En esta página se ofrecen soluciones a los problemas que pueden surgir al usar un servicioGoogle Cloud que se encuentra dentro de un perímetro de Controles de Servicio de VPC.
Problemas de Cloud Build
El uso de recursos de Cloud Build dentro de un perímetro de Controles de Servicio de VPC tiene algunas limitaciones conocidas. Para obtener más información, consulta Limitaciones del uso de Controles de Servicio de VPC con Cloud Build.
La cuenta de servicio de Cloud Build no puede acceder a recursos protegidos
Cloud Build usa la cuenta de servicio de Cloud Build para ejecutar compilaciones en tu nombre. De forma predeterminada, cuando ejecutas una compilación en Cloud Build, esta se ejecuta en un proyecto de arrendatario fuera de tu proyecto.
Las VMs de trabajo de Cloud Build que generan resultados de compilación están fuera del perímetro de Controles de Servicio de VPC, aunque tu proyecto esté dentro del perímetro. Por lo tanto, para que tus compilaciones puedan acceder a los recursos del perímetro, debes conceder acceso a la cuenta de servicio de Cloud Build al perímetro de Controles de Servicio de VPC. Para ello, añádela al nivel de acceso o a la regla de entrada.
Para obtener más información, consulta Conceder acceso a la cuenta de servicio de Cloud Build al perímetro de Controles de Servicio de VPC.
Problemas de Cloud Storage
Denegaciones al orientar a un segmento de Cloud Storage de registro que no existe
Si el segmento de registro especificado no existe, Controles de Servicio de VPC deniega el acceso con el motivo de infracción RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Puedes consultar el registro de la denegación de acceso mediante el identificador único de Controles de Servicio de VPC (vpcServiceControlUniqueIdentifier). A continuación, se muestra un registro de ejemplo con el motivo de la infracción RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER:
"serviceName": "storage.googleapis.com",
"methodName": "google.storage.buckets.update",
"resourceName": "projects/325183452875",
"metadata": {
"violationReason": "RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER",
...
"egressViolations": [
{
"sourceType": "Resource",
"targetResource": "projects/0/buckets/this-bucket-does-not-exist",
"source": "projects/325183452875/buckets/bucket-in-same-project",
"servicePerimeter": "accessPolicies/875573620132/servicePerimeters/prod_perimeter"
}]}
Si el campo targetResource del objeto egressViolations muestra un destino con projects/0/buckets, siempre se activará una denegación, ya que projects/0 no existe y se considera que está fuera del perímetro de servicio.
Errores al acceder a segmentos de Cloud Storage públicos propiedad de Google
Un perímetro de servicio no puede contener proyectos de diferentes organizaciones. Un perímetro solo puede contener proyectos de su organización principal. Hay ciertas limitaciones cuando quieres acceder a segmentos de Cloud Storage desde proyectos que están dentro de un perímetro de Controles de Servicio de VPC que reside en otra organización.
Un ejemplo típico es cuando quieres acceder a segmentos de Cloud Storage propiedad de Google. Como tu proyecto y el proyecto propiedad de Google que contiene el segmento de destino no están en el mismo perímetro, Controles de Servicio de VPC deniega la solicitud con el motivo de infracción RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Para solucionar este problema, puedes crear reglas de entrada y salida.
Acceder a un segmento de Cloud Storage accesible públicamente desde un perímetro
Si intentas acceder a un segmento de Cloud Storage de acceso público desde un perímetro de servicio, Controles de Servicio de VPC puede bloquear tus solicitudes y mostrar un error de salida.
Para asegurarnos de que se pueda acceder al objeto de forma correcta y constante cuando sea necesario, debemos aplicar una regla de salida al perímetro de servicio afectado.
Problemas de Security Command Center
En esta sección se enumeran los problemas que pueden surgir al usar recursos de Security Command Center que se encuentran dentro de un perímetro de Controles de Servicio de VPC.
Security Command Center ha bloqueado el envío de notificaciones a Pub/Sub
Si intentas publicar notificaciones de Security Command Center en un tema de Pub/Sub dentro de un perímetro de Controles de Servicio de VPC, se produce una infracción de RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER.
Recomendamos activar Security Command Center a nivel de organización. Controles de Servicio de VPC no considera una organización principal como parte del perímetro de sus proyectos secundarios. Para que esto funcione, debes conceder acceso al perímetro a Security Command Center.
Para evitar este problema, puedes hacer lo siguiente:
- Usar un tema de Pub/Sub en un proyecto que no esté en un perímetro de servicio.
- Quita la API Pub/Sub del perímetro de servicio hasta que se complete la configuración de las notificaciones.
Para obtener más información sobre cómo habilitar las notificaciones de Security Command Center que se envían a un tema de Pub/Sub, consulta el artículo Habilitar las notificaciones de resultados de Pub/Sub.
Security Command Center no puede analizar los recursos de Compute Engine que se encuentran dentro de un perímetro
Security Command Center analiza los recursos de Compute Engine de tus proyectos mediante la cuenta de servicio por producto y por proyecto (P4SA)
service-{project_number}@gcp-sa-computescanning.iam.gserviceaccount.com. Para que Security Command Center pueda acceder a los recursos que se encuentran dentro del perímetro, es necesario añadir la cuenta de servicio de acceso de producción a tu nivel de acceso o regla de entrada.
De lo contrario, es posible que veas un error NO_MATCHING_ACCESS_LEVEL.
Security Command Center no puede analizar recursos dentro de un perímetro de servicio
Security Health Analytics analiza los recursos de tus proyectos mediante la cuenta de servicio por producto y por proyecto (P4SA) service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com.
Para que Security Command Center pueda acceder a los recursos que se encuentran dentro del perímetro, la cuenta de P4SA debe añadirse a tu nivel de acceso o regla de entrada. De lo contrario, verás el error NO_MATCHING_ACCESS_LEVEL.
Problemas de Google Kubernetes Engine
En esta sección se enumeran los problemas que puedes encontrar al usar recursos de Google Kubernetes Engine que se encuentran dentro de un perímetro de Controles de Servicio de VPC.
La herramienta de escalado automático no funciona en perímetros con servicios accesibles y servicios restringidos habilitados
La autoscaling.googleapis.com no está integrada con Controles de Servicio de VPC, por lo que no se puede añadir a los servicios restringidos ni a los accesibles. No es posible permitir la API autoscaling.googleapis.com en los servicios accesibles. Por lo tanto, es posible que la herramienta de escalado automático de los clústeres que se encuentran en un perímetro con los servicios accesibles habilitados no funcione.
No recomendamos usar servicios accesibles. Cuando uses una IP virtual (VIP) restringida, haz una excepción para que autoscaling.googleapis.com vaya a la VIP privada en un perímetro que contenga un clúster con autoescalado.
Problemas de BigQuery
En esta sección se enumeran los problemas que pueden surgir al usar recursos de BigQuery que se encuentran dentro de un perímetro de Controles de Servicio de VPC.
Las restricciones de perímetro de Controles de Servicio de VPC no se aplican a la exportación de resultados de consultas de BigQuery
Si intentas restringir la exportación de datos protegidos de BigQuery a Google Drive, Hojas de cálculo de Google o Looker Studio, es posible que observes alguna desviación del comportamiento esperado. Cuando ejecutas una consulta desde la interfaz de usuario de BigQuery, los resultados se almacenan en la memoria local de tu máquina, como la caché del navegador. Esto significa que los resultados ahora están fuera de los Controles de Servicio de VPC, por lo que es posible que puedas guardarlos en un archivo CSV o en Google Drive.
En este caso, Controles de Servicio de VPC funciona correctamente, ya que el resultado se exporta desde una máquina local que está fuera del perímetro de servicio, pero se elude la restricción general de los datos de BigQuery.
Para solucionar este problema, restringe los permisos de IAM de los usuarios quitando el permiso bigquery.tables.export. Ten en cuenta que, al hacerlo, se inhabilitarán todas las opciones de exportación.
Problemas de GKE Enterprise
En esta sección se enumeran los problemas que puedes encontrar al usar recursos de GKE Enterprise que estén dentro de un perímetro de Controles de Servicio de VPC.
Para solucionar errores relacionados con el uso de Controles de Servicio de VPC con Cloud Service Mesh, consulta el artículo Solucionar problemas de Controles de Servicio de VPC en Cloud Service Mesh gestionado.
La configuración de Config Controller de GKE Enterprise genera una infracción de salida
Se espera que el proceso de configuración de GKE Enterprise Config Controller falle si no hay ninguna configuración de salida que permita acceder a containerregistry.googleapis.com con el método google.containers.registry.read en un proyecto fuera del perímetro.
Para resolver este error, cree la siguiente regla de salida:
From:
Identities:ANY_IDENTITY
To:
Projects =
NNNNNNNNNNNN
Service =
Service name: containerregistry.googleapis.com
Service methods:
containers.registry.read
La infracción de salida desaparece después de añadir la regla al perímetro infractor.
Problemas de Container Registry
En esta sección se enumeran los problemas que pueden surgir al usar recursos de Container Registry que se encuentran dentro de un perímetro de Controles de Servicio de VPC.
Solicitudes a la API de Container Registry bloqueadas por Controles de Servicio de VPC a pesar de estar permitidas en una regla de entrada o salida
Si has permitido el acceso a Container Registry mediante reglas de entrada con el campo identity_type definido como ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, Controles de Servicio de VPC bloqueará el acceso.
Para solucionar este problema, actualice el campo identity_type a ANY_IDENTITY en la regla de entrada o salida.
Errores de salida de un agente de servicio al copiar una imagen Docker propiedad de Artifact Registry en un proyecto de un perímetro
Cuando intentas copiar una imagen propiedad de Artifact Registry en tu proyecto, que está dentro de un perímetro de Controles de Servicio de VPC, es posible que se produzcan errores de salida en los registros del agente de servicio cloud-cicd-artifact-registry-copier@system.gserviceaccount.com. Este error de salida suele producirse cuando la política de perímetro está en el modo de ejecución de prueba.
Para solucionar este problema, crea una regla de salida que permita al agente de servicio cloud-cicd-artifact-registry-copier@system.gserviceaccount.com acceder al servicio storage.googleapis.com en el proyecto mencionado en los registros de errores de Controles de Servicio de VPC.
Problemas de Vertex AI
En esta sección se enumeran los problemas que pueden surgir al usar recursos de Vertex AI que se encuentran dentro de un perímetro de Controles de Servicio de VPC.
Solicitudes de API de cuadernos gestionados por usuarios bloqueadas por Controles de Servicio de VPC a pesar de estar permitidas en una regla de entrada o salida
Si has permitido el acceso a la API User-managed notebooks
mediante una política de entrada y has definido identity_type
como ANY_USER_ACCOUNT o ANY_SERVICE_ACCOUNT, Controles de Servicio de VPC bloqueará el acceso a la API.
Para solucionar este problema, actualice el campo identity_type a ANY_IDENTITY en la regla de entrada o salida.
Problemas de Spanner
La copia de seguridad de la base de datos de Spanner se ha bloqueado debido a una infracción de NO_MATCHING_ACCESS_LEVEL
service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.comde la cuenta de servicio por producto y por proyecto (P4SA).
Para solucionar este problema, añada una regla de entrada con el agente de servicio mencionado anteriormente o añádalo a un nivel de acceso.
Problemas de AlloyDB para PostgreSQL
Si tu clúster de AlloyDB para PostgreSQL está protegido por una CMEK, es posible que se produzcan errores de entrada en los registros de los agentes de servicio
service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
y service-PROJECT_NUMBER@gs-project-accounts.iam.gserviceaccount.com.
Para solucionar este problema, añade una regla de entrada
con el acceso de los agentes de servicio mencionados al servicio cloudkms.googleapis.com
en el proyecto que se indica en los registros de errores de Controles de Servicio de VPC.
Siguientes pasos
- Consulta las limitaciones conocidas de Controles de Servicio de VPC con varios Google Cloud servicios.
- Consulta cómo el identificador único de Controles de Servicio de VPC ayuda a solucionar problemas relacionados con los perímetros de servicio.