Productos y limitaciones admitidos

Esta página contiene una tabla de productos y servicios compatibles con los Controles del servicio de VPC, así como una lista de limitaciones conocidas con ciertas interfaces y servicios.

Enumera todos los servicios compatibles

Para recuperar la lista completa de todos los productos compatibles con los Controles del servicio de VPC y servicios, ejecuta el siguiente comando:

gcloud access-context-manager supported-services list

Recibirás una respuesta con una lista de productos y servicios.

NAME                 TITLE             SERVICE_SUPPORT_STAGE   AVAILABLE_ON_RESTRICTED_VIP      KNOWN_LIMITATIONS
SERVICE_ADDRESS      SERVICE_NAME      SERVICE_STATUS          RESTRICTED_VIP_STATUS            LIMITATIONS_STATUS
.
.
.

Esta respuesta incluye los siguientes valores:

Valor Descripción
SERVICE_ADDRESS Es el nombre del servicio del producto o servicio. Por ejemplo, aiplatform.googleapis.com.
SERVICE_NAME Es el nombre del producto o servicio. Por ejemplo, Vertex AI API.
SERVICE_STATUS El estado de la integración del servicio en los Controles del servicio de VPC. Los siguientes son los valores posibles:
  • GA: La integración del servicio es completamente compatible con los perímetros de los Controles del servicio de VPC.
  • PREVIEW: La integración del servicio está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción por los perímetros de los Controles del servicio de VPC.
  • DEPRECATED: La integración de servicios está programada para cerrarse y quitarse.
RESTRICTED_VIP_STATUS Especifica si la integración del servicio con los Controles del servicio de VPC es compatible con la VIP restringida. Los siguientes son los valores posibles:
  • TRUE: La integración del servicio es completamente compatible con la VIP restringida y puede protegerse con los perímetros de los Controles del servicio de VPC.
  • FALSE: La VIP restringida no admite la integración de servicios.
Para obtener una lista completa de los servicios disponibles en la VIP restringida, consulta Servicios compatibles con la VIP restringida.
LIMITATIONS_STATUS Especifica si la integración del servicio con los Controles del servicio de VPC tiene alguna limitación. Los siguientes son los valores posibles:
  • TRUE: La integración del servicio con los Controles del servicio de VPC tiene limitaciones conocidas. Puedes consultar la entrada correspondiente del servicio en la tabla Productos compatibles para obtener más información sobre estas limitaciones.
  • FALSE: La integración del servicio con los Controles del servicio de VPC no tiene limitaciones conocidas.

Indica los métodos admitidos para un servicio

Para recuperar la lista de métodos y permisos admitidos por los Controles del servicio de VPC Para un servicio, ejecuta el siguiente comando:

gcloud access-context-manager supported-services describe SERVICE_ADDRESS

Reemplaza SERVICE_ADDRESS por el nombre del servicio o producto. Por ejemplo, aiplatform.googleapis.com

Obtendrás una respuesta con una lista de métodos y permisos.

availableOnRestrictedVip: RESTRICTED_VIP_STATUS
knownLimitations: LIMITATIONS_STATUS
name: SERVICE_ADDRESS
serviceSupportStage: SERVICE_STATUS
supportedMethods:
METHODS_LIST
.
.
.
title: SERVICE_NAME

En esta respuesta, METHODS_LIST enumera todos los métodos y permisos compatibles con los Controles del servicio de VPC para el servicio especificado. Para obtener una lista completa de todos los métodos y permisos de servicio compatibles, consulta Restricciones de los métodos de servicio compatibles.

Productos compatibles

Los controles de servicio de VPC admiten los siguientes productos:

Productos compatibles Descripción

Infrastructure Manager

Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio config.googleapis.com
Detalles

Para obtener más información sobre Infrastructure Manager, consulta la documentación del producto.

Limitaciones

Para usar Infrastructure Manager en un perímetro, haz lo siguiente:

  • Debes usar un grupo privado de Cloud Build para el grupo de trabajadores que usa Infrastructure Manager. Este grupo privado debe tener llamadas públicas a Internet habilitadas para descargar los proveedores y la configuración de Terraform. No puedes usar el grupo de trabajadores predeterminado de Cloud Build.
  • Los siguientes elementos deben estar en el mismo perímetro:
    • La cuenta de servicio que usa Infrastructure Manager.
    • El grupo de trabajadores de Cloud Build que usa Infrastructure Manager.
    • El bucket de almacenamiento que usa Infrastructure Manager. Puedes usar el bucket de almacenamiento predeterminado.
  • Administrador de cargas de trabajo

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio workloadmanager.googleapis.com
    Detalles

    Para usar Workload Manager en un perímetro de Controles del servicio de VPC, haz lo siguiente:

    • Debes usar un grupo privado de trabajadores de Cloud Build para tu entorno de implementación en Workload Manager. No puedes usar el grupo de trabajadores predeterminado de Cloud Build.
    • El grupo privado de Cloud Build debe tener llamadas públicas por Internet habilitadas para descargar la configuración de Terraform.

    Para obtener más información, consulta Usa un grupo de trabajadores privados de Cloud Build en la documentación de Workload Manager.

    Para obtener más información sobre Workload Manager, consulta el documentación del producto.

    Limitaciones

    Debes asegurarte de que los siguientes recursos estén en el mismo perímetro de servicio de los Controles del servicio de VPC:

    • Cuenta de servicio del Administrador de cargas de trabajo.
    • Grupo privado de trabajadores de Cloud Build.
    • El bucket de Cloud Storage que usa Workload Manager para la implementación.

    Google Cloud NetApp Volumes

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio netapp.googleapis.com
    Detalles

    La API de Google Cloud NetApp Volumes se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Google Cloud NetApp Volumes, consulta la documentación del producto.

    Limitaciones

    Los Controles del servicio de VPC no abarcan las rutas de plano de datos, como las operaciones de lectura y escritura del sistema de archivos de red (NFS) y el bloque de mensajes del servidor (SMB). Además, si tus proyectos host y de servicio están configurados en perímetros diferentes, puedes experimentar una interrupción en la implementación de los servicios de Google Cloud.

    Google Cloud Search

    Estado DG
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudsearch.googleapis.com
    Detalles

    Google Cloud Search es compatible con los controles de seguridad de la nube privada virtual (Controles del servicio de VPC) para mejorar la seguridad de tus datos. Los Controles del servicio de VPC te permiten definir un perímetro de seguridad alrededor de los recursos de Google Cloud Platform para limitar los datos y mitigar los riesgos de robo de datos.

    Para obtener más información sobre Google Cloud Search, consulta el documentación del producto.

    Limitaciones

    Debido a que los recursos de Cloud Search no se almacenan en un proyecto de Google Cloud, debes actualizar la configuración del cliente de Cloud Search con el proyecto protegido del perímetro de VPC El proyecto de VPC actúa como un contenedor de proyecto virtual para todos tus recursos de Cloud Search. Sin compilar esta asignación, los Controles del servicio de VPC no funcionarán para la API de Cloud Search.

    Si quieres conocer los pasos completos para habilitar los Controles del servicio de VPC con Google Cloud Search, consulta Mejora la seguridad para Google Cloud Search.

    Pruebas de conectividad

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio networkmanagement.googleapis.com
    Detalles

    La API de pruebas de conectividad se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre las pruebas de conectividad, consulta la documentación del producto.

    Limitaciones

    La integración de pruebas de conectividad con los Controles del servicio de VPC no tiene limitaciones conocidas.

    AI Platform Prediction

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio ml.googleapis.com
    Detalles

    Los Controles del servicio de VPC admiten la predicción en línea, pero no la predicción por lotes.

    Para obtener más información sobre AI Platform Prediction, consulta la documentación del producto.

    Limitaciones
    • Para proteger AI Platform Prediction por completo, agrega las siguientes API al perímetro de servicio:

      • API de AI Platform Training and Prediction (ml.googleapis.com)
      • API de Pub/Sub (pubsub.googleapis.com)
      • API de Cloud Storage (storage.googleapis.com)
      • API de Google Kubernetes Engine (container.googleapis.com)
      • API de Container Registry (containerregistry.googleapis.com)
      • API de Cloud Logging (logging.googleapis.com)

      Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Prediction.

    • La predicción por lotes no es compatible cuando usas AI Platform Prediction dentro de un perímetro de servicio.

    • AI Platform Prediction y AI Platform Training usan la API de AI Platform y la API de Prediction, por lo que debes configurar los Controles del servicio de VPC para ambos productos. Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Training.

    AI Platform Training

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio ml.googleapis.com
    Detalles

    Se puede proteger la API de AI Platform Training con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

    Para obtener más información sobre AI Platform Training, consulta la documentación del producto.

    Limitaciones
    • Para proteger por completo tus trabajos de entrenamiento de AI Platform Training, agrega las siguientes API al perímetro de servicio:

      • API de AI Platform Training and Prediction (ml.googleapis.com)
      • API de Pub/Sub (pubsub.googleapis.com)
      • API de Cloud Storage (storage.googleapis.com)
      • API de Google Kubernetes Engine (container.googleapis.com)
      • API de Container Registry (containerregistry.googleapis.com)
      • API de Cloud Logging (logging.googleapis.com)

      Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Training.

    • El entrenamiento con TPU no es compatible cuando usas AI Platform Training dentro de un perímetro de servicio.

    • AI Platform Training y AI Platform Prediction usan la API de AI Platform Training y la API de Prediction, por lo que debes configurar los Controles del servicio de VPC para ambos productos. Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Prediction.

    AlloyDB para PostgreSQL

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio alloydb.googleapis.com
    Detalles

    Los perímetros de los Controles del servicio de VPC protegen la API de AlloyDB.

    Si deseas obtener más información sobre AlloyDB para PostgreSQL, consulta la documentación del producto.

    Limitaciones

    • Antes de configurar los Controles del servicio de VPC para AlloyDB para PostgreSQL, habilita la API de Service Networking.
    • Cuando usas AlloyDB para PostgreSQL con los Controles del servicio de VPC y VPC compartidas, el proyecto host y el proyecto de servicio deben estar en el mismo perímetro de servicio de los Controles del servicio de VPC.

    Vertex AI Workbench

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio notebooks.googleapis.com
    Detalles

    La API de Vertex AI Workbench se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Vertex AI Workbench, consulta la documentación del producto.

    Limitaciones

    Para obtener información sobre las limitaciones, consulta la documentación de Vertex AI Workbench sobre los perimetros de servicio para instancias de Vertex AI Workbench, los perimetros de servicio para notebooks administrados por el usuario y los perimetros de servicio para notebooks administrados.

    Vertex AI

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio aiplatform.googleapis.com
    Detalles

    La API de Vertex AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

    Consulta Colab Enterprise.

    Para obtener más información sobre Vertex AI, consulta la documentación del producto.

    Limitaciones

    Para obtener más información, consulta las limitaciones en la documentación de Vertex AI.

    Vertex AI Vision

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio visionai.googleapis.com
    Detalles

    La API de Vertex AI Vision se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Vertex AI Vision, consulta el documentación del producto.

    Limitaciones
    Cuando constraints/visionai.disablePublicEndpoint está activado, inhabilitamos el extremo público del clúster. Los usuarios deben conectarse manualmente a PSC orientarlo y acceder a él desde la red privada. Puedes obtener el objetivo de PSC de el Recurso cluster.

    Vertex AI en Firebase

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio firebasevertexai.googleapis.com
    Detalles

    La API de Vertex AI en Firebase se puede proteger con los Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Vertex AI en Firebase, consulta la documentación del producto.

    Limitaciones
    • La API de Vertex AI en Firebase proxya el tráfico a la API de Vertex AI (aiplatform.googleapis.com).
      • Asegúrate de que aiplatform.googleapis.com esté también se agrega a la lista de servicios restringidos del servicio perímetro de servicio.
      • Cualquier limitación conocida de la API de Vertex AI se aplica a la API de Vertex AI en Firebase.
    • El tráfico a la API de Vertex AI en Firebase está diseñado para lo siguiente: se originan desde un cliente móvil o de navegador, que siempre será fuera del perímetro de servicio. Por lo tanto, debes configurar una política de entrada explícita.

      Si necesitas conectarte a la API de Vertex AI desde el solo el perímetro de servicio, considera usar la API de Vertex AI directamente o a través de uno de los SDK del servidor, Firebase Genkit o cualquiera de los otros servicios disponibles para acceder a la API de Vertex AI del lado del servidor.

    Colab Enterprise

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio aiplatform.googleapis.com
    Detalles

    La API de Colab Enterprise se puede proteger con los Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

    Colab Enterprise es parte de Vertex AI. Consulta Vertex AI.

    Colab Enterprise usa Dataform para almacenar notebooks. Consulta Dataform.

    Para obtener más información sobre Colab Enterprise, consulta la documentación del producto.

    Limitaciones

    Para obtener información sobre las limitaciones, consulta Limitaciones conocidas. en la documentación de Colab Enterprise.

    Apigee y Apigee Hybrid

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio apigee.googleapis.com,
    apigeeconnect.googleapis.com
    Detalles

    La API para Apigee y Apigee Hybrid se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

    Para obtener más información sobre Apigee y Apigee Hybrid, consulta la documentación del producto.

    Limitaciones

    Las integraciones de Apigee con los Controles del servicio de VPC tienen las siguientes limitaciones:

    Analytics Hub

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio analyticshub.googleapis.com
    Detalles Los Controles del servicio de VPC protegen los intercambios de datos y las anuncios. Para proteger compartidas y vinculada conjuntos de datos con un perímetro de servicio, usa BigQuery API. Para ver más información, consulta Analytics Hub Reglas de los Controles del servicio de VPC

    Para obtener más información sobre Analytics Hub, consulta la documentación del producto.

    Limitaciones
    Analytics Hub no admite reglas basadas en métodos y debes permitir todos los métodos. Para obtener más información, consulta Limitaciones de las reglas de los Controles del servicio de VPC de Analytics Hub.

    Cloud Service Mesh

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio meshca.googleapis.com,
    meshconfig.googleapis.com
    Detalles

    La API de Anthos Service Mesh se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Puedes usar mesh.googleapis.com para habilitar las APIs necesarias para Cloud Service Mesh. No es necesario que restrinjas mesh.googleapis.com en tu perímetro, ya que no expone ninguna API.

    Para obtener más información sobre Cloud Service Mesh, consulta la documentación del producto.

    Limitaciones

    La integración de Cloud Service Mesh con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Artifact Registry

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio artifactregistry.googleapis.com
    Detalles

    Además de proteger la API de Artifact Registry, Artifact Registry se puede usar dentro de perímetros de servicio con GKE y Compute Engine.

    Para obtener más información sobre Artifact Registry, consulta la documentación del producto.

    Limitaciones
    • Debido a que Artifact Registry usa el dominio pkg.dev, debes configurar DNS para que *.pkg.dev se asigne a private.googleapis.com o restricted.googleapis.com. Para obtener más información, consulta la sección sobre cómo proteger los repositorios en un perímetro de servicio.
    • Además de los artefactos dentro de un perímetro que están disponibles para Artifact Registry, los siguientes repositorios de solo lectura de Container Registry están disponibles para todos los proyectos, independientemente de los perímetros de servicio:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      En todos los casos, también están disponibles las versiones regionales de estos repositorios.

    Assured Workloads

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio assuredworkloads.googleapis.com
    Detalles

    La API de Assured Workloads se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Assured Workloads, consulta la documentación del producto.

    Limitaciones

    La integración entre Assured Workloads con los Controles del servicio de VPC no tiene limitaciones conocidas.

    AutoML Natural Language

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio automl.googleapis.com,
    eu-automl.googleapis.com
    Detalles

    Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

    • API de AutoML (automl.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Compute Engine (compute.googleapis.com)
    • API de BigQuery (bigquery.googleapis.com)

    Para obtener más información sobre AutoML Natural Language, consulta la documentación del producto.

    Limitaciones
    • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
    • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

    Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

    AutoML Tables

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio automl.googleapis.com,
    eu-automl.googleapis.com
    Detalles

    Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

    • API de AutoML (automl.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Compute Engine (compute.googleapis.com)
    • API de BigQuery (bigquery.googleapis.com)

    Para obtener más información sobre AutoML Tables, consulta la documentación del producto.

    Limitaciones
    • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
    • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

    Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

    AutoML Translation

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio automl.googleapis.com,
    eu-automl.googleapis.com
    Detalles

    Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

    • API de AutoML (automl.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Compute Engine (compute.googleapis.com)
    • API de BigQuery (bigquery.googleapis.com)

    Para obtener más información sobre AutoML Translation, consulta la documentación del producto.

    Limitaciones
    • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
    • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

    Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

    AutoML Video Intelligence

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio automl.googleapis.com,
    eu-automl.googleapis.com
    Detalles

    Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

    • API de AutoML (automl.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Compute Engine (compute.googleapis.com)
    • API de BigQuery (bigquery.googleapis.com)

    Para obtener más información sobre AutoML Video Intelligence, consulta la documentación del producto.

    Limitaciones
    • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
    • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

    Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

    AutoML Vision

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio automl.googleapis.com,
    eu-automl.googleapis.com
    Detalles

    Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

    • API de AutoML (automl.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Compute Engine (compute.googleapis.com)
    • API de BigQuery (bigquery.googleapis.com)

    Para obtener más información sobre AutoML Vision, consulta la documentación del producto.

    Limitaciones
    • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
    • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

    Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

    Solución Bare Metal

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? No. La API de Bare Metal Solution no se puede proteger con los perímetros de servicio. Sin embargo, la solución Bare Metal se puede usar con normalidad en proyectos dentro de un perímetro.
    Detalles

    La API de Bare Metal Solution se puede agregar a un perímetro seguro. Sin embargo, los perímetros de los Controles del servicio de VPC no se extienden al entorno de la solución Bare Metal en las extensiones regionales.

    Para obtener más información sobre la solución Bare Metal, consulta la documentación del producto.

    Limitaciones

    Conecta los Controles del servicio de VPC al entorno de la solución Bare Metal no mantiene ninguna garantía de control del servicio.

    Para obtener más información sobre la limitación de la solución Bare Metal en relación con los Controles del servicio de VPC, consulta Conocido problemas y limitaciones.

    Batch

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio batch.googleapis.com
    Detalles

    La API de Batch se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Batch, consulta la documentación del producto.

    Limitaciones
    Para proteger por completo Batch, debes incluir las siguientes APIs en tu perímetro:
    • API de Batch (batch.googleapis.com)
    • API de Cloud Logging (logging.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Container Registry (containerregistry.googleapis.com)
    • API de Artifact Registry (artifactregistry.googleapis.com)
    • API de Filestore (file.googleapis.com)

    BigLake Metastore

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio biglake.googleapis.com
    Detalles

    La API de BigLake Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre BigLake Metastore, consulta la documentación del producto.

    Limitaciones

    La integración de BigLake Metastore con los Controles del servicio de VPC no tiene limitaciones conocidas.

    BigQuery

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio bigquery.googleapis.com
    Detalles

    Cuando proteges a la API de BigQuery con un perímetro de servicio, también se protegen la API de BigQuery Storage, la API de BigQuery Reservation y la API de BigQuery Connection. No es necesario que agregues por separado estas APIs a la lista de servicios protegidos de tu perímetro.

    Para obtener más información sobre BigQuery, consulta la documentación del producto.

    Limitaciones
    • Los registros de auditoría de BigQuery no siempre incluyen todos los recursos que se usaron cuando se realizó una solicitud, debido a que el servicio procesa el acceso a varios recursos a nivel interno.

    • Cuando se accede a una instancia de BigQuery protegida por un perímetro de servicio, el trabajo de BigQuery debe ejecutarse dentro de un proyecto dentro del perímetro o en un proyecto que permita una regla de salida del perímetro. De forma predeterminada, las bibliotecas cliente de BigQuery ejecutan trabajos dentro del proyecto del usuario o de la cuenta de servicio, lo que provoca que los Controles del servicio de VPC rechacen la consulta.

    • BigQuery bloquea el guardado de los resultados de las consultas en Google Drive desde el perímetro protegido por los Controles del servicio de VPC.

    • Si otorgas acceso mediante una regla de entrada con cuentas de usuario como el tipo de identidad, no puedes ver la utilización de recursos o el Explorador de trabajos administrativos en la página Supervisión. Para usar estas funciones, configura una regla de entrada que usa ANY_IDENTITY como el tipo de identidad.

    • Los Controles del servicio de VPC solo se admiten cuando se realiza análisis a través de BigQuery Enterprise, Enterprise Plus o A pedido.

    • La API de BigQuery Reservation es parcialmente compatible. El La API de BigQuery Reservation, que crea el recurso de asignación, no aplica restricciones del perímetro de servicio en los usuarios asignados.

    API de políticas de datos de BigQuery

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio bigquerydatapolicy.googleapis.com
    Detalles

    La API de política de datos de BigQuery se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de BigQuery Data Policy, consulta el documentación del producto.

    Limitaciones

    La integración de la API de BigQuery Data Policy con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Servicio de transferencia de datos de BigQuery

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio bigquerydatatransfer.googleapis.com
    Detalles

    El perímetro de servicio solo protege la API del Servicio de transferencia de datos de BigQuery. BigQuery aplica la protección real de datos. Se diseñó para permitir la importación de datos de varias fuentes externas fuera de Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play y Google Ads, en conjuntos de datos de BigQuery. Si deseas obtener información sobre los requisitos de los Controles del servicio de VPC para migrar datos de Teradata, consulta Requisitos de los Controles del servicio de VPC.

    Para obtener más información sobre el Servicio de transferencia de datos de BigQuery, consulta la documentación del producto.

    Limitaciones
    • El Servicio de transferencia de datos de BigQuery no admite la exportación de datos fuera de un conjunto de datos de BigQuery. Para obtener más información, consulta Exporta datos de tabla.
    • Para transferir datos entre proyectos, el proyecto de destino debe estar dentro del mismo perímetro que el proyecto de origen o, de lo contrario, una regla de salida debe permitir la transferencia de datos fuera del perímetro. Para obtener información sobre cómo configurar las reglas de salida, consulta Limitaciones en la administración de conjuntos de datos de BigQuery.
    • El Servicio de transferencia de datos de BigQuery no admite fuentes de datos de terceros para transferir datos a proyectos protegidos por un perímetro de servicio.

    API de BigQuery Migration

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio bigquerymigration.googleapis.com
    Detalles

    La API de BigQuery Migration se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de BigQuery Migration, consulta el documentación del producto.

    Limitaciones

    La integración de la API de BigQuery Migration con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Bigtable

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio bigtable.googleapis.com,
    bigtableadmin.googleapis.com
    Detalles

    Los servicios bigtable.googleapis.com y bigtableadmin.googleapis.com se agrupan. Cuando restringes el servicio bigtable.googleapis.com a un perímetro, este restringe el servicio bigtableadmin.googleapis.com de forma predeterminada. No puedes agregar el servicio bigtableadmin.googleapis.com a la lista de servicios restringidos en un perímetro porque se agrupa con bigtable.googleapis.com.

    Para obtener más información sobre Bigtable, consulta el documentación del producto.

    Limitaciones

    La integración de Bigtable con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Autorización binaria

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio binaryauthorization.googleapis.com
    Detalles

    Cuando se usan varios proyectos con Autorización binaria, cada uno debe incluirse en el perímetro de los Controles del servicio de VPC. Para obtener más información sobre este caso de uso, consulta Configuración de varios proyectos.

    Con Autorización Binaria, puedes usar Artifact Analysis para almacenar certificadores y certificaciones como notas y casos, respectivamente. En este caso, debes también incluyen Artifact Analysis en el perímetro de los Controles del servicio de VPC. Consulta la Guía de los Controles del servicio de VPC para Artifact Analysis a fin de obtener más información.

    Para obtener más información sobre la Autorización binaria, consulta la documentación del producto.

    Limitaciones

    La integración de la Autorización binaria con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Motor de nodos de cadenas de bloques

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio blockchainnodeengine.googleapis.com
    Detalles

    La API del Motor de nodos de cadenas de bloques se puede proteger con los Controles del servicio de VPC y se usan con normalidad en los perímetros de servicio.

    Para obtener más información sobre el Motor de nodos de cadenas de bloques, consulta la documentación del producto.

    Limitaciones

    Las integraciones de Blockchain Node Engine con los Controles del servicio de VPC tienen las siguientes limitaciones:

    • Los Controles del servicio de VPC solo protegen la API del Motor de nodos de cadenas de bloques. Cuando se crea un nodo, debes indicar que está destinado a una red privada configurada por el usuario con Private Service Connect.
    • El tráfico punto a punto no se ve afectado por los Controles del servicio de VPC ni por Private Service Connect, y seguirá usando la Internet pública.

    Certificate Authority Service

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio privateca.googleapis.com
    Detalles

    La API de Certificate Authority Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Certificate Authority Service, consulta la documentación del producto.

    Limitaciones
    • Para usar Certificate Authority Service en un entorno protegido, también debes agregar la API de Cloud KMS (cloudkms.googleapis.com) y la API de Cloud Storage (storage.googleapis.com) a tu perímetro de servicio.

    Config Controller

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio krmapihosting.googleapis.com
    Detalles

    Para usar Config Controller con los Controles del servicio de VPC, debes habilitar las siguientes APIs dentro de tu perímetro:

    • API de Cloud Monitoring (monitoring.googleapis.com)
    • API de Container Registry (containerregistry.googleapis.com)
    • API de Google Cloud Observability (logging.googleapis.com)
    • API del servicio de token de seguridad (sts.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)

    Si aprovisionas recursos con el controlador de configuración, debes habilitar la API para esos recursos en tu perímetro de servicio. Por ejemplo, si quieres agregar una IAM debes agregar la API de IAM (iam.googleapis.com).

    Para obtener más información sobre el controlador de configuración, consulta el documentación del producto.

    Limitaciones

    La integración del controlador de configuración con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Data Catalog

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio datacatalog.googleapis.com
    Detalles Data Catalog respeta los perímetros de forma automática ubicados alrededor de otros servicios de Google Cloud.

    Para obtener más información sobre Data Catalog, consulta la documentación del producto.

    Limitaciones

    La integración de Data Catalog con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud Data Fusion

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio datafusion.googleapis.com
    Detalles

    Cloud Data Fusion requiere algunas pasos especiales para proteger con Controles del servicio de VPC.

    Para obtener más información sobre Cloud Data Fusion, consulta la documentación del producto.

    Limitaciones
    • Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear la instancia privada de Cloud Data Fusion. No se admite la protección perimetral de instancias creadas antes de configurar los Controles del servicio de VPC.

    • Actualmente, la IU del plano de datos de Cloud Data Fusion no admite el acceso basado en la identidad con reglas de entrada o niveles de acceso.

    API de Data Lineage

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio datalineage.googleapis.com
    Detalles

    La API de Data Lineage se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre la API de Data Lineage, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Data Lineage con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Compute Engine

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio compute.googleapis.com
    Detalles

    La compatibilidad de los Controles del servicio de VPC con Compute Engine ofrece los siguientes beneficios de seguridad:

    • Restringe el acceso a las operaciones sensibles de la API
    • Restringe las instantáneas de discos persistentes y las imágenes personalizadas a un perímetro.
    • Restringe el acceso a los metadatos de la instancia.

    La compatibilidad de los Controles del servicio de VPC con Compute Engine también te permite usar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de los perímetros de servicio.

    Para obtener más información sobre Compute Engine, consulta la documentación del producto.

    Limitaciones
    • Los firewalls jerárquicos no se ven afectados por los perímetros de servicio.

    • Las operaciones de intercambio de tráfico de VPC no imponen restricciones en el perímetro de servicio de la VPC.

    • El método de la API projects.ListXpnHosts para la VPC compartida no impone restricciones de perímetro de servicio en los proyectos que se muestran.

    • Con el fin de habilitar la creación de una imagen de Compute Engine desde Cloud Storage en un proyecto protegido por un perímetro de servicio, se debe agregar al usuario que crea la imagen a una regla de entrada del perímetro de forma temporal.

    • Los Controles del servicio de VPC no son compatibles con el uso de la versión de código abierto de Kubernetes en las VM de Compute Engine dentro de un perímetro de servicio.

    • La consola en serie interactiva no es compatible con la VIP restringida. Si necesitas solucionar problemas de instancia con la consola en serie, configura la resolución de DNS local para enviar tus comandos a ssh-serialport.googleapis.com a través de Internet.

    Contact Center AI Insights

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio contactcenterinsights.googleapis.com
    Detalles

    Para usar las estadísticas de Contact Center AI con los Controles del servicio de VPC, debes tener las siguientes API adicionales dentro de tu perímetro, según tu integración.

    • Para cargar datos en Contact Center AI Insights, agrega la API de Cloud Storage al perímetro de servicio.

    • Para usar la exportación, agrega la API de BigQuery a tu perímetro de servicio.

    • Para integrar varios productos de CCAI, agrega la API de Vertex AI al perímetro de servicio.

    Para obtener más información sobre Contact Center AI Insights, consulta la documentación del producto.

    Limitaciones

    La integración de Contact Center AI Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Dataflow

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dataflow.googleapis.com
    Detalles

    Dataflow admite una cantidad de conectores de servicio de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:

    Para obtener más información sobre Dataflow, consulta la documentación del producto.

    Limitaciones

    • No se admite BIND personalizado cuando se usa Dataflow. Para personalizar la resolución de DNS cuando usas Dataflow con los Controles del servicio de VPC, usa las zonas privadas de Cloud DNS, en lugar de los servidores BIND personalizados. Para usar tu resolución de DNS local, considera usar un método de reenvío de DNS de Google Cloud.

    • Un perímetro de los Controles del servicio de VPC no puede proteger el ajuste de escala automático vertical. Para usar el ajuste de escala automático vertical en un perímetro de Controles del servicio de VPC, debes inhabilitar la función de servicios accesibles de VPC.

    • Si habilitas Dataflow Prime y, luego, inicias un nuevo trabajo dentro de los Controles del servicio de VPC perímetro, el trabajo usa Dataflow Prime sin ajuste de escala automático vertical.

    • No se verificó que todos los conectores del servicio de almacenamiento funcionen cuando se usan. con Dataflow dentro de un perímetro de servicio. Para obtener una lista de conectores verificados, consulta "Detalles" en la sección anterior.

    • Cuando usas Python 3.5 con el SDK de Apache Beam 2.0.0-2.22.0, los trabajos de Dataflow fallarán al inicio si los trabajadores solo tienen direcciones IP privadas, como cuando se usan Controles del servicio de VPC para proteger recursos. Si los trabajadores de Dataflow solo pueden tener direcciones IP privadas, como cuando se usan los Controles del servicio de VPC para proteger los recursos, no uses Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0. Esta combinación hace que los trabajos fallen al inicio.

    Dataplex

    Estado DG
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dataplex.googleapis.com
    Detalles

    La API de Dataplex se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Dataplex, consulta el documentación del producto.

    Limitaciones

    Antes de crear tus recursos de Dataplex, configura los Controles del servicio de VPC perímetro de seguridad en la nube. De lo contrario, tus recursos no tendrán protección de perímetro. Dataplex admite los siguientes tipos de recursos:

    • Lake
    • Análisis del perfil de datos
    • Análisis de la calidad de los datos

    Dataproc

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dataproc.googleapis.com
    Detalles

    Dataproc requiere pasos especiales para proteger con Controles del servicio de VPC.

    Para obtener más información sobre Dataproc, consulta la documentación del producto.

    Limitaciones

    Para proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones Redes de Dataproc y Controles del servicio de VPC instrucciones.

    Dataproc sin servidores para Spark

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dataproc.googleapis.com
    Detalles

    Dataproc Serverless requiere pasos especiales para la protección mediante los Controles del servicio de VPC.

    Si deseas obtener más información sobre Dataproc Serverless para Spark, consulta la documentación del producto.

    Limitaciones

    Para proteger tu carga de trabajo sin servidores con un perímetro de servicio, sigue las Redes de Dataproc Serverless y los Controles del servicio de VPC instrucciones.

    Dataproc Metastore

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio metastore.googleapis.com
    Detalles

    La API de Dataproc Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Dataproc Metastore, consulta la documentación del producto.

    Limitaciones

    La integración de Dataproc Metastore con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Datastream

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio datastream.googleapis.com
    Detalles

    La API de Datastream se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Datastream, consulta la documentación del producto.

    Limitaciones

    La integración de Datastream con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Database Migration Service

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio datamigration.googleapis.com
    Detalles

    La API de Database Migration Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Database Migration Service, consulta la documentación del producto.

    Limitaciones
    • Los perímetros de servicio solo protegen la API de Administrador de Database Migration Service. No protegen el acceso de datos basados en IP a las bases de datos subyacentes (como las instancias de Cloud SQL). Para restringir el acceso de IP pública en las instancias de Cloud SQL, usa una restricción de políticas de la organización.
    • Cuando uses un archivo de Cloud Storage en la fase de volcado inicial de la migración, agrega el bucket de Cloud Storage al mismo perímetro de servicio.
    • Cuando usas una clave de encriptación administrada por el cliente (CMEK) en la base de datos de destino, asegúrate de que la CMEK resida en el mismo perímetro de servicio que el perfil de conexión que contiene la clave.

    Dialogflow

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dialogflow.googleapis.com
    Detalles

    La API de Dialogflow se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Dialogflow, consulta la documentación del producto.

    Limitaciones

    Sensitive Data Protection

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dlp.googleapis.com
    Detalles

    La API de Sensitive Data Protection se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre la protección de datos sensibles, consulta la documentación del producto.

    Limitaciones
    • Debido a que, actualmente, los Controles del servicio de VPC no son compatibles con recursos de la organización, las llamadas a Sensitive Data Protection pueden devolver una respuesta 403 cuando se intenta acceder recursos a nivel de la organización. Recomendamos usar IAM para administrar los permisos de Protección de datos sensibles a nivel de organización y de carpeta.

    Cloud DNS

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dns.googleapis.com
    Detalles

    La API de Cloud DNS se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud DNS, consulta la documentación del producto.

    Limitaciones

    • Puedes acceder a Cloud DNS a través de la VIP restringida. Sin embargo, no puedes crear ni actualizar zonas de DNS públicas dentro de proyectos dentro del perímetro de los Controles del servicio de VPC.

    Document AI

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio documentai.googleapis.com
    Detalles

    La API de Document AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Document AI, consulta la documentación del producto.

    Limitaciones

    La integración de Document AI con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Document AI Warehouse

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio contentwarehouse.googleapis.com
    Detalles

    La API de Document AI Warehouse se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Document AI Warehouse, consulta el documentación del producto.

    Limitaciones

    La integración de Document AI Warehouse con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud Domains

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio domains.googleapis.com
    Detalles

    La API de Cloud Domains se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Domains, consulta la documentación del producto.

    Limitaciones

    Eventarc

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio eventarc.googleapis.com
    Detalles

    Eventarc controla la entrega de eventos mediante temas de Pub/Sub y suscripciones de envío. Para acceder a la API de Pub/Sub y administrar los activadores de eventos, la API de Eventarc debe estar protegida dentro del mismo perímetro de servicio de Controles del servicio de VPC que la API de Pub/Sub.

    Para obtener más información sobre Eventarc, consulta la documentación del producto.

    Limitaciones

    En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:

    • Eventarc tiene las mismas limitaciones que Pub/Sub:
      • Cuando se enrutan eventos a destinos de Cloud Run, Pub/Sub nuevos Las suscripciones de envío no se pueden crear, a menos que los extremos de envío estén configurados como Servicios de Cloud Run con URLs run.app predeterminadas (personalizadas no funcionan).
      • Cuando enrutas eventos a destinos de Workflows para los que el extremo de envío de Pub/Sub está configurado en una ejecución de Workflows, solo puedes crear suscripciones de envío de Pub/Sub nuevas a través de Eventarc.
      En este documento, consulta el Pub/Sub del usuario.
    • Los Controles del servicio de VPC bloquean la creación de activadores de Eventarc para extremos HTTP internos. La protección de los Controles del servicio de VPC no se aplica cuando se enrutan eventos a esos destinos.

    API de Distributed Cloud Edge Network

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio edgenetwork.googleapis.com
    Detalles

    La API de Distributed Cloud Edge Network se puede proteger con los Controles del servicio de VPC y se usan con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Distributed Cloud Edge Network, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Distributed Cloud Edge Network con los Controles del servicio de VPC no tiene limitaciones conocidas.

    IA para prevención del lavado de dinero

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio financialservices.googleapis.com
    Detalles

    Los Controles del servicio de VPC pueden proteger la API de AI contra el lavado de dinero, y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la IA contra el lavado de dinero, consulta la documentación del producto.

    Limitaciones

    La integración de IA para prevención del lavado de dinero con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Verificación de aplicaciones de Firebase

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio firebaseappcheck.googleapis.com
    Detalles

    Cuando configuras y, luego, intercambias tokens de Verificación de aplicaciones de Firebase, los Controles del servicio de VPC solo protegen el servicio de Verificación de aplicaciones de Firebase. A fin de proteger los servicios que dependen de Firebase App Check, debes configurar perímetros de servicio para esos servicios.

    Para obtener más información sobre la Verificación de aplicaciones de Firebase, consulta la documentación del producto.

    Limitaciones

    La integración de Verificación de aplicaciones de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Reglas de seguridad de Firebase

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio firebaserules.googleapis.com
    Detalles

    Cuando administras las políticas de Firebase Security Rules, los Controles del servicio de VPC solo protegen el servicio de reglas de seguridad de Firebase. A fin de proteger los servicios que se basan en las reglas de seguridad de Firebase, debes configurar los permisos de los servicios para esos servicios.

    Para obtener más información sobre las reglas de seguridad de Firebase, consulta la documentación del producto.

    Limitaciones

    La integración de las reglas de seguridad de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Funciones de Cloud Run

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudfunctions.googleapis.com
    Detalles

    Consulta la documentación de las funciones de Cloud Run. para conocer los pasos de configuración. La protección de los Controles del servicio de VPC no se aplica a la fase de compilación cuando las funciones de Cloud Run se compilan con Cloud Build. Para obtener más información, consulta las limitaciones conocidas.

    Para obtener más información sobre las funciones de Cloud Run, consulta la documentación del producto.

    Limitaciones
    • Las funciones de Cloud Run usan Cloud Build, Container Registry y Cloud Storage para compilar y administrar tu código fuente en un contenedor ejecutable. Si el perímetro de servicio restringe alguno de estos servicios, los Controles del servicio de VPC bloquean la compilación de Cloud Run Functions, incluso si Cloud Run Functions no se agrega como un servicio restringido al perímetro. Si deseas usar funciones de Cloud Run dentro de un perímetro de servicio, debes configurar una regla de entrada para la cuenta de servicio de Cloud Build en el perímetro de servicio.

    • Para permitir que las funciones usen dependencias externas, como los paquetes de npm, Cloud Build tiene acceso ilimitado a Internet. Este acceso a Internet podría usarse para robar datos disponibles al momento de la compilación, como el código fuente que subiste. Si deseas mitigar este vector de robo de datos, recomendamos que solo permitas que los desarrolladores de confianza implementen funciones. No otorgar Funciones de IAM de propietario, editor o desarrollador de funciones de Cloud Run a desarrolladores que no son de confianza.

    • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT. y ANY_USER_ACCOUNT como un tipo de identidad para implementar funciones de Cloud Run desde una máquina local.

      Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

    • Cuando los activadores HTTP invocan los servicios de Cloud Run Functions, los Controles del servicio de VPC la aplicación de la política no usa la autenticación de IAM del cliente información. No se admiten las reglas de la política de entrada de los Controles del servicio de VPC que usan principales de IAM. Niveles de acceso para los perímetros de los Controles del servicio de VPC que usan No se admiten las principales de IAM.

    Identity and Access Management

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio iam.googleapis.com
    Detalles

    Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen la administración de funciones IAM personalizadas, la administración de los grupos de Workload Identity y la administración de cuentas de servicio y claves. El perímetro no restringe las acciones de los grupos de trabajadores porque estos son recursos a nivel de la organización.

    El perímetro de IAM no y restringir la administración de accesos (es decir, políticas de IAM) para los recursos que son propiedad de otros servicios como proyectos, carpetas y organizaciones de Resource Manager, o Instancias de máquina virtual de Compute Engine. Para restringir la administración de acceso para estos recursos, crea un perímetro que restrinja el servicio al que pertenecen los recursos. Para obtener una lista de recursos que aceptan de IAM y los servicios que las poseen, consulta Tipos de recursos que aceptan Políticas de IAM

    Además, el perímetro alrededor de IAM no restringe las acciones que usan otras APIs, incluidas las siguientes:

    • API del Policy Simulator de IAM
    • API del solucionador de problemas de políticas de IAM
    • API del servicio de token de seguridad
    • API de Service Account Credentials (incluidos los métodos signBlob y signJwt heredados en la API de IAM)

    Para obtener más información sobre Identity and Access Management, consulta la documentación del producto.

    Limitaciones

    Si estás dentro del perímetro, no puedes llamar al método roles.list con una string vacía para enumerar las funciones predefinidas de IAM. Si necesitas ver las funciones predefinidas, consulta la documentación de funciones de IAM.

    API de IAP Admin

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio iap.googleapis.com
    Detalles

    La API de IAP Admin permite a los usuarios configurar IAP.

    Para obtener más información sobre la API de IAP Admin, consulta la documentación del producto.

    Limitaciones

    La integración de la API de IAP Admin con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Cloud KMS Inventory

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio kmsinventory.googleapis.com
    Detalles

    La API de Cloud KMS Inventory se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Cloud KMS Inventory, consulta la documentación del producto.

    Limitaciones

    El método de la API de SearchProtectedResources no aplica restricciones de perímetro de servicio en los proyectos que se muestran.

    Credenciales de la cuenta de servicio

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio iamcredentials.googleapis.com
    Detalles

    La API de Service Account Credentials se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre las credenciales de la cuenta de servicio, consulta la documentación del producto.

    Limitaciones

    La integración de credenciales de cuentas de servicio con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de metadatos del servicio

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloud.googleapis.com
    Detalles

    La API de Service Metadata se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Service Metadata, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Service Metadata con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Acceso a VPC sin servidores

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio vpcaccess.googleapis.com
    Detalles

    La API de Acceso a VPC sin servidores se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el Acceso a VPC sin servidores, consulta la documentación del producto.

    Limitaciones

    La integración del Acceso a VPC sin servidores con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud Key Management Service

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudkms.googleapis.com
    Detalles

    La API de Cloud KMS se puede proteger con los Controles del servicio de VPC y el producto se puede usar en los perímetros de servicio. El acceso a los servicios de Cloud HSM también está protegido por los Controles del servicio de VPC y se puede usar dentro de los perímetros de servicio.

    Para obtener más información sobre Cloud Key Management Service, consulta la documentación del producto.

    Limitaciones

    La integración de Cloud Key Management Service con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Game Servers

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio gameservices.googleapis.com
    Detalles

    La API de Game Servers se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Game Servers, consulta la documentación del producto.

    Limitaciones

    La integración de Game Servers con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Gemini Code Assist

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudaicompanion.googleapis.com
    Detalles

    La API de Gemini Code Assist se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Gemini Code Assist, consulta la documentación del producto.

    Limitaciones

    El control de acceso basado en el dispositivo, la dirección IP pública o la ubicación es no es compatible con Gemini en la consola de Google Cloud.

    Identity-Aware Proxy para TCP

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio iaptunnel.googleapis.com
    Detalles

    La API de Identity-Aware Proxy para TCP puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Si deseas obtener más información sobre Identity-Aware Proxy para TCP, consulta la documentación del producto.

    Limitaciones
    • Solo un perímetro puede proteger la API de IAP para TCP. No se puede usar un perímetro para proteger la API administrativa.

    • Si deseas usar IAP para TCP dentro de un perímetro de servicio de Controles del servicio de VPC, debes agregar o configurar algunas entradas de DNS con el fin de apuntar los siguientes dominios a la VIP restringida:

      • tunnel.cloudproxy.app
      • *.tunnel.cloudproxy.app

    Cloud Life Sciences

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio lifesciences.googleapis.com
    Detalles

    La API de Cloud Life Sciences se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Life Sciences, consulta la documentación del producto.

    Limitaciones

    La integración de Cloud Life Sciences con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Servicio administrado para Microsoft Active Directory

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio managedidentities.googleapis.com
    Detalles

    Se requiere una configuración adicional para lo siguiente:

    A fin de obtener más información sobre el servicio administrado para Microsoft Active Directory, consulta la documentación del producto.

    Limitaciones

    La integración del servicio administrado para Microsoft Active Directory con los Controles del servicio de VPC no tiene limitaciones conocidas.

    reCAPTCHA

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio recaptchaenterprise.googleapis.com
    Detalles

    La API de reCAPTCHA se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre reCAPTCHA, consulta el documentación del producto.

    Limitaciones

    La integración de reCAPTCHA con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Web Risk

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio webrisk.googleapis.com
    Detalles

    La API de Web Risk se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Web Risk, consulta la documentación del producto.

    Limitaciones

    La API de evaluación y la API de envío no son compatibles con los Controles del servicio de VPC.

    Recomendador

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio recommender.googleapis.com
    Detalles

    La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el recomendador, consulta la documentación del producto.

    Limitaciones

    • Los Controles del servicio de VPC no son compatibles con organizaciones, carpetas ni cuentas de facturación de Google Cloud.

    Secret Manager

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio secretmanager.googleapis.com
    Detalles

    La API de Secret Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Secret Manager, consulta la documentación del producto.

    Limitaciones

    La integración de Secret Manager con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Pub/Sub

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio pubsub.googleapis.com
    Detalles

    La protección de los Controles del servicio de VPC se aplica a todas las operaciones de administrador, las operaciones de publicador y las operaciones de suscriptor (excepto las suscripciones de envío existentes).

    Para obtener más información sobre Pub/Sub, consulta la documentación del producto.

    Limitaciones

    En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:

    • No se pueden crear nuevas suscripciones de envío, a menos que los extremos de envío estén configurados en Servicios de Cloud Run con URLs run.app predeterminadas o una Ejecución de Workflows (los dominios personalizados no funcionan). Para obtener más información sobre la integración con Cloud Run, consulta Usa los Controles del servicio de VPC.
    • En el caso de las suscripciones que no son push, debes crear una suscripción en el mismo perímetro que el tema o habilitar reglas de salida para permitir el acceso del tema a la suscripción.
    • Cuando enrutas eventos a través de Eventarc a Workflows objetivos para los que el extremo de envío está configurado en una ejecución de Workflows, solo puede crear nuevas suscripciones de envío a través de Eventarc.
    • Las suscripciones a Pub/Sub creadas antes que el perímetro de servicio se no se bloqueó.

    Pub/Sub Lite

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio pubsublite.googleapis.com
    Detalles

    La protección de los Controles del servicio de VPC se aplica a todas las operaciones de suscriptor.

    Para obtener más información sobre Pub/Sub Lite, consulta la documentación del producto.

    Limitaciones

    La integración de Pub/Sub Lite con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud Build

    Estado DG. Esta integración de productos es compatible con los Controles del servicio de VPC. Consulta los detalles y las limitaciones para obtener más información.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudbuild.googleapis.com
    Detalles

    Usa los Controles del servicio de VPC con grupos privados de Cloud Build para agregar seguridad adicional a tus compilaciones.

    Para obtener más información sobre Cloud Build, consulta la documentación del producto.

    Limitaciones

    Cloud Deploy

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio clouddeploy.googleapis.com
    Detalles

    La API de Cloud Deploy se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Deploy, consulta la documentación del producto.

    Limitaciones

    Para usar Cloud Deploy en un perímetro, debes usar un grupo privado de Cloud Build para los entornos de ejecución de destino. No uses el grupo de trabajadores predeterminado (Cloud Build) y no uses un grupo híbrido.

    Cloud Composer

    Estado DG
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio composer.googleapis.com
    Detalles

    Configura Composer para su uso con los Controles del servicio de VPC

    Para obtener más información sobre Cloud Composer, consulta la documentación del producto.

    Limitaciones

    • Habilitar la serialización de DAG evita que Airflow muestre una plantilla renderizada con funciones en la IU web.

    • No se puede establecer la marca async_dagbag_loader en True mientras la serialización de DAG está habilitada.

    • Habilitar la serialización de DAG inhabilita todos los complementos del servidor web de Airflow, ya que podrían poner en riesgo la seguridad de la red de VPC, en la que se implementa Cloud Composer. Esto no afecta el comportamiento de los complementos de trabajador o programador, incluidos los sensores y operadores de Airflow.

    • Cuando Cloud Composer se ejecuta dentro de un perímetro, se restringe el acceso a los repositorios públicos de PyPI. En la documentación de Cloud Composer, consulta Instala dependencias de Python para aprender a instalar módulos de PyPi en modo de IP privada.

    Cuotas de Cloud

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudquotas.googleapis.com
    Detalles

    La API de Cloud Quotas se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre las cuotas de Cloud, consulta la documentación del producto.

    Limitaciones
    • Debido a que los Controles del servicio de VPC aplican límites a nivel de proyecto, las solicitudes de Cloud Quotas que se originan en clientes dentro del perímetro solo pueden acceder a los recursos de la organización si esta configura una regla de salida.
    • Cuando se solicita una disminución de la cuota, Cloud Quotas ejecuta una llamada de servicio a servicio (S2S) a Monitoring.

      Esta llamada S2S no se origina dentro del perímetro, incluso si la solicitud de disminución sí, por lo que los Controles del servicio de VPC la bloquearán.

      Para evitar este problema, puedes hacer lo siguiente:

    Si deseas configurar una regla de entrada o salida, consulta las instrucciones de los Controles del servicio de VPC para configuración las políticas de entrada y salida.

    Cloud Run

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio run.googleapis.com
    Detalles Se requiere una configuración adicional para Cloud Run. Sigue las instrucciones de la página de documentación de Controles del servicio de VPC de Cloud Run.

    Para obtener más información sobre Cloud Run, consulta la documentación del producto.

    Limitaciones
    • En el caso de Artifact Registry y Container Registry, el registro en el que almacenas tu contenedor debe estar en el mismo perímetro de los Controles del servicio de VPC que el proyecto en el que realizas la implementación. El código que se compila debe estar en el mismo perímetro de los Controles del servicio de VPC que el registro al que se envía el contenedor.
    • La función de implementación continua de Cloud Run no está disponible para los proyectos alojados en un perímetro de Controles del servicio de VPC.
    • Cuando se invocan los servicios de Cloud Run, los Controles del servicio de VPC la aplicación de la política no usa la autenticación de IAM del cliente información. Estas solicitudes tienen las siguientes limitaciones:
      • Reglas de la política de entrada de los Controles del servicio de VPC que usan IAM no se admiten las principales.
      • Niveles de acceso para los perímetros de los Controles del servicio de VPC que usan IAM no se admiten las principales.
    • La aplicación forzosa de la política de salida de los Controles del servicio de VPC solo se garantiza cuando se usa la dirección IP virtual (VIP) restringida.
    • Se permiten las solicitudes del mismo proyecto en VIP no restringidos, incluso si Cloud Run no está configurado como un servicio accesible de VPC.

    Cloud Scheduler

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudscheduler.googleapis.com
    Detalles Los Controles del servicio de VPC se aplican en las siguientes acciones:
    • Creación de trabajos de Cloud Scheduler
    • Actualizaciones de trabajos de Cloud Scheduler

    Para obtener más información sobre Cloud Scheduler, consulta la documentación del producto.

    Limitaciones
    Los Controles del servicio de VPC admiten tareas de Cloud Scheduler solo con los siguientes destinos:
    • Extremos functions.net de funciones de Cloud Run
    • Extremos run.app de Cloud Run
    • API de Dataflow (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
    • Canalizaciones de datos (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
    • Pub/Sub (debe estar en el mismo proyecto de Google Cloud que tu tarea de Cloud Scheduler)

    Spanner

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio spanner.googleapis.com
    Detalles

    La API de Spanner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Spanner, consulta el documentación del producto.

    Limitaciones

    La integración de Spanner con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Speaker ID

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio speakerid.googleapis.com
    Detalles

    La API de Speaker ID se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Speak ID, consulta la documentación del producto.

    Limitaciones

    La integración de Speaker ID con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud Storage

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio storage.googleapis.com
    Detalles

    La API de Cloud Storage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Storage, consulta la documentación del producto.

    Limitaciones
    • Cuando usas la función Pagos del solicitante con un bucket de almacenamiento dentro de un perímetro de servicio que protege al servicio de Cloud Storage, no puedes identificar un proyecto para pagar que esté fuera del perímetro. El proyecto de destino debe estar en el mismo perímetro que el bucket de almacenamiento o en un puente perimetral con el proyecto del bucket.

      Para obtener más información sobre los Pagos del solicitante, consulta los Requisitos de uso y acceso de los Pagos del solicitante.

    • En cuanto a los proyectos en un perímetro de servicio, no es posible acceder a la página de Cloud Storage en la consola de Google Cloud si la API de Cloud Storage está protegida por ese perímetro. Si deseas otorgar acceso a la página, debes crear una regla de entrada o un nivel de acceso que incluya las cuentas de usuario o el rango de IP público al que deseas permitir que acceda a la API de Cloud Storage.

    • En los registros de auditoría, el campo resourceName no identifica el proyecto que posee un bucket. El proyecto debe descubrirse por separado.

    • En los registros de auditoría, el valor de methodName no siempre es correcto. Te recomendamos que no filtres los registros de auditoría de Cloud Storage por el methodName.

    • En algunos casos, los registros de buckets heredados de Cloud Storage se pueden escribir en destinos fuera del perímetro de servicio, incluso cuando se niega el acceso.

    • En algunos casos, se puede acceder a los objetos de Cloud Storage públicos, incluso después de habilitar los Controles del servicio de VPC en los objetos. Se puede acceder a los objetos hasta que venzan en las memorias de almacenamiento en caché integradas y en otras memorias caché ascendentes de la red entre el usuario final y Cloud Storage. Cloud Storage almacena en caché los datos de acceso público de forma predeterminada en la red de Cloud Storage. Para obtener más información sobre cómo se almacenan en caché los objetos de Cloud Storage, consulta Cloud Storage. Para obtener información sobre el tiempo que puede almacenarse en caché un objeto, consulta Metadatos de control de caché.
    • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usa ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como una identidad para todas las operaciones de Cloud Storage que usan URLs firmadas.

      Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

    • Las URLs firmadas admiten los Controles del servicio de VPC.

      Los Controles del servicio de VPC usan las credenciales de firma del usuario o la cuenta de servicio que firmó la URL firmada para evaluar las verificaciones de los Controles del servicio de VPC, no la credencial del llamador o del usuario que inicia la conexión.

    Cloud Tasks

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudtasks.googleapis.com
    Detalles

    La API de Cloud Tasks se puede proteger con los Controles del servicio de VPC y la producto se puede usar normalmente dentro de los perímetros de servicio.

    Las solicitudes HTTP de las ejecuciones de Cloud Tasks se admiten de la siguiente manera:

    • Se permiten las solicitudes autenticadas a las funciones y los extremos de Cloud Run que cumplen con los Controles del servicio de VPC.
    • Se bloquean las solicitudes a las funciones que no son de Cloud Run y a los extremos que no son de Cloud Run.
    • Se bloquean las solicitudes a las funciones y los extremos de Cloud Run que no cumplen con los Controles del servicio de VPC.

    Para obtener más información sobre Cloud Tasks, consulta el documentación del producto.

    Limitaciones
    Los Controles del servicio de VPC solo admiten solicitudes de Cloud Tasks para lo siguiente: destinos:
    • Extremos functions.net de funciones de Cloud Run
    • Extremos run.app de Cloud Run

    Cloud SQL

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio sqladmin.googleapis.com
    Detalles

    Los perímetros de los Controles del servicio de VPC protegen la API de Cloud SQL Admin.

    Para obtener más información sobre Cloud SQL, consulta la documentación del producto.

    Limitaciones

    • Los perímetros de servicio solo protegen la API de Administrador de Cloud SQL. No protegen el acceso de datos basados en IP a las instancias de Cloud SQL. Debes usar una restricción de políticas de la organización para restringir el acceso de IP pública en las instancias de Cloud SQL.
    • Antes de configurar los Controles del servicio de VPC para Cloud SQL, habilita la API de Service Networking.
    • Las importaciones y las exportaciones de Cloud SQL solo pueden realizar operaciones de lectura y escritura desde un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL.

    • En el flujo de migración del servidor externo, debes agregar el bucket de Cloud Storage al mismo perímetro de servicio.
    • En el flujo de creación de claves para CMEK, debes crear la clave en el mismo perímetro de servicio que los recursos que la usan.
    • Cuando restableces una instancia desde una copia de seguridad, la instancia de destino debe estar en el mismo perímetro de servicio que la copia de seguridad.

    API de Video Intelligence

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio videointelligence.googleapis.com
    Detalles

    La API de Video Intelligence se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Video Intelligence, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Video Intelligence con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Cloud Vision

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio vision.googleapis.com
    Detalles

    La API de Cloud Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Cloud Vision, consulta la documentación del producto.

    Limitaciones
    Incluso si creas una regla de salida para permitir llamadas a URL públicas desde los perímetros de los Controles del servicio de VPC, la API de Cloud Vision bloquea las llamadas a URL públicas.

    Artifact Analysis

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio containeranalysis.googleapis.com
    Detalles

    Para usar Artifact Analysis con los Controles del servicio de VPC, es posible que debas agregar otros servicios al perímetro de la VPC:

    Debido a que la API de Container Scanning es una API sin superficie que almacena los resultados en Artifact Analysis, no necesitas protegerla con un perímetro de servicio.

    Para obtener más información sobre Artifact Analysis, consulta la documentación del producto.

    Limitaciones

    La integración de Artifact Analysis con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Container Registry

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio containerregistry.googleapis.com
    Detalles

    Además de proteger la API de Container Registry, Container Registry se puede usar en un perímetro de servicio con GKE y Compute Engine.

    Para obtener más información sobre Container Registry, consulta la documentación del producto.

    Limitaciones

    • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT. y ANY_USER_ACCOUNT como un tipo de identidad para todas las operaciones de Container Registry.

      Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

    • Debido a que Container Registry usa el dominio gcr.io, debes configurar DNS para que *.gcr.io se asigne a private.googleapis.com o restricted.googleapis.com. Para obtener más información, consulta Protege Container Registry en un perímetro de servicio.

    • Además de los contenedores dentro de un perímetro que están disponibles Container Registry, los siguientes repositorios de solo lectura están disponibles para todos los proyectos, independientemente de las restricciones que apliquen los perímetros de servicio:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

      En todos los casos, también están disponibles las versiones multirregional de estos repositorios.

    Google Kubernetes Engine

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio container.googleapis.com
    Detalles

    La API de Google Kubernetes Engine se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Google Kubernetes Engine, consulta la documentación del producto.

    Limitaciones

    • Para proteger por completo la API de Google Kubernetes Engine, también debes incluir la API de Kubernetes Metadata (kubernetesmetadata.googleapis.com) en tu perímetro.
    • Solo los clústeres privados se pueden proteger mediante los Controles del servicio de VPC. Los Controles del servicio de VPC no admiten clústeres con direcciones IP públicas.
    • El ajuste de escala automático funciona independientemente de GKE. Debido a que los Controles del servicio de VPC no son compatibles con autoscaling.googleapis.com, el ajuste de escala automático no funciona. Cuando usas GKE, puedes ignorar el incumplimiento de SERVICE_NOT_ALLOWED_FROM_VPC en los registros de auditoría que se produce debido al servicio autoscaling.googleapis.com.

    API de Container Security

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio containersecurity.googleapis.com
    Detalles

    La API de Container Security se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Container Security, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Container Security con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Transmisión de imágenes

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio containerfilesystem.googleapis.com
    Detalles

    La transmisión de imágenes es una función de transmisión de datos de GKE que proporciona tiempos de extracción de imágenes de contenedor más cortos para las imágenes almacenadas en Artifact Registry. Si los Controles del servicio de VPC protegen las imágenes de contenedor y usas la transmisión de imágenes, también debes incluir la API de transmisión de imágenes en el perímetro de servicio.

    Para obtener más información sobre la transmisión de imágenes, consulta la documentación del producto.

    Limitaciones

    • Los siguientes repositorios de solo lectura están disponibles para todos los proyectos, independientemente de las restricciones que apliquen los perímetros de servicio:

      • gcr.io/anthos-baremetal-release
      • gcr.io/asci-toolchain
      • gcr.io/cloud-airflow-releaser
      • gcr.io/cloud-builders
      • gcr.io/cloud-dataflow
      • gcr.io/cloud-ingest
      • gcr.io/cloud-marketplace
      • gcr.io/cloud-ssa
      • gcr.io/cloudsql-docker
      • gcr.io/config-management-release
      • gcr.io/deeplearning-platform-release
      • gcr.io/foundry-dev
      • gcr.io/fn-img
      • gcr.io/gae-runtimes
      • gcr.io/serverless-runtimes
      • gcr.io/gke-node-images
      • gcr.io/gke-release
      • gcr.io/gkeconnect
      • gcr.io/google-containers
      • gcr.io/kubeflow
      • gcr.io/kubeflow-images-public
      • gcr.io/kubernetes-helm
      • gcr.io/istio-release
      • gcr.io/ml-pipeline
      • gcr.io/projectcalico-org
      • gcr.io/rbe-containers
      • gcr.io/rbe-windows-test-images
      • gcr.io/speckle-umbrella
      • gcr.io/stackdriver-agents
      • gcr.io/tensorflow
      • gcr.io/vertex-ai
      • gcr.io/vertex-ai-restricted
      • gke.gcr.io
      • k8s.gcr.io

    Flotas

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio gkeconnect.googleapis.com,
    gkehub.googleapis.com,
    connectgateway.googleapis.com
    Detalles

    Las API de Fleet management, incluida la puerta de enlace de Connect, se pueden proteger con los Controles del servicio de VPC, y las funciones de administración de flota se pueden usar con normalidad dentro de los perímetros de servicio. Para obtener más información, consulta lo siguiente:

    Para obtener más información sobre Fleets, consulta la documentación del producto.

    Limitaciones

    • Aunque todas las funciones de administración de flotas se pueden usar con normalidad, habilitar un perímetro de servicio alrededor de la API de Stackdriver restringe la integración de la función de flota de Policy Controller con Security Command Center.

    Resource Manager

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudresourcemanager.googleapis.com
    Detalles

    Los siguientes métodos de la API de Cloud Resource Manager se pueden proteger con los Controles del servicio de VPC:

    Para obtener más información sobre Resource Manager, consulta la documentación del producto.

    Limitaciones

    • Solo las claves de etiqueta que tienen un recurso de proyecto como elemento superior directo y los valores de etiqueta correspondientes se pueden proteger con los Controles del servicio de VPC. Cuando un proyecto se agrega a un el perímetro de los Controles del servicio de VPC, todas las claves de etiquetas y los valores de etiqueta correspondientes del proyecto se consideran recursos dentro del perímetro.
    • Las claves de etiqueta que tienen como superior un recurso de organización y sus valores de etiqueta correspondientes no se pueden incluir en un perímetro de Controles del servicio de VPC ni proteger con los Controles del servicio de VPC.
    • Los clientes dentro de un perímetro de Controles del servicio de VPC no pueden acceder a claves de etiquetas y valores correspondientes que tengan un nivel superior de un recurso de organización, a menos que exista una regla de salida que permite el acceso se establece en el perímetro. Para obtener más información sobre cómo configurar reglas de salida, consulta Reglas de entrada y salida.
    • Las vinculaciones de etiquetas se consideran recursos dentro del mismo perímetro que el recurso. al que está vinculado el valor de la etiqueta. Por ejemplo, las vinculaciones de etiquetas en una Compute Engine de un proyecto se considera que pertenece a ese proyecto, sin importar dónde se define la clave de etiqueta.
    • Algunos servicios, como Compute Engine, permiten crear vinculaciones de etiquetas con sus propias APIs de servicio, además de las APIs de servicio de Resource Manager. Por ejemplo, agregar etiquetas a una VM de Compute Engine durante la creación de recursos. Para proteger vinculaciones de etiquetas creadas o borradas con estas APIs de servicio, agrega el como compute.googleapis.com, a la lista de dominios restringidos servicios en el perímetro.
    • Las etiquetas admiten restricciones a nivel del método, por lo que puedes asignar el method_selectors a métodos de API específicos. Para obtener una lista de restricciones métodos, consulta Restricciones de métodos de servicio admitidos.
    • Los Controles del servicio de VPC ahora admiten la función de propietario en un proyecto a través de la consola de Google Cloud. No puedes enviar una invitación de propietario ni aceptar una invitación fuera de los perímetros de servicio. Si intentas aceptar una invitación desde fuera del perímetro, no se te otorgará el rol de propietario y no se mostrará ningún mensaje de error ni advertencia.

    Cloud Logging

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio logging.googleapis.com
    Detalles

    La API de Cloud Logging se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Logging, consulta la documentación del producto.

    Limitaciones
    • Los receptores de registro agregados (receptores de carpetas y organizaciones en los que includeChildren es true) pueden acceder a los datos de los proyectos dentro de un perímetro de servicio. A fin de restringir el acceso de los receptores de registros agregados a los datos dentro de un perímetro, recomendamos usar IAM para administrar los permisos de Logging en los receptores de registros agregados a nivel de carpeta o de organización.

    • Los Controles del servicio de VPC no admiten la adición de recursos de carpetas o de organizaciones a los perímetros de servicio. Por lo tanto, no puedes usar los Controles del servicio de VPC para proteger los registros a nivel de carpeta y de organización, incluidos los registros agregados. Para administrar los permisos de Logging a nivel de carpeta o de la organización, recomendamos usar IAM.

    • Si enrutas registros, mediante un receptor de registros a nivel de la organización o de la carpeta, a un recurso que protege un perímetro de servicio, debes agregar una regla de entrada al perímetro de servicio. La regla de entrada debe permitir el acceso al recurso desde la cuenta de servicio que usa el receptor de registros. Este paso no es necesario para los receptores a nivel de proyecto.

      Para obtener más información, consulta las siguientes páginas:

    • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT ni ANY_USER_ACCOUNT como un tipo de identidad para exportar registros de un receptor de Cloud Logging a un recurso de Cloud Storage.

      Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

    Administrador de certificados

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio certificatemanager.googleapis.com
    Detalles

    La API de Certificate Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el Administrador de certificados, consulta el documentación del producto.

    Limitaciones

    La integración del Administrador de certificados con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud Monitoring

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio monitoring.googleapis.com
    Detalles

    La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Monitoring, consulta la documentación del producto.

    Limitaciones
    • Los canales de notificaciones, las políticas de alertas y las métricas personalizadas se pueden usar en conjunto para el robo de datos y metadatos. Por el momento, un usuario de Monitoring puede configurar un canal de notificaciones que apunte a una entidad fuera de una organización, p. ej., “baduser@badcompany.com”. Luego, el usuario configura métricas personalizadas y las políticas de alerta correspondientes que usan el canal de notificaciones. Como resultado, mediante la manipulación de las métricas personalizadas, el usuario puede activar alertas y enviar alertas que activen notificaciones, lo que expone datos sensibles a baduser@badcompany.com por fuera del perímetro de los Controles del servicio de VPC.

    • Cualquier VM de Compute Engine o AWS que tenga el agente de Monitoring instalado debe estar dentro del perímetro de los Controles del servicio de VPC o las operaciones de escritura de métrica del agente fallarán.

    • Los Pods de GKE deben estar dentro del perímetro de los Controles del servicio de VPC o GKE Monitoring no funcionará.

    • Cuando se consultan las métricas de un alcance de métricas, solo se considera el perímetro de los Controles del servicio de VPC del proyecto de alcance para el permiso de la métrica. No se consideran los perímetros de los proyectos supervisados en el alcance de las métricas.

    • Un proyecto solo se puede agregar como proyecto supervisado a un permiso de métricas existente si ese proyecto está en el mismo perímetro de Controles de servicio de VPC que el del proyecto del permiso de las métricas.

    • Si quieres acceder a Monitoring en la consola de Google Cloud para un proyecto host protegido por un perímetro de servicio, usa una regla de entrada.

    Cloud Profiler

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudprofiler.googleapis.com
    Detalles

    La API de Cloud Profiler se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Profiler, consulta la documentación del producto.

    Limitaciones

    La integración de Cloud Profiler con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Timeseries Insights

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio timeseriesinsights.googleapis.com
    Detalles

    La API de Timeseries Insights se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre la API de Timeseries Insights, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Timeseries Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud Trace

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudtrace.googleapis.com
    Detalles

    La API de Cloud Trace se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Trace, consulta la documentación del producto.

    Limitaciones

    La integración de Cloud Trace con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Cloud TPU

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio tpu.googleapis.com
    Detalles

    La API de Cloud TPU se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud TPU, consulta la documentación del producto.

    Limitaciones

    La integración de Cloud TPU con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Natural Language

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio language.googleapis.com
    Detalles

    Para obtener más información sobre la API de Natural Language, consulta la documentación del producto.

    Limitaciones

    Como la API de Natural Language es una API sin estado y no se ejecuta en proyectos, usar los Controles del servicio de VPC para proteger la API de Natural Language no tiene ningún efecto.

    Network Connectivity Center

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio networkconnectivity.googleapis.com
    Detalles

    La API de Network Connectivity Center se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Network Connectivity Center, consulta la documentación del producto.

    Limitaciones

    La integración de Network Connectivity Center con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Cloud Asset

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudasset.googleapis.com
    Detalles

    La API de Cloud Asset se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Cloud Asset, consulta la documentación del producto.

    Limitaciones

    • Los Controles del servicio de VPC no son compatibles con el acceso a los recursos de la API de Cloud Asset a nivel de carpeta o de organización desde los recursos y clientes dentro de un perímetro de servicio. Los Controles del servicio de VPC protegen los recursos de la API de Cloud Asset a nivel de proyecto. Puedes especificar una política de salida para evitar el acceso a los recursos de la API de Cloud Asset a nivel de proyecto desde los proyectos dentro del perímetro.
    • Los Controles del servicio de VPC no admiten agregar recursos a la API de Cloud Asset a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de la API de Cloud Asset a nivel de carpeta o de organización. Para administrar los permisos de Cloud Asset Inventory a nivel de organización o carpeta, te recomendamos usar IAM.

    Speech-to-Text

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio speech.googleapis.com
    Detalles

    La API de Speech-to-Text se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Speech-to-Text, consulta la documentación del producto.

    Limitaciones

    La integración de Speech-to-Text con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Text-to-Speech

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio texttospeech.googleapis.com
    Detalles

    La API de Text-to-Speech se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Text-to-Speech, consulta la documentación del producto.

    Limitaciones

    La integración de Text-to-Speech con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Traducción

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio translate.googleapis.com
    Detalles

    La API de Translation se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Translation, consulta la documentación del producto.

    Limitaciones

    Cloud Translation avanzado (v3) es compatible con los Controles del servicio de VPC, pero no con Cloud Translation básico (v2). Para aplicar los Controles del servicio de VPC, debes usar Cloud Translation avanzado (v3). Para obtener más información sobre las diferentes ediciones, consulta la comparación entre la edición básica y la avanzada.

    API de Live Stream

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio livestream.googleapis.com
    Detalles

    Usa los Controles del servicio de VPC con la API de transmisión en vivo para proteger tu canalización.

    Para obtener más información sobre la API de Live Stream, consulta la documentación del producto.

    Limitaciones

    Para proteger los extremos de entrada con un perímetro de servicio, debes seguir las instrucciones para configurar un grupo privado y enviar transmisiones de video por Internet de entrada en un conexión.

    API de Transcoder

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio transcoder.googleapis.com
    Detalles

    La API de API Transcoder se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Transcoder, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Transcoder con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Video Stitcher

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio videostitcher.googleapis.com
    Detalles

    La API de Video Stitcher se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre la API de Video Stitcher, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Video Stitcher con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Aprobación de acceso

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio accessapproval.googleapis.com
    Detalles

    La API para la Aprobación de acceso se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la aprobación de acceso, consulta la documentación del producto.

    Limitaciones

    La integración de la aprobación de acceso con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Cloud Healthcare

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio healthcare.googleapis.com
    Detalles

    La API de Cloud Healthcare se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Cloud Healthcare, consulta la documentación del producto.

    Limitaciones

    Los Controles del servicio de VPC no son compatibles con las claves de encriptación administradas por el cliente (CMEK) en la API de Cloud Healthcare.

    Servicio de transferencia de almacenamiento

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio storagetransfer.googleapis.com
    Detalles

    Recomendamos colocar el proyecto del Servicio de transferencia de almacenamiento dentro del mismo perímetro de servicio como Cloud Storage de Google Cloud. Esto protege la transferencia y los recursos de Cloud Storage. El Servicio de transferencia de almacenamiento también admite situaciones en las que el proyecto del Servicio de transferencia de almacenamiento no está en el mismo perímetro que tus buckets de Cloud Storage, mediante una política de salida.

    Para obtener información sobre la configuración, consulta Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC

    Servicio de transferencia de datos locales

    Consulta Usa transferencias de datos locales con los Controles del servicio de VPC para obtener detalles y la información de configuración para las transferencias de datos locales.

    Para obtener más información sobre el Servicio de transferencia de almacenamiento, consulta la documentación del producto.

    Limitaciones
    La integración del servicio de transferencia de almacenamiento con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Control de servicios

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio servicecontrol.googleapis.com
    Detalles

    La API de Control de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el Control de servicios, consulta la documentación del producto.

    Limitaciones

    • Cuando llamas a la API de Service Control desde una red de VPC en un servicio perímetro con Control de servicios restringido para informar métricas de facturación o estadísticas, solo puedes usar el Informe de Control de servicios para informar las métricas de los servicios compatibles con los Controles del servicio de VPC.

    Memorystore para Redis

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio redis.googleapis.com
    Detalles

    La API de Memorystore para Redis se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Memorystore para Redis, consulta la documentación del producto.

    Limitaciones

    • Los perímetros de servicio solo protegen la API de Memorystore para Redis. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Redis dentro de la misma red.

    • Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Redis solo pueden leer y escribir en un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de Memorystore para Redis.

    • Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Redis dentro del mismo perímetro para que las solicitudes de Redis se realicen correctamente. En cualquier momento, separar el proyecto host y el proyecto de servicio con un perímetro puede causar una falla en la instancia de Redis, además de que se bloqueen las solicitudes. Para obtener más información, consulta los requisitos de configuración de Memorystore para Redis.

    Memorystore para Memcached

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio memcache.googleapis.com
    Detalles

    La API de Memorystore para Memcached se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Memorystore para Memcached, consulta la documentación del producto.

    Limitaciones

    • Los perímetros de servicio solo protegen la API de Memorystore para Memcached. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Memcached dentro de la misma red.

    Directorio de servicios

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio servicedirectory.googleapis.com
    Detalles

    La API del Directorio de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el Directorio de servicios, consulta la documentación del producto.

    Limitaciones

    La integración del Directorio de servicios con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Visual Inspection AI

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio visualinspection.googleapis.com
    Detalles

    Para proteger por completo Visual Inspection AI, incluye las siguientes APIs en tu perímetro:

    • API de Visual Inspection AI (visualinspection.googleapis.com)
    • API de Vertex AI (aiplatform.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Artifact Registry (artifactregistry.googleapis.com)
    • API de Container Registry (containerregistry.googleapis.com)

    Para obtener más información sobre Visual Inspection AI, consulta la documentación del producto.

    Limitaciones

    La integración de Visual Inspection AI con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Transfer Appliance

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? No. La API de Transfer Appliance no se puede proteger con los perímetros de servicio. Sin embargo, Transfer Appliance se puede usar con normalidad en proyectos dentro de un perímetro.
    Detalles

    Transfer Appliance es compatible en su totalidad con proyectos que usan los Controles del servicio de VPC.

    Transfer Appliance no ofrece una API y, por lo tanto, no es compatible con las funciones relacionadas con la API en los Controles del servicio de VPC.

    Para obtener más información sobre Transfer Appliance, consulta la documentación sobre productos.

    Limitaciones

    • Cuando Cloud Storage está protegido por los Controles del servicio de VPC, la clave de Cloud KMS que compartes con el equipo de Transfer Appliance debe estar dentro del mismo proyecto que el bucket de destino de Cloud Storage.

    Servicio de políticas de la organización

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio orgpolicy.googleapis.com
    Detalles

    La API de Organization Policy Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el servicio de políticas de la organización, consulta la documentación del producto.

    Limitaciones

    Los Controles del servicio de VPC no son compatibles con las restricciones de acceso a las políticas de organización a nivel de carpeta o de organización que hereda el proyecto. Los Controles del servicio de VPC protegen los recursos de la API de Organization Policy Service a nivel del proyecto.

    Por ejemplo, si una regla de entrada restringe el acceso de un usuario a la API de Organization Policy Service, El usuario obtiene un error 403 cuando consulta las políticas de la organización que se aplicaron al proyecto. Sin embargo, el usuario aún puede acceder a las políticas de la organización de la carpeta y la organización que contiene el proyecto.

    Acceso a SO

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio oslogin.googleapis.com
    Detalles

    Puedes llamar a la API de Acceso al SO desde los perímetros de los Controles del servicio de VPC. Para administrar el Acceso al SO desde los perímetros de los Controles del servicio de VPC, configura el Acceso al SO.

    Las conexiones SSH a instancias de VM no están protegidas por los Controles del servicio de VPC.

    Para obtener más información sobre el Acceso al SO, consulta la documentación del producto.

    Limitaciones

    Los métodos de Acceso al SO para leer y escribir claves SSH no aplican los perímetros de los Controles del servicio de VPC. Usa servicios accesibles de VPC para inhabilitar el acceso a las APIs de OS Login.

    Custom Service Health

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio servicehealth.googleapis.com
    Detalles

    La API de Personalized Service Health se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el estado del servicio personalizado, consulta la documentación del producto.

    Limitaciones

    Los Controles del servicio de VPC no admiten los recursos OrganizationEvents y OrganizationImpacts de la API de Service Health. Por lo tanto, no se realizarán verificaciones de políticas de los Controles del servicio de VPC cuando llames a los métodos de estos recursos. Sin embargo, puedes llamar a los métodos desde un perímetro de servicio con una VIP restringida.

    VM Manager

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio osconfig.googleapis.com
    Detalles

    Puedes llamar a la API de configuración del SO desde los perímetros de los Controles del servicio de VPC. Para usar VM Manager desde los perímetros de los Controles del servicio de VPC, configura VM Manager.

    Para obtener más información sobre VM Manager, consulta la documentación del producto.

    Limitaciones
    Para proteger por completo el VM Manager, debes incluir todas las siguientes API en tu perímetro:
    • API de configuración del SO (osconfig.googleapis.com)
    • API de Compute Engine (compute.googleapis.com)
    • API de Artifact Analysis (containeranalysis.googleapis.com)
    VM Manager no aloja el contenido del paquete ni del parche. La Administración de parches de SO usa las herramientas de actualización del sistema operativo que requieren que los parches y las actualizaciones de paquetes se puedan recuperar en la VM. Para que la aplicación de parches funcione, es posible que debas usar Cloud NAT o alojar tu propio repositorio de paquetes o servicio de Windows Server Update en tu nube privada virtual.

    Workflows

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio workflows.googleapis.com
    Detalles

    Workflows es una plataforma de organización que puede combinar los servicios de Google Cloud y las API basadas en HTTP para ejecutar servicios en el orden que definas.

    Cuando proteges a la API de Workflows mediante un perímetro de servicio, también se protege la API de Workflows Executions. No es necesario que agregues por separado workflowexecutions.googleapis.com a la lista de servicios protegidos de tu perímetro.

    Las solicitudes HTTP desde la ejecución de Workflows son compatibles de la siguiente manera:

    • Se permiten las solicitudes autenticadas a los extremos de Google Cloud que cumplen con los Controles del servicio de VPC.
    • Se permiten las solicitudes a funciones de Cloud Run y a los extremos del servicio de Cloud Run.
    • Las solicitudes a extremos de terceros se bloquean.
    • Se bloquean las solicitudes a los extremos de Google Cloud que no cumplen con los Controles del servicio de VPC.

    Para obtener más información sobre Workflows, consulta la documentación del producto.

    Limitaciones

    La integración de Workflows con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Filestore

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio file.googleapis.com
    Detalles

    La API de Filestore se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Notebooks, consulta la documentación del producto.

    Limitaciones

    • Los perímetros de servicio solo protegen la API de Filestore. Los perímetros no protegen el acceso normal a los datos NFS en las instancias de Filestore dentro de la misma red.

    • Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Filestore dentro del mismo perímetro para que la instancia de Filestore funcione correctamente. Separar el proyecto host y el proyecto de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y que no se creen instancias nuevas.

    Parallelstore

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio parallelstore.googleapis.com
    Detalles

    Para obtener más información sobre Parallelstore, consulta la documentación del producto.

    Limitaciones

    • Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Parallelstore dentro del mismo perímetro para que la instancia de Parallelstore funcione correctamente. Separa el proyecto host y el de servicio con un perímetro puede hacer que las instancias existentes no podrían no crear nuevas instancias.

    Detección de amenazas a contenedores

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio containerthreatdetection.googleapis.com
    Detalles

    La API de Container Threat Detection se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Container Threat Detection, consulta la documentación del producto.

    Limitaciones

    La integración de Container Threat Detection con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Centro de Datos de Anuncios

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio adsdatahub.googleapis.com
    Detalles

    Para obtener más información sobre el Centro de Datos de Anuncios, consulta la documentación del producto.

    Limitaciones

    El Centro de Datos de Anuncios y los Controles del servicio de VPC están sujetos a diferentes Condiciones del Servicio. Revisa las condiciones de cada producto para obtener más información.

    Ciertas funciones del Centro de Datos de Anuncios (como la activación de público personalizado, las ofertas personalizadas y las tablas de coincidencias de LiveRamp) requieren que ciertos datos del usuario se exporten fuera del perímetro de los Controles del servicio de VPC. Si se agrega el Centro de Datos de Anuncios como servicio restringido, omitirá las políticas de Controles del servicio de VPC para estas funciones a fin de conservar su funcionalidad.

    Todos los servicios dependientes deben incluirse como servicios permitidos en el mismo perímetro de Controles del servicio de VPC. Por ejemplo, dado que el Centro de Datos de Anuncios depende de BigQuery, también se debe agregar BigQuery. En general, se recomiendan todos los servicios del perímetro, es decir, “restringir todos los servicios”, en las prácticas recomendadas de los Controles del servicio de VPC.

    Los clientes con estructuras de cuentas del Centro de Datos de Anuncios de varios niveles (como las agencias con subsidiarias) deben tener todos sus proyectos de administrador en el mismo perímetro. Para simplificar, el Centro de Datos de Anuncios recomienda que los clientes con estructuras de cuenta de varios niveles restrinjan sus proyectos de administrador a la misma organización de Google Cloud.

    Cloud Service Mesh

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
    Detalles

    La API de Cloud Service Mesh se puede proteger con los Controles del servicio de VPC y el producto que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Cloud Service Mesh, consulta el documentación del producto.

    Limitaciones

    La integración de la malla de servicios de Cloud con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Servicio de tokens de seguridad

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio sts.googleapis.com
    Detalles

    Los Controles del servicio de VPC solo restringen los intercambios de tokens si el público de la solicitud es un recurso a nivel de proyecto. Por ejemplo, los Controles del servicio de VPC no restringen las solicitudes de tokens con alcance reducido, ya que esas solicitudes no tienen público. Los Controles del servicio de VPC tampoco restringen Federación de identidades de personal porque el público es un recurso a nivel de la organización.

    Para obtener más información sobre el servicio de tokens de seguridad, consulta la documentación del producto.

    Limitaciones

    La integración del servicio de tokens de seguridad con Controles del servicio de VPC no tiene limitaciones conocidas.

    Firestore/Datastore

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
    Detalles

    Los servicios firestore.googleapis.com, datastore.googleapis.com y firestorekeyvisualizer.googleapis.com se agrupan. Cuando restringes el servicio firestore.googleapis.com a un perímetro, este también restringe los servicios datastore.googleapis.com y firestorekeyvisualizer.googleapis.com.

    Para restringir el servicio datastore.googleapis.com, usa el nombre de servicio firestore.googleapis.com.

    Para obtener la protección total de salida en las operaciones de importación y exportación, debes usar el agente de servicio de Firestore. Consulta los siguientes vínculos para obtener más información:

    Para obtener más información sobre Firestore o Datastore, consulta la documentación del producto.

    Limitaciones

    Migrate to Virtual Machines

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio vmmigration.googleapis.com
    Detalles

    La API de Migrate to Virtual Machines se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Migrate to Virtual Machines, consulta la documentación del producto.

    Limitaciones

    • Para proteger por completo Migrate to Virtual Machines, agrega todo lo siguiente APIs al perímetro de servicio:

      • API de Artifact Registry (artifactregistry.googleapis.com)
      • API de Pub/Sub (pubsub.googleapis.com)
      • API de Cloud Storage (storage.googleapis.com)
      • API de Cloud Logging (logging.googleapis.com)
      • API de Container Registry (containerregistry.googleapis.com)
      • API de Secret Manager (secretmanager.googleapis.com)
      • API de Compute Engine (compute.googleapis.com)

      Para obtener más información, consulta la documentación de Migrate to Virtual Machines.

    Migration Center

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio
    • migrationcenter.googleapis.com
    • rapidmigrationassessment.googleapis.com
    Detalles

    Los Controles del servicio de VPC te permiten proteger los datos de infraestructura que recopilas con Migration Center con un perímetro de servicio.

    Para obtener más información sobre Migration Center, consulta el documentación del producto.

    Limitaciones
    • Después de habilitar el perímetro del servicio, no podrás transferir tus datos de infraestructura a StratoZone.
    • No puedes exportar informes de precios detallados con el perímetro del servicio habilitado.

    Servicio de copia de seguridad y DR

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio backupdr.googleapis.com
    Detalles

    La API para el servicio de copia de seguridad y DR se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre el servicio de Copia de seguridad y DR, consulta el documentación del producto.

    Limitaciones

    Si quitas la ruta predeterminada de Internet del proyecto del productor de servicios con el comando gcloud services vpc-peerings enable-vpc-service-controls, es posible que no puedas acceder a la consola de administración ni implementarla. Si tienes este problema, comunícate con Atención al cliente de Google Cloud.

    Copia de seguridad para GKE

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio gkebackup.googleapis.com
    Detalles

    Puedes usar los Controles del servicio de VPC a fin de proteger la copia de seguridad de GKE y usarlas con normalidad en los perímetros de servicio.

    Si deseas obtener más información sobre la Copia de seguridad para GKE, consulta la documentación del producto.

    Limitaciones

    La integración de la copia de seguridad para GKE con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Retail

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio retail.googleapis.com
    Detalles

    La API de la API de Retail se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Retail, consulta la documentación del producto.

    Limitaciones

    La integración de la API de Retail con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Application Integration

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio integrations.googleapis.com
    Detalles

    Application Integration es un sistema de administración de flujos de trabajo colaborativo que te permite para crear, aumentar, depurar y comprender los flujos de trabajo principales del sistema empresarial. Los flujos de trabajo de Application Integration constan de activadores y tareas. Existen varios tipos de activadores, como el activador de API, el activador de Pub/Sub, el cron activador/desencadenante de SFDC.

    Para obtener más información sobre Application Integration, consulta el documentación del producto.

    Limitaciones
    • Los Controles del servicio de VPC protegen los registros de integración de aplicaciones. Si usas Application Integration, verifica la compatibilidad con la integración de vpcsc con el equipo de Application Integration.

    Conectores de Integration

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio connectors.googleapis.com
    Detalles

    La API de Integration Connectors se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Integration Connectors, consulta el documentación del producto.

    Limitaciones
    • Cuando usas los Controles del servicio de VPC, si tu conexión se conecta a un recurso que no es de Google Cloud CLI, el destino de la conexión debe ser un adjunto de Private Service Connect. Las conexiones creadas sin el archivo adjunto de Private Service Connect fallan.

    • Si configuras un perímetro de servicio de Controles del servicio de VPC para tu proyecto de Google Cloud CLI, no podrás usar la función de suscripción a eventos para el proyecto.

    Error Reporting

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio clouderrorreporting.googleapis.com
    Detalles

    La API de Error Reporting se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Error Reporting, consulta el documentación del producto.

    Limitaciones
    Notificaciones que se envían cuando se encuentra un grupo de errores nuevo o recurrente contienen información sobre el grupo de errores. Para evitar el robo de datos fuera del de los Controles del servicio de VPC, asegúrate de que canales de notificaciones están dentro de tu organización.

    Cloud Workstations

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio workstations.googleapis.com
    Detalles

    La API de Cloud Workstations se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud Workstations, consulta el documentación del producto.

    Limitaciones

    • Para proteger completamente Cloud Workstations, debes restringir el la API de Compute Engine en tu perímetro de servicio cada vez que restrinjas API de Cloud Workstations.
    • Asegúrate de que la API de Google Cloud Storage, la API de Google Container Registry y la API de Artifact Registry son VPC accesible en tu servicio perímetro de servicio. Esto es necesario para extraer imágenes a tu estación de trabajo. También te recomendamos que permitas que la API de Cloud Logging y la API de Cloud Error Reporting sean accesibles para la VPC en tu perímetro de servicio, aunque esto no es obligatorio para usar las estaciones de trabajo de Cloud.
    • Asegúrate de que el clúster de tu estación de trabajo sea privado. La configuración de un clúster privado evita que se establezcan conexiones a tus estaciones de trabajo desde fuera del perímetro de servicio de tu VPC.
    • Asegúrate de inhabilitar las direcciones IP públicas en la configuración de la estación de trabajo. De lo contrario, se generarán VMs con direcciones IP públicas en tu proyecto. Te recomendamos que uses la restricción de la política de la organización constraints/compute.vmExternalIpAccess para inhabilitar las direcciones IP públicas de todas las VMs en el perímetro de servicio de tu VPC. Para obtener más información, consulta Restringe direcciones IP externas a VMs específicas.
    • Cuando te conectas a tu estación de trabajo, el control de acceso solo se basa en si el la red a la que te conectas pertenece al perímetro de seguridad. No se admite el control de acceso basado en el dispositivo, la dirección IP pública ni la ubicación.

    IDS de Cloud

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio ids.googleapis.com
    Detalles

    La API para IDS de Cloud se puede proteger con Controles del servicio de VPC, y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Cloud IDS, consulta la documentación del producto.

    Limitaciones

    IDS de Cloud usa Cloud Logging para crear registros de amenazas en tu proyecto. Si el perímetro de servicio restringe el registro de Cloud, los Controles del servicio de VPC bloquean los registros de amenazas de Cloud IDS, incluso si Cloud IDS no se agrega como un servicio restringido al perímetro. Para usar el IDS de Cloud dentro de un servicio perímetro, debes configurar una regla de entrada para el Cuenta de servicio de Cloud Logging en tu perímetro de servicio.

    Chrome Enterprise Premium

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio beyondcorp.googleapis.com
    Detalles

    Para obtener más información sobre Chrome Enterprise Premium, consulta el documentación del producto.

    Limitaciones

    La integración de Chrome Enterprise Premium con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Solucionador de problemas de políticas

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio policytroubleshooter.googleapis.com
    Detalles

    Cuando restringes la API del Solucionador de problemas de políticas con un perímetro, principales pueden solucionar problemas de políticas de permisos de IAM solo si todos los recursos involucradas en la solicitud se encuentran en el mismo perímetro. Por lo general, hay dos Recursos involucrados en una solicitud de solución de problemas:

    • El recurso para el que estás solucionando problemas de acceso. Este recurso puede ser cualquier el tipo de letra. Especificas este recurso de forma explícita cuando solucionas problemas de una política de permisos.
    • El recurso que usas para solucionar problemas de acceso. Este recurso está un proyecto, una carpeta o una organización. En la consola de Google Cloud y en gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que hayas seleccionado. En la API de REST, debes especificar este recurso con el encabezado x-goog-user-project.

      Este recurso puede ser el mismo que el recurso para el que estás solucionando el problema de acceso, pero no es necesario que lo sea.

    Si estos recursos no están en el mismo perímetro, la solicitud falla.

    Para obtener más información sobre el Solucionador de problemas de políticas, consulta el documentación del producto.

    Limitaciones

    La integración del Solucionador de problemas de políticas con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Simulador de política

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio policysimulator.googleapis.com
    Detalles

    Cuando restringes la API de Policy Simulator con un perímetro, las principales puede simular políticas de permisos solo si ciertos recursos involucrados simulación en el mismo perímetro. Hay varios recursos involucrados en una simulación:

    • El recurso cuya política de permisos estás simulando. Este recurso también se llama el objetivo recurso. En la consola de Google Cloud, este es el recurso cuya política de permisos estás editando. En gcloud CLI y API de REST, especificas este recurso de forma explícita cuando simulas un política de permisos.
    • Es el proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se llama host recurso. En la consola de Google Cloud y gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que seleccionaste. En la API de REST, especificas este recurso con el encabezado x-goog-user-project.

      Este recurso puede ser el mismo que el que estás simulando acceso, pero no tiene por qué serlo.

    • El recurso que proporciona registros de acceso para las la simulación. En una simulación, siempre hay un recurso que proporciona registros de acceso para la simulación. Este recurso varía según el tipo de recurso de destino:

      • Si simulas una política de permisos para un proyecto o una organización, El simulador recupera los registros de acceso para ese proyecto o esa organización.
      • Si simulas una política de permisos para un tipo de recurso diferente, el simulador de políticas recupera los registros de acceso de la organización o el proyecto superior de ese recurso.
      • Si estás simulando políticas de permisos de varios recursos a la vez, Policy Simulator recupera los registros de acceso de la organización o el proyecto común más cercano de los recursos.
    • Todos los recursos compatibles con políticas de permisos relevantes. Cuando Policy Simulator ejecuta una simulación, considera los permisos que pueden afectar el acceso del usuario, incluidas las políticas en los recursos principales y subordinados del recurso de destino. Como resultado, estos recursos ancestros y descendientes también participan en las simulaciones.

    Si el recurso de destino y el recurso de host no están en el mismo perímetro, la solicitud falla.

    Si el recurso de destino y el recurso que proporciona registros de acceso para la simulación no están en el mismo perímetro, la solicitud falla.

    Si el recurso de destino y algunos recursos admitidos con políticas de permiso relevantes no están en el mismo perímetro, las solicitudes se realizan correctamente, pero es posible que los resultados estén incompletos. Por ejemplo, si estás simulando una política para un proyecto en un perímetro, los resultados no incluirán la política de la organización principal del proyecto, ya que las organizaciones siempre fuera de los perímetros de los Controles del servicio de VPC. Para completar resultados, puedes configurar las reglas de entrada de entrada y salida para el perímetro.

    Para obtener más información sobre Policy Simulator, consulta la documentación del producto.

    Limitaciones

    La integración del simulador de políticas con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Contactos esenciales

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio essentialcontacts.googleapis.com
    Detalles

    La API de contactos esenciales se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre los contactos esenciales, consulta el documentación del producto.

    Limitaciones

    La integración de contactos esenciales con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Identity Platform

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio identitytoolkit.googleapis.com,
    securetoken.googleapis.com
    Detalles

    La API de Identity Platform se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

    Para obtener más información sobre Identity Platform, consulta el documentación del producto.

    Limitaciones

    • Para proteger Identity Platform por completo, agrega la API de Secure Token (securetoken.googleapis.com) a la desde el perímetro de servicio para permitir la actualización del token. securetoken.googleapis.com no aparece en la página Controles del servicio de VPC de la consola de Google Cloud. Solo puedes agregar este servicio con el gcloud access-context-manager Comando de actualización de perímetros.

    • Si tu aplicación también se integra en la función de bloqueo de funciones, agrega funciones de Cloud Run (cloudfunctions.googleapis.com) al en ese perímetro de servicio.

    • El uso de la autenticación de varios factores (MFA) basada en SMS, la autenticación por correo electrónico o los proveedores de identidad externos hace que los datos se envíen fuera del perímetro. Si no usas la MFA con SMS, autenticación por correo electrónico o proveedores de identidad de terceros, inhabilita estas funciones.

    GKE Multi-Cloud

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio gkemulticloud.googleapis.com
    Detalles

    La API de GKE Multi-Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre GKE Multi-Cloud, consulta la documentación del producto.

    Limitaciones

    • Para proteger por completo la API de múltiples nubes de GKE, también debes incluir la API de metadatos de Kubernetes (kubernetesmetadata.googleapis.com) en tu perímetro.

    API de Anthos On-Prem

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio gkeonprem.googleapis.com
    Detalles

    La API de Anthos On-Prem se puede proteger con los Controles del servicio de VPC y se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de Anthos On-Prem, consulta la documentación del producto.

    Limitaciones

    • Para proteger por completo la API de Anthos On-Prem, agrega las siguientes APIs al perímetro de servicio:

      • API de metadatos de Kubernetes (kubernetesmetadata.googleapis.com)
      • API de Cloud Monitoring (monitoring.googleapis.com)
      • API de Cloud Logging (logging.googleapis.com)
      • Ten en cuenta que los Controles del servicio de VPC no protegen contra las exportaciones de registros de Cloud Logging a nivel de carpeta o organización.

    Google Distributed Cloud (solo software) para Bare Metal

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? No. La API de Google Distributed Cloud (solo software) para Bare Metal no se puede proteger con perímetros de servicio. Sin embargo, Google Distributed Cloud (solo software) para Bare Metal se puede usar con normalidad en proyectos dentro de un perímetro.
    Detalles

    Puedes crear un clúster en tu entorno, que esté conectado a VPC mediante Cloud Interconnect o Cloud VPN.

    Para obtener más información sobre Google Distributed Cloud (solo software) para Bare Metal, consulta el documentación del producto.

    Limitaciones

    • Cuando crees o actualices un clúster con Google Distributed Cloud (solo software) para Bare Metal, usa la marca --skip-api-check en bmctl para omitir la llamada a la API de Service Usage (serviceusage.googleapis.com), ya que la API de Service Usage (serviceusage.googleapis.com) no es compatible con los Controles del servicio de VPC. Google Distributed Cloud (solo software) para Bare Metal invoca la API de Service Usage para validar que las APIs requeridas estén habilitadas en un proyecto. No se usa para validar la accesibilidad del extremo de la API.

    • Para proteger tus clústeres, usa VIP restringido en Google Distributed Cloud (solo software) para Bare Metal y agrega todas las siguientes APIs al perímetro de servicio:

      • API de Artifact Registry (artifactregistry.googleapis.com)
      • API de Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
      • API de Compute Engine (compute.googleapis.com)
      • API de Connect Gateway (connectgateway.googleapis.com)
      • API de Google Container Registry (containerregistry.googleapis.com)
      • API de GKE Connect (gkeconnect.googleapis.com)
      • API de GKE Hub (gkehub.googleapis.com)
      • API de GKE On-Prem (gkeonprem.googleapis.com)
      • API de Cloud IAM (iam.googleapis.com)
      • API de Cloud Logging (logging.googleapis.com)
      • API de Cloud Monitoring (monitoring.googleapis.com)
      • API de Config Monitoring for Ops (opsconfigmonitoring.googleapis.com)
      • API de Service Control (servicecontrol.googleapis.com)
      • API de Cloud Storage (storage.googleapis.com)

    API de On-Demand Scanning

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio ondemandscanning.googleapis.com
    Detalles

    La API de On-Demand Scanning se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la API de On-Demand Scanning, consulta la documentación del producto.

    Limitaciones

    La integración de la API de On-Demand Scanning con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Looker (Google Cloud Core)

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio looker.googleapis.com
    Detalles

    La API de Looker (Google Cloud Core) se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Looker (Google Cloud Core), consulta el documentación del producto.

    Limitaciones

    • Solo las ediciones Enterprise o Embed de las instancias de Looker (Google Cloud Core) que usan conexiones de IP privadas admiten el cumplimiento de los Controles del servicio de VPC. Las instancias de Looker (Google Cloud Core) con conexiones de IP públicas o de IP públicas y privadas no son compatibles con el cumplimiento de los Controles del servicio de VPC. Para crear una instancia que use una conexión de IP privada, selecciona IP privada en la sección Redes de la página Crear instancia de la consola de Google Cloud.

    • Cuando colocas o creas una instancia de Looker (Google Cloud Core) dentro de un perímetro de servicio de Controles del servicio de VPC, debes quitar la ruta predeterminada a Internet llamando al método services.enableVpcServiceControls o ejecutando el siguiente comando gcloud:

      gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com

    Autoridad certificadora pública

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio publicca.googleapis.com
    Detalles

    La API de Public Certificate Authority se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la AC pública, consulta la documentación del producto.

    Limitaciones

    La integración de Public Certificate Authority con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Storage Insights

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio storageinsights.googleapis.com
    Detalles

    La API de Storage Insights se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre Storage Insights, consulta la documentación del producto.

    Limitaciones

    La integración de Storage Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Canalizaciones de datos de Dataflow

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio datapipelines.googleapis.com
    Detalles

    Para proteger completamente las canalizaciones de datos de Dataflow, incluye todas las siguientes APIs en en tu perímetro:

    • API de Dataflow (dataflow.googleapis.com)
    • API de Cloud Scheduler (cloudscheduler.googleapis.com)
    • API de Container Registry (containerregistry.googleapis.com)

    Para obtener más información sobre los flujos de datos de Dataflow, consulta la documentación del producto.

    Limitaciones

    La integración de las canalizaciones de datos de Dataflow con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Security Command Center

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio securitycenter.googleapis.com,
    securitycentermanagement.googleapis.com
    Detalles

    Los Controles del servicio de VPC pueden proteger las APIs de Security Command Center, y Security Command Center se puede usar con normalidad dentro de los perímetros de servicio.

    securitycenter.googleapis.com y securitycentermanagement.googleapis.com y servicios se agrupan. Cuando restringes securitycenter.googleapis.com en un perímetro, este restringe el securitycentermanagement.googleapis.com de forma predeterminada. No puedes agregar securitycentermanagement.googleapis.com servicio a la lista de servicios restringidos de un perímetro, ya que se agrupa securitycenter.googleapis.com

    Para obtener más información sobre Security Command Center, consulta el documentación del producto.

    Limitaciones

    • Los Controles del servicio de VPC no son compatibles con el nivel de organización ni de carpeta Recursos de la API de Security Command Center desde recursos y clientes dentro de un perímetro de servicio. Controles del servicio de VPC protege los recursos de la API de Security Command Center a nivel de proyecto. Puedes especificar una política de salida para evitar acceso a recursos a nivel de proyecto de la API de Security Command Center desde proyectos dentro del perímetro.
    • Los Controles del servicio de VPC no admiten agregar recursos a la API de Security Command Center a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de la API de Security Command Center a nivel de carpeta o de organización. Administrar los permisos de Security Command Center a nivel de la organización o la carpeta, recomendamos usar IAM.
    • Los Controles del servicio de VPC no son compatibles con el servicio de postura de seguridad porque los recursos de postura de seguridad (como las posturas, las implementaciones de posturas y las plantillas de posturas predefinidas) son recursos a nivel de la organización.
    • No puedes exportar los resultados a nivel de organización o carpeta a los destinos dentro de un perímetro de servicio.
    • Debes habilitar el acceso al perímetro en las siguientes situaciones:
      • Cuando habilitas las notificaciones de resultados a nivel de la organización o la carpeta, y el tema de Pub/Sub está dentro de un perímetro de servicio.
      • Cuando exportas datos a BigQuery desde el nivel de la carpeta o la organización, y BigQuery se encuentra dentro de un perímetro de servicio.
      • Cuando integras Security Command Center con un producto de SIEM o SOAR, y el producto se implementa dentro de un perímetro de servicio en un entorno de Google Cloud. Las SIEM y SOAR compatibles incluyen Splunk y IBM Qadar.

    Atención al cliente de Cloud

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudsupport.googleapis.com
    Detalles

    La API de Atención al cliente de Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Atención al cliente de Cloud, consulta el documentación del producto.

    Limitaciones

    Los Controles del servicio de VPC protegen los datos a los que se accede a través de la API de Cloud Support, pero no protegen los datos a los que se accede a través de la consola de Google Cloud.

    Vertex AI Agent Builder: Vertex AI Search

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio discoveryengine.googleapis.com
    Detalles

    La API de Vertex AI Agent Builder: Vertex AI Search se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre el compilador de agentes de Vertex AI: Vertex AI Search, consulta la documentación del producto.

    Limitaciones

    La integración de Vertex AI Agent Builder con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Espacio confidencial

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio confidentialcomputing.googleapis.com
    Detalles

    La API de Confidential Space se puede proteger con Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Confidential Space, consulta el documentación del producto.

    Limitaciones

    Confidential Space requiere acceso de lectura a los buckets de Cloud Storage para descargar los certificados que se usan para validar su token de certificación. Si estos buckets de Cloud Storage se encuentran fuera del perímetro, debes crear la siguiente regla de salida:

      - egressTo:
          operations:
          - serviceName: storage.googleapis.com
            methodSelectors:
            - method: google.storage.objects.get
          resources:
          - projects/870449385679
          - projects/180376494128
        egressFrom:
          identityType: ANY_IDENTITY

    Consola en serie

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio ssh-serialport.googleapis.com
    Detalles

    Para usar la protección de los Controles del servicio de VPC cuando te conectes a la consola en serie Para una instancia de máquina virtual (VM), debes especificar una regla de entrada para el perímetro de servicio. Cuando configures la regla de entrada, el nivel de acceso de la fuente debe ser un valor basado en IP y el nombre del servicio debe establecerse en ssh-serialport.googleapis.com. La regla de entrada es necesaria para acceder a la consola en serie, incluso si la solicitud de origen y el recurso de destino están en el mismo perímetro.

    Para obtener más información sobre la consola en serie, consulta la documentación del producto.

    Limitaciones
    • No puedes acceder a una consola serie con el Acceso privado a Google. Puedes acceder a la consola en serie solo desde la Internet pública.
    • Cuando se usa una consola en serie, no se pueden usar reglas de entrada o salida basadas en identidades para permitir el acceso a la consola en serie.

    Google Cloud VMware Engine

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio vmwareengine.googleapis.com
    Detalles Para obtener más información sobre los Controles del servicio de VMware Engine, consulta Controles del servicio de VPC con VMware Engine.

    Para obtener más información sobre Google Cloud VMware Engine, consulta la documentación del producto.

    Limitaciones
    Cuando se agregan redes, nubes privadas, políticas de red y de intercambio de tráfico entre redes de VPC existentes a un perímetro de servicio de VPC, no se vuelven a verificar los recursos creados anteriormente para comprobar si aún cumplen con las políticas del perímetro.

    Dataform

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio dataform.googleapis.com
    Detalles

    Para obtener información sobre cómo controlar el acceso a Dataform con los Controles del servicio de VPC, consulta Configura los Controles del servicio de VPC para Dataform.

    Para obtener más información sobre Dataform, consulta la documentación del producto.

    Limitaciones
    Para usar la protección de los Controles del servicio de VPC para Dataform, debes configurar la política de la organización "dataform.restrictGitRemotes" y restringir BigQuery con el mismo perímetro de servicio que Dataform. Debes asegurarte de que se otorguen permisos de Identity and Access Management a tus cuentas de servicio que se usan en Dataform reflejan tu arquitectura de seguridad.

    Web Security Scanner

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio websecurityscanner.googleapis.com
    Detalles

    Web Security Scanner y los Controles del servicio de VPC están sujetos a diferentes condiciones del servicio. Revisa las condiciones de cada producto para conocer los detalles.

    Web Security Scanner envía los resultados a Security Command Center a pedido. Puedes ver o descargar los datos desde el panel de Security Command Center.

    Para obtener más información sobre Web Security Scanner, consulta la documentación del producto.

    Limitaciones

    La integración de Web Security Scanner con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Secure Source Manager

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio securesourcemanager.googleapis.com
    Detalles
    • Debes configurar Certificate Authority Service con una AC que funcione antes de crear instancias de los Controles del servicio de VPC de Secure Source Manager.
    • Debes configurar Private Service Connect para poder acceder a la instancia de Controles del servicio de VPC de Secure Source Manager.

    Para obtener más información sobre Secure Source Manager, consulta el documentación del producto.

    Limitaciones

    • Se puede ignorar la infracción del registro de auditoría de SERVICE_NOT_ALLOWED_FROM_VPC causada por las limitaciones de GKE.
    • Para abrir la interfaz web de los Controles del servicio de VPC con un navegador, este debe tener acceso a las siguientes URLs:
      • https://accounts.google.com
      • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
        • Por ejemplo, https://us-central1-sourcemanagerredirector-pa.client6.google.com
      • https://lh3.googleusercontent.com

    Claves de API

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio apikeys.googleapis.com
    Detalles

    La API de las claves de API se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre las claves de API, consulta la documentación del producto.

    Limitaciones

    La integración de las claves de API con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Consola para socios en Controles soberanos operados por socios

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudcontrolspartner.googleapis.com
    Detalles

    La API de Cloud Controls Partner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre la Consola de socios en Sovereign Controls by Partners, consulta la documentación del producto.

    Limitaciones
    • Este servicio debe estar restringido para todos los usuarios que no sean socios. Si eres un socio que admite los controles soberanos de socios, puedes proteger este servicio con un perímetro de servicio.

    Microservicios

    Estado Beta
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio microservices.googleapis.com
    Detalles

    La API de microservicios se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre los microservicios, consulta el documentación del producto.

    Limitaciones

    La integración de microservicios con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Earth Engine

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio earthengine.googleapis.com,
    earthengine-highvolume.googleapis.com
    Detalles

    Los servicios earthengine.googleapis.com y earthengine-highvolume.googleapis.com se agrupan. Cuando restringes earthengine.googleapis.com en un perímetro, este restringe el earthengine-highvolume.googleapis.com de forma predeterminada. No puedes agregar el servicio earthengine-highvolume.googleapis.com a la lista de servicios restringidos en un perímetro porque se agrupa con earthengine.googleapis.com.

    Para obtener más información sobre Earth Engine, consulta la documentación del producto.

    Limitaciones
    • El Editor de código de Earth Engine, un IDE basado en la Web para la API de JavaScript de Earth Engine, no es compatible, y los Controles del servicio de VPC no permiten usar el Editor de código de Earth Engine con recursos y clientes dentro de un perímetro de servicio.
    • Heredado recursos no están protegidos por los Controles del servicio de VPC.
    • Exportar a Google Drive no es compatible con los Controles del servicio de VPC.
    • Apps de Earth Engine no son compatibles con recursos ni clientes dentro de un perímetro de servicio.
    • Los Controles del servicio de VPC solo están disponibles para los planes de precios Premium y Professional de Earth Engine. Para obtener más información sobre los planes de precios, consulta Planes de Earth Engine.

    Para obtener más información sobre limitaciones y ejemplos de soluciones, consulta Earth Engine control de acceso documentación.

    App Hub

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio apphub.googleapis.com
    Detalles

    App Hub te permite descubrir y organizar los recursos de infraestructura en aplicaciones. Puedes usar los perímetros de los Controles del servicio de VPC para proteger App Hub de Google Cloud.

    Para obtener más información sobre App Hub, consulta el documentación del producto.

    Limitaciones

    Debes configurar los Controles del servicio de VPC en los proyectos de host y servicio de App Hub antes de crear una aplicación y registrar servicios y cargas de trabajo en ella. App Hub admite los siguientes tipos de recursos:

    • Aplicación
    • Servicio descubierto
    • Carga de trabajo descubierta
    • Servicio
    • Adjunto de proyecto de servicio
    • Carga de trabajo

    Cloud Code

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio cloudcode.googleapis.com
    Detalles

    La API de Cloud Code se puede proteger con los Controles del servicio de VPC. Para usar las funciones con tecnología de Gemini en Cloud Code, se debe configurar una política de entrada que permita el tráfico IDE. Mira el Gemini documentación para obtener más detalles.

    Para obtener más información sobre Cloud Code, consulta el documentación del producto.

    Limitaciones

    La integración de Cloud Code con los Controles del servicio de VPC no tiene limitaciones conocidas.

    API de Commerce Org Governance

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio commerceorggovernance.googleapis.com
    Detalles

    El perímetro de los Controles del servicio de VPC protege la API de Commerce Org Governance para el mercado privado de Google.

    Para obtener más información sobre la API de Commerce Org Governance, consulta la documentación del producto.

    Limitaciones

    Los recursos como la solicitud de adquisición y la solicitud de acceso, que la API de Commerce Org Governance crea a nivel de proyecto, aparecen a nivel de la organización y los revisa el administrador de la organización sin aplicar políticas de Controles del servicio de VPC.

    Contact Center AI Platform

    Estado DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio contactcenteraiplatform.googleapis.com
    Detalles

    Para restringir el tráfico de Internet, usa las políticas de la organización. Invoca los métodos CREATE o UPDATE de la API de Contact Center AI Platform para aplicar las restricciones de las políticas de la organización de forma manual.

    Para obtener más información sobre Contact Center AI Platform, consulta la documentación del producto.

    Limitaciones

    La integración de Contact Center AI Platform con los Controles del servicio de VPC no tiene limitaciones conocidas.

    Administrador de acceso con privilegios

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio privilegedaccessmanager.googleapis.com
    Detalles

    La API de Privileged Access Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

    Para obtener más información sobre el Administrador de acceso con privilegios, consulta el documentación del producto.

    Limitaciones
    • Los Controles del servicio de VPC no admiten la adición de recursos a nivel de la carpeta o de la organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de Privileged Access Manager a nivel de la carpeta o de la organización. Los Controles del servicio de VPC protegen los recursos de Privileged Access Manager a nivel del proyecto.
    • Para proteger el Administrador de acceso con privilegios, debes incluir las siguientes APIs en tu perímetro:
      • API de Privileged Access Manager (privilegedaccessmanager.googleapis.com)
      • API de Cloud Resource Manager (cloudresourcemanager.googleapis.com)
      • API de Cloud Logging (logging.googleapis.com)
      • API de Cloud Asset (cloudasset.googleapis.com)

    Administrador de auditorías

    Estado Vista previa. La integración de este producto con los Controles del servicio de VPC está en versión preliminar y está lista para pruebas y usos más amplios, pero no es totalmente compatible con la producción entornos de prueba.
    ¿Protección con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
    Nombre del servicio auditmanager.googleapis.com
    Detalles

    La API de Audit Manager se puede proteger con los Controles del servicio de VPC y el producto se puede que se usan normalmente dentro de los perímetros de servicio.

    Para obtener más información sobre Audit Manager, consulta la documentación del producto.

    Limitaciones
    • No puedes usar un perímetro para proteger los recursos del Administrador de auditoría a nivel de la carpeta o de la organización. Para administrar los permisos de Audit Manager a nivel de la organización o de la carpeta, te recomendamos usar IAM.
    • Debes habilitar el acceso al perímetro con reglas de entrada y salida en las siguientes situaciones:

    Para obtener más información, consulta servicios compatibles y no admitidos.

    Servicios admitidos de VIP restringida

    La IP virtual (VIP) restringida permite que las VM que se encuentran dentro del perímetro de servicio realicen llamadas a los servicios de Google Cloud sin exponer las solicitudes a Internet. Para obtener una lista completa de los servicios disponibles en la VIP restringida, consulta Servicios compatibles con la VIP restringida.

    Servicios no compatibles

    Intentar restringir un servicio no compatible mediante la herramienta de línea de comandos de gcloud o la API de Access Context Manager generará un error.

    Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

    Otras limitaciones conocidas

    En esta sección, se describen las limitaciones conocidas con determinadas interfaces, productos y servicios de Google Cloud que pueden surgir cuando se usan los Controles del servicio de VPC.

    Para conocer las limitaciones de los productos que son compatibles con los Controles del servicio de VPC, consulta la tabla de productos compatibles.

    Para obtener más información sobre cómo resolver problemas de los Controles del servicio de VPC, consulta la página Soluciona problemas.

    API de AutoML

    Cuando usas la API de AutoML con Controles del servicio de VPC, se aplican las siguientes limitaciones:

    • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

    • AutoML Vision, AutoML Natural Language, AutoML Translation AutoML Tables y AutoML Video Intelligence . usan la API de AutoML.

      Cuando usas un perímetro de servicio para proteger a automl.googleapis.com, se ve afectado el acceso a todos los productos de AutoML integrados en los Controles del servicio de VPC y que se usan dentro del perímetro. Debes configurar tu perímetro de los Controles del servicio de VPC para todos los productos integrados de AutoML que se usan dentro de ese perímetro.

      Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

      • API de AutoML (automl.googleapis.com)
      • API de Cloud Storage (storage.googleapis.com)
      • API de Compute Engine (compute.googleapis.com)
      • API de BigQuery (bigquery.googleapis.com)

    App Engine

    • App Engine (tanto en el entorno estándar como en el flexible) no es compatible con los Controles del servicio de VPC. No incluyas proyectos de App Engine en perímetros de servicio.

      Sin embargo, es posible permitir que las aplicaciones de App Engine creadas en proyectos fuera de los perímetros de servicio lean y escriban datos en servicios protegidos dentro de perímetros. Para permitir que tu app acceda a los datos de servicios protegidos, crea un nivel de acceso que incluya la cuenta de servicio de App Engine del proyecto. Esto no permite que App Engine se use dentro de perímetros de servicio.

    Solución Bare Metal

    • Conectar los Controles del servicio de VPC a tu entorno de la solución Bare Metal no brinda ninguna garantía de control de servicio.

    • La API de Bare Metal Solution se puede agregar a un perímetro seguro. Sin embargo, los perímetros de los Controles del servicio de VPC no se extienden al entorno de la solución Bare Metal en las extensiones regionales.

    Motor de nodos de cadenas de bloques

    • Los Controles del servicio de VPC solo protegen la API de Blockchain Node Engine. Cuando se crea un nodo, aún debes indicar que está destinado a un privada configurada por el usuario Private Service Connect.

    • El tráfico punto a punto no se ve afectado por los Controles del servicio de VPC ni por Private Service Connect, y seguirá usando la Internet pública.

    Bibliotecas cliente

    • Las bibliotecas cliente de Java y Python para todos los servicios compatibles son totalmente compatibles con el acceso mediante VIP restringida. La asistencia para otros lenguajes se encuentra en etapa Alfa y solo se debe usar con fines de prueba.

    • Los clientes deben usar las bibliotecas cliente que se actualizaron a partir del 1 de noviembre de 2018 o posteriores.

    • Las claves de la cuenta de servicio o los metadatos de cliente de OAuth2 que usan los clientes deben contar con la actualización del 1 de noviembre de 2018 o posterior. Los clientes más antiguos que usan el extremo del token deben cambiar al extremo especificado en los metadatos clave de material/cliente más recientes.

    Facturación de Cloud

    • Puedes exportar los datos de la Facturación de Cloud a Cloud Storage bucket o instancia de BigQuery en un proyecto protegido por un desde el perímetro de servicio sin configurar un nivel de acceso o una regla de entrada.

    Cloud Deployment Manager

    • Deployment Manager no es compatible con los Controles del servicio de VPC. Los usuarios pueden llamar a servicios que cumplan con los Controles del servicio de VPC, pero no deben confiar en esto, ya que podrían fallar en el futuro.

    • Como solución alternativa, puedes agregar la cuenta de servicio de Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) a los niveles de acceso para permitir llamadas a las APIs protegidas por los Controles del servicio de VPC.

    Cloud Shell

    Los Controles del servicio de VPC no son compatibles con Cloud Shell. Los Controles del servicio de VPC tratan a Cloud Shell como fuera de los perímetros de servicio y rechazan el acceso a los datos que estos protegen. Sin embargo, los Controles del servicio de VPC permite el acceso a Cloud Shell si un dispositivo que cumple con los nivel de acceso del perímetro de servicio inicia Cloud Shell.

    Consola de Google Cloud

    • Dado que solo se puede acceder a la consola de Google Cloud a través de Internet, se la trata como si estuviera fuera de los perímetros de servicio. Cuando aplicas un perímetro de servicio, la interfaz de la consola de Google Cloud para los servicios que protegiste puede volverse inaccesible de manera parcial o total. Por ejemplo, si protegiste Logging con el perímetro, no podrás acceder a la interfaz de Logging en la consola de Google Cloud.

      Para permitir el acceso desde la consola de Google Cloud a los recursos protegidos por un perímetro, debes crear un nivel de acceso para un rango de IP pública que incluya las máquinas de los usuarios que desean usar la consola de Google Cloud con API protegidas. Por ejemplo, puedes agregar el rango de IP pública de la puerta de enlace NAT de tu red privada a un nivel de acceso y, luego, asignar ese nivel de acceso al perímetro de servicio.

      Si deseas limitar el acceso de la consola de Google Cloud al perímetro solo a un conjunto específico de usuarios, también puedes agregar esos usuarios a un nivel de acceso. En ese caso, solo los usuarios especificados podrían acceder a la consola de Google Cloud.

    • Las solicitudes a través de la consola de Google Cloud desde una red con el Acceso privado a Google habilitado, incluidas las redes habilitadas implícitamente por Cloud NAT, podrían bloquearse incluso si la red de origen y el recurso de destino solicitantes están en el mismo perímetro. Esto se debe a que el acceso a la consola de Google Cloud a través del acceso privado a Google no es compatible con los controles del servicio de VPC.

    Acceso privado a servicios

    • El acceso privado a servicios admite implementar una instancia de servicio en un Red de VPC compartida. Si usas esta configuración con los Controles del servicio de VPC, asegúrate de que el proyecto host que proporciona la red y el proyecto de servicio que contiene que la instancia de servicio estén dentro de los mismos Controles del servicio de VPC perímetro de servicio. De lo contrario, es posible que se bloqueen las solicitudes y que las instancias de servicio no funcionen correctamente.

      Para obtener más información sobre los servicios que admiten el acceso privado a servicios, consulta Servicios compatibles.

    GKE Multi-Cloud

    • Los Controles del servicio de VPC solo se aplican a los recursos dentro de en un proyecto final. El entorno de nube de terceros que aloja tus clústeres de GKE Multi-cloud no ofrece ninguna garantía de control de servicio.

    Google Distributed Cloud

    • Los Controles del servicio de VPC solo se aplican a las máquinas Bare Metal conectadas a proyectos de red de VPC que usan VIP restringidas.

    • Los servicios de OpenID Connect (OIDC) y Protocolo ligero de acceso a directorios (LDAP) deben estar en el mismo perímetro de Controles del servicio de VPC. Las solicitudes a extremos externos están bloqueadas.

    Centro de migraciones

    • Después de habilitar el perímetro de servicio, no podrás transferir tu los datos de infraestructura a StratoZone.

    • No puedes exportar informes de precios detallados con un perímetro de servicio habilitado.

    Federación de identidades de personal

    • La federación de identidades de personal no es compatible con los Controles del servicio de VPC. Los grupos de trabajadores son recursos a nivel de la organización, y los Controles del servicio de VPC no son compatibles con los recursos a nivel de la organización.

    ¿Qué sigue?