Esta página se ha traducido con Cloud Translation API.

Configurar Controles de Servicio de VPC

En esta página se ofrece una descripción general de Controles de Servicio de VPC, una Google Cloud función que se integra con AlloyDB para proteger los datos y los recursos.

Controles de Servicio de VPC ayuda a mitigar el riesgo de filtración externa de datos de las instancias de AlloyDB. Puedes usar Controles de Servicio de VPC para crear perímetros de servicio que protejan los recursos y los datos de los servicios que especifiques explícitamente.

Para obtener una descripción general de Controles de Servicio de VPC, sus ventajas de seguridad y sus funciones en los productos de Google Cloud , consulta el artículo Información general sobre Controles de Servicio de VPC.

Antes de empezar

En la Google Cloud consola, ve a la página Selector de proyectos.

Ir al selector de proyectos
Selecciona o crea un Google Cloud proyecto.
Nota: Si no tienes la intención de guardar los recursos que obtendrás a lo largo de esta guía, crea un proyecto en lugar de seleccionar uno disponible. Después de completar estos pasos, podrás eliminar el proyecto y, con él, todos los recursos asociados.
Comprueba que la facturación esté habilitada en tu Google Cloud proyecto. Consulta cómo comprobar si la facturación está habilitada en un proyecto.
Habilita la API Compute Engine.
Habilitar la API de Compute Engine
Habilita la API Service Networking.
Habilitar la API Service Networking
Añade los roles de Gestión de Identidades y Accesos (IAM) al usuario o a la cuenta de servicio que utilices para configurar y administrar Controles de Servicio de VPC. Para obtener más información, consulta Roles de gestión de identidades y accesos para administrar Controles de Servicio de VPC.
Consulta las limitaciones cuando uses Controles de Servicio de VPC con AlloyDB.

Cómo proteger el servicio AlloyDB con Controles de Servicio de VPC

Antes de empezar, consulta la información general sobre Controles de Servicio de VPC y las limitaciones de AlloyDB al usar Controles de Servicio de VPC.

Para configurar Controles de Servicio de VPC en un proyecto de AlloyDB, sigue estos pasos:

Crea y gestiona un perímetro de servicio.

Primero, selecciona el proyecto de AlloyDB que quieres que proteja el perímetro de servicio de la VPC y, a continuación, crea y gestiona el perímetro de servicio.
Crea y gestiona niveles de acceso.

Si quieres permitir el acceso externo a recursos protegidos que se encuentren dentro de un perímetro, puedes usar niveles de acceso. Los niveles de acceso solo se aplican a las solicitudes de recursos protegidos que proceden de fuera del perímetro de servicio. No puedes usar niveles de acceso para dar permiso a recursos protegidos o VMs para acceder a datos y servicios fuera del perímetro.

Crear y gestionar un perímetro de servicio

Para crear y gestionar un perímetro de servicio, sigue estos pasos:

Selecciona el proyecto de AlloyDB que quieras que proteja el perímetro de servicio de VPC.
Crea un perímetro de servicio siguiendo las instrucciones de la sección Crear un perímetro de servicio.
Añade más instancias al perímetro de servicio. Para añadir instancias de AlloyDB a un perímetro, sigue las instrucciones que se indican en Actualizar un perímetro de servicio.
Añade APIs al perímetro de servicio. Para reducir el riesgo de que se extraigan datos de AlloyDB, debe restringir las APIs AlloyDB, Compute Engine, Cloud Storage, Container Registry, Certificate Authority Service y Cloud KMS. Para obtener más información, consulta el artículo sobre la actualización de los perímetros de Access Context Manager.

Para añadir APIs como servicios restringidos, sigue estos pasos:
Consola
1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.
  Ir a Controles de Servicio de VPC
2. En la página Controles de servicios de VPC, en la tabla, haga clic en el nombre del perímetro de servicio que quiera modificar.
3. Haz clic en Editar.
4. En la página Editar perímetro de servicio de VPC, haz clic en Añadir servicios.
5. Añade API de AlloyDB, API de Compute Engine, API de Cloud Storage, API de Container Registry, API de Certificate Authority Service y API de Cloud KMS.
6. Haz clic en Guardar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=alloydb.googleapis.com,compute.googleapis.com,storage.googleapis.com,
  containerregistry.googleapis.com,privateca.googleapis.com,cloudkms.googleapis.com
```
- PERIMETER_ID: ID del perímetro o identificador completo del perímetro.
- POLICY_ID: el ID de la política de acceso.
Si has habilitado las estadísticas de consultas mejoradas, añade la API databaseinsights.googleapis.com al perímetro de servicio como servicio restringido:
Consola
1. En la Google Cloud consola, ve a la página Controles de Servicio de VPC.
  Ir a Controles de Servicio de VPC
2. En la página Controles de servicios de VPC, en la tabla, haga clic en el nombre del perímetro de servicio que quiera modificar.
3. Haz clic en Editar.
4. En la página Editar perímetro de servicio de VPC, haz clic en Añadir servicios.
5. Añade databaseinsights.googleapis.com.
6. Haz clic en Guardar.
gcloud
```
gcloud access-context-manager perimeters update PERIMETER_ID \
--policy=POLICY_ID \
--add-restricted-services=databaseinsights.googleapis.com
```
- PERIMETER_ID: ID del perímetro o identificador completo del perímetro.
- POLICY_ID: el ID de la política de acceso.

Crear y gestionar niveles de acceso

Para crear y gestionar niveles de acceso, sigue las instrucciones que se indican en el artículo Permitir el acceso a recursos protegidos desde fuera de un perímetro.