Proteger repositorios en un perímetro de servicio

Controles de Servicio de VPC mejora tu capacidad para mitigar el riesgo de que se copien o transfieran datos sin autorización de los servicios gestionados por Google Cloud.

Con Controles de Servicio de VPC, puedes configurar perímetros de seguridad alrededor de los recursos de tus servicios gestionados por Google Cloudy controlar el movimiento de datos a través del límite del perímetro.

Usar Artifact Registry con Controles de Servicio de VPC

Si usas clústeres privados de Artifact Registry y Google Kubernetes Engine en un proyecto dentro de un perímetro de servicio, puedes acceder a imágenes de contenedor dentro del perímetro de servicio, así como a imágenes proporcionadas porGoogle Cloud.

Las imágenes de Docker Hub almacenadas en caché en mirror.gcr.io no se incluyen en el perímetro de servicio, a menos que se añada una regla de salida para permitir la salida a la caché de Docker de Artifact Registry que aloja mirror.gcr.io.

Para usar mirror.gcr.io dentro de un perímetro de servicio, añade la siguiente regla de salida:

- egressTo:
    operations:
    - serviceName: artifactregistry.googleapis.com
      methodSelectors:
      - method: artifactregistry.googleapis.com/DockerRead
    resources:
    - projects/342927644502
  egressFrom:
    identityType: ANY_IDENTITY

Para obtener información sobre las reglas de entrada y salida, consulta el artículo Reglas de entrada y salida.

Puedes acceder a Artifact Registry mediante las direcciones IP de los dominios predeterminados de las APIs y los servicios de Google o con estas direcciones IP especiales:

  • 199.36.153.4/30 (restricted.googleapis.com)
  • 199.36.153.8/30 (private.googleapis.com)

Para obtener más información sobre estas opciones, consulta el artículo Configurar Acceso privado de Google. Para ver un ejemplo de configuración que usa 199.36.153.4/30 (restricted.googleapis.com), consulta la documentación sobre el acceso al registro con una IP virtual.

Asegúrate de que los Google Cloud servicios que necesiten acceder a Artifact Registry también estén en el perímetro de servicio, incluidos Autorización binaria, Análisis de artefactos y entornos de ejecución, como Google Kubernetes Engine y Cloud Run. Consulta la lista de servicios admitidos para obtener más información sobre cada servicio.

Para obtener instrucciones generales sobre cómo añadir Artifact Registry a un perímetro de servicio, consulta Crear un perímetro de servicio.

Acceder a imágenes en repositorios de gcr.io

Para acceder a las imágenes de los repositorios de Artifact Registry gcr.io, cuando definas políticas de entrada o salida, usa el tipo de identidad ANY_IDENTITY. No puedes usar los tipos de identidad ANY_SERVICE_ACCOUNT ni ANY_USER_ACCOUNT para las imágenes del dominio gcr.io.

Usar Artifact Analysis con Controles de Servicio de VPC

Para saber cómo añadir Artifact Analysis a tu perímetro, consulta el artículo sobre cómo proteger Artifact Analysis en un perímetro de servicio.