanan.
Namun, Transfer Appliance dapat digunakan secara normal dalam project di dalam perimeter.
Detail
Transfer Appliance didukung sepenuhnya untuk project yang menggunakan
Kontrol Layanan VPC.
Transfer Appliance tidak menawarkan API, sehingga tidak mendukung fitur terkait API di Kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang Transfer Appliance, lihat
dokumentasi produk.
Batasan
Jika Cloud Storage dilindungi oleh Kontrol Layanan VPC, kunci Cloud KMS yang Anda bagikan kepada Tim Transfer Appliance harus berada dalam project yang sama dengan bucket Cloud Storage tujuan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
orgpolicy.googleapis.com
Detail
API untuk Layanan Kebijakan Organisasi dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Layanan Kebijakan Organisasi, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung pembatasan akses ke kebijakan organisasi tingkat folder atau tingkat organisasi yang diwarisi oleh project.
Kontrol Layanan VPC melindungi resource Organization Policy Service API tingkat project.
Misalnya, jika aturan ingress membatasi pengguna mengakses Organization Policy Service API, pengguna tersebut akan mendapatkan error 403 saat membuat kueri untuk kebijakan organisasi yang diterapkan pada project. Namun,
pengguna masih dapat mengakses kebijakan organisasi dari folder dan organisasi
yang berisi project.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
oslogin.googleapis.com
Detail
Anda dapat memanggil OS Login API dari dalam perimeter Kontrol Layanan VPC. Untuk mengelola
Login OS dari dalam perimeter Kontrol Layanan VPC,
siapkan Login OS.
Koneksi SSH ke instance VM tidak dilindungi oleh Kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang Login OS, lihat
dokumentasi produk.
Batasan
Metode Login OS untuk membaca dan menulis kunci SSH tidak menerapkan perimeter Kontrol Layanan VPC. Gunakan layanan yang dapat diakses VPC untuk menonaktifkan akses ke OS Login API.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
servicehealth.googleapis.com
Detail
API untuk Personalized Service Health dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Personalized Service Health, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung resource OrganizationEvents dan OrganizationImpacts
Service Health API. Oleh karena itu, pemeriksaan kebijakan Kontrol Layanan VPC tidak akan terjadi saat Anda memanggil metode
untuk resource ini. Namun, Anda dapat memanggil metode dari perimeter layanan menggunakan
VIP yang dibatasi.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
osconfig.googleapis.com
Detail
Anda dapat memanggil OS Config API dari dalam perimeter Kontrol Layanan VPC. Untuk menggunakan
VM Manager dari dalam perimeter Kontrol Layanan VPC,
siapkan VM Manager.
Untuk mengetahui informasi selengkapnya tentang VM Manager, lihat
dokumentasi produk.
Batasan
Untuk melindungi VM Manager sepenuhnya, Anda harus menyertakan semua API berikut dalam perimeter Anda:
OS Config API (osconfig.googleapis.com)
Compute Engine API (compute.googleapis.com)
Artifact Analysis API (containeranalysis.googleapis.com)
VM Manager tidak menghosting konten paket dan patch. Patch Management OS menggunakan alat update untuk sistem operasi yang memerlukan update dan patch paket yang dapat diambil di VM. Agar patch berfungsi, Anda mungkin perlu menggunakan
Cloud NAT atau menghosting repositori paket Anda sendiri atau Windows Server Update Service
dalam Virtual Private Cloud Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workflows.googleapis.com
Detail
Workflows adalah platform orkestrasi yang dapat menggabungkan layanan Google Cloud Platform dan
API berbasis HTTP untuk mengeksekusi layanan dalam urutan yang Anda tentukan.
Saat Anda melindungi Workflows API menggunakan perimeter layanan, Workflow Executions API juga dilindungi. Anda tidak perlu menambahkan workflowexecutions.googleapis.com secara terpisah ke daftar layanan yang dilindungi perimeter Anda.
Permintaan HTTP dari eksekusi Workflows didukung sebagai berikut:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
file.googleapis.com
Detail
API untuk Filestore dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Filestore, lihat
dokumentasi produk.
Batasan
Perimeter layanan hanya melindungi Filestore API. Perimeter
tidak melindungi akses data NFS normal pada instance Filestore
dalam jaringan yang sama.
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Filestore di dalam perimeter yang sama agar instance Filestore berfungsi dengan benar. Memisahkan project host dan project layanan
dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan
mungkin tidak membuat instance baru.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
parallelstore.googleapis.com
Detail
Untuk mengetahui informasi selengkapnya tentang Parallelstore, lihat
dokumentasi produk.
Batasan
Jika menggunakan VPC Bersama dan Kontrol Layanan VPC, Anda harus memiliki project host yang menyediakan jaringan dan project layanan yang berisi instance Parallelstore di dalam perimeter yang sama agar instance Parallelstore berfungsi dengan benar. Memisahkan project host dan project layanan
dengan perimeter dapat menyebabkan instance yang ada menjadi tidak tersedia dan
mungkin tidak membuat instance baru.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
adsdatahub.googleapis.com
Detail
Untuk mengetahui informasi selengkapnya tentang Ads Data Hub, lihat
dokumentasi produk.
Batasan
Ads Data Hub dan Kontrol Layanan VPC tunduk pada persyaratan layanan yang berbeda. Tinjau persyaratan setiap
produk untuk mengetahui detailnya.
Fitur Ads Data Hub tertentu (seperti aktivasi audiens kustom, bidding kustom, dan
tabel pencocokan LiveRamp) memerlukan ekspor data pengguna tertentu di luar perimeter
Kontrol Layanan VPC. Jika Ads Data Hub ditambahkan sebagai layanan yang dibatasi, Ads Data Hub akan melewati kebijakan Kontrol Layanan VPC untuk fitur ini agar fungsinya tetap berjalan.
Semua layanan dependen harus disertakan sebagai layanan yang diizinkan dalam perimeter Kontrol Layanan VPC yang sama. Misalnya, karena Ads Data Hub mengandalkan BigQuery, BigQuery juga harus ditambahkan. Secara umum, praktik terbaik Kontrol Layanan VPC merekomendasikan untuk menyertakan semua layanan dalam perimeter,
yaitu “membatasi semua layanan”.
Pelanggan dengan struktur akun Ads Data Hub multi-tingkat (seperti agensi dengan anak perusahaan) harus memiliki semua project admin mereka dalam perimeter yang sama. Untuk mempermudah,
Ads Data Hub merekomendasikan agar pelanggan dengan struktur akun bertingkat membatasi
project admin mereka ke organisasi Google Cloud yang sama.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
sts.googleapis.com
Detail
Kontrol Layanan VPC hanya membatasi pertukaran token jika
audience
dalam permintaan adalah resource level project. Misalnya, Kontrol Layanan VPC tidak membatasi permintaan untuk
token yang diturunkan cakupannya,
karena permintaan tersebut tidak memiliki audiens. Kontrol Layanan VPC juga tidak membatasi permintaan untuk
Workforce Identity Federation
karena audiens adalah resource tingkat organisasi.
Untuk mengetahui informasi selengkapnya tentang Layanan Token Keamanan, lihat
dokumentasi produk.
Batasan
Saat membuat aturan masuk atau keluar untuk mengizinkan pertukaran token, Anda harus menyetel jenis identitas ke ANY_IDENTITY karena metode token tidak memiliki otorisasi.
Layanan firestore.googleapis.com, datastore.googleapis.com,
dan firestorekeyvisualizer.googleapis.com dipaketkan bersama.
Saat Anda membatasi layanan firestore.googleapis.com dalam perimeter,
perimeter juga membatasi layanan datastore.googleapis.com dan
firestorekeyvisualizer.googleapis.com. Anda tidak perlu menambahkan layanan ini secara terpisah ke daftar layanan yang dilindungi di perimeter Anda.
Untuk mendapatkan perlindungan egress penuh pada operasi impor dan ekspor,
Anda harus menggunakan agen layanan Firestore. Lihat informasi selengkapnya di sini:
Paket layanan lama App Engine untuk Datastore
tidak mendukung perimeter layanan. Melindungi layanan Datastore
dengan perimeter layanan akan memblokir traffic dari
layanan paket lama App Engine. Layanan paket lama meliputi:
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
backupdr.googleapis.com
Detail
API untuk Layanan Pencadangan dan DR dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Layanan Backup dan DR, lihat
dokumentasi produk.
Batasan
Jika Anda menghapus rute default internet dari project produsen layanan menggunakan perintah gcloud services vpc-peerings enable-vpc-service-controls,
maka Anda mungkin tidak dapat mengakses atau men-deploy konsol pengelolaan. Jika Anda mengalami masalah ini, hubungi Customer Care Google Cloud.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
gkebackup.googleapis.com
Detail
Anda dapat menggunakan Kontrol Layanan VPC untuk melindungi pencadangan untuk GKE dan Anda dapat menggunakan fitur pencadangan untuk GKE secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Pencadangan untuk GKE, lihat
dokumentasi produk.
Batasan
Integrasi Pencadangan untuk GKE dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
retail.googleapis.com
Detail
API untuk Retail API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Retail API, lihat
dokumentasi produk.
Batasan
Integrasi Retail API dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
integrations.googleapis.com
Detail
Integrasi Aplikasi adalah sistem pengelolaan alur kerja kolaboratif yang memungkinkan Anda
membuat, meningkatkan, men-debug, dan memahami alur kerja sistem bisnis inti.
Alur kerja di Application Integration terdiri dari pemicu dan tugas.
Ada beberapa jenis pemicu seperti pemicu API/pemicu Pub/Sub/pemicu cron/pemicu SFDC.
Untuk mengetahui informasi selengkapnya tentang Integrasi Aplikasi, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC melindungi log Application Integration. Jika Anda menggunakan Application Integration, verifikasi dukungan untuk integrasi vpcsc dengan tim Application Integration.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
connectors.googleapis.com
Detail
API untuk Integration Connectors dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Integration Connectors, lihat
dokumentasi produk.
Batasan
Saat menggunakan Kontrol Layanan VPC, jika koneksi Anda terhubung ke resource CLI non-Google Cloud, tujuan koneksi harus berupa lampiran Private Service Connect. Koneksi
yang dibuat tanpa lampiran Private Service Connect akan gagal.
Jika Anda menyiapkan perimeter layanan Kontrol Layanan VPC untuk project Google Cloud CLI, Anda tidak dapat menggunakan
fitur langganan peristiwa untuk project tersebut.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
clouderrorreporting.googleapis.com
Detail
API untuk Pelaporan Error dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Error Reporting, lihat
dokumentasi produk.
Batasan
Notifikasi yang dikirim saat grup error baru atau berulang ditemukan
berisi informasi tentang grup error tersebut. Untuk mencegah pemindahan data yang tidak sah di luar perimeter Kontrol Layanan VPC, pastikan saluran notifikasi berada dalam organisasi Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
workstations.googleapis.com
Detail
API untuk Cloud Workstations dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Workstations, lihat
dokumentasi produk.
Batasan
Untuk melindungi Cloud Workstations sepenuhnya, Anda harus membatasi
Compute Engine API di perimeter layanan setiap kali Anda membatasi
Cloud Workstations API.
Pastikan Google Cloud Storage API, Google Container Registry API, dan Artifact Registry API
dapat diakses VPC di perimeter layanan Anda. Tindakan ini diperlukan untuk menarik image ke workstation Anda. Kami juga
merekomendasikan agar Anda mengizinkan Cloud Logging API dan Cloud
Error Reporting API dapat diakses VPC di perimeter
layanan Anda, meskipun hal ini tidak diperlukan untuk menggunakan
Cloud Workstations.
Pastikan cluster workstation Anda bersifat
pribadi.
Mengonfigurasi cluster pribadi mencegah koneksi ke workstation Anda dari
luar perimeter layanan VPC Anda.
Pastikan Anda menonaktifkan alamat IP publik dalam konfigurasi
workstation. Jika tidak dilakukan, VM dengan alamat IP publik akan ada di project Anda. Sebaiknya gunakan batasan kebijakan organisasi
constraints/compute.vmExternalIpAccess
untuk menonaktifkan alamat IP publik bagi semua VM
di perimeter layanan VPC Anda. Untuk mengetahui detailnya, lihat
Membatasi alamat IP eksternal ke VM tertentu.
Saat terhubung ke workstation, kontrol akses hanya didasarkan pada apakah jaringan
pribadi tempat Anda terhubung termasuk dalam perimeter keamanan. Kontrol akses berdasarkan
perangkat, alamat IP publik, atau lokasi tidak didukung.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ids.googleapis.com
Detail
API untuk Cloud IDS dapat dilindungi oleh Kontrol Layanan VPC, dan produk
dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud IDS, lihat
dokumentasi produk.
Batasan
Cloud IDS menggunakan Cloud Logging untuk membuat log ancaman di project Anda. Jika
Cloud Logging dibatasi oleh perimeter layanan, Kontrol Layanan VPC
akan memblokir log ancaman Cloud IDS, meskipun Cloud IDS tidak ditambahkan sebagai
layanan yang dibatasi ke perimeter. Untuk menggunakan Cloud IDS di dalam perimeter layanan, Anda harus mengonfigurasi aturan ingress untuk akun layanan Cloud Logging di perimeter layanan Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
policytroubleshooter.googleapis.com
Detail
Saat Anda membatasi Policy Troubleshooter API dengan perimeter,
akun utama hanya dapat memecahkan masalah kebijakan izin IAM jika semua resource
yang terlibat dalam permintaan berada dalam perimeter yang sama. Biasanya ada dua
referensi yang terlibat dalam permintaan pemecahan masalah:
Resource yang aksesnya sedang Anda pecahkan masalahnya. Resource ini dapat berupa
jenis apa pun. Anda secara eksplisit menentukan resource ini saat memecahkan masalah
kebijakan izinkan.
Resource yang Anda gunakan untuk memecahkan masalah akses. Resource ini adalah
project, folder, atau organisasi. Di konsol Google Cloud dan
gcloud CLI, resource ini disimpulkan berdasarkan project, folder,
atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini
menggunakan header x-goog-user-project.
Resource ini dapat sama dengan resource yang aksesnya sedang Anda pecahkan masalahnya, tetapi tidak harus sama.
Jika resource ini tidak berada dalam perimeter yang sama, permintaan akan gagal.
Untuk mengetahui informasi selengkapnya tentang Pemecah Masalah Kebijakan, lihat
dokumentasi produk.
Batasan
Integrasi Pemecah Masalah Kebijakan dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
policysimulator.googleapis.com
Detail
Anda dapat membatasi Policy Simulator API dengan perimeter saat menyimulasikan kebijakan
organisasi atau kebijakan izin dan penolakan.
Principal dapat mensimulasikan kebijakan organisasi seperti yang diharapkan di dalam perimeter layanan.
Akun utama hanya dapat menyimulasikan kebijakan izinkan jika resource tertentu yang terlibat dalam
simulasi berada di perimeter yang sama. Ada beberapa resource
yang terlibat dalam simulasi kebijakan izin:
Resource yang kebijakan izinnya Anda
simulasikan. Resource ini juga disebut target
resource. Di konsol Google Cloud , ini adalah resource
yang kebijakan izinkannya sedang Anda edit. Dalam gcloud CLI dan
REST API, Anda secara eksplisit menentukan resource ini saat menyimulasikan
kebijakan izin.
Project, folder, atau organisasi yang membuat dan menjalankan
simulasi. Resource ini juga disebut resource
host. Di konsol Google Cloud dan
gcloud CLI, resource ini disimpulkan berdasarkan project, folder,
atau organisasi yang telah Anda pilih. Di REST API, Anda menentukan resource ini
menggunakan header x-goog-user-project.
Resource ini dapat sama dengan resource yang aksesnya Anda simulasikan, tetapi tidak harus sama.
Resource yang menyediakan log akses untuk
simulasi. Dalam simulasi, selalu ada satu resource
yang menyediakan log akses untuk simulasi. Resource ini bervariasi
bergantung pada jenis resource target:
Jika Anda menyimulasikan kebijakan izinkan untuk project atau organisasi, Policy
Simulator akan mengambil log akses untuk project atau organisasi tersebut.
Jika Anda menyimulasikan kebijakan izinkan untuk jenis resource yang berbeda,
Simulator Kebijakan akan mengambil log akses untuk project atau organisasi induk
resource tersebut.
Jika Anda menyimulasikan kebijakan izin beberapa resource sekaligus, Policy
Simulator akan mengambil log akses untuk project atau organisasi umum terdekat
dari resource tersebut.
Semua resource yang didukung dengan kebijakan izin yang relevan.
Saat menjalankan simulasi, Policy Simulator mempertimbangkan semua kebijakan
izinkan yang mungkin memengaruhi akses pengguna, termasuk kebijakan izinkan
pada resource turunan dan induk resource target. Sebagai
hasilnya, resource turunan dan keturunan ini juga terlibat dalam
simulasi.
Jika resource target dan resource host tidak berada dalam perimeter yang sama, permintaan akan gagal.
Jika resource target dan resource yang menyediakan log akses untuk
simulasi tidak berada dalam perimeter yang sama, permintaan akan gagal.
Jika target resource dan beberapa resource yang didukung dengan kebijakan izin yang relevan tidak berada dalam perimeter yang sama, permintaan akan berhasil, tetapi hasilnya mungkin tidak lengkap. Misalnya, jika Anda menyimulasikan kebijakan
untuk project dalam perimeter, hasilnya tidak akan menyertakan kebijakan izin
organisasi induk project, karena organisasi selalu berada di luar
perimeter Kontrol Layanan VPC. Untuk mendapatkan hasil yang lebih lengkap, Anda dapat mengonfigurasi aturan ingress dan egress untuk perimeter.
Untuk mengetahui informasi selengkapnya tentang Policy Simulator, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung penambahan resource tingkat folder atau tingkat organisasi
ke perimeter layanan. Oleh karena itu, Anda tidak dapat menggunakan Kontrol Layanan VPC untuk melindungi
simulasi kebijakan penolakan tingkat folder dan tingkat organisasi. Simulasi kebijakan penolakan
pada resource di luar perimeter layanan tetap menampilkan hasil lengkap, dan simulasi
kebijakan penolakan pada resource tingkat project dilindungi.
API untuk Identity Platform dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Identity Platform, lihat
dokumentasi produk.
Batasan
Untuk melindungi Identity Platform sepenuhnya, tambahkan Secure Token API (securetoken.googleapis.com) ke
perimeter layanan untuk mengizinkan refresh token. securetoken.googleapis.com tidak
tercantum di halaman VPC Service Controls di konsol Google Cloud .
Anda hanya dapat menambahkan layanan ini dengan perintah
gcloud access-context-manager
perimeters update.
Jika aplikasi Anda juga terintegrasi dengan fitur fungsi pemblokiran, tambahkan fungsi Cloud Run (cloudfunctions.googleapis.com) ke
perimeter layanan.
Penggunaan autentikasi multi-faktor (MFA) berbasis SMS, autentikasi email, atau penyedia identitas pihak ketiga menyebabkan data dikirim keluar dari perimeter. Jika Anda tidak menggunakan MFA dengan SMS, autentikasi email, atau penyedia identitas pihak ketiga, nonaktifkan fitur ini.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
gkemulticloud.googleapis.com
Detail
API untuk GKE Multi-Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Multi-Cloud GKE, lihat
dokumentasi produk.
Batasan
Untuk melindungi sepenuhnya GKE Multi-Cloud API, Anda juga harus menyertakan Kubernetes Metadata API (kubernetesmetadata.googleapis.com) dalam perimeter Anda.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Tidak. API untuk Google Distributed Cloud (khusus software) untuk bare metal tidak dapat dilindungi oleh perimeter layanan.
Namun, Google Distributed Cloud (khusus software) untuk bare metal dapat digunakan secara normal dalam project di dalam perimeter.
Detail
Anda dapat membuat cluster di lingkungan Anda, yang terhubung ke VPC menggunakan Cloud Interconnect atau Cloud VPN.
Untuk mengetahui informasi selengkapnya tentang Google Distributed Cloud (khusus software) untuk bare metal, lihat
dokumentasi produk.
Batasan
Untuk melindungi cluster Anda, gunakan Restricted VIP di
Google Distributed Cloud (khusus software) untuk bare metal, dan tambahkan semua API berikut ke perimeter
layanan:
Artifact Registry API (artifactregistry.googleapis.com)
Google Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
Compute Engine API (compute.googleapis.com)
Connect Gateway API (connectgateway.googleapis.com)
Google Container Registry API (containerregistry.googleapis.com)
GKE Connect API (gkeconnect.googleapis.com)
GKE Hub API (gkehub.googleapis.com)
GKE On-Prem API (gkeonprem.googleapis.com)
Cloud IAM API (iam.googleapis.com)
Cloud Logging API (logging.googleapis.com)
Cloud Monitoring API (monitoring.googleapis.com)
Config Monitoring for Ops API (opsconfigmonitoring.googleapis.com)
Service Control API (servicecontrol.googleapis.com)
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
looker.googleapis.com
Detail
API untuk Looker (inti Google Cloud) dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Looker (inti Google Cloud), lihat
dokumentasi produk.
Batasan
Hanya edisi Enterprise atau Embed instance Looker (inti Google Cloud) yang menggunakan koneksi IP pribadi yang mendukung kepatuhan terhadap Kontrol Layanan VPC. Instance Looker (inti Google Cloud) dengan koneksi IP publik atau koneksi IP publik dan pribadi tidak mendukung kepatuhan terhadap Kontrol Layanan VPC. Untuk membuat instance yang menggunakan koneksi IP pribadi, pilih IP Pribadi di bagian Jaringan pada halaman Buat instance di konsol Google Cloud .
Saat menempatkan atau membuat instance Looker (Google Cloud core) di dalam perimeter layanan VPC Service Controls, Anda harus menghapus rute default ke internet dengan memanggil metode services.enableVpcServiceControls atau dengan menjalankan perintah gcloud berikut:
Menghapus rute default membatasi traffic keluar hanya ke layanan yang kompatibel dengan VPC Service Controls. Misalnya, pengiriman email akan gagal karena API yang digunakan untuk mengirim email tidak kompatibel dengan Kontrol Layanan VPC.
Jika Anda menggunakan VPC Bersama, pastikan Anda menyertakan project layanan Looker (inti Google Cloud) dalam perimeter layanan yang sama dengan project host VPC Bersama atau membuat jembatan perimeter antara kedua project tersebut. Jika project layanan Looker (Google Cloud core) dan project host VPC Bersama tidak berada dalam perimeter yang sama atau tidak dapat berkomunikasi melalui jembatan perimeter, pembuatan instance dapat gagal atau instance Looker (Google Cloud core) mungkin tidak berfungsi dengan baik.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
storagebatchoperations.googleapis.com
Detail
Untuk menggunakan Kontrol Layanan VPC dengan operasi batch penyimpanan, buat perimeter layanan untuk melindungi project dan layanan berikut: Google Cloud
Project Cloud Storage
Storage batch operations API (storagebatchoperations.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Opsional: Cloud KMS API (cloudkms.googleapis.com), jika Anda menggunakan jenis tugas pembaruan kunci enkripsi objek.
API untuk Security Command Center dapat dilindungi oleh Kontrol Layanan VPC, dan Security Command Center dapat digunakan
secara normal di dalam perimeter layanan.
Layanan securitycenter.googleapis.com dan securitycentermanagement.googleapis.com
dipaketkan bersama. Saat Anda membatasi layanan securitycenter.googleapis.com
dalam perimeter, perimeter akan membatasi layanan securitycentermanagement.googleapis.com
secara default. Anda tidak dapat menambahkan layanan securitycentermanagement.googleapis.com
ke daftar layanan yang dibatasi dalam perimeter karena layanan ini dibundel dengan
securitycenter.googleapis.com.
Untuk mengetahui informasi selengkapnya tentang Security Command Center, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC tidak mendukung akses ke resource Security Command Center API tingkat folder atau tingkat organisasi dari resource dan klien di dalam perimeter layanan. Kontrol Layanan VPC
melindungi resource Security Command Center API tingkat project. Anda dapat menentukan kebijakan traffic keluar untuk mencegah
akses ke resource API Security Command Center tingkat project dari project di dalam perimeter.
Kontrol Layanan VPC tidak mendukung penambahan resource API Security Command Center tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Security Command Center API tingkat folder atau tingkat organisasi. Untuk mengelola izin Security Command Center
di tingkat folder atau organisasi, sebaiknya gunakan IAM.
Kontrol Layanan VPC tidak mendukung layanan
postur keamanan karena resource postur keamanan (seperti postur, deployment postur,
dan template postur yang telah ditentukan sebelumnya) adalah resource tingkat organisasi.
Anda tidak dapat mengekspor temuan di tingkat folder atau organisasi ke tujuan
di dalam perimeter layanan.
Kontrol Layanan VPC tidak mendukung Google Security Operations (Google Security Operations SIEM dan Google Security Operations SOAR). Mengaktifkan Security Command Center Enterprise di project dalam perimeter layanan dapat menyebabkan pelanggaran dari layanan operasi keamanan yang tidak didukung. Jika Anda telah mengonfigurasi Kontrol Layanan VPC, sebelum membuat instance Google Security Operations, pindahkan project Google Cloud Platform dan project Cloud Key Management Service (Cloud KMS) untuk kunci enkripsi yang dikelola pelanggan (CMEK) ke luar perimeter Kontrol Layanan VPC.
Anda harus mengaktifkan akses perimeter dalam skenario berikut:
Saat Anda mengaktifkan notifikasi
temuan di tingkat folder atau organisasi dan topik Pub/Sub berada
di dalam perimeter layanan.
Saat Anda
mengekspor data ke BigQuery dari tingkat folder atau organisasi dan
BigQuery berada di dalam perimeter layanan.
Saat Anda mengintegrasikan Security Command Center dengan produk SIEM atau SOAR pihak ketiga yang didukung dan
produk tersebut di-deploy di dalam perimeter layanan di lingkungan Google Cloud Platform.
SIEM dan SOAR yang didukung mencakup
Splunk
dan IBM QRadar.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudsupport.googleapis.com
Detail
API untuk Layanan Pelanggan Cloud dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Cloud Customer Care, lihat
dokumentasi produk.
Batasan
Kontrol Layanan VPC melindungi data yang diakses melalui Cloud Support API, tetapi tidak melindungi data yang diakses melalui konsol Google Cloud .
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
discoveryengine.googleapis.com
Detail
API untuk Aplikasi AI - Vertex AI Search dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Aplikasi AI - Vertex AI Search, lihat
dokumentasi produk.
Batasan
Jika Anda mengonfigurasi widget
Vertex AI Search untuk akses publik (yaitu, tanpa token OAuth), maka panggilan ke
backend API dilakukan melalui agen layanan yang dikelola Google. Karena
traffic ini tidak membawa token autentikasi Anda, permintaan tersebut dapat
secara efektif melewati aturan ingress Kontrol Layanan VPC yang dikonfigurasi
organisasi Anda. Meskipun Anda melindungi layanan discoveryengine.googleapis.com di dalam perimeter Kontrol Layanan VPC, widget dengan akses publik masih dapat dijangkau dari luar perimeter tersebut. Jika organisasi Anda mewajibkan penegakan Kontrol Layanan VPC untuk melindungi data sensitif, jangan aktifkan widget yang memiliki akses publik.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
confidentialcomputing.googleapis.com
Detail
Untuk memastikan bahwa Confidential Space berfungsi dengan benar di seluruh batas perimeter,
Anda harus mengonfigurasi
aturan keluar.
Jika Confidential Space Anda perlu mengakses bucket Cloud Storage
di luar perimeter Anda, buat
aturan egress untuk mengizinkan akses ke bucket tersebut.
Jika Anda mengaktifkan Confidential Space API di resource Compute Engine
di luar perimeter Anda, buat
aturan egress untuk mengizinkan akses ke API ini.
Untuk mengetahui informasi selengkapnya tentang Confidential Space, lihat
dokumentasi produk.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
ssh-serialport.googleapis.com
Detail
Untuk menggunakan perlindungan Kontrol Layanan VPC saat terhubung ke konsol serial
untuk instance virtual machine (VM), Anda harus menentukan aturan ingress
untuk perimeter layanan. Saat menyiapkan aturan ingress, tingkat akses untuk sumber harus berupa nilai berbasis IP dan nama layanan ditetapkan ke ssh-serialport.googleapis.com.
Aturan ingress diperlukan untuk mengakses konsol serial meskipun permintaan sumber dan resource target berada di perimeter yang sama.
Untuk mengetahui informasi selengkapnya tentang Konsol serial, lihat
dokumentasi produk.
Batasan
Anda tidak dapat menggunakan SSH-in-browser untuk mengakses konsol serial.
Anda tidak dapat mengakses konsol serial menggunakan Akses Google Pribadi. Anda hanya dapat mengakses konsol serial
dari internet publik.
Saat menggunakan konsol serial, aturan ingress atau egress berbasis identitas tidak dapat digunakan untuk mengizinkan akses ke konsol serial.
Untuk mengetahui informasi selengkapnya tentang Google Cloud VMware Engine, lihat
dokumentasi produk.
Batasan
Saat menambahkan jaringan VMware Engine, Cloud Pribadi, Kebijakan Jaringan, dan Peering VPC yang sudah ada ke Perimeter Layanan VPC, resource yang dibuat sebelumnya tidak diperiksa lagi untuk melihat apakah resource tersebut masih mematuhi kebijakan perimeter.
Untuk mengetahui informasi selengkapnya tentang Dataform, lihat
dokumentasi produk.
Batasan
Untuk menggunakan perlindungan Kontrol Layanan VPC untuk Dataform, Anda harus menetapkan kebijakan organisasi `dataform.restrictGitRemotes` dan membatasi BigQuery dengan perimeter layanan yang sama seperti Dataform.
Anda harus memastikan bahwa izin Identity and Access Management yang diberikan ke akun layanan Anda yang digunakan di Dataform mencerminkan arsitektur keamanan Anda.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
websecurityscanner.googleapis.com
Detail
Web Security Scanner dan Kontrol Layanan VPC tunduk pada persyaratan layanan yang berbeda.
Tinjau persyaratan setiap produk untuk mengetahui detailnya.
Web Security Scanner mengirimkan temuan ke Security Command Center sesuai permintaan. Anda dapat melihat atau mendownload
data dari dasbor Security Command Center.
Untuk mengetahui informasi selengkapnya tentang Web Security Scanner, lihat
dokumentasi produk.
Batasan
Integrasi Web Security Scanner dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
securesourcemanager.googleapis.com
Detail
Anda harus mengonfigurasi Certificate Authority Service dengan certificate authority yang berfungsi sebelum membuat instance Kontrol Layanan VPC Secure Source Manager.
Anda harus mengonfigurasi Private Service Connect sebelum mengakses instance Kontrol Layanan VPC Secure Source Manager.
Untuk mengetahui informasi selengkapnya tentang Secure Source Manager, lihat
dokumentasi produk.
Batasan
Pelanggaran log audit SERVICE_NOT_ALLOWED_FROM_VPC yang disebabkan oleh batasan GKE dapat diabaikan.
Untuk membuka antarmuka web VPC Service Controls dengan browser, browser memerlukan akses ke URL berikut:
API untuk Secure Web Proxy dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Jika Anda menyediakan proxy dengan sertifikat, Anda juga harus menyertakan Certificate Manager API (certificatemanager.googleapis.com) dalam perimeter layanan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudcontrolspartner.googleapis.com
Detail
Cloud Controls Partner API dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Konsol partner di Sovereign Controls oleh Partner, lihat
dokumentasi produk.
Batasan
Layanan ini harus dibatasi untuk semua non-partner. Jika Anda adalah partner yang mendukung Kontrol Kedaulatan oleh Partner, Anda dapat melindungi layanan ini menggunakan perimeter layanan.
Layanan earthengine.googleapis.com dan earthengine-highvolume.googleapis.com
dipaketkan bersama. Saat Anda membatasi layanan earthengine.googleapis.com
dalam perimeter, perimeter akan membatasi layanan earthengine-highvolume.googleapis.com
secara default. Anda tidak dapat menambahkan layanan earthengine-highvolume.googleapis.com
ke daftar layanan yang dibatasi dalam perimeter karena layanan ini dibundel dengan
earthengine.googleapis.com.
Untuk mengetahui informasi selengkapnya tentang Earth Engine, lihat
dokumentasi produk.
Batasan
Editor Kode Earth Engine,
IDE berbasis web untuk Earth Engine JavaScript API, tidak didukung dan
Kontrol Layanan VPC tidak mengizinkan penggunaan Editor Kode Earth Engine dengan resource dan
klien di dalam perimeter layanan.
Aset
lama tidak dilindungi oleh Kontrol Layanan VPC.
Aplikasi Earth Engine
tidak didukung untuk resource dan klien di dalam perimeter layanan.
Kontrol Layanan VPC hanya tersedia untuk paket harga Earth Engine Premium dan Profesional. Untuk mengetahui informasi selengkapnya tentang paket harga, lihat
paket Earth Engine.
Untuk mengetahui informasi selengkapnya tentang batasan dan contoh solusi, lihat dokumentasi
kontrol akses
Earth Engine.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
apphub.googleapis.com
Detail
App Hub memungkinkan Anda menemukan dan mengatur resource infrastruktur ke dalam aplikasi. Anda dapat menggunakan perimeter Kontrol Layanan VPC untuk melindungi resource App Hub.
Untuk mengetahui informasi selengkapnya tentang App Hub, lihat
dokumentasi produk.
Batasan
Anda harus menyiapkan Kontrol Layanan VPC di project host dan layanan App Hub
sebelum membuat aplikasi serta mendaftarkan layanan dan beban kerja ke aplikasi.
Hub Aplikasi mendukung jenis resource berikut:
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudcode.googleapis.com
Detail
Cloud Code API dapat dilindungi oleh Kontrol Layanan VPC. Untuk menggunakan fitur yang didukung Gemini di Cloud Code, kebijakan masuk harus dikonfigurasi untuk mengizinkan traffic dari klien IDE. Lihat dokumentasi
Gemini untuk mengetahui detailnya.
Untuk mengetahui informasi selengkapnya tentang Cloud Code, lihat
dokumentasi produk.
Batasan
Integrasi Cloud Code dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
commerceorggovernance.googleapis.com
Detail
Perimeter Kontrol Layanan VPC melindungi Commerce Org Governance API untuk Google Private Marketplace.
Untuk mengetahui informasi selengkapnya tentang Commerce Org Governance API, lihat
dokumentasi produk.
Batasan
Resource seperti permintaan pengadaan dan permintaan akses, yang dibuat Commerce Org Governance API di tingkat project, muncul hingga tingkat organisasi dan ditinjau oleh Administrator Organisasi tanpa menerapkan kebijakan Kontrol Layanan VPC.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
contactcenteraiplatform.googleapis.com
Detail
Untuk membatasi traffic internet, gunakan kebijakan organisasi.
Panggil metode CREATE atau UPDATE dari Google Cloud Contact Center as a Service API untuk menerapkan batasan kebijakan organisasi secara manual.
Untuk mengetahui informasi selengkapnya tentang Google Cloud Contact Center as a Service, lihat
dokumentasi produk.
Batasan
Integrasi Google Cloud Contact Center as a Service dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
privilegedaccessmanager.googleapis.com
Detail
API untuk Privileged Access Manager dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Privileged Access Manager, lihat
dokumentasi produk.
Batasan
VPC Service Controls tidak mendukung penambahan resource tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Privileged Access Manager di tingkat folder atau organisasi. Kontrol Layanan VPC melindungi resource Privileged Access Manager tingkat project.
Untuk melindungi Privileged Access Manager, Anda harus menyertakan API berikut dalam perimeter Anda:
Privileged Access Manager API (privilegedaccessmanager.googleapis.com)
Cloud Resource Manager API (cloudresourcemanager.googleapis.com)
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
auditmanager.googleapis.com
Detail
API untuk Audit Manager dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Audit Manager, lihat
dokumentasi produk.
Batasan
Anda tidak dapat menggunakan perimeter untuk melindungi resource Audit Manager tingkat folder atau tingkat organisasi. Untuk mengelola izin Audit Manager di tingkat folder atau organisasi, sebaiknya gunakan IAM.
Anda harus mengaktifkan akses perimeter menggunakan aturan ingress dan egress dalam skenario berikut:
Jika Anda menjalankan audit di tingkat project, project dilindungi oleh perimeter, dan bucket Cloud Storage tidak berada di dalam perimeter yang sama, konfigurasikan aturan keluar untuk project yang berisi bucket Cloud Storage.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
discoveryengine.googleapis.com
Detail
API untuk Gemini Enterprise dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Gemini Enterprise, lihat
dokumentasi produk.
Batasan
Jika Anda mengaktifkan VPC Service Controls di project Google Cloud Platform yang berisi aplikasi Gemini Enterprise, Anda akan diblokir untuk membuat atau menggunakan tindakan Gemini Enterprise secara default, dan setiap upaya untuk membuat tindakan di UI akan dilarang. Untuk mengaktifkan dan menggunakan tindakan untuk layanan tertentu dalam perimeter
Kontrol Layanan VPC, Anda harus menghubungi perwakilan Google dan meminta
untuk ditambahkan ke daftar yang diizinkan.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
discoveryengine.googleapis.com
Detail
API untuk Gemini Enterprise - NotebookLM for Enterprise dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Gemini Enterprise - NotebookLM untuk perusahaan, lihat
dokumentasi produk.
Batasan
Integrasi Gemini Enterprise - NotebookLM untuk perusahaan dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
developerconnect.googleapis.com
Detail
API untuk Developer Connect dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Developer Connect, lihat
dokumentasi produk.
Batasan
Untuk membatasi akses ke alat pengelolaan kode sumber pihak ketiga, Anda dapat membuat
kebijakan organisasi kustom.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
modelarmor.googleapis.com
Detail
API untuk Model Armor dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Model Armor, lihat
dokumentasi produk.
Batasan
Model Armor menggunakan endpoint regional, yang tidak didukung oleh
Private Google Access. Jika Anda membatasi Model Armor dalam perimeter,
Anda harus menggunakan endpoint Private Service Connect agar Model Armor
berfungsi seperti yang diharapkan dengan Kontrol Layanan VPC.
Penskalaan otomatis
Status
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
autoscaling.googleapis.com
Detail
API untuk Penskalaan Otomatis dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Batasan
Integrasi penskalaan otomatis dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
places.googleapis.com
Detail
API for Places (Baru) dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat
digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Places (Baru), lihat
dokumentasi produk.
Batasan
Integrasi Places (Baru) dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
GA. Integrasi produk ini sepenuhnya didukung oleh Kontrol Layanan VPC.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
managedkafka.googleapis.com
Detail
API untuk Google Cloud Managed Service for Apache Kafka dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Google Cloud Managed Service for Apache Kafka, lihat
dokumentasi produk.
Batasan
Managed Service for Apache Kafka mengandalkan layanan jaringan yang mendasarinya. Untuk membantu melindungi layanan ini, pastikan semua layanan yang diperlukan juga disertakan dalam perimeter layanan Anda:
Compute Engine API (compute.googleapis.com)
Cloud DNS API (dns.googleapis.com)
Untuk membantu melindungi konektor Kafka Connect, sertakan layanan yang dipanggil konektor dalam
perimeter Anda. Bergantung pada jenis konektor, konektor dapat memanggil salah satu
layanan berikut:
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Tidak. API untuk Geocoding tidak dapat dilindungi oleh perimeter layanan.
Namun, Geocoding dapat digunakan secara normal dalam project di dalam perimeter.
Detail
VPC Service Controls hanya melindungi
Geocoding API dan
tidak mendukung
Geocoding API v4 (geocoding.googleapis.com).
Karena Geocoding API adalah API tanpa status, Anda tidak dapat menerapkan batasan Kontrol Layanan VPC pada Geocoding API dengan menambahkannya ke perimeter.
Untuk mengetahui informasi selengkapnya tentang Geocoding, lihat
dokumentasi produk.
Batasan
Integrasi Geocoding dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
cloudsecuritycompliance.googleapis.com
Detail
API untuk Compliance Manager dapat dilindungi oleh Kontrol Layanan VPC dan produk dapat digunakan secara normal di dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Compliance Manager, lihat
dokumentasi produk.
Anda tidak dapat menggunakan perimeter untuk membantu melindungi resource Compliance Manager di tingkat folder atau tingkat organisasi. Untuk mengelola izin Compliance Manager di tingkat folder atau organisasi, gunakan IAM.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
maintenance.googleapis.com
Detail
Pemeliharaan Terpadu memberikan tampilan terpusat dari peristiwa pemeliharaan disruptif terencana di seluruh produk Google Cloud Platform yang didukung.
Untuk mengetahui informasi selengkapnya tentang Pemeliharaan Terpadu, lihat
dokumentasi produk.
Batasan
Integrasi Pemeliharaan Terpadu dengan Kontrol Layanan VPC tidak memiliki batasan yang diketahui.
Pratinjau. Integrasi produk ini dengan Kontrol Layanan VPC berada dalam Pratinjau
dan siap untuk pengujian dan penggunaan yang lebih luas, tetapi tidak sepenuhnya didukung untuk lingkungan
produksi.
Melindungi dengan perimeter?
Ya. Anda dapat mengonfigurasi perimeter untuk melindungi layanan ini.
Nama layanan
geminidataanalytics.googleapis.com
Detail
Perimeter layanan hanya dapat membatasi endpoint layanan Conversational Analytics API. Untuk menerapkan perlindungan data bagi sumber data Conversational Analytics API seperti BigQuery, Looker, dan Looker Studio, Anda juga harus membatasi sumber data ini dan layanan terkait dalam perimeter layanan.
Untuk mengetahui informasi selengkapnya tentang Conversational Analytics API, lihat
dokumentasi produk.
Batasan
Meskipun perimeter layanan membatasi Conversational Analytics API, IAM mengatur akses ke API dan sumber data yang mendasarinya. Untuk membatasi data yang Anda gunakan dengan Conversational Analytics API dalam perimeter, Anda harus memiliki izin IAM yang diperlukan untuk mengakses API dan sumber data dari dalam API.
IP virtual (VIP) terbatas menyediakan cara bagi VM yang berada di dalam perimeter layanan untuk melakukan panggilan ke layanan Google Cloud Platform tanpa mengekspos permintaan ke internet. Untuk daftar lengkap layanan yang tersedia di
VIP terbatas, lihat
Layanan yang didukung oleh VIP terbatas.
Layanan yang tidak didukung
Mencoba membatasi layanan yang tidak didukung menggunakan alat command line gcloud atau
Access Context Manager API akan menyebabkan error.
Akses lintas project ke data layanan yang didukung akan diblokir oleh Kontrol Layanan VPC.
Selain itu, VIP yang dibatasi dapat digunakan untuk memblokir kemampuan workload
untuk memanggil layanan yang tidak didukung.
Batasan umum lainnya
Bagian ini menjelaskan batasan umum pada layanan, produk, dan antarmukaGoogle Cloud tertentu yang dapat ditemui saat menggunakan Kontrol Layanan VPC.
Untuk mengetahui batasan pada produk yang didukung oleh Kontrol Layanan VPC, lihat tabel Produk yang Didukung.
Untuk mengetahui informasi selengkapnya tentang cara menyelesaikan masalah terkait Kontrol Layanan VPC, lihat halaman Pemecahan masalah.
AutoML API
Saat Anda menggunakan AutoML API dengan Kontrol Layanan VPC, batasan berikut berlaku:
Anda tidak dapat menambahkan endpoint regional yang didukung, seperti eu-automl.googleapis.com, ke daftar layanan yang dibatasi dalam perimeter. Saat Anda melindungi layanan automl.googleapis.com, perimeter
juga melindungi endpoint regional yang didukung, seperti eu-automl.googleapis.com.
Saat Anda menggunakan perimeter layanan untuk melindungi
automl.googleapis.com, akses ke semua produk AutoML yang
terintegrasi dengan Kontrol Layanan VPC dan digunakan di dalam
perimeter akan terpengaruh. Anda harus mengonfigurasi perimeter Kontrol Layanan VPC untuk semua produk AutoML terintegrasi yang digunakan di dalam perimeter tersebut.
Untuk melindungi AutoML API sepenuhnya, sertakan semua API berikut dalam perimeter Anda:
AutoML API (automl.googleapis.com)
Cloud Storage API (storage.googleapis.com)
Compute Engine API (compute.googleapis.com)
BigQuery API (bigquery.googleapis.com)
App Engine
App Engine (baik lingkungan standar maupun lingkungan fleksibel) tidak didukung oleh Kontrol Layanan VPC. Jangan sertakan
project App Engine dalam perimeter layanan.
Namun, aplikasi App Engine yang dibuat di project di luar perimeter layanan dapat diizinkan untuk membaca dan menulis data ke layanan yang dilindungi di dalam perimeter. Untuk mengizinkan aplikasi Anda mengakses data layanan yang dilindungi, buat tingkat akses yang menyertakan akun layanan App Engine project. Hal ini tidak memungkinkan App Engine digunakan di dalam perimeter layanan.
Solusi Bare Metal
Menghubungkan Kontrol Layanan VPC ke lingkungan Bare Metal Solution Anda tidak menjamin kontrol layanan apa pun.
Bare Metal Solution API dapat ditambahkan ke perimeter yang aman. Namun, perimeter Kontrol Layanan VPC tidak mencakup lingkungan Solusi Bare Metal di ekstensi regional.
Blockchain Node Engine
Kontrol Layanan VPC hanya melindungi Blockchain Node Engine API.
Saat membuat node, Anda tetap harus menunjukkan bahwa node tersebut ditujukan untuk
jaringan pribadi yang dikonfigurasi pengguna dengan
Private Service Connect.
Traffic peer-to-peer tidak terpengaruh oleh VPC Service Controls atau Private Service Connect dan akan terus menggunakan internet publik.
Library klien
Library klien Java dan Python untuk semua layanan yang didukung sepenuhnya
didukung untuk akses menggunakan VIP terbatas. Dukungan untuk bahasa lain masih dalam tahap Alfa dan hanya boleh digunakan untuk tujuan pengujian.
Klien harus menggunakan library klien yang telah diupdate pada 1 November 2018 atau yang lebih baru.
Kunci akun layanan atau metadata klien OAuth2 yang digunakan oleh klien harus
diperbarui mulai 1 November 2018 atau yang lebih baru. Klien lama yang menggunakan endpoint
token harus beralih ke endpoint yang ditentukan dalam materi kunci atau metadata
klien yang lebih baru.
Penagihan Cloud
Kontrol Layanan VPC tidak mendukung Cloud Billing. Anda dapat mengekspor data Penagihan Cloud ke bucket Cloud Storage atau instance BigQuery dalam project yang dilindungi oleh perimeter layanan tanpa mengonfigurasi tingkat akses atau aturan masuk.
Cloud Deployment Manager
Deployment Manager tidak didukung oleh Kontrol Layanan VPC.
Pengguna mungkin dapat memanggil layanan yang mematuhi
Kontrol Layanan VPC, tetapi mereka tidak boleh mengandalkan hal ini karena dapat rusak.
Sebagai solusi sementara, Anda dapat menambahkan akun layanan Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com)
ke tingkat akses untuk mengizinkan panggilan ke API yang dilindungi oleh Kontrol Layanan VPC.
Cloud Shell
Kontrol Layanan VPC tidak mendukung Cloud Shell. Kontrol Layanan VPC
memperlakukan Cloud Shell sebagai berada di luar perimeter layanan dan menolak akses
ke data yang dilindungi oleh Kontrol Layanan VPC. Namun, Kontrol Layanan VPC
mengizinkan akses ke Cloud Shell jika perangkat yang memenuhi
persyaratan tingkat akses
perimeter layanan memulai Cloud Shell.
KonsolGoogle Cloud
Karena konsol Google Cloud hanya dapat diakses melalui internet,
konsol ini dianggap berada di luar perimeter layanan. Saat Anda menerapkan perimeter layanan, antarmuka konsol Google Cloud untuk layanan yang Anda lindungi mungkin menjadi tidak dapat diakses sebagian atau sepenuhnya. Misalnya, jika Anda
melindungi Logging dengan perimeter, Anda tidak akan dapat
mengakses antarmuka Logging di
konsol Google Cloud .
Untuk mengizinkan akses dari konsol Google Cloud ke resource yang dilindungi oleh perimeter, Anda harus membuat tingkat akses untuk rentang IP publik yang mencakup komputer pengguna yang ingin menggunakan konsol Google Cloud dengan API yang dilindungi. Misalnya, Anda dapat menambahkan rentang IP publik gateway NAT jaringan pribadi Anda ke tingkat akses, lalu menetapkan tingkat akses tersebut ke perimeter layanan.
Jika ingin membatasi akses konsol perimeter hanya untuk serangkaian pengguna tertentu, Anda juga dapat menambahkan pengguna tersebut ke tingkat akses. Google Cloud Dalam hal ini, hanya pengguna tertentu yang dapat mengakses konsol
Google Cloud .
Permintaan melalui konsol Google Cloud dari jaringan yang mengaktifkan Akses Google Pribadi, termasuk jaringan yang diaktifkan secara implisit oleh Cloud NAT, mungkin diblokir meskipun jaringan sumber yang meminta dan resource target berada dalam perimeter yang sama. Hal ini karena akses konsolGoogle Cloud melalui Akses Google Pribadi tidak didukung oleh Kontrol Layanan VPC.
Akses layanan pribadi mendukung
deployment instance layanan di
jaringan VPC Bersama.
Jika Anda menggunakan konfigurasi ini dengan Kontrol Layanan VPC, pastikan project host yang menyediakan jaringan dan project layanan yang berisi instance layanan berada di dalam perimeter Kontrol Layanan VPC yang sama. Jika tidak, permintaan mungkin diblokir dan instance layanan
mungkin tidak berfungsi dengan benar.
Untuk mengetahui informasi selengkapnya tentang layanan yang mendukung akses layanan pribadi, lihat Layanan yang didukung.
GKE Multi-Cloud
VPC Service Controls hanya berlaku untuk resource dalam project Google Cloud Platform Anda. Lingkungan cloud pihak ketiga yang menghosting cluster Multi-Cloud GKE Anda tidak menjamin kontrol layanan apa pun.
Google Distributed Cloud
Kontrol Layanan VPC hanya berlaku untuk mesin bare metal yang terhubung ke project jaringan VPC yang menggunakan VIP Terbatas.
Setelah mengaktifkan perimeter layanan, Anda tidak dapat mentransfer data infrastruktur ke StratoZone.
Workforce Identity Federation
Fitur administratif Workforce Identity Federation, termasuk API konfigurasi kumpulan tenaga kerja, dan API Layanan Token Keamanan tidak mendukung Kontrol Layanan VPC.
Namun, Google Cloud produk yang mendukung Workforce Identity Federation
dan VPC Service Controls beroperasi
seperti yang didokumentasikan dan tunduk pada pemeriksaan kebijakan Kontrol Layanan VPC. Selain itu, Anda dapat
menggunakan identitas pihak ketiga
seperti pengguna kumpulan tenaga kerja dan identitas beban kerja dalam aturan ingress atau egress Kontrol Layanan VPC.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-12-04 UTC."],[],[]]
