Productos y limitaciones admitidos

Esta página contiene una tabla de productos y servicios compatibles con los Controles del servicio de VPC, así como una lista de limitaciones conocidas con ciertas interfaces y servicios.

Productos compatibles

Los controles de servicio de VPC admiten los siguientes productos:

Productos compatibles Descripción

AI Platform Prediction

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`ml.googleapis.com beta`
Detalles	Los Controles del servicio de VPC admiten la predicción en línea, pero no la predicción por lotes. Para obtener más información sobre AI Platform Prediction, consulta la documentación del producto.
Limitaciones	Para proteger AI Platform Prediction por completo, agrega las siguientes API al perímetro de servicio: API de AI Platform Training and Prediction (`ml.googleapis.com`) API de Pub/Sub (`pubsub.googleapis.com`) API de Cloud Storage (`storage.googleapis.com`) API de Google Kubernetes Engine (`container.googleapis.com`) API de Container Registry (`containerregistry.googleapis.com`) API de Cloud Logging (`logging.googleapis.com`) Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Prediction. La predicción por lotes no es compatible cuando usas AI Platform Prediction dentro de un perímetro de servicio. AI Platform Prediction y AI Platform Training usan la API de AI Platform y la API de Prediction, por lo que debes configurar los Controles del servicio de VPC para ambos productos. Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Training.

AI Platform Training

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`ml.googleapis.com beta`
Detalles	Se puede proteger la API de AI Platform Training con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio. Para obtener más información sobre AI Platform Training, consulta la documentación del producto.
Limitaciones	Para proteger por completo tus trabajos de entrenamiento de AI Platform Training, agrega las siguientes API al perímetro de servicio: API de AI Platform Training and Prediction (`ml.googleapis.com`) API de Pub/Sub (`pubsub.googleapis.com`) API de Cloud Storage (`storage.googleapis.com`) API de Google Kubernetes Engine (`container.googleapis.com`) API de Container Registry (`containerregistry.googleapis.com`) API de Cloud Logging (`logging.googleapis.com`) Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Training. El entrenamiento con TPU no es compatible cuando usas AI Platform Training dentro de un perímetro de servicio. AI Platform Training y AI Platform Prediction usan la API de AI Platform Training y la API de Prediction, por lo que debes configurar los Controles del servicio de VPC para ambos productos. Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Prediction.

AI Platform Notebooks

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`notebooks.googleapis.com`
Detalles	La API de AI Platform Notebooks se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio. Para obtener más información sobre AI Platform Notebooks, consulta la documentación del producto.
Limitaciones	Para usar AI Platform Notebooks dentro de un perímetro de servicio de los Controles del servicio de VPC, debes agregar o configurar varias entradas de DNS con el fin de apuntar los siguientes dominios a la VIP restringida: .notebooks.googleapis.com .datalab.cloud.google.com .notebooks.cloud.google.com .notebooks.googleusercontent.com

Apigee y Apigee Hybrid

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`apigee.googleapis.com, apigeeconnect.googleapis.com`
Detalles	La API para Apigee y Apigee Hybrid se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio. Para obtener más información sobre Apigee y Apigee Hybrid, consulta la documentación del producto.
Limitaciones	Las integraciones de Apigee con los Controles del servicio de VPC tienen las siguientes limitaciones: Si usas portales, debes usar Drupal. No puedes usar portales integrados. Debes implementar portales de Drupal dentro del perímetro de servicio.

Anthos Service Mesh

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`meshca.googleapis.com`
Detalles	La API de Anthos Service Mesh se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Anthos Service Mesh, consulta la documentación del producto.
Limitaciones	Los perímetros de servicio solo pueden proteger a la API de la autoridad certificada de la malla de servicios de Cloud. Puedes agregar un perímetro de servicio para proteger el espacio de nombres de identidad.

Artifact Registry

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`artifactregistry.googleapis.com`
Detalles	Además de proteger la API de Artifact Registry, Artifact Registry se puede usar dentro de perímetros de servicio con GKE y Compute Engine. Para obtener más información sobre Artifact Registry, consulta la documentación del producto.
Limitaciones	Debido a que no usa el dominio `googleapis.com`, Artifact Registry debe configurarse mediante DNS privado o BIND para mapear a la VIP restringida de manera independiente a las demás API. Para obtener más información, consulta la sección sobre cómo proteger los repositorios en un perímetro de servicio. Además de los artefactos dentro de un perímetro que están disponibles para Artifact Registry, los siguientes repositorios de solo lectura de Container Registry que administra Google están disponibles para todos los proyectos, independientemente de los perímetros de servicio: gcr.io/asci-toolchain gcr.io/cloud-airflow-releaser gcr.io/cloud-builders gcr.io/cloud-dataflow gcr.io/cloud-marketplace gcr.io/cloud-ssa gcr.io/cloudsql-docker gcr.io/config-management-release gcr.io/foundry-dev gcr.io/fn-img gcr.io/gke-node-images gcr.io/gke-release gcr.io/google-containers gcr.io/kubeflow gcr.io/kubeflow-images-public gcr.io/kubernetes-helm gcr.io/istio-release gcr.io/ml-pipeline gcr.io/projectcalico-org gcr.io/rbe-containers gcr.io/rbe-windows-test-images gcr.io/speckle-umbrella gcr.io/stackdriver-agents gcr.io/tensorflow gke.gcr.io k8s.gcr.io En todos los casos, también están disponibles las versiones regionales de estos repositorios. Las imágenes almacenadas en caché en `mirror.gcr.io` solo estarán disponibles si Container Registry también está en el perímetro.

AutoML Natural Language

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`automl.googleapis.com, eu-automl.googleapis.com`
Detalles	Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro: API de AutoML (`automl.googleapis.com`) API de Cloud Storage (`storage.googleapis.com`) API de Compute Engine (`compute.googleapis.com`) API de BigQuery (`bigquery.googleapis.com`) Para obtener más información sobre AutoML Natural Language, consulta la documentación del producto.
Limitaciones	Todos los productos de AutoML integrados a los Controles del servicio de VPC usan la misma dirección del servicio. Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Tables

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`automl.googleapis.com, eu-automl.googleapis.com`
Detalles	Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro: API de AutoML (`automl.googleapis.com`) API de Cloud Storage (`storage.googleapis.com`) API de Compute Engine (`compute.googleapis.com`) API de BigQuery (`bigquery.googleapis.com`) Para obtener más información sobre AutoML Tables, consulta la documentación del producto.
Limitaciones	Todos los productos de AutoML integrados a los Controles del servicio de VPC usan la misma dirección del servicio. Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Translation

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`automl.googleapis.com, eu-automl.googleapis.com`
Detalles	Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro: API de AutoML (`automl.googleapis.com`) API de Cloud Storage (`storage.googleapis.com`) API de Compute Engine (`compute.googleapis.com`) API de BigQuery (`bigquery.googleapis.com`) Para obtener más información sobre AutoML Translation, consulta la documentación del producto.
Limitaciones	Todos los productos de AutoML integrados a los Controles del servicio de VPC usan la misma dirección del servicio. Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Video Intelligence

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`automl.googleapis.com, eu-automl.googleapis.com`
Detalles	Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro: API de AutoML (`automl.googleapis.com`) API de Cloud Storage (`storage.googleapis.com`) API de Compute Engine (`compute.googleapis.com`) API de BigQuery (`bigquery.googleapis.com`) Para obtener más información sobre AutoML Video Intelligence, consulta la documentación del producto.
Limitaciones	Todos los productos de AutoML integrados a los Controles del servicio de VPC usan la misma dirección del servicio. Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Vision

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`automl.googleapis.com, eu-automl.googleapis.com`
Detalles	Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro: API de AutoML (`automl.googleapis.com`) API de Cloud Storage (`storage.googleapis.com`) API de Compute Engine (`compute.googleapis.com`) API de BigQuery (`bigquery.googleapis.com`) Para obtener más información sobre AutoML Vision, consulta la documentación del producto.
Limitaciones	Todos los productos de AutoML integrados a los Controles del servicio de VPC usan la misma dirección del servicio. Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

BigQuery

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`bigquery.googleapis.com`
Detalles	Cuando proteges a la API de BigQuery mediante un perímetro de servicio, también se protege la API de BigQuery Storage. No es necesario que agregues por separado la API de BigQuery Storage a la lista de servicios protegidos de tu perímetro. Para obtener más información sobre BigQuery, consulta la documentación del producto.
Limitaciones	Los Controles del servicio de VPC no admiten la copia de recursos protegidos de BigQuery por un perímetro de servicio a otra organización. Los niveles de acceso no te permiten copiar contenido en diferentes organizaciones. Para copiar recursos protegidos de BigQuery en otra organización, descarga el conjunto de datos (por ejemplo, como un archivo CSV) y, luego, sube ese archivo a la otra organización. Los registros de auditoría de BigQuery no siempre incluyen todos los recursos que se usaron cuando se realizó una solicitud, debido a que el servicio procesa el acceso a varios recursos a nivel interno. Cuando usas una cuenta de servicio para acceder a una instancia de BigQuery protegida por un perímetro de servicio, el trabajo de BigQuery debe ejecutarse en un proyecto dentro del perímetro. De forma predeterminada, las bibliotecas cliente de BigQuery ejecutarán trabajos dentro del proyecto del usuario o de la cuenta de servicio, lo que provoca que los Controles del servicio de VPC rechacen la consulta.

Servicio de transferencia de datos de BigQuery

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`bigquerydatatransfer.googleapis.com`
Detalles	El perímetro de servicio solo protege la API del Servicio de transferencia de datos de BigQuery. BigQuery aplica la protección real de datos. Se diseñó para permitir la importación de datos desde varias fuentes externas fuera de Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play y Google Ads, en conjuntos de datos de BigQuery. Para obtener más información sobre el Servicio de transferencia de datos de BigQuery, consulta la documentación del producto.
Limitaciones	El Servicio de transferencia de datos de BigQuery no admite la exportación de datos fuera de un conjunto de datos de BigQuery. Consulta Exporta datos de tablas para obtener más información. El Servicio de transferencia de datos de BigQuery no admite fuentes de datos de terceros para transferir datos a proyectos protegidos por un perímetro de servicio.

Cloud Bigtable

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`bigtable.googleapis.com`
Detalles	La API de Cloud Bigtable se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Bigtable, consulta la documentación del producto.
Limitaciones	La integración de Cloud Bigtable con los Controles del servicio de VPC no tiene limitaciones conocidas.

Autorización binaria

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`binaryauthorization.googleapis.com beta`
Detalles	Cuando se usan varios proyectos con Autorización binaria, cada uno debe incluirse en el perímetro de los Controles del servicio de VPC. Para obtener más información sobre este caso de uso, consulta Configuración de varios proyectos. Con la Autorización binaria, puedes usar Container Analysis para almacenar certificadores y certificaciones como notas y casos, respectivamente. En este caso, también debes incluir Container Analysis en el perímetro de los Controles del servicio de VPC. Consulta la Guía de los Controles del servicio de VPC para Container Analysis a fin de obtener más información. Para obtener más información sobre la Autorización binaria, consulta la documentación del producto.
Limitaciones	La integración de la Autorización binaria con los Controles del servicio de VPC no tiene limitaciones conocidas.

Certificate Authority Service

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`privateca.googleapis.com beta`
Detalles	La API de Certificate Authority Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Certificate Authority Service, consulta la documentación del producto.
Limitaciones	Para usar Certificate Authority Service en un entorno protegido, también debes agregar la API de Cloud KMS (`cloudkms.googleapis.com`) y la API de Cloud Storage (`storage.googleapis.com`) a tu perímetro de servicio.

Data Catalog

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`datacatalog.googleapis.com`
Detalles	De forma automática, Data Catalog respeta los perímetros ubicados alrededor de otros servicios de Google Cloud. Para obtener más información sobre Data Catalog, consulta la documentación del producto.
Limitaciones	La integración de Data Catalog con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Data Fusion

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`datafusion.googleapis.com`
Detalles	Cloud Data Fusion requiere algunos pasos especiales para la protección mediante los Controles del servicio de VPC. Para obtener más información sobre Cloud Data Fusion, consulta la documentación del producto.
Limitaciones	Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear la instancia privada de Cloud Data Fusion. No se admite la protección perimetral de instancias creadas antes de configurar los Controles del servicio de VPC. Por el momento, la IU del plano de datos de Cloud Data Fusion no admite la especificación de niveles de acceso mediante el acceso basado en la identidad.

Compute Engine

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`compute.googleapis.com`
Detalles	La compatibilidad de los Controles del servicio de VPC con Compute Engine ofrece los siguientes beneficios de seguridad: Restringe el acceso a las operaciones sensibles de la API Restringe las instantáneas de discos persistentes y las imágenes personalizadas a un perímetro. Restringe el acceso a los metadatos de la instancia. La compatibilidad de los Controles del servicio de VPC con Compute Engine también te permite usar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de los perímetros de servicio. Para obtener más información sobre Compute Engine, consulta la documentación del producto.
Limitaciones	Los firewalls jerárquicos no se ven afectados por los perímetros de servicio. Las operaciones de intercambio de tráfico de VPC no imponen restricciones en el perímetro de servicio de la VPC. El método de la API `projects.ListXpnHosts` para la VPC compartida no impone restricciones de perímetro de servicio en los proyectos que se muestran. Con el fin de habilitar la creación de una imagen de Compute Engine desde Cloud Storage en un proyecto protegido por un perímetro de servicio, se debe agregar al usuario que crea la imagen a un nivel de acceso para el perímetro de forma temporal. Los Controles del servicio de VPC no son compatibles con el uso de la versión de código abierto de Kubernetes en las VM de Compute Engine dentro de un perímetro de servicio.

Dataflow

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`dataflow.googleapis.com`
Detalles	Dataflow admite una cantidad de conectores de servicio de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio: Cloud Storage (Java, Python) BigQuery (Java, Python) Pub/Sub (Java, Python) Cloud Bigtable (Java) Cloud Spanner (Java) Para obtener más información sobre Dataflow, consulta la documentación del producto.
Limitaciones	No se admite BIND personalizado cuando se usa Dataflow. Para personalizar la resolución de DNS cuando usas Dataflow con los Controles del servicio de VPC, usa las zonas privadas de Cloud DNS, en lugar de los servidores BIND personalizados. Para usar tu resolución de DNS local, considera usar un método de reenvío de DNS de Google Cloud. No se verificó que todos los conectores del servicio de almacenamiento funcionen cuando se usan con Dataflow dentro de un perímetro de servicio. Para obtener una lista de los conectores verificados, consulta los Detalles de Dataflow. Cuando usas Python 3.5 con el SDK de Apache Beam 2.0.0-2.22.0, los trabajos de Dataflow fallarán al inicio si los trabajadores solo tienen direcciones IP privadas, como cuando se usan Controles del servicio de VPC para proteger recursos. Si los trabajadores de Dataflow solo pueden tener direcciones IP privadas, como cuando se usan los Controles del servicio de VPC para proteger los recursos, no uses Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0. Esta combinación hace que los trabajos fallen al inicio.

Dataproc

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`dataproc.googleapis.com`
Detalles	Dataproc requiere algunos pasos especiales para la protección mediante los Controles del servicio de VPC. Para obtener más información sobre Dataproc, consulta la documentación del producto.
Limitaciones	A fin de proteger un clúster de Dataproc con un perímetro de servicio, debes seguir las instrucciones para configurar la conectividad privada y permitir que el clúster funcione dentro del perímetro.

Dataproc Metastore

Estado	vista previa
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`metastore.googleapis.com`
Detalles	La API de Dataproc Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Dataproc Metastore, consulta la documentación del producto.
Limitaciones

Cloud Data Loss Prevention

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`dlp.googleapis.com`
Detalles	La API de Cloud Data Loss Prevention se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Data Loss Prevention, consulta la documentación del producto.
Limitaciones	La integración de Cloud Data Loss Prevention con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Functions

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`cloudfunctions.googleapis.com`
Detalles	Consulta la documentación de Cloud Functions para conocer los pasos de configuración. La protección de los Controles del servicio de VPC no se aplica a la fase de compilación cuando Cloud Functions se compila mediante Cloud Build. La protección de los Controles del servicio de VPC se aplica a todos los activadores de funciones, excepto los activadores de Firebase Realtime Database y de Firebase Crashlytics. Para obtener más información, consulta las limitaciones conocidas. Para obtener más información sobre Cloud Functions, consulta la documentación del producto.
Limitaciones	Cloud Functions usa Cloud Build para compilar tu código fuente en un contenedor ejecutable. Si deseas usar Cloud Functions dentro de un perímetro de servicio, debes configurar un nivel de acceso para la cuenta de servicio de Cloud Build en el perímetro de servicio. Para permitir que las funciones usen dependencias externas, como los paquetes de npm, Cloud Build tiene acceso ilimitado a Internet. Este acceso a Internet podría usarse para robar datos disponibles al momento de la compilación, como el código fuente que subiste. Si deseas mitigar este vector de robo de datos, recomendamos que solo permitas que los desarrolladores de confianza implementen funciones. No otorgues funciones de IAM de propietario, editor o desarrollador de Cloud Functions a desarrolladores que no sean de confianza. En el caso de los activadores de Firebase Realtime Database y los de Firebase Crashlytics, un usuario podría implementar una función que podría activarse mediante cambios en Firebase Realtime Database o Firebase Crashlytics en un proyecto diferente fuera del perímetro de servicio del proyecto, en el que se implementa la función. Si deseas mitigar el vector de robo de estos dos activadores, te recomendamos que solo permitas que los desarrolladores de confianza implementen funciones. No otorgues funciones de IAM de propietario, editor o desarrollador de Cloud Functions a desarrolladores que no sean de confianza.

Acceso a VPC sin servidores

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`vpcaccess.googleapis.com`
Detalles	La API de Acceso a VPC sin servidores se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre el Acceso a VPC sin servidores, consulta la documentación del producto.
Limitaciones	La integración del Acceso a VPC sin servidores con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Key Management Service

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`cloudkms.googleapis.com`
Detalles	La API de Cloud Key Management Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Key Management Service, consulta la documentación del producto.
Limitaciones	La integración de Cloud Key Management Service con los Controles del servicio de VPC no tiene limitaciones conocidas.

Game Servers

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`gameservices.googleapis.com`
Detalles	La API de Game Servers se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Game Servers, consulta la documentación del producto.
Limitaciones	La integración de Game Servers con los Controles del servicio de VPC no tiene limitaciones conocidas.

Identity-Aware Proxy para TCP

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`iaptunnel.googleapis.com`
Detalles	La API de Identity-Aware Proxy para TCP puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Si deseas obtener más información sobre Identity-Aware Proxy para TCP, consulta la documentación del producto.
Limitaciones	Solo un perímetro puede proteger la API de IAP para TCP. No se puede usar un perímetro para proteger la API administrativa. Si deseas usar IAP para TCP dentro de un perímetro de servicio de Controles del servicio de VPC, debes agregar o configurar algunas entradas de DNS con el fin de apuntar los siguientes dominios a la VIP restringida: tunnel.cloudproxy.app *.tunnel.cloudproxy.app

Servicio administrado para Microsoft Active Directory

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`managedidentities.googleapis.com`
Detalles	Se requiere una configuración adicional para lo siguiente: Acceso local a la API de Microsoft AD administrado VPC compartida A fin de obtener más información sobre el servicio administrado para Microsoft Active Directory, consulta la documentación del producto.
Limitaciones	La integración del servicio administrado para Microsoft Active Directory con los Controles del servicio de VPC no tiene limitaciones conocidas.

Secret Manager

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`secretmanager.googleapis.com`
Detalles	La API de Secret Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Secret Manager, consulta la documentación del producto.
Limitaciones	La integración de Secret Manager con los Controles del servicio de VPC no tiene limitaciones conocidas.

Pub/Sub

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`pubsub.googleapis.com`
Detalles	La protección de los Controles del servicio de VPC se aplica a todas las operaciones de suscriptor, excepto las suscripciones de envío existentes. Para obtener más información sobre Pub/Sub, consulta la documentación del producto.
Limitaciones	En los proyectos protegidos por un perímetro de servicio, no se pueden crear suscripciones de envío nuevas. No se bloquearán las suscripciones de envío de Pub/Sub creadas antes que el perímetro de servicio.

Pub/Sub Lite

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`pubsublite.googleapis.com`
Detalles	La protección de los Controles del servicio de VPC se aplica a todas las operaciones de suscriptor. Para obtener más información sobre Pub/Sub Lite, consulta la documentación del producto.
Limitaciones	La integración de Pub/Sub Lite con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Build

Estado	Vista previa. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`cloudbuild.googleapis.com`
Detalles	El uso de los Controles del servicio de VPC con Cloud Build solo está disponible para usuarios restringidos. Para obtener más información sobre Cloud Build, consulta la documentación del producto.
Limitaciones	El uso de los Controles del servicio de VPC con Cloud Build solo está disponible para usuarios restringidos.

Cloud Composer

Estado	DG
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`composer.googleapis.com beta`
Detalles	Configura Composer para su uso con los Controles del servicio de VPC Para obtener más información sobre Cloud Composer, consulta la documentación del producto.
Limitaciones	Habilitar la serialización de DAG evita que Airflow muestre una plantilla renderizada con funciones en la IU web. No se puede establecer la marca `async_dagbag_loader` en `True` mientras la serialización de DAG está habilitada. Habilitar la serialización de DAG inhabilita todos los complementos del servidor web de Airflow, ya que podrían poner en riesgo la seguridad de la red de VPC, en la que se implementa Cloud Composer. Esto no afecta el comportamiento de los complementos de trabajador o programador, incluidos los sensores y operadores de Airflow. Cuando Cloud Composer se ejecuta dentro de un perímetro, se restringe el acceso a los repositorios públicos de PyPI. En la documentación de Cloud Composer, consulta Instala dependencias de Python para aprender a instalar módulos de PyPi en modo de IP privada.

Cloud Spanner

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`spanner.googleapis.com`
Detalles	La API de Cloud Spanner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Spanner, consulta la documentación del producto.
Limitaciones	La integración de Cloud Spanner con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Storage

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`storage.googleapis.com`
Detalles	La API de Cloud Storage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Storage, consulta la documentación del producto.
Limitaciones	Cuando usas la función Pagos del solicitante con un bucket de almacenamiento dentro de un perímetro de servicio que protege al servicio de Cloud Storage, no puedes identificar un proyecto para pagar que esté fuera del perímetro. El proyecto de destino debe estar en el mismo perímetro que el bucket de almacenamiento o en un puente perimetral con el proyecto del bucket. Para obtener más información sobre los Pagos del solicitante, consulta los Requisitos de uso y acceso de los Pagos del solicitante. En cuanto a los proyectos en un perímetro de servicio, no es posible acceder a la página de Cloud Storage en Cloud Console si la API de Cloud Storage está protegida por ese perímetro. Si deseas otorgar acceso a la página, debes crear un nivel de acceso que incluya las cuentas de usuario o un rango de IP público al que desees permitir que acceda a la API de Cloud Storage. En los registros de auditoría, el campo `resourceName` no identifica el proyecto que posee un bucket. El proyecto debe descubrirse por separado. En los registros de auditoría, el valor de `methodName` no siempre es correcto. Te recomendamos que no filtres los registros de auditoría de Cloud Storage por el `methodName`. En algunos casos, los registros de buckets heredados de Cloud Storage se pueden escribir en destinos fuera del perímetro de servicio, incluso cuando se niega el acceso. Cuando intentas usar `gsutil` por primera vez en un proyecto nuevo, puede que debas habilitar el servicio `storage-api.googleapis.com`. Si bien no puedes proteger `storage-api.googleapis.com` directamente, cuando proteges la API de Cloud Storage mediante un perímetro de servicio, las operaciones de `gsutil` también se protegen.

Cloud SQL

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`sqladmin.googleapis.com`
Detalles	Los perímetros de los Controles del servicio de VPC protegen la API de Administrador de Cloud SQL. Para obtener más información sobre Cloud SQL, consulta la documentación del producto.
Limitaciones	Los perímetros de servicio solo protegen la API de Administrador de Cloud SQL. No protegen el acceso de datos basados en IP a las instancias de Cloud SQL. Debes usar una restricción de políticas de la organización para restringir el acceso de IP pública en las instancias de Cloud SQL. Las importaciones y las exportaciones de Cloud SQL solo pueden realizar operaciones de lectura y escritura desde un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL. En el flujo de migración del servidor externo, debes agregar el bucket de Cloud Storage al mismo perímetro de servicio. Cuando creas un flujo de claves para CMEK, debes crear la clave en el mismo perímetro de servicio que los recursos que la usan. Nota: Cuando restableces una instancia desde una copia de seguridad, la instancia de destino debe estar en el mismo perímetro de servicio que la copia de seguridad.

API de Video Intelligence

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`videointelligence.googleapis.com`
Detalles	La API de Video Intelligence se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre la API de Video Intelligence, consulta la documentación del producto.
Limitaciones	La integración de la API de Video Intelligence con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Cloud Vision

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`vision.googleapis.com`
Detalles	La API de Cloud Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre la API de Cloud Vision, consulta la documentación del producto.
Limitaciones	La integración de la API de Cloud Vision con los Controles del servicio de VPC no tiene limitaciones conocidas.

Container Analysis

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`containeranalysis.googleapis.com`
Detalles	Para usar Container Analysis con los Controles del servicio de VPC, es posible que debas agregar otros servicios al perímetro de la VPC: Si usas notificaciones de Pub/Sub con Container Analysis, agrega Pub/Sub al perímetro de servicio. Si usas la API de Container Scanning, agrega tu registro al perímetro: Artifact Registry o Container Registry.. Debido a que la API de Container Scanning es una API sin superficie que almacena los resultados en Container Analysis, no necesitas protegerla con un perímetro de servicio. Para obtener más información sobre Container Analysis, consulta la documentación del producto.
Limitaciones	La integración de Container Analysis con los Controles del servicio de VPC no tiene limitaciones conocidas.

Container Registry

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`containerregistry.googleapis.com`
Detalles	Además de proteger la API de Container Registry, Container Registry se puede usar en un perímetro de servicio con GKE y Compute Engine. Para obtener más información sobre Container Registry, consulta la documentación del producto.
Limitaciones	Debido a que no usa el dominio `googleapis.com`, Container Registry debe configurarse a través de DNS privado o BIND para mapear a la VIP restringida por separado de las otras API. Para obtener más información, consulta Protege Container Registry en un perímetro de servicio. Además de los contenedores que se encuentran dentro de un perímetro disponibles para Container Registry, los siguientes repositorios de solo lectura administrados por Google están disponibles para todos los proyectos, sin importar los perímetros de servicio: gcr.io/asci-toolchain gcr.io/cloud-airflow-releaser gcr.io/cloud-builders gcr.io/cloud-dataflow gcr.io/cloud-marketplace gcr.io/cloud-ssa gcr.io/cloudsql-docker gcr.io/config-management-release gcr.io/foundry-dev gcr.io/fn-img gcr.io/gke-node-images gcr.io/gke-release gcr.io/google-containers gcr.io/kubeflow gcr.io/kubeflow-images-public gcr.io/kubernetes-helm gcr.io/istio-release gcr.io/ml-pipeline gcr.io/projectcalico-org gcr.io/rbe-containers gcr.io/rbe-windows-test-images gcr.io/speckle-umbrella gcr.io/stackdriver-agents gcr.io/tensorflow gke.gcr.io k8s.gcr.io mirror.gcr.io En todos los casos, también están disponibles las versiones multirregional de estos repositorios.

Google Kubernetes Engine

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`container.googleapis.com, gkeconnect.googleapis.com, gkehub.googleapis.com`
Detalles	La API de Google Kubernetes Engine se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Google Kubernetes Engine, consulta la documentación del producto.
Limitaciones	Solo los clústeres privados se pueden proteger mediante los Controles del servicio de VPC. Los Controles del servicio de VPC no admiten clústeres con direcciones IP públicas.

Resource Manager

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`cloudresourcemanager.googleapis.com beta`
Detalles	La API de Resource Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Resource Manager, consulta la documentación del producto.
Limitaciones	Los únicos métodos de la API de Resource Manager que están protegidos son `project.setIAMPolicy` v1 y `project.setIAMPolicy` v1beta1.

Cloud Logging

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`logging.googleapis.com`
Detalles	Los Controles del servicio de VPC no son compatibles con los recursos de carpetas y organizaciones, por lo que no protegen los registros a nivel de carpeta y de organización. Para obtener más información, consulta las limitaciones conocidas del servicio. Para obtener más información sobre Cloud Logging, consulta la documentación del producto.
Limitaciones	Los receptores de exportación agregados (receptores de carpetas y organizaciones en los que `includeChildren` es `true`) pueden acceder a los datos de los proyectos dentro de un perímetro de servicio. Recomendamos usar IAM para administrar los permisos de Logging a nivel de organización y de carpeta. Debido a que, en este momento, los Controles del servicio de VPC no admiten recursos de carpetas y de organizaciones, las exportaciones de los registros a nivel de carpeta y de organización (incluidos los registros agregados) no admiten perímetros de servicio. Recomendamos usar IAM para restringir las exportaciones a las cuentas de servicio necesarias a fin de interactuar con los servicios protegidos por el perímetro. A fin de configurar una exportación de registro de organizaciones o carpetas a un recurso protegido por un perímetro de servicio, debes agregar la cuenta de servicio para ese receptor de registros a un nivel de acceso y, luego, asignarla al perímetro del servicio de destino. Esto no es necesario para las exportaciones de registros a nivel de proyecto. Para obtener más información, consulta las siguientes páginas: Otorga acceso desde Internet con niveles de acceso Administra perímetros de servicio Descripción general de las exportaciones de registros

Cloud Monitoring

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`monitoring.googleapis.com`
Detalles	La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Monitoring, consulta la documentación del producto.
Limitaciones	Los canales de notificaciones, las políticas de alertas y las métricas personalizadas se pueden usar en conjunto para el robo de datos y metadatos. Por el momento, un usuario de Monitoring puede configurar un canal de notificaciones que apunte a una entidad fuera de una organización, p. ej., “baduser@badcompany.com”. Luego, el usuario configura métricas personalizadas y las políticas de alerta correspondientes que usan el canal de notificaciones. Como resultado, mediante la manipulación de las métricas personalizadas, el usuario puede activar alertas y enviar alertas que activen notificaciones, lo que expone datos sensibles a baduser@badcompany.com por fuera del perímetro de los Controles del servicio de VPC. Si bien Monitoring en Google Cloud Console es compatible con los Controles del servicio de VPC, estos no son completamente compatibles con la consola clásica de Cloud Monitoring. Cualquier VM de Compute Engine o AWS que tenga el agente de Monitoring instalado debe estar dentro del perímetro de los Controles del servicio de VPC o las operaciones de escritura de métrica del agente fallarán. Los Pods de GKE deben estar dentro del perímetro de los Controles del servicio de VPC o GKE Monitoring no funcionará. Cuando se consultan métricas de un lugar de trabajo, solo se considera el perímetro de los Controles del servicio de VPC del proyecto host del lugar de trabajo, no los perímetros de los proyectos individuales supervisados en el lugar de trabajo. Un proyecto solo se puede agregar como proyecto supervisado a un espacio de trabajo existente si ese proyecto está en el mismo perímetro de Controles del servicio de VPC que el proyecto host del espacio de trabajo. Si quieres acceder a Monitoring en Cloud Console para un proyecto host protegido por un perímetro de servicio, usa niveles de acceso.

Cloud Profiler

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`cloudprofiler.googleapis.com`
Detalles	La API de Cloud Profiler se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Profiler, consulta la documentación del producto.
Limitaciones	La integración de Cloud Profiler con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Trace

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`cloudtrace.googleapis.com`
Detalles	La API de Cloud Trace se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud Trace, consulta la documentación del producto.
Limitaciones	La integración de Cloud Trace con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud TPU

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`tpu.googleapis.com`
Detalles	La API de Cloud TPU se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Cloud TPU, consulta la documentación del producto.
Limitaciones	La integración de Cloud TPU con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Natural Language

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`language.googleapis.com`
Detalles	La API de Natural Language se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre la API de Natural Language, consulta la documentación del producto.
Limitaciones	La integración de la API de Natural Language con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Cloud Asset

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`cloudasset.googleapis.com`
Detalles	Debido a que los Controles del servicio de VPC no son compatibles con los recursos de carpeta y organización, el acceso a los recursos a través de la API de Cloud Asset a nivel de carpeta o de organización no está protegido por los Controles del servicio de VPC. Para obtener más información, consulta las limitaciones conocidas del servicio. Para obtener más información sobre la API de Cloud Asset, consulta la documentación del producto.
Limitaciones	Cuando se llama a la API de Cloud Asset a nivel de organización o carpeta, se puede acceder a los datos de proyectos dentro de un perímetro de servicio que pertenecen a la organización o la carpeta. Recomendamos usar IAM para administrar los permisos de Cloud Asset Inventory a nivel de organización y de carpeta.

Speech-to-Text

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`speech.googleapis.com beta`
Detalles	La API de Speech-to-Text se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Speech-to-Text, consulta la documentación del producto.
Limitaciones	La integración de Speech-to-Text con los Controles del servicio de VPC no tiene limitaciones conocidas.

Text-to-Speech

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`texttospeech.googleapis.com`
Detalles	La API de Text-to-Speech se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Text-to-Speech, consulta la documentación del producto.
Limitaciones	La integración de Text-to-Speech con los Controles del servicio de VPC no tiene limitaciones conocidas.

Traducción

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`translate.googleapis.com`
Detalles	La API de Translation se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Translation, consulta la documentación del producto.
Limitaciones	La integración de Translation con los Controles del servicio de VPC no tiene limitaciones conocidas.

Aprobación de acceso

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`accessapproval.googleapis.com beta`
Detalles	La API para la Aprobación de acceso se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre la aprobación de acceso, consulta la documentación del producto.
Limitaciones	La integración de la aprobación de acceso con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Cloud Healthcare

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`healthcare.googleapis.com beta`
Detalles	La API de Cloud Healthcare se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre la API de Cloud Healthcare, consulta la documentación del producto.
Limitaciones	La integración de la API de Cloud Healthcare con los Controles del servicio de VPC no tiene limitaciones conocidas.

Servicio de transferencia de almacenamiento

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`storagetransfer.googleapis.com`
Detalles	Recomendamos colocar el proyecto de STS dentro del mismo perímetro de servicio que los recursos de Cloud Storage. Esto protege la transferencia y los recursos de Cloud Storage. El Servicio de transferencia de almacenamiento también admite situaciones en las que el proyecto del Servicio de transferencia de almacenamiento no está en el mismo perímetro que tus buckets de Cloud Storage, ya sea mediante el uso de un puente perimetral o de niveles de acceso. Para obtener información sobre la configuración, consulta Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC Servicio de transferencia de datos locales Durante la versión beta, el Servicio de transferencia de datos locales (Transferencias a las bases de datos locales) solo admite los Controles del servicio de VPC para cargas útiles de transferencia. Esto incluye situaciones en las que las transferencias de los agentes locales se agregan a un nivel de acceso que les permite acceder a los recursos del perímetro, o cuando las transferencias de los agentes locales se encuentran en un perímetro compartido con buckets de Cloud Storage de destino y servicio de transferencia para trabajos de datos locales. A fin de obtener más información, consulta Usa transferencias a las bases de datos locales con los Controles del servicio de VPC. No se garantiza que los metadatos de archivo, como los nombres de objetos, permanezcan dentro del perímetro. Para obtener más información, consulta Controles del servicio de VPC y metadatos. Para obtener más información sobre el Servicio de transferencia de almacenamiento, consulta la documentación del producto.
Limitaciones	El servicio de transferencia de datos locales no ofrece una API y, por lo tanto, no es compatible con funciones relacionadas con las API en los Controles del servicio de VPC.

Control de servicios

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`servicecontrol.googleapis.com`
Detalles	La API de Control de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre el Control de servicios, consulta la documentación del producto.
Limitaciones	Cuando llamas a la API de Control de servicios desde una red de VPC en un perímetro de servicio con el Control de servicios restringido, no puedes usar el método Informe del Control de servicios para informar las métricas de facturación y estadísticas.

Memorystore para Redis

Estado	DG. Esta integración de productos es completamente compatible con los Controles del servicio de VPC.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`redis.googleapis.com`
Detalles	La API de Memorystore para Redis se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre Memorystore para Redis, consulta la documentación del producto.
Limitaciones	Los perímetros de servicio solo protegen la API de Memorystore para Redis. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Redis dentro de la misma red. Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Redis solo pueden leer y escribir en un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de Memorystore para Redis.

Directorio de servicios

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`servicedirectory.googleapis.com beta`
Detalles	La API del Directorio de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio. Para obtener más información sobre el Directorio de servicios, consulta la documentación del producto.
Limitaciones	La integración del Directorio de servicios con los Controles del servicio de VPC no tiene limitaciones conocidas.

Transfer Appliance

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	No. La API de Transfer Appliance no se puede proteger con los perímetros de servicio. Sin embargo, Transfer Appliance se puede usar con normalidad en proyectos dentro de un perímetro.
Detalles	Transfer Appliance es compatible en su totalidad con proyectos que usan los Controles del servicio de VPC. Transfer Appliance no ofrece una API y, por lo tanto, no es compatible con las funciones relacionadas con la API en los Controles del servicio de VPC. Para obtener más información sobre Transfer Appliance, consulta la documentación sobre productos.
Limitaciones	Cuando Cloud Storage está protegido por los Controles del servicio de VPC, la clave de Cloud KMS que compartes con el equipo de Transfer Appliance debe estar dentro del mismo proyecto que el bucket de destino de Cloud Storage.

Acceso a SO

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`oslogin.googleapis.com`
Detalles	Puedes llamar a la API de Acceso al SO desde los perímetros de los Controles del servicio de VPC. Para administrar el Acceso al SO desde los perímetros de los Controles del servicio de VPC, configura el Acceso al SO. Las conexiones SSH a instancias de VM no están protegidas por los Controles del servicio de VPC. Para obtener más información sobre el Acceso al SO, consulta la documentación del producto.
Limitaciones	La integración de Acceso al SO con los Controles del servicio de VPC no tiene limitaciones conocidas.

VM Manager

Estado	Beta. Esta integración de productos ya está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Protección con perímetros?	Sí. Puedes configurar los perímetros para proteger este servicio.
Dirección del servicio	`osconfig.googleapis.com`
Detalles	Puedes llamar a la API de configuración del SO desde los perímetros de los Controles del servicio de VPC. Para usar VM Manager desde los perímetros de los Controles del servicio de VPC, configura VM Manager. Para obtener más información sobre VM Manager, consulta la documentación del producto.
Limitaciones	La integración de VM Manager con los Controles del servicio de VPC no tiene limitaciones conocidas.

Para obtener más información, consulta servicios compatibles y no admitidos.

Servicios admitidos de VIP restringida

La IP virtual (VIP) restringida permite que las VM que se encuentran dentro del perímetro de servicio realicen llamadas a los servicios de Google Cloud sin exponer las solicitudes a Internet. Para obtener una lista completa de los servicios disponibles en la VIP restringida, consulta Servicios compatibles con la VIP restringida.

Servicios no compatibles

Advertencia: Si bien es posible que los servicios no compatibles accedan a los datos de los productos y servicios admitidos, te recomendamos que no lo hagas. Pueden surgir problemas inesperados cuando se intenta acceder a un servicio compatible mediante un servicio no admitido, en especial dentro del mismo proyecto.

Es posible que los servicios no compatibles no funcionen cuando se habiliten en un proyecto protegido por los Controles del servicio de VPC, en especial cuando los servicios de almacenamiento de bajo nivel, como Cloud Storage o Pub/Sub, están restringidos. Recomendamos implementar servicios no compatibles en proyectos fuera de los perímetros. A fin de permitir que estos servicios accedan a los datos de los recursos dentro de un perímetro, crea un nivel de acceso que incluya la cuenta de servicio para ese servicio y aplícalo a perímetros según sea necesario.

Intentar restringir un servicio no compatible mediante la herramienta de línea de comandos de gcloud o la API de Access Context Manager generará un error.

Los Controles del servicio de VPC bloquearán el acceso entre proyectos a los datos de los servicios compatibles. Además, la VIP restringida se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

Otras limitaciones conocidas

En esta sección, se describen las limitaciones conocidas con determinadas interfaces, productos y servicios de Google Cloud que pueden surgir cuando se usan los Controles del servicio de VPC.

Para conocer las limitaciones de los productos que son compatibles con los Controles del servicio de VPC, consulta la tabla de productos compatibles.

Para obtener más información sobre cómo resolver problemas de los Controles del servicio de VPC, consulta la página Soluciona problemas.

API de AutoML

AutoML Vision, AutoML Natural Language, AutoML Translation y AutoML Tables y AutoML Video Intelligence usan la API de AutoML.

Cuando usas un perímetro de servicio para proteger a automl.googleapis.com, se ve afectado el acceso a todos los productos de AutoML integrados en los Controles del servicio de VPC y que se usan dentro del perímetro. Debes configurar tu perímetro de los Controles del servicio de VPC para todos los productos integrados de AutoML que se usan dentro de ese perímetro.

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:
- API de AutoML (automl.googleapis.com)
- API de Cloud Storage (storage.googleapis.com)
- API de Compute Engine (compute.googleapis.com)
- API de BigQuery (bigquery.googleapis.com)

App Engine

App Engine (tanto en el entorno estándar como en el flexible) no es compatible con los Controles del servicio de VPC. No incluyas proyectos de App Engine en perímetros de servicio.

Sin embargo, es posible permitir que las aplicaciones de App Engine creadas en proyectos fuera de los perímetros de servicio lean y escriban datos en servicios protegidos dentro de perímetros. Para permitir que tu app acceda a los datos de servicios protegidos, crea un nivel de acceso que incluya la cuenta de servicio de App Engine del proyecto. Esto no permite que App Engine se use dentro de perímetros de servicio.

Bibliotecas cliente

Las bibliotecas cliente de Java y Python para todos los servicios compatibles son totalmente compatibles con el acceso mediante VIP restringida. La asistencia para otros lenguajes se encuentra en etapa Alfa y solo se debe usar con fines de prueba.
Los clientes deben usar las bibliotecas cliente que se actualizaron a partir del 1 de noviembre de 2018 o posteriores.
Las claves de la cuenta de servicio o los metadatos de cliente de OAuth2 que usan los clientes deben contar con la actualización del 1 de noviembre de 2018 o posterior. Los clientes más antiguos que usan el extremo del token deben cambiar al extremo especificado en los metadatos clave de material/cliente más recientes.

Facturación de Cloud

Para permitir la exportación de la Facturación de Cloud a un depósito de Cloud Storage o a una instancia de BigQuery en un proyecto protegido por un perímetro de servicio, se debe agregar el usuario que está configurando la exportación de forma temporal a un nivel de acceso para el perímetro.

Cloud Build

El uso de Cloud Build dentro de un perímetro de Controles del servicio de VPC solo está disponible para usuarios restringidos.

Sin embargo, es posible permitir que Cloud Build, en proyectos fuera de los perímetros de servicio, lea y escriba datos en servicios protegidos dentro de los perímetros. Para permitir que Cloud Build acceda a los datos de servicios protegidos, crea un nivel de acceso que incluya la cuenta de servicio de Cloud Build del proyecto. Esto no permite que Cloud Build se use dentro de perímetros de servicio.

Cloud Deployment Manager

Deployment Manager no es compatible con los Controles del servicio de VPC. Los usuarios pueden llamar a servicios que cumplan con los Controles del servicio de VPC, pero no deben confiar en esto, ya que podrían fallar en el futuro.
Como solución alternativa, puedes agregar la cuenta de servicio de Deployment Manager (PROJECT_NUMBER@cloudservices.gserviceaccount.com) a los niveles de acceso para permitir llamadas a las API protegidas por los Controles del servicio de VPC.

Cloud Shell

Cloud Shell no es compatible. Se lo trata como si estuviera fuera de los perímetros de servicio, y los Controles del servicio de VPC le niegan el acceso a los datos protegidos.

Google Cloud Console

Dado que solo se puede acceder a Cloud Console a través de Internet, se la trata como si estuviera fuera de los perímetros de servicio. Cuando aplicas un perímetro de servicio, la interfaz de Cloud Console para los servicios que protegiste puede volverse inaccesible de manera parcial o total. Por ejemplo, si protegiste Logging con el perímetro, no podrás acceder a la interfaz de Logging en Cloud Console.

Para permitir el acceso desde Cloud Console a los recursos protegidos por un perímetro, debes crear un nivel de acceso para un rango de IP pública que incluya las máquinas de los usuarios que desean usar Cloud Console con API protegidas. Por ejemplo, puedes agregar el rango de IP pública de la puerta de enlace NAT de tu red privada a un nivel de acceso y, luego, asignar ese nivel de acceso al perímetro de servicio.

Si deseas limitar el acceso de Cloud Console al perímetro solo a un conjunto específico de usuarios, también puedes agregar esos usuarios a un nivel de acceso. En ese caso, solo los usuarios especificados podrían acceder a Cloud Console.