Configuración del perímetro de servicio

Los controles del servicio de VPC se pueden configurar con Google Cloud Console, la gcloud herramienta de línea de comandos y las API de Access Context Manager.

Antes de comenzar

Etapas de configuración del perímetro de servicio

Para configurar los controles del servicio de VPC:

  1. Si quieres usar la gcloud herramienta de línea de comandos o laAPI de Access Context Manager para crear los perímetros de servicio, crea una política de acceso.

  2. Asegura los recursos de GCP con perímetros de servicio.

  3. Configura la conectividad privada desde una red de VPC (opcional).

  4. Otorga acceso desde fuera de un perímetro de servicio mediante niveles de acceso (opcional).

Crear una política de acceso

Una política de acceso recopila los perímetros de servicio y los niveles de acceso que creas para tu organización. Una organización solo puede tener una política de acceso.

Cuando los perímetros de servicio se crean y administran mediante la página Controles de servicio de VPC de Cloud Console, no es necesario crear una política de acceso.

Sin embargo, al usar la herramienta de línea de comandos gcloud o las API de Access Context Manager para crear y configurar sus perímetros de servicio, primero debe crear un acceso política.

Para obtener más información sobre Access Context Manager y las políticas de acceso, consulta la descripción general de Access Context Manager.

Recursos de GCP seguros con perímetros de servicio

Los perímetros de servicio se usan para proteger los servicios que usan los proyectos de su organización. Después de identificar los proyectos y servicios que deseas proteger, crea uno o más perímetros de servicio.

Para obtener más información sobre cómo funcionan los perímetros de servicio y qué servicios que se pueden proteger con los Controles del servicio de VPC, consulta la Descripción general de los controles del servicio de VPC.

Algunos servicios tienen limitaciones sobre cómo se pueden usar con los Controles de servicio de VPC. Si tienes problemas con tus proyectos después de configurar los perímetros de servicio, consulta Solución de problemas.

Configura la conectividad privada desde una red de VPC

Para proporcionar seguridad adicional a las redes de VPC que están protegidas por un perímetro de servicio, te recomendamos usar Acceso privado a Google. Esto incluye la conectividad privada de las redes locales.

Para obtener más información sobre cómo configurar la conectividad privada, consulta Cómo configurar la conectividad privada con las API y los servicios de Google.

Restringir el acceso a los recursos de Google Cloud solo para acceso privado desde las redes de VPC significa que se denegará el acceso a través de interfaces como Cloud Console y Cloud Monitoring Console. Puedes seguir usando la gcloud herramienta de línea de comandos o los clientes de API de las redes de VPC que comparten un perímetro de servicio o puente perimetral con los recursos restringidos.

Otorga acceso desde fuera de un perímetro de servicio mediante niveles de acceso

Los niveles de acceso se pueden usar para permitir solicitudes fuera de un perímetro de servicio a recursos protegidos por ese perímetro.

Con los niveles de acceso, puedes especificar bloques CIDR IPv4 e IPv6 públicos, y cuentas de usuario y servicio individuales que deseas permitir el acceso a recursos protegidos por Controles de servicio de VPC.

Si restringes recursos mediante conectividad privada desde redes de VPC, puedes volver a habilitar Cloud Console para acceder a servicios protegidos agregando un bloque CIDR a un nivel de acceso que incluya la dirección IP pública del host donde se usa Cloud Console. Si quieres volver a habilitar Cloud Console para un usuario específico, independientemente de la dirección IP, agrega esa cuenta de usuario como miembro al nivel de acceso.

Para obtener más información sobre cómo usar los niveles de acceso, consulta Cómo crear un nivel de acceso.

Uso compartido de datos entre los perímetros de servicio

Un proyecto solo se puede incluir en un perímetro de servicio. Si deseas permitir la comunicación entre dos perímetros, crea un puente perimetral de servicio.

Los puentes perimetrales se pueden usar para habilitar la comunicación entre proyectos en diferentes perímetros de servicio. Un proyecto puede pertenecer a más de un puente perimetral.

Para obtener más información sobre los puentes perimetrales, consulta Compartir en perímetros con puentes.