Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Esta página contiene una tabla de productos y servicios compatibles con los Controles del servicio de VPC, así como una lista de limitaciones conocidas con ciertas interfaces y servicios.
Enumera todos los servicios compatibles
Para recuperar la lista completa de todos los productos y servicios compatibles con los Controles del servicio de VPC, ejecuta el siguiente comando:
gcloud beta access-context-manager supported-services list
Recibirás una respuesta con una lista de productos y servicios.
NAME TITLE SUPPORT_STAGE AVAILABLE_ON_RESTRICTED_VIP KNOWN_LIMITATIONS
SERVICE_ADDRESSSERVICE_NAMESERVICE_STATUSRESTRICTED_VIP_STATUSLIMITATIONS_STATUS
.
.
.
Esta respuesta incluye los siguientes valores:
Valor
Descripción
SERVICE_ADDRESS
Es el nombre del servicio del producto o servicio. Por ejemplo, aiplatform.googleapis.com.
SERVICE_NAME
Es el nombre del producto o servicio. Por ejemplo, Vertex AI API.
SERVICE_STATUS
El estado de la integración del servicio en los Controles del servicio de VPC. Los siguientes son los valores posibles:
GA: La integración del servicio es completamente compatible con los perímetros de los Controles del servicio de VPC.
BETA: La integración del servicio está lista para una prueba y un uso más amplios, pero no es completamente compatible con entornos de producción por los perímetros de los Controles del servicio de VPC.
RESTRICTED_VIP_STATUS
Especifica si la integración del servicio con los Controles del servicio de VPC es compatible con la VIP restringida. Los siguientes son los valores posibles:
TRUE: La integración del servicio es completamente compatible con la VIP restringida y puede protegerse con los perímetros de los Controles del servicio de VPC.
FALSE: La integración del servicio no es compatible con la VIP restringida.
Especifica si la integración del servicio con los Controles del servicio de VPC tiene alguna limitación. Los siguientes son los valores posibles:
TRUE: La integración del servicio con los Controles del servicio de VPC tiene limitaciones conocidas. Puedes verificar la entrada correspondiente del servicio en la tabla Productos admitidos para obtener más información sobre estas limitaciones.
FALSE: La integración del servicio con los Controles del servicio de VPC no tiene limitaciones conocidas.
Indica los métodos admitidos para un servicio
Si quieres recuperar la lista de métodos y permisos admitidos por los Controles del servicio de VPC para un servicio, ejecuta el siguiente comando:
En esta respuesta, METHODS_LIST enumera todos los métodos y permisos compatibles con los Controles del servicio de VPC para el servicio especificado. Para obtener una lista completa de todos los métodos de servicio y permisos admitidos, consulta Restricciones de los métodos de servicio admitidos.
Productos compatibles
En esta tabla, se incluyen todos los productos compatibles con los Controles del servicio de VPC que funcionan con normalidad dentro de un perímetro de servicio. Sin embargo, no todos los productos compatibles tienen servicios que se puedan proteger con un perímetro.
Los controles de servicio de VPC admiten los siguientes productos:
Para usar Infrastructure Manager en un perímetro, sigue estos pasos:
Debes usar un grupo privado de Cloud Build para el grupo de trabajadores que usa Infrastructure Manager. Este grupo privado debe tener habilitadas las llamadas por Internet públicas para descargar los proveedores y la configuración de Terraform. No puedes usar el grupo predeterminado de trabajadores de Cloud Build.
Los siguientes elementos deben estar en el mismo perímetro:
La cuenta de servicio que usa Infrastructure Manager.
El grupo de trabajadores de Cloud Build que usa Infrastructure Manager.
El bucket de almacenamiento que usa Infrastructure Manager. Puedes usar el bucket de almacenamiento predeterminado.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
netapp.googleapis.com
Detalles
La API de Google Cloud NetApp Volumes se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los Controles del servicio de VPC no abarcan las rutas de acceso del plano de datos, como las lecturas y las escrituras del Sistema de archivos de red (NFS) y del Bloque de mensajes del servidor (SMB). Además, si tus proyectos host y de servicio están configurados en perímetros diferentes, puedes experimentar una interrupción en la implementación de los servicios de Google Cloud.
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudsearch.googleapis.com
Detalles
Google Cloud Search es compatible con los Controles de seguridad de la nube privada virtual (Controles del servicio de VPC) para mejorar la seguridad de tus datos. Los Controles del servicio de VPC te permiten definir un perímetro de seguridad alrededor de los recursos de Google Cloud Platform para restringir los datos y mitigar los riesgos de robo de datos.
Debido a que los recursos de Cloud Search no se almacenan en un proyecto de Google Cloud, debes actualizar la configuración del cliente de Cloud Search con el proyecto protegido por el perímetro de VPC. El proyecto de VPC actúa como un contenedor de proyecto virtual para todos los recursos de Cloud Search.
Sin compilar esta asignación, los Controles del servicio de VPC no funcionarán para la API de Cloud Search.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
networkmanagement.googleapis.com
Detalles
La API para pruebas de conectividad se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
La predicción por lotes no es compatible cuando usas AI Platform Prediction dentro de un perímetro de servicio.
AI Platform Prediction y AI Platform Training usan la API de AI Platform y la API de Prediction, por lo que debes configurar los Controles del servicio de VPC para ambos productos. Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Training.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
ml.googleapis.com
Detalles
Se puede proteger la API de AI Platform Training con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
alloydb.googleapis.com
Detalles
Los perímetros de los Controles del servicio de VPC protegen la API de AlloyDB.
Si deseas obtener más información sobre AlloyDB para PostgreSQL, consulta la documentación del producto.
Limitaciones
Antes de configurar los Controles del servicio de VPC para AlloyDB para PostgreSQL, habilita la API de Service Networking.
Cuando usas AlloyDB para PostgreSQL con los Controles del servicio de VPC y VPC compartidas, el proyecto host y el proyecto de servicio deben estar en el mismo perímetro de servicio de los Controles del servicio de VPC.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
notebooks.googleapis.com
Detalles
La API de Vertex AI Workbench se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
visionai.googleapis.com
Detalles
La API de Vertex AI Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Cuando constraints/visionai.disablePublicEndpoint está activado, inhabilitamos el extremo público del clúster. Los usuarios deben conectarse manualmente al destino de PSC
y acceder al servicio desde la red privada. Puedes obtener el objetivo de PSC
desde el
recurso cluster.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
aiplatform.googleapis.com
Detalles
La API de Colab Enterprise se puede proteger con los Controles del servicio de VPC
y el producto se puede usar con normalidad en los perímetros de servicio.
Colab Enterprise forma parte de Vertex AI.
Consulta Vertex AI.
Colab Enterprise usa Dataform para almacenar notebooks.
Consulta Dataform.
La API para Apigee y Apigee Hybrid se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
meshca.googleapis.com, meshconfig.googleapis.com
Detalles
La API de Anthos Service Mesh se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Puedes usar mesh.googleapis.com para habilitar las APIs necesarias para Anthos Service Mesh.
No es necesario que restrinjas mesh.googleapis.com en tu perímetro, ya que no expone ninguna API.
Además de los artefactos dentro de un perímetro que están disponibles para Artifact Registry, los siguientes repositorios de solo lectura en los repositorios de Container Registry están disponibles para todos los proyectos, sin importar los perímetros de servicio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
En todos los casos, también están disponibles las versiones regionales de estos repositorios.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
assuredworkloads.googleapis.com
Detalles
La API de Assured Workloads se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro.
Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.
Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
automl.googleapis.com, eu-automl.googleapis.com
Detalles
Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:
Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro.
Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.
Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.
Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro.
Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.
Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
automl.googleapis.com, eu-automl.googleapis.com
Detalles
Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:
Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro.
Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.
Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.
Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro.
Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.
Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
No. La API de la solución Bare Metal no se puede proteger con perímetros de servicio.
Sin embargo, la solución Bare Metal se puede usar con normalidad en proyectos dentro de un perímetro.
Detalles
La API de la solución Bare Metal se puede agregar a un perímetro seguro. Sin embargo, los perímetros de los Controles del servicio de VPC no se extienden al entorno de la solución Bare Metal en las extensiones regionales.
La solución Bare Metal no es compatible con los Controles del servicio de VPC. La conexión de una VPC con controles de
servicio habilitados en el entorno de la solución Bare Metal no mantiene ninguna garantía de control
de servicios.
Para obtener más información sobre la limitación de la solución Bare Metal relacionada con los Controles del servicio de VPC, consulta Problemas y limitaciones conocidos.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
biglake.googleapis.com
Detalles
La API de BigLake Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
bigquery.googleapis.com
Detalles
Cuando proteges la API de BigQuery con un perímetro de servicio, también se protegen la API de BigQuery Storage, la API de BigQuery Reservation y la API de BigQuery Connection. No es necesario que agregues por separado estas APIs a la lista de servicios protegidos de tu perímetro.
Los registros de auditoría de BigQuery no siempre incluyen todos los recursos que se usaron cuando se realizó una solicitud, debido a que el servicio procesa a nivel interno el acceso a varios recursos.
Cuando se accede a una instancia de BigQuery protegida por un perímetro de servicio, el trabajo de BigQuery debe ejecutarse dentro de un proyecto dentro del perímetro o en un proyecto que permita una regla de salida del perímetro. De forma predeterminada, las bibliotecas cliente de BigQuery ejecutan trabajos dentro de la cuenta de servicio o el proyecto del usuario, lo que provoca que los Controles del servicio de VPC rechacen la consulta.
BigQuery bloquea el guardado de resultados de consultas en Google Drive desde el perímetro protegido de los Controles del servicio de VPC.
Si otorgas acceso mediante una regla de entrada con cuentas de usuario como el tipo de identidad, no podrás ver el uso de recursos de BigQuery ni el explorador de trabajos administrativos en la página Supervisión. Para usar estas funciones, configura una regla de entrada que use ANY_IDENTITY como el tipo de identidad.
Los Controles del servicio de VPC solo se admiten cuando se realiza análisis a través de
BigQuery Enterprise, Enterprise Plus o
según demanda.
La API de BigQuery Reservation es parcialmente compatible.
La
API de BigQuery Reservation, que crea el recurso de asignación, no aplica restricciones de perímetro de servicio a los usuarios asignados.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
bigquerydatapolicy.googleapis.com
Detalles
La API de política de datos de BigQuery se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la API de BigQuery Data Policy, consulta la
documentación del producto.
Limitaciones
La integración de la API de Data Policy de BigQuery con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
bigquerydatatransfer.googleapis.com
Detalles
El perímetro de servicio solo protege la API del Servicio de transferencia de datos de BigQuery. BigQuery aplica la protección real de datos. Se diseñó para permitir la importación de datos de varias fuentes externas fuera de Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play y Google Ads, en conjuntos de datos de BigQuery. Si deseas obtener información sobre los requisitos de los Controles del servicio de VPC para migrar datos de Teradata, consulta Requisitos de los Controles del servicio de VPC.
Para obtener más información sobre el Servicio de transferencia de datos de BigQuery, consulta la documentación del producto.
Limitaciones
El Servicio de transferencia de datos de BigQuery no admite la exportación de datos fuera de un conjunto de datos de BigQuery. Para obtener más información, consulta Exporta datos de tabla.
Para transferir datos entre proyectos, el proyecto de destino debe estar dentro del mismo perímetro que el proyecto de origen o, de lo contrario, una regla de salida debe permitir la transferencia de datos fuera del perímetro. Para obtener información sobre cómo configurar las reglas de salida, consulta Limitaciones en la administración de conjuntos de datos de BigQuery.
El Servicio de transferencia de datos de BigQuery no admite fuentes de datos de terceros para transferir datos a proyectos protegidos por un perímetro de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
bigquerymigration.googleapis.com
Detalles
La API de migración de BigQuery se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la API de BigQuery Migration, consulta la
documentación del producto.
Limitaciones
La integración de la API de BigQuery Migration con los Controles del servicio de VPC no tiene limitaciones conocidas.
Los servicios bigtable.googleapis.com y bigtableadmin.googleapis.com se agrupan. Cuando restringes el servicio bigtable.googleapis.com a un perímetro, este restringe el servicio bigtableadmin.googleapis.com de forma predeterminada. No puedes agregar el servicio bigtableadmin.googleapis.com a la lista de servicios restringidos en un perímetro porque se agrupa con bigtable.googleapis.com.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
binaryauthorization.googleapis.com
Detalles
Cuando se usan varios proyectos con Autorización binaria, cada uno debe incluirse en el perímetro de los Controles del servicio de VPC. Para obtener más información sobre este caso de uso, consulta Configuración de varios proyectos.
Con la autorización binaria, puedes usar Artifact Analysis para almacenar certificadores y certificaciones como notas y casos, respectivamente. En este caso, también debes incluir Artifact Analysis en el perímetro de los Controles del servicio de VPC.
Consulta la Guía de los Controles del servicio de VPC para Artifact Analysis para obtener más detalles.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
blockchainnodeengine.googleapis.com
Detalles
La API del Motor de nodos de cadenas de bloques se puede proteger con los Controles del servicio de VPC
y se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre el Motor de nodos de cadenas de bloques, consulta la
documentación del producto.
Limitaciones
Las integraciones del Motor de nodos de cadenas de bloques con los Controles del servicio de VPC tienen las
siguientes limitaciones:
Los Controles del servicio de VPC solo protegen la API del Motor de nodos de cadenas de bloques.
Cuando se crea un nodo, debes indicar que está destinado a una red privada configurada por el usuario con Private Service Connect.
El tráfico entre pares no se ve afectado por los Controles del servicio de VPC ni
Private Service Connect y seguirá usando la Internet pública.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
privateca.googleapis.com
Detalles
La API de Certificate Authority Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre Certificate Authority Service, consulta la documentación del producto.
Limitaciones
Para usar Certificate Authority Service en un entorno protegido, también debes agregar la API de Cloud KMS (cloudkms.googleapis.com) y la API de Cloud Storage (storage.googleapis.com) a tu perímetro de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
krmapihosting.googleapis.com
Detalles
Para usar el controlador de configuración con los Controles del servicio de VPC, debes habilitar las siguientes APIs dentro de
tu perímetro:
API de Cloud Monitoring (monitoring.googleapis.com)
API de Container Registry (containerregistry.googleapis.com)
API de Google Cloud Observability (logging.googleapis.com)
API del servicio de token de seguridad (sts.googleapis.com)
API de Cloud Storage (storage.googleapis.com)
Si aprovisionas recursos con Config Controller, debes habilitar la API para
esos recursos en tu perímetro de servicio. Por ejemplo, si deseas agregar una cuenta de servicio de IAM, debes agregar la API de IAM (iam.googleapis.com).
Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear la instancia privada de Cloud Data Fusion. No se admite la protección perimetral de instancias creadas antes de configurar los Controles del servicio de VPC.
Actualmente, la IU del plano de datos de Cloud Data Fusion no admite el acceso basado en la identidad con reglas de entrada o niveles de acceso.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
datalineage.googleapis.com
Detalles
La API de Data Lineage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
compute.googleapis.com
Detalles
La compatibilidad de los Controles del servicio de VPC con Compute Engine ofrece los siguientes beneficios de seguridad:
Restringe el acceso a las operaciones sensibles de la API
Restringe las instantáneas de discos persistentes y las imágenes personalizadas a un perímetro.
Restringe el acceso a los metadatos de la instancia.
La compatibilidad de los Controles del servicio de VPC con Compute Engine también te permite usar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de los perímetros de servicio.
Las operaciones de intercambio de tráfico de VPC no imponen restricciones en el perímetro de servicio de la VPC.
El método de la API projects.ListXpnHosts para la VPC compartida no impone restricciones de perímetro de servicio en los proyectos que se muestran.
Con el fin de habilitar la creación de una imagen de Compute Engine desde Cloud Storage en un proyecto protegido por un perímetro de servicio, se debe agregar al usuario que crea la imagen a una regla de entrada del perímetro de forma temporal.
Los Controles del servicio de VPC no son compatibles con el uso de la versión de código abierto de Kubernetes en las VM de Compute Engine dentro de un perímetro de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
contactcenterinsights.googleapis.com
Detalles
Para usar las estadísticas de Contact Center AI con los Controles del servicio de VPC, debes tener las siguientes API adicionales dentro de tu perímetro, según tu integración.
Para cargar datos en Contact Center AI Insights, agrega la API de Cloud Storage al perímetro de servicio.
Para usar la exportación, agrega la API de BigQuery a tu perímetro de servicio.
Para integrar varios productos de CCAI, agrega la API de Vertex AI al perímetro de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
dataflow.googleapis.com
Detalles
Dataflow admite una cantidad de conectores de servicio de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:
No se admite BIND personalizado cuando se usa Dataflow. Para personalizar la resolución de DNS cuando usas Dataflow con los Controles del servicio de VPC, usa las zonas privadas de Cloud DNS, en lugar de los servidores BIND personalizados. Para usar tu resolución de DNS local, considera usar un método de reenvío de DNS de Google Cloud.
No se verificó que todos los conectores del servicio de almacenamiento funcionen cuando se usan con Dataflow dentro de un perímetro de servicio. Para obtener una lista de los conectores verificados, consulta la sección "Detalles" en la sección anterior.
Cuando usas Python 3.5 con el SDK de Apache Beam 2.0.0-2.22.0, los trabajos de Dataflow fallarán al inicio si los trabajadores solo tienen direcciones IP privadas, como cuando se usan Controles del servicio de VPC para proteger recursos.
Si los trabajadores de Dataflow solo pueden tener direcciones IP privadas, como cuando se usan los Controles del servicio de VPC para proteger los recursos, no uses Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0. Esta combinación hace que los trabajos fallen al inicio.
Antes de crear tus recursos de Dataplex, configura el perímetro de seguridad de los Controles del servicio de VPC. De lo contrario, tus recursos no tendrán protección de perímetro.
Dataplex admite los siguientes tipos de recursos:
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
metastore.googleapis.com
Detalles
La API de Dataproc Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
datamigration.googleapis.com
Detalles
La API de Database Migration Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los perímetros de servicio solo protegen la API de Administrador de Database Migration Service. No protegen el acceso de datos basados en IP a las bases de datos subyacentes (como las instancias de Cloud SQL). Para restringir el acceso de IP pública en las instancias de Cloud SQL, usa una restricción de políticas de la organización.
Cuando uses un archivo de Cloud Storage en la fase de volcado inicial de la migración, agrega el bucket de Cloud Storage al mismo perímetro de servicio.
Cuando usas una clave de encriptación administrada por el cliente (CMEK) en la base de datos de destino, asegúrate de que la CMEK resida en el mismo perímetro de servicio que el perfil de conexión que contiene la clave.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
dlp.googleapis.com
Detalles
La API de Sensitive Data Protection se puede proteger con los Controles del servicio de VPC y el producto se puede
usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la protección de datos sensibles, consulta la
documentación del producto.
Limitaciones
Debido a que, actualmente, los Controles del servicio de VPC no admiten recursos de carpetas y
organizaciones, las llamadas a Sensitive Data Protection pueden mostrar una respuesta 403 cuando se intenta acceder a
recursos a nivel de la organización. Recomendamos usar IAM para administrar
los permisos de Sensitive Data Protection a nivel de la organización y la carpeta.
Puedes acceder a Cloud DNS a través de la VIP restringida. Sin embargo, no puedes crear ni actualizar zonas de DNS públicas dentro de proyectos dentro del perímetro de los Controles del servicio de VPC.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
documentai.googleapis.com
Detalles
La API de Document AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
contentwarehouse.googleapis.com
Detalles
La API de Document AI Warehouse se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
domains.googleapis.com
Detalles
La API de Cloud Domains se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los datos de configuración de DNS que se usan en Cloud Domains (servidores de nombres y configuraciones de DNSSEC) son públicos. Si tu dominio delega a una zona DNS pública, que es la predeterminada, los datos de configuración de DNS de esa zona también son públicos.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
eventarc.googleapis.com
Detalles
Eventarc controla la entrega de eventos mediante temas de Pub/Sub y suscripciones de envío. Para acceder a la API de Pub/Sub y administrar los activadores de eventos, la API de Eventarc debe estar protegida dentro del mismo perímetro de servicio de los Controles del servicio de VPC que la API de Pub/Sub.
En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:
Eventarc está vinculado a las mismas limitaciones que Pub/Sub:
Cuando se enrutan eventos a destinos de Cloud Run, no se pueden crear nuevas
suscripciones de envío de Pub/Sub, a menos que los extremos de envío se configuren en
servicios de Cloud Run con URLs run.app predeterminadas (los dominios
personalizados no funcionan).
Cuando enrutas eventos a destinos de Workflows para los que
el extremo de envío de Pub/Sub está configurado en una ejecución
de Workflows, solo puedes crear suscripciones de envío de Pub/Sub nuevas
a través de Eventarc.
Los Controles del servicio de VPC bloquean la creación de activadores de Eventarc para los extremos HTTP internos. La protección de los Controles del servicio de VPC no se aplica cuando se enrutan
eventos a esos destinos.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
financialservices.googleapis.com
Detalles
La API de IA para prevención del lavado de dinero se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la IA para prevención del lavado de dinero, consulta la documentación del producto.
Limitaciones
La integración de IA para prevención del lavado de dinero con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
firebaseappcheck.googleapis.com
Detalles
Cuando configuras y, luego, intercambias tokens de Verificación de aplicaciones de Firebase, los Controles del servicio de VPC solo protegen el servicio de Verificación de aplicaciones de Firebase. A fin de proteger los servicios que dependen de Firebase App Check, debes configurar perímetros de servicio para esos servicios.
Para obtener más información sobre la Verificación de aplicaciones de Firebase, consulta la documentación del producto.
Limitaciones
La integración de Verificación de aplicaciones de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
firebaserules.googleapis.com
Detalles
Cuando administras las políticas de Firebase Security Rules, los Controles del servicio de VPC solo protegen el servicio de reglas de seguridad de Firebase. A fin de proteger los servicios que se basan en las reglas de seguridad de Firebase, debes configurar los permisos de los servicios para esos servicios.
Para obtener más información sobre las reglas de seguridad de Firebase, consulta la documentación del producto.
Limitaciones
La integración de las reglas de seguridad de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudfunctions.googleapis.com
Detalles
Consulta la documentación de Cloud Functions para conocer los pasos de configuración. La protección de los Controles del servicio de VPC no se aplica a la fase de compilación cuando Cloud Functions se compila mediante Cloud Build. Para obtener más información, consulta las limitaciones conocidas.
Cloud Functions usa Cloud Build, Container Registry y Cloud Storage para compilar y administrar tu código fuente en un contenedor ejecutable. Si el perímetro de servicio restringe cualquiera de estos servicios, los Controles del servicio de VPC bloquean la compilación de Cloud Functions, incluso si Cloud Functions no se agrega como un servicio restringido al perímetro. Si quieres usar Cloud Functions dentro de un perímetro de servicio, debes configurar una regla de entrada para la cuenta de servicio de Cloud Build en el perímetro de servicio.
Para permitir que las funciones usen dependencias externas, como los paquetes de npm, Cloud Build tiene acceso ilimitado a Internet. Este acceso a Internet podría usarse para robar datos disponibles al momento de la compilación, como el código fuente que subiste. Si deseas mitigar este vector de robo de datos, recomendamos que solo permitas que los desarrolladores de confianza implementen funciones. No otorgues funciones de IAM de propietario, editor o desarrollador de Cloud Functions a desarrolladores que no sean de confianza.
Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como un tipo de identidad para implementar Cloud Functions desde una máquina local.
Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.
Cuando los activadores HTTP invocan los servicios de Cloud Functions, la aplicación de la política de los Controles del servicio de VPC no usa la información de autenticación de IAM del cliente. No se admiten las reglas de la política de entrada de los Controles del servicio de VPC que usan principales
de IAM. No se admiten los niveles de acceso para los perímetros de los Controles del servicio de VPC que usan
principales de IAM.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
iam.googleapis.com
Detalles
Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen la administración de funciones IAM personalizadas, la administración de los grupos de Workload Identity y la administración de cuentas de servicio y claves. El perímetro no restringe las acciones de los grupos de trabajadores porque los grupos de trabajadores son recursos a nivel de la organización.
El perímetro de IAM no restringe la administración de accesos (es decir, obtener o configurar políticas de IAM) para los recursos que pertenecen a otros servicios, como proyectos, carpetas y organizaciones de Resource Manager o instancias de máquina virtual de Compute Engine. Para restringir la administración
de acceso a estos recursos, crea un perímetro que restrinja el
servicio que posee los recursos. Para obtener una lista de los recursos que aceptan políticas de IAM y los servicios que los poseen, consulta Tipos de recursos que aceptan políticas de IAM.
Además, el perímetro de IAM no restringe las acciones que usan otras APIs, incluidas las siguientes:
API del Policy Simulator de IAM
API del solucionador de problemas de políticas de IAM
API del servicio de token de seguridad
API de Service Account Credentials (incluidos los métodos signBlob y signJwt heredados en la API de IAM)
Para obtener más información sobre Identity and Access Management, consulta la documentación del producto.
Limitaciones
Si estás dentro del perímetro, no puedes llamar al método roles.list con una string vacía para enumerar las funciones predefinidas de IAM. Si necesitas ver las funciones predefinidas, consulta la documentación de funciones de IAM.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
kmsinventory.googleapis.com
Detalles
La API de Cloud KMS Inventory se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la API de Cloud KMS Inventory, consulta la documentación del producto.
Limitaciones
El método de la API de SearchProtectedResources no aplica restricciones de perímetro de servicio en los proyectos que se muestran.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
iamcredentials.googleapis.com
Detalles
La API de credenciales de la cuenta de servicio se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre las credenciales de la cuenta de servicio, consulta la documentación del producto.
Limitaciones
La integración de las credenciales de la cuenta de servicio con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloud.googleapis.com
Detalles
La API de Service Metadata se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
vpcaccess.googleapis.com
Detalles
La API de Acceso a VPC sin servidores se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre el Acceso a VPC sin servidores, consulta la documentación del producto.
Limitaciones
La integración del Acceso a VPC sin servidores con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudkms.googleapis.com
Detalles
La API de Cloud KMS se puede proteger con los Controles del servicio de VPC y el producto se puede usar en los perímetros de servicio. El acceso a los servicios de Cloud HSM también está protegido por los Controles del servicio de VPC y se puede usar dentro de los perímetros de servicio.
Para obtener más información sobre Cloud Key Management Service, consulta la documentación del producto.
Limitaciones
La integración de Cloud Key Management Service con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
gameservices.googleapis.com
Detalles
La API de Game Servers se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudaicompanion.googleapis.com
Detalles
La API de Gemini para código se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
iaptunnel.googleapis.com
Detalles
La API de Identity-Aware Proxy para TCP puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Si deseas obtener más información sobre Identity-Aware Proxy para TCP, consulta la documentación del producto.
Limitaciones
Solo un perímetro puede proteger la API de IAP para TCP.
No se puede usar un perímetro para proteger la API administrativa.
Si deseas usar IAP para TCP dentro de un perímetro de servicio de Controles del servicio de VPC, debes agregar o configurar algunas entradas de DNS con el fin de apuntar los siguientes dominios a la VIP restringida:
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
lifesciences.googleapis.com
Detalles
La API de Cloud Life Sciences se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
recaptchaenterprise.googleapis.com
Detalles
La API de reCAPTCHA Enterprise se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
recommender.googleapis.com
Detalles
La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede
usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
secretmanager.googleapis.com
Detalles
La API de Secret Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
pubsub.googleapis.com
Detalles
La protección de los Controles del servicio de VPC se aplica a todas las operaciones de administrador, las operaciones de publicador y
las operaciones de suscriptor (excepto las suscripciones de envío existentes).
En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:
No se pueden crear nuevas suscripciones de envío, a menos que los extremos de envío se configuren en
servicios de Cloud Run con URLs run.app predeterminadas o una
ejecucióWorkflowsjo
(los dominios personalizados no funcionan). Para obtener más información sobre la integración en Cloud Run, consulta Usa los Controles del servicio de VPC.
Para las suscripciones que no son de envío, debes crear una suscripción en el mismo perímetro que
el tema o habilitar las reglas de salida para permitir el acceso desde el tema a la suscripción.
Cuando enrutas eventos a través de Eventarc a destinos de Workflows
para los que el extremo de envío está configurado en una ejecución de Workflows, solo
puedes crear suscripciones de envío nuevas a través de Eventarc.
No se bloquean las suscripciones a Pub/Sub creadas antes que el perímetro de servicio.
GA. Esta integración de productos es compatible con los Controles del servicio de VPC. Consulta los detalles y las limitaciones para obtener más información.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
clouddeploy.googleapis.com
Detalles
La API de Cloud Deploy se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Si quieres usar Cloud Deploy en un perímetro, debes usar un grupo privado de Cloud Build para los entornos de ejecución del destino.
No uses el grupo de trabajadores predeterminado (Cloud Build) y no uses un grupo híbrido.
Habilitar la serialización de DAG evita que Airflow muestre una plantilla renderizada con funciones en la IU web.
No se puede establecer la marca async_dagbag_loader en True mientras la serialización de DAG está habilitada.
Habilitar la serialización de DAG inhabilita todos los complementos del servidor web de Airflow, ya que podrían poner en riesgo la seguridad de la red de VPC, en la que se implementa Cloud Composer. Esto no afecta el comportamiento de los complementos de trabajador o programador, incluidos los sensores y operadores de Airflow.
Cuando Cloud Composer se ejecuta dentro de un perímetro, se restringe el acceso a los repositorios públicos de PyPI. En la documentación de Cloud Composer, consulta Instala dependencias de Python para aprender a instalar módulos de PyPi en modo de IP privada.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudquotas.googleapis.com
Detalles
La API de Cloud Quotas se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Debido a que los Controles del servicio de VPC aplican límites a nivel del proyecto, las solicitudes de Cloud Quotas que se originan en clientes dentro del perímetro solo pueden acceder a los recursos de la organización si esta establece una regla de salida.
Si quieres configurar una regla de salida, consulta las instrucciones de los Controles del servicio de VPC para configurar políticas de entrada y salida.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
run.googleapis.com
Detalles
Se requiere una configuración adicional para Cloud Run. Sigue
las instrucciones de la página de documentación de Controles del servicio de VPC de Cloud Run.
En el caso de Artifact Registry y Container Registry, el registro en el que almacenas tu contenedor debe estar en el mismo perímetro de los Controles del servicio de VPC que el proyecto en el que realizas la implementación. El código que se compila debe estar en el mismo perímetro de los Controles del servicio de VPC que el registro al que se envía el contenedor.
La función de implementación continua de Cloud Run no está disponible para los proyectos alojados en un perímetro de Controles del servicio de VPC.
Cuando se invocan los servicios de Cloud Run, la aplicación de la política de los Controles del servicio de VPC no usa la información de autenticación de IAM del cliente. Estas solicitudes tienen las siguientes limitaciones:
No se admiten las reglas de la política de entrada de los Controles del servicio de VPC que usan principales
de IAM.
No se admiten los niveles de acceso para los perímetros de los Controles del servicio de VPC que usan
principales de IAM.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
storage.googleapis.com
Detalles
La API de Cloud Storage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Cuando usas la función Pagos del solicitante con un bucket de almacenamiento dentro de un perímetro de servicio que protege al servicio de Cloud Storage, no puedes identificar un proyecto para pagar que esté fuera del perímetro. El proyecto de destino debe estar en el mismo perímetro que el bucket de almacenamiento o en un puente perimetral con el proyecto del bucket.
En cuanto a los proyectos en un perímetro de servicio, no es posible acceder a la página de Cloud Storage en la consola de Google Cloud si la API de Cloud Storage está protegida por ese perímetro. Si deseas otorgar acceso a la página, debes crear una regla de entrada o un nivel de acceso que incluya las cuentas de usuario o el rango de IP público al que deseas permitir que acceda a la API de Cloud Storage.
En los registros de auditoría, el valor de methodName no siempre es correcto. Te recomendamos que no filtres los registros de auditoría de Cloud Storage por el methodName.
En algunos casos, los registros de buckets heredados de Cloud Storage se pueden escribir en destinos fuera del perímetro de servicio, incluso cuando se niega el acceso.
Cuando intentas usar gsutil por primera vez en un proyecto nuevo, puede que debas habilitar el servicio storage-api.googleapis.com. Si bien no puedes proteger storage-api.googleapis.com directamente, cuando proteges la API de Cloud Storage mediante un perímetro de servicio, las operaciones de gsutil también se protegen.
En algunos casos, se puede acceder a los objetos de Cloud Storage públicos, incluso después de habilitar los Controles del servicio de VPC en los objetos. Se puede acceder a los objetos hasta que venzan en las memorias de almacenamiento en caché integradas y en otras memorias caché ascendentes de la red entre el usuario final y Cloud Storage. Cloud Storage almacena en caché los datos de acceso público de forma predeterminada en la red de Cloud Storage.
Para obtener más información sobre cómo se almacenan en caché los objetos de Cloud Storage, consulta Cloud Storage. Para obtener más información sobre el tiempo que un objeto puede almacenarse en caché, consulta Metadatos de control de caché.
Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como un tipo de identidad para todas las operaciones de Cloud Storage con URL firmadas.
Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.
Las URL firmadas admiten los Controles del servicio de VPC.
Los Controles del servicio de VPC usan las credenciales de firma del usuario o la cuenta de servicio que firmó la URL firmada para evaluar las verificaciones de los Controles del servicio de VPC, no la credencial de usuario o emisor que inicia la conexión.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudtasks.googleapis.com
Detalles
La API de Cloud Tasks se puede proteger con los Controles del servicio de VPC y el
producto se puede usar con normalidad en los perímetros de servicio.
Las solicitudes HTTP de las ejecuciones de Cloud Tasks se admiten de la siguiente manera:
Se permiten las solicitudes autenticadas a los extremos de Cloud Functions y Cloud Run
que cumplen con los Controles del servicio de VPC.
Se bloquean las solicitudes a extremos que no son de Cloud Functions ni
de Cloud Run.
Las solicitudes a extremos de Cloud Functions y Cloud Run que no cumplen con los Controles del servicio de VPC se bloquean.
Los perímetros de servicio solo protegen la API de Administrador de Cloud SQL. No protegen el acceso de datos basados en IP a las instancias de Cloud SQL. Debes usar una restricción de políticas de la organización para restringir el acceso de IP pública en las instancias de Cloud SQL.
Antes de configurar los Controles del servicio de VPC para Cloud SQL, habilita la API de Service Networking.
Las importaciones y las exportaciones de Cloud SQL solo pueden realizar operaciones de lectura y escritura desde un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL.
En el flujo de creación de claves para CMEK, debes
crear la clave en el mismo perímetro de
servicio que los recursos que la usan.
Cuando restableces una instancia desde una copia de seguridad, la instancia de destino debe estar en el mismo perímetro de servicio que la copia de seguridad.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
videointelligence.googleapis.com
Detalles
La API de Video Intelligence se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la API de Video Intelligence, consulta la documentación del producto.
Limitaciones
La integración de la API de Video Intelligence con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
vision.googleapis.com
Detalles
La API de Cloud Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Incluso si creas una regla de salida para permitir llamadas a URL públicas desde los perímetros de los Controles del servicio de VPC, la API de Cloud Vision bloquea las llamadas a URL públicas.
Debido a que la API de Container Scanning es una API sin superficie que almacena los resultados en Artifact Analysis, no necesitas proteger la API con un perímetro de servicio.
Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como un tipo de identidad en todas las operaciones de Container Registry.
Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.
Además de los contenedores que se encuentran dentro de un perímetro disponibles para Container Registry, los siguientes repositorios de solo lectura están disponibles para todos los proyectos, sin importar las restricciones que apliquen los perímetros de servicio:
gcr.io/anthos-baremetal-release
gcr.io/asci-toolchain
gcr.io/cloud-airflow-releaser
gcr.io/cloud-builders
gcr.io/cloud-dataflow
gcr.io/cloud-ingest
gcr.io/cloud-marketplace
gcr.io/cloud-ssa
gcr.io/cloudsql-docker
gcr.io/config-management-release
gcr.io/deeplearning-platform-release
gcr.io/foundry-dev
gcr.io/fn-img
gcr.io/gae-runtimes
gcr.io/gke-node-images
gcr.io/gke-release
gcr.io/gkeconnect
gcr.io/google-containers
gcr.io/kubeflow
gcr.io/kubeflow-images-public
gcr.io/kubernetes-helm
gcr.io/istio-release
gcr.io/ml-pipeline
gcr.io/projectcalico-org
gcr.io/rbe-containers
gcr.io/rbe-windows-test-images
gcr.io/speckle-umbrella
gcr.io/stackdriver-agents
gcr.io/tensorflow
gcr.io/vertex-ai
gcr.io/vertex-ai-restricted
gke.gcr.io
k8s.gcr.io
En todos los casos, también están disponibles las versiones multirregional de estos repositorios.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
container.googleapis.com
Detalles
La API de Google Kubernetes Engine se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Solo los clústeres privados se pueden proteger mediante los Controles del servicio de VPC. Los Controles del servicio de VPC no admiten clústeres con direcciones IP públicas.
El ajuste de escala automático funciona independientemente de GKE. Debido a que los Controles del servicio de VPC no son compatibles con autoscaling.googleapis.com, el ajuste de escala automático no funciona.
Cuando usas GKE, puedes ignorar la infracción de SERVICE_NOT_ALLOWED_FROM_VPC en los registros de auditoría que se debe al servicio autoscaling.googleapis.com.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
containersecurity.googleapis.com
Detalles
La API de Container Security se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la API de Container Security, consulta la documentación del producto.
Limitaciones
La integración de la API de Container Security con los Controles del servicio de VPC no tiene limitaciones conocidas.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
containerfilesystem.googleapis.com
Detalles
La transmisión de imágenes es una función de transmisión de datos de GKE que proporciona tiempos de extracción de imágenes de contenedor más cortos para las imágenes almacenadas en Artifact Registry.
Si los Controles del servicio de VPC protegen las imágenes de contenedor y usas la transmisión de imágenes, también debes incluir la API de transmisión de imágenes en el perímetro de servicio.
Los siguientes repositorios de solo lectura están disponibles para todos los proyectos, sin importar las restricciones que apliquen los perímetros de servicio:
Las API de Fleet management, incluida la puerta de enlace de Connect, se pueden proteger con los Controles del servicio de VPC, y las funciones de administración de flota se pueden usar con normalidad dentro de los perímetros de servicio.
Para obtener más información, consulta lo siguiente:
Aunque todas las funciones de administración de flotas se pueden usar con normalidad, habilitar un perímetro de servicio alrededor de la API de Stackdriver restringe la función de la flota de Policy Controller para que no se integre en Security Command Center.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudresourcemanager.googleapis.com
Detalles
Los siguientes métodos de la API de Cloud Resource Manager se pueden proteger con los Controles del servicio de VPC:
Solo las claves de etiqueta que son directamente superiores a un recurso de proyecto y los valores de etiqueta correspondientes
se pueden proteger con los Controles del servicio de VPC. Cuando se agrega un proyecto a un perímetro de los Controles del servicio de VPC, todas las claves de etiquetas y los valores de etiqueta correspondientes del proyecto se consideran recursos dentro del perímetro.
Las claves de etiqueta que tienen como superior un recurso de la organización y sus valores de etiqueta correspondientes
no se pueden incluir en un perímetro de Controles del servicio de VPC ni se pueden proteger con
los Controles del servicio de VPC.
Los clientes dentro de un perímetro de Controles del servicio de VPC no pueden acceder a las claves de etiquetas ni a los valores correspondientes que un recurso de la organización tiene superior, a menos que se configure una regla de salida que permita el acceso en el perímetro. Para obtener más información sobre cómo configurar reglas de salida, consulta Reglas de entrada y salida.
Las vinculaciones de etiquetas se consideran recursos dentro del mismo perímetro que el recurso al que está vinculado el valor de la etiqueta. Por ejemplo, se considera que las vinculaciones de etiquetas en una instancia de Compute Engine de un proyecto pertenecen a ese proyecto sin importar dónde se defina la clave de etiqueta.
Algunos servicios, como Compute Engine, permiten crear vinculaciones de etiquetas con sus propias API de servicio, además de las API de servicio de Resource Manager. Por ejemplo, agregar etiquetas a una VM de Compute Engine durante la creación de recursos. Para proteger las vinculaciones de etiquetas creadas o borradas con estas APIs de servicio, agrega el servicio correspondiente, como compute.googleapis.com, a la lista de servicios restringidos en el perímetro.
Las etiquetas admiten restricciones a nivel de método, por lo que puedes definir el alcance de method_selectors a métodos de API específicos. Para obtener una lista de los métodos restrictivos, consulta Restricciones de métodos de servicio admitidos.
Ahora, los Controles del servicio de VPC admiten la asignación de la función de propietario en un proyecto a través de la consola de Google Cloud. No puedes enviar una invitación de propietario ni aceptar una invitación fuera de los perímetros de servicio. Si intentas aceptar una invitación desde fuera del perímetro,
no se te otorgará el rol de propietario y no se mostrará ningún mensaje de error ni de advertencia.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
logging.googleapis.com
Detalles
La API de Cloud Logging se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los receptores de registro agregados (receptores de carpetas y organizaciones en los que includeChildren es true) pueden acceder a los datos de los proyectos dentro de un perímetro de servicio. A fin de restringir el acceso de los receptores de registros agregados a los datos dentro de un perímetro, recomendamos usar IAM para administrar los permisos de Logging en los receptores de registros agregados a nivel de carpeta o de organización.
Los Controles del servicio de VPC no admiten la adición de recursos de carpetas o de organizaciones a los perímetros de servicio. Por lo tanto, no puedes usar los Controles del servicio de VPC para proteger los registros a nivel de carpeta y de organización, incluidos los registros agregados. Para administrar los permisos de Logging a nivel de carpeta o de la organización, recomendamos usar IAM.
Si enrutas registros, mediante un receptor de registros a nivel de la organización o de la carpeta, a un recurso que protege un perímetro de servicio, debes agregar una regla de entrada al perímetro de servicio. La regla de entrada debe permitir el acceso al recurso desde la cuenta de servicio que usa el receptor de registros. Este paso no es necesario para los receptores a nivel de proyecto.
Para obtener más información, consulta las siguientes páginas:
Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como un tipo de identidad a fin de exportar registros de un receptor de Cloud Logging a un recurso de Cloud Storage.
Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
certificatemanager.googleapis.com
Detalles
La API del Administrador de certificados se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre el Administrador de certificados, consulta la documentación del producto.
Limitaciones
La integración del Administrador de certificados con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
monitoring.googleapis.com
Detalles
La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los canales de notificaciones, las políticas de alertas y las métricas personalizadas se pueden usar en conjunto para el robo de datos y metadatos. Por el momento, un usuario de Monitoring puede configurar un canal de notificaciones que apunte a una entidad fuera de una organización, p. ej., “baduser@badcompany.com”. Luego, el usuario configura métricas personalizadas y las políticas de alerta correspondientes que usan el canal de notificaciones. Como resultado, mediante la manipulación de las métricas personalizadas, el usuario puede activar alertas y enviar alertas que activen notificaciones, lo que expone datos sensibles a baduser@badcompany.com por fuera del perímetro de los Controles del servicio de VPC.
Cualquier VM de Compute Engine o AWS que tenga el agente de Monitoring instalado debe estar dentro del perímetro de los Controles del servicio de VPC o las operaciones de escritura de métrica del agente fallarán.
Los Pods de GKE deben estar dentro del perímetro de los Controles del servicio de VPC o GKE Monitoring no funcionará.
Cuando se consultan las métricas de un alcance de métricas, solo se considera el perímetro de los Controles del servicio de VPC del proyecto de alcance para el permiso de la métrica. No se consideran los perímetros de los proyectos supervisados en el alcance de las métricas.
Un proyecto solo se puede agregar como proyecto supervisado a un permiso de métricas existente si ese proyecto está en el mismo perímetro de Controles de servicio de VPC que el del proyecto del permiso de las métricas.
Si quieres acceder a Monitoring en la consola de Google Cloud para un proyecto host protegido por un perímetro de servicio, usa una regla de entrada.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudprofiler.googleapis.com
Detalles
La API de Cloud Profiler se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
timeseriesinsights.googleapis.com
Detalles
La API de Timeseries Insights se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la API de Timeseries Insights, consulta la
documentación del producto.
Limitaciones
La integración de la API de Timeseries Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudtrace.googleapis.com
Detalles
La API de Cloud Trace se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Debido a que la API de Natural Language es una API sin estado y no se ejecuta en proyectos, el uso de los Controles del servicio de VPC para proteger la API de Natural Language no tiene ningún efecto.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
networkconnectivity.googleapis.com
Detalles
La API de Network Connectivity Center se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudasset.googleapis.com
Detalles
La API de Cloud Asset se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los Controles del servicio de VPC no son compatibles con el acceso a los recursos de la API de Cloud Asset a nivel de carpeta o de organización desde los recursos y clientes dentro de un perímetro de servicio. Los Controles del servicio de VPC protegen los recursos de la API de Cloud Asset a nivel de proyecto. Puedes especificar una política de salida para evitar el acceso a los recursos de la API de Cloud Asset a nivel de proyecto desde los proyectos dentro del perímetro.
Los Controles del servicio de VPC no admiten agregar recursos a la API de Cloud Asset a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de la API de Cloud Asset a nivel de carpeta o de organización. Para administrar los permisos de Cloud Asset Inventory a nivel de organización o carpeta, te recomendamos usar IAM.
No puedes exportar activos a nivel de la organización o la carpeta a los destinos dentro de un perímetro de servicio.
No puedes crear feeds en tiempo real para recursos a nivel de la organización o la carpeta con un tema de Pub/Sub dentro de un perímetro de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
speech.googleapis.com
Detalles
La API de Speech-to-Text se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
texttospeech.googleapis.com
Detalles
La API de Text-to-Speech se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
translate.googleapis.com
Detalles
La API de Translation se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Cloud Translation avanzado (v3) es compatible con los Controles del servicio de VPC, pero no con Cloud Translation básico (v2). Para aplicar los Controles del servicio de VPC, debes usar Cloud Translation avanzado (v3). Para obtener más información sobre las diferentes ediciones, consulta la comparación entre la edición básica y la avanzada.
Si quieres proteger los extremos de entrada con un perímetro de servicio, debes seguir
las instrucciones para configurar un grupo privado y enviar transmisiones de video por Internet de entrada a través de una conexión
privada.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
transcoder.googleapis.com
Detalles
La API de API Transcoder se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
videostitcher.googleapis.com
Detalles
La API de Video Stitcher se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
accessapproval.googleapis.com
Detalles
La API para la Aprobación de acceso se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
healthcare.googleapis.com
Detalles
La API de Cloud Healthcare se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
storagetransfer.googleapis.com
Detalles
Recomendamos colocar el proyecto del Servicio de transferencia de almacenamiento dentro del mismo perímetro de servicio que los recursos de Cloud Storage. Esto protege la transferencia y los recursos de Cloud Storage. El Servicio de transferencia de almacenamiento también admite situaciones en las que el proyecto del Servicio de transferencia de almacenamiento no está en el mismo perímetro que tus buckets de Cloud Storage, mediante una política de salida.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
servicecontrol.googleapis.com
Detalles
La API de Control de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Cuando llamas a la API de Service Control desde una red de VPC en un perímetro de servicio con el Control de servicios restringido para informar métricas de facturación o estadísticas, solo puedes usar el método Informe de Control de servicios para informar las métricas de los servicios compatibles con los Controles del servicio de VPC.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
redis.googleapis.com
Detalles
La API de Memorystore para Redis se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los perímetros de servicio solo protegen la API de Memorystore para Redis. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Redis dentro de la misma red.
Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Redis solo pueden leer y escribir en un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de Memorystore para Redis.
Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Redis dentro del mismo perímetro para que las solicitudes de Redis se realicen correctamente. En cualquier momento, separar el proyecto host y el proyecto de servicio con un perímetro puede causar una falla en la instancia de Redis, además de que se bloqueen las solicitudes. Para obtener más información, consulta los requisitos de configuración de Memorystore para Redis.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
memcache.googleapis.com
Detalles
La API de Memorystore para Memcached se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los perímetros de servicio solo protegen la API de Memorystore para Memcached. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Memcached dentro de la misma red.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
servicedirectory.googleapis.com
Detalles
La API del Directorio de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
No. La API de Transfer Appliance no se puede proteger con los perímetros de servicio.
Sin embargo, Transfer Appliance se puede usar con normalidad en proyectos dentro de un perímetro.
Detalles
Transfer Appliance es compatible en su totalidad con proyectos que usan los Controles del servicio de VPC.
Transfer Appliance no ofrece una API y, por lo tanto, no es compatible con las funciones relacionadas con la API en los Controles del servicio de VPC.
Cuando Cloud Storage está protegido por los Controles del servicio de VPC, la clave de Cloud KMS que compartes con el equipo de Transfer Appliance debe estar dentro del mismo proyecto que el bucket de destino de Cloud Storage.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
orgpolicy.googleapis.com
Detalles
La API del Servicio de políticas de la organización se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre el Servicio de políticas de la organización, consulta la documentación del producto.
Limitaciones
Los Controles del servicio de VPC no son compatibles con las restricciones de acceso a las políticas de la organización
a nivel de la carpeta o de la organización que hereda el proyecto.
Los Controles del servicio de VPC protegen los recursos de la API del Servicio de políticas de la organización a nivel de proyecto.
Por ejemplo, si una regla de entrada restringe el acceso de un usuario a la API del Servicio de políticas de la organización, ese usuario recibe un error 403 cuando consulta las políticas de la organización que se aplicaron en el proyecto. Sin embargo, el usuario aún puede acceder a las políticas de la organización de la carpeta y la organización que contiene el proyecto.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
oslogin.googleapis.com
Detalles
Puedes llamar a la API de Acceso al SO desde los perímetros de los Controles del servicio de VPC. Para administrar el Acceso al SO desde los perímetros de los Controles del servicio de VPC, configura el Acceso al SO.
Las conexiones SSH a instancias de VM no están protegidas por los Controles del servicio de VPC.
Los métodos de Acceso al SO para leer y escribir claves SSH no aplican perímetros de los Controles del servicio de VPC. Usa servicios accesibles de VPC para inhabilitar el acceso a las APIs de Acceso al SO.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
servicehealth.googleapis.com
Detalles
La API de Personalized Service Health se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Los Controles del servicio de VPC no son compatibles con los recursos OrganizationEvents y OrganizationImpacts de la API de Service Health. Por lo tanto, las verificaciones de la política de los Controles del servicio de VPC no se realizarán cuando llames a los métodos para estos recursos. Sin embargo, puedes llamar a los métodos desde un perímetro de servicio con una VIP restringida.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
osconfig.googleapis.com
Detalles
Puedes llamar a la API de configuración del SO desde los perímetros de los Controles del servicio de VPC. Para usar VM Manager desde los perímetros de los Controles del servicio de VPC, configura VM Manager.
Para proteger por completo el VM Manager, debes incluir todas las siguientes API en tu perímetro:
API de configuración del SO (osconfig.googleapis.com)
API de Compute Engine (compute.googleapis.com)
API de Artifact Analysis (containeranalysis.googleapis.com)
VM Manager no aloja el contenido del paquete ni del parche. La Administración de parches de SO usa las herramientas de actualización del sistema operativo que requieren que los parches y las actualizaciones de paquetes se puedan recuperar en la VM. Para que la aplicación de parches funcione, es posible que debas usar Cloud NAT o alojar tu propio repositorio de paquetes o servicio de Windows Server Update en tu nube privada virtual.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
workflows.googleapis.com
Detalles
Workflows es una plataforma de organización que puede combinar los servicios de Google Cloud y las API basadas en HTTP para ejecutar servicios en el orden que definas.
Cuando proteges a la API de Workflows mediante un perímetro de servicio, también se protege la API de Workflows Executions. No es necesario que agregues por separado workflowexecutions.googleapis.com a la lista de servicios protegidos de tu perímetro.
Las solicitudes HTTP desde la ejecución de Workflows son compatibles de la siguiente manera:
Se permiten las solicitudes autenticadas a los extremos de Google Cloud que cumplen con los Controles del servicio de VPC.
Se permiten las solicitudes a los extremos del servicio de Cloud Functions y Cloud Run.
Las solicitudes a extremos de terceros se bloquean.
Se bloquean las solicitudes a los extremos de Google Cloud que no cumplen con los Controles del servicio de VPC.
Los perímetros de servicio solo protegen la API de Filestore. Los perímetros no protegen el acceso normal a los datos NFS en las instancias de Filestore dentro de la misma red.
Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Filestore dentro del mismo perímetro para que la instancia de Filestore funcione correctamente. Separar el proyecto host y el proyecto de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y que no se creen instancias nuevas.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Si usas la VPC compartida y los Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Parallelstore dentro del mismo perímetro para que la instancia de Parallelstore funcione de forma correcta. Separar el proyecto host y el de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y podría no crear instancias nuevas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
containerthreatdetection.googleapis.com
Detalles
La API de Container Threat Detection se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
adsdatahub.googleapis.com
Detalles
Para obtener más información sobre el Centro de Datos de Anuncios, consulta la documentación del producto.
Limitaciones
El Centro de Datos de Anuncios y los Controles del servicio de VPC están sujetos a diferentes Condiciones del Servicio. Revisa las condiciones de cada producto para obtener más información.
Ciertas funciones del Centro de Datos de Anuncios (como la activación de público personalizado, las ofertas personalizadas y las tablas de coincidencias de LiveRamp) requieren que ciertos datos del usuario se exporten fuera del perímetro de los Controles del servicio de VPC. Si se agrega el Centro de Datos de Anuncios como servicio restringido, omitirá las políticas de Controles del servicio de VPC para estas funciones a fin de conservar su funcionalidad.
Todos los servicios dependientes deben incluirse como servicios permitidos en el mismo perímetro de Controles del servicio de VPC. Por ejemplo, dado que el Centro de Datos de Anuncios depende de BigQuery, también se debe agregar BigQuery. En general, se recomiendan todos los servicios del perímetro, es decir, “restringir todos los servicios”, en las prácticas recomendadas de los Controles del servicio de VPC.
Los clientes con estructuras de cuentas del Centro de Datos de Anuncios de varios niveles (como las agencias con subsidiarias) deben tener todos sus proyectos de administrador en el mismo perímetro. Para simplificar, el Centro de Datos de Anuncios recomienda que los clientes con estructuras de cuenta de varios niveles restrinjan sus proyectos de administrador a la misma organización de Google Cloud.
La API de Cloud Traffic se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
sts.googleapis.com
Detalles
Los Controles del servicio de VPC solo restringen los intercambios de tokens si el público de la solicitud es un recurso a nivel de proyecto. Por ejemplo, no restringe las solicitudes de tokens con alcance reducido, ya que esas solicitudes no tienen público. Tampoco restringe las solicitudes de federación de Workload Identity, ya que el público es un recurso a nivel de la organización.
Para obtener más información sobre el servicio de tokens de seguridad, consulta la documentación del producto.
Limitaciones
La integración del servicio de tokens de seguridad con Controles del servicio de VPC no tiene limitaciones conocidas.
Los servicios firestore.googleapis.com, datastore.googleapis.com y firestorekeyvisualizer.googleapis.com se agrupan.
Cuando restringes el servicio firestore.googleapis.com a un perímetro, este también restringe los servicios datastore.googleapis.com y firestorekeyvisualizer.googleapis.com.
Para obtener la protección total de salida en las operaciones de importación y exportación, debes usar el agente de servicio de Firestore. Consulta los siguientes vínculos para obtener más información:
Las operaciones de importación y exportación no están completamente protegidas, a menos que uses el agente de servicio de Firestore. Consulta los siguientes vínculos para obtener más información:
Los servicios de App Engine heredados en paquetes para Datastore
no son compatibles con los perímetros de servicio. Proteger el servicio de Datastore con un perímetro de servicio bloquea el tráfico de los servicios heredados en paquetes de App Engine. Los servicios heredados en paquetes incluyen lo siguiente:
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
vmmigration.googleapis.com
Detalles
La API de Migrate to Virtual Machines se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
migrationcenter.googleapis.com
rapidmigrationassessment.googleapis.com
Detalles
Los Controles del servicio de VPC te permiten proteger los datos de la infraestructura que recopilas con
Migration Center con un perímetro de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
backupdr.googleapis.com
Detalles
La API para el servicio de copia de seguridad y DR se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre el servicio de copia de seguridad y DR, consulta la documentación del producto.
Limitaciones
Si quitas la ruta predeterminada de Internet del proyecto del productor de servicios con el comando gcloud services vpc-peerings enable-vpc-service-controls, es posible que no puedas acceder a la consola de administración ni implementarla. Si tienes este problema, comunícate con Atención al cliente de Google Cloud.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
gkebackup.googleapis.com
Detalles
Puedes usar los Controles del servicio de VPC a fin de proteger la copia de seguridad de GKE y usarlas con normalidad en los perímetros de servicio.
Si deseas obtener más información sobre la Copia de seguridad para GKE, consulta la documentación del producto.
Limitaciones
La integración de la copia de seguridad para GKE con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
retail.googleapis.com
Detalles
La API de la API de Retail se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
integrations.googleapis.com
Detalles
Application Integration es un sistema de administración de flujos de trabajo colaborativo que te permite
crear, aumentar, depurar y comprender los flujos de trabajo principales del sistema empresarial.
Los flujos de trabajo de Application Integration constan de activadores y tareas.
Existen varios tipos de activadores, como activador de API/de Pub/Sub/activador cron/activador de SFDC.
Los Controles del servicio de VPC protegen los registros de Application Integration. Si usas Application Integration, verifica la compatibilidad con la integración
de vpcsc con el equipo de Application Integration.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
connectors.googleapis.com
Detalles
La API de Integration Connectors se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Cuando usas los Controles del servicio de VPC, si tu conexión se conecta a un recurso que no es de Google Cloud CLI, el destino de la conexión debe ser un adjunto de Private Service Connect. Las conexiones
creadas sin el adjunto de Private Service Connect fallan.
Si configuras un perímetro de servicio de los Controles del servicio de VPC para tu proyecto de Google Cloud CLI, no puedes usar la
función de suscripción a eventos en el proyecto.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
clouderrorreporting.googleapis.com
Detalles
La API de Error Reporting se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Las notificaciones que se envían cuando se encuentra un grupo de errores nuevo o recurrente contienen información sobre el grupo de errores. Para evitar el robo de datos fuera del perímetro de los Controles del servicio de VPC, asegúrate de que los canales de notificaciones estén dentro de la organización.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
workstations.googleapis.com
Detalles
La API de Cloud Workstations se puede proteger con los Controles del servicio de VPC y el producto se puede
usar con normalidad en los perímetros de servicio.
Para proteger por completo Cloud Workstations, debes restringir la
API de Compute Engine en tu perímetro de servicio cada vez que restrinjas la
API de Cloud Workstations.
Asegúrate de que la API de Google Cloud Storage, la API de Google Container Registry y la API de Artifact Registry sean
accesibles a través de VPC en tu perímetro de servicio. Esto es necesario para extraer imágenes a tu estación de trabajo. También recomendamos que permitas que se pueda acceder a la API de Cloud Logging y a la API de Cloud Error Reporting en tu perímetro de servicio, aunque no es obligatorio para usar Cloud Workstations.
Asegúrate de que el clúster de tu estación de trabajo sea privado.
La configuración de un clúster privado evita conexiones a tus estaciones de trabajo desde
fuera del perímetro de servicio de VPC.
Asegúrate de inhabilitar las direcciones IP públicas en la configuración de tu estación de trabajo. Si no lo haces, se generarán VM con direcciones IP públicas en tu proyecto. Te recomendamos que uses la restricción de la política de la organización constraints/compute.vmExternalIpAccess para inhabilitar las direcciones IP públicas de todas las VM en tu perímetro de servicio de VPC. Para obtener más información, consulta
Restringe direcciones IP externas a VMs específicas.
Cuando te conectas a tu estación de trabajo, el control de acceso solo se basa en si la red privada desde la que te conectas pertenece al perímetro de seguridad. No se admite el control de acceso basado en el dispositivo, la dirección IP pública o la ubicación.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
ids.googleapis.com
Detalles
La API para IDS de Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
IDS de Cloud usa Cloud Logging para crear registros de amenazas en tu proyecto. Si el perímetro de servicio restringe Cloud Logging, los Controles del servicio de VPC bloquean los registros de amenazas del IDS de Cloud, incluso si el IDS de Cloud no se agrega como un servicio restringido al perímetro. Si quieres usar el IDS de Cloud dentro de un perímetro de servicio, debes configurar una regla de entrada para la cuenta de servicio de Cloud Logging en tu perímetro de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
policytroubleshooter.googleapis.com
Detalles
Cuando restringes la API del solucionador de problemas de políticas con un perímetro, las principales pueden solucionar problemas de políticas de permisos de IAM solo si todos los recursos involucrados en la solicitud están en el mismo perímetro. Por lo general, hay dos recursos involucrados en una solicitud de solución de problemas:
El recurso para el que estás solucionando problemas de acceso. Este recurso puede ser de cualquier
tipo. Debes especificar este recurso de forma explícita cuando solucionas los problemas de una política de permisos.
El recurso que usas para solucionar los problemas de acceso. Este recurso es
un proyecto, una carpeta o una organización. En la consola de Google Cloud y
gcloud CLI, este recurso se infiere según el proyecto, la carpeta
o la organización que seleccionaste. En la API de REST, debes especificar este recurso con el encabezado x-goog-user-project.
Este recurso puede ser el mismo que el recurso para el que estás solucionando problemas de acceso, pero
no es necesario.
Si estos recursos no están en el mismo perímetro, la solicitud falla.
Para obtener más información sobre el Solucionador de problemas de políticas, consulta la
documentación del producto.
Limitaciones
La integración del Solucionador de problemas de políticas con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
policysimulator.googleapis.com
Detalles
Cuando restringes la API de Policy Simulator con un perímetro, las principales
pueden simular políticas de permiso solo si ciertos recursos involucrados en la
simulación están en el mismo perímetro. Hay varios recursos involucrados en una simulación:
El recurso cuya política de permisos estás simulando. Este recurso también se denomina recurso de destino. En la consola de Google Cloud, este es el recurso
cuya política de permisos estás editando. En gcloud CLI y la API de REST, especificas de forma explícita este recurso cuando simulas una política de permisos.
El proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se denomina recurso de host. En la consola de Google Cloud y
gcloud CLI, este recurso se infiere según el proyecto, la carpeta
o la organización que seleccionaste. En la API de REST, debes especificar este recurso con el encabezado x-goog-user-project.
Este recurso puede ser el mismo que el recurso para el que estás simulando
acceso, pero no es necesario.
El recurso que proporciona registros de acceso para la simulación. En una simulación, siempre hay un recurso que proporciona registros de acceso para la simulación. Este recurso varía según el tipo de recurso de destino:
Si simulas una política de permiso para un proyecto o una organización, el simulador
de políticas recupera los registros de acceso de esa organización o proyecto.
Si simulas una política de permiso para un tipo diferente de recurso, Policy Simulator recupera los registros de acceso de la organización o el proyecto superior de ese recurso.
Si simulas las políticas de permisos de varios recursos a la vez, el simulador de políticas recupera los registros de acceso para la organización o proyecto común más cercano a los recursos.
Todos los recursos compatibles con políticas de permisos relevantes.
Cuando Policy Simulator ejecuta una simulación, considera todas las políticas de permiso que podrían afectar el acceso del usuario, incluidas las políticas de permiso en los recursos principales y subordinados del recurso de destino. Como resultado, estos recursos principales y subordinados también participan en las simulaciones.
Si el recurso de destino y el recurso de host no están en el mismo perímetro, la solicitud falla.
Si el recurso de destino y el que proporciona registros de acceso para la simulación no están en el mismo perímetro, la solicitud falla.
Si el recurso de destino y algunos recursos compatibles con políticas de permisos relevantes no están en el mismo perímetro, las solicitudes se ejecutan de forma correcta, pero es posible que los resultados estén incompletos. Por ejemplo, si simulas una política para un proyecto en un perímetro, los resultados no incluirán la política de permiso de la organización superior del proyecto, ya que las organizaciones siempre están fuera de los perímetros de los Controles del servicio de VPC. A fin de obtener resultados más completos, puedes configurar las reglas de entrada y salida para el perímetro.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
essentialcontacts.googleapis.com
Detalles
La API de contactos esenciales se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
La API de Identity Platform se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para proteger Identity Platform por completo, agrega la API de Secure Token (securetoken.googleapis.com) al
perímetro de servicio para permitir la actualización del token. securetoken.googleapis.com no aparece en la página Controles del servicio de VPC de la consola de Google Cloud.
Solo puedes agregar este servicio con el
comando gcloud access-context-manager
perímetros update.
Si tu aplicación también se integra en la función de bloqueo de funciones, agrega Cloud Functions (cloudfunctions.googleapis.com) al perímetro de servicio.
El uso de autenticación multifactor (MFA) basada en SMS, autenticación de correo electrónico o proveedores de identidad externos provoca que los datos se envíen fuera del perímetro. Si no usas la MFA con SMS, autenticación de correo electrónico o proveedores de identidad de terceros, inhabilita estas funciones.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
gkemulticloud.googleapis.com
Detalles
La API de múltiples nubes de GKE se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para proteger Identity Platform por completo, agrega la API de Secure Token (securetoken.googleapis.com) al
perímetro de servicio para permitir la actualización del token. securetoken.googleapis.com no aparece en la página Controles del servicio de VPC de la consola de Google Cloud.
Solo puedes agregar este servicio con el
comando gcloud access-context-manager
perímetros update.
Si tu aplicación también se integra en la función de bloqueo de funciones, agrega Cloud Functions (cloudfunctions.googleapis.com) al perímetro de servicio.
El uso de autenticación multifactor (MFA) basada en SMS, autenticación de correo electrónico o proveedores de identidad externos provoca que los datos se envíen fuera del perímetro. Si no usas la MFA con SMS, autenticación de correo electrónico o proveedores de identidad de terceros, inhabilita estas funciones.
Para proteger por completo la API de Anthos On-Prem, agrega las siguientes APIs al
perímetro de servicio:
API de Cloud Monitoring (monitoring.googleapis.com)
API de Cloud Logging (logging.googleapis.com)
Ten en cuenta que los Controles del servicio de VPC no protegen contra las exportaciones de registros de Cloud Logging a nivel de organización o carpeta.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
No. La API de Google Distributed Cloud Virtual para Bare Metal no se puede proteger con perímetros de servicio.
Sin embargo, Google Distributed Cloud Virtual para Bare Metal se puede usar con normalidad en proyectos dentro de un perímetro.
Detalles
Puedes crear un clúster en tu entorno, que esté conectado a VPC mediante Cloud Interconnect o Cloud VPN.
Si quieres obtener más información sobre Google Distributed Cloud Virtual para Bare Metal, consulta la
documentación del producto.
Limitaciones
Cuando crees o actualices un clúster con GDCV para Bare Metal, usa la marca --skip-api-check en bmctl para omitir la llamada a la API de Service Usage (serviceusage.googleapis.com), ya que la API de Service Usage (serviceusage.googleapis.com) no es compatible con los Controles del servicio de VPC.
GDCV para Bare Metal invoca la API de Service Usage para validar que las APIs
necesarias estén habilitadas en un proyecto; no se usa para validar la accesibilidad del extremo de API.
Si quieres proteger el GDCV para Bare Metal, usa la VIP restringida en el GDCV para Bare Metal y agrega todas las siguientes APIs al perímetro de servicio:
API de Artifact Registry (artifactregistry.googleapis.com)
API de Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
API de Compute Engine (compute.googleapis.com)
API de Connect Gateway (connectgateway.googleapis.com)
API de Google Container Registry (containerregistry.googleapis.com)
API de GKE Connect (gkeconnect.googleapis.com)
API de GKE Hub (gkehub.googleapis.com)
API de GKE On-Prem (gkeonprem.googleapis.com)
API de Cloud IAM (iam.googleapis.com)
API de Cloud Logging (logging.googleapis.com)
API de Cloud Monitoring (monitoring.googleapis.com)
API de Config Monitoring para Ops (opsconfigmonitoring.googleapis.com)
API de Service Control (servicecontrol.googleapis.com)
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
ondemandscanning.googleapis.com
Detalles
La API de On-Demand Scanning se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la API de On-Demand Scanning, consulta la
documentación del producto.
Limitaciones
La integración de la API de On-Demand Scanning con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
looker.googleapis.com
Detalles
La API de Looker (Google Cloud Core) se puede proteger con los Controles del servicio de VPC y el producto se puede
usar con normalidad en los perímetros de servicio.
Solo las ediciones Enterprise o Embed de instancias de Looker (Google Cloud Core) que usan conexiones IP privadas admiten el cumplimiento de los Controles del servicio de VPC. Las instancias de Looker (Google Cloud Core) con conexiones de IP públicas o con conexiones IP públicas y privadas no son compatibles con el cumplimiento de los Controles del servicio de VPC. Para crear una instancia que use una conexión de IP privada, selecciona IP privada en la sección Herramientas de redes de la página Crear instancia de la consola de Google Cloud.
Cuando coloques o crees una instancia de Looker (Google Cloud Core) dentro de un perímetro de servicio de Controles del servicio de VPC, debes quitar la ruta predeterminada a Internet llamando al método services.enableVpcServiceControls o ejecutando el siguiente comando gcloud:
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
publicca.googleapis.com
Detalles
La API de Public Certificate Authority se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre Public Certificate Authority, consulta la documentación del producto.
Limitaciones
La integración de la autoridad certificadora pública con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
storageinsights.googleapis.com
Detalles
La API de Storage Insights se puede proteger con los Controles del servicio de VPC y el producto se puede
usar con normalidad en los perímetros de servicio.
Las APIs de Security Command Center se pueden proteger con los Controles del servicio de VPC, y Security Command Center se puede usar
con normalidad en los perímetros de servicio.
Los servicios securitycenter.googleapis.com y securitycentermanagement.googleapis.com se agrupan en paquetes. Cuando restringes el servicio securitycenter.googleapis.com a un perímetro, este restringe el servicio securitycentermanagement.googleapis.com de forma predeterminada. No puedes agregar el servicio securitycentermanagement.googleapis.com a la lista de servicios restringidos en un perímetro porque está empaquetado con securitycenter.googleapis.com.
Los Controles del servicio de VPC no admiten el acceso a los recursos de la API de Security Command Center
a nivel de la carpeta o de la organización desde recursos y clientes dentro de un perímetro de servicio. Los Controles del servicio de VPC protegen los recursos de la API de Security Command Center a nivel de proyecto. Puedes especificar una política de salida para evitar
el acceso a los recursos de la API de Security Command Center a nivel de proyecto desde proyectos dentro del perímetro.
Los Controles del servicio de VPC no admiten la adición de recursos de la API de Security Command Center
a nivel de carpeta o de organización en un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de la API de Security Command Center a nivel de la organización o la carpeta. Para administrar los permisos de Security Command Center
a nivel de la organización o la carpeta, recomendamos usar IAM.
Los Controles del servicio de VPC no son compatibles con el servicio de postura de seguridad porque los recursos de postura de seguridad (como las posturas, las implementaciones de posturas y las plantillas de postura predefinidas) son recursos a nivel de la organización.
No puedes exportar los resultados a nivel de la organización o la carpeta a destinos dentro de un perímetro de servicio.
Debes habilitar el acceso al perímetro en las siguientes situaciones:
Cuando exportas datos a BigQuery desde el nivel de organización o carpeta, y BigQuery está dentro de un perímetro de servicio.
Cuando integras Security Command Center en un producto de SIEM o SOAR, este se implementa dentro de un perímetro
de servicio en un entorno de Google Cloud. Entre las SIEM y SOAR compatibles, se incluyen Splunk y IBM Qadar.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudsupport.googleapis.com
Detalles
La API de Atención al cliente de Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre Atención al cliente de Cloud, consulta la
documentación del producto.
Limitaciones
Los Controles del servicio de VPC protegen los datos a los que se accede mediante la API de Cloud Support, pero no los datos
a los que se accede mediante la consola de Google Cloud.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
discoveryengine.googleapis.com
Detalles
La API de Vertex AI Agent Builder: Vertex AI Search se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre Vertex AI Agent Builder - Vertex AI Search, consulta la
documentación del producto.
Limitaciones
La integración de Vertex AI Agent Builder con los Controles del servicio de VPC no tiene limitaciones conocidas.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
confidentialcomputing.googleapis.com
Detalles
La API de Confidential Space se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Confidential Space requiere acceso de lectura a los buckets de Cloud Storage para descargar los certificados que se usan para validar su token de certificación. Si estos buckets de Cloud Storage están ubicados fuera del perímetro, debes crear la siguiente regla de salida:
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
ssh-serialport.googleapis.com
Detalles
Si quieres usar la protección de los Controles del servicio de VPC cuando te conectas a la consola en serie para una instancia de máquina virtual (VM), debes especificar una regla de entrada para el perímetro de servicio. Cuando configuras la regla de entrada, el nivel de acceso del origen debe ser un valor basado en IP y el nombre del servicio establecido en ssh-serialport.googleapis.com.
La regla de entrada es necesaria para acceder a la consola en serie, incluso si la solicitud de origen y el recurso de destino están en el mismo perímetro.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Cuando se agregan redes existentes de VMware Engine, nubes privadas, políticas de red e intercambio de tráfico entre redes de VPC a un perímetro de servicio de VPC, los recursos creados previamente no se vuelven a verificar para ver si aún cumplen con las políticas del perímetro.
Si quieres usar la protección de los Controles del servicio de VPC para Dataform, debes
establecer la política de la organización “dataform.restrictGitRemotes”
y restringir BigQuery con el mismo perímetro de servicio que Dataform.
Debes asegurarte de que los permisos de Identity and Access Management otorgados a las cuentas de servicio
que se usan en Dataform reflejen la arquitectura de seguridad.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
websecurityscanner.googleapis.com
Detalles
Web Security Scanner y los Controles del servicio de VPC están sujetos a diferentes condiciones del servicio.
Revisa las condiciones de cada producto para conocer los detalles.
Web Security Scanner envía los resultados a Security Command Center a pedido. Puedes ver o descargar los
datos desde el panel de Security Command Center.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
securesourcemanager.googleapis.com
Detalles
Debes configurar Certificate Authority Service con una autoridad certificadora que funcione antes de crear instancias de Controles del servicio de VPC de Secure Source Manager.
Debes configurar Private Service Connect para poder acceder a la instancia de Controles del servicio de VPC de Secure Source Manager.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
apikeys.googleapis.com
Detalles
La API de las claves de API se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
GA. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudcontrolspartner.googleapis.com
Detalles
La API de Cloud Controls Partner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
Para obtener más información sobre la Consola del socio en Controles de soberanía de los socios, consulta la
documentación del producto.
Limitaciones
Este servicio debe estar restringido para todas las personas que no sean socios. Si eres un socio que admite controles de soberanía por parte de los socios, puedes proteger este servicio con un perímetro de servicio.
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
microservices.googleapis.com
Detalles
La API de microservicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
La API de Earth Engine se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.
No se admite el editor de código de Earth Engine, un IDE basado en la Web para la API de JavaScript de Earth Engine, y los Controles del servicio de VPC no permiten el uso del editor de código de Earth Engine con recursos y clientes dentro de un perímetro de servicio.
Los recursos heredados no están protegidos por los Controles del servicio de VPC.
Las apps de Earth Engine
no son compatibles con los recursos y clientes dentro de un perímetro de servicio.
Los Controles del servicio de VPC solo están disponibles para los planes de precios Premium y Profesional de Earth Engine. Si deseas obtener más información sobre los planes de precios, consulta los
planes de Earth Engine.
Para obtener más información sobre las limitaciones y las soluciones alternativas, consulta la documentación de control de acceso de Earth Engine.
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
apphub.googleapis.com
Detalles
App Hub te permite descubrir y organizar los recursos de infraestructura en aplicaciones. Puedes usar los perímetros de los Controles del servicio de VPC para proteger los recursos de
App Hub.
Debes configurar los Controles del servicio de VPC en el host y los proyectos de servicio de App Hub
antes de crear una aplicación y registrar los servicios y las cargas de trabajo en la aplicación.
App Hub admite los siguientes tipos de recursos:
Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar
y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos
de producción.
¿Protección con perímetros?
Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio
cloudcode.googleapis.com
Detalles
La API de Cloud Code se puede proteger con los Controles del servicio de VPC. Para usar las funciones con tecnología de Gemini
en Cloud Code, se debe configurar una política de entrada que permita el tráfico de
clientes IDE. Consulta la documentación de Gemini para obtener más información.
La IP virtual (VIP) restringida permite que las VM que se encuentran dentro del perímetro de servicio realicen llamadas a los servicios de Google Cloud sin exponer las solicitudes a Internet. Para obtener una lista completa de los servicios disponibles en la VIP restringida, consulta Servicios compatibles con la VIP restringida.
Servicios no compatibles
Si intentas restringir un servicio no compatible con la herramienta de línea de comandos de gcloud o la API de Access Context Manager, se producirá un error.
Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles.
Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.
Otras limitaciones conocidas
En esta sección, se describen las limitaciones conocidas con determinadas interfaces, productos y servicios de Google Cloud que pueden surgir cuando se usan los Controles del servicio de VPC.
Para conocer las limitaciones de los productos que son compatibles con los Controles del servicio de VPC, consulta la tabla de productos compatibles.
Para obtener más información sobre cómo resolver problemas de los Controles del servicio de VPC, consulta la página Soluciona problemas.
API de AutoML
Cuando usas la API de AutoML con Controles del servicio de VPC, se aplican las siguientes limitaciones:
No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.
AutoML Vision, AutoML Natural Language, AutoML Translation, AutoML Tables
y AutoML Video Intelligence
todas usan la API de AutoML.
Cuando usas un perímetro de servicio para proteger a automl.googleapis.com, se ve afectado el acceso a todos los productos de AutoML integrados en los Controles del servicio de VPC y que se usan dentro del perímetro. Debes configurar tu perímetro de los Controles del servicio de VPC para todos los productos integrados de AutoML que se usan dentro de ese perímetro.
Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:
API de AutoML (automl.googleapis.com)
API de Cloud Storage (storage.googleapis.com)
API de Compute Engine (compute.googleapis.com)
API de BigQuery (bigquery.googleapis.com)
App Engine
App Engine (tanto en el entorno estándar como en el flexible) no es compatible con los Controles del servicio de VPC. No incluyas proyectos de App Engine en perímetros de servicio.
Sin embargo, es posible permitir que las aplicaciones de App Engine creadas en proyectos fuera de los perímetros de servicio lean y escriban datos en servicios protegidos dentro de perímetros. Para permitir que tu app acceda a los datos de servicios protegidos, crea un nivel de acceso que incluya la cuenta de servicio de App Engine del proyecto. Esto no permite que App Engine se use dentro de perímetros de servicio.
Solución Bare Metal
La solución Bare Metal no es compatible con los Controles del servicio de VPC. Conectar una VPC con los controles de servicio habilitados al entorno de la solución Bare Metal no mantiene ninguna garantía de control de servicios.
La API de la solución Bare Metal se puede agregar a un perímetro seguro. Sin embargo, los perímetros de los Controles del servicio de VPC no se extienden al entorno de la solución Bare Metal en las extensiones regionales.
Motor de nodos de cadenas de bloques
Los Controles del servicio de VPC solo protegen la API del Motor de nodos de cadenas de bloques.
Cuando se crea un nodo, debes indicar que está destinado a una red privada configurada por el usuario con Private Service Connect.
El tráfico entre pares no se ve afectado por los Controles del servicio de VPC ni Private Service Connect y seguirá usando la Internet pública.
Bibliotecas cliente
Las bibliotecas cliente de Java y Python para todos los servicios compatibles son totalmente compatibles con el acceso mediante VIP restringida. La asistencia para otros lenguajes se encuentra en etapa Alfa y solo se debe usar con fines de prueba.
Los clientes deben usar las bibliotecas cliente que se actualizaron a partir del 1 de noviembre de 2018 o posteriores.
Las claves de la cuenta de servicio o los metadatos de cliente de OAuth2 que usan los clientes deben contar con la actualización del 1 de noviembre de 2018 o posterior. Los clientes más antiguos que usan el extremo del token deben cambiar al extremo especificado en los metadatos clave de material/cliente más recientes.
Facturación de Cloud
Puedes exportar los datos de la Facturación de Cloud a un bucket de Cloud Storage o a una instancia de BigQuery en un proyecto protegido por un perímetro de servicio sin configurar un nivel de acceso ni una regla de entrada.
Cloud Deployment Manager
Deployment Manager no es compatible con los Controles del servicio de VPC.
Los usuarios pueden llamar a servicios que cumplan con los Controles del servicio de VPC, pero no deben confiar en esto, ya que podrían fallar en el futuro.
Como solución alternativa, puedes agregar la cuenta de servicio de Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) a los niveles de acceso para permitir llamadas a las API protegidas por los Controles del servicio de VPC.
Cloud Shell
Los Controles del servicio de VPC no son compatibles con Cloud Shell. Los Controles del servicio de VPC tratan a Cloud Shell como fuera de los perímetros de servicio y rechazan el acceso a los datos que estos protegen. Sin embargo, los Controles del servicio de VPC permiten el acceso a Cloud Shell si un dispositivo que cumple con los requisitos de nivel de acceso del perímetro de servicio inicia Cloud Shell.
Consola de Google Cloud
Dado que solo se puede acceder a la consola de Google Cloud a través de Internet, se la trata como si estuviera fuera de los perímetros de servicio. Cuando aplicas un perímetro de servicio, la interfaz de la consola de Google Cloud para los servicios que protegiste puede volverse inaccesible de manera parcial o total. Por ejemplo, si protegiste Logging con el perímetro, no podrás acceder a la interfaz de Logging en la consola de Google Cloud.
Para permitir el acceso desde la consola de Google Cloud a los recursos protegidos por un perímetro, debes crear un nivel de acceso para un rango de IP pública que incluya las máquinas de los usuarios que desean usar la consola de Google Cloud con API protegidas. Por ejemplo, puedes agregar el rango de IP pública de la puerta de enlace NAT de tu red privada a un nivel de acceso y, luego, asignar ese nivel de acceso al perímetro de servicio.
Si deseas limitar el acceso de la consola de Google Cloud al perímetro solo a un conjunto específico de usuarios, también puedes agregar esos usuarios a un nivel de acceso. En ese caso, solo los usuarios especificados podrían acceder a la consola de Google Cloud.
Las solicitudes a través de la consola de Google Cloud desde una red con el Acceso privado a Google habilitado, incluidas las redes habilitadas implícitamente por Cloud NAT, podrían bloquearse incluso si la red de origen y el recurso de destino solicitantes están en el mismo perímetro. Esto se debe a que el acceso a la consola de Google Cloud a través del acceso privado a Google no es compatible con los controles del servicio de VPC.
Acceso privado a servicios
El acceso privado a servicios admite la implementación de una instancia de servicio en una red de VPC compartida.
Si usas esta configuración con los Controles del servicio de VPC, asegúrate de que el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de servicio estén dentro del mismo perímetro de los Controles del servicio de VPC. De lo contrario, es posible que las solicitudes se bloqueen y las instancias de servicio no funcionen de forma correcta.
Para obtener más información sobre los servicios que admiten el acceso privado a servicios, consulta Servicios compatibles.
GKE Multi-Cloud
Los Controles del servicio de VPC solo se aplican a los recursos de tu proyecto de
Google Cloud. El entorno de nube de terceros que aloja tus clústeres de múltiples nubes de GKE no mantiene ninguna garantía de control de servicios.
Google Distributed Cloud Virtual para Bare Metal
Los Controles del servicio de VPC solo se aplican a las máquinas Bare Metal conectadas a proyectos de red de VPC que usan VIP restringida.