部分 Assured Workload 控制項套件的名稱將有所變更。如要瞭解名稱異動情形，請參閱「控制套件重新命名通知」。

本頁面由 Cloud Translation API 翻譯而成。

限制端點用量

本頁面概要說明「Restrict Endpoint Usage」組織政策限制，讓企業管理員控管可在 Google Cloud 資源階層中使用的 Google Cloud API 端點。

管理員可以使用這項限制，針對允許的 Google Cloud API 端點定義階層限制，例如全域、位置或區域端點。舉例來說，您可以設定專案拒絕對全球 bigquery.googleapis.com 端點的請求，但允許對位置 LOCATION-biguery.googleapis.com 端點的請求。透過限制全域 API 端點的使用方式，機構組織就能確保只使用允許的區域或地區端點，以符合法規遵循要求。

使用拒絕清單設定「限制端點用量」限制，允許對任何支援服務的 API 端點提出要求，但不允許對明確拒絕的端點提出要求。

這項限制會控管對所有範圍內資源的執行階段存取權。當包含這項限制的機構政策更新後，就會立即套用至政策範圍內的所有資源，並最終達到一致性。

建議管理員謹慎管理包含此限制的機構政策更新。舉例來說，您可以考慮在模擬模式下設定政策，以便在政策生效前，監控政策異動對現有工作流程的影響。

API 端點類型

API 端點 (或服務端點) 是指定 Google Cloud API 服務 (例如 bigquery.googleapis.com) 網路位址的網址。Google Cloud 服務可透過不同類型的 API 端點存取資源，包括全域、位置和區域端點。每種類型的支援情況取決於服務。

全域 API 端點不會在網址主機名稱中指定位置。例如：
- storage.googleapis.com
- content-bigqueryconnection.googleapis.com
- bigquerydatatransfer.mtls.googleapis.com
- logging.googleapis.com
這些全球範圍的端點可提供高可用性的服務端點，將 TLS 工作階段終止的時間盡可能縮短，以便在透過網際網路服務分散的用戶端群組時，盡可能減少延遲時間。
位置 API 端點會在網址主機名稱中指定位置。例如：
- us-storage.googleapis.com
- content-us-west3-bigqueryconnection.googleapis.com
- us-west1-bigquerydatatransfer.mtls.googleapis.com
- us-central1-logging.googleapis.com
這些位置端點可為需要使用特定位置服務的客戶提供優勢，並確保在透過私人連線存取時，傳輸中的資料會保留在特定位置。
地區 API 端點會將位置指定為子網域。例如：
- storage.us-east2.rep.googleapis.com
- content-bigqueryconnection.us-west3.rep.googleapis.com
- bigquerydatatransfer.us-west1.rep.mtls.googleapis.com
- logging.us-central1.rep.googleapis.com
這些區域端點最適合需要使用特定位置服務的客戶，以及希望透過私人連線或公用網際網路存取時，確保傳輸中資料仍保留在特定位置的客戶。

注意： 只有少數服務支援區域 API 端點，且各項服務的可用性可能有所不同。

限制

「端點用量限制」限制可使用特定 API 端點存取資源的功能。請勿將其與其他類似限制混淆，例如：

限制資源位置限制：控制可建立或無法建立資源的位置。
限制資源服務使用限制，可控管可使用的資源服務。

為了避免破壞現有的服務基礎架構，您應該先以非實際工作環境的專案和資料夾測試任何新的機構政策，然後才在機構內逐步套用政策。

此限制適用於部分特定的產品和資源類型。如需支援服務清單和各項服務行為的詳細資訊，請參閱「支援的 API 端點」一節。

如需資料儲存承諾的相關資訊，請參閱 Google Cloud 服務條款和服務專屬條款。包含「端點用量限制」限制的機構政策並非資料居住地承諾。

設定機構政策

如要設定、更改或刪除機構政策，您必須具有機構政策管理員角色。

您可以在機構、資料夾和專案層級設定機構政策限制。每項政策都會套用至對應資源階層中的所有資源，但可在資源階層的較低層級覆寫。

如要進一步瞭解政策評估，請參閱「瞭解階層評估」。

端點用量限制是一種清單限制。您可以從約束的 denied_values 清單中新增或移除端點。

控制台

前往 Google Cloud 控制台的「Organization policies」(機構政策) 頁面。

前往「機構政策」
在「專案選擇工具」中，選取要設定機構政策的機構、資料夾或專案。
在「組織政策」表格中選取「端點用量限制」，即可開啟「政策詳細資料」頁面。
按一下「管理政策」。
在「Applies to」(套用對象) 下方，選取 [Customize] (自訂)。
在「政策強制執行」下方，選擇如何為這項政策套用繼承。
1. 如果您想繼承父項資源的機構政策，並與這項政策合併，請選取「Merge with parent」(與上層合併)。
2. 如要覆寫任何現有的機構政策，請選取「Replace」。
點選「新增規則」。
在「Policy values」(政策值) 底下，選取 [Custom] (自訂)。
在「政策類型」下方，選取「拒絕」，建立拒絕端點的清單。
在「自訂值」下方，將要封鎖的 API 端點主機名稱加入清單。
1. 舉例來說，如要封鎖 BigQuery 的全球 API 端點，請輸入 bigquery.googleapis.com。
2. 如要新增更多端點，請按一下「新增值」。
如要強制執行政策，請按一下「儲存」。

gcloud

您可以透過 gcloud resource-manager org-policies set-policy 指令設定機構政策。如要強制執行包含「Restrict Endpoint Usage」限制的機構政策，請先建立 YAML 檔案，並加入要更新的政策：

constraint: constraints/gcp.restrictEndpointUsage
listPolicy:
    deniedValues:
    - storage.googleapis.com
    - content-bigqueryreservation.googleapis.com
    - bigquerystorage.mtls.googleapis.com
    - logging.googleapis.com

請先將下列預留位置值替換為您自己的值，再執行指令：

RESOURCE_TYPE：資源類型，可能是專案或資料夾。例如：project
RESOURCE_ID：專案或資料夾的資源 ID。例如：8767234

gcloud resource-manager org-policies set-policy \
--RESOURCE_TYPE='RESOURCE_ID' /tmp/policy.yaml

回應包含新設定的機構政策：

constraint: constraints/gcp.restrictEndpointUsage
etag: CKCRl6oGEPjG-tMB
listPolicy:
  deniedValues:
  - storage.googleapis.com
  - content-bigqueryreservation.googleapis.com
  - bigquerystorage.mtls.googleapis.com
  - logging.googleapis.com
updateTime: '2023-11-04T04:29:20.444507Z'

如果要求遭拒的 API 端點嘗試存取資源，要求就會失敗，並傳回錯誤訊息，說明失敗原因。

在模擬測試模式下建立機構政策

模擬測試模式中的機構政策是一種機構政策，會記錄違反政策的稽核記錄，但不會拒絕違規動作。您可以在模擬模式下使用「端點用量限制」限制建立機構政策，在強制執行實際政策前，監控這項政策對貴機構的影響。詳情請參閱「在模擬模式中建立機構政策」。

錯誤訊息

如果您設定機構政策拒絕某個端點，在資源階層中使用該端點的作業就會失敗。系統會傳回錯誤，說明此失敗原因。此外，系統也會產生稽核記錄項目，以便進一步監控、發出快訊或偵錯。

錯誤訊息示例

在以下範例中，使用 API 端點 storage.googleapis.com 的 curl 要求因政策強制執行而失敗：

curl -X GET \
-H "Authorization: Bearer OAUTH2_TOKEN" \
-o "SAVE_TO_LOCATION" \
"https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME?alt=media"

Access to projects/foo-123 through endpoint storage.googleapis.com was denied by
the constraints/gcp.endpointUsageRestriction organization policy constraint. To
access this resource, please use an allowed endpoint.

稽核記錄項目範例

以下稽核記錄項目範例說明資源存取權遭拒的情況：

{
  logName: "projects/my-projectid/logs/cloudaudit.googleapis.com%2Fpolicy"
  protoPayload: {
    @type: "type.googleapis.com/google.cloud.audit.AuditLog"
    status: {
      code: 7
      message: "Access to projects/my-projectid through endpoint bigquery.googleapis.com was denied by the constraints/gcp.restrictEndpointUsage organization policy constraint. To access this resource, please use an allowed endpoint."
    }
    serviceName: "bigquery.googleapis.com"
    methodName: "google.cloud.bigquery.v2.TableDataService.InsertAll"
    resourceName: "projects/my-projectid"
    authenticationInfo: {
      principalEmail: "[email protected]"
    }
  }
  requestMetadata: {
    callerIp: "123.123.123.123"
  }
  policyViolationInfo: {
    orgPolicyViolationInfo: {
      violationInfo: [
        {
          constraint: "constraints/gcp.restrictEndpointUsage"
          checkedValue: "bigquery.googleapis.com"
          policyType: LIST_CONSTRAINT
        }
      ]
    }
  }
  resource: {
    type: "audited_resource"
    labels: {
      project_id: "224034263908"
      method: "google.cloud.bigquery.v2.TableDataService.InsertAll"
      service: "bigquery.googleapis.com"
    }
  }
  severity: "ERROR"
  timestamp: "2024-12-05T01:15:30.332519510Z"
  receiveTimestamp: "2024-08-15T17:55:01.159788588Z"
  insertId: "42"
}

支援的 API 端點

以下 API 端點支援「Restrict Endpoint Usage」限制：

產品	API 端點	附註
API Gateway	全球 API 端點： `apigateway.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
API 金鑰	全球 API 端點： `apikeys.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Access Context Manager	全球 API 端點： `accesscontextmanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Apigee API Hub	全球 API 端點： `apihub.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Apigee API 管理平台 API	全球 API 端點： `apim.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Apigee Connect API	全球 API 端點： `apigeeconnect.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Apigee portal API	全球 API 端點： `apigeeportal.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Apigee Registry API	全球 API 端點： `apigeeregistry.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
App Config Manager API	全球 API 端點： `appconfigmanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Application Design Center	全球 API 端點： `designcenter.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
應用程式整合	全球 API 端點： `integrations.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Artifact Analysis	全球 API 端點： `containeranalysis.googleapis.com` `ondemandscanning.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Artifact Registry	全球 API 端點： `artifactregistry.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Assured Open Source Software	全球 API 端點： `assuredoss.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Assured Workloads	全球 API 端點： `assuredworkloads.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Audit Manager	全球 API 端點： `auditmanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Authorization Toolkit API	全球 API 端點： `authztoolkit.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
批次	全球 API 端點： `batch.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Chrome Enterprise Premium	全球 API 端點： `beyondcorp.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigLake	全球 API 端點： `biglake.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigQuery	全球 API 端點： `bigquery.googleapis.com` `www.googleapis.com (BigQuery)` 系統不支援位置 API 端點。不支援區域 API 端點。	`www.googleapis.com/.../bigquery/...` 是舊版 API 端點格式。貴機構應改用較新的 API。您可以將 `www.googleapis.com (BigQuery)` 新增至「端點用量限制」政策限制，避免誤用舊版 API。
BigQuery 連結	全球 API 端點： `bigqueryconnection.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigQuery 資料政策	全球 API 端點： `bigquerydatapolicy.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigQuery 資料移轉	全球 API 端點： `bigquerydatatransfer.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigQuery 遷移	全球 API 端點： `bigquerymigration.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigQuery 保留項目	全球 API 端點： `bigqueryreservation.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigQuery Saved Query API	全球 API 端點： `bigquery-sq.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
BigQuery 儲存空間	全球 API 端點： `bigquerystorage.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
二進位授權	全球 API 端點： `binaryauthorization.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
區塊鏈分析	全球 API 端點： `blockchain.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Blockchain Node Engine	全球 API 端點： `blockchainnodeengine.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Blockchain Validator Manager	全球 API 端點： `blockchainvalidatormanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
容量規劃工具	全球 API 端點： `capacityplanner.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
憑證授權單位服務	全球 API 端點： `privateca.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Certificate Manager	全球 API 端點： `certificatemanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Asset Inventory	全球 API 端點： `cloudasset.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Build	全球 API 端點： `cloudbuild.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud CDN	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Commerce Producer API	全球 API 端點： `cloudcommerceproducer.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Controls Partner API	全球 API 端點： `cloudcontrolspartner.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud DNS	全球 API 端點： `dns.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Deployment Manager	全球 API 端點： `runtimeconfig.googleapis.com` `deploymentmanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Domains	全球 API 端點： `domains.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Healthcare API	全球 API 端點： `healthcare.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Interconnect	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
雲端入侵偵測系統	全球 API 端點： `ids.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Key Management Service	全球 API 端點： `cloudkms.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Life Sciences	全球 API 端點： `lifesciences.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Load Balancing	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Logging	全球 API 端點： `logging.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Monitoring	全球 API 端點： `monitoring.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud NAT	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Natural Language API	全球 API 端點： `language.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Next Generation Firewall Enterprise	全球 API 端點： `networksecurity.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Next Generation Firewall 簡介	全球 API 端點： `compute.googleapis.com` `networksecurity.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Next Generation Firewall Standard	全球 API 端點： `compute.googleapis.com` `networksecurity.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud OS Login API	全球 API 端點： `oslogin.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Router	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Run	全球 API 端點： `run.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud SQL	全球 API 端點： `sqladmin.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Service Mesh	全球 API 端點： `meshconfig.googleapis.com` `networksecurity.googleapis.com` `networkservices.googleapis.com` `trafficdirector.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Spanner	全球 API 端點： `spanner.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Storage	全球 API 端點： `storage.googleapis.com` `storage-download.googleapis.com` `storage-upload.googleapis.com` `www.googleapis.com (Cloud Storage)` 系統不支援位置 API 端點。不支援區域 API 端點。	端點 `storage-download.googleapis.com`、`storage-upload.googleapis.com` 和 `www.googleapis.com/.../storage/...` 是舊版 API 端點格式。貴機構應改用較新的 `storage.googleapis.com` API 端點。為避免意外使用舊版 API，您可以將 `storage-download.googleapis.com`、`storage-upload.googleapis.com` 和 `www.googleapis.com (Cloud Storage)` 新增至「端點用量限制」政策限制的拒絕清單。您必須要求加入許可清單，才能為 Cloud Storage API 端點啟用「限制端點使用」限制。如要為 Cloud Storage API 端點啟用這項限制，請提交 GCS Restrict Endpoint Usage Preview Allowlist 表單，並提供要強制這項限制的專案編號。這項程序大約需要兩週的時間，我們會在程序完成後與您聯絡。使用位置端點時，系統不支援某些 Cloud Storage 作業。詳情請參閱符合 ITAR 規定的位置端點。如果您已設定「端點用量限制」限制來限制全球端點，可以使用 Google Cloud 控制台執行這些作業。這些作業不會傳送「資料居留地服務條款」中定義的客戶資料，您可以在 Google Cloud 控制台中使用這些作業，而不違反 ITAR 規定。
Cloud Support API	全球 API 端點： `cloudsupport.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Tool Results API	全球 API 端點： `toolresults.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud VPN	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Workstations	全球 API 端點： `workstations.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Commerce Agreement Publishing API	全球 API 端點： `commerceagreementpublishing.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Commerce Business Enablement API	全球 API 端點： `commercebusinessenablement.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Commerce Price Management API	全球 API 端點： `commercepricemanagement.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Compute Engine	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
機密運算	全球 API 端點： `confidentialcomputing.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
連線	全球 API 端點： `gkeconnect.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Connect Gateway	全球 API 端點： `connectgateway.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Contact Center AI 平台 API	全球 API 端點： `contactcenteraiplatform.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Container Threat Detection	全球 API 端點： `containerthreatdetection.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Content Warehouse API	全球 API 端點： `contentwarehouse.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
連續驗證 API	全球 API 端點： `continuousvalidation.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Data Labeling API	全球 API 端點： `datalabeling.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Data Security Posture Management API	全球 API 端點： `dspm.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
資料庫遷移服務	全球 API 端點： `datamigration.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Dataflow	全球 API 端點： `dataflow.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Dataproc on GDC	全球 API 端點： `dataprocgdc.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Distributed Cloud	全球 API 端點： `opsconfigmonitoring.googleapis.com` `gdcvmmanager.googleapis.com` `gdchardwaremanagement.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Distributed Cloud Edge Container API	全球 API 端點： `edgecontainer.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Distributed Cloud Edge Network API	全球 API 端點： `edgenetwork.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Enterprise Knowledge Graph	全球 API 端點： `enterpriseknowledgegraph.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Error Reporting	全球 API 端點： `clouderrorreporting.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
重要聯絡人	全球 API 端點： `essentialcontacts.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Filestore	全球 API 端點： `file.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Financial Services API	全球 API 端點： `financialservices.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Firebase App Hosting	全球 API 端點： `firebaseapphosting.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Firebase Data Connect	全球 API 端點： `firebasedataconnect.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Firebase 安全性規則	全球 API 端點： `firebaserules.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Vertex AI 生成式 AI	全球 API 端點： `aiplatform.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
GKE Dataplane Management	全球 API 端點： `gkedataplanemanagement.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
GKE Enterprise Edge API	全球 API 端點： `anthosedge.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Hub (Fleet)	全球 API 端點： `gkehub.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
GKE Multi-Cloud	全球 API 端點： `gkemulticloud.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
GKE On-Prem API	全球 API 端點： `gkeonprem.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Cloud API 專用 Gemini	全球 API 端點： `cloudaicompanion.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Cloud API	全球 API 端點： `cloud.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Cloud Armor	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Cloud 遷移中心	全球 API 端點： `migrationcenter.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Cloud Observability	全球 API 端點： `stackdriver.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Kubernetes Engine	全球 API 端點： `container.googleapis.com` `configdelivery.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Security Operations Partner API	全球 API 端點： `chroniclepartner.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Security Operations	全球 API 端點： `chronicle.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Google Workspace 外掛程式	全球 API 端點： `gsuiteaddons.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Identity and Access Management	全球 API 端點： `iam.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Identity-Aware Proxy	全球 API 端點： `iap.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Immersive Stream	全球 API 端點： `stream.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Infrastructure Manager	全球 API 端點： `config.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Integration Connectors	全球 API 端點： `connectors.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
KRM API Hosting	全球 API 端點： `krmapihosting.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Live Stream API	全球 API 端點： `livestream.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Looker API	全球 API 端點： `looker.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Apache Flink 適用的 BigQuery Engine	全球 API 端點： `managedflink.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
代管 Kafka API	全球 API 端點： `managedkafka.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Media Asset Manager	全球 API 端點： `mediaasset.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Memorystore for Memcached	全球 API 端點： `memcache.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Memorystore for Redis	全球 API 端點： `redis.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Message Streams API	全球 API 端點： `messagestreams.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
微服務 API	全球 API 端點： `microservices.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Model Armor	全球 API 端點： `modelarmor.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Network Connectivity Center	全球 API 端點： `networkconnectivity.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Network Intelligence Center	全球 API 端點： `networkmanagement.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
網路服務級別	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Persistent Disk	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Oracle Database@Google Cloud	全球 API 端點： `oracledatabase.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Parallelstore	全球 API 端點： `parallelstore.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Policy Analyzer	全球 API 端點： `policyanalyzer.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
政策疑難排解工具	全球 API 端點： `policytroubleshooter.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Progressive Rollout	全球 API 端點： `progressiverollout.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Pub/Sub	全球 API 端點： `pubsub.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
公開憑證授權單位	全球 API 端點： `publicca.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
推薦工具	全球 API 端點： `recommender.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Remote Build Execution	全球 API 端點： `remotebuildexecution.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Retail API	全球 API 端點： `retail.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cyber Insurance Hub	全球 API 端點： `riskmanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
SaaS Service Management API	全球 API 端點： `saasservicemgmt.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
SecLM API	全球 API 端點： `seclm.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Secret Manager	全球 API 端點： `secretmanager.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Secure Web Proxy	全球 API 端點： `networksecurity.googleapis.com` `networkservices.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Security Command Center	全球 API 端點： `securitycenter.googleapis.com` `securitycentermanagement.googleapis.com` `securityposture.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Cloud Data Loss Prevention	全球 API 端點： `dlp.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Service Account Credentials API	全球 API 端點： `iamcredentials.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Service Directory	全球 API 端點： `servicedirectory.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Personalized Service Health	全球 API 端點： `servicehealth.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Service Networking	全球 API 端點： `servicenetworking.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Speaker ID	全球 API 端點： `speakerid.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
儲存空間分析	全球 API 端點： `storageinsights.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Storage 移轉服務	全球 API 端點： `storagebatchoperations.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
文字轉語音	全球 API 端點： `texttospeech.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Timeseries Insights API	全球 API 端點： `timeseriesinsights.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Transcoder API	全球 API 端點： `transcoder.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Transfer Appliance	全球 API 端點： `transferappliance.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
VM 管理員	全球 API 端點： `osconfig.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Vertex AI API	全球 API 端點： `aiplatform.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Vertex AI Workbench	全球 API 端點： `notebooks.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Firebase 中的 Vertex AI	全球 API 端點： `firebasevertexai.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Video Search API	全球 API 端點： `cloudvideosearch.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Video Stitcher API	全球 API 端點： `videostitcher.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
虛擬私有雲 (VPC)	全球 API 端點： `compute.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Web Risk	全球 API 端點： `webrisk.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Web Security Scanner	全球 API 端點： `websecurityscanner.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
工作流程	全球 API 端點： `workflows.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無
Workload Certificate API	全球 API 端點： `workloadcertificate.googleapis.com` 系統不支援位置 API 端點。不支援區域 API 端點。	無

值組搭配

值組搭配是由 Google 收錄的群組和 API 端點集合，提供簡易定義端點限制的方法。值組搭配包含許多相關的 API 端點，並且會隨著時間的演進而不斷擴展，所以無需更改您的機構政策來配合新端點。

如要在機構政策中使用值組，請先輸入 in: 字串，如要進一步瞭解如何使用值前置字串，請參閱「使用限制」一文。在設定機構政策的呼叫中會驗證群組名稱。使用無效的群組名稱會導致政策設定失敗。

下表包含目前可用群組的清單：

群組	說明	直接成員
global-artifactregistry-endpoints	Artifact Registry 全球 API 端點： `in:global-artifactregistry-endpoints`	值： `artifactregistry.googleapis.com` `artifactregistry.mtls.googleapis.com` `content-artifactregistry.googleapis.com` `content-artifactregistry.mtls.googleapis.com`
global-bigquery-connections-endpoints	BigQuery Connections 全球 API 端點： `in:global-bigquery-connections-endpoints`	值： `bigqueryconnection.googleapis.com` `bigqueryconnection.mtls.googleapis.com` `content-bigqueryconnection.googleapis.com` `content-bigqueryconnection.mtls.googleapis.com`
global-bigquery-datapolicy-endpoints	BigQuery 資料政策全球 API 端點： `in:global-bigquery-datapolicy-endpoints`	值： `bigquerydatapolicy.googleapis.com` `bigquerydatapolicy.mtls.googleapis.com` `content-bigquerydatapolicy.googleapis.com` `content-bigquerydatapolicy.mtls.googleapis.com`
global-bigquery-datatransfer-endpoints	BigQuery Data Transfer 全球 API 端點： `in:global-bigquery-datatransfer-endpoints`	值： `bigquerydatatransfer.googleapis.com` `bigquerydatatransfer.mtls.googleapis.com` `content-bigquerydatatransfer.googleapis.com` `content-bigquerydatatransfer.mtls.googleapis.com`
global-bigquery-migration-endpoints	BigQuery Migration 全球 API 端點： `in:global-bigquery-migration-endpoints`	值： `bigquerymigration.googleapis.com` `bigquerymigration.mtls.googleapis.com` `content-bigquerymigration.googleapis.com` `content-bigquerymigration.mtls.googleapis.com`
global-certificatemanager-endpoints	Certificate Manager 全球 API 端點： `in:global-certificatemanager-endpoints`	值： `certificatemanager.googleapis.com` `certificatemanager.mtls.googleapis.com`
global-cloudbuild-endpoints	Cloud Build 全球 API 端點： `in:global-cloudbuild-endpoints`	值： `cloudbuild.googleapis.com` `cloudbuild.mtls.googleapis.com` `content-cloudbuild.googleapis.com`
global-compsoer-endpoints	Cloud Composer 全球 API 端點： `in:global-composer-endpoints`	值： `composer.googleapis.com`
global-compute-endpoints	Cloud Compute Engine 全球 API 端點： `in:global-compute-endpoints`	值： `compute.googleapis.com` `compute.mtls.googleapis.com` `content-compute.googleapis.com` `content-compute.mtls.googleapis.com`
global-container-endpoints	Google Kubernetes Engine 全球 API 端點： `in:global-container-endpoints`	值： `container.googleapis.com` `container.mtls.googleapis.com` `content-container.googleapis.com` `content-container.mtls.googleapis.com`
global-containeranalysis-endpoints	Container Analysis 全球 API 端點： `in:global-containeranalysis-endpoints`	值： `containeranalysis.googleapis.com` `containeranalysis.mtls.googleapis.com` `content-containeranalysis.googleapis.com` `content-ondemandscanning.mtls.googleapis.com` `ondemandscanning.googleapis.com` `ondemandscanning.mtls.googleapis.com`
global-containerthreatdetection-endpoints	Container Threat Detection Service 全球 API 端點： `in:global-containerthreatdetection-endpoints`	值： `containerthreatdetection.googleapis.com` `containerthreatdetection.mtls.googleapis.com` `content-containerthreatdetection.googleapis.com` `content-containerthreatdetection.mtls.googleapis.com`
global-dataflow-endpoints	Dataflow 全球 API 端點： `in:global-dataflow-endpoints`	值： `content-dataflow.googleapis.com` `dataflow.googleapis.com`
global-dlp-endpoints	Sensitive Data Protection DLP 全球 API 端點： `in:global-dlp-endpoints`	值： `content-dlp.googleapis.com` `dlp.googleapis.com`
global-dns-endpoints	Cloud DNS 全球 API 端點： `in:global-dns-endpoints`	值： `content-dns.googleapis.com` `content-dns.mtls.googleapis.com` `dns.googleapis.com` `dns.mtls.googleapis.com`
global-filestore-endpoints	Filestore 全球 API 端點： `in:global-filestore-endpoints`	值： `content-file.googleapis.com` `content-file.mtls.googleapis.com` `file.googleapis.com` `file.mtls.googleapis.com`
global-iam-endpoints	Cloud IAM 全球 API 端點： `in:global-iam-endpoints`	值： `content-iam.googleapis.com` `content-iam.mtls.googleapis.com` `iam.googleapis.com` `iam.mtls.googleapis.com`
global-iap-endpoints	IAP 全球 API 端點： `in:global-iap-endpoints`	值： `content-iap.googleapis.com` `iap.googleapis.com`
global-kms-endpoints	Cloud Key Management Service 全球 API 端點： `in:global-kms-endpoints`	值： `cloudkms.googleapis.com` `cloudkms.mtls.googleapis.com` `content-cloudkms.googleapis.com` `content-cloudkms.mtls.googleapis.com`
global-managedkafka-endpoints	代管 Kafka 全球 API 端點： `in:global-managedkafka-endpoints`	值： `content-managedkafka.googleapis.com` `content-managedkafka.mtls.googleapis.com` `managedkafka.googleapis.com` `managedkafka.mtls.googleapis.com`
global-memcache-endpoints	Memorystore for Memcache 全球 API 端點： `in:global-memcache-endpoints`	值： `content-memcache.googleapis.com` `content-memcache.mtls.googleapis.com` `memcache.googleapis.com` `memcache.mtls.googleapis.com`
global-migrationcenter-endpoints	Migration Center 全球 API 端點： `in:global-migrationcenter-endpoints`	值： `content-migrationcenter.googleapis.com` `content-migrationcenter.mtls.googleapis.com` `migrationcenter.googleapis.com` `migrationcenter.mtls.googleapis.com`
global-networkconnectivity-endpoints	Network Connectivity 全球 API 端點： `in:global-networkconnectivity-endpoints`	值： `content-networkconnectivity.googleapis.com` `content-networkconnectivity.mtls.googleapis.com` `networkconnectivity.googleapis.com` `networkconnectivity.mtls.googleapis.com`
global-osconfig-endpoints	VM Manager 全球 API 端點： `in:global-osconfig-endpoints`	值： `content-osconfig.googleapis.com` `content-osconfig.mtls.googleapis.com` `osconfig.googleapis.com` `osconfig.mtls.googleapis.com`
global-oslogin-endpoints	OS Login API 端點： `in:global-oslogin-endpoints`	值： `oslogin.googleapis.com`
global-policytroubleshooter-endpoints	政策疑難排解工具全球 API 端點： `in:global-policytroubleshooter-endpoints`	值： `content-policytroubleshooter.googleapis.com` `content-policytroubleshooter.mtls.googleapis.com` `policytroubleshooter.googleapis.com` `policytroubleshooter.mtls.googleapis.com`
global-progressiverollout-endpoints	Ripple 全球 API 端點： `in:global-progressiverollout-endpoints`	值： `content-progressiverollout.googleapis.com` `content-progressiverollout.mtls.googleapis.com` `progressiverollout.googleapis.com` `progressiverollout.mtls.googleapis.com`
global-pubsub-endpoints	Pub/Sub 全球 API 端點： `in:global-pubsub-endpoints`	值： `content-pubsub.googleapis.com` `content-pubsub.mtls.googleapis.com` `pubsub.googleapis.com` `pubsub.mtls.googleapis.com`
global-redis-endpoints	Memorystore for Redis 全球 API 端點： `in:global-redis-endpoints`	值： `content-redis.googleapis.com` `content-redis.mtls.googleapis.com` `redis.googleapis.com` `redis.mtls.googleapis.com`
global-run-endpoints	Cloud Run 全球 API 端點： `in:global-run-endpoints`	值： `content-run.googleapis.com` `content-run.mtls.googleapis.com` `run.googleapis.com` `run.mtls.googleapis.com`
global-secretmanager-endpoints	Secret Manager 全球 API 端點： `in:global-secretmanager-endpoints`	值： `content-secretmanager.googleapis.com` `content-secretmanager.mtls.googleapis.com` `secretmanager.googleapis.com` `secretmanager.mtls.googleapis.com`
global-securityposture-endpoints	安全防護機制全球 API 端點： `in:global-securityposture-endpoints`	值： `content-securityposture.googleapis.com` `content-securityposture.mtls.googleapis.com` `securityposture.googleapis.com` `securityposture.mtls.googleapis.com`
global-servicenetworking-endpoints	Service Networking 全球 API 端點： `in:global-servicenetworking-endpoints`	值： `content-servicenetworking.googleapis.com` `content-servicenetworking.mtls.googleapis.com` `servicenetworking.googleapis.com` `servicenetworking.mtls.googleapis.com`
global-websecurityscanner-endpoints	Web Security Scanner 全球 API 端點： `in:global-websecurityscanner-endpoints`	值： `content-websecurityscanner.googleapis.com` `content-websecurityscanner.mtls.googleapis.com` `websecurityscanner.googleapis.com` `websecurityscanner.mtls.googleapis.com`
global-workstations-endpoints	Cloud Workstations 全球 API 端點： `in:global-workstations-endpoints`	值： `content-workstations.googleapis.com` `content-workstations.mtls.googleapis.com` `workstations.googleapis.com` `workstations.mtls.googleapis.com`
global-bigquery-endpoints	BigQuery 全球 API 端點： `in:global-bigquery-endpoints`	值： `bigquery.googleapis.com` `bigquery.mtls.googleapis.com` `content-bigquery.googleapis.com` `content-bigquery.mtls.googleapis.com` `www.googleapis.com (BigQuery)`
global-bigqueryreservation-endpoints	BigQuery Reservation 全球 API 端點： `in:global-bigqueryreservation-endpoints`	值： `bigqueryreservation.googleapis.com` `bigqueryreservation.mtls.googleapis.com` `content-bigqueryreservation.googleapis.com` `content-bigqueryreservation.mtls.googleapis.com`
global-bigquerystorage-endpoints	BigQuery Storage 全球 API 端點： `in:global-bigquerystorage-endpoints`	值： `bigquerystorage.googleapis.com` `bigquerystorage.mtls.googleapis.com` `content-bigquerystorage.googleapis.com` `content-bigquerystorage.mtls.googleapis.com`
global-logging-endpoints	Cloud Logging 全球 API 端點： `in:global-logging-endpoints`	值： `content-logging.googleapis.com` `content-logging.mtls.googleapis.com` `logging.googleapis.com` `logging.mtls.googleapis.com`
global-storage-endpoints	Cloud Storage 全球 API 端點： `in:global-storage-endpoints`	值： `content-storage.googleapis.com` `content-storage.mtls.googleapis.com` `storage.googleapis.com` `storage.mtls.googleapis.com`