Configurar Secure Source Manager en un perímetro de Controles de Servicio de VPC
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En esta guía se muestra cómo usar un Private Service Connect de Secure Source Manager en un perímetro de Controles de Servicio de VPC para protegerse frente a la filtración externa de datos.
Esta guía está dirigida a administradores de redes, arquitectos de seguridad y profesionales de operaciones en la nube que quieran mitigar el riesgo de pérdida de datos sensibles.
Para obtener los permisos que necesitas para configurar Secure Source Manager en un perímetro de Controles de Servicio de VPC, pide a tu administrador que te asigne los siguientes roles de IAM en la organización:
Si habilitas Controles de Servicio de VPC sin cuidado, pueden surgir problemas con las aplicaciones que ya tengas y, en algunos casos, incluso provocar una interrupción del servicio. Te recomendamos que planifiques la habilitación cuidadosamente y que dejes tiempo suficiente para recoger datos, hacer pruebas y analizar los registros de infracciones. Asegúrate de que los participantes de tu equipo de operaciones de Controles de Servicio de VPC y de tu equipo de aplicaciones estén disponibles para llevar a cabo la tarea.
En la página Controles de Servicio de VPC, selecciona el perímetro al que has añadido tu proyecto.
En la página Detalles de la configuración obligatoria de Controles de Servicio de VPC, haga clic en Editar en la sección Servicios restringidos.
Haz clic en Añadir servicios.
En el cuadro de diálogo Especificar servicios que se van a restringir, marque la casilla situada junto a Secure Source Manager. Puede usar la consulta de filtro para localizar Gestor de fuentes seguras en la lista.
Haz clic en Guardar.
Después de actualizar un perímetro de servicio, los cambios pueden tardar hasta 30 minutos en propagarse y aplicarse. Durante este tiempo, es posible que el perímetro bloquee las solicitudes con el siguiente mensaje de error:
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[],[],null,["# Configure Secure Source Manager in a VPC Service Controls perimeter\n\nThis guide shows how to use a Private Service Connect\nSecure Source Manager in a [VPC Service Controls](/vpc-service-controls/docs/overview)\nperimeter to guard against data exfiltration.\n\nThis guide is intended for network administrators, security architects, and\ncloud operations professionals who want to mitigate the risk of sensitive\ndata loss.\n\nBefore you begin\n----------------\n\n1. [Create a Private Service Connect Secure Source Manager instance](/secure-source-manager/docs/create-private-service-connect-instance).\n2. [Create a VPC Service Controls perimeter](/vpc-service-controls/docs/create-service-perimeters).\n\n### Required roles\n\n\nTo get the permissions that\nyou need to configure Secure Source Manager in a VPC Service Controls perimeter,\n\nask your administrator to grant you the\nfollowing IAM roles on the organization:\n\n- [Access Context Manager Admin role](/iam/docs/roles-permissions/accesscontextmanager#accesscontextmanager.policyAdmin) (`roles/accesscontextmanager.policyAdmin`)\n- [Project Creator](/iam/docs/roles-permissions/resourcemanager#resourcemanager.projectCreator) (`roles/resourcemanager.projectCreator`)\n\n\nFollow best practices\n---------------------\n\nCareless enablement of VPC Service Controls can cause problems with existing\napplications and could potentially cause an outage. We recommend that you plan\nenablement carefully and allow ample time to gather data, conduct tests, and\nanalyze violation logs. Make sure that stakeholders from your\nVPC Service Controls operations team and your applications team are available for\nthe task.\n\nFor more information on best practices, see\n[Best practices for enabling VPC Service Controls](/vpc-service-controls/docs/enable)\n\nAdd your project to the perimeter\n---------------------------------\n\n1. In the Google Cloud console, go to the **VPC Service Controls** page.\n\n [Go to VPC Service Controls](https://console.cloud.google.com/security/service-perimeter)\n2. On the **VPC Service Controls** page, select the perimeter you want to use\n to protect your project.\n\n3. On the **VPC Service Control enforced config detail** page, click **Edit**\n in the **resources to protect** section.\n\n4. Click **Resources to protect** and add your project ID.\n\n5. Click **Save**.\n\nAdd Secure Source Manager as a restricted service\n-------------------------------------------------\n\n1. In the Google Cloud console, go to the **VPC Service Controls** page.\n\n [Go to VPC Service Controls](https://console.cloud.google.com/security/service-perimeter)\n2. On the **VPC Service Controls** page, select the perimeter you added your\n project to.\n\n3. On the **VPC Service Control enforced config detail** page, click **Edit**\n in the **Restricted services** section.\n\n4. Click **Add services**.\n\n5. In the **Specify services to restrict** dialog, select the checkbox next to\n Secure Source Manager. You can use the filter query to locate Secure Source Manager in\n the list.\n\n6. Click **Save**.\n\nAfter you update a service perimeter, it can take up to 30 minutes for the\nchanges to propagate and take effect. During this time, the perimeter might\nblock requests with the following error message: \n\n Error 403: Request is prohibited by organization's policy.\n\nWhat's next\n-----------\n\n- Learn more about [Private Service Connect](/vpc/docs/private-service-connect).\n- Learn more about [Connecting to VMs without external IP addresses](/solutions/connecting-securely#external)."]]
