Protege trabajos cron con los Controles del servicio de VPC

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Los Controles del servicio de VPC son una función de Google Cloud que te permite configurar un perímetro seguro para protegerte contra el robo de datos. En esta guía, se muestra cómo incluir trabajos de Cloud Scheduler en un perímetro de los Controles del servicio de VPC.

Limitaciones

La integración de Cloud Scheduler con los Controles del servicio de VPC tiene las siguientes limitaciones:

  • Solo es compatible con objetivos de Pub/Sub

Destinos compatibles con listas de anunciantes permitidos

Recomendado. La integración de Cloud Scheduler con los Controles del servicio de VPC solo admite trabajos con destinos de Pub/Sub y encuentra un error si se intentan trabajos con otros destinos. Para evitar que se ejecuten trabajos con otros destinos (como App Engine o HTTP), los administradores de políticas de la organización pueden establecer una política de la organización a nivel de la organización, la carpeta o el proyecto de Google Cloud. Si quieres obtener más información sobre los niveles de las políticas de la organización, consulta Comprende la evaluación de jerarquías.

Las políticas que establezcas no se aplicarán de forma retroactiva. En general, los trabajos existentes no se ven afectados cuando se actualiza el valor de la política. La excepción son los trabajos existentes para los que el tipo de destino se actualiza más adelante. Si actualizas el tipo de destino en un trabajo después de actualizar la política para los tipos de destino permitidos, la política se aplica.

De forma predeterminada, si no se establece ninguna política, se permiten todos los tipos de destino. Para enumerar solo los trabajos que tienen destinos compatibles con los Controles del servicio de VPC, sigue estos pasos:

  1. Asegúrate de tener las siguientes funciones de administración de identidades y accesos (IAM):

    • Administrador de políticas de la organización (roles.orgpolicy.policyAdmin). Es obligatorio para crear políticas de la organización.

  2. En Google Cloud Console, ve a Políticas de la organización.

    Ir a Políticas de la organización

  3. En el filtro, escribe Allowed target types for jobs y selecciona esta política para ir a la página de detalles.

  4. Haz clic en el ícono Editar.

  5. En Reglas, ve a Agregar regla y completa los campos de la siguiente manera:

    • Valores de la política: Custom
    • Tipo de política: Allow
    • Valores personalizados: PUBSUB

  6. Haga clic en Listo.

  7. Haz clic en Guardar.

Agrega las funciones de IAM necesarias

Obligatorio. Para usar los Controles del servicio de VPC, la cuenta de servicio de Cloud Scheduler debe tener la función de IAM de Agente de servicio de Cloud Scheduler. La cuenta de servicio de Cloud Scheduler se crea automáticamente para tu proyecto. Para verificar que tenga la función de IAM de agente de servicio de Cloud Scheduler, o si deseas otorgar esta función, sigue estos pasos:

  1. En Google Cloud Console, ve a IAM.

    Ir a IAM

  2. Selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google.

  3. En el filtro, escribe Cuenta de servicio de Cloud Scheduler y selecciona esta principal.

  4. Consulta la columna Función para ver la principal de la Cuenta de servicio de Cloud Scheduler. Puedes continuar si se muestra la siguiente función:

    • Agente de servicio de Cloud Scheduler

    Si la función de cuenta de servicio de Cloud Scheduler no aparece en la lista, haz clic en el ícono Editar y otorga la función Agente de servicio de Cloud Scheduler a la principal de la cuenta de servicio de Cloud Scheduler.

Especifica un perímetro de los Controles del servicio de VPC

Obligatorio. Puedes usar un perímetro existente o crear uno nuevo para proteger los trabajos de Cloud Scheduler que tienen destinos de Pub/Sub. Ambos enfoques le permiten especificar servicios para restringir. Especifica la API de Cloud Scheduler.