Productos y limitaciones admitidos

Esta página contiene una tabla de productos y servicios compatibles con los Controles del servicio de VPC, así como una lista de limitaciones conocidas con ciertas interfaces y servicios.

Productos compatibles

Los controles de servicio de VPC admiten los siguientes productos:

Productos compatibles Descripción

Google Cloud Search

Estado DG
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudsearch.googleapis.com
Detalles

Google Cloud Search es compatible con los controles de seguridad de la nube privada virtual (VPC-SC) para mejorar la seguridad de los datos. VPC-SC te permite definir un perímetro de seguridad alrededor de los recursos de Google Cloud Platform para limitar los datos y mitigar los riesgos de robo de datos.

Para obtener más información sobre Google Cloud Search, consulta la documentación del producto.

Limitaciones

Debido a que los recursos de Cloud Search no se almacenan en un proyecto de Google Cloud, debes actualizar la configuración del cliente de Cloud Search con el proyecto protegido por el perímetro de VPC. El proyecto de VPC actúa como un contenedor del proyecto virtual para todos tus recursos de Cloud Search. Sin compilar esta asignación, los Controles del servicio de VPC no funcionarán para la API de Cloud Search.

Si quieres conocer los pasos completos para habilitar los Controles del servicio de VPC con Google Cloud Search, consulta Mejora la seguridad para Google Cloud Search.

Pruebas de conectividad

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio networkmanagement.googleapis.com
Detalles

La API de las pruebas de conectividad se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre las pruebas de conectividad, consulta la documentación del producto.

Limitaciones

La integración de pruebas de conectividad con los Controles del servicio de VPC no tiene limitaciones conocidas.

AI Platform Prediction

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio ml.googleapis.com
Detalles

Los Controles del servicio de VPC admiten la predicción en línea, pero no la predicción por lotes.

Para obtener más información sobre AI Platform Prediction, consulta la documentación del producto.

Limitaciones
  • Para proteger AI Platform Prediction por completo, agrega las siguientes API al perímetro de servicio:

    • API de AI Platform Training and Prediction (ml.googleapis.com)
    • API de Pub/Sub (pubsub.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Google Kubernetes Engine (container.googleapis.com)
    • API de Container Registry (containerregistry.googleapis.com)
    • API de Cloud Logging (logging.googleapis.com)

    Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Prediction.

  • La predicción por lotes no es compatible cuando usas AI Platform Prediction dentro de un perímetro de servicio.

  • AI Platform Prediction y AI Platform Training usan la API de AI Platform y la API de Prediction, por lo que debes configurar los Controles del servicio de VPC para ambos productos. Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Training.

AI Platform Training

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio ml.googleapis.com
Detalles

Se puede proteger la API de AI Platform Training con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre AI Platform Training, consulta la documentación del producto.

Limitaciones
  • Para proteger por completo tus trabajos de entrenamiento de AI Platform Training, agrega las siguientes API al perímetro de servicio:

    • API de AI Platform Training and Prediction (ml.googleapis.com)
    • API de Pub/Sub (pubsub.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Google Kubernetes Engine (container.googleapis.com)
    • API de Container Registry (containerregistry.googleapis.com)
    • API de Cloud Logging (logging.googleapis.com)

    Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Training.

  • El entrenamiento con TPU no es compatible cuando usas AI Platform Training dentro de un perímetro de servicio.

  • AI Platform Training y AI Platform Prediction usan la API de AI Platform Training y la API de Prediction, por lo que debes configurar los Controles del servicio de VPC para ambos productos. Obtén más información sobre cómo configurar los Controles del servicio de VPC para AI Platform Prediction.

AlloyDB para PostgreSQL

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio alloydb.googleapis.com
Detalles

Los perímetros de los Controles del servicio de VPC protegen la API de AlloyDB.

Si deseas obtener más información sobre AlloyDB para PostgreSQL, consulta la documentación del producto.

Limitaciones

  • Antes de configurar los Controles del servicio de VPC para AlloyDB para PostgreSQL, habilita la API de Service Networking.
  • Cuando usas AlloyDB para PostgreSQL con los Controles del servicio de VPC y VPC compartidas, el proyecto host y el proyecto de servicio deben estar en el mismo perímetro de servicio de los Controles del servicio de VPC.

Vertex AI Workbench

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio notebooks.googleapis.com
Detalles

La API de Vertex AI Workbench se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Vertex AI Workbench, consulta la documentación del producto.

Limitaciones
  • Para usar Vertex AI Workbench dentro de un perímetro de servicio de Controles del servicio de VPC, debes agregar o configurar varias entradas de DNS a fin de indicar los siguientes dominios a la VIP restringida:

    • *.accounts.google.com
    • *.accounts.youtube.com
    • *.googleusercontent.com
    • *.kernels.googleusercontent.com
    • *.gstatic.com
    • *.notebooks.cloud.google.com
  • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como tipo de identidad en todas las operaciones de Vertex AI Workbench.

    Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

Vertex AI

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio aiplatform.googleapis.com
Detalles

La API de Vertex AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Vertex AI, consulta la documentación del producto.

Limitaciones

Para obtener más información, consulta las limitaciones en la documentación de Vertex AI.

Vertex AI Vision

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio visionai.googleapis.com
Detalles

La API de Vertex AI Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Vertex AI Vision, consulta la documentación del producto.

Limitaciones
Cuando constraints/visionai.disablePublicEndpoint está activado, inhabilitamos el extremo público del clúster. Los usuarios deben conectarse manualmente al destino de PSC y acceder al servicio desde la red privada. Puedes obtener el objetivo de PSC en el recurso cluster.

Apigee y Apigee Hybrid

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio apigee.googleapis.com,
apigeeconnect.googleapis.com
Detalles

La API para Apigee y Apigee Hybrid se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Apigee y Apigee Hybrid, consulta la documentación del producto.

Limitaciones

Las integraciones de Apigee con los Controles del servicio de VPC tienen las siguientes limitaciones:

Analytics Hub

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio analyticshub.googleapis.com
Detalles Los Controles del servicio de VPC protegen los intercambios de datos y las fichas. Para proteger los conjuntos de datos compartidos y vinculados con un perímetro de servicio, usa la API de BigQuery. Para obtener más información, consulta las reglas de los Controles del servicio de VPC de Analytics Hub.

Para obtener más información sobre Analytics Hub, consulta la documentación del producto.

Limitaciones

La integración de Analytics Hub en los Controles del servicio de VPC no tiene limitaciones conocidas.

Anthos Service Mesh

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio meshca.googleapis.com,
meshconfig.googleapis.com
Detalles

La API de Anthos Service Mesh se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Puedes usar mesh.googleapis.com a fin de habilitar las API necesarias para Anthos Service Mesh. No es necesario restringir mesh.googleapis.com en tu perímetro, ya que no expone ninguna API.

Para obtener más información sobre Anthos Service Mesh, consulta la documentación del producto.

Limitaciones

Por el momento, los perímetros de servicio no son compatibles con el plano de control administrado de Anthos Service Mesh.

Artifact Registry

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio artifactregistry.googleapis.com
Detalles

Además de proteger la API de Artifact Registry, Artifact Registry se puede usar dentro de perímetros de servicio con GKE y Compute Engine.

Para obtener más información sobre Artifact Registry, consulta la documentación del producto.

Limitaciones
  • Debido a que Artifact Registry usa el dominio pkg.dev, debes configurar DNS para que *.pkg.dev se asigne a private.googleapis.com o restricted.googleapis.com. Para obtener más información, consulta la sección sobre cómo proteger los repositorios en un perímetro de servicio.
  • Además de los artefactos dentro de un perímetro que están disponibles para Artifact Registry, los siguientes repositorios de solo lectura en los repositorios de Container Registry están disponibles para todos los proyectos, sin importar los perímetros de servicio:

    • gcr.io/anthos-baremetal-release
    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/deeplearning-platform-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gae-runtimes
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/gkeconnect
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gcr.io/vertex-ai
    • gcr.io/vertex-ai-restricted
    • gke.gcr.io
    • k8s.gcr.io

    En todos los casos, también están disponibles las versiones regionales de estos repositorios.

    Las imágenes almacenadas en caché en mirror.gcr.io solo estarán disponibles si Container Registry también está en el perímetro.

Assured Workloads

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio assuredworkloads.googleapis.com
Detalles

La API de Assured Workloads se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Assured Workloads, consulta la documentación del producto.

Limitaciones

La integración entre Assured Workloads con los Controles del servicio de VPC no tiene limitaciones conocidas.

AutoML Natural Language

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio automl.googleapis.com,
eu-automl.googleapis.com
Detalles

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

  • API de AutoML (automl.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)
  • API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Natural Language, consulta la documentación del producto.

Limitaciones
  • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
  • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Tables

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio automl.googleapis.com,
eu-automl.googleapis.com
Detalles

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

  • API de AutoML (automl.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)
  • API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Tables, consulta la documentación del producto.

Limitaciones
  • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
  • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Translation

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio automl.googleapis.com,
eu-automl.googleapis.com
Detalles

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

  • API de AutoML (automl.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)
  • API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Translation, consulta la documentación del producto.

Limitaciones
  • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
  • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Video Intelligence

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio automl.googleapis.com,
eu-automl.googleapis.com
Detalles

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

  • API de AutoML (automl.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)
  • API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Video Intelligence, consulta la documentación del producto.

Limitaciones
  • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
  • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

AutoML Vision

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio automl.googleapis.com,
eu-automl.googleapis.com
Detalles

Para proteger por completo la API de AutoML, incluye todas las siguientes API en tu perímetro:

  • API de AutoML (automl.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)
  • API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Vision, consulta la documentación del producto.

Limitaciones
  • Todos los productos de AutoML integrados a los Controles del servicio de VPC usan el mismo nombre de servicio.
  • No puedes agregar los extremos regionales admitidos, como eu-automl.googleapis.com, a la lista de servicios restringidos en un perímetro. Cuando proteges el servicio automl.googleapis.com, el perímetro también protege los extremos regionales admitidos, como eu-automl.googleapis.com.

Si deseas obtener más información, consulta las limitaciones para usar los productos de AutoML con los Controles del servicio de VPC.

Solución Bare Metal

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? No. La API de la solución Bare Metal no se puede proteger con los perímetros de servicio. Sin embargo, la solución Bare Metal se puede usar con normalidad en proyectos dentro de un perímetro.
Detalles

La API de Bare Metal Solution se puede agregar a un perímetro seguro. Sin embargo, los perímetros de los Controles del servicio de VPC no se extienden al entorno de la solución Bare Metal en las extensiones regionales.

Para obtener más información sobre la solución Bare Metal, consulta la documentación del producto.

Limitaciones

La solución Bare Metal no admite los Controles del servicio de VPC. Conectar una VPC con controles de servicio habilitados a tu entorno de la solución Bare Metal no mantiene ninguna garantía de control de servicio.

Para obtener más información sobre la limitación de la solución Bare Metal en relación con los Controles del servicio de VPC, consulta Problemas y limitaciones conocidos.

Batch

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio batch.googleapis.com
Detalles

La API de Batch se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Batch, consulta la documentación del producto.

Limitaciones
Para proteger Batch por completo, debes incluir las siguientes API en tu perímetro:
  • API de Batch (batch.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Container Registry (containerregistry.googleapis.com)
  • API de Artifact Registry (artifactregistry.googleapis.com)
  • API de Filestore (file.googleapis.com)

BigLake Metastore

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio biglake.googleapis.com
Detalles

La API de BigLake Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre BigLake Metastore, consulta la documentación del producto.

Limitaciones

La integración de BigLake Metastore con los Controles del servicio de VPC no tiene limitaciones conocidas.

BigQuery

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio bigquery.googleapis.com
Detalles

Cuando proteges a la API de BigQuery mediante un perímetro de servicio, también se protege la API de BigQuery Storage. No es necesario que agregues por separado la API de BigQuery Storage a la lista de servicios protegidos de tu perímetro.

Para obtener más información sobre BigQuery, consulta la documentación del producto.

Limitaciones
  • Los registros de auditoría de BigQuery no siempre incluyen todos los recursos que se usaron cuando se realizó una solicitud, debido a que el servicio procesa el acceso a varios recursos a nivel interno.

  • Cuando se accede a una instancia de BigQuery protegida por un perímetro de servicio, el trabajo de BigQuery debe ejecutarse dentro de un proyecto dentro del perímetro o en un proyecto que permita una regla de salida del perímetro. De forma predeterminada, las bibliotecas cliente de BigQuery ejecutarán trabajos dentro del proyecto del usuario o de la cuenta de servicio, lo que provoca que los Controles del servicio de VPC rechacen la consulta.

  • La API de conexión de BigQuery es parcialmente compatible. Limitaciones:

  • BigQuery bloquea el almacenamiento de los resultados de las consultas en Google Drive desde el perímetro protegido de los Controles del servicio de VPC.

  • Los Controles del servicio de VPC solo se admiten cuando se realizan análisis a través de BigQuery Enterprise, Enterprise Plus o On-Demand.

API de políticas de datos de BigQuery

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio bigquerydatapolicy.googleapis.com
Detalles

La API de datos de BigQuery se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de BigQuery Data Policy, consulta la documentación del producto.

Limitaciones

La integración de la API de Data Data Policy de BigQuery con los Controles del servicio de VPC no tiene limitaciones conocidas.

Servicio de transferencia de datos de BigQuery

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio bigquerydatatransfer.googleapis.com
Detalles

El perímetro de servicio solo protege la API del Servicio de transferencia de datos de BigQuery. BigQuery aplica la protección real de datos. Se diseñó para permitir la importación de datos de varias fuentes externas fuera de Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play y Google Ads, en conjuntos de datos de BigQuery. Si deseas obtener información sobre los requisitos de los Controles del servicio de VPC para migrar datos de Teradata, consulta Requisitos de los Controles del servicio de VPC.

Para obtener más información sobre el Servicio de transferencia de datos de BigQuery, consulta la documentación del producto.

Limitaciones
  • El Servicio de transferencia de datos de BigQuery no admite la exportación de datos fuera de un conjunto de datos de BigQuery. Para obtener más información, consulta Exporta datos de tabla.
  • Para transferir datos entre proyectos, el proyecto de destino debe estar dentro del mismo perímetro que el proyecto de origen o, de lo contrario, una regla de salida debe permitir la transferencia de datos fuera del perímetro.
  • El Servicio de transferencia de datos de BigQuery no admite fuentes de datos de terceros para transferir datos a proyectos protegidos por un perímetro de servicio.

API de BigQuery Migration

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio bigquerymigration.googleapis.com
Detalles

La API de Migration de BigQuery puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de BigQuery Migration, consulta la documentación del producto.

Limitaciones

La integración de la API de migración de BigQuery con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de BigQuery Reservation

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio bigqueryreservation.googleapis.com
Detalles

Un perímetro de servicio restringe el acceso a las reservas, los compromisos y las asignaciones de BigQuery dentro de los proyectos de administración que se especifican en el perímetro. La API de BigQuery Reservation es parte de la API de BigQuery. Por lo tanto, si proteges la API de BigQuery con un perímetro de servicio, también proteges la API de BigQuery Reservation.

A fin de obtener más información sobre la API de BigQuery Reservation, consulta la documentación del producto.

Limitaciones
Cuando asignes un proyecto a una reserva, asegúrate de que se cumpla una de las siguientes condiciones:
  • El proyecto asignado y el proyecto de administración de reservas se encuentran en el mismo perímetro de servicio.

  • El acceso entre el proyecto asignado y el proyecto de administración de reservas está permitido mediante reglas de entrada y salida.

Cloud Bigtable

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio bigtable.googleapis.com,
bigtableadmin.googleapis.com
Detalles

Los servicios bigtable.googleapis.com y bigtableadmin.googleapis.com se agrupan. Cuando restringes el servicio bigtable.googleapis.com a un perímetro, este restringe el servicio bigtableadmin.googleapis.com de forma predeterminada. No puedes agregar el servicio bigtableadmin.googleapis.com a la lista de servicios restringidos en un perímetro porque se agrupa con bigtable.googleapis.com.

Si deseas obtener más información sobre Cloud Bigtable, consulta la documentación del producto.

Limitaciones

La integración de Cloud Bigtable con los Controles del servicio de VPC no tiene limitaciones conocidas.

Autorización binaria

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio binaryauthorization.googleapis.com
Detalles

Cuando se usan varios proyectos con Autorización binaria, cada uno debe incluirse en el perímetro de los Controles del servicio de VPC. Para obtener más información sobre este caso de uso, consulta Configuración de varios proyectos.

Con la Autorización binaria, puedes usar Container Analysis para almacenar certificadores y certificaciones como notas y casos, respectivamente. En este caso, también debes incluir Container Analysis en el perímetro de los Controles del servicio de VPC. Consulta la Guía de los Controles del servicio de VPC para Container Analysis a fin de obtener más información.

Para obtener más información sobre la autorización binaria, consulta la documentación del producto.

Limitaciones

La integración de la autorización binaria con los Controles del servicio de VPC no tiene limitaciones conocidas.

Certificate Authority Service

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio privateca.googleapis.com
Detalles

La API de Certificate Authority Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Certificate Authority Service, consulta la documentación del producto.

Limitaciones
  • Para usar Certificate Authority Service en un entorno protegido, también debes agregar la API de Cloud KMS (cloudkms.googleapis.com) y la API de Cloud Storage (storage.googleapis.com) a tu perímetro de servicio.

Controlador de configuración

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio krmapihosting.googleapis.com
Detalles

Para usar el controlador de configuración con los Controles del servicio de VPC, debes habilitar las siguientes API dentro de tu perímetro:

  • API de Cloud Monitoring (monitoring.googleapis.com)
  • API de Container Registry (containerregistry.googleapis.com)
  • API de Google Cloud's operations suite (logging.googleapis.com)
  • API del servicio de token de seguridad (sts.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)

Si aprovisionas recursos con el controlador de configuración, debes habilitar la API para esos recursos en tu perímetro de servicio. Por ejemplo, si deseas agregar una cuenta de servicio de IAM, debes agregar la API de IAM (iam.googleapis.com).

Para obtener más información sobre el controlador de configuración, consulta la documentación del producto.

Limitaciones

La integración del controlador de configuración con los Controles del servicio de VPC no tiene limitaciones conocidas.

Data Catalog

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio datacatalog.googleapis.com
Detalles Data Catalog respeta los perímetros de forma automática alrededor de otros servicios de Google Cloud.

Para obtener más información sobre Data Catalog, consulta la documentación del producto.

Limitaciones

La integración de Data Catalog con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Data Fusion

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio datafusion.googleapis.com
Detalles

Cloud Data Fusion requiere algunos pasos especiales para la protección mediante los Controles del servicio de VPC.

Para obtener más información sobre Cloud Data Fusion, consulte la documentación del producto.

Limitaciones
  • Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear la instancia privada de Cloud Data Fusion. No se admite la protección perimetral de instancias creadas antes de configurar los Controles del servicio de VPC.

  • Actualmente, la IU del plano de datos de Cloud Data Fusion no admite el acceso basado en la identidad con reglas de entrada o niveles de acceso.

API de Data Lineage

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio datalineage.googleapis.com
Detalles

La API de Data Lineage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Data Lineage, consulta la documentación del producto.

Limitaciones

La integración de la API de Data Lineage con los Controles del servicio de VPC no tiene limitaciones conocidas.

Compute Engine

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio compute.googleapis.com
Detalles

La compatibilidad de los Controles del servicio de VPC con Compute Engine ofrece los siguientes beneficios de seguridad:

  • Restringe el acceso a las operaciones sensibles de la API
  • Restringe las instantáneas de discos persistentes y las imágenes personalizadas a un perímetro.
  • Restringe el acceso a los metadatos de la instancia.

La compatibilidad de los Controles del servicio de VPC con Compute Engine también te permite usar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de los perímetros de servicio.

Para obtener más información sobre Compute Engine, consulta la documentación del producto.

Limitaciones
  • Los firewalls jerárquicos no se ven afectados por los perímetros de servicio.

  • Las operaciones de intercambio de tráfico de VPC no imponen restricciones en el perímetro de servicio de la VPC.

  • El método de la API projects.ListXpnHosts para la VPC compartida no impone restricciones de perímetro de servicio en los proyectos que se muestran.

  • Con el fin de habilitar la creación de una imagen de Compute Engine desde Cloud Storage en un proyecto protegido por un perímetro de servicio, se debe agregar al usuario que crea la imagen a una regla de entrada del perímetro de forma temporal.

  • Los Controles del servicio de VPC no son compatibles con el uso de la versión de código abierto de Kubernetes en las VM de Compute Engine dentro de un perímetro de servicio.

  • La consola en serie interactiva no es compatible con la VIP restringida. Si necesitas solucionar problemas de instancia con la consola en serie, configura la resolución de DNS local para enviar tus comandos a ssh-serialport.googleapis.com a través de Internet.

Contact Center AI Insights

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio contactcenterinsights.googleapis.com
Detalles

Para usar las estadísticas de Contact Center AI con los Controles del servicio de VPC, debes tener las siguientes API adicionales dentro de tu perímetro, según tu integración.

  • Para cargar datos en Contact Center AI Insights, agrega la API de Cloud Storage al perímetro de servicio.

  • Para usar la exportación, agrega la API de BigQuery a tu perímetro de servicio.

  • Para integrar varios productos de CCAI, agrega la API de Vertex AI al perímetro de servicio.

Para obtener más información sobre Contact Center AI Insights, consulta la documentación del producto.

Limitaciones

La integración de Contact Center AI Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

Dataflow

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio dataflow.googleapis.com
Detalles

Dataflow admite una cantidad de conectores de servicio de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:

Para obtener más información sobre Dataflow, consulta la documentación del producto.

Limitaciones

  • No se admite BIND personalizado cuando se usa Dataflow. Para personalizar la resolución de DNS cuando usas Dataflow con los Controles del servicio de VPC, usa las zonas privadas de Cloud DNS, en lugar de los servidores BIND personalizados. Para usar tu resolución de DNS local, considera usar un método de reenvío de DNS de Google Cloud.

  • Los Controles del servicio de VPC no son compatibles con el Ajuste de escala automático vertical. Si habilitas Dataflow Prime y, luego, inicias un trabajo nuevo dentro de un perímetro de los Controles del servicio de VPC, el trabajo usa Dataflow Prime sin ajuste de escala automático vertical.

  • No todos los conectores del servicio de almacenamiento están verificados para que funcionen cuando se usan con Dataflow dentro de un perímetro de servicio. Para obtener una lista de los conectores verificados, consulta "Detalles" en la sección anterior.

  • Cuando usas Python 3.5 con el SDK de Apache Beam 2.0.0-2.22.0, los trabajos de Dataflow fallarán al inicio si los trabajadores solo tienen direcciones IP privadas, como cuando se usan Controles del servicio de VPC para proteger recursos. Si los trabajadores de Dataflow solo pueden tener direcciones IP privadas, como cuando se usan los Controles del servicio de VPC para proteger los recursos, no uses Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0. Esta combinación hace que los trabajos fallen al inicio.

Dataplex

Estado DG
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio dataplex.googleapis.com
Detalles

Dataflow admite una cantidad de conectores de servicio de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:

Para obtener más información sobre Dataplex, consulta la documentación del producto.

Limitaciones

Antes de crear el lake de Dataplex, configura el perímetro de seguridad de los Controles del servicio de VPC. De lo contrario, tu lake no tendrá protección perimetral.

Dataproc

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio dataproc.googleapis.com
Detalles

Dataproc requiere algunos pasos especiales para su protección mediante los Controles del servicio de VPC.

Para obtener más información sobre Dataproc, consulta la documentación del producto.

Limitaciones

  • A fin de proteger un clúster de Dataproc con un perímetro de servicio, debes seguir las instrucciones para configurar la conectividad privada y permitir que el clúster funcione dentro del perímetro.

Dataproc Metastore

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio metastore.googleapis.com
Detalles

La API de Dataproc Metastore se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Dataproc Metastore, consulta la documentación del producto.

Limitaciones

La integración de Dataproc Metastore con los Controles del servicio de VPC no tiene limitaciones conocidas.

DataStream

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio datastream.googleapis.com
Detalles

La API de Datastream se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Datastream, consulta la documentación del producto.

Limitaciones

La integración de Datastream con los Controles del servicio de VPC no tiene limitaciones conocidas.

Database Migration Service

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio datamigration.googleapis.com
Detalles

La API de Database Migration Service se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Database Migration Service, consulta la documentación del producto.

Limitaciones
  • Los perímetros de servicio solo protegen la API de Administrador de Database Migration Service. No protegen el acceso de datos basados en IP a las bases de datos subyacentes (como las instancias de Cloud SQL). Para restringir el acceso de IP pública en las instancias de Cloud SQL, usa una restricción de políticas de la organización.
  • Cuando uses un archivo de Cloud Storage en la fase de volcado inicial de la migración, agrega el bucket de Cloud Storage al mismo perímetro de servicio.
  • Cuando usas una clave de encriptación administrada por el cliente (CMEK) en la base de datos de destino, asegúrate de que la CMEK resida en el mismo perímetro de servicio que el perfil de conexión que contiene la clave.

Dialogflow

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio dialogflow.googleapis.com
Detalles

La API de Dialogflow se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Dialogflow, consulta la documentación del producto.

Limitaciones

Cloud Data Loss Prevention

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio dlp.googleapis.com
Detalles

La API de Cloud Data Loss Prevention se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Data Loss Prevention, consulta la documentación del producto.

Limitaciones
  • Debido a que los Controles del servicio de VPC actualmente no admiten recursos de carpetas ni de organizaciones, las llamadas DLP pueden mostrar una respuesta 403 cuando intentan acceder a los recursos a nivel de la organización. Recomendamos usar IAM para administrar los permisos de DLP a nivel de organización y de carpeta.

Cloud DNS

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio dns.googleapis.com
Detalles

La API de Cloud DNS se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud DNS, consulta la documentación del producto.

Limitaciones

  • Puedes acceder a Cloud DNS a través de la VIP restringida. Sin embargo, no puedes crear ni actualizar zonas de DNS públicas dentro de proyectos dentro del perímetro de los Controles del servicio de VPC.

Document AI

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio documentai.googleapis.com
Detalles

La API de Document AI se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Document AI, consulta la documentación del producto.

Limitaciones

La integración de Document AI con los Controles del servicio de VPC no tiene limitaciones conocidas.

Almacén de Document AI

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio contentwarehouse.googleapis.com
Detalles

La API de Document AI Warehouse se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el almacén de documentos de IA, consulta la documentación del producto.

Limitaciones

La integración de Document AI Warehouse con los Controles del servicio de VPC no tiene limitaciones conocidas.

Dominios en la nube

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio domains.googleapis.com
Detalles

La API de Cloud Domains se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Domains, consulta la documentación del producto.

Limitaciones

Eventarc

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio eventarc.googleapis.com
Detalles

Eventarc controla la entrega de eventos mediante temas de Pub/Sub y suscripciones de envío. Para acceder a la API de Pub/Sub y administrar los activadores de eventos, la API de Eventarc debe protegerse dentro del mismo perímetro de servicio de los Controles del servicio de VPC que la API de Pub/Sub.

Para obtener más información sobre Eventarc, consulta la documentación del producto.

Limitaciones

En los proyectos protegidos por un perímetro de servicio, Eventarc está vinculado por las mismas limitaciones que Pub/Sub:

  • Cuando enrutas eventos a destinos de Cloud Run, no se pueden crear nuevas suscripciones de envío de Pub/Sub, a menos que los extremos de envío estén configurados en servicios de Cloud Run con URL run.app predeterminadas (los dominios personalizados no funcionan).
  • Cuando enrutas eventos a destinos de Workflows para los que el extremo de envío de Pub/Sub se configura en una ejecución de Workflows, solo puedes crear suscripciones de envío de Pub/Sub nuevas mediante Eventarc.
En este documento, consulta las limitaciones de Pub/Sub.

Verificación de aplicaciones de Firebase

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio firebaseappcheck.googleapis.com
Detalles

Cuando configuras y, luego, intercambias tokens de Verificación de aplicaciones de Firebase, los Controles del servicio de VPC solo protegen el servicio de Verificación de aplicaciones de Firebase. A fin de proteger los servicios que dependen de Firebase App Check, debes configurar perímetros de servicio para esos servicios.

Para obtener más información sobre la Verificación de aplicaciones de Firebase, consulta la documentación del producto.

Limitaciones

La integración de Verificación de aplicaciones de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.

Reglas de seguridad de Firebase

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio firebaserules.googleapis.com
Detalles

Cuando administras las políticas de Firebase Security Rules, los Controles del servicio de VPC solo protegen el servicio de reglas de seguridad de Firebase. A fin de proteger los servicios que se basan en las reglas de seguridad de Firebase, debes configurar los permisos de los servicios para esos servicios.

Para obtener más información sobre las reglas de seguridad de Firebase, consulta la documentación del producto.

Limitaciones

La integración de las reglas de seguridad de Firebase con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Functions

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudfunctions.googleapis.com
Detalles

Consulta la documentación de Cloud Functions para conocer los pasos de configuración. La protección de los Controles del servicio de VPC no se aplica a la fase de compilación cuando Cloud Functions se compila mediante Cloud Build. La protección de los Controles del servicio de VPC se aplica a todos los activadores de funciones, excepto los activadores de Firebase Realtime Database y de Firebase Crashlytics. Para obtener más información, consulta las limitaciones conocidas.

Para obtener más información sobre Cloud Functions, consulta la documentación del producto.

Limitaciones
  • Cloud Functions usa Cloud Build, Container Registry y Cloud Storage para compilar y administrar tu código fuente en un contenedor ejecutable. Si el perímetro de servicio restringe alguno de estos servicios, los Controles del servicio de VPC bloquean la compilación de Cloud Functions, incluso si Cloud Functions no se agrega como un servicio restringido al perímetro. A fin de usar Cloud Functions dentro de un perímetro de servicio, debes configurar una regla de entrada para la cuenta de servicio de Cloud Build en tu perímetro de servicio.

  • Para permitir que las funciones usen dependencias externas, como los paquetes de npm, Cloud Build tiene acceso ilimitado a Internet. Este acceso a Internet podría usarse para robar datos disponibles al momento de la compilación, como el código fuente que subiste. Si deseas mitigar este vector de robo de datos, recomendamos que solo permitas que los desarrolladores de confianza implementen funciones. No otorgues funciones de IAM de propietario, editor o desarrollador de Cloud Functions a desarrolladores que no sean de confianza.

  • En el caso de los activadores de Firebase Realtime Database y los de Firebase Crashlytics, un usuario podría implementar una función que podría activarse mediante cambios en Firebase Realtime Database o Firebase Crashlytics en un proyecto diferente fuera del perímetro de servicio del proyecto, en el que se implementa la función. Si deseas mitigar el vector de robo de estos dos activadores, te recomendamos que solo permitas que los desarrolladores de confianza implementen funciones. No otorgues funciones de IAM de propietario, editor o desarrollador de Cloud Functions a desarrolladores que no sean de confianza.

  • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como tipo de identidad a fin de implementar Cloud Functions desde una máquina local.

    Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

  • Cuando los activadores de HTTP invocan los servicios de Cloud Functions, la aplicación de políticas de los Controles del servicio de VPC no usa la información de autenticación de IAM del cliente. No se admiten las reglas de la política de entrada de los Controles del servicio de VPC que usan principales de IAM. No se admiten los niveles de acceso para los perímetros de los Controles del servicio de VPC que usan principales de IAM.

Identity and Access Management

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio iam.googleapis.com
Detalles

Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen la administración de funciones IAM personalizadas, la administración de los grupos de Workload Identity y la administración de cuentas de servicio y claves. El perímetro no restringe las acciones de los grupos de trabajadores porque estos son recursos a nivel de organización.

El perímetro alrededor de IAM no restringe la administración de acceso (es decir, la obtención o la configuración de políticas de IAM) para recursos que son propiedad de otros servicios, como proyectos, carpetas y organizaciones de Resource Manager o instancias de máquina virtual de Compute Engine. A fin de restringir la administración de acceso para estos recursos, crea un perímetro que restrinja el servicio que posee los recursos. Para obtener una lista de los recursos que aceptan políticas de IAM y los servicios que las poseen, consulta Tipos de recursos que aceptan políticas de IAM.

Además, el perímetro alrededor de IAM no restringe las acciones que usan otras API, incluidas las siguientes:

  • API del Policy Simulator de IAM
  • API del solucionador de problemas de políticas de IAM
  • API del servicio de token de seguridad
  • API de Service Account Credentials (incluidos los métodos signBlob y signJwt heredados en la API de IAM)

Para obtener más información sobre Identity and Access Management, consulta la documentación del producto.

Limitaciones

Si estás dentro del perímetro, no puedes llamar al método roles.list con una string vacía para enumerar las funciones predefinidas de IAM. Si necesitas ver las funciones predefinidas, consulta la documentación de funciones de IAM.

API de Admin de IAP

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio iap.googleapis.com
Detalles

La API de administrador de IAP permite a los usuarios configurar IAP.

Si deseas obtener más información sobre la API de Admin de IAP , consulta la documentación del producto.

Limitaciones

La integración de la API de Admin de IAP con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Cloud KMS Inventory

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio kmsinventory.googleapis.com
Detalles

La API de Cloud KMS Inventory puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud KMS Inventory, consulta la documentación del producto.

Limitaciones

El método de la API de SearchProtectedResources no impone restricciones de perímetro de servicio en los proyectos que se muestran.

Credenciales de la cuenta de servicio

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio iamcredentials.googleapis.com
Detalles

La API de las credenciales de la cuenta de servicio se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre las credenciales de la cuenta de servicio, consulta la documentación del producto.

Limitaciones

La integración de las credenciales de la cuenta de servicio con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de metadatos del servicio

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloud.googleapis.com
Detalles

La API de Service Metadata puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Service Metadata, consulta la documentación del producto.

Limitaciones

La integración de la API de metadatos del servicio con los Controles del servicio de VPC no tiene limitaciones conocidas.

Acceso a VPC sin servidores

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio vpcaccess.googleapis.com
Detalles

La API de Acceso a VPC sin servidores se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Acceso a VPC sin servidores, consulta la documentación del producto.

Limitaciones

La integración del Acceso a VPC sin servidores con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Key Management Service

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudkms.googleapis.com
Detalles

La API de Cloud KMS se puede proteger con los Controles del servicio de VPC y el producto se puede usar en los perímetros de servicio. El acceso a los servicios de Cloud HSM también está protegido por los Controles del servicio de VPC y se puede usar dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Key Management Service, consulta la documentación del producto.

Limitaciones

La integración de Cloud Key Management Service con los Controles del servicio de VPC no tiene limitaciones conocidas.

Game Servers

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio gameservices.googleapis.com
Detalles

La API de Game Servers se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Game Servers, consulta la documentación del producto.

Limitaciones

La integración de Game Servers con los Controles del servicio de VPC no tiene limitaciones conocidas.

Identity-Aware Proxy para TCP

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio iaptunnel.googleapis.com
Detalles

La API de Identity-Aware Proxy para TCP puede protegerse con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Si deseas obtener más información sobre Identity-Aware Proxy para TCP, consulta la documentación del producto.

Limitaciones
  • Solo un perímetro puede proteger la API de IAP para TCP. No se puede usar un perímetro para proteger la API administrativa.

  • Si deseas usar IAP para TCP dentro de un perímetro de servicio de Controles del servicio de VPC, debes agregar o configurar algunas entradas de DNS con el fin de apuntar los siguientes dominios a la VIP restringida:

    • tunnel.cloudproxy.app
    • *.tunnel.cloudproxy.app

Cloud Life Sciences

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio lifesciences.googleapis.com
Detalles

La API de Cloud Life Sciences se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Life Sciences, consulta la documentación del producto.

Limitaciones

La integración de Cloud Life Sciences con los Controles del servicio de VPC no tiene limitaciones conocidas.

Servicio administrado para Microsoft Active Directory

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio managedidentities.googleapis.com
Detalles

Se requiere una configuración adicional para lo siguiente:

Si deseas obtener más información sobre el servicio administrado para Microsoft Active Directory, consulta la documentación del producto.

Limitaciones

La integración del servicio administrado para Microsoft Active Directory con los Controles del servicio de VPC no tiene limitaciones conocidas.

reCAPTCHA Enterprise

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio recaptchaenterprise.googleapis.com
Detalles

La API de reCAPTCHA Enterprise se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre reCAPTCHA Enterprise, consulta la documentación de productos.

Limitaciones

La integración de reCAPTCHA Enterprise con los Controles del servicio de VPC no tiene limitaciones conocidas.

Web Risk

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio webrisk.googleapis.com
Detalles

La API de Web Risk se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Web Risk, consulta la documentación del producto.

Limitaciones

La API de evaluación y la API de envío no son compatibles con los Controles del servicio de VPC.

Recomendador

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio recommender.googleapis.com
Detalles

La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el recomendador, consulta la documentación del producto.

Limitaciones

  • Los Controles del servicio de VPC no admiten recursos de cuentas de facturación, organizaciones ni carpetas.

Secret Manager

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio secretmanager.googleapis.com
Detalles

La API de Secret Manager se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Secret Manager, consulta la documentación del producto.

Limitaciones

La integración de Secret Manager con los Controles del servicio de VPC no tiene limitaciones conocidas.

Pub/Sub

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio pubsub.googleapis.com
Detalles

La protección de los Controles del servicio de VPC se aplica a todas las operaciones de administrador, las operaciones de publicador y las operaciones de suscriptor (excepto las suscripciones de envío existentes).

Para obtener más información sobre Pub/Sub, consulta la documentación del producto.

Limitaciones

En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:

  • No se pueden crear nuevas suscripciones de envío a menos que los extremos de envío estén configurados en servicios de Cloud Run con URLs run.app predeterminadas (los dominios personalizados no funcionan). Para obtener más información sobre la integración en Cloud Run, consulta Usa los Controles del servicio de VPC.
  • Debes crear una suscripción en el mismo perímetro que el tema o habilitar las reglas de salida para permitir el acceso desde el tema a la suscripción.
  • Cuando enrutas eventos a través de Eventarc a destinos de Workflows para los que el extremo de envío está configurado en una ejecución de Workflows, solo puedes crear suscripciones de envío nuevas a través de Eventarc.
  • No se bloquean las suscripciones de envío de Pub/Sub creadas antes que el perímetro de servicio.

Pub/Sub Lite

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio pubsublite.googleapis.com
Detalles

La protección de los Controles del servicio de VPC se aplica a todas las operaciones de suscriptor.

Para obtener más información sobre Pub/Sub Lite, consulta la documentación del producto.

Limitaciones

La integración de Pub/Sub Lite con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Build

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudbuild.googleapis.com
Detalles

Usa los Controles del servicio de VPC con grupos privados de Cloud Build para agregar seguridad adicional a tus compilaciones.

Para obtener más información sobre Cloud Build, consulta la documentación del producto.

Limitaciones

La protección de los Controles del servicio de VPC solo está disponible para las compilaciones que se ejecutan en grupos privados.

Google Cloud Deploy

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio clouddeploy.googleapis.com
Detalles

La API de Google Cloud Deploy se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Google Cloud Deploy, consulta la documentación del producto.

Limitaciones

Para usar Google Cloud Deploy en un perímetro, debes usar un grupo privado de Cloud Build para los entornos de ejecución de destino. No uses el grupo de trabajadores predeterminado (Cloud Build) y no uses un grupo híbrido.

Cloud Composer

Estado DG
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio composer.googleapis.com
Detalles

Configura Composer para su uso con los Controles del servicio de VPC

Para obtener más información sobre Cloud Composer, consulta la documentación del producto.

Limitaciones

  • Habilitar la serialización de DAG evita que Airflow muestre una plantilla renderizada con funciones en la IU web.

  • No se puede establecer la marca async_dagbag_loader en True mientras la serialización de DAG está habilitada.

  • Habilitar la serialización de DAG inhabilita todos los complementos del servidor web de Airflow, ya que podrían poner en riesgo la seguridad de la red de VPC, en la que se implementa Cloud Composer. Esto no afecta el comportamiento de los complementos de trabajador o programador, incluidos los sensores y operadores de Airflow.

  • Cuando Cloud Composer se ejecuta dentro de un perímetro, se restringe el acceso a los repositorios públicos de PyPI. En la documentación de Cloud Composer, consulta Instala dependencias de Python para aprender a instalar módulos de PyPi en modo de IP privada.

Cloud Run

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio run.googleapis.com
Detalles Se requiere una configuración adicional para Cloud Run. Sigue las instrucciones de la página de documentación de Controles del servicio de VPC de Cloud Run.

Para obtener más información sobre Cloud Run, consulta la documentación del producto.

Limitaciones
  • En el caso de Artifact Registry y Container Registry, el registro en el que almacenas tu contenedor debe estar en el mismo perímetro de los Controles del servicio de VPC que el proyecto en el que realizas la implementación. El código que se compila debe estar en el mismo perímetro de los Controles del servicio de VPC que el registro al que se envía el contenedor.
  • La función de implementación continua de Cloud Run no está disponible para los proyectos alojados en un perímetro de Controles del servicio de VPC.

Cloud Scheduler

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudscheduler.googleapis.com
Detalles Los Controles del servicio de VPC se aplican a las siguientes acciones:
  • Creación de trabajos de Cloud Scheduler
  • Actualizaciones de trabajos de Cloud Scheduler

Para obtener más información sobre Cloud Scheduler, consulta la documentación del producto.

Limitaciones
La compatibilidad de los Controles del servicio de VPC está en vista previa para los trabajos de Cloud Scheduler con los siguientes destinos:
  • Cloud Functions
  • Cloud Run
  • API de Dataflow (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
  • Canalizaciones de datos (deben estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)
La compatibilidad de los Controles del servicio de VPC solo se encuentra en GA para los trabajos de Cloud Scheduler con los siguientes destinos:
  • Pub/Sub (debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler)

Cloud Spanner

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio spanner.googleapis.com
Detalles

La API de Cloud Spanner se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Spanner, consulta la documentación del producto.

Limitaciones

La integración de Cloud Spanner con los Controles del servicio de VPC no tiene limitaciones conocidas.

Speaker ID

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio speakerid.googleapis.com
Detalles

La API de Speaker ID se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Speak ID, consulta la documentación del producto.

Limitaciones

La integración de Speaker ID con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Storage

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio storage.googleapis.com
Detalles

La API de Cloud Storage se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Storage, consulta la documentación del producto.

Limitaciones
  • Cuando usas la función Pagos del solicitante con un bucket de almacenamiento dentro de un perímetro de servicio que protege al servicio de Cloud Storage, no puedes identificar un proyecto para pagar que esté fuera del perímetro. El proyecto de destino debe estar en el mismo perímetro que el bucket de almacenamiento o en un puente perimetral con el proyecto del bucket.

    Para obtener más información sobre los Pagos del solicitante, consulta los Requisitos de uso y acceso de los Pagos del solicitante.

  • En cuanto a los proyectos en un perímetro de servicio, no es posible acceder a la página de Cloud Storage en la consola de Google Cloud si la API de Cloud Storage está protegida por ese perímetro. Si deseas otorgar acceso a la página, debes crear una regla de entrada o un nivel de acceso que incluya las cuentas de usuario o el rango de IP público al que deseas permitir que acceda a la API de Cloud Storage.

  • En los registros de auditoría, el campo resourceName no identifica el proyecto que posee un bucket. El proyecto debe descubrirse por separado.

  • En los registros de auditoría, el valor de methodName no siempre es correcto. Te recomendamos que no filtres los registros de auditoría de Cloud Storage por el methodName.

  • En algunos casos, los registros de buckets heredados de Cloud Storage se pueden escribir en destinos fuera del perímetro de servicio, incluso cuando se niega el acceso.

  • Cuando intentas usar gsutil por primera vez en un proyecto nuevo, puede que debas habilitar el servicio storage-api.googleapis.com. Si bien no puedes proteger storage-api.googleapis.com directamente, cuando proteges la API de Cloud Storage mediante un perímetro de servicio, las operaciones de gsutil también se protegen.

  • En algunos casos, se puede acceder a los objetos de Cloud Storage públicos, incluso después de habilitar los Controles del servicio de VPC en los objetos. Se puede acceder a los objetos hasta que venzan en las memorias de almacenamiento en caché integradas y en otras memorias caché ascendentes de la red entre el usuario final y Cloud Storage. Cloud Storage almacena en caché los datos de acceso público de forma predeterminada en la red de Cloud Storage. Para obtener más información sobre cómo los objetos de Cloud Storage se almacenan en caché, consulta Cloud Storage. Para obtener información sobre el tiempo que un objeto puede almacenarse en caché, consulta Metadatos de control de caché.
  • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como tipo de identidad en todas las operaciones de Cloud Storage mediante URLs firmadas.

    Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

  • Las URL firmadas admiten los Controles del servicio de VPC.

    Los Controles del servicio de VPC usan las credenciales de firma del usuario o la cuenta de servicio que firmó la URL firmada para evaluar las verificaciones de los Controles del servicio de VPC, no del emisor o de la credencial de usuario que inicia la conexión.

Cloud Tasks

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudtasks.googleapis.com
Detalles

La API de Cloud Tasks se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Las solicitudes HTTP de las ejecuciones de Cloud Tasks se admiten de la siguiente manera:

  • Se permiten solicitudes autenticadas a Cloud Functions (1a gen.) y extremos de Cloud Run que cumplan con los Controles del servicio de VPC.
  • Se bloquean las solicitudes a extremos que no son de Cloud Functions ni de Cloud Run.
  • Se bloquean las solicitudes a los Cloud Functions y los extremos de Cloud Run que no cumplen con los Controles del servicio de VPC.

Para obtener más información sobre Cloud Tasks, consulta la documentación del producto.

Limitaciones

La integración de Cloud Tasks con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud SQL

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio sqladmin.googleapis.com
Detalles

Los perímetros de los Controles del servicio de VPC protegen la API de Cloud SQL Admin.

Para obtener más información sobre Cloud SQL, consulta la documentación del producto.

Limitaciones

  • Los perímetros de servicio solo protegen la API de Administrador de Cloud SQL. No protegen el acceso de datos basados en IP a las instancias de Cloud SQL. Debes usar una restricción de políticas de la organización para restringir el acceso de IP pública en las instancias de Cloud SQL.
  • Antes de configurar los Controles del servicio de VPC para Cloud SQL, habilita la API de Service Networking.
  • Las importaciones y las exportaciones de Cloud SQL solo pueden realizar operaciones de lectura y escritura desde un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL.

  • En el flujo de migración del servidor externo, debes agregar el bucket de Cloud Storage al mismo perímetro de servicio.
  • En el flujo de creación de claves para CMEK, debes crear la clave en el mismo perímetro de servicio que los recursos que la usan.
  • Cuando restableces una instancia desde una copia de seguridad, la instancia de destino debe estar en el mismo perímetro de servicio que la copia de seguridad.

API de Video Intelligence

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio videointelligence.googleapis.com
Detalles

La API de Video Intelligence se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Video Intelligence, consulta la documentación del producto.

Limitaciones

La integración de la API de Video Intelligence con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Cloud Vision

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio vision.googleapis.com
Detalles

La API de Cloud Vision se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud Vision, consulta la documentación del producto.

Limitaciones
Incluso si creas una regla de salida para permitir llamadas a URL públicas desde los perímetros de los Controles del servicio de VPC, la API de Cloud Vision bloquea las llamadas a URL públicas.

Container Analysis

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio containeranalysis.googleapis.com
Detalles

Para usar Container Analysis con los Controles del servicio de VPC, es posible que debas agregar otros servicios al perímetro de la VPC:

Debido a que la API de Container Scanning es una API sin superficie que almacena los resultados en Container Analysis, no necesitas proteger la API con un perímetro de servicio.

Para obtener más información sobre Container Analysis, consulta la documentación del producto.

Limitaciones

La integración de Container Analysis con los Controles del servicio de VPC no tiene limitaciones conocidas.

Container Registry

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio containerregistry.googleapis.com
Detalles

Además de proteger la API de Container Registry, Container Registry se puede usar dentro de un perímetro de servicio con GKE y Compute Engine.

Para obtener más información sobre Container Registry, consulta la documentación del producto.

Limitaciones

  • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como tipo de identidad en todas las operaciones de Container Registry.

    Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

  • Debido a que Container Registry usa el dominio gcr.io, debes configurar DNS para que *.gcr.io se asigne a private.googleapis.com o restricted.googleapis.com. Para obtener más información, consulta Protege Container Registry en un perímetro de servicio.

  • Además de los contenedores que se encuentran dentro de un perímetro disponibles para Container Registry, los siguientes repositorios de solo lectura están disponibles para todos los proyectos, sin importar las restricciones que apliquen los perímetros de servicio:

    • gcr.io/anthos-baremetal-release
    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/deeplearning-platform-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gae-runtimes
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/gkeconnect
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gcr.io/vertex-ai
    • gcr.io/vertex-ai-restricted
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    En todos los casos, también están disponibles las versiones multirregional de estos repositorios.

Google Kubernetes Engine

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio container.googleapis.com
Detalles

La API de Google Kubernetes Engine se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Google Kubernetes Engine, consulta la documentación del producto.

Limitaciones

  • Solo los clústeres privados se pueden proteger mediante los Controles del servicio de VPC. Los Controles del servicio de VPC no admiten clústeres con direcciones IP públicas.

Transmisión de imágenes

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio containerfilesystem.googleapis.com
Detalles

La transmisión de imágenes es una función de transmisión de datos de GKE que proporciona tiempos de extracción de imágenes de contenedor más cortos para las imágenes almacenadas en Artifact Registry. Si los Controles del servicio de VPC protegen las imágenes de contenedor y usas la transmisión de imágenes, también debes incluir la API de transmisión de imágenes en el perímetro de servicio.

Para obtener más información sobre la transmisión de imágenes, consulta la documentación del producto.

Limitaciones

La integración de transmisión de imágenes con los Controles del servicio de VPC no tiene limitaciones conocidas.

Flotas

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio gkeconnect.googleapis.com,
gkehub.googleapis.com,
connectgateway.googleapis.com
Detalles

Las API de Fleet management, incluida la puerta de enlace de Connect, se pueden proteger con los Controles del servicio de VPC, y las funciones de administración de flota se pueden usar con normalidad dentro de los perímetros de servicio. Para obtener más información, consulta lo siguiente:

Para obtener más información sobre Fleets, consulta la documentación del producto.

Limitaciones

La integración de las flotas con los Controles del servicio de VPC no tiene limitaciones conocidas.

Resource Manager

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudresourcemanager.googleapis.com
Detalles

Los Controles del servicio de VPC pueden proteger los siguientes métodos de la API de Resource Manager:

Para obtener más información sobre Resource Manager, consulta la documentación del producto.

Limitaciones

  • Las etiquetas que se configuran directamente en servicios y no interactúan con proyectos de Google Cloud no están protegidas por los Controles del servicio de VPC si se realizan llamadas a la API desde fuera del perímetro. Si se realizan llamadas a la API a estos servicios desde el perímetro, se bloquearán las llamadas.

    Por ejemplo, si un cliente envía una solicitud a la API de etiquetas desde una VM de una red alojada en un proyecto protegido por un perímetro, se rechazará la solicitud. Para evitar que se bloqueen las solicitudes dentro de un perímetro, debes configurar reglas de salida para permitir el acceso.

    Las etiquetas admiten restricciones a nivel de los métodos, por lo que puedes definir el alcance de method_selectors según métodos de API específicos. Para obtener una lista de los métodos restringidos, consulta Restricciones de los métodos de servicio admitidos.

    Para obtener más información sobre cómo configurar reglas de salida, consulta Reglas de entrada y salida.

  • Ahora se pueden otorgar los roles de propietario en un proyecto a través de la consola de Google Cloud mediante los Controles del servicio de VPC. No puedes enviar una invitación de propietario ni aceptar una invitación fuera de los perímetros de servicio. Si intentas aceptar una invitación desde fuera del perímetro, no se te otorgará el rol de propietario y no se mostrará ningún mensaje de error o advertencia.

Cloud Logging

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio logging.googleapis.com
Detalles

La API de Cloud Logging se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Logging, consulta la documentación del producto.

Limitaciones
  • Los receptores de registro agregados (receptores de carpetas y organizaciones en los que includeChildren es true) pueden acceder a los datos de los proyectos dentro de un perímetro de servicio. A fin de restringir el acceso de los receptores de registros agregados a los datos dentro de un perímetro, recomendamos usar IAM para administrar los permisos de Logging en los receptores de registros agregados a nivel de carpeta o de organización.

  • Los Controles del servicio de VPC no admiten la adición de recursos de carpetas o de organizaciones a los perímetros de servicio. Por lo tanto, no puedes usar los Controles del servicio de VPC para proteger los registros a nivel de carpeta y de organización, incluidos los registros agregados. Para administrar los permisos de Logging a nivel de carpeta o de la organización, recomendamos usar IAM.

  • Si enrutas registros, mediante un receptor de registros a nivel de la organización o de la carpeta, a un recurso que protege un perímetro de servicio, debes agregar una regla de entrada al perímetro de servicio. La regla de entrada debe permitir el acceso al recurso desde la cuenta de servicio que usa el receptor de registros. Este paso no es necesario para los receptores a nivel de proyecto.

    Para obtener más información, consulta las siguientes páginas:

  • Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como tipo de identidad a fin de exportar registros de un receptor de Cloud Logging a un recurso de Cloud Storage.

    Como solución alternativa, usa ANY_IDENTITY como el tipo de identidad.

Cloud Monitoring

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio monitoring.googleapis.com
Detalles

La API de Cloud Monitoring se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Monitoring, consulta la documentación del producto.

Limitaciones
  • Los canales de notificaciones, las políticas de alertas y las métricas personalizadas se pueden usar en conjunto para el robo de datos y metadatos. Por el momento, un usuario de Monitoring puede configurar un canal de notificaciones que apunte a una entidad fuera de una organización, p. ej., “baduser@badcompany.com”. Luego, el usuario configura métricas personalizadas y las políticas de alerta correspondientes que usan el canal de notificaciones. Como resultado, mediante la manipulación de las métricas personalizadas, el usuario puede activar alertas y enviar alertas que activen notificaciones, lo que expone datos sensibles a baduser@badcompany.com por fuera del perímetro de los Controles del servicio de VPC.

  • Cualquier VM de Compute Engine o AWS que tenga el agente de Monitoring instalado debe estar dentro del perímetro de los Controles del servicio de VPC o las operaciones de escritura de métrica del agente fallarán.

  • Los Pods de GKE deben estar dentro del perímetro de los Controles del servicio de VPC o GKE Monitoring no funcionará.

  • Cuando se consultan las métricas de un alcance de métricas, solo se considera el perímetro de los Controles del servicio de VPC del proyecto de alcance para el permiso de la métrica. No se consideran los perímetros de los proyectos supervisados en el alcance de las métricas.

  • Un proyecto solo se puede agregar como proyecto supervisado a un permiso de métricas existente si ese proyecto está en el mismo perímetro de Controles de servicio de VPC que el del proyecto del permiso de las métricas.

  • Si quieres acceder a Monitoring en la consola de Google Cloud para un proyecto host protegido por un perímetro de servicio, usa una regla de entrada.

Cloud Profiler

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudprofiler.googleapis.com
Detalles

La API de Cloud Profiler se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Profiler, consulta la documentación del producto.

Limitaciones

La integración de Cloud Profiler con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Timeseries Insights

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio timeseriesinsights.googleapis.com
Detalles

La API de las estadísticas de serie temporal se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Timeseries Insights, consulta la documentación del producto.

Limitaciones

La integración de la API de Timeseries Insights con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud Trace

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudtrace.googleapis.com
Detalles

La API de Cloud Trace se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Trace, consulta la documentación del producto.

Limitaciones

La integración de Cloud Trace con los Controles del servicio de VPC no tiene limitaciones conocidas.

Cloud TPU

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio tpu.googleapis.com
Detalles

La API de Cloud TPU se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud TPU, consulta la documentación del producto.

Limitaciones

La integración de Cloud TPU con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Natural Language

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio language.googleapis.com
Detalles

La API de Natural Language se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Natural Language, consulta la documentación del producto.

Limitaciones

La integración de la API de Natural Language con los Controles del servicio de VPC no tiene limitaciones conocidas.

Network Connectivity Center

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio networkconnectivity.googleapis.com
Detalles

La API de Network Connectivity Center se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Network Connectivity Center, consulta la documentación del producto.

Limitaciones

La integración de Network Connectivity Center con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Cloud Asset

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio cloudasset.googleapis.com
Detalles

La API de Cloud Asset se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Cloud Asset, consulta la documentación del producto.

Limitaciones

  • Los Controles del servicio de VPC no son compatibles con el acceso a los recursos de la API de Cloud Asset a nivel de carpeta o de organización desde los recursos y clientes dentro de un perímetro de servicio. Los Controles del servicio de VPC protegen los recursos de la API de Cloud Asset a nivel de proyecto. Puedes especificar una política de salida para evitar el acceso a los recursos de la API de Cloud Asset a nivel de proyecto desde los proyectos dentro del perímetro.
  • Los Controles del servicio de VPC no admiten agregar recursos a la API de Cloud Asset a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos de la API de Cloud Asset a nivel de carpeta o de organización. Para administrar los permisos de Cloud Asset Inventory a nivel de organización o carpeta, te recomendamos usar IAM.
  • No puedes exportar activos a nivel de la organización o la carpeta a los destinos dentro de un perímetro de servicio.
  • No puedes crear feeds en tiempo real para recursos a nivel de la organización o la carpeta con un tema de Pub/Sub dentro de un perímetro de servicio.

Speech-to-Text

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio speech.googleapis.com
Detalles

La API de Speech-to-Text se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Speech-to-Text, consulta la documentación del producto.

Limitaciones

La integración de Speech-to-Text con los Controles del servicio de VPC no tiene limitaciones conocidas.

Text-to-Speech

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio texttospeech.googleapis.com
Detalles

La API de Text-to-Speech se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Text-to-Speech, consulta la documentación del producto.

Limitaciones

La integración de Text-to-Speech con los Controles del servicio de VPC no tiene limitaciones conocidas.

Traducción

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio translate.googleapis.com
Detalles

La API de Translation se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Translation, consulta la documentación del producto.

Limitaciones

Cloud Translation avanzado (v3) es compatible con los Controles del servicio de VPC, pero no con Cloud Translation básico (v2). Para aplicar los Controles del servicio de VPC, debes usar Cloud Translation avanzado (v3). Para obtener más información sobre las diferentes ediciones, consulta la comparación entre la edición básica y la avanzada.

API de Transcoder

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio transcoder.googleapis.com
Detalles

La API de API Transcoder se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Transcoder, consulta la documentación del producto.

Limitaciones

La integración de la API de Transcoder con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Video Stitcher

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio videostitcher.googleapis.com
Detalles

La API de Video Stitcher se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Si deseas obtener más información sobre la API de Video Stitcher, consulta la documentación del producto.

Limitaciones

La integración de la API de Video Stitcher con los Controles del servicio de VPC no tiene limitaciones conocidas.

Aprobación de acceso

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio accessapproval.googleapis.com
Detalles

La API para la Aprobación de acceso se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la Aprobación de acceso, consulta la documentación del producto.

Limitaciones

La integración de la Aprobación de acceso con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Cloud Healthcare

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio healthcare.googleapis.com
Detalles

La API de Cloud Healthcare se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

A fin de obtener más información sobre la API de Cloud Healthcare, consulta la documentación del producto.

Limitaciones

La integración de la API de Cloud Healthcare con los Controles del servicio de VPC no tiene limitaciones conocidas.

Servicio de transferencia de almacenamiento

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio storagetransfer.googleapis.com
Detalles

Recomendamos colocar el proyecto del Servicio de transferencia de almacenamiento dentro del mismo perímetro de servicio que los recursos de Cloud Storage. Esto protege la transferencia y los recursos de Cloud Storage. El Servicio de transferencia de almacenamiento también admite situaciones en las que el proyecto del Servicio de transferencia de almacenamiento no está en el mismo perímetro que tus buckets de Cloud Storage, mediante una política de salida.

Para obtener información sobre la configuración, consulta Usa el Servicio de transferencia de almacenamiento con los Controles del servicio de VPC

Servicio de transferencia de datos locales

Consulta Usa transferencias de datos locales con los Controles del servicio de VPC para obtener detalles y la información de configuración para las transferencias de datos locales.

Para obtener más información sobre el Servicio de transferencia de almacenamiento, consulta la documentación del producto.

Limitaciones
La integración del Servicio de transferencia de almacenamiento con los Controles del servicio de VPC no tiene limitaciones conocidas.

Control de servicios

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio servicecontrol.googleapis.com
Detalles

La API de Control de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Control de servicios, consulta la documentación del producto.

Limitaciones

  • Cuando llamas a la API de Service Control desde una red de VPC en un perímetro de servicio con el Control de servicios restringido a fin de informar las métricas de facturación o estadísticas, solo puedes usar el método Informe del Control de servicios para informar las métricas de los servicios compatibles con los Controles del servicio de VPC.

Memorystore para Redis

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio redis.googleapis.com
Detalles

La API de Memorystore para Redis se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Memorystore para Redis, consulta la documentación del producto.

Limitaciones

  • Los perímetros de servicio solo protegen la API de Memorystore para Redis. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Redis dentro de la misma red.

  • Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Redis solo pueden leer y escribir en un bucket de Cloud Storage dentro del mismo perímetro de servicio que la instancia de Memorystore para Redis.

  • Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Redis dentro del mismo perímetro para que las solicitudes de Redis se realicen correctamente. En cualquier momento, separar el proyecto host y el proyecto de servicio con un perímetro puede causar una falla en la instancia de Redis, además de que se bloqueen las solicitudes. Para obtener más información, consulta los requisitos de configuración de Memorystore para Redis.

Memorystore para Memcached

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio memcache.googleapis.com
Detalles

La API de Memorystore para Memcached se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

A fin de obtener más información sobre Memorystore para Memcached, consulta la documentación del producto.

Limitaciones

  • Los perímetros de servicio solo protegen la API de Memorystore para Memcached. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Memcached dentro de la misma red.

Directorio de servicios

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio servicedirectory.googleapis.com
Detalles

La API del Directorio de servicios se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Directorio de servicios, consulta la documentación del producto.

Limitaciones

La integración del Directorio de servicios con los Controles del servicio de VPC no tiene limitaciones conocidas.

IA de Visual Inspection

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio visualinspection.googleapis.com
Detalles

Para proteger por completo la Visual Inspection AI, incluye todas las siguientes API en tu perímetro:

  • API de Visual Inspection AI (visualinspection.googleapis.com)
  • API de Vertex AI (aiplatform.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Artifact Registry (artifactregistry.googleapis.com)
  • API de Container Registry (containerregistry.googleapis.com)

Para obtener más información sobre Visual Inspection AI, consulta la documentación del producto.

Limitaciones

La integración de Visual Inspection AI con los Controles del servicio de VPC no tiene limitaciones conocidas.

Transfer Appliance

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? No. La API de Transfer Appliance no se puede proteger con los perímetros de servicio. Sin embargo, Transfer Appliance se puede usar con normalidad en proyectos dentro de un perímetro.
Detalles

Transfer Appliance es compatible en su totalidad con proyectos que usan los Controles del servicio de VPC.

Transfer Appliance no ofrece una API y, por lo tanto, no es compatible con las funciones relacionadas con la API en los Controles del servicio de VPC.

Para obtener más información sobre Transfer Appliance, consulta la documentación sobre productos.

Limitaciones

  • Cuando Cloud Storage está protegido por los Controles del servicio de VPC, la clave de Cloud KMS que compartes con el equipo de Transfer Appliance debe estar dentro del mismo proyecto que el bucket de destino de Cloud Storage.

Servicio de políticas de la organización

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio orgpolicy.googleapis.com
Detalles

La API del servicio de políticas de la organización se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el Servicio de políticas de la organización, consulta la documentación del producto.

Limitaciones

Los Controles del servicio de VPC no admiten restricciones de acceso a las políticas de la organización a nivel de carpeta o de la organización que el proyecto hereda. Los Controles del servicio de VPC protegen los recursos a nivel de proyecto de la API de Servicio de políticas de la organización.

Por ejemplo, si una regla de entrada restringe a un usuario de la API de Servicio de políticas de la organización, este obtiene un error 403 cuando consulta las políticas de la organización aplicadas en el proyecto. Sin embargo, el usuario aún puede acceder a las políticas de la organización de la carpeta y de la organización que contiene el proyecto.

Acceso a SO

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio oslogin.googleapis.com
Detalles

Puedes llamar a la API de Acceso al SO desde los perímetros de los Controles del servicio de VPC. Para administrar el Acceso al SO desde los perímetros de los Controles del servicio de VPC, configura el Acceso al SO.

Las conexiones SSH a instancias de VM no están protegidas por los Controles del servicio de VPC.

Para obtener más información sobre el Acceso al SO, consulta la documentación del producto.

Limitaciones

Los métodos de Acceso al SO para leer y escribir claves SSH no aplican los perímetros de los Controles del servicio de VPC. Usa los servicios accesibles de VPC para inhabilitar el acceso a las APIs de Acceso al SO.

VM Manager

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio osconfig.googleapis.com
Detalles

Puedes llamar a la API de configuración del SO desde los perímetros de los Controles del servicio de VPC. Para usar VM Manager desde los perímetros de los Controles del servicio de VPC, configura VM Manager.

Para obtener más información sobre VM Manager, consulta la documentación del producto.

Limitaciones
Para proteger por completo el VM Manager, debes incluir todas las siguientes API en tu perímetro:
  • API de configuración del SO (osconfig.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)
  • API de Container Analysis (containeranalysis.googleapis.com)
VM Manager no aloja el contenido del paquete ni del parche. La Administración de parches de SO usa las herramientas de actualización del sistema operativo que requieren que los parches y las actualizaciones de paquetes se puedan recuperar en la VM. Para que la aplicación de parches funcione, es posible que debas usar Cloud NAT o alojar tu propio repositorio de paquetes o servicio de Windows Server Update en tu nube privada virtual.

Workflows

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio workflows.googleapis.com
Detalles

Workflows es una plataforma de organización que puede combinar los servicios de Google Cloud y las API basadas en HTTP para ejecutar servicios en el orden que definas.

Cuando proteges a la API de Workflows mediante un perímetro de servicio, también se protege la API de Workflows Executions. No es necesario que agregues por separado workflowexecutions.googleapis.com a la lista de servicios protegidos de tu perímetro.

Las solicitudes HTTP desde la ejecución de Workflows son compatibles de la siguiente manera:

  • Se permiten las solicitudes autenticadas a los extremos de Google Cloud que cumplen con los Controles del servicio de VPC.
  • Se permiten las solicitudes a los extremos del servicio de Cloud Functions y Cloud Run.
  • Las solicitudes a extremos de terceros se bloquean.
  • Se bloquean las solicitudes a los extremos de Google Cloud que no cumplen con los Controles del servicio de VPC.

Para obtener más información sobre Workflows, consulta la documentación del producto.

Limitaciones

La integración de Workflows con los Controles del servicio de VPC no tiene limitaciones conocidas.

Filestore

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio file.googleapis.com
Detalles

La API de Filestore se puede proteger por los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Filestore, consulta la documentación del producto.

Limitaciones

  • Los perímetros de servicio solo protegen la API de Filestore. Los perímetros no protegen el acceso normal a los datos NFS en las instancias de Filestore dentro de la misma red.

  • Si usas tanto VPC compartida como Controles del servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Filestore dentro del mismo perímetro para que la instancia de Filestore funcione correctamente. Separar el proyecto host y el proyecto de servicio con un perímetro puede hacer que las instancias existentes dejen de estar disponibles y que no se creen instancias nuevas.

Detección de amenazas a contenedores

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio containerthreatdetection.googleapis.com
Detalles

La API de Container Threat Detection se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Container Threat Detection, consulta la documentación del producto.

Limitaciones

La integración de Container Threat Detection con los Controles del servicio de VPC no tiene limitaciones conocidas.

Centro de Datos de Anuncios

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio adsdatahub.googleapis.com
Detalles

Para obtener más información sobre el Centro de Datos de Anuncios, consulta la documentación del producto.

Limitaciones

El Centro de Datos de Anuncios y los Controles del servicio de VPC están sujetos a diferentes Condiciones del Servicio. Revisa las condiciones de cada producto para obtener más información.

Ciertas funciones del Centro de Datos de Anuncios (como la activación de público personalizado, las ofertas personalizadas y las tablas de coincidencias de LiveRamp) requieren que ciertos datos del usuario se exporten fuera del perímetro de los Controles del servicio de VPC. Si se agrega el Centro de Datos de Anuncios como servicio restringido, omitirá las políticas de Controles del servicio de VPC para estas funciones a fin de conservar su funcionalidad.

Todos los servicios dependientes deben incluirse como servicios permitidos en el mismo perímetro de Controles del servicio de VPC. Por ejemplo, dado que el Centro de Datos de Anuncios depende de BigQuery, también se debe agregar BigQuery. En general, se recomiendan todos los servicios del perímetro, es decir, “restringir todos los servicios”, en las prácticas recomendadas de los Controles del servicio de VPC.

Los clientes con estructuras de cuentas del Centro de Datos de Anuncios de varios niveles (como las agencias con subsidiarias) deben tener todos sus proyectos de administrador en el mismo perímetro. Para simplificar, el Centro de Datos de Anuncios recomienda que los clientes con estructuras de cuenta de varios niveles restrinjan sus proyectos de administrador a la misma organización de Google Cloud.

Traffic Director

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio trafficdirector.googleapis.com, networkservices.googleapis.com, networksecurity.googleapis.com
Detalles

La API de Cloud Traffic se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Traffic Director, consulta la documentación del producto.

Limitaciones

La integración de Traffic Director con los Controles del servicio de VPC no tiene limitaciones conocidas.

Servicio de tokens de seguridad

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio sts.googleapis.com
Detalles

Los Controles del servicio de VPC solo restringen los intercambios de tokens si el público de la solicitud es un recurso a nivel de proyecto. Por ejemplo, no restringe las solicitudes de tokens con alcance reducido, ya que esas solicitudes no tienen público. Tampoco restringe las solicitudes de federación de Workload Identity, ya que el público es un recurso a nivel de la organización.

Para obtener más información sobre el servicio de tokens de seguridad, consulta la documentación del producto.

Limitaciones

La integración del servicio de tokens de seguridad con Controles del servicio de VPC no tiene limitaciones conocidas.

Firestore/Datastore

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio firestore.googleapis.com, datastore.googleapis.com, firestorekeyvisualizer.googleapis.com
Detalles

Los servicios firestore.googleapis.com, datastore.googleapis.com y firestorekeyvisualizer.googleapis.com se agrupan. Cuando restringes el servicio firestore.googleapis.com a un perímetro, este también restringe los servicios datastore.googleapis.com y firestorekeyvisualizer.googleapis.com.

Para restringir el servicio datastore.googleapis.com, usa el nombre de servicio firestore.googleapis.com.

Para obtener la protección total de salida en las operaciones de importación y exportación, debes usar el agente de servicio de Firestore. Consulta los siguientes vínculos para obtener más información:

Para obtener más información sobre Firestore o Datastore, consulta la documentación del producto.

Limitaciones

Migrate to Virtual Machines

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio vmmigration.googleapis.com
Detalles

La API de Migrate to Virtual Machines se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Migrate to Virtual Machines, consulta la documentación del producto.

Limitaciones

  • Para proteger por completo Migrate to Virtual Machines, agrega todas las siguientes API al perímetro de servicio:

    • API de Pub/Sub (pubsub.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Cloud Logging (logging.googleapis.com)
    • API de Secret Manager (secretmanager.googleapis.com)
    • API de Compute Engine (compute.googleapis.com)

    Para obtener más información, consulta la documentación sobre Migra a máquinas virtuales.

Copia de seguridad para GKE

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio gkebackup.googleapis.com
Detalles

Puedes usar los Controles del servicio de VPC a fin de proteger la copia de seguridad de GKE y usarlas con normalidad en los perímetros de servicio.

Si deseas obtener más información sobre la Copia de seguridad para GKE, consulta la documentación del producto.

Limitaciones

La integración de la copia de seguridad para GKE con los Controles del servicio de VPC no tiene limitaciones conocidas.

API de Retail

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio retail.googleapis.com
Detalles

La API de la API de Retail se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre la API de Retail, consulta la documentación del producto.

Limitaciones

La integración de la API de Retail con los Controles del servicio de VPC no tiene limitaciones conocidas.

Integración de aplicaciones

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio integrations.googleapis.com
Detalles

Application Integration es un sistema colaborativo de administración de flujos de trabajo que te permite crear, aumentar, depurar y comprender los principales flujos de trabajo del sistema empresarial. Los flujos de trabajo de Application Integration se componen de activadores y tareas. Existen varios tipos de activadores, como los activadores de API, Pub/Sub, cron y sfdc.

Para obtener más información sobre Application Integration, consulta la documentación del producto.

Limitaciones
  • Los Controles del servicio de VPC protegen los registros de Application Integration. Si usas Application Integration, verifica la compatibilidad para la integración de vpcsc con el equipo de Application Integration.

Error Reporting

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio clouderrorreporting.googleapis.com
Detalles

La API de Error Reporting se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Error Reporting, consulta la documentación del producto.

Limitaciones
Las notificaciones enviadas cuando se encuentra un grupo de errores nuevo o recurrente contienen información sobre el grupo. Para evitar el robo de datos fuera del perímetro de los Controles del servicio de VPC, asegúrate de que los canales de notificaciones estén dentro de la organización.

Cloud Workstations

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio workstations.googleapis.com
Detalles

La API de Cloud Workstations se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre Cloud Workstations, consulta la documentación del producto.

Limitaciones

  • Para proteger por completo Cloud Workstations, debes restringir la API de Compute Engine en tu perímetro de servicio cada vez que restrinjas la API de Cloud Workstations.
  • Asegúrate de que las API de Google Cloud Storage, Google Container Registry y la API de Artifact Registry sean accesibles para la VPC en tu perímetro de servicio. Esto es necesario para extraer imágenes en la estación de trabajo. También recomendamos que permitas que las API de Cloud Logging y Cloud Error Reporting sean accesibles para la VPC en tu perímetro de servicio, aunque esto no es necesario para usaCloud Workstationsloud.
  • Asegúrate de que el clúster de la estación de trabajo sea privado. Configurar un clúster privado evita que las conexiones a las estaciones de trabajo estén fuera del perímetro de servicio de VPC.
  • Asegúrate de inhabilitar las direcciones IP públicas en la configuración de la estación de trabajo. Si no lo haces, se generarán VM con direcciones IP públicas en tu proyecto. Te recomendamos que uses la restricción de la política de la organización constraints/compute.vmExternalIpAccess a fin de inhabilitar las direcciones IP públicas para todas las VM en el perímetro de servicio de VPC. Para obtener más información, consulta Restringe direcciones IP externas a VMs específicas.
  • El control de acceso solo se basa en si la red privada a la que te conectas pertenece al perímetro de seguridad. No se admite el control de acceso en función del dispositivo, la dirección IP pública o la ubicación.

IDS de Cloud

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio ids.googleapis.com
Detalles

La API de IDS de Cloud se puede proteger con los Controles del servicio de VPC y el producto se puede usar con normalidad en los perímetros de servicio.

Para obtener más información sobre el IDS de Cloud, consulta la documentación del producto.

Limitaciones

IDS de Cloud usa Cloud Logging para crear registros de amenazas en su proyecto. Si el perímetro de servicio restringe Cloud Logging, los Controles del servicio de VPC bloquean los registros de amenazas de IDS de Cloud, incluso si el IDS de Cloud no se agrega como un servicio restringido al perímetro. A fin de usar IDS de Cloud dentro de un perímetro de servicio, debes configurar una regla de entrada para la cuenta de servicio de Cloud Logging en tu perímetro de servicio.

BeyondCorp Enterprise

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio beyondcorp.googleapis.com
Detalles

Para obtener más información sobre BeyondCorp Enterprise, consulte la documentación del producto.

Limitaciones

La integración de BeyondCorp Enterprise con los Controles del servicio de VPC no tiene limitaciones conocidas.

Solucionador de problemas de políticas

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio policytroubleshooter.googleapis.com
Detalles

Cuando restringes la API del solucionador de problemas de políticas con un perímetro, las principales pueden solucionar problemas relacionados con las políticas de permisos de IAM solo si todos los recursos involucrados en la solicitud están en el mismo perímetro. Por lo general, hay dos recursos involucrados en una solicitud de solución de problemas:

  • El recurso para el que estás solucionando problemas. Este recurso puede ser de cualquier tipo. Especifica este recurso de forma explícita cuando soluciones problemas con una política de permisos.
  • El recurso que estás usando para solucionar problemas de acceso. Este recurso es un proyecto, una carpeta o una organización. En la consola de Google Cloud y gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que seleccionaste. En la API de REST, debes especificar este recurso mediante el encabezado x-goog-user-project.

    Este recurso puede ser el mismo al que estás solucionando el problema, pero no es necesario que lo sea.

Si estos recursos no están en el mismo perímetro, la solicitud falla.

Para obtener más información sobre el solucionador de problemas de políticas, consulta la documentación del producto.

Limitaciones

La integración del solucionador de problemas de políticas con los Controles del servicio de VPC no tiene limitaciones conocidas.

Simulador de política

Estado Vista previa. La integración de este producto en los Controles del servicio de VPC está en vista previa y está lista para pruebas y usos más amplios, pero no es del todo compatible con entornos de producción.
¿Proteger con perímetros? Sí. Puedes configurar los perímetros para proteger este servicio.
Nombre del servicio policysimulator.googleapis.com
Detalles

Cuando restringes la API del simulador de políticas con un perímetro, las principales pueden simular políticas de permisos solo si ciertos recursos involucrados en la simulación están en el mismo perímetro. Hay varios recursos involucrados en una simulación:

  • El recurso cuya política de permisos se simula. Este recurso también se denomina recurso de destino. En Google Cloud Console, este es el recurso cuya política de permisos estás editando. En gcloud CLI y la API de REST, debes especificar este recurso de forma explícita cuando simulas una política de permisos.
  • El proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se denomina recurso de host. En la consola de Google Cloud y gcloud CLI, este recurso se infiere en función del proyecto, la carpeta o la organización que seleccionaste. En la API de REST, debes especificar este recurso mediante el encabezado x-goog-user-project.

    Este recurso puede ser el mismo al que estás simulando acceso, pero no es necesario que lo sea.

  • El recurso que proporciona registros de acceso para la simulación. En una simulación, siempre hay un recurso que proporciona registros de acceso para la simulación. Este recurso varía según el tipo de recurso de destino:

    • Si estás simulando una política de permisos para una organización o proyecto, el simulador de políticas recupera los registros de acceso de esa organización o proyecto.
    • Si estás simulando una política de permiso para un tipo de recurso diferente, Policy Simulator recupera los registros de acceso del proyecto o la organización superior de ese recurso.
    • Si estás simulando las políticas de permisos de varios recursos a la vez, Policy Simulator recupera los registros de acceso para la organización o el proyecto común más cercano de los recursos.
  • Todos los recursos compatibles con políticas de permisos relevantes. Cuando Policy Simulator ejecuta una simulación, considera todas las políticas de permisos que pueden afectar el acceso del usuario, incluidas las políticas de permiso en los recursos principales y descendientes del recurso de destino. Como resultado, estos recursos principales y descendientes también están involucrados en las simulaciones.

Si el recurso de destino y el recurso de host no están en el mismo perímetro, la solicitud falla.

Si el recurso de destino y el recurso que proporciona registros de acceso para la simulación no están en el mismo perímetro, la solicitud falla.

Si el recurso de destino y algunos recursos compatibles con políticas de permisos relevantes no están en el mismo perímetro, las solicitudes se ejecutan de forma correcta, pero los resultados pueden estar incompletos. Por ejemplo, si simulas una política para un proyecto en un perímetro, los resultados no incluirán la política de permisos de la organización superior del proyecto, ya que las organizaciones siempre están fuera de los perímetros de los Controles del servicio de VPC. A fin de obtener resultados más completos, puedes configurar reglas de entrada y salida para el perímetro.

Para obtener más información sobre Policy Simulator, consulta la documentación del producto.

Limitaciones

La integración del Simulador de políticas con los Controles del servicio de VPC no tiene limitaciones conocidas.

Contactos esenciales

Estado DG. Esta integración de productos es totalmente compatible con los Controles del servicio de VPC.