O VPC Service Controls é um Google Cloud recurso que permite configurar um perímetro de serviço que cria um limite de transferência de dados em torno dos recursos doGoogle Cloud . O VPC Service Controls oferece mais segurança para seus recursos do App Hub, como a redução do risco de exfiltração de dados. Com os Controles de serviço da VPC, é possível adicionar projetos a perímetros de serviço que protegem aplicativos, serviços e cargas de trabalho contra solicitações que atravessam o perímetro.
Os recursos do App Hub são expostos na API apphub.googleapis.com, que permite realizar operações, como criação e exclusão de aplicativos, serviços e cargas de trabalho. Você configura o VPC Service Controls com o App Hub
restringindo a conectividade a essa superfície de API.
Recomendamos que você proteja todos os recursos do App Hub ao criar um perímetro de serviço.
O App Hub é compatível com os seguintes tipos de recursos:
- Aplicativo
- Serviço descoberto
- Carga de trabalho descoberta
- Serviço
- Anexação de projeto de serviço (somente para aplicativos gerenciados por um projeto host)
- Carga de trabalho
Aplicativos em uma pasta habilitada para apps
Quando você ativa o gerenciamento de aplicativos em uma pasta, as seguintes ações ocorrem:
- O Google cria um projeto gerenciado pelo Google na pasta chamada projeto de gerenciamento.
- O sistema ativa as APIs necessárias para o gerenciamento de aplicativos nesse projeto. Algumas APIs ativadas pelo sistema estão diretamente relacionadas ao gerenciamento de aplicativos. As APIs restantes são dependências.
Se você quiser incluir o projeto de gerenciamento em um perímetro de serviço, inclua as APIs ativadas que são compatíveis com o VPC Service Controls. Para mais informações, consulte Criar um perímetro de serviço.
APIs ativadas em um projeto de gerenciamento
As tabelas a seguir listam as APIs que são ativadas automaticamente para um projeto de gerenciamento. Se um produto for compatível com o VPC Service Controls, consulte a documentação vinculada para mais informações, como limitações ou requisitos de configuração adicionais.
APIs envolvidas no design, na criação e na implantação de aplicativos
As APIs nesta tabela incluem o App Hub, a Central de design de aplicativos e as dependências usadas para criar, implantar e armazenar dados de aplicativos.
O Resource Manager é necessário para ativar e gerenciar pastas com apps ativados.
| API | Suporte do VPC Service Controls |
|---|---|
API App Hub (apphub.googleapis.com) |
Detalhes |
API App Design Center (designcenter.googleapis.com) |
|
API Artifact Registry (artifactregistry.googleapis.com) |
Detalhes |
API Cloud Asset (cloudasset.googleapis.com) |
Detalhes |
API Cloud Build (cloudbuild.googleapis.com) |
Detalhes |
API Cloud Resource Manager (cloudresourcemanager.googleapis.com) |
Detalhes |
API Infrastructure Manager (config.googleapis.com) |
Detalhes |
API Container Registry (containerregistry.googleapis.com) |
Detalhes |
API Identity and Access Management (iam.googleapis.com) |
Detalhes |
API IAM Service Account Credentials (iamcredentials.googleapis.com) |
Detalhes |
APIs do Google Cloud Observability
| API | Suporte do VPC Service Controls |
|---|---|
Cloud Logging (logging.googleapis.com) |
Detalhes |
Cloud Monitoring (monitoring.googleapis.com) |
Detalhes |
Cloud Trace (cloudtrace.googleapis.com) |
Detalhes |
Dependências do Google Cloud Observability
Alguns recursos do Logging e do Cloud Monitoring exigem outras APIs de produtos.
As APIs Dataform e Dataplex Universal Catalog são dependências do BigQuery.
| API | Suporte do VPC Service Controls |
|---|---|
API BigQuery (bigquery.googleapis.com) |
Detalhes |
API Analytics Hub (analyticshub.googleapis.com) (API para compartilhamento do BigQuery) |
Detalhes |
API BigQuery Connection (bigqueryconnection.googleapis.com) |
Detalhes |
API BigQuery Data Policy (bigquerydatapolicy.googleapis.com) |
Detalhes |
API BigQuery Migration (bigquerymigration.googleapis.com) |
Detalhes |
API BigQuery Reservation (bigqueryreservation.googleapis.com) |
Detalhes |
API BigQuery Storage (bigquerystorage.googleapis.com) |
Detalhes |
API Dataform (dataform.googleapis.com) |
Detalhes |
API Dataplex (dataplex.googleapis.com) |
Detalhes |
API Cloud Functions (cloudfunctions.googleapis.com) |
Detalhes |
API Cloud Storage (storage.googleapis.com) |
Detalhes |
Cloud Storage (storage-api.googleapis.com) |
|
API Cloud Storage JSON (storage-component.googleapis.com) |
|
API Pub/Sub (pubsub.googleapis.com) |
Detalhes |
APIs que fornecem dados de recursos sobre recursos
| API | Suporte do VPC Service Controls |
|---|---|
API Cloud Quotas (cloudquotas.googleapis.com) |
Detalhes |
API Service Health (servicehealth.googleapis.com) |
Detalhes |
Gemini Cloud Assist
| API | Suporte do VPC Service Controls |
|---|---|
API Gemini para Google Cloud (cloudaicompanion.googleapis.com) |
Detalhes |
Aplicativos gerenciados por um projeto host
É necessário configurar o VPC Service Controls nos projetos host e de serviço do App Hub antes de criar um aplicativo e registrar serviços e cargas de trabalho nele. Para mais informações, consulte Criar um perímetro de serviço.
A seguir
Para saber mais sobre o VPC Service Controls, consulte a visão geral e os produtos e limitações com suporte.
Além disso, consulte as Práticas recomendadas para ativar o VPC Service Controls.
Consulte também as práticas recomendadas para Projetar e criar a arquitetura de perímetros de serviço.
Para configurar um perímetro de serviço, consulte Criar um perímetro de serviço.