Administra la configuración de la ejecución de prueba
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
En esta página, se describe cómo administrar la configuración de la ejecución de prueba para tus perímetros de servicio. Para obtener información sobre la administración general de los perímetros de servicio, consulta Administra perímetros de servicio.
Obtén el nombre de tu política. El nombre de la política es obligatorio para los comandos que usan la herramienta de línea de comandos de gcloud y hacen llamadas a la API. Si estableces una política de acceso predeterminada, no necesitas especificarla para la herramienta de línea de comandos de gcloud.
Aplica una configuración de ejecución de prueba
Cuando estés satisfecho con la configuración de ejecución de prueba para un perímetro de servicio, puedes aplicarla. Cuando se aplica una configuración de ejecución de prueba, se reemplaza la configuración aplicada actual para un perímetro, si existe una.
Si no existe una versión aplicada del perímetro, se usa la configuración de ejecución de prueba como la configuración inicial aplicada para el perímetro.
Después de actualizar un perímetro de servicio, los cambios pueden tomar hasta 30 minutos en propagarse y surtir efecto. Durante este tiempo, el perímetro podría bloquear las solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Console
En el menú de navegación de la Google Cloud consola, haz clic en Seguridad y, luego, en
Controles del servicio de VPC.
En la página Controles del servicio de VPC, haz clic en Modo de ejecución de prueba.
En la lista de perímetros de servicio, haz clic en el nombre del perímetro de servicio que deseas aplicar.
En la página Detalles del perímetro de servicio, haz clic en Aplicar configuración.
Cuando se te solicite confirmar que deseas reemplazar tu configuración aplicada actual, haz clic en Confirmar.
gcloud
Puedes usar la herramienta de línea de comandos de gcloud para aplicar la configuración de ejecución de prueba en un perímetro individual y en todos los perímetros de manera simultánea.
Aplica una configuración de ejecución de prueba
A fin de aplicar la configuración de ejecución de prueba para un perímetro único, usa el comando dry-run enforce:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
POLICY_NAME es el nombre de la política de acceso de tu organización.
Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Aplica todos los parámetros de configuración de la ejecución de prueba
A fin de aplicar la configuración de ejecución de prueba para todos tus perímetros, usa el comando dry-run enforce-all:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
ETAG es una string que representa la versión de destino de la política de acceso de tu organización. Si no incluyes una ETag, la operación enforce-all apunta a la última versión de la política de acceso de tu organización.
POLICY_NAME es el nombre de la política de acceso de tu organización.
Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Actualiza una configuración de ejecución de prueba
Cuando actualizas una configuración de ejecución de prueba, puedes modificar la lista de servicios, proyectos y servicios de VPC accesibles, entre otras funciones del perímetro.
Después de actualizar un perímetro de servicio, los cambios pueden tomar hasta 30 minutos en propagarse y surtir efecto. Durante este tiempo, el perímetro podría bloquear las solicitudes con el siguiente mensaje de error: Error 403: Request is prohibited by organization's policy.
Console
En el menú de navegación de la Google Cloud consola, haz clic en Seguridad y, luego, en
Controles del servicio de VPC.
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
RESOURCES es una lista separada por comas de uno o más números de proyectos o nombres de redes de VPC. Por ejemplo: projects/12345 o //compute.googleapis.com/projects/my-project/global/networks/vpc1.
Solo se permiten proyectos y redes de VPC. Formato del proyecto: projects/<project_number>.
Formato de VPC: //compute.googleapis.com/projects/<project-id>/global/networks/<network_name>.
POLICY_NAME es el nombre de la política de acceso de tu organización.
Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Para actualizar la lista de servicios restringidos, usa el comando dry-run update y especifica los servicios que deseas agregar como una lista delimitada por comas:
PERIMETER_NAME es el nombre del perímetro de servicio sobre el que deseas obtener detalles.
SERVICES es una lista delimitada por comas de uno o más servicios.
Por ejemplo: storage.googleapis.com o storage.googleapis.com,bigquery.googleapis.com.
POLICY_NAME es el nombre de la política de acceso de tu organización.
Este valor solo es necesario si no estableciste una política de acceso predeterminada.
Identificación de solicitudes bloqueadas
Después de crear una configuración de ejecución de prueba, puedes revisar los registros para identificar dónde la configuración de ejecución de prueba denegaría el acceso a los servicios si se aplicara.
Console
En el Google Cloud menú de navegación de la consola, haz clic en Registro y, luego, en
Explorador de registros.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Manage dry run configurations\n\nThis page describes how you can manage the dry run configuration for your\nservice perimeters. For information about managing service\nperimeters generally, see [Managing service perimeters](/vpc-service-controls/docs/manage-service-perimeters).\n\nBefore you begin\n----------------\n\n- Read [Overview of VPC Service Controls](/vpc-service-controls/docs/overview)\n\n- Read [Dry run mode](/vpc-service-controls/docs/dry-run-mode)\n\n- [Set your default access policy](/access-context-manager/docs/manage-access-policy#set-default) for using the `gcloud` command-line tool.\n\n *-or-*\n\n [Get the name of your policy.](/access-context-manager/docs/manage-access-policy#get_the_name_of_an_access_policy) The policy name is required\n for commands using the `gcloud` command-line tool and making API calls. If you set a default\n access policy, you do not need to specify the policy for the `gcloud` command-line tool.\n\nEnforcing a dry run configuration\n---------------------------------\n\nWhen you're satisfied with the dry run configuration for a service perimeter,\nyou can enforce that configuration. When a dry run configuration is enforced,\nit replaces the current enforced configuration for a perimeter, if one exists.\nIf an enforced version of the perimeter doesn't exist, the dry run configuration\nis used as the initial enforced configuration for the perimeter.\n| **Note:** You can only enforce a dry run configuration that has been modified. If the dry run configuration has not been changed, you cannot enforce it. In the Google Cloud console, if the dry run configuration has not been modified, the **Enforce** button will not be visible on the **VPC Service Perimeter Detail** page.\n\n\nAfter you update a service perimeter, it may take up to 30 minutes for the\nchanges to propagate and take effect. During this time, the perimeter might block\nrequests with the following error message: `Error 403: Request is prohibited by organization's policy.` \n\n### Console\n\n1. In the Google Cloud console navigation menu, click **Security** , and then\n click **VPC Service Controls**.\n\n [Go to the VPC Service Controls page](https://console.cloud.google.com/security/service-perimeter)\n2. On the **VPC Service Controls** page, click **Dry run mode**.\n\n3. In the list of service perimeters, click the name of the service\n perimeter that you want to enforce.\n\n4. On the **Service perimeter details** page, click **Enforce config**.\n\n5. When you are asked to confirm that you want to overwrite your existing\n enforced configuration, click **Confirm**.\n\n### gcloud\n\nYou can use the `gcloud` command-line tool to enforce the dry configuration for an individual\nperimeter, as well as for all of your perimeters simultaneously.\n\n**Enforce one dry run configuration**\n\nTo enforce the dry run configuration for a *single* perimeter, use the\n`dry-run enforce` command: \n\n gcloud access-context-manager perimeters dry-run enforce \u003cvar translate=\"no\"\u003ePERIMETER_NAME\u003c/var\u003e \\\n [--policy=\u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e]\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003ePERIMETER_NAME\u003c/var\u003e is the name of the service perimeter that you\n want to obtain details about.\n\n- \u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e is the name of your organization's access policy.\n This value is required only if you haven't set a\n [default access policy](/access-context-manager/docs/manage-access-policy#set-default).\n\n**Enforce all dry run configurations**\n\nTo enforce the dry run configuration for *all* of your perimeters, use the\n`dry-run enforce-all` command: \n\n gcloud access-context-manager perimeters dry-run enforce-all \\\n [--etag=\u003cvar translate=\"no\"\u003eETAG\u003c/var\u003e]\n [--policy=\u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e]\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003ePERIMETER_NAME\u003c/var\u003e is the name of the service perimeter that you\n want to obtain details about.\n\n- \u003cvar translate=\"no\"\u003eETAG\u003c/var\u003e is a string that represents the target\n version of your organization's access policy. If you do not include an\n etag, the `enforce-all` operation targets the latest version of the your\n organization's access policy.\n\n To obtain the latest etag of your access policy,\n [`list` your access policies](/access-context-manager/docs/manage-access-policy#get_the_name_of_an_access_policy).\n- \u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e is the name of your organization's access policy.\n This value is required only if you haven't set a\n [default access policy](/access-context-manager/docs/manage-access-policy#set-default).\n\n### API\n\nTo enforce the dry run configuration for *all* of\nyour perimeters, call [`accessPolicies.servicePerimeters.commit`](/access-context-manager/docs/reference/rest/v1/accessPolicies.servicePerimeters/commit).\n\nUpdating a dry run configuration\n--------------------------------\n\nWhen you update a dry run configuration, you can modify the list of services,\nprojects, and VPC accessible services, among other features of the perimeter.\n\n\nAfter you update a service perimeter, it may take up to 30 minutes for the\nchanges to propagate and take effect. During this time, the perimeter might block\nrequests with the following error message: `Error 403: Request is prohibited by organization's policy.` \n\n### Console\n\n1. In the Google Cloud console navigation menu, click **Security** , and then\n click **VPC Service Controls**.\n\n [Go to the VPC Service Controls page](https://console.cloud.google.com/security/service-perimeter)\n2. On the **VPC Service Controls** page, click **Dry run mode**.\n\n3. In the list of service perimeters, click the name of the service\n perimeter that you want to edit.\n\n4. On the **Service perimeter details** page, click **Edit**.\n\n5. On the **Edit service perimeter** page, make changes to the dry\n run configuration of the service perimeter.\n\n6. Click **Save**.\n\n### gcloud\n\nTo add new projects to a perimeter, use the `dry-run update` command and\nspecify the resources to add: \n\n gcloud access-context-manager perimeters dry-run update \u003cvar translate=\"no\"\u003ePERIMETER_NAME\u003c/var\u003e \\\n --add-resources=\u003cvar translate=\"no\"\u003eRESOURCES\u003c/var\u003e \\\n [--policy=\u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e]\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003ePERIMETER_NAME\u003c/var\u003e is the name of the service perimeter that you\n want to obtain details about.\n\n- \u003cvar translate=\"no\"\u003eRESOURCES\u003c/var\u003e is a comma-separated list of one or more project\n numbers or VPC network names. For example: `projects/12345` or\n `//compute.googleapis.com/projects/my-project/global/networks/vpc1`.\n Only projects and VPC networks are allowed. Project format: `projects/\u003cproject_number\u003e`.\n VPC format: `//compute.googleapis.com/projects/\u003cproject-id\u003e/global/networks/\u003cnetwork_name\u003e`.\n\n- \u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e is the name of your organization's access policy.\n This value is required only if you haven't set a\n [default access policy](/access-context-manager/docs/manage-access-policy#set-default).\n\nTo update the list of restricted services, use the `dry-run update` command\nand specify the services to add as a comma-delimited list: \n\n gcloud access-context-manager perimeters dry-run update \u003cvar translate=\"no\"\u003ePERIMETER_ID\u003c/var\u003e \\\n --add-restricted-services=\u003cvar translate=\"no\"\u003eSERVICES\u003c/var\u003e \\\n [--policy=\u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e]\n\nWhere:\n\n- \u003cvar translate=\"no\"\u003ePERIMETER_NAME\u003c/var\u003e is the name of the service perimeter that you\n want to obtain details about.\n\n- \u003cvar translate=\"no\"\u003eSERVICES\u003c/var\u003e is a comma-delimited list of one or more services.\n For example: `storage.googleapis.com` or\n `storage.googleapis.com,bigquery.googleapis.com`.\n\n- \u003cvar translate=\"no\"\u003ePOLICY_NAME\u003c/var\u003e is the name of your organization's access policy.\n This value is required only if you haven't set a\n [default access policy](/access-context-manager/docs/manage-access-policy#set-default).\n\nIdentifying blocked requests\n----------------------------\n\nAfter you have created a dry run configuration, you can review logs to identify where the dry run configuration would deny access to services if enforced. \n\n### Console\n\n1. In the Google Cloud console navigation menu, click **Logging** , and then\n click **Logs Explorer**.\n\n [Go to Logs Explorer](https://console.cloud.google.com/logs/query)\n2. In the **Query** field, input a query filter like the following filter,\n and then click **Run query**.\n\n log_id(\"cloudaudit.googleapis.com/policy\") AND severity=\"error\" AND protoPayload.metadata.dryRun=\"true\"\n\n3. View the logs under **Query results**.\n\n### gcloud\n\nTo view logs using gcloud CLI, run a command like the following: \n\n gcloud logging read 'log_id(\"cloudaudit.googleapis.com/policy\") AND severity=\"error\" AND protoPayload.metadata.dryRun=\"true\"'"]]
