Protege trabajos cron con los Controles del servicio de VPC

Los Controles del servicio de VPC son una función de Google Cloud que te permite configurar un perímetro seguro para protegerte del robo de datos. En esta guía, se muestra cómo incluir trabajos de Cloud Scheduler en un perímetro de los Controles del servicio de VPC.

Limitaciones

Las siguientes limitaciones se aplican a la compatibilidad de los Controles del servicio de VPC con Cloud Scheduler.

Acciones aplicadas

Los Controles del servicio de VPC solo se aplican a las siguientes acciones:

  • Creación de trabajos de Cloud Scheduler
  • Actualizaciones del trabajo de Cloud Scheduler

¿Por qué esto es importante?

Debido a que los Controles del servicio de VPC solo se aplican en la creación de trabajos y las actualizaciones de trabajos, estos no se aplican de forma automática a los trabajos que se crearon antes de agregar Cloud Scheduler al perímetro de los Controles del servicio de VPC. Los trabajos continúan ejecutándose incluso si los destinos del trabajo no forman parte del perímetro de los Controles del servicio de VPC o no son destinos admitidos. Si quieres aplicar los Controles del servicio de VPC para todos los trabajos de Cloud Scheduler, sigue estos pasos:

Categorías admitidas

La integración de Cloud Scheduler con los Controles del servicio de VPC solo admite los siguientes objetivos:

  • Cloud Functions (en la URL functions.net)
  • Cloud Run (en la URL run.app)
  • API de Dataflow (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
  • Canalizaciones de datos (deben estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
  • Pub/Sub (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)

Borra los trabajos que no cumplan con las políticas

Recomendado. Borra trabajos de Cloud Scheduler con destinos que cumplan con alguno de los siguientes requisitos:

  • No compatible (consulta Destinos admitidos)
  • Fuera del perímetro de los Controles del servicio de VPC que planeas usar

Para obtener instrucciones sobre cómo borrar trabajos, consulta Borra un trabajo.

Si no borras estos trabajos antes de agregar Cloud Scheduler al perímetro de los Controles del servicio de VPC, los trabajos se seguirán ejecutando, pero no se les aplicarán los Controles del servicio de VPC (consulta Acciones aplicadas).

Por ejemplo, si tienes un trabajo de Cloud Scheduler que se orienta a un destino no admitido (como un dominio personalizado de Cloud Run), el trabajo continúa ejecutándose después de agregar Cloud Scheduler al perímetro de los Controles del servicio de VPC, pero no está protegido por los Controles del servicio de VPC. Lo mismo sucede con un trabajo preexistente con un destino fuera del perímetro de los Controles del servicio de VPC.

Agrega los roles de IAM necesarios

Obligatorio. Para usar los Controles del servicio de VPC, la cuenta de servicio de Cloud Scheduler debe tener la función de IAM de Agente de servicio de Cloud Scheduler. La cuenta de servicio de Cloud Scheduler se crea automáticamente para tu proyecto. Para verificar que tiene la función de IAM de agente de servicio de Cloud Scheduler o para otorgar esta función, sigue estos pasos:

  1. En la consola de Google Cloud, ve a IAM.

    Ir a IAM

  2. Selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google.

  3. En el filtro, escribe Cuenta de servicio de Cloud Scheduler y selecciona esta principal.

  4. Observa la columna Función de la principal Cuenta de servicio de Cloud Scheduler. Puedes continuar si aparece el siguiente rol:

    • Agente de servicio de Cloud Scheduler

    Si la función de cuenta de servicio de Cloud Scheduler no aparece en la lista, haz clic en el ícono Editar y otorga el rol Agente de servicio de Cloud Scheduler a la principal de la cuenta de servicio de Cloud Scheduler.

Especifica un perímetro de Controles del servicio de VPC

Obligatorio. Puedes usar un perímetro existente o crear uno nuevo para proteger tus trabajos de Cloud Scheduler que tengan destinos compatibles. Ambos enfoques te brindan la oportunidad de especificar los servicios que deseas restringir. Especifica la API de Cloud Scheduler.

Aplicar los Controles del servicio de VPC en trabajos preexistentes

Recomendado. Para aplicar los Controles del servicio de VPC en los trabajos de Cloud Scheduler que creaste antes de agregar Cloud Scheduler al perímetro de los Controles del servicio de VPC, ejecuta una update en el trabajo. No es necesario que cambies el trabajo, pero debes ejecutar la actualización para que los Controles del servicio de VPC se apliquen al trabajo y a sus ejecuciones futuras.

Puedes ejecutar una actualización para el trabajo desde la consola de Google Cloud (selecciona el trabajo y usa el botón Editar), con la API o con gcloud CLI.

Para aplicar los Controles del servicio de VPC en un trabajo preexistente mediante gcloud CLI, ejecuta lo siguiente:

Destinos de HTTP

gcloud scheduler jobs update http JOB_ID

Reemplaza lo siguiente:

  • JOB_ID: El ID de tu trabajo

Destinos de Pub/Sub

gcloud scheduler jobs update pubsub JOB_ID

Reemplaza lo siguiente:

  • JOB_ID: El ID de tu trabajo