Prodotti supportati e limitazioni

Per saperne di più su Infrastructure Manager, consulta la documentazione del prodotto.

Per utilizzare Gestore carichi di lavoro in un perimetro dei Controlli di servizio VPC:

• Devi utilizzare un pool di worker privato di Cloud Build per l'ambiente di deployment in Workload Manager. Non puoi utilizzare il pool di worker predefinito di Cloud Build.
• Per scaricare la configurazione Terraform, nel pool privato di Cloud Build devono essere abilitate le chiamate internet pubbliche.

Per maggiori informazioni, consulta Utilizzare un pool di worker privato di Cloud Build nella documentazione di Workload Manager.

Per saperne di più su Gestore carichi di lavoro, consulta la documentazione del prodotto.

L'API per Google Cloud NetApp Volumes può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Google Cloud NetApp Volumes, consulta la documentazione del prodotto.

Google Cloud Search supporta i Controlli di sicurezza Virtual Private Cloud (Controlli di servizio VPC) per migliorare la sicurezza dei dati. Controlli di servizio VPC consente di definire un perimetro di sicurezza attorno alle risorse della piattaforma Google Cloud per limitare i dati e contribuire a mitigare i rischi di esfiltrazione di dati.

Per saperne di più su Google Cloud Search, consulta la documentazione del prodotto.

L'API per Connectivity Tests può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Connectivity Tests, consulta la documentazione del prodotto.

L'integrazione di Connectivity Tests con Controlli di servizio VPC non ha limitazioni note.

Controlli di servizio VPC supporta la previsione online, ma non quella batch.

Per ulteriori informazioni su AI Platform Prediction, consulta la documentazione del prodotto.

L'API per AI Platform Training può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su AI Platform Training, consulta la documentazione del prodotto.

I perimetri Controlli di servizio VPC proteggono l'API AlloyDB.

Per saperne di più su AlloyDB per PostgreSQL, consulta la documentazione del prodotto.

• Prima di configurare Controlli di servizio VPC per AlloyDB per PostgreSQL, abilita l'API Service Networking.
• Quando utilizzi AlloyDB per PostgreSQL con il VPC condiviso e i Controlli di servizio VPC, il progetto host e il progetto di servizio devono trovarsi nello stesso perimetro di servizio dei Controlli di servizio VPC.

L'API per Vertex AI Workbench può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Workbench, consulta la documentazione del prodotto.

L'API per Vertex AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Vedi Colab Enterprise.

Per saperne di più su Vertex AI, consulta la documentazione del prodotto.

L'API per Vertex AI Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Vision, consulta la documentazione del prodotto.

L'API per Colab Enterprise può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Colab Enterprise fa parte di Vertex AI. Vedi Vertex AI.

Colab Enterprise utilizza Dataform per l'archiviazione dei blocchi note. Vedi Dataform.

Per ulteriori informazioni su Colab Enterprise, consulta la documentazione del prodotto.

L'API per Apigee e Apigee hybrid può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Apigee e Apigee hybrid, consulta la documentazione del prodotto.

Per saperne di più su Analytics Hub, consulta la documentazione del prodotto.

L'API per Anthos Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Puoi utilizzare mesh.googleapis.com per abilitare le API richieste per Cloud Service Mesh. Non è necessario limitare mesh.googleapis.com nel perimetro poiché non espone nessuna API.

• Scopri di più sulla configurazione di cluster privati durante l'installazione di più cluster in Cloud Service Mesh.
• Scopri come aggiungere servizi Anthos Service Mesh ai perimetri di servizio.

Per saperne di più su Cloud Service Mesh, consulta la documentazione del prodotto.

I perimetri di servizio non sono attualmente supportati con il piano di controllo gestito di Cloud Service Mesh.

Oltre a proteggere l'API Artifact Registry, Artifact Registry può essere utilizzato all'interno dei perimetri di servizio con GKE e Compute Engine.

Per saperne di più su Artifact Registry, consulta la documentazione del prodotto.

L'API per Assured Workloads può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Assured Workloads, consulta la documentazione del prodotto.

L'integrazione di Assured Workloads con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per saperne di più su AutoML Natural Language, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per ulteriori informazioni su AutoML Tables, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per ulteriori informazioni su AutoML Translation, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per ulteriori informazioni su AutoML Video Intelligence, consulta la documentazione del prodotto.

Per proteggere completamente l'API AutoML, includi nel tuo perimetro tutte le API seguenti:

• API AutoML (automl.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API BigQuery (bigquery.googleapis.com)

Per ulteriori informazioni su AutoML Vision, consulta la documentazione del prodotto.

L'API Bare Metal Solution può essere aggiunta a un perimetro sicuro. Tuttavia, i perimetri Controlli di servizio VPC non si estendono all'ambiente Bare Metal Solution nelle estensioni a livello di regione.

Per ulteriori informazioni su Bare Metal Solution, consulta la documentazione del prodotto.

Bare Metal Solution non supporta i Controlli di servizio VPC. La connessione di un VPC con controlli di servizio abilitati al tuo ambiente Bare Metal Solution non garantisce alcuna garanzia di controllo dei servizi.

Per ulteriori informazioni sulle limitazioni Bare Metal Solution relative ai Controlli di servizio VPC, consulta Problemi noti e limitazioni.

L'API per Batch può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Batch, consulta la documentazione del prodotto.

L'API per BigLake Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su BigLake Metastore, consulta la documentazione del prodotto.

L'integrazione di BigLake Metastore con i Controlli di servizio VPC non ha limitazioni note.

Quando proteggi l'API BigQuery utilizzando un perimetro di servizio, anche l'API BigQuery Storage, l'API BigQuery Reservation e l'API BigQuery Connection sono protette. Non è necessario aggiungere separatamente queste API all'elenco di servizi protetti del perimetro.

Per saperne di più su BigQuery, consulta la documentazione del prodotto.

L'API BigQuery Data Policy può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API BigQuery Data Policy, consulta la documentazione del prodotto.

L'integrazione dell'API BigQuery Data Policy con i Controlli di servizio VPC non ha limitazioni note.

Il perimetro di servizio protegge solo l'API BigQuery Data Transfer Service. La protezione effettiva dei dati viene applicata da BigQuery. È stata progettata per consentire l'importazione di dati da varie origini esterne al di fuori di Google Cloud, come Amazon S3, Redshift, Teradata, YouTube, Google Play e Google Ads, nei set di dati BigQuery. Per informazioni sui requisiti di Controlli di servizio VPC per la migrazione dei dati da Teradata, consulta Requisiti per Controlli di servizio VPC.

Per ulteriori informazioni su BigQuery Data Transfer Service, consulta la documentazione del prodotto.

L'API BigQuery Migration può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API BigQuery Migration, consulta la documentazione del prodotto.

L'integrazione dell'API BigQuery Migration con i Controlli di servizio VPC non ha limitazioni note.

I servizi bigtable.googleapis.com e bigtableadmin.googleapis.com sono raggruppati. Quando limiti il servizio bigtable.googleapis.com in un perimetro, il perimetro limita il servizio bigtableadmin.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio bigtableadmin.googleapis.com all'elenco dei servizi limitati in un perimetro perché è in bundle con bigtable.googleapis.com.

Per saperne di più su Bigtable, consulta la documentazione del prodotto.

L'integrazione di Bigtable con i Controlli di servizio VPC non ha limitazioni note.

Quando utilizzi più progetti con Autorizzazione binaria, ogni progetto deve essere incluso nel perimetro dei Controlli di servizio VPC. Per maggiori informazioni su questo caso d'uso, consulta Configurazione di più progetti.

Con Autorizzazione binaria, puoi utilizzare Artifact Analysis per archiviare attestatori e attestazioni rispettivamente come note e occorrenze. In questo caso, devi includere anche Artifact Analysis nel perimetro dei Controlli di servizio VPC. Per ulteriori dettagli, consulta le linee guida sui Controlli di servizio VPC per Artifact Analysis.

Per saperne di più su Autorizzazione binaria, consulta la documentazione del prodotto.

L'integrazione di Autorizzazione binaria con i Controlli di servizio VPC non ha limitazioni note.

L'API per Blockchain Node Engine può essere protetta dai Controlli di servizio VPC e utilizzata normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Blockchain Node Engine, consulta la documentazione del prodotto.

L'API per Certificate Authority Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Certificate Authority Service, consulta la documentazione del prodotto.

Per utilizzare Config Controller con Controlli di servizio VPC, devi abilitare le seguenti API all'interno del tuo perimetro:

• API Cloud Monitoring (monitoring.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

Se esegui il provisioning delle risorse con Config Controller, devi abilitare l'API per quelle risorse nel tuo perimetro di servizio. Ad esempio, se vuoi aggiungere un account di servizio IAM, devi aggiungere l'API IAM (iam.googleapis.com).

Per saperne di più su Config Controller, consulta la documentazione del prodotto.

L'integrazione di Config Controller con i Controlli di servizio VPC non ha limitazioni note.

Per saperne di più su Data Catalog, consulta la documentazione del prodotto.

L'integrazione di Data Catalog con i Controlli di servizio VPC non presenta limitazioni note.

Cloud Data Fusion richiede alcuni passaggi speciali per la protezione mediante Controlli di servizio VPC.

Per saperne di più su Cloud Data Fusion, consulta la documentazione del prodotto.

L'API for Data Lineage può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Data Lineage, consulta la documentazione del prodotto.

L'integrazione dell'API Data Lineage con i Controlli di servizio VPC non ha limitazioni note.

Il supporto dei Controlli di servizio VPC per Compute Engine offre i seguenti vantaggi in termini di sicurezza:

• Limita l'accesso a operazioni API sensibili
• Limita gli snapshot di disco permanente e le immagini personalizzate a un perimetro
• Limita l'accesso ai metadati dell'istanza

Il supporto dei Controlli di servizio VPC per Compute Engine consente inoltre di utilizzare le reti Virtual Private Cloud e i cluster privati di Google Kubernetes Engine all'interno dei perimetri di servizio.

Per saperne di più su Compute Engine, consulta la documentazione del prodotto.

Per utilizzare Contact Center AI Insights con Controlli di servizio VPC, devi disporre delle seguenti API aggiuntive all'interno del tuo perimetro, a seconda dell'integrazione.

• Per caricare i dati in Contact Center AI Insights, aggiungi l'API Cloud Storage al perimetro di servizio.

• Per utilizzare l'esportazione, aggiungi l'API BigQuery al perimetro di servizio.

• Per integrare più prodotti CCAI, aggiungi l'API Vertex AI al perimetro di servizio.

Per saperne di più sugli insight di Contact Center AI, consulta la documentazione del prodotto.

L'integrazione di Contact Center AI Insights con i Controlli di servizio VPC non ha limitazioni note.

Dataflow supporta diversi connettori per i servizi di archiviazione. I seguenti connettori sono stati verificati per funzionare con Dataflow all'interno di un perimetro di servizio:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Per ulteriori informazioni su Dataflow, consulta la documentazione del prodotto.

• L'associazione BIND personalizzata non è supportata quando si utilizza Dataflow. Per personalizzare la risoluzione DNS quando utilizzi Dataflow con i Controlli di servizio VPC, utilizza le zone private di Cloud DNS anziché utilizzare server BIND personalizzati. Per utilizzare la risoluzione DNS on-premise, valuta la possibilità di utilizzare un metodo di forwarding DNS di Google Cloud.

• La scalabilità automatica verticale non può essere protetta da un perimetro dei Controlli di servizio VPC. Per utilizzare la scalabilità automatica verticale in un perimetro dei Controlli di servizio VPC, devi disabilitare la funzionalità dei servizi accessibili da VPC.

• Se abiliti Dataflow Prime e avvii un nuovo job all'interno di un perimetro Controlli di servizio VPC, il job utilizza Dataflow Prime senza scalabilità automatica verticale.

• Non è stato verificato che tutti i connettori dei servizi di archiviazione funzionino se utilizzati con Dataflow all'interno di un perimetro di servizio. Per un elenco dei connettori verificati, consulta "Dettagli" nella sezione precedente.

• Quando utilizzi Python 3.5 con l'SDK Apache Beam 2.20.0‐2.22.0, i job Dataflow non riusciranno all'avvio se i worker dispongono solo di indirizzi IP privati, ad esempio quando si utilizzano Controlli di servizio VPC per proteggere le risorse. Se i worker Dataflow possono avere solo indirizzi IP privati, ad esempio quando si utilizzano Controlli di servizio VPC per proteggere le risorse, non utilizzare Python 3.5 con l'SDK Apache Beam 2.20.0‐2.22.0. Questa combinazione causa la mancata riuscita dei job all'avvio.

L'API per Dataplex può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dataplex, consulta la documentazione del prodotto.

Dataproc richiede passaggi speciali per la protezione mediante Controlli di servizio VPC.

Per ulteriori informazioni su Dataproc, consulta la documentazione del prodotto.

Per proteggere un cluster Dataproc con un perimetro di servizio, segui le istruzioni per le reti Dataproc e VPC Service Controls.

Dataproc Serverless richiede passaggi speciali per la protezione mediante Controlli di servizio VPC.

Per ulteriori informazioni su Dataproc Serverless per Spark, fai riferimento alla documentazione del prodotto.

Per proteggere il carico di lavoro serverless con un perimetro di servizio, segui le istruzioni per le reti Dataproc Serverless e VPC Service Controls.

L'API per Dataproc Metastore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Dataproc Metastore, consulta la documentazione del prodotto.

L'integrazione di Dataproc Metastore con i Controlli di servizio VPC non ha limitazioni note.

L'API per Datastream può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Datastream, consulta la documentazione del prodotto.

L'integrazione di Datastream con i Controlli di servizio VPC non ha limitazioni note.

L'API per Database Migration Service può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Database Migration Service, consulta la documentazione del prodotto.

L'API per Dialogflow può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Dialogflow, consulta la documentazione del prodotto.

L'API per la protezione dei dati sensibili può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Sensitive Data Protection, consulta la documentazione del prodotto.

L'API per Cloud DNS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud DNS, consulta la documentazione del prodotto.

• Puoi accedere a Cloud DNS tramite il VIP con restrizioni. Tuttavia, non puoi creare o aggiornare le zone DNS pubbliche all'interno dei progetti all'interno del perimetro dei Controlli di servizio VPC.

L'API per Document AI può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Document AI, consulta la documentazione del prodotto.

L'integrazione di Document AI con i Controlli di servizio VPC non ha limitazioni note.

L'API per Document AI Warehouse può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Document AI Warehouse, consulta la documentazione del prodotto.

L'integrazione di Document AI Warehouse con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Domains può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Domains, consulta la documentazione del prodotto.

• I dati di contatto utilizzati in Cloud Domains potrebbero essere condivisi con il registry dei suffissi di dominio o dei domini di primo livello (TLD) e potrebbero essere accessibili pubblicamente per WHOIS/RDAP in base alle tue impostazioni, in conformità con le regole di ICANN. Per maggiori dettagli, consulta Protezione della privacy.

• I dati di configurazione DNS utilizzati in Cloud Domains, ovvero i server dei nomi e le impostazioni DNSSEC, sono pubblici. Se il tuo dominio delega una zona DNS pubblica (impostazione predefinita), anche i dati di configurazione DNS di quella zona saranno pubblici.

Eventarc gestisce la distribuzione degli eventi utilizzando argomenti Pub/Sub e le sottoscrizioni push. Per accedere all'API Pub/Sub e gestire i trigger di eventi, l'API Eventarc deve essere protetta all'interno dello stesso perimetro di servizio Controlli di servizio VPC dell'API Pub/Sub.

Per saperne di più su Eventarc, consulta la documentazione del prodotto.

Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:

• Eventarc è vincolato dalle stesse limitazioni di Pub/Sub:
  • Durante il routing degli eventi alle destinazioni di Cloud Run, non è possibile creare nuove sottoscrizioni push di Pub/Sub, a meno che gli endpoint push non siano impostati sui servizi Cloud Run con URL run.app predefiniti (i domini personalizzati non funzionano).
  • Quando si instradano eventi a destinazioni di Workflows per cui l'endpoint push di Pub/Sub è impostato su un'esecuzione di Workflows, puoi solo creare nuove sottoscrizioni push di Pub/Sub tramite Eventarc.
  In questo documento, consulta le limitazioni di Pub/Sub.
• I Controlli di servizio VPC bloccano la creazione di trigger Eventarc per endpoint HTTP interni. La protezione dei Controlli di servizio VPC non si applica quando si instradano eventi a queste destinazioni.

L'API antiriciclaggio può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Anti Money Laundering AI, consulta la documentazione del prodotto.

L'integrazione di Anti Money Laundering AI con i Controlli di servizio VPC non ha limitazioni note.

Quando configuri e scambi token di Firebase App Check, Controlli di servizio VPC protegge solo il servizio Firebase App Check. Per proteggere i servizi che si basano su Firebase App Check, devi configurare perimetri di servizio per questi servizi.

Per ulteriori informazioni su Firebase App Check, consulta la documentazione del prodotto.

L'integrazione di Firebase App Check con i Controlli di servizio VPC non ha limitazioni note.

Quando gestisci i criteri delle regole di sicurezza Firebase, Controlli di servizio VPC protegge solo il servizio Regole di sicurezza Firebase. Per proteggere i servizi che si basano sulle regole di sicurezza di Firebase, devi configurare i relativi autorizzazioni di servizio.

Per ulteriori informazioni sulle regole di sicurezza di Firebase, consulta la documentazione del prodotto.

L'integrazione delle regole di sicurezza di Firebase con i Controlli di servizio VPC non ha limitazioni note.

Per la procedura di configurazione, consulta la documentazione di Cloud Functions. La protezione dei Controlli di servizio VPC non si applica alla fase di creazione quando le funzioni Cloud Functions vengono create utilizzando Cloud Build. Per ulteriori dettagli, consulta le limitazioni note.

Per ulteriori informazioni su Cloud Functions, consulta la documentazione del prodotto.

Quando limiti IAM con un perimetro, sono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono la gestione di ruoli IAM personalizzati, la gestione dei pool di identità per i carichi di lavoro e la gestione di chiavi e account di servizio. Il perimetro non limita le azioni dei pool di forza lavoro perché i pool di forza lavoro sono risorse a livello di organizzazione.

Il perimetro IAM non limita la gestione degli accessi (ovvero il recupero o l'impostazione di criteri IAM) per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni di Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione degli accessi per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano i criteri IAM e i servizi che li possiedono, vedi Tipi di risorse che accettano i criteri IAM.

Inoltre, il perimetro che circonda IAM non limita le azioni che utilizzano altre API, tra cui:

• API IAM Policy Simulator
• API IAM Policy Troubleshooter
• API Security Token Service
• API Service Account Credentials (inclusi i metodi signBlob e signJwt legacy nell'API IAM)

Per saperne di più su Identity and Access Management, consulta la documentazione del prodotto.

Se ti trovi all'interno del perimetro, non puoi chiamare il metodo roles.list con una stringa vuota per elencare i ruoli predefiniti IAM. Se hai bisogno di visualizzare i ruoli predefiniti, consulta la documentazione sui ruoli IAM.

L'API IAP Admin consente agli utenti di configurare IAP.

Per ulteriori informazioni sull'API IAP Admin , consulta la documentazione del prodotto.

L'integrazione dell'API IAP Admin con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'inventario di Cloud KMS Inventory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud KMS Inventory, consulta la documentazione del prodotto.

Il metodo dell'API SearchProtectedResources non applica restrizioni per il perimetro di servizio sui progetti restituiti.

L'API per le credenziali dell'account di servizio può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulle credenziali dell'account di servizio, consulta la documentazione del prodotto.

L'integrazione delle credenziali dell'account di servizio con i Controlli di servizio VPC non ha limitazioni note.

L'API for Service Metadata può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Service Metadata, consulta la documentazione del prodotto.

L'integrazione dell'API Service Metadata con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'accesso VPC serverless può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'accesso VPC serverless, consulta la documentazione del prodotto.

L'integrazione dell'accesso VPC serverless con i Controlli di servizio VPC non ha limitazioni note.

L'API Cloud KMS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato all'interno dei perimetri di servizio. Anche l'accesso ai servizi Cloud HSM è protetto dai Controlli di servizio VPC e può essere utilizzato all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Key Management Service, consulta la documentazione del prodotto.

L'integrazione di Cloud Key Management Service con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Game Servers può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sui Game Servers, consulta la documentazione del prodotto.

L'integrazione di Game Servers con i Controlli di servizio VPC non ha limitazioni note.

L'API per Gemini Code Assist può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Gemini Code Assist, consulta la documentazione del prodotto.

Il controllo dell'accesso basato su dispositivo, indirizzo IP pubblico o località non è supportato per Gemini nella console Google Cloud.

L'API per Identity-Aware Proxy per TCP può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Identity-Aware Proxy per TCP, consulta la documentazione del prodotto.

L'API per Cloud Life Sciences può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Life Sciences, consulta la documentazione del prodotto.

L'integrazione di Cloud Life Sciences con i Controlli di servizio VPC non ha limitazioni note.

Configurazione aggiuntiva richiesta per:

• Accesso on-premise all'API Microsoft AD gestita
• VPC condiviso

Per saperne di più su Managed Service for Microsoft Active Directory, consulta la documentazione del prodotto.

L'integrazione di Managed Service for Microsoft Active Directory con i Controlli di servizio VPC non ha limitazioni note.

L'API per reCAPTCHA può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su reCAPTCHA, consulta la documentazione del prodotto.

L'integrazione di reCAPTCHA con i Controlli di servizio VPC non ha limitazioni note.

L'API per Web Risk può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per scoprire di più su Web Risk, consulta la documentazione del prodotto.

L'API Assess e l'API Submission non sono supportate dai Controlli di servizio VPC.

L'API per il motore per suggerimenti può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sul motore per suggerimenti, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta le risorse dell'organizzazione, delle cartelle o degli account di fatturazione.

L'API per Secret Manager può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Secret Manager, consulta la documentazione del prodotto.

L'integrazione di Secret Manager con i Controlli di servizio VPC non ha limitazioni note.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni dell'amministratore, alle operazioni del publisher e alle operazioni degli abbonati (ad eccezione delle sottoscrizioni push esistenti).

Per saperne di più su Pub/Sub, consulta la documentazione del prodotto.

Nei progetti protetti da un perimetro di servizio, si applicano le seguenti limitazioni:

• Non è possibile creare nuove sottoscrizioni push a meno che gli endpoint push non siano impostati su servizi Cloud Run con URL run.app predefiniti o un'esecuzione di Workflows (i domini personalizzati non funzionano). Per ulteriori informazioni sull'integrazione con Cloud Run, consulta Utilizzo dei Controlli di servizio VPC.
• Per le sottoscrizioni non push, devi creare una sottoscrizione nello stesso perimetro dell'argomento o abilitare le regole in uscita per consentire l'accesso dall'argomento alla sottoscrizione.
• Quando si instradano eventi tramite Eventarc a destinazioni di Workflows per cui l'endpoint push è impostato su un'esecuzione di Workflows, puoi creare nuove sottoscrizioni push solo tramite Eventarc.
• Le sottoscrizioni Pub/Sub create prima del perimetro di servizio non sono bloccate.

La protezione dei Controlli di servizio VPC si applica a tutte le operazioni degli abbonati.

Per ulteriori informazioni su Pub/Sub Lite, consulta la documentazione del prodotto.

L'integrazione di Pub/Sub Lite con i Controlli di servizio VPC non ha limitazioni note.

Utilizza Controlli di servizio VPC con i pool privati di Cloud Build per aggiungere ulteriore sicurezza alle build.

Per ulteriori informazioni su Cloud Build, consulta la documentazione del prodotto.

• La protezione dei Controlli di servizio VPC è disponibile solo per le build eseguite in pool privati.

• I trigger Pub/Sub di Cloud Build non sono supportati.

L'API per Cloud Deploy può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Deploy, consulta la documentazione del prodotto.

Per utilizzare Cloud Deploy in un perimetro, devi utilizzare un pool privato di Cloud Build per gli ambienti di esecuzione della destinazione. Non utilizzare il pool di worker predefinito (Cloud Build) e non utilizzare un pool ibrido.

Configurazione di Composer per l'utilizzo con i Controlli di servizio VPC

Per ulteriori informazioni su Cloud Composer, consulta la documentazione del prodotto.

• L'abilitazione della serializzazione DAG impedisce ad Airflow di visualizzare un modello sottoposto a rendering con funzioni nella UI web.

• L'impostazione del flag async_dagbag_loader su True non è supportata quando la serializzazione DAG è abilitata.

• L'abilitazione della serializzazione DAG disabilita tutti i plug-in del server web di Airflow, in quanto potrebbero mettere a rischio la sicurezza della rete VPC in cui viene eseguito il deployment di Cloud Composer. Ciò non influisce sul comportamento dei plug-in scheduler o worker, inclusi gli operatori e i sensori di Airflow.

• Quando Cloud Composer è in esecuzione all'interno di un perimetro, l'accesso ai repository PyPI pubblici è limitato. Nella documentazione di Cloud Composer, consulta l'articolo sull'installazione delle dipendenze Python per scoprire come installare i moduli PyPi in modalità IP privato.

L'API per le quote di Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Quotas, consulta la documentazione del prodotto.

Poiché Controlli di servizio VPC applica i confini a livello di progetto, le richieste di Cloud Quotas provenienti dai client all'interno del perimetro possono accedere alle risorse dell'organizzazione solo se l'organizzazione configura una regola in uscita. Per configurare una regola in uscita, consulta le istruzioni dei Controlli di servizio VPC per la configurazione dei criteri di traffico in entrata e in uscita.

Per saperne di più su Cloud Run, consulta la documentazione del prodotto.

• Creazione di job Cloud Scheduler
• Aggiornamenti dei job Cloud Scheduler

Per ulteriori informazioni su Cloud Scheduler, consulta la documentazione del prodotto.

L'API per Spanner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Spanner, consulta la documentazione del prodotto.

L'integrazione di Spanner con i Controlli di servizio VPC non ha limitazioni note.

L'API per Speaker ID può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Speaker ID, consulta la documentazione del prodotto.

L'integrazione di Speaker ID con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Storage può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Storage, consulta la documentazione del prodotto.

L'API per Cloud Tasks può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Le richieste HTTP dalle esecuzioni di Cloud Tasks sono supportate come segue:

• Sono consentite le richieste autenticate agli endpoint Cloud Functions e di Cloud Run conformi ai Controlli di servizio VPC.
• Le richieste a endpoint non Cloud Functions e non Cloud Run sono bloccate.
• Le richieste agli endpoint Cloud Functions e Cloud Run non conformi ai Controlli di servizio non conformi a VPC sono bloccate.

Per saperne di più su Cloud Tasks, consulta la documentazione del prodotto.

I perimetri Controlli di servizio VPC proteggono l'API Cloud SQL Admin.

Per saperne di più su Cloud SQL, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Cloud SQL Admin. Non proteggono l'accesso ai dati basato su IP alle istanze Cloud SQL. Devi utilizzare un vincolo dei criteri dell'organizzazione per limitare l'accesso IP pubblico nelle istanze Cloud SQL.
• Prima di configurare Controlli di servizio VPC per Cloud SQL, abilita l'API Service Networking.

• Le importazioni e le esportazioni di Cloud SQL possono eseguire operazioni di lettura e scrittura solo da un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza di replica Cloud SQL.

• Nel flusso di migrazione del server esterno, devi aggiungere il bucket Cloud Storage allo stesso perimetro di servizio.
• Nel flusso di creazione delle chiavi per CMEK, devi creare la chiave nello stesso perimetro di servizio delle risorse che la utilizzano.
• Quando ripristini un'istanza da un backup, l'istanza di destinazione deve trovarsi nello stesso perimetro di servizio del backup.

L'API per Video Intelligence può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Video Intelligence, consulta la documentazione del prodotto.

L'integrazione dell'API Video Intelligence con i Controlli di servizio VPC non presenta limitazioni note.

L'API per l'API Cloud Vision può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Vision, consulta la documentazione del prodotto.

Per utilizzare Artifact Analysis con i Controlli di servizio VPC, potrebbe essere necessario aggiungere altri servizi al tuo perimetro VPC:

• Se utilizzi le notifiche Pub/Sub con Artifact Analysis, aggiungi Pub/Sub al tuo perimetro di servizio.
• Se utilizzi l'API Container Scanning, aggiungi il tuo registry al perimetro: Artifact Registry o Container Registry.

Poiché l'API Container Scanning è un'API senza superficie che archivia i risultati in Artifact Analysis, non è necessario proteggere l'API con un perimetro di servizio.

Per ulteriori informazioni su Artifact Analysis, consulta la documentazione del prodotto.

L'integrazione di Artifact Analysis con i Controlli di servizio VPC non presenta limitazioni note.

Oltre a proteggere l'API Container Registry, Container Registry può essere utilizzato all'interno di un perimetro di servizio con GKE e Compute Engine.

Per saperne di più su Container Registry, consulta la documentazione del prodotto.

• Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Container Registry.

  Come soluzione alternativa, utilizza ANY_IDENTITY come tipo di identità.

• Poiché Container Registry utilizza il dominio gcr.io, devi configurare il DNS affinché *.gcr.io venga mappato su private.googleapis.com o restricted.googleapis.com. Per maggiori informazioni, consulta Protezione di Container Registry in un perimetro di servizio.

• Oltre ai container all'interno di un perimetro disponibili per Container Registry, per tutti i progetti sono disponibili i seguenti repository di sola lettura, indipendentemente dalle restrizioni imposte dai perimetri di servizio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  In tutti i casi, sono disponibili anche le versioni multiregionali di questi repository.

L'API per Google Kubernetes Engine può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Google Kubernetes Engine, consulta la documentazione del prodotto.

• Per proteggere completamente l'API Google Kubernetes Engine, devi includere l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) anche nel perimetro.
• Solo i cluster privati possono essere protetti utilizzando i Controlli di servizio VPC. I cluster con indirizzi IP pubblici non sono supportati dai Controlli di servizio VPC.

• La scalabilità automatica funziona indipendentemente da GKE. Poiché Controlli di servizio VPC non supporta autoscaling.googleapis.com, la scalabilità automatica non funziona. Quando utilizzi GKE, puoi ignorare negli audit log la violazione SERVICE_NOT_ALLOWED_FROM_VPC causata dal servizio autoscaling.googleapis.com.

L'API for Container Security può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Container Security, consulta la documentazione del prodotto.

L'integrazione dell'API Container Security con i Controlli di servizio VPC non ha limitazioni note.

Il flusso di immagini è una funzionalità di flussi di dati GKE che offre tempi di pull delle immagini container più brevi per le immagini archiviate in Artifact Registry. Se Controlli di servizio VPC protegge le immagini container e utilizzi flussi di immagini, devi includere anche l'API Image streaming nel perimetro di servizio.

Per ulteriori informazioni sul flusso di immagini, consulta la documentazione del prodotto.

• I seguenti repository di sola lettura sono disponibili per tutti i progetti, indipendentemente dalle restrizioni applicate dai perimetri di servizio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Le API di gestione del parco risorse, incluso il gateway Connect, possono essere protette con i Controlli di servizio VPC e le funzionalità di gestione del parco risorse possono essere utilizzate normalmente all'interno dei perimetri di servizio. Per ulteriori informazioni, consulta le seguenti risorse:

• Utilizzare i Controlli di servizio VPC con l'agente Connect
• Utilizzare Controlli di servizio VPC con il gateway Connect

Per saperne di più sui parchi risorse, consulta la documentazione del prodotto.

• Sebbene tutte le funzionalità di gestione del parco risorse possano essere utilizzate normalmente, l'abilitazione di un perimetro di servizio attorno all'API Stackdriver limita l'integrazione della funzionalità del parco risorse Policy Controller con Security Command Center.

I seguenti metodi dell'API Cloud Resource Manager possono essere protetti dai Controlli di servizio VPC:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Per saperne di più su Resource Manager, consulta la documentazione del prodotto.

• Solo le chiavi tag associate direttamente da una risorsa di progetto e valori tag corrispondenti possono essere protette utilizzando Controlli di servizio VPC. Quando un progetto viene aggiunto a un perimetro dei Controlli di servizio VPC, tutte le chiavi tag e i valori dei tag corrispondenti nel progetto sono considerati risorse all'interno del perimetro.
• Le chiavi tag associate a una risorsa organizzazione e i valori tag corrispondenti non possono essere incluse in un perimetro dei Controlli di servizio VPC e non possono essere protette tramite Controlli di servizio VPC.
• I client all'interno di un perimetro dei Controlli di servizio VPC non possono accedere alle chiavi tag e ai valori corrispondenti associati a una risorsa dell'organizzazione, a meno che nel perimetro non sia impostata una regola di traffico in uscita che consente l'accesso. Per maggiori informazioni sull'impostazione delle regole di traffico in uscita, consulta Regole in entrata e in uscita.
• Le associazioni di tag sono considerate risorse all'interno dello stesso perimetro della risorsa a cui è associato il valore del tag. Ad esempio, le associazioni di tag su un'istanza Compute Engine in un progetto vengono considerate come appartenenti a quel progetto, indipendentemente da dove è definita la chiave tag.
• Alcuni servizi come Compute Engine consentono la creazione di associazioni di tag utilizzando le proprie API di servizio, oltre alle API di servizio Resource Manager. Ad esempio, l'aggiunta di tag a una VM di Compute Engine durante la creazione di risorse. Per proteggere le associazioni di tag create o eliminate utilizzando queste API di servizio, aggiungi il servizio corrispondente, ad esempio compute.googleapis.com, all'elenco dei servizi limitati nel perimetro.
• I tag supportano limitazioni a livello di metodo, quindi puoi limitare l'ambito di method_selectors a metodi API specifici. Per un elenco di metodi limitabili, vedi Limitazioni dei metodi di servizio supportati.
• La concessione del ruolo di proprietario su un progetto tramite la console Google Cloud è ora supportata dai Controlli di servizio VPC. Non puoi inviare un invito come proprietario o accettare un invito al di fuori dei perimetri di servizio. Se tenti di accettare un invito dall'esterno del perimetro, non ti verrà concesso il ruolo di proprietario e non verrà visualizzato alcun messaggio di errore o di avviso.

L'API per Cloud Logging può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Logging, consulta la documentazione del prodotto.

L'API per Gestore certificati può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Certificate Manager, consulta la documentazione del prodotto.

L'integrazione di Gestore certificati con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Monitoring può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Monitoring, consulta la documentazione del prodotto.

L'API per Cloud Profiler può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud Profiler, consulta la documentazione del prodotto.

L'integrazione di Cloud Profiler con i Controlli di servizio VPC non ha limitazioni note.

L'API per Timeseries Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Timeseries Insights, consulta la documentazione del prodotto.

L'integrazione dell'API Timeseries Insights con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud Trace può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Trace, consulta la documentazione del prodotto.

L'integrazione di Cloud Trace con i Controlli di servizio VPC non ha limitazioni note.

L'API per Cloud TPU può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud TPU, consulta la documentazione del prodotto.

L'integrazione di Cloud TPU con i Controlli di servizio VPC non ha limitazioni note.

Per ulteriori informazioni sull'API Natural Language, consulta la documentazione del prodotto.

Poiché l'API Natural Language è un'API stateless e non viene eseguita sui progetti, l'utilizzo dei Controlli di servizio VPC per proteggere l'API Natural Language non ha alcun effetto.

L'API per Network Connectivity Center può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Network Connectivity Center, consulta la documentazione del prodotto.

L'integrazione di Network Connectivity Center con i Controlli di servizio VPC non ha limitazioni note.

L'API per l'API Cloud Asset può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Asset, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta l'accesso alle risorse API Cloud Asset a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Cloud Asset a livello di progetto. Puoi specificare un criterio in uscita per impedire l'accesso alle risorse dell'API Cloud Asset a livello di progetto da progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta di risorse API Cloud Asset a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse dell'API Cloud Asset a livello di cartella o organizzazione. Per gestire le autorizzazioni di Cloud Asset Inventory a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
• Non puoi esportare asset a livello di cartella o organizzazione in destinazioni all'interno di un perimetro di servizio.
• Non puoi creare feed in tempo reale per gli asset a livello di cartella o organizzazione con un argomento Pub/Sub all'interno di un perimetro di servizio.

L'API per Speech-to-Text può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Speech-to-Text, consulta la documentazione del prodotto.

L'integrazione di Speech-to-Text con i Controlli di servizio VPC non ha limitazioni note.

L'API per Text-to-Speech può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Text-to-Speech, consulta la documentazione del prodotto.

L'integrazione di Text-to-Speech con Controlli di servizio VPC non ha limitazioni note.

L'API Translation può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Translation, consulta la documentazione del prodotto.

Cloud Translation - Advanced (v3) supporta i Controlli di servizio VPC, ma non Cloud Translation - Basic (v2). Per applicare i Controlli di servizio VPC, devi utilizzare Cloud Translation - Advanced (v3). Per ulteriori informazioni sulle diverse versioni, consulta la sezione Confronto tra le versioni di base e avanzata.

Utilizza Controlli di servizio VPC con l'API Live Stream per proteggere la pipeline.

Per ulteriori informazioni sull'API Live Stream, consulta la documentazione del prodotto.

Per proteggere gli endpoint di input con un perimetro di servizio, devi seguire le istruzioni per configurare un pool privato e inviare gli stream video di input tramite una connessione privata.

L'API API for Transcoder può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Transcoder, consulta la documentazione del prodotto.

L'integrazione dell'API Transcoder con i Controlli di servizio VPC non ha limitazioni note.

L'API for Video Stitcher può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Video Stitcher, consulta la documentazione del prodotto.

L'integrazione dell'API Video Stitcher con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Access Approval può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Access Approval, consulta la documentazione del prodotto.

L'integrazione di Access Approval con i Controlli di servizio VPC non ha limitazioni note.

L'API Cloud Healthcare può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Cloud Healthcare, consulta la documentazione del prodotto.

L'integrazione dell'API Cloud Healthcare con i Controlli di servizio VPC non ha limitazioni note.

Ti consigliamo di posizionare il tuo progetto Storage Transfer Service all'interno dello stesso perimetro di servizio delle risorse Cloud Storage. In questo modo protegge sia i trasferimenti che le risorse Cloud Storage. Storage Transfer Service supporta anche scenari in cui il progetto Storage Transfer Service non si trova nello stesso perimetro dei bucket Cloud Storage, utilizzando un criterio di traffico in uscita.

Per informazioni sulla configurazione, consulta Utilizzo di Storage Transfer Service con i Controlli di servizio VPC

Transfer Service for On Premises Data

Consulta Utilizzo di Transfer for On Premises con i Controlli di servizio VPC per i dettagli e le informazioni di configurazione per Transfer for On Premises.

Per saperne di più su Storage Transfer Service, consulta la documentazione del prodotto.

L'API per i Service Control può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Service Control, consulta la documentazione del prodotto.

• Quando chiami l'API Service Control da una rete VPC in un perimetro di servizio con Controllo di servizio limitato alle metriche di fatturazione o di analisi dei report, puoi usare solo il metodo Report di Service Control per generare report sulle metriche per i servizi supportati di Controlli di servizio VPC.

L'API per Memorystore for Redis può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Memorystore for Redis, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Redis. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Redis all'interno della stessa rete.

• Se anche l'API Cloud Storage è protetta, le operazioni di importazione ed esportazione di Memorystore for Redis possono eseguire operazioni di lettura e scrittura solo in un bucket Cloud Storage all'interno dello stesso perimetro di servizio dell'istanza Memorystore for Redis.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, per far sì che le richieste Redis vadano a buon fine, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Redis all'interno dello stesso perimetro. In qualsiasi momento, la separazione del progetto host dal progetto di servizio con un perimetro può causare un errore dell'istanza Redis, oltre a richieste bloccate. Per saperne di più, consulta i requisiti di configurazione di Memorystore for Redis.

L'API per Memorystore for Memcached può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Memorystore for Memcached, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Memorystore for Memcached. I perimetri non proteggono il normale accesso ai dati sulle istanze Memorystore for Memcached all'interno della stessa rete.

L'API per Service Directory può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Service Directory, consulta la documentazione del prodotto.

L'integrazione di Service Directory con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente Visual Inspection AI, includi tutte le seguenti API nel tuo perimetro:

• API Visual Inspection AI (visualinspection.googleapis.com)
• API Vertex AI (aiplatform.googleapis.com)
• API Cloud Storage (storage.googleapis.com)
• API Artifact Registry (artifactregistry.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per scoprire di più su Visual Inspection AI, consulta la documentazione del prodotto.

L'integrazione di Visual Inspection AI con i Controlli di servizio VPC non presenta limitazioni note.

Transfer Appliance è completamente supportato per i progetti che utilizzano Controlli di servizio VPC.

Transfer Appliance non offre un'API, pertanto non supporta le funzionalità relative all'API nei Controlli di servizio VPC.

Per saperne di più su Transfer Appliance, consulta la documentazione del prodotto.

• Se Cloud Storage è protetto dai Controlli di servizio VPC, la chiave Cloud KMS che condividi con il team di Transfer Appliance deve trovarsi all'interno dello stesso progetto del bucket Cloud Storage di destinazione.

L'API per il servizio Criteri dell'organizzazione può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sul servizio Criteri dell'organizzazione, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta le limitazioni di accesso ai criteri dell'organizzazione a livello di cartella o di organizzazione ereditati dal progetto. Controlli di servizio VPC protegge le risorse dell'API Organization Policy Service a livello di progetto.

Ad esempio, se una regola in entrata impedisce a un utente di accedere all'API Organization Policy Service, quell'utente riceve un errore 403 quando interroga i criteri dell'organizzazione applicati al progetto. Tuttavia, l'utente può comunque accedere ai criteri dell'organizzazione della cartella e dell'organizzazione contenente il progetto.

Puoi chiamare l'API OS Login dall'interno dei perimetri Controlli di servizio VPC. Per gestire OS Login dai perimetri Controlli di servizio VPC, configura OS Login.

Le connessioni SSH alle istanze VM non sono protette dai Controlli di servizio VPC.

Per saperne di più su OS Login, consulta la documentazione del prodotto.

I metodi di accesso al sistema operativo per la lettura e la scrittura di chiavi SSH non applicano i perimetri Controlli di servizio VPC. Utilizza i servizi accessibili da VPC per disabilitare l'accesso alle API OS Login.

L'API per Personalized Service Health può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Personalized Service Health, consulta la documentazione del prodotto.

Controlli di servizio VPC non supporta le risorse OrganizationEvents e OrganizationImpacts dell'API Service Health. Pertanto, i controlli dei criteri dei Controlli di servizio VPC non verranno eseguiti quando chiami i metodi per queste risorse. Tuttavia, puoi chiamare i metodi da un perimetro di servizio utilizzando un VIP limitato.

Puoi chiamare l'API OS Config dai perimetri Controlli di servizio VPC. Per utilizzare VM Manager dai perimetri Controlli di servizio VPC, configura VM Manager.

Per saperne di più su VM Manager, consulta la documentazione del prodotto.

Workflows è una piattaforma di orchestrazione in grado di combinare servizi Google Cloud e API basate su HTTP per eseguire i servizi in un ordine definito da te.

Quando proteggi l'API Workflows utilizzando un perimetro di servizio, anche l'API Workflow Execution è protetta. Non è necessario aggiungere separatamente workflowexecutions.googleapis.com all'elenco di servizi protetti del perimetro.

Le richieste HTTP da un'esecuzione di Workflows sono supportate come segue:

• Sono consentite le richieste autenticate agli endpoint Google Cloud conformi ai Controlli di servizio VPC.
• Le richieste agli endpoint di servizio Cloud Functions e Cloud Run sono consentite.
• Le richieste agli endpoint di terze parti sono bloccate.
• Le richieste agli endpoint Google Cloud non conformi a Controlli di servizio VPC sono bloccate.

Per ulteriori informazioni su Workflows, consulta la documentazione del prodotto.

L'integrazione di Workflows con i Controlli di servizio VPC non presenta limitazioni note.

L'API per Filestore può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Filestore, consulta la documentazione del prodotto.

• I perimetri di servizio proteggono solo l'API Filestore. I perimetri non proteggono il normale accesso ai dati NFS sulle istanze Filestore all'interno della stessa rete.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio che contiene l'istanza Filestore all'interno dello stesso perimetro affinché l'istanza Filestore funzioni correttamente. La separazione del progetto host dal progetto di servizio con un perimetro potrebbe rendere le istanze esistenti non disponibili e potrebbe non crearne di nuove.

Per ulteriori informazioni su Parallelstore, consulta la documentazione del prodotto.

• Se utilizzi sia il VPC condiviso sia i Controlli di servizio VPC, devi avere il progetto host che fornisce la rete e il progetto di servizio contenente l'istanza Parallelstore all'interno dello stesso perimetro affinché l'istanza Parallelstore funzioni correttamente. La separazione del progetto host dal progetto di servizio con un perimetro potrebbe rendere le istanze esistenti non disponibili e potrebbe non crearne di nuove.

L'API per Container Threat Detection può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Container Threat Detection, consulta la documentazione del prodotto.

L'integrazione di Container Threat Detection con i Controlli di servizio VPC non ha limitazioni note.

Per saperne di più su Ads Data Hub, consulta la documentazione del prodotto.

L'API per Cloud Service Mesh può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Service Mesh, consulta la documentazione del prodotto.

L'integrazione di Cloud Service Mesh con i Controlli di servizio VPC non ha limitazioni note.

Controlli di servizio VPC limita gli scambi di token solo se il pubblico nella richiesta è una risorsa a livello di progetto. Ad esempio, non limita le richieste per i token con ambito limitato, perché queste richieste non hanno segmenti di pubblico. Inoltre, non limita le richieste per la federazione delle identità della forza lavoro poiché il pubblico è una risorsa a livello di organizzazione.

Per ulteriori informazioni sul servizio token di sicurezza, consulta la documentazione del prodotto.

L'integrazione del servizio token di sicurezza con i Controlli di servizio VPC non ha limitazioni note.

I servizi firestore.googleapis.com, datastore.googleapis.com e firestorekeyvisualizer.googleapis.com sono in bundle. Quando limiti il servizio firestore.googleapis.com in un perimetro, il perimetro limita anche i servizi datastore.googleapis.com e firestorekeyvisualizer.googleapis.com.

Per limitare il servizio datastore.googleapis.com, utilizza il nome del servizio firestore.googleapis.com.

Per ottenere la protezione completa in uscita per le operazioni di importazione ed esportazione, devi utilizzare l'agente di servizio Firestore. Vai ai seguenti argomenti per ulteriori informazioni:

• Protezione delle operazioni di importazione ed esportazione di Firestore con i Controlli di servizio VPC.
• Protezione delle operazioni di importazione ed esportazione di Datastore con i Controlli di servizio VPC.

Per ulteriori informazioni su Firestore/Datastore, consulta la documentazione del prodotto.

L'API per Migrate to Virtual Machines può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Migrate to Virtual Machines, consulta la documentazione del prodotto.

• Per proteggere completamente Migrate to Virtual Machines, aggiungi tutte le seguenti API al perimetro di servizio:

  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API Compute Engine (compute.googleapis.com)

  Per maggiori informazioni, consulta la documentazione sulla migrazione alle macchine virtuali.

Controlli di servizio VPC consente di proteggere i dati dell'infrastruttura raccolti con il Centro di migrazione con un perimetro di servizio.

Per saperne di più su Migration Center, fai riferimento alla documentazione del prodotto.

L'API per il servizio Backup & DR può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sul servizio di backup e RE, consulta la documentazione del prodotto.

Se rimuovi la route predefinita per internet dal progetto di producer di servizi utilizzando il comando gcloud services vpc-peerings enable-vpc-service-controls, potresti non essere in grado di accedere alla console di gestione o di eseguirne il deployment. Se riscontri questo problema, contatta l'assistenza clienti Google Cloud.

Puoi utilizzare Controlli di servizio VPC per proteggere il backup per GKE e il backup per le funzionalità GKE che normalmente si trovano all'interno dei perimetri di servizio.

Per ulteriori informazioni su Backup per GKE, consulta la documentazione del prodotto.

L'integrazione di Backup per GKE con i Controlli di servizio VPC non ha limitazioni note.

L'API API for Retail può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'API Retail, consulta la documentazione del prodotto.

L'integrazione dell'API Retail con i Controlli di servizio VPC non ha limitazioni note.

Application Integration è un sistema collaborativo di gestione dei flussi di lavoro che consente di creare, potenziare, eseguire il debug e comprendere i flussi di lavoro dei principali sistemi aziendali. I flussi di lavoro in Application Integration sono costituiti da trigger e attività. Esistono diversi tipi di trigger, ad esempio trigger API, trigger Pub/Sub, trigger cron, trigger sfdc.

Per saperne di più su Application Integration, consulta la documentazione del prodotto.

L'API per Integration Connectors può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Integration Connectors, consulta la documentazione del prodotto.

L'API per Error Reporting può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Error Reporting, consulta la documentazione del prodotto.

L'API per Cloud Workstations può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Cloud Workstations, consulta la documentazione del prodotto.

• Per proteggere completamente Cloud Workstations, devi limitare l'API Compute Engine nel tuo perimetro di servizio ogni volta che limiti l'API Cloud Workstations.
• Assicurati che l'API Google Cloud Storage, l'API Google Container Registry e l'API Artifact Registry siano accessibili al VPC nel tuo perimetro di servizio. Questa operazione è necessaria per eseguire il pull delle immagini sulla workstation. Ti consigliamo inoltre di consentire l'accesso VPC all'API Cloud Logging e all'API Cloud Error Reporting nel tuo perimetro di servizio, anche se non è necessario per utilizzare Cloud Workstations.
• Assicurati che il cluster di workstation sia privato. La configurazione di un cluster privato impedisce le connessioni alle tue workstation dall'esterno del perimetro di servizio VPC.
• Assicurati di disabilitare gli indirizzi IP pubblici nella configurazione della workstation. Se non lo fai, verranno visualizzate VM con indirizzi IP pubblici nel tuo progetto. Ti consigliamo vivamente di utilizzare il vincolo del criterio dell'organizzazione constraints/compute.vmExternalIpAccess per disabilitare gli indirizzi IP pubblici per tutte le VM nel tuo perimetro di servizio VPC. Per maggiori dettagli, consulta Limitazione degli indirizzi IP esterni a VM specifiche.
• Durante la connessione alla workstation, il controllo dell'accesso si basa solo sul fatto che la rete privata da cui effettui la connessione appartenga o meno al perimetro di sicurezza. Il controllo dell'accesso basato su dispositivo, indirizzo IP pubblico o località non è supportato.

L'API per Cloud IDS può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su Cloud IDS, consulta la documentazione del prodotto.

Cloud IDS utilizza Cloud Logging per creare log delle minacce nel tuo progetto. Se Cloud Logging è limitato dal perimetro di servizio, i Controlli di servizio VPC bloccano i log delle minacce di Cloud IDS, anche se Cloud IDS non viene aggiunto come servizio limitato al perimetro. Per utilizzare Cloud IDS all'interno di un perimetro di servizio, devi configurare una regola in entrata per l'account di servizio Cloud Logging nel tuo perimetro di servizio.

Per saperne di più su Chrome Enterprise Premium, consulta la documentazione del prodotto.

L'integrazione di Chrome Enterprise Premium con i Controlli di servizio VPC non ha limitazioni note.

Quando limiti l'API Policy Troubleshooter con un perimetro, le entità possono risolvere i problemi relativi ai criteri di autorizzazione IAM solo se tutte le risorse coinvolte nella richiesta si trovano nello stesso perimetro. In genere, una richiesta di risoluzione dei problemi include due risorse:

• La risorsa per cui stai risolvendo i problemi di accesso. La risorsa può essere di qualsiasi tipo. Puoi specificare esplicitamente questa risorsa quando risolvi i problemi relativi a un criterio di autorizzazione.

• La risorsa che utilizzi per risolvere i problemi di accesso. Questa risorsa è un progetto, una cartella o un'organizzazione. Nella console Google Cloud e in gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, puoi specificare questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere uguale alla risorsa per cui stai risolvendo i problemi di accesso, ma non è necessario che lo sia.

Se queste risorse non si trovano nello stesso perimetro, la richiesta non riesce.

Per saperne di più sullo strumento per la risoluzione dei problemi relativi ai criteri, consulta la documentazione del prodotto.

L'integrazione dello strumento per la risoluzione dei problemi relativi ai criteri con i Controlli di servizio VPC non ha limitazioni note.

Quando limiti l'API Policy Simulator con un perimetro, le entità possono simulare criteri di autorizzazione solo se determinate risorse coinvolte nella simulazione si trovano nello stesso perimetro. In una simulazione sono coinvolte diverse risorse:

• La risorsa di cui stai simulando il criterio di autorizzazione. Questa risorsa è chiamata anche risorsa di destinazione. Nella console Google Cloud, si tratta della risorsa di cui stai modificando il criterio di autorizzazione. In gcloud CLI e nell'API REST, puoi specificare esplicitamente questa risorsa quando simuli un criterio di autorizzazione.

• Il progetto, la cartella o l'organizzazione che crea ed esegue la simulazione. Questa risorsa è anche chiamata risorsa host. Nella console Google Cloud e in gcloud CLI, questa risorsa viene dedotta in base al progetto, alla cartella o all'organizzazione che hai selezionato. Nell'API REST, puoi specificare questa risorsa utilizzando l'intestazione x-goog-user-project.

  Questa risorsa può essere uguale alla risorsa per cui stai simulando l'accesso, ma non è necessario che lo sia.

• La risorsa che fornisce i log di accesso per la simulazione. In una simulazione, c'è sempre una risorsa che fornisce i log di accesso per la simulazione. Questa risorsa varia a seconda del tipo di risorsa di destinazione:

  • Se stai simulando un criterio di autorizzazione per un progetto o un'organizzazione, Policy Simulator recupera i log di accesso per quel progetto o organizzazione.
  • Se stai simulando un criterio di autorizzazione per un altro tipo di risorsa, Policy Simulator recupera i log di accesso per l'organizzazione o il progetto padre di quella risorsa.
  • Se stai simulando contemporaneamente i criteri di autorizzazione di più risorse, Policy Simulator recupera i log di accesso per il progetto o l'organizzazione più vicini alle risorse.
• Tutte le risorse supportate con criteri di autorizzazione pertinenti. Quando il Simulatore di criteri esegue una simulazione, prende in considerazione tutti i criteri di autorizzazione che potrebbero influire sull'accesso dell'utente, inclusi i criteri di autorizzazione sulle risorse predecessori e discendenti della risorsa di destinazione. Di conseguenza, anche queste risorse predecessori e discendenti sono coinvolte nelle simulazioni.

Se la risorsa di destinazione e la risorsa host non si trovano nello stesso perimetro, la richiesta non riesce.

Se la risorsa di destinazione e quella che fornisce i log di accesso per la simulazione non si trovano nello stesso perimetro, la richiesta non va a buon fine.

Se la risorsa di destinazione e alcune risorse supportate con criteri di autorizzazione pertinenti non si trovano nello stesso perimetro, le richieste hanno esito positivo, ma i risultati potrebbero essere incompleti. Ad esempio, se stai simulando un criterio per un progetto in un perimetro, i risultati non includeranno il criterio di autorizzazione dell'organizzazione principale del progetto, perché le organizzazioni si trovano sempre al di fuori dei perimetri Controlli di servizio VPC. Per ottenere risultati più completi, puoi configurare regole in entrata e in uscita per il perimetro.

Per ulteriori informazioni su Policy Simulator, consulta la documentazione del prodotto.

L'integrazione del Simulatore di criteri con i Controlli di servizio VPC non presenta limitazioni note.

L'API per i contatti necessari può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sui contatti necessari, consulta la documentazione del prodotto.

L'integrazione dei contatti necessari con i Controlli di servizio VPC non ha limitazioni note.

L'API per Identity Platform può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Identity Platform, consulta la documentazione del prodotto.

• Per proteggere completamente Identity Platform, aggiungi l'API Secure Token (securetoken.googleapis.com) al perimetro di servizio per consentire l'aggiornamento dei token. securetoken.googleapis.com non è elencato nella pagina Controlli di servizio VPC della console Google Cloud. Puoi aggiungere questo servizio solo con il comando gcloud access-context-manager arys update.

• Se la tua applicazione si integra anche con la funzionalità di blocco delle funzioni, aggiungi Cloud Functions (cloudfunctions.googleapis.com) al perimetro di servizio.

• L’utilizzo dell’autenticazione a più fattori (MFA) basata su SMS, dell’autenticazione email o di provider di identità di terze parti fa sì che i dati vengano inviati al di fuori del perimetro. Se non utilizzi la MFA con gli SMS, l'autenticazione email o i provider di identità di terze parti, disattiva queste funzionalità.

L'API per GKE Multi-Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni su GKE Multi-Cloud, consulta la documentazione del prodotto.

• Per proteggere completamente l'API GKE Multi-Cloud, devi includere l'API Kubernetes Metadata (kubernetesmetadata.googleapis.com) anche nel tuo perimetro.

L'API Anthos On-Prem può essere protetta dai Controlli di servizio VPC, mentre l'API può essere utilizzata normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API Anthos On-Prem, consulta la documentazione del prodotto.

• Per proteggere completamente l'API Anthos On-Prem, aggiungi tutte le seguenti API al perimetro di servizio:

  • API Metadata Kubernetes (kubernetesmetadata.googleapis.com)
  • API Cloud Monitoring (monitoring.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)
  Tieni presente che Controlli di servizio VPC non proteggono dalle esportazioni dei log di Cloud Logging a livello di cartella o organizzazione.

Puoi creare un cluster nel tuo ambiente, che è connesso al VPC tramite Cloud Interconnect o Cloud VPN.

Per saperne di più su Google Distributed Cloud Virtual for Bare Metal, consulta la documentazione del prodotto.

• Quando crei o esegui l'upgrade di un cluster utilizzando GDCV per Bare Metal, utilizza il flag --skip-api-check in bmctl per ignorare la chiamata all'API Service Usage (serviceusage.googleapis.com), perché l'API Service Usage (serviceusage.googleapis.com) non è supportata dai Controlli di servizio VPC. GDCV per Bare Metal richiama l'API Service Usage per verificare che le API richieste siano abilitate all'interno di un progetto; non viene utilizzato per convalidare la raggiungibilità degli endpoint API.

• Per proteggere GDCV per Bare Metal, utilizza un VIP con limitazioni in GDCV per Bare Metal e aggiungi tutte le seguenti API al perimetro di servizio:

• API Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• API GKE Hub (gkehub.googleapis.com)
• API GKE On-Prem (gkeonprem.googleapis.com)
• API Cloud IAM (iam.googleapis.com)
• API Cloud Logging (logging.googleapis.com)
• API Cloud Monitoring (monitoring.googleapis.com)
• API Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API Cloud Storage (storage.googleapis.com)

L'API per la scansione on demand può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'API On-Demand Scanning, consulta la documentazione del prodotto.

L'integrazione dell'API On-Demand Scanning con i Controlli di servizio VPC non ha limitazioni note.

L'API per Looker (Google Cloud core) può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Looker (Google Cloud core), consulta la documentazione del prodotto.

• Solo le versioni Enterprise o Embed di istanze Looker (Google Cloud core) che utilizzano connessioni IP private supportano la conformità dei Controlli di servizio VPC. Le istanze di Looker (Google Cloud core) con connessioni IP pubbliche o con connessioni IP pubbliche e private non supportano la conformità di Controlli di servizio VPC. Per creare un'istanza che utilizza una connessione IP privato, seleziona IP privato nella sezione Networking della pagina Crea istanza della console Google Cloud.

• Quando posizioni o crei un'istanza di Looker (Google Cloud core) all'interno di un perimetro di servizio dei Controlli di servizio VPC, devi rimuovere la route predefinita verso internet chiamando il metodo services.enableVpcServiceControls o eseguendo il seguente comando gcloud:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

L'API per l'Public Certificate Authority può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sull'Public Certificate Authority, consulta la documentazione del prodotto.

L'integrazione dell'autorità di certificazione pubblica con i Controlli di servizio VPC non ha limitazioni note.

L'API per Storage Insights può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Storage Insights, consulta la documentazione del prodotto.

L'integrazione di Storage Insights con i Controlli di servizio VPC non ha limitazioni note.

Per proteggere completamente le pipeline di dati di Dataflow, includi tutte le seguenti API nel tuo perimetro:

• API Dataflow (dataflow.googleapis.com)
• API Cloud Scheduler (cloudscheduler.googleapis.com)
• API Container Registry (containerregistry.googleapis.com)

Per ulteriori informazioni sulle pipeline di dati Dataflow, consulta la documentazione del prodotto.

L'integrazione delle pipeline di dati di Dataflow con i Controlli di servizio VPC non ha limitazioni note.

Le API per Security Command Center possono essere protette dai Controlli di servizio VPC, mentre Security Command Center può essere utilizzato normalmente all'interno dei perimetri di servizio.

I servizi securitycenter.googleapis.com e securitycentermanagement.googleapis.com sono in bundle. Quando limiti il servizio securitycenter.googleapis.com in un perimetro, il perimetro limita il servizio securitycentermanagement.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio securitycentermanagement.googleapis.com all'elenco dei servizi limitati in un perimetro perché è in bundle con securitycenter.googleapis.com.

Per saperne di più su Security Command Center, consulta la documentazione del prodotto.

• Controlli di servizio VPC non supporta l'accesso alle risorse API Security Command Center a livello di cartella o organizzazione da risorse e client all'interno di un perimetro di servizio. I Controlli di servizio VPC proteggono le risorse dell'API Security Command Center a livello di progetto. Puoi specificare un criterio in uscita per impedire l'accesso alle risorse dell'API Security Command Center a livello di progetto da progetti all'interno del perimetro.
• Controlli di servizio VPC non supporta l'aggiunta di risorse API Security Command Center a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse dell'API Security Command Center a livello di cartella o organizzazione. Per gestire le autorizzazioni di Security Command Center a livello di cartella o organizzazione, consigliamo di utilizzare IAM.
• Controlli di servizio VPC non supporta il servizio security posture perché le risorse della security posture (come posture, deployment e modelli di postura predefiniti) sono risorse a livello di organizzazione.
• Non puoi esportare i risultati a livello di cartella o organizzazione in destinazioni all'interno di un perimetro di servizio.
• Devi abilitare l'accesso perimetrale nei seguenti scenari:
  • Quando abiliti le notifiche sui risultati a livello di cartella o organizzazione e l'argomento Pub/Sub si trova all'interno di un perimetro di servizio.
  • Quando esporti dati in BigQuery dal livello di cartella o organizzazione e BigQuery si trova all'interno di un perimetro di servizio.
  • Quando integri Security Command Center con un prodotto SIEM o SOAR, il deployment del prodotto viene eseguito all'interno di un perimetro di servizio in un ambiente Google Cloud. I SIEM e SOAR supportati includono Splunk e IBM QRadar.

L'API per l'assistenza clienti Google Cloud può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sull'assistenza clienti Google Cloud, consulta la documentazione del prodotto.

L'API Vertex AI Agent Builder - Vertex AI Search può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Vertex AI Agent Builder - Vertex AI Search, consulta la documentazione del prodotto.

L'integrazione di Vertex AI Agent Builder - Vertex AI Search con i Controlli di servizio VPC non ha limitazioni note.

L'API per Confidential Space può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più su Confidential Space, consulta la documentazione del prodotto.

Per utilizzare la protezione dei Controlli di servizio VPC quando ti connetti alla console seriale per un'istanza di una macchina virtuale (VM), devi specificare una regola in entrata per il perimetro di servizio. Quando configuri la regola in entrata, il livello di accesso per l'origine deve essere un valore basato su IP e il nome del servizio impostato su ssh-serialport.googleapis.com. La regola in entrata è necessaria per accedere alla console seriale anche se la richiesta di origine e la risorsa di destinazione si trovano nello stesso perimetro.

Per saperne di più sulla console seriale, consulta la documentazione del prodotto.

Per ulteriori informazioni su Google Cloud VMware Engine, consulta la documentazione del prodotto.

Per scoprire come controllare l'accesso a Dataform con i Controlli di servizio VPC, consulta Configurare i Controlli di servizio VPC per Dataform.

Per saperne di più su Dataform, consulta la documentazione del prodotto.

Web Security Scanner e Controlli di servizio VPC sono soggetti a Termini di servizio diversi. Leggi i termini di ciascun prodotto per conoscere i dettagli.

Web Security Scanner invia i risultati a Security Command Center on demand. Puoi visualizzare o scaricare i dati dalla dashboard di Security Command Center.

Per ulteriori informazioni su Web Security Scanner, consulta la documentazione del prodotto.

L'integrazione di Web Security Scanner con i Controlli di servizio VPC non ha limitazioni note.

• Prima di creare istanze Controlli di servizio VPC di Secure Source Manager, devi configurare Certificate Authority Service con un'autorità di certificazione funzionante.
• Devi configurare Private Service Connect prima di accedere all'istanza Controlli di servizio VPC di Secure Source Manager.

Per saperne di più su Secure Source Manager, consulta la documentazione del prodotto.

• La violazione degli audit log SERVICE_NOT_ALLOWED_FROM_VPC causata da limitazioni di GKE può essere ignorata.
• Per aprire l'interfaccia web dei Controlli di servizio VPC con un browser, quest'ultimo deve poter accedere ai seguenti URL:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Ad esempio, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

L'API per le chiavi API può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per ulteriori informazioni sulle chiavi API, consulta la documentazione del prodotto.

L'integrazione delle chiavi API con i Controlli di servizio VPC non ha limitazioni note.

L'API Cloud Controls Partner può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sulla Console partner in Controlli di sovranità dei partner, consulta la documentazione del prodotto.

L'API per i microservizi può essere protetta dai Controlli di servizio VPC e il prodotto può essere utilizzato normalmente all'interno dei perimetri di servizio.

Per saperne di più sui microservizi, consulta la documentazione del prodotto.

L'integrazione dei microservizi con i Controlli di servizio VPC non ha limitazioni note.

I servizi earthengine.googleapis.com e earthengine-highvolume.googleapis.com sono raggruppati. Quando limiti il servizio earthengine.googleapis.com in un perimetro, il perimetro limita il servizio earthengine-highvolume.googleapis.com per impostazione predefinita. Non puoi aggiungere il servizio earthengine-highvolume.googleapis.com all'elenco dei servizi limitati in un perimetro perché è in bundle con earthengine.googleapis.com.

Per ulteriori informazioni su Earth Engine, consulta la documentazione del prodotto.

App Hub ti consente di scoprire e organizzare le risorse dell'infrastruttura in applicazioni. Puoi utilizzare i perimetri Controlli di servizio VPC per proteggere le risorse App Hub.

Per ulteriori informazioni su App Hub, consulta la documentazione del prodotto.

L'API Cloud Code può essere protetta dai Controlli di servizio VPC. Per utilizzare le funzionalità basate su Gemini in Cloud Code, è necessario configurare un criterio in entrata per consentire il traffico dai client IDE. Per maggiori dettagli, consulta la documentazione di Gemini.

Per saperne di più su Cloud Code, consulta la documentazione del prodotto.

L'integrazione di Cloud Code con i Controlli di servizio VPC non ha limitazioni note.