Productos y limitaciones admitidos

Google Cloud Search es compatible con los controles de seguridad de la nube privada virtual (VPC-SC) para mejorar la seguridad de los datos. VPC-SC te permite definir un perímetro de seguridad alrededor de los recursos de Google Cloud Platform para limitar los datos y mitigar los riesgos de robo de datos.

Para obtener más información sobre Cloud Search, consulta la documentación del producto.

La API de pruebas de conectividad se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre las pruebas de conectividad, consulta la documentación del producto.

La integración de pruebas de conectividad con los Controles del servicio de VPC no tiene limitaciones conocidas.

Los Controles del servicio de VPC admiten la predicción en línea, pero no la predicción por lotes.

Para obtener más información sobre AI Platform Prediction, consulta la documentación del producto.

Se puede proteger la API de AI Platform Training con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre AI Platform Training, consulta la documentación del producto.

La API de Notebooks se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Notebooks, consulta la documentación del producto.

La API de Vertex AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Vertex AI, consulta la documentación del producto.

La API para Apigee y Apigee Hybrid se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Apigee y Apigee Hybrid, consulta la documentación del producto.

La API de Anthos Service Mesh se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

• Obtén más información sobre cómo configurar clústeres privados cuando se instalan varios clústeres en Anthos Service Mesh.
• Obtén más información sobre cómo agregar servicios de Anthos Service Mesh a los perímetros de servicio.

Para obtener más información sobre Anthos Service Mesh, consulta la documentación del producto.

Por el momento, los perímetros de servicio no son compatibles con el plano de control administrado de Anthos Service Mesh.

Además de proteger la API de Artifact Registry, Artifact Registry se puede usar dentro de perímetros de servicio con GKE y Compute Engine.

Para obtener más información sobre Artifact Registry, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Natural Language, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Tables, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Translation, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Video Intelligence, consulta la documentación del producto.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Vision, consulta la documentación del producto.

Cuando proteges a la API de BigQuery mediante un perímetro de servicio, también se protege la API de BigQuery Storage. No es necesario que agregues por separado la API de BigQuery Storage a la lista de servicios protegidos de tu perímetro.

Para obtener más información sobre BigQuery, consulta la documentación del producto.

El perímetro de servicio solo protege la API del Servicio de transferencia de datos de BigQuery. BigQuery aplica la protección real de datos. Se diseñó para permitir la importación de datos de varias fuentes externas fuera de Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play y Google Ads, en conjuntos de datos de BigQuery.

Para obtener más información sobre el Servicio de transferencia de datos de BigQuery, consulta la documentación del producto.

La API de Cloud Bigtable se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Bigtable, consulta la documentación del producto.

La integración de Cloud Bigtable con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cuando se usan varios proyectos con Autorización binaria, cada uno debe incluirse en el perímetro de los Controles del servicio de VPC. Para obtener más información sobre este caso de uso, consulta Configuración de varios proyectos.

Con la Autorización binaria, puedes usar Container Analysis para almacenar certificadores y certificaciones como notas y casos, respectivamente. En este caso, también debes incluir Container Analysis en el perímetro de los Controles del servicio de VPC. Consulta la Guía de los Controles del servicio de VPC para Container Analysis a fin de obtener más información.

Para obtener más información sobre la Autorización binaria, consulta la documentación del producto.

La integración de la Autorización binaria con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Certificate Authority Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Certificate Authority Service, consulta la documentación del producto.

Para obtener más información sobre Data Catalog, consulta la documentación del producto.

La integración de Data Catalog con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Data Fusion requiere algunos pasos especiales para la protección mediante los Controles del servicio de VPC.

Para obtener más información sobre Cloud Data Fusion, consulta la documentación del producto.

La compatibilidad de los Controles del servicio de VPC con Compute Engine ofrece los siguientes beneficios de seguridad:

• Restringe el acceso a las operaciones sensibles de la API
• Restringe las instantáneas de discos persistentes y las imágenes personalizadas a un perímetro.
• Restringe el acceso a los metadatos de la instancia.

La compatibilidad de los Controles del servicio de VPC con Compute Engine también te permite usar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de los perímetros de servicio.

Para obtener más información sobre Compute Engine, consulta la documentación del producto.

Dataflow admite una cantidad de conectores de servicio de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:

• Cloud Storage (Java, Python)
• BigQuery (Java, Python)
• Pub/Sub (Java, Python)
• Cloud Bigtable (Java)
• Cloud Spanner (Java)

Para obtener más información sobre Dataflow, consulta la documentación del producto.

• No se admite BIND personalizado cuando se usa Dataflow. Para personalizar la resolución de DNS cuando usas Dataflow con los Controles del servicio de VPC, usa las zonas privadas de Cloud DNS, en lugar de los servidores BIND personalizados. Para usar tu resolución de DNS local, considera usar un método de reenvío de DNS de Google Cloud.

• No se verificó que todos los conectores del servicio de almacenamiento funcionen cuando se usan con Dataflow dentro de un perímetro de servicio. Para obtener una lista de los conectores verificados, consulta los Detalles de Dataflow.

• Cuando usas Python 3.5 con el SDK de Apache Beam 2.0.0-2.22.0, los trabajos de Dataflow fallarán al inicio si los trabajadores solo tienen direcciones IP privadas, como cuando se usan Controles del servicio de VPC para proteger recursos. Si los trabajadores de Dataflow solo pueden tener direcciones IP privadas, como cuando se usan los Controles del servicio de VPC para proteger los recursos, no uses Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0. Esta combinación hace que los trabajos fallen al inicio.

Dataproc requiere algunos pasos especiales para la protección mediante los Controles del servicio de VPC.

Para obtener más información sobre Dataproc, consulta la documentación del producto.

• A fin de proteger un clúster de Dataproc con un perímetro de servicio, debes seguir las instrucciones para configurar la conectividad privada y permitir que el clúster funcione dentro del perímetro.

La API de Dataproc Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Dataproc Metastore, consulta la documentación del producto.

La integración de Dataproc Metastore con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Dialogflow se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Dialogflow, consulta la documentación del producto.

La API de Cloud Data Loss Prevention se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Data Loss Prevention, consulta la documentación del producto.

La API de Cloud DNS se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud DNS, consulta la documentación del producto.

• Puedes acceder a Cloud DNS a través de la VIP restringida. Sin embargo, no puedes crear ni actualizar zonas de DNS públicas dentro de proyectos dentro del perímetro de los Controles del servicio de VPC.

La API de Document AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Document AI, consulta la documentación del producto.

La integración de Document AI con los Controles del servicio de VPC no tiene limitaciones conocidas.

Eventarc controla la entrega de eventos mediante temas de Pub/Sub y suscripciones de envío a Cloud Run. Para acceder a la API de Pub/Sub y administrar los activadores de eventos, esta debe estar protegida dentro del mismo perímetro de servicio de Controles del servicio de VPC que la API de Pub/Sub.

Para obtener más información sobre Eventarc, consulta la documentación del producto.

La integración de Eventarc con los Controles del servicio de VPC no tiene limitaciones conocidas.

Consulta la documentación de Cloud Functions para conocer los pasos de configuración. La protección de los Controles del servicio de VPC no se aplica a la fase de compilación cuando Cloud Functions se compila mediante Cloud Build. La protección de los Controles del servicio de VPC se aplica a todos los activadores de funciones, excepto los activadores de Firebase Realtime Database y de Firebase Crashlytics. Para obtener más información, consulta las limitaciones conocidas.

Para obtener más información sobre Cloud Functions, consulta la documentación del producto.

Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen la administración de funciones IAM personalizadas, la administración de los grupos de Workload Identity y la administración de cuentas de servicio y claves. El perímetro no restringe las acciones que usan otras API, incluidas las siguientes:

• API del Policy Simulator de IAM
• API del solucionador de problemas de políticas de IAM
• API del servicio de token de seguridad
• API de Service Account Credentials (incluidos los métodos signBlob y signJwt heredados en la API de IAM)

El perímetro alrededor de IAM no restringe la obtención ni la configuración de políticas de IAM para recursos pertenecientes a otros servicios, como instancias de máquinas virtuales de Compute Engine. A fin de restringir el acceso y la configuración de políticas de IAM para estos recursos, crea un perímetro que restrinja el servicio al que pertenecen los recursos. Para obtener una lista de los recursos que aceptan políticas de IAM y los servicios que los contienen, consulta Tipos de recursos que aceptan políticas de IAM.

Para obtener más información sobre Identity and Access Management, consulta la documentación del producto.

Si estás dentro del perímetro, no puedes llamar al método roles.list con una string vacía para enumerar las funciones predefinidas de IAM. Si necesitas ver las funciones predefinidas, consulta la documentación de funciones de IAM.

La API de Acceso a VPC sin servidores se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Acceso a VPC sin servidores, consulta la documentación del producto.

La integración del Acceso a VPC sin servidores con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Key Management Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Key Management Service, consulta la documentación del producto.

La integración de Cloud Key Management Service con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Game Servers se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Game Servers, consulta la documentación del producto.

La integración de Game Servers con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Identity-Aware Proxy para TCP puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Si deseas obtener más información sobre Identity-Aware Proxy para TCP, consulta la documentación del producto.

La API de Cloud Life Sciences se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Life Sciences, consulta la documentación del producto.

La integración de Cloud Life Sciences con los Controles del servicio de VPC no tiene limitaciones conocidas.

Se requiere una configuración adicional para lo siguiente:

• Acceso local a la API de Microsoft AD administrado
• VPC compartida

A fin de obtener más información sobre el servicio administrado para Microsoft Active Directory, consulta la documentación del producto.

La integración del servicio administrado para Microsoft Active Directory con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de reCAPTCHA Enterprise se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre reCAPTCHA Enterprise, consulta la documentación de productos.

La integración de reCAPTCHA Enterprise con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el recomendador, consulta la documentación del producto.

La integración de Translation con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Secret Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Secret Manager, consulta la documentación del producto.

La integración de Secret Manager con los Controles del servicio de VPC no tiene limitaciones conocidas.

La protección de los Controles del servicio de VPC se aplica a todas las operaciones de administrador, las operaciones de publicador y las operaciones de suscriptor (excepto las suscripciones de envío existentes).

Para obtener más información sobre Pub/Sub, consulta la documentación del producto.

• En proyectos protegidos por un perímetro de servicio, no se pueden crear nuevas suscripciones de envío, a menos que los extremos de envío se configuren en servicios de Cloud Run con URL run.app predeterminadas (usar dominios personalizados no funcionará). La integración de Cloud Run está en etapa de vista previa.
• No se bloquearán las suscripciones de envío de Pub/Sub creadas antes que el perímetro de servicio.

La protección de los Controles del servicio de VPC se aplica a todas las operaciones de suscriptor.

Para obtener más información sobre Pub/Sub Lite, consulta la documentación del producto.

La integración de Pub/Sub Lite con los Controles del servicio de VPC no tiene limitaciones conocidas.

Usa los Controles del servicio de VPC con grupos privados de Cloud Build para agregar seguridad adicional a tus compilaciones.

Para obtener más información sobre Cloud Build, consulta la documentación del producto.

La protección de los Controles del servicio de VPC solo está disponible para las compilaciones que se ejecutan en grupos privados.

Configura Composer para su uso con los Controles del servicio de VPC

Para obtener más información sobre Cloud Composer, consulta la documentación del producto.

• Habilitar la serialización de DAG evita que Airflow muestre una plantilla renderizada con funciones en la IU web.

• No se puede establecer la marca async_dagbag_loader en True mientras la serialización de DAG está habilitada.

• Habilitar la serialización de DAG inhabilita todos los complementos del servidor web de Airflow, ya que podrían poner en riesgo la seguridad de la red de VPC, en la que se implementa Cloud Composer. Esto no afecta el comportamiento de los complementos de trabajador o programador, incluidos los sensores y operadores de Airflow.

• Cuando Cloud Composer se ejecuta dentro de un perímetro, se restringe el acceso a los repositorios públicos de PyPI. En la documentación de Cloud Composer, consulta Instala dependencias de Python para aprender a instalar módulos de PyPi en modo de IP privada.

Para obtener más información sobre Cloud Run, consulta la documentación del producto.

La API de Cloud Spanner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Spanner, consulta la documentación del producto.

La integración de Cloud Spanner con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Storage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Storage, consulta la documentación del producto.

Los perímetros de los Controles del servicio de VPC protegen la API de Administrador de Cloud SQL.

Para obtener más información sobre Cloud SQL, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Administrador de Cloud SQL. No protegen el acceso de datos basados en IP a las instancias de Cloud SQL. Debes usar una restricción de políticas de la organización para restringir el acceso de IP pública en las instancias de Cloud SQL.

• Las importaciones y las exportaciones de Cloud SQL solo pueden realizar operaciones de lectura y escritura desde un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL.

• En el flujo de migración del servidor externo, debes agregar el bucket de Cloud Storage al mismo perímetro de servicio.
• En el flujo de creación de claves para CMEK, debes crear la clave en el mismo perímetro de servicio que los recursos que la usan.
• Cuando restableces una instancia desde una copia de seguridad, la instancia de destino debe estar en el mismo perímetro de servicio que la copia de seguridad.

La API de Video Intelligence se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Video Intelligence, consulta la documentación del producto.

La integración de la API de Video Intelligence con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud Vision, consulta la documentación del producto.

Para usar Container Analysis con los Controles del servicio de VPC, es posible que debas agregar otros servicios al perímetro de la VPC:

• Si usas notificaciones de Pub/Sub con Container Analysis, agrega Pub/Sub al perímetro de servicio.
• Si usas la API de Container Scanning, agrega tu registro al perímetro: Artifact Registry o Container Registry..

Debido a que la API de Container Scanning es una API sin superficie que almacena los resultados en Container Analysis, no necesitas protegerla con un perímetro de servicio.

Para obtener más información sobre Container Analysis, consulta la documentación del producto.

La integración de Container Analysis con los Controles del servicio de VPC no tiene limitaciones conocidas.

Además de proteger la API de Container Registry, Container Registry se puede usar en un perímetro de servicio con GKE y Compute Engine.

Para obtener más información sobre Container Registry, consulta la documentación del producto.

• Debido a que Container Registry usa el dominio gcr.io, debes configurar DNS para que *.gcr.io se asigne a private.googleapis.com o restricted.googleapis.com. Para obtener más información, consulta Protege Container Registry en un perímetro de servicio.

• Además de los contenedores que se encuentran dentro de un perímetro disponibles para Container Registry, los siguientes repositorios de solo lectura administrados por Google están disponibles para todos los proyectos, sin importar las restricciones aplicadas por los perímetros de servicio:

  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gke.gcr.io
  • k8s.gcr.io
  • mirror.gcr.io

  En todos los casos, también están disponibles las versiones multirregional de estos repositorios.

La API de Google Kubernetes Engine se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Google Kubernetes Engine, consulta la documentación del producto.

• Solo los clústeres privados se pueden proteger mediante los Controles del servicio de VPC. Los Controles del servicio de VPC no admiten clústeres con direcciones IP públicas.

La API de Resource Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Resource Manager, consulta la documentación del producto.

• Los únicos métodos de la API de Resource Manager que están protegidos son project.setIAMPolicy v1 y project.setIAMPolicy v1beta1.

Los Controles del servicio de VPC no son compatibles con los recursos de carpetas y organizaciones, por lo que no protegen los registros a nivel de carpeta y de organización. Para obtener más información, consulta las limitaciones conocidas del servicio.

Para obtener más información sobre Cloud Logging, consulta la documentación del producto.

La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Monitoring, consulta la documentación del producto.

La API de Cloud Profiler se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Profiler, consulta la documentación del producto.

La integración de Cloud Profiler con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Trace se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Trace, consulta la documentación del producto.

La integración de Cloud Trace con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud TPU se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud TPU, consulta la documentación del producto.

La integración de Cloud TPU con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Natural Language se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Natural Language, consulta la documentación del producto.

La integración de la API de Natural Language con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Network Connectivity Center se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Network Connectivity Center, consulta la documentación del producto.

La integración de Network Connectivity Center con los Controles del servicio de VPC no tiene limitaciones conocidas.

Debido a que los Controles del servicio de VPC no son compatibles con los recursos de carpeta y organización, el acceso a los recursos a través de la API de Cloud Asset a nivel de carpeta o de organización no está protegido por los Controles del servicio de VPC. Para obtener más información, consulta las limitaciones conocidas del servicio.

Para obtener más información sobre la API de Cloud Asset, consulta la documentación del producto.

• Cuando se llama a la API de Cloud Asset a nivel de organización o carpeta, se puede acceder a los datos de proyectos dentro de un perímetro de servicio que pertenecen a la organización o la carpeta. Recomendamos usar IAM para administrar los permisos de Cloud Asset Inventory a nivel de organización y de carpeta.

La API de Speech-to-Text se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Speech-to-Text, consulta la documentación del producto.

La integración de Speech-to-Text con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Text-to-Speech se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Text-to-Speech, consulta la documentación del producto.

La integración de Text-to-Speech con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Translation se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Translation, consulta la documentación del producto.

La integración de Translation con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de API Transcoder se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Transcoder, consulta la documentación del producto.

La integración de la API de Transcoder con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API para la Aprobación de acceso se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la aprobación de acceso, consulta la documentación del producto.

La integración de la aprobación de acceso con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Healthcare se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud Healthcare, consulta la documentación del producto.

La integración de la API de Cloud Healthcare con los Controles del servicio de VPC no tiene limitaciones conocidas.

Recomendamos colocar el proyecto de STS dentro del mismo perímetro de servicio que los recursos de Cloud Storage. Esto protege la transferencia y los recursos de Cloud Storage. El Servicio de transferencia de almacenamiento también admite situaciones en las que el proyecto del Servicio de transferencia de almacenamiento no está en el mismo perímetro que tus buckets de Cloud Storage, ya sea mediante el uso de un puente perimetral o de niveles de acceso.

Para obtener información sobre la configuración, consulta Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC

Servicio de transferencia de datos locales

El Servicio de transferencia de datos locales (Transferencias a las bases de datos locales) solo admite los Controles del servicio de VPC para cargas útiles de transferencia. Esto incluye situaciones en las que las transferencias de los agentes locales se agregan a una regla de entrada o un nivel de acceso que les permite acceder a los recursos del perímetro, o cuando las transferencias de los agentes locales se encuentran en un perímetro compartido con buckets de Cloud Storage de destino y servicio de transferencia para trabajos de datos locales.

A fin de obtener más información, consulta Usa transferencias a las bases de datos locales con los Controles del servicio de VPC.

No se garantiza que los metadatos de archivo, como los nombres de objetos, permanezcan dentro del perímetro. Para obtener más información, consulta Controles del servicio de VPC y metadatos.

Para obtener más información sobre el Servicio de transferencia de almacenamiento, consulta la documentación del producto.

• El servicio de transferencia de datos locales no ofrece una API y, por lo tanto, no es compatible con funciones relacionadas con las API en los Controles del servicio de VPC.

La API de Control de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Control de servicios, consulta la documentación del producto.

• Cuando llamas a la API de Control de servicios desde una red de VPC en un perímetro de servicio con el Control de servicios restringido, no puedes usar el método Informe del Control de servicios para informar las métricas de facturación.

La API de Memorystore para Redis se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Memorystore para Redis, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Memorystore para Redis. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Redis dentro de la misma red.

• Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Redis solo pueden leer y escribir en un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de Memorystore para Redis.

• Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Redis dentro del mismo perímetro para que las solicitudes de Redis se realicen correctamente. En cualquier momento, separar el proyecto host y el proyecto de servicio con un perímetro puede causar una falla en la instancia de Redis, además de que se bloqueen las solicitudes. Para obtener más información, consulta los requisitos de configuración de Memorystore para Redis.

La API de Memorystore para Memcached se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Memorystore para Memcached, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Memorystore para Memcached. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Memcached dentro de la misma red.

La API del Directorio de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Directorio de servicios, consulta la documentación del producto.

La integración del Directorio de servicios con los Controles del servicio de VPC no tiene limitaciones conocidas.

Transfer Appliance es compatible en su totalidad con proyectos que usan los Controles del servicio de VPC.

Transfer Appliance no ofrece una API y, por lo tanto, no es compatible con las funciones relacionadas con la API en los Controles del servicio de VPC.

Para obtener más información sobre Transfer Appliance, consulta la documentación sobre productos.

• Cuando Cloud Storage está protegido por los Controles del servicio de VPC, la clave de Cloud KMS que compartes con el equipo de Transfer Appliance debe estar dentro del mismo proyecto que el bucket de destino de Cloud Storage.

Puedes llamar a la API de Acceso al SO desde los perímetros de los Controles del servicio de VPC. Para administrar el Acceso al SO desde los perímetros de los Controles del servicio de VPC, configura el Acceso al SO.

Las conexiones SSH a instancias de VM no están protegidas por los Controles del servicio de VPC.

Para obtener más información sobre el Acceso al SO, consulta la documentación del producto.

La integración de Acceso al SO con los Controles del servicio de VPC no tiene limitaciones conocidas.

Puedes llamar a la API de configuración del SO desde los perímetros de los Controles del servicio de VPC. Para usar VM Manager desde los perímetros de los Controles del servicio de VPC, configura VM Manager.

Para obtener más información sobre VM Manager, consulta la documentación del producto.

La API de Filestore se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Notebooks, consulta la documentación del producto.

La integración de Filestore con los Controles del servicio de VPC no tiene limitaciones conocidas.

La API de Container Threat Detection se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Container Threat Detection, consulta la documentación del producto.

La integración de Container Threat Detection con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para obtener más información sobre el Centro de Datos de Anuncios, consulta la documentación del producto.

La API de Cloud Traffic se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Traffic Director, consulta la documentación del producto.

La integración de Traffic Director con los Controles del servicio de VPC no tiene limitaciones conocidas.