Productos y limitaciones admitidos

Esta página contiene una tabla de productos y servicios compatibles con los controles de servicio de VPC, así como una lista de limitaciones conocidas con ciertos servicios e interfaces.

Productos incluidos

Los Controles de servicio de VPC admiten los siguientes productos:

Productos incluidos

AI Platform Training

Detalles

Los Controles de servicio de VPC admiten trabajos de entrenamiento de plataforma de IA, pero no admiten la predicción de plataforma de IA (predicción por lotes o predicción en línea), aunque ambos comparten una misma API.

Limitaciones Limitaciones conocidas

AI Platform Notebooks

Detalles

None

Limitaciones Limitaciones conocidas

Malla de servicios de Anthos

Detalles

Los perímetros de los controles de servicio de VPC solo pueden proteger a la API de Cloud Service Mesh Certificate Authority. Puedes agregar un perímetro de servicio para proteger tu espacio de nombres de identidad.

BigQuery

Detalles

Cuando proteges a la API de BigQuery con un perímetro de servicio, también se protege la API de BigQuery Storage. No es necesario que agregues por separado la API de BigQuery Storage a la lista de servicios protegidos de su perímetro.

Limitaciones Limitaciones conocidas

Cloud Bigtable

Detalles

None

Cloud Data Fusion

Detalles

Cloud Data Fusion requiere algunos pasos especiales para su protección mediante los Controles de servicio de VPC.

Limitaciones Limitaciones conocidas

Compute Engine

Detalles

La compatibilidad con los controles de servicio de VPC para Compute Engine le permite utilizar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de los perímetros de servicio.

Limitaciones Limitaciones conocidas

Dataflow

Detalles

Dataflow es compatible con varios conectores de servicios de almacenamiento. Se verificó que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:

Limitaciones Limitaciones conocidas

Dataproc

Detalles

Dataproc requiere algunos pasos especiales para proteger mediante los Controles de servicio de VPC.

Limitaciones Limitaciones conocidas

Cloud Data Loss Prevention

Detalles

None

Cloud Functions

Detalles

Durante la versión Beta, la protección de los Controles del servicio de VPC no se aplica a la fase de compilación cuando Cloud Functions se compila con Cloud Build. La protección de los Controles del servicio de VPC se aplica a todos los activadores de funciones, excepto los activadores de Firebase Realtime Database y los activadores de Firebase Crashlytics. Para obtener más detalles, consulte las limitaciones conocidas.

Limitaciones Limitaciones conocidas

Cloud Key Management Service

Detalles

None

Servicio administrado para Microsoft Active Directory

Detalles

Se requiere una configuración adicional para lo siguiente:

Administrador de secretos

Detalles

None

Pub/Sub

Detalles

La protección de los Controles del servicio de VPC se aplica a todas las operaciones de inserción y extracción, excepto las suscripciones de inserción de Pub/Sub existentes.

Limitaciones Limitaciones conocidas

Cloud Spanner

Detalles

None

Cloud Storage

Detalles

None

Limitaciones Limitaciones conocidas

Cloud SQL

Detalles

Los perímetros de los controles de servicio de VPC protegen la API de administrador de Cloud SQL.

Limitaciones Limitaciones conocidas

API de Video Intelligence

Detalles

None

API de Cloud Vision

Detalles

None

Container Registry

Detalles

Además de poder proteger a la API de Container Registry, Container Registry es compatible con los controles de servicio de VPC que se usan con GKE y Compute Engine.

Limitaciones Limitaciones conocidas

Google Kubernetes Engine

Detalles

None

Resource Manager

Detalles

None

Limitaciones Limitaciones conocidas

Cloud Logging

Detalles

Si bien los Controles de servicio de VPC protegen la mayoría de los tipos de registros, los Controles de servicio de VPC aún no admiten los recursos de Carpeta y Organización. Debido a esto, los registros de nivel de la organización y de la carpeta no están protegidos por los controles del servicio de VPC. Para obtener más información, consulta las limitaciones de servicio conocidas.

Limitaciones Limitaciones conocidas

Cloud Monitoring

Detalles

None

Limitaciones Limitaciones conocidas

Cloud Profiler

Detalles

None

Cloud Trace

Detalles

None

Cloud TPU

Detalles

None

API de Natural Language

Detalles

None

API de Cloud Asset

Detalles

Debido a que los Controles de servicio de VPC aún no admiten los recursos de carpeta y organización, los controles de servicio de VPC no protegen el acceso a los activos a través de la API de Cloud Asset. Para obtener más información, consulta las limitaciones de servicio conocidas.

Limitaciones Limitaciones conocidas

Text-to-Speech

Detalles

None

Traducción

Detalles

None

API de Cloud Healthcare

Detalles

None

Limitaciones Limitaciones conocidas

Para obtener más información, consulta servicios compatibles y no admitidos.

API y perímetros de servicio

No todos los productos compatibles con los Controles de servicio de VPC tienen un servicio que se puede proteger con un perímetro de servicio. Solo las siguientes API se pueden proteger con un perímetro:

API y direcciones de servicio
API de entrenamiento y predicción de plataformas de IA ml.googleapis.com
API de BigQuery bigquery.googleapis.com
API de Cloud Bigtable bigtable.googleapis.com
API de Cloud Asset Inventory cloudasset.googleapis.com
API de Cloud Data Fusion datafusion.googleapis.com
API de Dataflow dataflow.googleapis.com
API de Dataproc dataproc.googleapis.com
API de Cloud Data Loss Prevention dlp.googleapis.com
API de Cloud Functions cloudfunctions.googleapis.com
API de Cloud Key Management Service cloudkms.googleapis.com
API de Secret Manager secretmanager.googleapis.com
API de Cloud Natural Language language.googleapis.com
Servicio administrado para la API de Microsoft Active Directory managedidentities.googleapis.com
Pub/Sub API pubsub.googleapis.com
API de Cloud Service Mesh Certificate Authority meshca.googleapis.com
API de Cloud Spanner spanner.googleapis.com
API de Cloud Storage storage.googleapis.com
API de Cloud SQL sqladmin.googleapis.com
API de Cloud Vision vision.googleapis.com
API de Container Registry containerregistry.googleapis.com
API de Google Kubernetes Engine container.googleapis.com
API de GKE Connect gkeconnect.googleapis.com
API de GKE Hub gkehub.googleapis.com
API de Resource Manager cloudresourcemanager.googleapis.com
API de Cloud Logging logging.googleapis.com
API de Cloud Monitoring monitoring.googleapis.com
API de Cloud Profiler profiler.googleapis.com
API de Text-to-Speech texttospeech.googleapis.com
API de Cloud Translation translate.googleapis.com
Cloud Trace API cloudtrace.googleapis.com
API de Cloud TPU tpu.googleapis.com
API de Video Intelligence videointelligence.googleapis.com
API de Cloud Healthcare healthcare.googleapis.com

Servicios no admitidos

Si intentas restringir un servicio no compatible con la herramienta de línea de comandos gcloud o la API de Access Context Manager, se producirá un error.

Los controles de servicio de VPC bloquearán el acceso de varios proyectos a los datos de los servicios compatibles. Además, el VIP restringido se puede usar para bloquear la capacidad de las cargas de trabajo de llamar a servicios no compatibles.

Limitaciones conocidas

En esta sección, se describen las limitaciones conocidas de ciertos servicios, interfaces y productos de Google Cloud que se pueden encontrar al usar los Controles de servicio de VPC.

Para obtener más información sobre cómo resolver problemas con los controles del servicio de VPC, consulta la página Solución de problemas.

AI Platform Training

  • Para proteger completamente los trabajos de entrenamiento de la Capacitación de la plataforma de IA, agrega todas las siguientes API al perímetro de servicio:

    • API de entrenamiento y predicción de AI Platform (ml.googleapis.com)
    • API de Pub/Sub (pubsub.googleapis.com)
    • API de Cloud Storage (storage.googleapis.com)
    • API de Google Kubernetes Engine (container.googleapis.com)
    • API de Container Registry (containerregistry.googleapis.com)
    • API de Cloud Logging (logging.googleapis.com)

    Obtén más información sobre cómo configurar los Controles del servicio de VPC para la Capacitación en la plataforma de IA.

  • Capacitación con TPU no se admite cuando se usa la Capacitación de la plataforma de IA dentro de un perímetro de servicio.

  • Cuando proteges la API de entrenamiento y predicción de la plataforma de IA mediante un perímetro de servicio, solo proteges el entrenamiento de la plataforma de IA, no la predicción de la plataforma de IA. Sin embargo, algunas funciones de la predicción de la plataforma de IA están inhabilitadas.

AI Platform Notebooks

  • Para usar los notebooks de la plataforma de IA dentro de un perímetro de servicio de servicios de VPC, debes agregar o configurar varias entradas de DNS para dirigir los dominios siguientes al VIP restringido:

    • *.notebooks.googleapis.com
    • *.datalab.cloud.google.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com

App Engine

  • Los Controles de servicio de VPC no admiten App Engine (entorno estándar ni entorno flexible). No incluyas proyectos de App Engine en los perímetros de servicio.

    Sin embargo, es posible permitir que apps de App Engine creadas en proyectos fuera del perímetro de servicio puedan leer y escribir datos en servicios protegidos dentro de los perímetros. Para permitir que tu app acceda a los datos de servicios protegidos, crea un nivel de acceso que incluya la cuenta de servicio de App Engine del proyecto. Esto no permite que App Engine se use dentro de los perímetros de servicio.

BigQuery

  • Los Controles de servicio de VPC no permiten copiar recursos de BigQuery protegidos por un perímetro de servicio a otra organización. Los niveles de acceso no permiten copiar en todas las organizaciones.

    Para copiar recursos de BigQuery protegidos a otra organización, descárgalo (por ejemplo, como un archivo CSV) y luego súbelo a la otra organización.

  • El Servicio de transferencia de datos de BigQuery solo es compatible con los siguientes servicios:

    • Campaign Manager
    • Google Ad Manager
    • Google Ads
    • Google Cloud Storage
    • Google Merchant Center
    • Google Play
    • YouTube
  • No se admite la IU web de BigQuery Classic. No se puede acceder a una instancia de BigQuery protegida por un perímetro de servicio con la IU web de BigQuery Classic.

  • Por el momento, el controlador ODBC de terceros para BigQuery no se puede usar con el VIP restringido.

  • Los registros de auditoría de BigQuery no siempre incluyen todos los recursos que se usaron al realizar una solicitud, debido a que el servicio procesa internamente el acceso a varios recursos.

  • Al usar una cuenta de servicio para acceder a una instancia de BigQuery protegida por un perímetro de servicio, el trabajo de BigQuery debe ejecutarse dentro de un proyecto dentro del perímetro. De forma predeterminada, las bibliotecas cliente de BigQuery ejecutarán trabajos dentro de la cuenta de servicio o del proyecto del usuario, lo que provocará que los controles de servicio de VPC rechacen la consulta.

Bibliotecas cliente

  • Las bibliotecas cliente de Java y Python para todos los servicios admitidos son totalmente compatibles para el acceso con la VIP restringida. La compatibilidad con otros lenguajes se encuentra en la etapa alfa y se debe usar solo con fines de prueba.

  • Los clientes deben usar bibliotecas cliente que se hayan actualizado a partir del 1 de noviembre de 2018 o después.

  • Las claves de la cuenta de servicio o los metadatos del cliente OAuth2 utilizados por los clientes se deben actualizar a partir del 1 de noviembre de 2018 o después. Los clientes más antiguos que usen el extremo del token deben cambiar al extremo especificado en los metadatos del material de la clave o del cliente más recientes.

Cloud Billing

Cloud Build

  • Cloud Build no es compatible con los controles de servicio de VPC. No uses Cloud Build dentro de los perímetros de servicio.

    Sin embargo, es posible permitir Cloud Build en proyectos fuera de los perímetros de servicio para leer y escribir datos en servicios protegidos dentro de los perímetros. Para permitir que Cloud Build acceda a los datos de los servicios protegidos, crea un nivel de acceso que incluya la cuenta de servicio de Cloud Build del proyecto. Esto no permite que Cloud Build se use dentro de los perímetros de servicio.

Cloud Composer

  • Los controles de servicio de VPC no admiten Cloud Composer. No uses Cloud Composer dentro de los perímetros de servicio.

    Para permitir que Cloud Composer acceda a recursos dentro de un perímetro de servicio, habilita Cloud Composer en un proyecto fuera de cualquier perímetro de servicio. Luego, crea y aplica un nivel de acceso al perímetro que permita las solicitudes de la cuenta de servicio para tu entorno de Cloud Composer.

Cloud Data Fusion

  • Si creas instancias de controles de servicio de VPC con una dirección IP privada, puedes protegerlas aún más con los controles de servicio de VPC. Crea tus instancias privadas de los Controles de servicio de VPC en los proyectos de Google Cloud que se encuentran dentro de tus perímetros de servicio. En una instancia privada, los complementos que se empaquetan con la instancia siguen las restricciones que aplica el perímetro de servicio.

  • Las canalizaciones de los Controles de servicio de VPC se ejecutan en los clústeres de Dataproc. Para proteger un clúster de Dataproc lanzado dentro del perímetro de servicio, debes tener una dirección IP privada interna únicamente (sin dirección IP pública) y estar en la misma red privada de VPC que tu Instancia de los Controles de servicio de VPC. Una instancia de Controles del servicio de VPC con una dirección IP privada creará de forma predeterminada un clúster de Dataproc con una dirección IP privada interna durante la ejecución de la canalización de controles del servicio de VPC.

  • No uses complementos que utilicen las API de Google Cloud que no sean compatibles con los controles del servicio de VPC. Si usas dichos complementos, los controles del servicio de VPC bloquearán las llamadas a la API, lo que provocará una vista previa de la canalización y una falla en la ejecución.

Dataflow

  • No se puede usar BIND personalizado ni restricted.googleapis.com VIP para Dataflow porque la resolución DNS de Dataflow no se puede personalizar.
  • No se verificó que todos los conectores del servicio de almacenamiento funcionen cuando se usa con Dataflow dentro de un perímetro de servicio. Para obtener una lista de los conectores verificados, consulta los detalles de Dataflow.

Dataproc

Cloud Functions

  • Cloud Functions usa Cloud Build para compilar tu código fuente en un contenedor ejecutable. Para usar Cloud Functions dentro de un perímetro de servicio, debes configurar un nivel de acceso para la cuenta de servicio de Cloud Build en tu perímetro de servicio.

  • Para permitir que tus funciones usen dependencias externas, como paquetes npm, Cloud Build tiene acceso ilimitado a Internet. Este acceso a Internet se podría usar para filtrar los datos que están disponibles en el momento de la compilación, como el código fuente que subiste. Si deseas mitigar este vector de exfiltración, te recomendamos que solo permitas que los programadores de confianza implementen funciones. No otorgues funciones de IAM de propietario, editor o desarrollador de Cloud Functions a programadores no confiables.

  • Para los activadores de Firebase Realtime Database y Firebase Crashlytics, un usuario podría implementar una función que podría activarse mediante cambios en Firebase Realtime Database o Firebase Crashlytics en un proyecto diferente fuera del perímetro de servicio del proyecto en el que se implementa la función. Si desea mitigar el vector de exfiltración para estos dos activadores, le recomendamos que solo permita que los programadores de confianza implementen funciones. No otorgue funciones de IAM de propietario, editor o desarrollador de Cloud Functions a programadores no confiables.

Pub/Sub

  • Las suscripciones de envío de Pub/Sub creadas antes del perímetro de servicio no se bloquearán.

Cloud Shell

  • Cloud Shell no es compatible. Se considera fuera del perímetro de servicio y se le niega el acceso a los datos protegidos por los Controles de servicio de VPC.

Cloud Storage

  • Cuando utiliza la función Pagos del solicitante con un depósito de almacenamiento dentro de un perímetro de servicio que protege el servicio de Cloud Storage, no puede identificar un proyecto para pagar que esté fuera del perímetro. El proyecto de destino debe estar en el mismo perímetro que el depósito de almacenamiento o en un puente perimetral con el proyecto del depósito.

    Para obtener más información sobre los pagos del solicitante, consulte los requisitos de acceso y uso del solicitante.

  • Para los proyectos en un perímetro de servicio, no se puede acceder a la página de Cloud Storage en Cloud Console si la API de Cloud Storage está protegida por ese perímetro. Si deseas otorgar acceso a la página, debes crear un nivel de acceso que incluya las cuentas de usuario o un rango de IP público que desees permitir el acceso a la API de Cloud Storage.

  • En los registros de auditoría, el campo resourceName no identifica el proyecto que posee un depósito. El proyecto debe encontrarse por separado.

  • En los registros de auditoría, el valor de methodName no siempre es correcto. Le recomendamos que no filtre los registros de auditoría de Cloud Storage antes del methodName.

  • En algunos casos, los registros de depósitos heredados de Cloud Storage se pueden escribir en destinos fuera del perímetro de un servicio, incluso cuando se niega el acceso.

  • Cuando intentes usar gsutil por primera vez en un proyecto nuevo, es posible que se te solicite habilitar el servicio storage-api.googleapis.com. Si bien no puedes proteger directamente storage-api.googleapis.com, cuando proteges la API de Cloud Storage con un perímetro de servicio, las operaciones gsutil también están protegidas.

Compute Engine

  • Actualmente, no puedes proteger la API de Compute Engine con un perímetro de servicio.

  • Para habilitar la creación de una imagen de Compute Engine desde un Cloud Storage en un proyecto protegido por un perímetro de servicio, el usuario que crea la imagen debe agregarsetemporalmente a un nivel de acceso para el perímetro.

  • El uso de Kubernetes con Compute Engine dentro de un perímetro de servicio no es compatible con los Controles de servicio de VPC.

Container Registry

  • Debido a que no usa el dominio googleapis.com, Container Registry debe configurarse a través de DNS privado o BIND para asignarse al VIP restringido independientemente de otras API.

  • Además de los contenedores dentro de un perímetro que están disponibles para Container Registry, los siguientes repositorios de solo lectura y administrados por Google están disponibles para todos los proyectos, independientemente del perímetro de servicio:

    • gcr.io/asci-toolchain
    • gcr.io/cloud-airflow-releaser
    • gcr.io/cloud-builders
    • gcr.io/cloud-dataflow
    • gcr.io/cloud-marketplace
    • gcr.io/cloud-ssa
    • gcr.io/cloudsql-docker
    • gcr.io/config-management-release
    • gcr.io/foundry-dev
    • gcr.io/fn-img
    • gcr.io/gke-node-images
    • gcr.io/gke-release
    • gcr.io/google-containers
    • gcr.io/kubeflow
    • gcr.io/kubeflow-images-public
    • gcr.io/kubernetes-helm
    • gcr.io/istio-release
    • gcr.io/ml-pipeline
    • gcr.io/projectcalico-org
    • gcr.io/rbe-containers
    • gcr.io/rbe-windows-test-images
    • gcr.io/speckle-umbrella
    • gcr.io/stackdriver-agents
    • gcr.io/tensorflow
    • gke.gcr.io
    • k8s.gcr.io
    • mirror.gcr.io

    En todos los casos, las versiones regionales de estos repositorios también están disponibles.

Google Cloud Console

  • Debido a que solo se puede acceder a Cloud Console a través de Internet, se considera que está fuera de los perímetros de servicio. Cuando aplica un perímetro de servicio, es posible que la interfaz de Cloud Console de los servicios que protegió se vuelva parcial o totalmente inaccesible. Por ejemplo, si protegió Logging con el perímetro, no podrá acceder a la interfaz de Logging en Cloud Console.

    Para permitir el acceso de Cloud Console a recursos protegidos por un perímetro, debes crear un nivel de acceso para un rango de IP público que incluya las máquinas de usuarios que quieran usar Cloud Console con API protegidas. Por ejemplo, puede agregar el rango de IP pública de la puerta de enlace NAT de su red privada a un nivel de acceso y luego asignar ese nivel de acceso al perímetro de servicio.

    Si deses limitar el acceso de Cloud Console al perímetro solo a un conjunto específico de usuarios, también puedes agregar esos usuarios a un nivel de acceso. En ese caso, solo los usuarios especificados podrán acceder a Cloud Console.

Resource Manager

Cloud Logging

  • Los receptores de exportación agregados (los receptores de carpetas o de organizaciones en los que includeChildren es true) pueden acceder a los datos de proyectos dentro de un perímetro de servicio. Recomendamos que Cloud IAM se utilice para administrar los permisos de Logging a nivel de la organización y la carpeta.

  • Debido a que los Controles de servicio de VPC actualmente no admiten recursos de carpetas y organizaciones, las exportaciones de registros de carpetas y de nivel de organización (incluidos registros agregados) no admiten perímetros de servicio. Recomendamos que Cloud IAM se utilice para restringir las exportaciones a las cuentas de servicio necesarias para interactuar con los servicios protegidos del perímetro.

  • Para configurar una exportación de registros de organización o carpeta a un recurso protegido por un perímetro de servicio, debes agregar la cuenta de servicio de ese receptor de registros a un nivel de acceso y asignarlo al perímetro de servicio de destino. Esto no es necesario para las exportaciones de registros a nivel de proyecto.

    Para obtener más información, consulta las siguientes páginas:

Cloud Monitoring

  • Los canales de notificación, las políticas de alertas y las métricas personalizadas se pueden usar en conjunto para extraer datos o metadatos. A partir de hoy, un usuario de Monitoring puede configurar un canal de notificaciones que dirija a una entidad ajena a la organización, p. ej., "baduser@badcompany.com". A continuación, el usuario configura las métricas personalizadas y las políticas de alertas correspondientes que utilizan el canal de notificaciones. Como resultado, al manipular las métricas personalizadas, el usuario puede activar alertas y enviar alertas, que extraen datos confidenciales a baduser@badcompany.com, fuera del perímetro de los Controles de servicio de VPC.

  • Si bien Monitoring en Google Cloud Console es compatible con los controles del servicio de VPC, estos no son totalmente compatibles para la consola clásica de Cloud Monitoring.

  • Cualquier VM de Compute Engine o AWS con el agente de supervisión instalado debe estar dentro del perímetro de los controles de servicio de VPC o las escrituras de la métrica del agente fallarán.

  • Los GKE Pods deben estar dentro del perímetro de los controles de servicio de VPC o GKE Monitoring no funcionará.

  • Al consultar las métricas de un lugar de trabajo, solo se considera el perímetro de los controles de servicio de VPC del proyecto hostdel lugar de trabajo, no los perímetros de los proyectos individuales supervisadosen el lugar de trabajo.

  • Un proyecto solo se puede agregar como proyecto supervisado a un espacio de trabajo de una empresa existente si ese proyecto está en el mismo perímetro de controles de servicio de VPC que el host del proyecto del espacio de trabajo.

API de Cloud Asset

  • Cuando se llama a la API de Cloud Asset a nivel de carpeta o organización, se puede acceder a los datos de los proyectos dentro de un perímetro de servicio que pertenece a la carpeta u organización. Recomendamos que Cloud IAM se utilice para administrar permisos de Cloud Asset Inventory a nivel de la organización y la carpeta.

Cloud SQL

  • Los perímetros de servicio solo protegen la API de administrador de Cloud SQL. No protegen el acceso a los datos basados en IP en las instancias de Cloud SQL. Debes usar una restricción de política de organización para restringir el acceso de IP pública en instancias de Cloud SQL.

  • Las importaciones y exportaciones de Cloud SQL solo pueden realizar operaciones de lectura y escritura desde un depósito de Cloud Storage dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL. En el flujo de migración del servidor externo, debes agregar el depósito de Cloud Storage al mismo perímetro de servicio. Al crear un flujo de clave para CMEK, debes crear la clave en el mismo perímetro de servicio que los recursos que la utilizan. Nota: Al restablecer una instancia desde una copia de seguridad, la instancia de destino debe residir en el mismo perímetro de servicio que la copia de seguridad.

Cloud Healthcare API

Cuando la API de Cloud Healthcare está protegida por un perímetro de servicio, no puede exportar desde tiendas FHIR a BigQuery.