En esta guía se explica cómo usar Google Cloud Armor Enterprise. Para obtener más información sobre el producto, consulta la descripción general de Cloud Armor Enterprise.
Permisos de gestión de identidades y accesos necesarios
Para suscribir una cuenta de facturación a Cloud Armor Enterprise o para activar o desactivar la renovación automática de la suscripción, debes ser un usuario con el permiso de gestión de identidades y accesos (IAM) billing.accounts.update en la cuenta de facturación que se va a suscribir.
Para registrar un proyecto en la suscripción a Cloud Armor Enterprise, debes tener los siguientes permisos de gestión de identidades y accesos en el proyecto seleccionado que vas a registrar en Cloud Armor Enterprise:
resourcemanager.projects.createBillingAssignmentresourcemanager.projects.updatecompute.projects.setCloudArmorTier
Para obtener más información sobre los permisos de facturación, consulta el artículo Introducción al control de acceso de facturación de Cloud.
Suscribirse a Cloud Armor Enterprise Annual
Para suscribirte a Cloud Armor Enterprise Annual y registrar el proyecto actual, sigue estos pasos.
Consola
Suscribirse a Cloud Armor Enterprise Annual
En la Google Cloud consola, ve a la página Nivel de servicio de Cloud Armor. Si tu suscripción está activa, significa que la cuenta de facturación ya está suscrita.
Haz clic en Suscribirse y registrarse en el panel Cloud Armor Enterprise Annual. Verás un cuadro de diálogo de confirmación.
Registrar proyectos en Cloud Armor Enterprise
Para registrar proyectos en Cloud Armor Enterprise Annual o Paygo, sigue estos pasos. Si tu proyecto ya está registrado, puedes cambiar tu nivel de registro registrándote en el nuevo nivel. Por ejemplo, si tu proyecto está registrado en Cloud Armor Enterprise Annual, puedes registrarte en Cloud Armor Enterprise Paygo para cambiar el nivel de registro.
Consola
Registrar un proyecto en Cloud Armor Enterprise Annual
En la Google Cloud consola, ve a la página Nivel de servicio de Cloud Armor.
En el panel Cloud Armor Enterprise Annual, haz clic en Registrar.
Registrar un proyecto en Cloud Armor Enterprise Paygo
En la Google Cloud consola, ve a la página Nivel de servicio de Cloud Armor.
En el panel Cloud Armor Enterprise Paygo, haz clic en Registrarme.
gcloud
Registrar un proyecto en Cloud Armor Enterprise Annual
Usa el siguiente comando para registrar un proyecto en Cloud Armor Enterprise Annual:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_ANNUAL
Registrar un proyecto en Cloud Armor Enterprise Paygo
Usa el siguiente comando para registrar un proyecto en Cloud Armor Enterprise de pago por uso:
gcloud compute project-info update --cloud-armor-tier CA_ENTERPRISE_PAYGO
Quitar un proyecto de Cloud Armor Enterprise
Antes de quitar tu proyecto de Cloud Armor Enterprise, te recomendamos que leas el artículo Cambiar a una versión inferior de Cloud Armor Enterprise. Después de dar de baja un proyecto de Cloud Armor Enterprise, pueden transcurrir hasta doce horas antes de que el cambio surta efecto. Durante este periodo, puedes seguir dando de baja (o de alta) otros proyectos.
Para dar de baja un proyecto de Cloud Armor Enterprise, sigue estos pasos.
Consola
Dar de baja un proyecto de Cloud Armor Enterprise Annual
En la Google Cloud consola, ve a la página Nivel de servicio de Cloud Armor.
En el panel Estándar, haz clic en Registrar.
Dar de baja un proyecto de Cloud Armor Enterprise Paygo
En la Google Cloud consola, ve a la página Nivel de servicio de Cloud Armor.
En el panel Estándar, haz clic en Registrar.
gcloud
Dar de baja un proyecto de Cloud Armor Enterprise Annual
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Dar de baja un proyecto de Cloud Armor Enterprise Paygo
gcloud compute project-info update --cloud-armor-tier CA_STANDARD
Ver tu información de registro
En las siguientes secciones se explica cómo ver el nivel de suscripción a Cloud Armor Enterprise que tienes o el número de recursos que cubre tu suscripción.
Ver el nivel de suscripción actual de Cloud Armor Enterprise
Sigue estas instrucciones para ver el nivel de tu suscripción a Cloud Armor Enterprise.
Consola
En la Google Cloud consola, ve a la página Nivel de servicio de Cloud Armor.
Verás los niveles de servicio de Cloud Armor Enterprise disponibles, incluidos Cloud Armor Enterprise Annual y Cloud Armor Enterprise Paygo. Tu nivel de registro de Cloud Armor Enterprise actual está resaltado y tiene el estado "Registrado" en el campo Proyecto.
gcloud
Para ver tu nivel de suscripción actual a Cloud Armor Enterprise, usa el siguiente comando gcloud:
gcloud compute project-info describe
Ver el número de servicios y segmentos de backend cubiertos por una inscripción
En la página Cloud Armor Enterprise se muestra el número de servicios de backend y de segmentos de backend cubiertos por cada proyecto registrado en Cloud Armor Enterprise. El número que ves es el número total de servicios de backend y de contenedores de backend cubiertos por el registro.
Si el proyecto está registrado en Cloud Armor Enterprise Standard, que es el nivel predeterminado, este recuento no se muestra.
Cancelar la suscripción de una cuenta de facturación a Cloud Armor Enterprise Annual
La suscripción anual a Cloud Armor Enterprise es un compromiso de un año que se renueva automáticamente. Para evitar la renovación al final del periodo de un año, debes inhabilitar la renovación automática. Una vez que hayas inhabilitado la renovación automática, el periodo de suscripción anual actual continuará hasta el final. Al final del periodo de suscripción, tu suscripción a Cloud Armor Enterprise no se renovará. Si tu proyecto tiene políticas de seguridad jerárquicas eficaces, se degradará a Cloud Armor Enterprise Paygo. De lo contrario, todos los proyectos de la cuenta de facturación que estén registrados en Cloud Armor Enterprise Annual volverán a Cloud Armor Enterprise Standard.
Para cancelar la renovación automática anual de Cloud Armor Enterprise, sigue estos pasos.
Consola
Cuando hayas iniciado sesión en la cuenta de facturación suscrita, ve a la página Nivel de servicio de Cloud Armor de la consolaGoogle Cloud .
Haz clic en Renovación automática (desactivada). Tu suscripción a Cloud Armor Enterprise no se renovará cuando caduque la actual. En ese momento, los proyectos registrados en Cloud Armor Enterprise dejarán de estar registrados. Seguirán disfrutando de la protección contra DDoS que ofrece Cloud Armor Enterprise Standard.
Abrir un caso de asistencia para responder a un ataque DDoS
Para recibir asistencia en caso de DDoS, debes abrir un caso de asistencia a través de la consola.Google Cloud Si los clientes cumplen los requisitos, su caso se derivará al equipo de respuesta frente a DDoS de Cloud Armor para que les proporcione asistencia, evalúe la situación y, si es necesario, tome medidas.
Para abrir un caso de asistencia sobre respuesta a DDoS, consulta Recibir asistencia para un caso de DDoS.
Habilitar la protección de facturación contra DDoS
Para presentar una reclamación de protección de facturas contra DDoS, tu proyecto debe estar registrado en Cloud Armor Enterprise Annual y debes preparar la siguiente información:
- La cuenta de facturación asociada al proyecto de destino.
- Número del proyecto que contiene el recurso de destino.
- La dirección IP orientada a Internet del recurso de destino.
- La hora a la que empezó el ataque.
- La hora a la que terminó el ataque.
- Volúmenes de tráfico normales para el servicio afectado.
- Volúmenes de ataques del servicio afectado.
Puedes iniciar un chat o ponerte en contacto con el equipo de Asistencia de Facturación a través de la consola Google Cloud . Para obtener más información sobre cómo ponerte en contacto con el equipo de Asistencia de Facturación de Cloud, consulta el artículo Cómo ponerse en contacto con el equipo de Asistencia de Facturación de Cloud.
Requisitos de referencia entre proyectos
Si usas la referencia de servicios entre proyectos y quieres aprovechar los precios de Cloud Armor Enterprise, tanto el proyecto de servicios de frontend como el de backend deben estar registrados en Cloud Armor Enterprise Annual.
Ataques cualificados
En el caso de los balanceadores de carga de red de pases externos, el reenvío de protocolos y las direcciones IP públicas (máquinas virtuales), un ataque se considera un ataque cualificado (como se describe en los términos y limitaciones de Cloud Armor) solo si la protección avanzada contra DDoS ya estaba habilitada en la región con el endpoint atacado al inicio del ataque.
Usar Google Threat Intelligence
Para usar Inteligencia de amenazas de Google, debes configurar una política de seguridad con la expresión de coincidencia evaluateThreatIntelligence y proporcionar un nombre de feed basado en la categoría que quieras permitir o bloquear. Si Google Threat Intelligence bloquea incorrectamente una dirección IP, puedes añadirla a la lista de exclusión para permitir el tráfico.
Solucionar problemas de Cloud Armor Enterprise
En esta sección se proporciona información para ayudarte a resolver cualquier problema con Cloud Armor Enterprise.
Te has suscrito a Cloud Armor Enterprise Annual, pero tu factura sigue siendo de pago por uso
Si te has suscrito a Cloud Armor Enterprise y sigues recibiendo facturas según el uso, comprueba si has registrado tus proyectos en Cloud Armor Enterprise.
El botón Subscribe no está disponible
Si no puedes suscribirte a Cloud Armor Enterprise Annual porque el botón Subscribe no está disponible, haz lo siguiente:
- Asegúrate de que el usuario que intenta suscribirse tenga suficientes permisos de IAM:
- El usuario debe tener permisos de
billing.accounts.updatepara suscribirse a nivel de cuenta de facturación. - El usuario debe tener
resourcemanager.projects.createBillingAssignmentyresourcemanager.projects.updatepara registrar proyectos individuales en el nivel o para dar de baja proyectos.
- El usuario debe tener permisos de
Has cancelado la suscripción a Cloud Armor Enterprise Annual, pero se te ha registrado automáticamente en la opción de pago por uso
Si cancelas la suscripción de tu cuenta de facturación a Cloud Armor Enterprise Annual mientras tu proyecto tiene políticas de seguridad jerárquicas activas, tu proyecto pasará a Cloud Armor Enterprise Paygo. Esto se debe a que las políticas de seguridad jerárquicas requieren una suscripción activa a Google Cloud Armor Enterprise. Para darte de baja de Paygo, primero debes eliminar tus políticas de seguridad jerárquicas.
Tu proyecto se ha registrado automáticamente en Cloud Armor Enterprise
Los proyectos que estén cubiertos por una política de seguridad jerárquica se registrarán automáticamente en el nivel más alto de Cloud Armor Enterprise al que puedan optar. Para obtener más información, consulta el artículo sobre el proceso de registro y la facturación de Google Cloud Armor Enterprise.
Discrepancias en la facturación
Si no consigues solucionar los problemas con las instrucciones de este artículo, ponte en contacto con el equipo de asistencia deGoogle Cloud facturación.