Protege las tareas cron con los Controles del servicio de VPC

Controles del servicio de VPC es una función de Google Cloud que te permite configurar un perímetro seguro para protegerte del robo de datos. En esta guía, se muestra cómo incluir trabajos de Cloud Scheduler en un perímetro de Controles del servicio de VPC.

Limitaciones

Las siguientes limitaciones se aplican a la compatibilidad de los Controles del servicio de VPC con Cloud Scheduler.

Acciones aplicadas

Los Controles del servicio de VPC solo se aplican en las siguientes acciones:

  • Creación de trabajos de Cloud Scheduler
  • Actualizaciones de trabajos de Cloud Scheduler

¿Por qué esto es importante?

Debido a que los Controles del servicio de VPC solo se aplican a la creación y actualización de trabajos, los Controles del servicio de VPC no se aplican automáticamente a los trabajos que se crearon antes de agregar Cloud Scheduler a tu perímetro de los Controles del servicio de VPC. Las tareas se siguen ejecutando, incluso si sus objetivos no forman parte de tu perímetro de Controles del servicio de VPC o no son objetivos compatibles. Para hacer cumplir los Controles del servicio de VPC para todos los trabajos de Cloud Scheduler, haz lo siguiente:

Categorías admitidas

La integración de Cloud Scheduler con los Controles del servicio de VPC solo admite los siguientes destinos:

  • Funciones de Cloud Run (en la URL functions.net)
  • Cloud Run (en la URL run.app para los servicios de Cloud Run) No se admiten los destinos de trabajos de Cloud Run. Para obtener información sobre la diferencia entre los recursos de servicio y de trabajo de Cloud Run, consulta Servicios y trabajos: dos formas de ejecutar tu código.
  • API de Dataflow (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
  • Canales de datos (deben estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
  • Pub/Sub (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)

Borra los trabajos que no cumplen con los requisitos

(recomendado) Borra los trabajos de Cloud Scheduler con los siguientes objetivos:

  • No se admite (consulta Categorías admitidas)
  • Fuera del perímetro de los Controles del servicio de VPC que planeas usar

Si quieres obtener instrucciones para borrar trabajos, consulta Borra un trabajo.

Si no borras estas tareas antes de agregar Cloud Scheduler a tu perímetro de Controles del servicio de VPC, las tareas seguirán ejecutándose, pero no se aplicarán los Controles del servicio de VPC (consulta Acciones de aplicación forzosa).

Por ejemplo, si tienes una tarea de Cloud Scheduler que se orienta a un objetivo que no se admite (como un dominio personalizado de Cloud Run), la tarea seguirá ejecutándose después de agregar Cloud Scheduler a tu perímetro de Controles del servicio de VPC, pero no estará protegida por ellos. Lo mismo ocurre con un trabajo preexistente con un objetivo fuera de tu perímetro de los Controles del servicio de VPC.

Agrega los roles de IAM obligatorios

Obligatorio. Para usar los Controles del servicio de VPC, la cuenta de servicio de Cloud Scheduler debe tener el rol de IAM Agente de servicio de Cloud Scheduler. La cuenta de servicio de Cloud Scheduler se crea para tu proyecto automáticamente. Para verificar que tenga el rol de IAM de agente de servicio de Cloud Scheduler o para otorgarle este rol, sigue estos pasos:

  1. En la consola de Google Cloud, ve a IAM.

    Ir a IAM

  2. Selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google.

  3. En el filtro, escribe Cuenta de servicio de Cloud Scheduler y selecciona este principal.

  4. Consulta la columna Role de la principal Cloud Scheduler Service Account. Puedes continuar si aparece el siguiente rol:

    • Agente de servicio de Cloud Scheduler

    Si no aparece el rol de cuenta de servicio de Cloud Scheduler, haz clic en el ícono Editar y otorga el rol de Agente de servicio de Cloud Scheduler al principal de la cuenta de servicio de Cloud Scheduler.

Especifica un perímetro de Controles del servicio de VPC

Obligatorio. Puedes usar un perímetro existente o crear uno nuevo para proteger tus trabajos de Cloud Scheduler que tengan objetivos compatibles. Ambos enfoques te permiten especificar los servicios que deseas restringir. Especifica la API de Cloud Scheduler.

Aplica los Controles del servicio de VPC en trabajos preexistentes

(recomendado) Para aplicar los Controles del servicio de VPC en las tareas de Cloud Scheduler que creaste antes de agregar Cloud Scheduler a tu perímetro de Controles del servicio de VPC, ejecuta un update en la tarea. No es necesario cambiar la tarea, pero debes ejecutar la actualización para que los Controles del servicio de VPC se apliquen a la tarea y a sus ejecuciones futuras.

Puedes ejecutar una actualización del trabajo desde la consola de Google Cloud (selecciona el trabajo y usa el botón Editar), con la API o con la gcloud CLI.

Para aplicar los Controles del servicio de VPC en un trabajo preexistente con gcloud CLI, ejecuta lo siguiente:

Destinos de HTTP

gcloud scheduler jobs update http JOB_ID

Reemplaza lo siguiente:

  • JOB_ID: Es el ID de tu trabajo.

Destinos de Pub/Sub

gcloud scheduler jobs update pubsub JOB_ID

Reemplaza lo siguiente:

  • JOB_ID: Es el ID de tu trabajo.