Productos y limitaciones admitidos

Para obtener más información sobre Infrastructure Manager, consulta la documentación del producto.

Para usar Workload Manager en un perímetro de Controles del servicio de VPC, haz lo siguiente:

• Debes usar un grupo de trabajadores privado de Cloud Build para tu entorno de implementación en Workload Manager. No puedes usar el grupo de trabajadores predeterminado de Cloud Build.
• El grupo privado de Cloud Build debe tener llamadas a Internet públicas habilitadas para descargar la configuración de Terraform.

Para obtener más información, consulta Usa un grupo de trabajadores privados de Cloud Build en la documentación de Workload Manager.

Para obtener más información sobre Workload Manager, consulta la documentación del producto.

La API de Google Cloud NetApp Volumes se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Google Cloud NetApp Volumes, consulta la documentación del producto.

Google Cloud Search es compatible con los controles de seguridad de la nube privada virtual (Controles del servicio de VPC) para mejorar la seguridad de tus datos. Los Controles del servicio de VPC te permiten definir un perímetro de seguridad alrededor de los recursos de Google Cloud Platform para limitar los datos y mitigar los riesgos de robo de datos.

Para obtener más información sobre Google Cloud Search, consulta la documentación del producto.

La API de pruebas de conectividad se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre las pruebas de conectividad, consulta la documentación del producto.

La integración de pruebas de conectividad con los Controles del servicio de VPC no tiene limitaciones conocidas.

Los Controles del servicio de VPC admiten la predicción en línea, pero no la predicción por lotes.

Para obtener más información sobre AI Platform Prediction, consulta la documentación del producto.

Se puede proteger la API de AI Platform Training con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre AI Platform Training, consulta la documentación del producto.

Los perímetros de los Controles del servicio de VPC protegen la API de AlloyDB.

Si deseas obtener más información sobre AlloyDB para PostgreSQL, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de administrador de AlloyDB para PostgreSQL. No protegen el acceso de datos basados en IP a las bases de datos subyacentes (como las instancias de AlloyDB para PostgreSQL). Para restringir el acceso de IP pública en las instancias de AlloyDB para PostgreSQL, usa una restricción de políticas de la organización.
• Antes de configurar los Controles del servicio de VPC para AlloyDB para PostgreSQL, habilita la API de Service Networking.
• Cuando usas AlloyDB para PostgreSQL con los Controles del servicio de VPC y VPC compartidas, el proyecto host y el proyecto de servicio deben estar en el mismo perímetro de servicio de los Controles del servicio de VPC.

La API de Vertex AI Workbench se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Vertex AI Workbench, consulta la documentación del producto.

La API de Vertex AI se puede proteger con los Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

Consulta Colab Enterprise.

Para obtener más información sobre Vertex AI, consulta la documentación del producto.

La API de Vertex AI Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Vertex AI Vision, consulta la documentación del producto.

La API de Vertex AI en Firebase se puede proteger con los Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Vertex AI en Firebase, consulta la documentación del producto.

La API de Colab Enterprise se puede proteger con los Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

Colab Enterprise es parte de Vertex AI. Consulta Vertex AI.

Colab Enterprise usa Dataform para almacenar notebooks. Consulta Dataform.

Para obtener más información sobre Colab Enterprise, consulta la documentación del producto.

La API para Apigee y Apigee Hybrid se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Apigee y Apigee Hybrid, consulta la documentación del producto.

Para obtener más información sobre Analytics Hub, consulta la documentación del producto.

La API de Cloud Service Mesh se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Puedes usar mesh.googleapis.com para habilitar las APIs necesarias para Cloud Service Mesh. No es necesario que restrinjas mesh.googleapis.com en tu perímetro, ya que no expone ninguna API.

• Obtén información para configurar los Controles del servicio de VPC para Cloud Service Mesh (administrado).
• Obtén información para agregar servicios de Cloud Service Mesh a los perímetros de servicio.

Para obtener más información sobre Cloud Service Mesh, consulta la documentación del producto.

La integración de Cloud Service Mesh con los Controles del servicio de VPC no tiene limitaciones conocidas.

Además de proteger la API de Artifact Registry, Artifact Registry se puede usar dentro de perímetros de servicio con GKE y Compute Engine.

Para obtener más información sobre Artifact Registry, consulta la documentación del producto.

La API de Assured Workloads se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Assured Workloads, consulta la documentación del producto.

La integración entre Assured Workloads con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Natural Language, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Tables, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Translation, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Video Intelligence, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Vision, consulta la documentación del producto.

La API de Bare Metal Solution se puede agregar a un perímetro seguro. Sin embargo, los perímetros de los Controles del servicio de VPC no se extienden al entorno de la solución Bare Metal en las extensiones regionales.

Para obtener más información sobre la solución Bare Metal, consulta la documentación del producto.

Conectar los Controles del servicio de VPC a tu entorno de la solución Bare Metal no brinda ninguna garantía de control de servicio.

Para obtener más información sobre la limitación de la solución Bare Metal con respecto a los Controles del servicio de VPC, consulta Problemas y limitaciones conocidos.

La API de Batch se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Batch, consulta la documentación del producto.

La API de BigLake Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre BigLake Metastore, consulta la documentación del producto.

La integración de BigLake Metastore con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cuando proteges a la API de BigQuery con un perímetro de servicio, también se protegen la API de BigQuery Storage, la API de BigQuery Reservation y la API de BigQuery Connection. No es necesario que agregues por separado estas APIs a la lista de servicios protegidos de tu perímetro.

Para obtener más información sobre BigQuery, consulta la documentación del producto.

Los Controles del servicio de VPC pueden proteger la API de BigQuery Data Policy, y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de BigQuery Data Policy, consulta la documentación del producto.

La integración de la API de BigQuery Data Policy con los Controles del servicio de VPC no tiene limitaciones conocidas.

El perímetro de servicio solo protege la API del Servicio de transferencia de datos de BigQuery. BigQuery aplica la protección real de datos. Se diseñó para permitir la importación de datos de varias fuentes externas fuera de Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play y Google Ads, en conjuntos de datos de BigQuery. Si deseas obtener información sobre los requisitos de los Controles del servicio de VPC para migrar datos de Teradata, consulta Requisitos de los Controles del servicio de VPC.

Para obtener más información sobre el Servicio de transferencia de datos de BigQuery, consulta la documentación del producto.

La API de BigQuery Migration se puede proteger con los Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de BigQuery Migration, consulta la documentación del producto.

La integración de la API de BigQuery Migration con los Controles del servicio de VPC no tiene limitaciones conocidas.

Los servicios bigtable.googleapis.com y bigtableadmin.googleapis.com se agrupan. Cuando restringes el servicio bigtable.googleapis.com a un perímetro, este restringe el servicio bigtableadmin.googleapis.com de forma predeterminada. No puedes agregar el servicio bigtableadmin.googleapis.com a la lista de servicios restringidos en un perímetro porque se agrupa con bigtable.googleapis.com.

Para obtener más información sobre Bigtable, consulta la documentación del producto.

La integración de Bigtable con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cuando se usan varios proyectos con Autorización binaria, cada uno debe incluirse en el perímetro de los Controles del servicio de VPC. Para obtener más información sobre este caso de uso, consulta Configuración de varios proyectos.

Con la Autorización Binaria, puedes usar Artifact Analysis para almacenar certificadores y certificaciones como notas y casos, respectivamente. En este caso, también debes incluir Artifact Analysis en el perímetro de los Controles del servicio de VPC. Consulta la Guía de los Controles del servicio de VPC para Artifact Analysis a fin de obtener más información.

Para obtener más información sobre la Autorización binaria, consulta la documentación del producto.

La integración de la Autorización binaria con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Motor de nodos de cadenas de bloques se puede proteger con los Controles del servicio de VPC y usarse con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Motor de nodos de cadenas de bloques, consulta la documentación del producto.

La API de Certificate Authority Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Certificate Authority Service, consulta la documentación del producto.

Para usar Config Controller con los Controles del servicio de VPC, debes habilitar las siguientes APIs dentro de tu perímetro:

• API de Cloud Monitoring (monitoring.googleapis.com)
• API de Container Registry (containerregistry.googleapis.com)
• API de Google Cloud Observability (logging.googleapis.com)
• API del servicio de token de seguridad (sts.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)

Si aprovisionas recursos con Config Controller, debes habilitar la API para esos recursos en tu perímetro de servicio. Por ejemplo, si deseas agregar una cuenta de servicio de IAM, debes agregar la API de IAM (iam.googleapis.com).

Para obtener más información sobre Config Controller, consulta la documentación del producto.

La integración de Config Controller con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para obtener más información sobre Data Catalog, consulta la documentación del producto.

La integración de Data Catalog con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Data Fusion requiere algunos pasos especiales para la protección mediante los Controles del servicio de VPC.

Para obtener más información sobre Cloud Data Fusion, consulta la documentación del producto.

La API de Data Lineage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Data Lineage, consulta la documentación del producto.

La integración de la API de Data Lineage con los Controles del servicio de VPC no tiene limitaciones conocidas.

La compatibilidad de los Controles del servicio de VPC con Compute Engine ofrece los siguientes beneficios de seguridad:

• Restringe el acceso a las operaciones sensibles de la API
• Restringe las instantáneas de discos persistentes y las imágenes personalizadas a un perímetro.
• Restringe el acceso a los metadatos de la instancia.

La compatibilidad de los Controles del servicio de VPC con Compute Engine también te permite usar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de los perímetros de servicio.

Para obtener más información sobre Compute Engine, consulta la documentación del producto.

Para usar las estadísticas de conversación con los Controles del servicio de VPC, debes tener las siguientes APIs adicionales dentro de tu perímetro, según tu integración.

• Para cargar datos en Conversational Insights, agrega la API de Cloud Storage a tu perímetro de servicio.

• Para usar la exportación, agrega la API de BigQuery a tu perímetro de servicio.

• Para integrar varios productos de CCAI, agrega la API de Vertex AI al perímetro de servicio.

Para obtener más información sobre Conversational Insights, consulta la documentación del producto.

La integración de Conversational Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

Dataflow admite una cantidad de conectores de servicio de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:

• Cloud Storage (Java, Python)
• BigQuery (Java, Python)
• Pub/Sub (Java, Python)
• Bigtable (Java )
• Spanner (Java )

Para obtener más información sobre Dataflow, consulta la documentación del producto.

• No se admite BIND personalizado cuando se usa Dataflow. Para personalizar la resolución de DNS cuando usas Dataflow con los Controles del servicio de VPC, usa las zonas privadas de Cloud DNS, en lugar de los servidores BIND personalizados. Para usar tu resolución de DNS local, considera usar un método de reenvío de DNS de Google Cloud.

• Un perímetro de los Controles del servicio de VPC no puede proteger el ajuste de escala automático vertical. Para usar el ajuste de escala automático vertical en un perímetro de Controles del servicio de VPC, debes inhabilitar la función de servicios accesibles de VPC.

• Si habilitas Dataflow Prime y, luego, inicias un trabajo nuevo dentro de un perímetro de Controles del servicio de VPC, el trabajo usa Dataflow Prime sin ajuste de escala automático vertical.

• No se verificó que todos los conectores del servicio de almacenamiento funcionen cuando se usan con Dataflow dentro de un perímetro de servicio. Para obtener una lista de los conectores verificados, consulta "Detalles" en la sección anterior.

• Cuando usas Python 3.5 con el SDK de Apache Beam 2.0.0-2.22.0, los trabajos de Dataflow fallarán al inicio si los trabajadores solo tienen direcciones IP privadas, como cuando se usan Controles del servicio de VPC para proteger recursos. Si los trabajadores de Dataflow solo pueden tener direcciones IP privadas, como cuando se usan los Controles del servicio de VPC para proteger los recursos, no uses Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0. Esta combinación hace que los trabajos fallen al inicio.

La API de Dataplex se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Dataplex, consulta la documentación del producto.

Dataproc requiere pasos especiales para la protección mediante los Controles del servicio de VPC.

Para obtener más información sobre Dataproc, consulta la documentación del producto.

Para proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones de las redes de Dataproc y Controles del servicio de VPC.

Dataproc Serverless requiere pasos especiales para la protección mediante los Controles del servicio de VPC.

Para obtener más información sobre Dataproc sin servidores para Spark, consulta la documentación del producto.

Para proteger tu carga de trabajo sin servidor con un perímetro de servicio, sigue las instrucciones de Dataproc Serverless y las redes de Controles del servicio de VPC.

La API de Dataproc Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Dataproc Metastore, consulta la documentación del producto.

La integración de Dataproc Metastore con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Datastream se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Datastream, consulta la documentación del producto.

La integración de Datastream con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Database Migration Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Database Migration Service, consulta la documentación del producto.

La API de Dialogflow se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Dialogflow, consulta la documentación del producto.

La API de Protección de datos sensibles se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la protección de datos sensibles, consulta la documentación del producto.

La API de Cloud DNS se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud DNS, consulta la documentación del producto.

• Puedes acceder a Cloud DNS a través de la VIP restringida. Sin embargo, no puedes crear ni actualizar zonas de DNS públicas dentro de proyectos dentro del perímetro de los Controles del servicio de VPC.

La API de Document AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Document AI, consulta la documentación del producto.

La integración de Document AI con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Document AI Warehouse se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Document AI Warehouse, consulta la documentación del producto.

La integración de Document AI Warehouse con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Domains se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Domains, consulta la documentación del producto.

• Es posible que los datos de contacto que se usan en Cloud Domains se compartan con el registro de terminación de dominio o de dominio de nivel superior (TLD) y que sean accesibles de forma pública para WHOIS/RDAP según lo permita tu configuración, de conformidad con las reglas de ICANN. Para obtener más información, consulta Protección de la privacidad.

• Los datos de configuración de DNS que se usan en Cloud Domains (servidores de nombres y configuraciones de DNSSEC) son públicos. Si tu dominio delega a una zona DNS pública, que es la predeterminada, los datos de configuración de DNS de esa zona también son públicos.

Un bus de Eventarc Advanced fuera de un perímetro de servicio no puede recibir eventos de proyectos de Google Cloud dentro del perímetro. Un bus de Eventarc Advanced dentro de un perímetro no puede enrutar eventos a un consumidor fuera del perímetro.

• Para publicar en un bus de Eventarc Advanced, la fuente de un evento debe estar dentro del mismo perímetro de servicio que el bus.
• Para consumir un mensaje, un consumidor de eventos debe estar dentro del mismo perímetro de servicio que el bus.

Para obtener más información sobre Eventarc Advanced, consulta la documentación del producto.

Eventarc Standard controla la entrega de eventos mediante temas de Pub/Sub y suscripciones de envío. Para acceder a la API de Pub/Sub y administrar los activadores de eventos, la API de Eventarc debe estar protegida dentro del mismo perímetro de servicio de Controles del servicio de VPC que la API de Pub/Sub.

Para obtener más información sobre Eventarc Standard, consulta la documentación del producto.

La API de Distributed Cloud Edge Network se puede proteger con los Controles del servicio de VPC y se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Distributed Cloud Edge Network, consulta la documentación del producto.

La integración de la API de Distributed Cloud Edge Network con los Controles del servicio de VPC no tiene limitaciones conocidas.

Los Controles del servicio de VPC pueden proteger la API de AI contra el lavado de dinero, y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la IA contra el lavado de dinero, consulta la documentación del producto.

La integración de la IA contra el lavado de dinero con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cuando configuras y, luego, intercambias tokens de Verificación de aplicaciones de Firebase, los Controles del servicio de VPC solo protegen el servicio de Verificación de aplicaciones de Firebase. A fin de proteger los servicios que dependen de Firebase App Check, debes configurar perímetros de servicio para esos servicios.

Para obtener más información sobre la Verificación de aplicaciones de Firebase, consulta la documentación del producto.

La integración de Verificación de aplicaciones de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cuando administras las políticas de Firebase Security Rules, los Controles del servicio de VPC solo protegen el servicio de reglas de seguridad de Firebase. A fin de proteger los servicios que se basan en las reglas de seguridad de Firebase, debes configurar los permisos de los servicios para esos servicios.

Para obtener más información sobre las reglas de seguridad de Firebase, consulta la documentación del producto.

La integración de las reglas de seguridad de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.

Consulta la documentación de Cloud Run Functions para conocer los pasos de configuración. La protección de los Controles del servicio de VPC no se aplica a la fase de compilación cuando las funciones de Cloud Run se compilan con Cloud Build. Para obtener más información, consulta las limitaciones conocidas.

Para obtener más información sobre las funciones de Cloud Run, consulta la documentación del producto.

Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen la administración de funciones IAM personalizadas, la administración de los grupos de Workload Identity y la administración de cuentas de servicio y claves. El perímetro no restringe las acciones de los grupos de trabajadores porque estos son recursos a nivel de la organización.

El perímetro alrededor de IAM no restringe la administración de acceso (es decir, la obtención o la configuración de políticas de IAM) para los recursos que son propiedad de otros servicios, como proyectos, carpetas y organizaciones de Resource Manager o instancias de máquina virtual de Compute Engine. Para restringir la administración de acceso para estos recursos, crea un perímetro que restrinja el servicio al que pertenecen los recursos. Para obtener una lista de los recursos que aceptan políticas de IAM y los servicios que los contienen, consulta Tipos de recursos que aceptan políticas de IAM.

Además, el perímetro alrededor de IAM no restringe las acciones que usan otras APIs, incluidas las siguientes:

• API del Policy Simulator de IAM
• API del solucionador de problemas de políticas de IAM
• API del servicio de token de seguridad
• API de Service Account Credentials (incluidos los métodos signBlob y signJwt heredados en la API de IAM)

Para obtener más información sobre Identity and Access Management, consulta la documentación del producto.

Si estás dentro del perímetro, no puedes llamar al método roles.list con una string vacía para enumerar las funciones predefinidas de IAM. Si necesitas ver las funciones predefinidas, consulta la documentación de funciones de IAM.

La API de IAP Admin permite que los usuarios configuren IAP.

Para obtener más información sobre la API de IAP Admin , consulta la documentación del producto.

La integración de la API de IAP Admin con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud KMS Inventory se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud KMS Inventory, consulta la documentación del producto.

El método de la API de SearchProtectedResources no impone restricciones de perímetro de servicio en los proyectos que se muestran.

La API de Service Account Credentials se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre las credenciales de la cuenta de servicio, consulta la documentación del producto.

La integración de credenciales de cuentas de servicio con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Service Metadata se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Service Metadata, consulta la documentación del producto.

La integración de la API de Service Metadata con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Acceso a VPC sin servidores se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Acceso a VPC sin servidores, consulta la documentación del producto.

La integración del Acceso a VPC sin servidores con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud KMS se puede proteger con los Controles del servicio de VPC y el producto se puede usar en los perímetros de servicio. El acceso a los servicios de Cloud HSM también está protegido por los Controles del servicio de VPC y se puede usar dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Key Management Service, consulta la documentación del producto.

La integración de Cloud Key Management Service con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Game Servers se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Game Servers, consulta la documentación del producto.

La integración de Game Servers con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Gemini Code Assist se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Gemini Code Assist, consulta la documentación del producto.

El control de acceso basado en el dispositivo, la dirección IP pública o la ubicación no es compatible con Gemini en la consola de Google Cloud.

La API de Identity-Aware Proxy para TCP puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Si deseas obtener más información sobre Identity-Aware Proxy para TCP, consulta la documentación del producto.

La API de Cloud Life Sciences se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Life Sciences, consulta la documentación del producto.

La integración de Cloud Life Sciences con los Controles del servicio de VPC no tiene limitaciones conocidas.

Se requiere una configuración adicional para lo siguiente:

• Acceso local a la API de Microsoft AD administrado
• VPC compartida

A fin de obtener más información sobre el servicio administrado para Microsoft Active Directory, consulta la documentación del producto.

La integración del servicio administrado para Microsoft Active Directory con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de reCAPTCHA se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre reCAPTCHA, consulta la documentación del producto.

La integración de reCAPTCHA con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Web Risk se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Web Risk, consulta la documentación del producto.

La API de evaluación y la API de envío no son compatibles con los Controles del servicio de VPC.

La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el recomendador, consulta la documentación del producto.

• Los Controles del servicio de VPC no son compatibles con los recursos de organización, carpeta ni cuenta de facturación.

La API de Secret Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Secret Manager, consulta la documentación del producto.

La integración de Secret Manager con los Controles del servicio de VPC no tiene limitaciones conocidas.

La protección de los Controles del servicio de VPC se aplica a todas las operaciones de administrador, las operaciones de publicador y las operaciones de suscriptor (excepto las suscripciones de envío existentes).

Para obtener más información sobre Pub/Sub, consulta la documentación del producto.

En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:

• No se pueden crear suscripciones de envío nuevas, a menos que los extremos de envío se configuren en servicios de Cloud Run con URLs run.app predeterminadas o una ejecución de Workflows (los dominios personalizados no funcionan). Para obtener más información sobre la integración con Cloud Run, consulta Usa los Controles del servicio de VPC.
• En el caso de las suscripciones que no son push, debes crear una suscripción en el mismo perímetro que el tema o habilitar reglas de salida para permitir el acceso del tema a la suscripción.
• Cuando enrutas eventos a través de Eventarc a destinos de Workflows para los que el extremo de envío está configurado en una ejecución de Workflows, solo puedes crear suscripciones de envío nuevas a través de Eventarc.
• No se bloquean las suscripciones de Pub/Sub creadas antes que el perímetro de servicio.

La protección de los Controles del servicio de VPC se aplica a todas las operaciones de suscriptor.

Para obtener más información sobre Pub/Sub Lite, consulta la documentación del producto.

La integración de Pub/Sub Lite con los Controles del servicio de VPC no tiene limitaciones conocidas.

Usa los Controles del servicio de VPC con grupos privados de Cloud Build para agregar seguridad adicional a tus compilaciones.

Para obtener más información sobre Cloud Build, consulta la documentación del producto.

• La protección de los Controles del servicio de VPC solo está disponible para las compilaciones que se ejecutan en grupos privados.

• No se admiten los activadores de Pub/Sub de Cloud Build.

La API de Cloud Deploy se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Deploy, consulta la documentación del producto.

Para usar Cloud Deploy en un perímetro, debes usar un grupo privado de Cloud Build para los entornos de ejecución de destino. No uses el grupo de trabajadores predeterminado (Cloud Build) y no uses un grupo híbrido.

Configura Composer para su uso con los Controles del servicio de VPC

Para obtener más información sobre Cloud Composer, consulta la documentación del producto.

• Habilitar la serialización de DAG evita que Airflow muestre una plantilla renderizada con funciones en la IU web.

• No se puede establecer la marca async_dagbag_loader en True mientras la serialización de DAG está habilitada.

• Habilitar la serialización de DAG inhabilita todos los complementos del servidor web de Airflow, ya que podrían poner en riesgo la seguridad de la red de VPC, en la que se implementa Cloud Composer. Esto no afecta el comportamiento de los complementos de trabajador o programador, incluidos los sensores y operadores de Airflow.

• Cuando Cloud Composer se ejecuta dentro de un perímetro, se restringe el acceso a los repositorios públicos de PyPI. En la documentación de Cloud Composer, consulta Instala dependencias de Python para aprender a instalar módulos de PyPi en modo de IP privada.

La API de Cloud Quotas se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre las cuotas de Cloud, consulta la documentación del producto.

Para obtener más información sobre Cloud Run, consulta la documentación del producto.

• Creación de trabajos de Cloud Scheduler
• Actualizaciones de trabajos de Cloud Scheduler

Para obtener más información sobre Cloud Scheduler, consulta la documentación del producto.

La API de Spanner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Spanner, consulta la documentación del producto.

La integración de Spanner con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Speaker ID se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Speak ID, consulta la documentación del producto.

La integración de Speaker ID con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Storage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Storage, consulta la documentación del producto.

La API de Cloud Tasks se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Las solicitudes HTTP desde las ejecuciones de Cloud Tasks son compatibles de la siguiente manera:

• Se permiten las solicitudes autenticadas a las funciones y los extremos de Cloud Run que cumplen con los Controles del servicio de VPC.
• Se bloquean las solicitudes a las funciones y los extremos que no son de Cloud Run.
• Se bloquean las solicitudes a las funciones y los extremos de Cloud Run que no cumplen con los Controles del servicio de VPC.

Para obtener más información sobre Cloud Tasks, consulta la documentación del producto.

Los perímetros de los Controles del servicio de VPC protegen la API de Cloud SQL Admin.

Para obtener más información sobre Cloud SQL, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Administrador de Cloud SQL. No protegen el acceso de datos basados en IP a las instancias de Cloud SQL. Debes usar una restricción de políticas de la organización para restringir el acceso de IP pública en las instancias de Cloud SQL.
• Antes de configurar los Controles del servicio de VPC para Cloud SQL, habilita la API de Service Networking.

• Las importaciones y las exportaciones de Cloud SQL solo pueden realizar operaciones de lectura y escritura desde un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL.

• En el flujo de migración del servidor externo, debes agregar el bucket de Cloud Storage al mismo perímetro de servicio.
• En el flujo de creación de claves para CMEK, debes crear la clave en el mismo perímetro de servicio que los recursos que la usan.
• Cuando restableces una instancia desde una copia de seguridad, la instancia de destino debe estar en el mismo perímetro de servicio que la copia de seguridad.

La API de Video Intelligence se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Video Intelligence, consulta la documentación del producto.

La integración de la API de Video Intelligence con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud Vision, consulta la documentación del producto.

Para usar Artifact Analysis con los Controles del servicio de VPC, es posible que debas agregar otros servicios al perímetro de la VPC:

• Si usas notificaciones de Pub/Sub con Artifact Analysis, agrega Pub/Sub al perímetro de servicio.
• Si usas la API de Container Scanning, agrega tu registro al perímetro: Artifact Registry o Container Registry..

Debido a que la API de Container Scanning es una API sin superficie que almacena los resultados en Artifact Analysis, no necesitas protegerla con un perímetro de servicio.

Para obtener más información sobre Artifact Analysis, consulta la documentación del producto.

La integración de Artifact Analysis con los Controles del servicio de VPC no tiene limitaciones conocidas.

Además de proteger la API de Container Registry, Container Registry se puede usar en un perímetro de servicio con GKE y Compute Engine.

Para obtener más información sobre Container Registry, consulta la documentación del producto.

• Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT ni ANY_USER_ACCOUNT como un tipo de identidad para todas las operaciones de Container Registry.

  Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

• Debido a que Container Registry usa el dominio gcr.io, debes configurar DNS para que *.gcr.io se asigne a private.googleapis.com o restricted.googleapis.com. Para obtener más información, consulta Protege Container Registry en un perímetro de servicio.

• Además de los contenedores que se encuentran dentro de un perímetro disponibles para Container Registry, los siguientes repositorios de solo lectura están disponibles para todos los proyectos, sin importar las restricciones aplicadas por los perímetros de servicio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  En todos los casos, también están disponibles las versiones multirregional de estos repositorios.

La API de Google Kubernetes Engine se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Google Kubernetes Engine, consulta la documentación del producto.

• Para proteger por completo la API de Google Kubernetes Engine, también debes incluir la API de Kubernetes Metadata (kubernetesmetadata.googleapis.com) en tu perímetro.
• Solo los clústeres privados se pueden proteger mediante los Controles del servicio de VPC. Los Controles del servicio de VPC no admiten clústeres con direcciones IP públicas.

• El ajuste de escala automático funciona independientemente de GKE. Debido a que los Controles del servicio de VPC no son compatibles con autoscaling.googleapis.com, el ajuste de escala automático no funciona. Cuando usas GKE, puedes ignorar el incumplimiento de SERVICE_NOT_ALLOWED_FROM_VPC en los registros de auditoría que se produce debido al servicio autoscaling.googleapis.com.

La API de Container Security se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Container Security, consulta la documentación del producto.

La integración de la API de Container Security con los Controles del servicio de VPC no tiene limitaciones conocidas.

La transmisión de imágenes es una función de transmisión de datos de GKE que proporciona tiempos de extracción de imágenes de contenedor más cortos para las imágenes almacenadas en Artifact Registry. Si los Controles del servicio de VPC protegen las imágenes de contenedor y usas la transmisión de imágenes, también debes incluir la API de transmisión de imágenes en el perímetro de servicio.

Para obtener más información sobre la transmisión de imágenes, consulta la documentación del producto.

• Los siguientes repositorios de solo lectura están disponibles para todos los proyectos, independientemente de las restricciones que apliquen los perímetros de servicio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Las API de Fleet management, incluida la puerta de enlace de Connect, se pueden proteger con los Controles del servicio de VPC, y las funciones de administración de flota se pueden usar con normalidad dentro de los perímetros de servicio. Para obtener más información, consulta lo siguiente:

• Usa los Controles del servicio de VPC con el agente de Connect
• Usa los Controles del servicio de VPC con la puerta de enlace de Connect

Para obtener más información sobre Fleets, consulta la documentación del producto.

• Aunque todas las funciones de administración de flotas se pueden usar con normalidad, habilitar un perímetro de servicio alrededor de la API de Stackdriver restringe la integración de la función de flota de Policy Controller con Security Command Center.
• Cuando se usa la puerta de enlace de Connect para acceder a los clústeres de GKE, no se aplica el perímetro de Controles del servicio de VPC para container.googleapis.com.

Los siguientes métodos de la API de Cloud Resource Manager se pueden proteger con los Controles del servicio de VPC:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Para obtener más información sobre Resource Manager, consulta la documentación del producto.

• Solo las claves de etiqueta que tienen un recurso de proyecto como elemento superior directo y los valores de etiqueta correspondientes se pueden proteger con los Controles del servicio de VPC. Cuando se agrega un proyecto a un perímetro de los Controles del servicio de VPC, todas las claves de etiqueta y los valores de etiqueta correspondientes del proyecto se consideran recursos dentro del perímetro.
• Las claves de etiqueta que tienen como superior un recurso de organización y sus valores de etiqueta correspondientes no se pueden incluir en un perímetro de Controles del servicio de VPC ni proteger con los Controles del servicio de VPC.
• Los clientes dentro de un perímetro de Controles del servicio de VPC no pueden acceder a las claves de etiqueta ni a los valores correspondientes que tienen como superior un recurso de la organización, a menos que se establezca una regla de salida que permita el acceso en el perímetro. Para obtener más información sobre cómo configurar reglas de salida, consulta Reglas de entrada y salida.
• Las vinculaciones de etiquetas se consideran recursos dentro del mismo perímetro que el recurso al que se vincula el valor de la etiqueta. Por ejemplo, se considera que las vinculaciones de etiquetas en una instancia de Compute Engine de un proyecto pertenecen a ese proyecto, independientemente de dónde se defina la clave de etiqueta.
• Algunos servicios, como Compute Engine, permiten crear vinculaciones de etiquetas con sus propias APIs de servicio, además de las APIs de servicio de Resource Manager. Por ejemplo, agregar etiquetas a una VM de Compute Engine durante la creación de recursos. Para proteger las vinculaciones de etiquetas creadas o borradas con estas APIs de servicio, agrega el servicio correspondiente, como compute.googleapis.com, a la lista de servicios restringidos en el perímetro.
• Las etiquetas admiten restricciones a nivel del método, por lo que puedes asignar el method_selectors a métodos de API específicos. Para obtener una lista de los métodos que se pueden restringir, consulta Restricciones de los métodos de servicio compatibles.
• Los Controles del servicio de VPC ahora admiten la función de propietario en un proyecto a través de la consola de Google Cloud. No puedes enviar una invitación de propietario ni aceptar una invitación fuera de los perímetros de servicio. Si intentas aceptar una invitación desde fuera del perímetro, no se te otorgará el rol de propietario y no se mostrará ningún mensaje de error ni advertencia.

La API de Cloud Logging se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Logging, consulta la documentación del producto.

La API de Certificate Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Certificate Manager, consulta la documentación del producto.

La integración de Certificate Manager con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Monitoring, consulta la documentación del producto.

La API de Cloud Profiler se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Profiler, consulta la documentación del producto.

La integración de Cloud Profiler con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Timeseries Insights se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Timeseries Insights, consulta la documentación del producto.

La integración de la API de Timeseries Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Trace se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Trace, consulta la documentación del producto.

La integración de Cloud Trace con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud TPU se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud TPU, consulta la documentación del producto.

La integración de Cloud TPU con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para obtener más información sobre la API de Natural Language, consulta la documentación del producto.

Debido a que la API de Natural Language es una API sin estado y no se ejecuta en proyectos, usar los Controles del servicio de VPC para proteger la API de Natural Language no tiene ningún efecto.

La API de Network Connectivity Center se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Network Connectivity Center, consulta la documentación del producto.

La integración de Network Connectivity Center con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Asset se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud Asset, consulta la documentación del producto.

• Los Controles del servicio de VPC no son compatibles con el acceso a los recursos de la API de Cloud Asset a nivel de carpeta o de organización desde los recursos y clientes dentro de un perímetro de servicio. Los Controles del servicio de VPC protegen los recursos de la API de Cloud Asset a nivel de proyecto. Puedes especificar una política de salida para evitar el acceso a los recursos de la API de Cloud Asset a nivel de proyecto desde los proyectos dentro del perímetro.
• Los Controles del servicio de VPC no admiten agregar recursos a la API de Cloud Asset a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de la API de Cloud Asset a nivel de carpeta o de organización. Para administrar los permisos de Cloud Asset Inventory a nivel de organización o carpeta, te recomendamos usar IAM.

La API de Speech-to-Text se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Speech-to-Text, consulta la documentación del producto.

La integración de Speech-to-Text con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Text-to-Speech se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Text-to-Speech, consulta la documentación del producto.

La integración de Text-to-Speech con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Translation se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Translation, consulta la documentación del producto.

Cloud Translation avanzado (v3) es compatible con los Controles del servicio de VPC, pero no con Cloud Translation básico (v2). Para aplicar los Controles del servicio de VPC, debes usar Cloud Translation avanzado (v3). Para obtener más información sobre las diferentes ediciones, consulta la comparación entre la edición básica y la avanzada.

Usa los Controles del servicio de VPC con la API de Live Stream para proteger tu canalización.

Para obtener más información sobre la API de Live Stream, consulta la documentación del producto.

Para proteger los extremos de entrada con un perímetro de servicio, debes seguir las instrucciones para configurar un grupo privado y enviar transmisiones de video de entrada a través de una conexión privada.

La API de API Transcoder se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Transcoder, consulta la documentación del producto.

La integración de la API de Transcoder con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Video Stitcher se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Video Stitcher, consulta la documentación del producto.

La integración de la API de Video Stitcher con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API para la Aprobación de acceso se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la aprobación de acceso, consulta la documentación del producto.

La integración de la aprobación de acceso con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Healthcare se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud Healthcare, consulta la documentación del producto.

Los Controles del servicio de VPC no son compatibles con las claves de encriptación administradas por el cliente (CMEK) en la API de Cloud Healthcare.

Recomendamos colocar el proyecto del Servicio de transferencia de almacenamiento dentro del mismo perímetro de servicio que los recursos de Cloud Storage. Esto protege la transferencia y los recursos de Cloud Storage. El Servicio de transferencia de almacenamiento también admite situaciones en las que el proyecto del Servicio de transferencia de almacenamiento no está en el mismo perímetro que tus buckets de Cloud Storage, mediante una política de salida.

Para obtener información sobre la configuración, consulta Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC

Servicio de transferencia de datos locales

Consulta Usa transferencias de datos locales con los Controles del servicio de VPC para obtener detalles y la información de configuración para las transferencias de datos locales.

Para obtener más información sobre el Servicio de transferencia de almacenamiento, consulta la documentación del producto.

La API de Control de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Control de servicios, consulta la documentación del producto.

• Cuando llamas a la API de Service Control desde una red de VPC en un perímetro de servicio con el Control de servicios restringido para informar métricas de facturación o estadísticas, solo puedes usar el método Informe del Control de servicios para informar las métricas de los servicios compatibles con los Controles del servicio de VPC.

La API de Memorystore para Redis se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Memorystore para Redis, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Memorystore para Redis. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Redis dentro de la misma red.

• Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Redis solo pueden leer y escribir en un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de Memorystore para Redis.

• Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Redis dentro del mismo perímetro para que las solicitudes de Redis se realicen correctamente. En cualquier momento, separar el proyecto host y el proyecto de servicio con un perímetro puede causar una falla en la instancia de Redis, además de que se bloqueen las solicitudes. Para obtener más información, consulta los requisitos de configuración de Memorystore para Redis.

La API de Memorystore para Memcached se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Memorystore para Memcached, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Memorystore para Memcached. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Memcached dentro de la misma red.

La API del Directorio de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Directorio de servicios, consulta la documentación del producto.

La integración del Directorio de servicios con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para proteger por completo la Visual Inspection AI, incluye todas las siguientes APIs en tu perímetro:

• API de Visual Inspection AI (visualinspection.googleapis.com)
• API de Vertex AI (aiplatform.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Artifact Registry (artifactregistry.googleapis.com)
• API de Container Registry (containerregistry.googleapis.com)

Para obtener más información sobre Visual Inspection AI, consulta la documentación del producto.

La integración de Visual Inspection AI con los Controles del servicio de VPC no tiene limitaciones conocidas.

Transfer Appliance es compatible en su totalidad con proyectos que usan los Controles del servicio de VPC.

Transfer Appliance no ofrece una API y, por lo tanto, no es compatible con las funciones relacionadas con la API en los Controles del servicio de VPC.

Para obtener más información sobre Transfer Appliance, consulta la documentación sobre productos.

• Cuando Cloud Storage está protegido por los Controles del servicio de VPC, la clave de Cloud KMS que compartes con el equipo de Transfer Appliance debe estar dentro del mismo proyecto que el bucket de destino de Cloud Storage.

La API de Organization Policy Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el servicio de políticas de la organización, consulta la documentación del producto.

Los Controles del servicio de VPC no son compatibles con las restricciones de acceso a las políticas de organización a nivel de la carpeta o de la organización que hereda el proyecto. Los Controles del servicio de VPC protegen los recursos de la API de Organization Policy Service a nivel del proyecto.

Por ejemplo, si una regla de entrada impide que un usuario acceda a la API del servicio de políticas de la organización, ese usuario recibe un error 403 cuando consulta las políticas de la organización aplicadas en el proyecto. Sin embargo, el usuario aún puede acceder a las políticas de la organización de la carpeta y la organización que contiene el proyecto.

Puedes llamar a la API de Acceso al SO desde los perímetros de los Controles del servicio de VPC. Para administrar el Acceso al SO desde los perímetros de los Controles del servicio de VPC, configura el Acceso al SO.

Las conexiones SSH a instancias de VM no están protegidas por los Controles del servicio de VPC.

Para obtener más información sobre el Acceso al SO, consulta la documentación del producto.

Los métodos de Acceso al SO para leer y escribir claves SSH no aplican los perímetros de los Controles del servicio de VPC. Usa servicios accesibles de VPC para inhabilitar el acceso a las APIs de OS Login.

La API de Personalized Service Health se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el estado del servicio personalizado, consulta la documentación del producto.

Los Controles del servicio de VPC no admiten los recursos OrganizationEvents y OrganizationImpacts de la API de Service Health. Por lo tanto, no se realizarán verificaciones de políticas de los Controles del servicio de VPC cuando llames a los métodos de estos recursos. Sin embargo, puedes llamar a los métodos desde un perímetro de servicio con una VIP restringida.

Puedes llamar a la API de configuración del SO desde los perímetros de los Controles del servicio de VPC. Para usar VM Manager desde los perímetros de los Controles del servicio de VPC, configura VM Manager.

Para obtener más información sobre VM Manager, consulta la documentación del producto.

Workflows es una plataforma de organización que puede combinar los servicios de Google Cloud y las API basadas en HTTP para ejecutar servicios en el orden que definas.

Cuando proteges a la API de Workflows mediante un perímetro de servicio, también se protege la API de Workflows Executions. No es necesario que agregues por separado workflowexecutions.googleapis.com a la lista de servicios protegidos de tu perímetro.

Las solicitudes HTTP desde la ejecución de Workflows son compatibles de la siguiente manera:

• Se permiten las solicitudes autenticadas a los extremos de Google Cloud que cumplen con los Controles del servicio de VPC.
• Se permiten las solicitudes a las funciones de Cloud Run y a los extremos del servicio de Cloud Run.
• Las solicitudes a extremos de terceros se bloquean.
• Se bloquean las solicitudes a los extremos de Google Cloud que no cumplen con los Controles del servicio de VPC.

Para obtener más información sobre Workflows, consulta la documentación del producto.

La integración de Workflows con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Filestore se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Notebooks, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Filestore. Los perímetros no protegen el acceso normal a los datos NFS en las instancias de Filestore dentro de la misma red.

• Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Filestore dentro del mismo perímetro para que la instancia de Filestore funcione correctamente. Separar el proyecto host y el proyecto de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y que no se creen instancias nuevas.

Para obtener más información sobre Parallelstore, consulta la documentación del producto.

• Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Parallelstore dentro del mismo perímetro para que la instancia de Parallelstore funcione correctamente. Separar el proyecto host y el proyecto de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y que no se creen instancias nuevas.

La API de Container Threat Detection se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Container Threat Detection, consulta la documentación del producto.

La integración de Container Threat Detection con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para obtener más información sobre el Centro de Datos de Anuncios, consulta la documentación del producto.

Los Controles del servicio de VPC solo restringen los intercambios de tokens si el público de la solicitud es un recurso a nivel de proyecto. Por ejemplo, los Controles del servicio de VPC no restringen las solicitudes de tokens con alcance reducido, ya que esas solicitudes no tienen público. Los Controles del servicio de VPC tampoco restringen las solicitudes de Workforce Identity Federation, ya que el público es un recurso a nivel de la organización.

Para obtener más información sobre el servicio de tokens de seguridad, consulta la documentación del producto.

Los servicios firestore.googleapis.com, datastore.googleapis.com y firestorekeyvisualizer.googleapis.com se agrupan. Cuando restringes el servicio firestore.googleapis.com a un perímetro, este también restringe los servicios datastore.googleapis.com y firestorekeyvisualizer.googleapis.com.

Para restringir el servicio datastore.googleapis.com, usa el nombre de servicio firestore.googleapis.com.

Para obtener la protección total de salida en las operaciones de importación y exportación, debes usar el agente de servicio de Firestore. Consulta los siguientes vínculos para obtener más información:

• Protege las operaciones de importación y exportación de Firestore con los Controles del servicio de VPC.
• Protege las operaciones de importación y exportación de Datastore con los Controles del servicio de VPC.

Para obtener más información sobre Firestore o Datastore, consulta la documentación del producto.

La API de Migrate to Virtual Machines se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Migrate to Virtual Machines, consulta la documentación del producto.

• Para proteger Migrate to Virtual Machines por completo, agrega las siguientes APIs al perímetro de servicio:

  • API de Artifact Registry (artifactregistry.googleapis.com)
  • API de Pub/Sub (pubsub.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)
  • API de Container Registry (containerregistry.googleapis.com)
  • API de Secret Manager (secretmanager.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)

  Para obtener más información, consulta la documentación de Migrate to Virtual Machines.

Los Controles del servicio de VPC te permiten proteger los datos de infraestructura que recopilas con el Centro de migración con un perímetro de servicio.

Para obtener más información sobre Migration Center, consulta la documentación del producto.

La API del servicio de copia de seguridad y DR se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el servicio de Copia de seguridad y DR, consulta la documentación del producto.

Si quitas la ruta predeterminada de Internet del proyecto del productor de servicios con el comando gcloud services vpc-peerings enable-vpc-service-controls, es posible que no puedas acceder a la consola de administración ni implementarla. Si te encuentras con este problema, comunícate con el equipo de Atención al cliente de Google Cloud.

Puedes usar los Controles del servicio de VPC a fin de proteger la copia de seguridad de GKE y usarlas con normalidad en los perímetros de servicio.

Si deseas obtener más información sobre la Copia de seguridad para GKE, consulta la documentación del producto.

La integración de la copia de seguridad para GKE con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de la API de Retail se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Retail, consulta la documentación del producto.

La integración de la API de Retail con los Controles del servicio de VPC no tiene limitaciones conocidas.

Application Integration es un sistema de administración de flujos de trabajo colaborativo que te permite crear, mejorar, depurar y comprender los flujos de trabajo principales de los sistemas empresariales. Los flujos de trabajo de Application Integration se componen de activadores y tareas. Existen varios tipos de activadores, como activador de API, activador de Pub/Sub, activador de cron o activador de SFDC.

Para obtener más información sobre la Application Integration, consulta la documentación del producto.

La API de Integration Connectors se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Integration Connectors, consulta la documentación del producto.

La API de Error Reporting se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Error Reporting, consulta la documentación del producto.

La API de Cloud Workstations se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Workstations, consulta la documentación del producto.

• Para proteger por completo Cloud Workstations, debes restringir la API de Compute Engine en tu perímetro de servicio cada vez que restrinjas la API de las estaciones de trabajo de Cloud.
• Asegúrate de que la API de Google Cloud Storage, la API de Google Container Registry y la API de Artifact Registry sean accesibles a la VPC en tu perímetro de servicio. Esto es necesario para extraer imágenes en tu estación de trabajo. También te recomendamos que permitas que la API de Cloud Logging y la API de Cloud Error Reporting sean accesibles para la VPC en tu perímetro de servicio, aunque esto no es obligatorio para usar Cloud Workstations.
• Asegúrate de que el clúster de tu estación de trabajo sea privado. La configuración de un clúster privado evita que se establezcan conexiones a tus estaciones de trabajo desde fuera del perímetro de servicio de tu VPC.
• Asegúrate de inhabilitar las direcciones IP públicas en la configuración de la estación de trabajo. De lo contrario, se generarán VMs con direcciones IP públicas en tu proyecto. Te recomendamos que uses la restricción de la política de la organización constraints/compute.vmExternalIpAccess para inhabilitar las direcciones IP públicas de todas las VMs en el perímetro de servicio de tu VPC. Para obtener más información, consulta Restringe direcciones IP externas a VMs específicas.
• Cuando te conectas a tu estación de trabajo, el control de acceso solo se basa en si la red privada desde la que te conectas pertenece al perímetro de seguridad. No se admite el control de acceso basado en el dispositivo, la dirección IP pública ni la ubicación.

La API de IDS de Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre IDS de Cloud, consulta la documentación del producto.

El IDS de Cloud usa Cloud Logging para crear registros de amenazas en tu proyecto. Si el perímetro de servicio restringe el registro de Cloud, los Controles del servicio de VPC bloquean los registros de amenazas de IDS de Cloud, incluso si el IDS de Cloud no se agrega como un servicio restringido al perímetro. Para usar IDS de Cloud dentro de un perímetro de servicio, debes configurar una regla de entrada para la cuenta de servicio de Cloud Logging en el perímetro de servicio.

Para obtener más información sobre Chrome Enterprise Premium, consulta la documentación del producto.

La integración de Chrome Enterprise Premium con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cuando restringes la API de Policy Troubleshooter con un perímetro, los principales pueden solucionar problemas relacionados con las políticas de permisos de IAM solo si todos los recursos involucrados en la solicitud están en el mismo perímetro. Por lo general, hay dos recursos involucrados en una solicitud de solución de problemas:

• El recurso al que intentas acceder. Este recurso puede ser de cualquier tipo. Especificas este recurso de forma explícita cuando solucionas problemas de una política de permisos.

• El recurso que usas para solucionar problemas de acceso. Este recurso es un proyecto, una carpeta o una organización. En la consola de Google Cloud y gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que seleccionaste. En la API de REST, especificas este recurso con el encabezado x-goog-user-project.

  Este recurso puede ser el mismo que el recurso para el que estás solucionando problemas de acceso, pero no es necesario que lo sea.

Si estos recursos no están en el mismo perímetro, la solicitud fallará.

Para obtener más información sobre el Solucionador de problemas de políticas, consulta la documentación del producto.

La integración del Solucionador de problemas de políticas con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cuando restringes la API de Policy Simulator con un perímetro, las principales pueden simular políticas de permisos solo si ciertos recursos involucrados en la simulación están en el mismo perímetro. Hay varios recursos involucrados en una simulación:

• El recurso cuya política de permisos estás simulando. Este recurso también se denomina recurso de destino. En la consola de Google Cloud, este es el recurso cuya política de permisos estás editando. En gcloud CLI y la API de REST, especificas este recurso de forma explícita cuando simulas una política de permisos.

• Es el proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se denomina recurso del host. En la consola de Google Cloud y gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que seleccionaste. En la API de REST, especificas este recurso con el encabezado x-goog-user-project.

  Este recurso puede ser el mismo que el recurso para el que simulas el acceso, pero no es necesario que lo sea.

• Es el recurso que proporciona registros de acceso para la simulación. En una simulación, siempre hay un recurso que proporciona registros de acceso para la simulación. Este recurso varía según el tipo de recurso de destino:

  • Si simulas una política de permisos para un proyecto o una organización, Policy Simulator recupera los registros de acceso de ese proyecto o esa organización.
  • Si simulas una política de permisos para un tipo de recurso diferente, Policy Simulator recupera los registros de acceso de la organización o el proyecto superior de ese recurso.
  • Si estás simulando políticas de permisos de varios recursos a la vez, Policy Simulator recupera los registros de acceso de la organización o el proyecto común más cercano de los recursos.
• Todos los recursos compatibles con las políticas de permisos relevantes Cuando Policy Simulator ejecuta una simulación, considera todas las políticas de permisos que podrían afectar el acceso del usuario, incluidas las políticas de permisos en los recursos superiores y secundarios del recurso de destino. Como resultado, estos recursos ancestros y descendientes también participan en las simulaciones.

Si el recurso de destino y el recurso host no están en el mismo perímetro, la solicitud fallará.

Si el recurso de destino y el recurso que proporciona registros de acceso para la simulación no están en el mismo perímetro, la solicitud fallará.

Si el recurso de destino y algunos recursos admitidos con políticas de permiso relevantes no están en el mismo perímetro, las solicitudes se realizan correctamente, pero es posible que los resultados estén incompletos. Por ejemplo, si simulas una política para un proyecto en un perímetro, los resultados no incluirán la política de permisos de la organización superior del proyecto, ya que las organizaciones siempre están fuera de los perímetros de los Controles del servicio de VPC. Para obtener resultados más completos, puedes configurar reglas de entrada y salida para el perímetro.

Para obtener más información sobre Policy Simulator, consulta la documentación del producto.

La integración de Policy Simulator con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Essential Contacts se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Contactos esenciales, consulta la documentación del producto.

La integración de Contactos esenciales con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Identity Platform se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Identity Platform, consulta la documentación del producto.

• Para proteger Identity Platform por completo, agrega la API de Secure Token (securetoken.googleapis.com) al perímetro de servicio para permitir la actualización de tokens. securetoken.googleapis.com no aparece en la página Controles del servicio de VPC de la consola de Google Cloud. Solo puedes agregar este servicio con el comando gcloud access-context-manager perimeters update.

• Si tu aplicación también se integra con la función de bloqueo de funciones, agrega funciones de Cloud Run (cloudfunctions.googleapis.com) al perímetro de servicio.

• El uso de la autenticación de varios factores (MFA) basada en SMS, la autenticación por correo electrónico o los proveedores de identidad externos hace que los datos se envíen fuera del perímetro. Si no usas la MFA con SMS, autenticación por correo electrónico o proveedores de identidad de terceros, inhabilita estas funciones.

La API de GKE Multi-Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre GKE Multi-Cloud, consulta la documentación del producto.

• Para proteger por completo la API de GKE Multi-cloud, también debes incluir la API de metadatos de Kubernetes (kubernetesmetadata.googleapis.com) en tu perímetro.

La API de Anthos On-Prem se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Anthos On-Prem, consulta la documentación del producto.

• Para proteger por completo la API de Anthos On-Prem, agrega las siguientes APIs al perímetro de servicio:

  • API de Kubernetes Metadata (kubernetesmetadata.googleapis.com)
  • API de Cloud Monitoring (monitoring.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)
  Ten en cuenta que los Controles del servicio de VPC no protegen contra las exportaciones de registros de Cloud Logging a nivel de carpeta o organización.

Puedes crear un clúster en tu entorno, que está conectado a la VPC a través de Cloud Interconnect o Cloud VPN.

Para obtener más información sobre Google Distributed Cloud (solo software) para Bare Metal, consulta la documentación del producto.

• Cuando crees o actualices un clúster con Google Distributed Cloud (solo software) para Bare Metal, usa la marca --skip-api-check en bmctl para omitir la llamada a la API de Service Usage (serviceusage.googleapis.com), ya que la API de Service Usage (serviceusage.googleapis.com) no es compatible con los Controles del servicio de VPC. Google Distributed Cloud (solo software) para Bare Metal invoca la API de Service Usage para validar que las APIs requeridas estén habilitadas en un proyecto. No se usa para validar la accesibilidad del extremo de API.

• Para proteger tus clústeres, usa VIP restringido en Google Distributed Cloud (solo software) para Bare Metal y agrega todas las siguientes APIs al perímetro de servicio:

• API de Artifact Registry (artifactregistry.googleapis.com)
• API de Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de Connect Gateway (connectgateway.googleapis.com)
• API de Google Container Registry (containerregistry.googleapis.com)
• API de GKE Connect (gkeconnect.googleapis.com)
• API de GKE Hub (gkehub.googleapis.com)
• API de GKE On-Prem (gkeonprem.googleapis.com)
• API de Cloud IAM (iam.googleapis.com)
• API de Cloud Logging (logging.googleapis.com)
• API de Cloud Monitoring (monitoring.googleapis.com)
• API de Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
• API de Service Control (servicecontrol.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)

La API de On-Demand Scanning se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de On-Demand Scanning, consulta la documentación del producto.

La integración de la API de On-Demand Scanning con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Looker (Google Cloud Core) se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Looker (Google Cloud Core), consulta la documentación del producto.

• Solo las ediciones Enterprise o Embed de las instancias de Looker (Google Cloud Core) que usan conexiones de IP privadas admiten el cumplimiento de los Controles del servicio de VPC. Las instancias de Looker (Google Cloud Core) con conexiones de IP públicas o de IP públicas y privadas no son compatibles con el cumplimiento de los Controles del servicio de VPC. Para crear una instancia que use una conexión de IP privada, selecciona IP privada en la sección Red de la página Crea una instancia de la consola de Google Cloud.

• Cuando colocas o creas una instancia de Looker (Google Cloud Core) dentro de un perímetro de servicio de los Controles del servicio de VPC, debes quitar la ruta predeterminada a Internet llamando al método services.enableVpcServiceControls o ejecutando el siguiente comando gcloud:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
  
  Quitar la ruta predeterminada restringe el tráfico saliente solo a los servicios que cumplen con los Controles del servicio de VPC. Por ejemplo, el envío de correos electrónicos fallará porque la API que se usa para enviarlos no cumple con los Controles del servicio de VPC.

• Si usas VPC compartida, asegúrate de incluir el proyecto de servicio de Looker (Google Cloud Core) en el mismo perímetro de servicio que el proyecto host de la VPC compartida o de crear un puente de perímetro entre los dos proyectos. Si el proyecto de servicio de Looker (Google Cloud Core) y el proyecto host de VPC compartida no están en el mismo perímetro o no pueden comunicarse a través de un puente de perímetro, es posible que falle la creación de la instancia o que la instancia de Looker (Google Cloud Core) no funcione correctamente.

La API de Public Certificate Authority se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Public Certificate Authority, consulta la documentación del producto.

La integración de Public Certificate Authority con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Storage Insights se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Storage Insights, consulta la documentación del producto.

La integración de Storage Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para proteger por completo las canalizaciones de datos de Dataflow, incluye todas las siguientes APIs en tu perímetro:

• API de Dataflow (dataflow.googleapis.com)
• API de Cloud Scheduler (cloudscheduler.googleapis.com)
• API de Container Registry (containerregistry.googleapis.com)

Para obtener más información sobre los flujos de datos de Dataflow, consulta la documentación del producto.

La integración de Dataflow Data Pipelines con los Controles del servicio de VPC no tiene limitaciones conocidas.

Los Controles del servicio de VPC pueden proteger las APIs de Security Command Center, y Security Command Center se puede usar con normalidad dentro de los perímetros de servicio.

Los servicios securitycenter.googleapis.com y securitycentermanagement.googleapis.com se agrupan. Cuando restringes el servicio securitycenter.googleapis.com a un perímetro, este restringe el servicio securitycentermanagement.googleapis.com de forma predeterminada. No puedes agregar el servicio securitycentermanagement.googleapis.com a la lista de servicios restringidos en un perímetro porque se agrupa con securitycenter.googleapis.com.

Para obtener más información sobre Security Command Center, consulta la documentación del producto.

• Los Controles del servicio de VPC no son compatibles con el acceso a los recursos de la API de Security Command Center a nivel de carpeta o de organización desde los recursos y clientes dentro de un perímetro de servicio. Los Controles del servicio de VPC protegen los recursos de la API de Security Command Center a nivel del proyecto. Puedes especificar una política de salida para evitar el acceso a los recursos de la API de Security Command Center a nivel del proyecto desde los proyectos dentro del perímetro.
• Los Controles del servicio de VPC no admiten agregar recursos a la API de Security Command Center a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de la API de Security Command Center a nivel de carpeta o de organización. Para administrar los permisos de Security Command Center a nivel de la organización o de la carpeta, te recomendamos usar IAM.
• Los Controles del servicio de VPC no son compatibles con el servicio de postura de seguridad porque los recursos de postura de seguridad (como las posturas, las implementaciones de posturas y las plantillas de posturas predefinidas) son recursos a nivel de la organización.
• No puedes exportar resultados a nivel de la organización o la carpeta a los destinos dentro de un perímetro de servicio.
• Debes habilitar el acceso perimetral en las siguientes situaciones:
  • Cuando habilitas las notificaciones de resultados a nivel de la organización o la carpeta, y el tema de Pub/Sub está dentro de un perímetro de servicio.
  • Cuando exportas datos a BigQuery desde el nivel de la carpeta o la organización, y BigQuery se encuentra dentro de un perímetro de servicio.
  • Cuando integras Security Command Center con un producto de SIEM o SOAR, y el producto se implementa dentro de un perímetro de servicio en un entorno de Google Cloud. Entre los SIEM y SOAR compatibles, se incluyen Splunk y IBM QRadar.

La API de Atención al cliente de Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la Atención al cliente de Cloud, consulta la documentación del producto.

La API de Vertex AI Agent Builder - Vertex AI Search se puede proteger con los Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el compilador de agentes de Vertex AI: Vertex AI Search, consulta la documentación del producto.

La integración de Vertex AI Agent Builder - Vertex AI Search con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Confidential Space se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Confidential Space, consulta la documentación del producto.

Para usar la protección de los Controles del servicio de VPC cuando te conectas a la consola en serie de una instancia de máquina virtual (VM), debes especificar una regla de entrada para el perímetro de servicio. Cuando configures la regla de entrada, el nivel de acceso de la fuente debe ser un valor basado en IP y el nombre del servicio debe establecerse en ssh-serialport.googleapis.com. La regla de entrada es necesaria para acceder a la consola serie, incluso si la solicitud de origen y el recurso de destino están en el mismo perímetro.

Para obtener más información sobre la consola serie, consulta la documentación del producto.

Para obtener más información sobre Google Cloud VMware Engine, consulta la documentación del producto.

Para obtener información sobre cómo controlar el acceso a Dataform con los Controles del servicio de VPC, consulta Configura los Controles del servicio de VPC para Dataform.

Para obtener más información sobre Dataform, consulta la documentación del producto.

El Web Security Scanner y los Controles del servicio de VPC están sujetos a diferentes Condiciones del Servicio. Revisa las condiciones de cada producto para obtener más información.

Web Security Scanner envía los resultados a Security Command Center a pedido. Puedes ver o descargar los datos desde el panel de Security Command Center.

Para obtener más información sobre Web Security Scanner, consulta la documentación del producto.

La integración de Web Security Scanner con los Controles del servicio de VPC no tiene limitaciones conocidas.

• Debes configurar Certificate Authority Service con una AC que funcione antes de crear instancias de los Controles del servicio de VPC de Secure Source Manager.
• Debes configurar Private Service Connect antes de acceder a la instancia de los Controles del servicio de VPC de Secure Source Manager.

Para obtener más información sobre Secure Source Manager, consulta la documentación del producto.

• Se puede ignorar la infracción del registro de auditoría de SERVICE_NOT_ALLOWED_FROM_VPC causada por las limitaciones de GKE.
• Para abrir la interfaz web de los Controles del servicio de VPC con un navegador, este debe tener acceso a las siguientes URLs:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Por ejemplo, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

La API de claves de API se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre las claves de API, consulta la documentación del producto.

La integración de las claves de API con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Controls Partner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la Consola para socios en Sovereign Controls by Partners, consulta la documentación del producto.

La API de Microservices se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre los microservicios, consulta la documentación del producto.

La integración de Microservices con los Controles del servicio de VPC no tiene limitaciones conocidas.

Los servicios earthengine.googleapis.com y earthengine-highvolume.googleapis.com se agrupan. Cuando restringes el servicio earthengine.googleapis.com a un perímetro, este restringe el servicio earthengine-highvolume.googleapis.com de forma predeterminada. No puedes agregar el servicio earthengine-highvolume.googleapis.com a la lista de servicios restringidos en un perímetro porque se agrupa con earthengine.googleapis.com.

Para obtener más información sobre Earth Engine, consulta la documentación del producto.

App Hub te permite descubrir y organizar los recursos de infraestructura en aplicaciones. Puedes usar los perímetros de los Controles del servicio de VPC para proteger los recursos de App Hub.

Para obtener más información sobre App Hub, consulta la documentación del producto.

La API de Cloud Code se puede proteger con los Controles del servicio de VPC. Para usar las funciones potenciadas por Gemini en Cloud Code, se debe configurar una política de entrada para permitir el tráfico de los clientes de IDE. Consulta la documentación de Gemini para obtener más información.

Para obtener más información sobre Cloud Code, consulta la documentación del producto.

La integración de Cloud Code con los Controles del servicio de VPC no tiene limitaciones conocidas.

El perímetro de los Controles del servicio de VPC protege la API de Commerce Org Governance para Google Private Marketplace.

Para obtener más información sobre la API de Commerce Org Governance, consulta la documentación del producto.

Para restringir el tráfico de Internet, usa las políticas de la organización. Invoca los métodos CREATE o UPDATE de la API de Contact Center de Google Cloud como servicio para aplicar las restricciones de la política de la organización de forma manual.

Para obtener más información sobre Google Cloud Contact Center as a Service, consulta la documentación del producto.

La integración de Contact Center as a Service de Google Cloud con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Privileged Access Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Privileged Access Manager, consulta la documentación del producto.

La API de Audit Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Audit Manager, consulta la documentación del producto.