Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Configura la seguridad para interfaces de Private Service Connect
En esta página, se describe cómo los administradores de red del productor pueden administrar la seguridad en las redes de VPC que usan interfaces de Private Service Connect.
Debido a que existe una interfaz de Private Service Connect en una red de consumidor de Private Service Connect, una organización del productor no controla las reglas de firewall que se aplican directamente a la interfaz. Si una organización del productor desea asegurarse de que las cargas de trabajo del consumidor no puedan iniciar tráfico a las VMs de la red del productor o que solo las cargas de trabajo del consumidor seleccionadas puedan iniciar el tráfico, deben definir políticas de seguridad en el SO invitado de su VMs de la interfaz.
Bloquea entrada de consumidor a productor
Puedes usar iptables a fin de configurar una interfaz de Private Service Connect para bloquear el tráfico de entrada de una red del consumidor, pero permitir el tráfico de salida desde la red del productor. Esta configuración se ilustra en la figura 1.
El tráfico del consumidor está bloqueado desde la entrada a través de una interfaz de Private Service Connect, pero se permite el tráfico de salida del productor (haz clic para agrandar).
Para configurar una interfaz de Private Service Connect a fin de bloquear el tráfico de entrada de la red del consumidor, pero permitir el tráfico de salida desde la red del productor, haz lo siguiente:
Asegúrate de que las reglas de firewall estén configuradas para permitir conexiones SSH de entrada a la VM de tu interfaz de Private Service Connect.
Bloquea el tráfico iniciado por el consumidor para que no ingrese a través de la interfaz de Private Service Connect:
sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME
Bloquea la creación de interfaces de Private Service Connect
Para crear interfaces de Private Service Connect, los usuarios deben tener el permiso de Identity and Access Management (IAM) compute.instances.pscInterfaceCreate. Este permiso se incluye en las siguientes funciones:
Si deseas que un usuario tenga los permisos asociados con estos roles y, al mismo tiempo, evitas que ese usuario cree interfaces de Private Service Connect, puedes crear un rol personalizado y otorgársela al usuario. Agrega los permisos necesarios al rol. Omite el permiso compute.instances.pscInterfaceCreate.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-07-08 (UTC)"],[],[],null,["# Configure security for Private Service Connect interfaces\n=========================================================\n\nThis page describes how producer network administrators can manage\nsecurity in VPC networks that use\nPrivate Service Connect interfaces.\n\nBecause a Private Service Connect interface exists in a consumer\nPrivate Service Connect network, a producer organization does not\ncontrol firewall rules that apply directly to the interface. If a producer\norganization wants to ensure that consumer workloads cannot initiate traffic to\nVMs in the producer network, or that only selected consumer workloads can\ninitiate traffic, they must define security policies in the guest OS of their\ninterface's VM.\n\nBlock consumer-to-producer ingress\n----------------------------------\n\nYou can use `iptables` to configure a Private Service Connect\ninterface to block ingress traffic from a consumer network, but still allow\negress traffic from the producer network. This configuration is illustrated by\nfigure 1.\n[](/static/vpc/images/psc-interfaces/block-consumer-to-producer-ingress.svg) Consumer traffic is blocked from ingress through a Private Service Connect interface, but producer egress traffic is allowed (click to enlarge).\n\nTo configure a Private Service Connect interface to block ingress\ntraffic from the consumer network but allow egress traffic from the producer\nnetwork, do the following:\n\n1. Ensure that firewall rules are configured to\n [allow ingress SSH connections](/firewall/docs/using-firewalls#common-use-cases-allow-ssh)\n to your Private Service Connect interface's VM.\n\n2. [Connect](/compute/docs/connect/standard-ssh#connect_to_vms) to the VM.\n\n3. If the `iptables` command isn't available, install it.\n\n4. Allow consumer reply traffic to ingress into the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME\n ```\n\n Replace \u003cvar translate=\"no\"\u003eOS_INTERFACE_NAME\u003c/var\u003e with the\n [guest OS name for your Private Service Connect interface](/vpc/docs/configure-routing-private-service-connect-interfaces#find-os-interface-name).\n5. Block consumer-initiated traffic from ingressing through the\n Private Service Connect interface:\n\n ```\n sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME\n ```\n\nBlock Private Service Connect interface creation\n------------------------------------------------\n\nTo create Private Service Connect interfaces, users\nmust have the `compute.instances.pscInterfaceCreate` Identity and Access Management (IAM)\npermission. This permission is included in the following roles:\n\n- [Compute Admin](/compute/docs/access/iam#compute.admin) (`roles/compute.admin`)\n- [Compute Instance Admin (v1)](/iam/docs/understanding-roles#compute.instanceAdmin.v1) (`roles/compute.instanceAdmin.v1`)\n\nIf you want a user to have the permissions that are associated with these\nroles, while preventing that user from creating\nPrivate Service Connect interfaces, you can\n[Create a custom role](/iam/docs/creating-custom-roles#creating) and grant\nit to the user. Add the necessary permissions to the role. Omit the\n`compute.instances.pscInterfaceCreate` permission.\n\nWhat's next?\n------------\n\n- [Manage destination overlap](/vpc/docs/manage-destination-overlap) in a network that has a Private Service Connect interface connection."]]
