Productos compatibles y limitaciones

Para obtener más información sobre Infrastructure Manager, consulta la documentación del producto.

Para usar Gestor de cargas de trabajo en un perímetro de Controles de Servicio de VPC, sigue estos pasos:

• Debes usar un grupo de trabajadores privados de Cloud Build para tu entorno de implementación en Workload Manager. No puedes usar el grupo de trabajadores predeterminado de Cloud Build.
• El grupo privado de Cloud Build debe tener habilitadas las llamadas a Internet públicas para descargar la configuración de Terraform.

Para obtener más información, consulta Usar un grupo de trabajadores privados de Cloud Build en la documentación de Workload Manager.

Para obtener más información sobre Workload Manager, consulta la documentación del producto.

La API de Google Cloud NetApp Volumes se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre los volúmenes de NetApp de Google Cloud, consulta la documentación del producto.

Google Cloud Search admite los controles de seguridad de la nube privada virtual (Controles de Servicio de VPC) para mejorar la seguridad de tus datos. Controles de Servicio de VPC te permite definir un perímetro de seguridad alrededor de los recursos de Google Cloud Platform para acotar los datos y mitigar el riesgo de filtración externa de datos.

Para obtener más información sobre Google Cloud Search, consulta la documentación del producto.

La API de pruebas de conectividad se puede proteger con Controles de Servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre las pruebas de conectividad, consulta la documentación del producto.

La integración de Connectivity Tests con Controles de Servicio de VPC no tiene limitaciones conocidas.

Controles de Servicio de VPC admite la predicción online, pero no la predicción por lotes.

Para obtener más información sobre AI Platform Prediction, consulta la documentación del producto.

La API de AI Platform Training se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre AI Platform Training, consulta la documentación del producto.

Los perímetros de Controles de Servicio de VPC protegen la API de AlloyDB.

Para obtener más información sobre AlloyDB para PostgreSQL, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API Admin de AlloyDB para PostgreSQL. No protegen el acceso a datos basado en IP a las bases de datos subyacentes (como las instancias de AlloyDB para PostgreSQL). Para restringir el acceso a IP públicas en instancias de AlloyDB para PostgreSQL, usa una restricción de política de organización.
• Antes de configurar Controles de Servicio de VPC para AlloyDB para PostgreSQL, habilita la API Service Networking.
• Cuando usas AlloyDB para PostgreSQL con una VPC compartida y Controles de Servicio de VPC, el proyecto host y el proyecto de servicio deben estar en el mismo perímetro de servicio de Controles de Servicio de VPC.

La API de Vertex AI Workbench se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Vertex AI Workbench, consulta la documentación del producto.

La API de Vertex AI se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Consulta Colab Enterprise.

Para obtener más información sobre Vertex AI, consulta la documentación del producto.

La API de Vertex AI Vision se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Vertex AI Vision, consulta la documentación del producto.

La API de Vertex AI en Firebase se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Vertex AI en Firebase, consulta la documentación del producto.

La API de Colab Enterprise se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Colab Enterprise forma parte de Vertex AI. Consulta Vertex AI.

Colab Enterprise usa Dataform para almacenar cuadernos. Consulta Dataform.

Para obtener más información sobre Colab Enterprise, consulta la documentación del producto.

La API de Apigee y Apigee Hybrid se puede proteger con Controles de Servicio de VPC, y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Apigee y Apigee Hybrid, consulta la documentación del producto.

La API del centro de APIs de Apigee se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el hub de APIs de Apigee, consulta la documentación del producto.

Para obtener más información sobre el uso compartido de BigQuery, consulta la documentación del producto.

La API de Cloud Service Mesh se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Puedes usar mesh.googleapis.com para habilitar las APIs necesarias para Cloud Service Mesh. No es necesario que restrinjas mesh.googleapis.com en tu perímetro, ya que no expone ninguna API.

• Consulta cómo configurar Controles de Servicio de VPC para Cloud Service Mesh (gestionado).
• Consulta cómo añadir servicios de Cloud Service Mesh a los perímetros de servicio.

Para obtener más información sobre Cloud Service Mesh, consulta la documentación del producto.

La integración de Cloud Service Mesh con Controles de Servicio de VPC no tiene limitaciones conocidas.

Además de proteger la API Artifact Registry, se puede usar Artifact Registry dentro de perímetros de servicio con GKE y Compute Engine.

Para obtener más información sobre Artifact Registry, consulta la documentación del producto.

La API de Assured Open Source Software se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Assured Open Source Software, consulta la documentación del producto.

La API de Assured Workloads se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Assured Workloads, consulta la documentación del producto.

La integración de Assured Workloads con Controles de Servicio de VPC no tiene limitaciones conocidas.

Para proteger completamente la API AutoML, incluye todas las APIs siguientes en tu perímetro:

• API de AutoML (automl.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API de BigQuery (bigquery.googleapis.com)

Para obtener más información sobre AutoML Translation, consulta la documentación del producto.

La API de Solución Bare Metal se puede añadir a un perímetro seguro. Sin embargo, los perímetros de Controles de Servicio de VPC no se extienden al entorno de Bare Metal Solution en las extensiones regionales.

Para obtener más información sobre Solución Bare Metal, consulta la documentación del producto.

Conectar Controles de Servicio de VPC a tu entorno de soluciones Bare Metal no supone ninguna garantía de control de servicio.

Para obtener más información sobre las limitaciones de Solución Bare Metal en relación con Controles de Servicio de VPC, consulta la sección sobre problemas y limitaciones conocidos.

La API de Batch se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Batch, consulta la documentación del producto.

La API del metastore de BigLake se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el metastore de BigLake, consulta la documentación del producto.

La integración de metastore de BigLake con Controles de Servicio de VPC no tiene limitaciones conocidas.

Si proteges la API de BigQuery con un perímetro de servicio, también se protegerán la API Storage de BigQuery (bigquerystorage.googleapis.com), la API Reservation de BigQuery (bigqueryreservation.googleapis.com) y la API Connection de BigQuery (bigqueryconnection.googleapis.com). No es necesario que añadas estas APIs por separado a la lista de servicios protegidos de tu perímetro.

Consulta más información sobre cómo configurar Controles de Servicio de VPC para BigQuery y cómo permitir el acceso a funciones aportadas por la comunidad dentro de un perímetro.

Para obtener más información sobre BigQuery, consulta la documentación del producto.

La API Data Policy de BigQuery se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Data Policy de BigQuery, consulta la documentación del producto.

La integración de la API Data Policy de BigQuery con Controles de Servicio de VPC no tiene limitaciones conocidas.

El perímetro de servicio solo protege la API de BigQuery Data Transfer Service. BigQuery es quien aplica la protección de datos. Su diseño permite importar datos de varias fuentes externas ajenas a Google Cloud, como Amazon S3, Redshift, Teradata, YouTube, Google Play y Google Ads, a conjuntos de datos de BigQuery. Para obtener información sobre los requisitos de Controles de Servicio de VPC para migrar datos de Teradata, consulta Requisitos de Controles de Servicio de VPC.

Para obtener más información sobre BigQuery Data Transfer Service, consulta la documentación del producto.

La API BigQuery Migration se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API de migración de BigQuery, consulta la documentación del producto.

La integración de la API BigQuery Migration con Controles de Servicio de VPC no tiene limitaciones conocidas.

Los servicios bigtable.googleapis.com y bigtableadmin.googleapis.com se ofrecen juntos. Cuando restringe el servicio bigtable.googleapis.com en un perímetro, el perímetro restringe el servicio bigtableadmin.googleapis.com de forma predeterminada. No puedes añadir el servicio bigtableadmin.googleapis.com a la lista de servicios restringidos de un perímetro porque está incluido en bigtable.googleapis.com.

Para obtener más información sobre Bigtable, consulta la documentación del producto.

La integración de Bigtable con Controles de Servicio de VPC no tiene limitaciones conocidas.

Cuando se usan varios proyectos con la autorización binaria, cada proyecto debe incluirse en el perímetro de Controles de Servicio de VPC. Para obtener más información sobre este caso práctico, consulta el artículo sobre la configuración de varios proyectos.

Con la autorización binaria, puede usar Artifact Analysis para almacenar attestors y atestaciones como notas y ocurrencias, respectivamente. En este caso, también debes incluir Artifact Analysis en el perímetro de Controles de Servicio de VPC. Para obtener más información, consulta las directrices de Controles de Servicio de VPC para Artifact Analysis.

Para obtener más información sobre la autorización binaria, consulta la documentación del producto.

La integración de Autorización Binaria con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Blockchain Node Engine se puede proteger con Controles de Servicio de VPC y se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Blockchain Node Engine, consulta la documentación del producto.

La API del servicio de autoridad de certificación se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el Servicio de Autoridades de Certificación, consulta la documentación del producto.

Para usar Config Controller con Controles de Servicio de VPC, debes habilitar las siguientes APIs dentro de tu perímetro:

• API de Cloud Monitoring (monitoring.googleapis.com)
• API de Container Registry (containerregistry.googleapis.com)
• API Google Cloud Observability (logging.googleapis.com)
• API Security Token Service (sts.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)

Si aprovisionas recursos con Config Controller, debes habilitar la API de esos recursos en tu perímetro de servicio. Por ejemplo, si quieres añadir una cuenta de servicio de Gestión de Identidades y Accesos, debes añadir la API de Gestión de Identidades y Accesos (iam.googleapis.com).

Para obtener más información sobre Config Controller, consulta la documentación del producto.

La integración de Config Controller con Controles de Servicio de VPC no tiene limitaciones conocidas.

Para obtener más información sobre Data Catalog, consulta la documentación del producto.

La integración de Data Catalog con Controles de Servicio de VPC no tiene limitaciones conocidas.

Cloud Data Fusion requiere algunos pasos especiales para protegerse con Controles de Servicio de VPC.

Para obtener más información sobre Cloud Data Fusion, consulta la documentación del producto.

La API de Data Lineage se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Data Lineage, consulta la documentación del producto.

La integración de la API Data Lineage con Controles de Servicio de VPC no tiene limitaciones conocidas.

La compatibilidad de Controles de Servicio de VPC con Compute Engine ofrece las siguientes ventajas de seguridad:

• Restringe el acceso a operaciones de API sensibles.
• Restringe las capturas de disco persistente y las imágenes personalizadas a un perímetro
• Restringe el acceso a los metadatos de instancias

La compatibilidad de Controles de Servicio de VPC con Compute Engine también te permite utilizar redes de nube privada virtual y clústeres privados de Google Kubernetes Engine dentro de perímetros de servicio.

Para obtener más información sobre Compute Engine, consulta la documentación del producto.

Para usar Estadísticas de Conversación con Controles de Servicio de VPC, debes tener las siguientes APIs adicionales dentro de tu perímetro, en función de tu integración.

• Para cargar datos en Conversational Insights, añade la API Cloud Storage a tu perímetro de servicio.

• Para usar export, añade la API BigQuery a tu perímetro de servicio.

• Para integrar varios productos de CCAI, añade la API Vertex AI a tu perímetro de servicio.

Para obtener más información sobre Estadísticas conversacionales, consulta la documentación del producto.

La integración de Estadísticas de Conversación con Controles de Servicio de VPC no tiene limitaciones conocidas.

Dataflow admite varios conectores de servicios de almacenamiento. Se ha verificado que los siguientes conectores funcionan con Dataflow dentro de un perímetro de servicio:

• Cloud Storage (Java , Python )
• BigQuery (Java, Python )
• Pub/Sub ( Java , Python )
• Bigtable (Java )
• Spanner (Java )

Para obtener más información sobre Dataflow, consulta la documentación del producto.

• No se admite BIND personalizado cuando se usa Dataflow. Para personalizar la resolución de DNS al usar Dataflow con Controles de Servicio de VPC, utiliza zonas privadas de Cloud DNS en lugar de servidores BIND personalizados. Si quieres usar tu propia resolución de DNS local, te recomendamos que utilices unGoogle Cloud método de reenvío de DNS.

• Escalado automático vertical no se puede proteger con un perímetro de Controles de Servicio de VPC. Para usar el escalado automático vertical en un perímetro de Controles de Servicio de VPC, debes inhabilitar la función de servicios accesibles de la VPC.

• Si habilitas Dataflow Prime e inicias un nuevo trabajo dentro de un perímetro de Controles de Servicio de VPC, el trabajo usará Dataflow Prime sin autoescalado vertical.

• No se ha verificado que todos los conectores de servicios de almacenamiento funcionen cuando se usan con Dataflow dentro de un perímetro de servicio. Para ver una lista de conectores verificados, consulta la sección "Detalles" anterior.

• Si usas Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0, las tareas de Dataflow fallarán al iniciarse si los trabajadores solo tienen direcciones IP privadas, como cuando se usan Controles de Servicio de VPC para proteger los recursos. Si los trabajadores de Dataflow solo pueden tener direcciones IP privadas, como cuando se usan Controles de Servicio de VPC para proteger los recursos, no uses Python 3.5 con el SDK de Apache Beam 2.20.0-2.22.0. Esta combinación provoca que las tareas fallen al iniciarse.

La API de Dataplex Universal Catalog se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Dataplex Universal Catalog, consulta la documentación del producto.

Dataproc requiere pasos especiales para protegerse con Controles de Servicio de VPC.

Para obtener más información sobre Dataproc, consulta la documentación del producto.

Para proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones de Redes de Dataproc y Controles de Servicio de VPC.

Dataproc sin servidor requiere pasos especiales para protegerse mediante Controles de Servicio de VPC.

Para obtener más información sobre Dataproc sin servidor para Spark, consulta la documentación del producto.

Para proteger tu carga de trabajo sin servidor con un perímetro de servicio, sigue las instrucciones de Redes de Dataproc sin servidor y Controles de Servicio de VPC.

La API de Dataproc Metastore se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Dataproc Metastore, consulta la documentación del producto.

La integración de Dataproc Metastore con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Datastream se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Datastream, consulta la documentación del producto.

La integración de Datastream con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Database Center se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el Centro de bases de datos, consulta la documentación del producto.

Controles de Servicio de VPC no admite el acceso a recursos de la API Cloud Asset a nivel de carpeta u organización desde recursos y clientes que se encuentren dentro de un perímetro de servicio. Controles de Servicio de VPC protege los recursos de la API Cloud Asset a nivel de proyecto. Puedes especificar una política de salida para permitir el acceso a los recursos de la API Cloud Asset a nivel de proyecto desde proyectos que estén dentro del perímetro. Para gestionar los permisos del Centro de Datos a nivel de carpeta o de organización, te recomendamos que uses IAM.

La API de Estadísticas de bases de datos se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Database Insights, consulta la documentación del producto.

La integración de la API Database Insights con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Database Migration Service se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Database Migration Service, consulta la documentación del producto.

La API de Dialogflow se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Dialogflow, consulta la documentación del producto.

La API de Asistente se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Asistente, consulta la documentación del producto.

La API de Protección de Datos Sensibles se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la protección de datos sensibles, consulta la documentación del producto.

La API de Cloud DNS se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud DNS, consulta la documentación del producto.

• Puedes acceder a Cloud DNS a través de la VIP restringida. Sin embargo, no puedes crear ni actualizar zonas DNS públicas en proyectos que estén dentro del perímetro de Controles de Servicio de VPC.

La API de Document AI se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Document AI, consulta la documentación del producto.

La integración de Document AI con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Document AI Warehouse se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Document AI Warehouse, consulta la documentación del producto.

La integración de Document AI Warehouse con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Domains se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Domains, consulta la documentación del producto.

• Los datos de contacto que se usan en Cloud Domains se pueden compartir con el registro de la terminación de dominio o dominio de nivel superior (TLD) y pueden ser de acceso público para WHOIS o RDAP, según lo permitan tus ajustes, de acuerdo con las reglas de la ICANN. Para obtener más información, consulta la sección Protección de la privacidad.

• Los datos de configuración de DNS que se usan en Cloud Domains (servidores de nombres y configuración de DNSSEC) son públicos. Si tu dominio delega en una zona DNS pública (que es la predeterminada), los datos de configuración de DNS de esa zona también serán públicos.

Las APIs avanzadas de Eventarc se pueden proteger con Controles de Servicio de VPC y las funciones se pueden usar normalmente dentro de los perímetros de servicio.

Un bus avanzado de Eventarc que esté fuera de un perímetro de servicio no puede recibir eventos de proyectos de Google Cloud Platform que estén dentro del perímetro. Un bus de Eventarc Advanced dentro de un perímetro no puede enrutar eventos a un consumidor que esté fuera del perímetro.

• Para publicar en un bus avanzado de Eventarc, la fuente de un evento debe estar dentro del mismo perímetro de servicio que el bus.
• Para consumir un mensaje, un consumidor de eventos debe estar dentro del mismo perímetro de servicio que el bus.

Puede verificar la compatibilidad de Controles de Servicio de VPC con los recursos Enrollment, GoogleApiSource, MessageBus y Pipeline consultando los registros de la plataforma en el acceso.

Para obtener más información sobre Eventarc Advanced, consulta la documentación del producto.

La integración avanzada de Eventarc con Controles de Servicio de VPC no tiene limitaciones conocidas.

Eventarc Standard gestiona la entrega de eventos mediante temas y suscripciones de inserción de Pub/Sub. Para acceder a la API Pub/Sub y gestionar los activadores de eventos, la API Eventarc debe estar protegida en el mismo perímetro de servicio de Controles de Servicio de VPC que la API Pub/Sub.

Para obtener más información sobre Eventarc Standard, consulta la documentación del producto.

La API de Distributed Cloud Edge Network se puede proteger con Controles de Servicio de VPC y se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Distributed Cloud Edge Network, consulta la documentación del producto.

La integración de la API Distributed Cloud Edge Network con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de IA contra el blanqueo de capitales se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la IA contra el blanqueo de capitales, consulta la documentación del producto.

La integración de la IA de lucha contra el blanqueo de dinero con Controles de Servicio de VPC no tiene limitaciones conocidas.

Cuando configuras e intercambias tokens de Comprobación de Aplicaciones de Firebase, Controles de Servicio de VPC solo protege el servicio Comprobación de Aplicaciones de Firebase. Para proteger los servicios que dependen de Firebase App Check, debes configurar perímetros de servicio para ellos.

Para obtener más información sobre Firebase App Check, consulta la documentación del producto.

La integración de Firebase App Check con Controles de Servicio de VPC no tiene limitaciones conocidas.

Los perímetros de servicio solo protegen la API Firebase Data Connect. No protegen el acceso a las fuentes de datos subyacentes (como las instancias de Cloud SQL). El acceso a las instancias de base de datos debe configurarse por separado.

Para obtener más información sobre Firebase Data Connect, consulta la documentación del producto.

La integración de Firebase Data Connect con Controles de Servicio de VPC no tiene limitaciones conocidas.

Cuando gestionas políticas de reglas de seguridad de Firebase, Controles de Servicio de VPC protege solo el servicio de reglas de seguridad de Firebase. Para proteger los servicios que dependen de las reglas de seguridad de Firebase, debes configurar perímetros de servicio para esos servicios.

Para obtener más información sobre las reglas de seguridad de Firebase, consulta la documentación del producto.

La integración de las reglas de seguridad de Firebase con los Controles de Servicio de VPC no tiene limitaciones conocidas.

Consulta los pasos de configuración en la documentación de Cloud Functions. La protección de Controles de Servicio de VPC no se aplica a la fase de compilación cuando las funciones de Cloud Run se compilan con Cloud Build. Para obtener más información, consulta las limitaciones conocidas.

Para obtener más información sobre las funciones de Cloud Run, consulta la documentación del producto.

Cuando restringes la gestión de identidades y accesos con un perímetro, solo se restringen las acciones que usan la API de gestión de identidades y accesos. Entre ellas se incluyen las siguientes:

• Gestionar roles de gestión de identidades y accesos personalizados
• Gestionar grupos de identidades de carga de trabajo
• Gestionar cuentas de servicio y claves
• Gestionar políticas de denegación
• Gestionar las vinculaciones de políticas de las políticas de límites de acceso de principales

El perímetro no restringe las acciones relacionadas con los grupos de empleados y las políticas de límite de acceso de principales porque esos recursos se crean a nivel de organización.

El perímetro tampoco restringe la gestión de políticas de permiso para los recursos propiedad de otros servicios, como los proyectos, las carpetas y las organizaciones de Resource Manager, o las instancias de máquina virtual de Compute Engine. Para restringir la gestión de políticas de permiso de estos recursos, crea un perímetro que restrinja el servicio propietario de los recursos. Para ver una lista de los recursos que aceptan políticas de permiso y los servicios a los que pertenecen, consulta Tipos de recursos que aceptan políticas de permiso.

Además, el perímetro de IAM no restringe las acciones que usan otras APIs, como las siguientes:

• API Policy Simulator de Gestión de Identidades y Accesos
• API Policy Troubleshooter de Gestión de Identidades y Accesos
• API Security Token Service
• API Service Account Credentials (incluidos los métodos antiguos signBlob y signJwt de la API IAM)

Para obtener más información sobre la gestión de identidades y accesos, consulta la documentación del producto.

Si te encuentras dentro del perímetro, no puedes llamar al método roles.list con una cadena vacía para enumerar los roles predefinidos de gestión de identidades y accesos. Si necesitas ver los roles predefinidos, consulta la documentación sobre roles de gestión de identidades y accesos.

La API Admin de IAP permite a los usuarios configurar IAP.

Para obtener más información sobre la API Admin de IAP , consulta la documentación del producto.

La integración de la API de administrador de IAP con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de inventario de Cloud KMS se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Inventory de Cloud KMS, consulta la documentación del producto.

El método de la API SearchProtectedResources no aplica restricciones de perímetro de servicio a los proyectos devueltos.

La API de credenciales de cuenta de servicio se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre las credenciales de la cuenta de servicio, consulta la documentación del producto.

La integración de credenciales de cuenta de servicio con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API Service Metadata se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Service Metadata, consulta la documentación del producto.

La integración de la API Service Metadata con Controles de Servicio de VPC no tiene limitaciones conocidas.

Si usas el acceso privado a servicios, te recomendamos que habilites Controles de Servicio de VPC para la conexión de Service Networking.Cuando habilitas Controles de Servicio de VPC, los productores de servicios solo pueden acceder a las APIs compatibles con Controles de Servicio de VPC a través de la conexión de Service Networking.

Solo puedes habilitar Controles de Servicio de VPC para la creación de redes de servicios mediante la API EnableVpcServiceControls. Solo puedes inhabilitar Controles de Servicio de VPC para Service Networking mediante la API DisableVpcServiceControls.

Para obtener más información sobre Service Networking, consulta la documentación del producto.

La integración de Service Networking con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Acceso a VPC sin servidor se puede proteger con Controles de Servicio de VPC y el producto se puede usar con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Acceso a VPC sin servidor, consulta la documentación del producto.

La integración de Acceso a VPC sin servidor con los Controles de Servicio de VPC no tiene limitaciones conocidas.

La API Cloud KMS se puede proteger con Controles de Servicio de VPC y el producto se puede usar dentro de perímetros de servicio. El acceso a los servicios de Cloud HSM también está protegido por Controles de Servicio de VPC y se puede usar dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Key Management Service, consulta la documentación del producto.

La integración de Cloud Key Management Service con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de servidores de juegos se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Game Servers, consulta la documentación del producto.

La integración de Game Servers con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Gemini Code Assist se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio. Esto incluye la personalización del código.

Para obtener más información sobre Gemini Code Assist, consulta la documentación del producto.

El control de acceso basado en dispositivos, direcciones IP públicas o ubicaciones no se admite en la consola de Google Cloud Gemini.

La API de Identity-Aware Proxy para TCP se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Identity-Aware Proxy para TCP, consulta la documentación del producto.

La API de Cloud Life Sciences se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Life Sciences, consulta la documentación del producto.

La integración de Cloud Life Sciences con Controles de Servicio de VPC no tiene limitaciones conocidas.

Se necesita una configuración adicional para lo siguiente:

• Acceso local a la API Managed Microsoft AD
• VPC compartida

Para obtener más información sobre el servicio gestionado para Microsoft Active Directory, consulta la documentación del producto.

La integración del servicio gestionado para Microsoft Active Directory con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de reCAPTCHA se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre reCAPTCHA, consulta la documentación del producto.

La integración de reCAPTCHA con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Web Risk se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Web Risk, consulta la documentación del producto.

Las APIs Evaluate y Submission no son compatibles con Controles de Servicio de VPC.

La API de Recommender se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Recommender, consulta la documentación del producto.

• Controles de Servicio de VPC no admite recursos de organización, carpeta ni cuenta de facturación.

La API de Secret Manager se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Secret Manager, consulta la documentación del producto.

La integración de Secret Manager con Controles de Servicio de VPC no tiene limitaciones conocidas.

La protección de Controles de Servicio de VPC se aplica a todas las operaciones de administrador, editor y suscriptor (excepto a las suscripciones push).

Para obtener más información sobre Pub/Sub, consulta la documentación del producto.

En los proyectos protegidos por un perímetro de servicio, se aplican las siguientes limitaciones:

• No se pueden crear suscripciones push nuevas a menos que los endpoints push se definan en servicios de Cloud Run con URLs run.app predeterminadas o en una ejecución de Workflows (los dominios personalizados no funcionan). Para obtener más información sobre la integración con Cloud Run, consulta Usar Controles de Servicio de VPC.
• En el caso de las suscripciones que no son push, debes crear una suscripción en el mismo perímetro que el tema o habilitar reglas de salida para permitir el acceso del tema a la suscripción.
• Cuando enrutes eventos a través de Eventarc a destinos de Workflows cuyo endpoint de inserción esté configurado en una ejecución de Workflows, solo podrás crear suscripciones de inserción nuevas a través de Eventarc.
• Las suscripciones de Pub/Sub creadas antes del perímetro de servicio no se bloquean.

La protección de Controles de Servicio de VPC se aplica a todas las operaciones de los suscriptores.

Para obtener más información sobre Pub/Sub Lite, consulta la documentación del producto.

La integración de Pub/Sub Lite con Controles de Servicio de VPC no tiene limitaciones conocidas.

Usa Controles de Servicio de VPC con grupos privados de Cloud Build para añadir más seguridad a tus compilaciones.

Para obtener más información sobre Cloud Build, consulta la documentación del producto.

• La protección de Controles de Servicio de VPC solo está disponible para las compilaciones que se ejecutan en grupos privados.

• No se admiten los activadores de Cloud Build Pub/Sub.

La API de Cloud Deploy se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Deploy, consulta la documentación del producto.

Para usar Cloud Deploy en un perímetro, debes usar un grupo privado de Cloud Build para los entornos de ejecución del destino. No utilices el grupo de trabajadores predeterminado (Cloud Build) ni un grupo híbrido.

Configurar Composer para usarlo con Controles de Servicio de VPC

Para obtener más información sobre Cloud Composer, consulta la documentación del producto.

• Si habilitas la serialización de DAG, Airflow no mostrará una plantilla renderizada con funciones en la interfaz de usuario web.

• No se admite asignar el valor True a la marca async_dagbag_loader mientras esté habilitada la serialización de DAGs.

• Si habilitas la serialización de DAGs, se inhabilitarán todos los complementos del servidor web de Airflow, ya que podrían poner en riesgo la seguridad de la red VPC en la que se ha implementado Cloud Composer. Esto no afecta al comportamiento de los complementos de programador o de trabajador, incluidos los operadores y sensores de Airflow.

• Cuando Cloud Composer se ejecuta dentro de un perímetro, el acceso a los repositorios públicos de PyPI está restringido. En la documentación de Cloud Composer, consulta Instalar dependencias de Python para saber cómo instalar módulos PyPI en el modo de IP privada.

La API de Cloud Quotas se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre las cuotas de Cloud, consulta la documentación del producto.

Para obtener más información sobre Cloud Run, consulta la documentación del producto.

• Creación de tareas de Cloud Scheduler
• Actualizaciones de tareas de Cloud Scheduler

Para obtener más información sobre Cloud Scheduler, consulta la documentación del producto.

La API de Spanner se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Spanner, consulta la documentación del producto.

La integración de Spanner con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Speaker ID se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el ID de voz, consulta la documentación del producto.

La integración de ID de voz con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Storage se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Storage, consulta la documentación del producto.

La API de Cloud Tasks se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Las solicitudes HTTP de las ejecuciones de Cloud Tasks se admiten de la siguiente manera:

• Se permiten las solicitudes autenticadas a funciones y endpoints de Cloud Run que cumplen los requisitos de Controles de Servicio de VPC.
• Se bloquean las solicitudes a funciones que no son de Cloud Run y a endpoints que no son de Cloud Run.
• Se bloquean las solicitudes a funciones y endpoints de Cloud Run que no cumplen los requisitos de Controles de Servicio de VPC.

Para obtener más información sobre Cloud Tasks, consulta la documentación del producto.

Los perímetros de Controles de Servicio de VPC protegen la API Admin de Cloud SQL.

Para obtener más información sobre Cloud SQL, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API Admin de Cloud SQL. No protegen el acceso a datos basado en IP a las instancias de Cloud SQL. Debes usar una restricción de política de organización para restringir el acceso a IP públicas en instancias de Cloud SQL.
• Antes de configurar Controles de Servicio de VPC para Cloud SQL, habilita la API Service Networking.

• Las importaciones y exportaciones de Cloud SQL solo pueden leer y escribir datos desde un segmento de Cloud Storage que esté dentro del mismo perímetro de servicio que la instancia de réplica de Cloud SQL.

• En el flujo de migración de servidores externos, debes añadir el segmento de Cloud Storage al mismo perímetro de servicio.

• En el flujo de creación de claves de CMEK, usa una de las siguientes configuraciones:

  • Crea la clave en el mismo perímetro de servicio que los recursos que la usan, como Cloud SQL.
  • Crea la clave en un perímetro de servicio que esté conectado, a través de un puente de perímetro, al perímetro de servicio que protege Cloud SQL.
• Cuando se restaura una instancia a partir de una copia de seguridad, la instancia de destino debe estar en el mismo perímetro de servicio que la copia de seguridad.

La API de Video Intelligence se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Video Intelligence, consulta la documentación del producto.

La integración de la API Video Intelligence con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Vision se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Cloud Vision, consulta la documentación del producto.

Para usar Artifact Analysis con Controles de Servicio de VPC, es posible que tengas que añadir otros servicios a tu perímetro de VPC:

• Si usas notificaciones de Pub/Sub con Artifact Analysis, añade Pub/Sub a tu perímetro de servicio.
• Si usas la API Container Scanning, añade tu registro al perímetro: Artifact Registry o Container Registry.

Como la API Container Scanning es una API sin superficie que almacena los resultados en Artifact Analysis, no es necesario protegerla con un perímetro de servicio.

Para obtener más información sobre Artifact Analysis, consulta la documentación del producto.

La integración de Artifact Analysis con Controles de Servicio de VPC no tiene limitaciones conocidas.

Además de proteger la API de Container Registry, se puede usar Container Registry dentro de un perímetro de servicio con GKE y Compute Engine.

Para obtener más información sobre Container Registry, consulta la documentación del producto.

• Cuando especifiques una política de entrada o salida para un perímetro de servicio, no podrás usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como tipo de identidad para todas las operaciones de Container Registry.

  Como solución alternativa, use ANY_IDENTITY como tipo de identidad.

• Como Container Registry usa el dominio gcr.io, debe configurar el DNS para que *.gcr.io se asigne a private.googleapis.com o a restricted.googleapis.com. Para obtener más información, consulta el artículo sobre cómo proteger Container Registry en un perímetro de servicio.

• Además de los contenedores que hay dentro de un perímetro y que están disponibles en Container Registry, los siguientes repositorios de solo lectura están disponibles para todos los proyectos, independientemente de las restricciones que apliquen los perímetros de servicio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

  En todos los casos, también están disponibles las versiones multirregionales de estos repositorios.

La API de Google Kubernetes Engine se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Google Kubernetes Engine, consulta la documentación del producto.

• Para proteger completamente la API de Google Kubernetes Engine, también debes incluir la API de metadatos de Kubernetes (kubernetesmetadata.googleapis.com) en tu perímetro.
• Solo se pueden proteger los clústeres privados con Controles de Servicio de VPC. Controles de Servicio de VPC no admite clústeres con direcciones IP públicas.

• La entrada de servicio de GKE de esta tabla solo especifica el control de la propia API de GKE. GKE depende de otros servicios subyacentes para funcionar, como Compute Engine, Cloud Logging, Cloud Monitoring y la API Autoscaling (autoscaling.googleapis.com). Para proteger de forma eficaz tus entornos de GKE con Controles de Servicio de VPC, debes asegurarte de que todos los servicios subyacentes necesarios también estén incluidos en tu perímetro de servicio. Consulta la documentación de GKE para ver una lista completa de estos servicios.

La API de la API Container Security se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Container Security, consulta la documentación del producto.

La integración de la API Container Security con Controles de Servicio de VPC no tiene limitaciones conocidas.

El streaming de imágenes es una función de streaming de datos de GKE que proporciona tiempos de extracción de imágenes de contenedor más cortos para las imágenes almacenadas en Artifact Registry. Si Controles de Servicio de VPC protege tus imágenes de contenedor y usas Image streaming, también debes incluir la API Image streaming en el perímetro de servicio.

Para obtener más información sobre la transmisión de imágenes, consulta la documentación del producto.

• Los siguientes repositorios de solo lectura están disponibles para todos los proyectos, independientemente de las restricciones impuestas por los perímetros de servicio:

  • gcr.io/anthos-baremetal-release
  • gcr.io/asci-toolchain
  • gcr.io/cloud-airflow-releaser
  • gcr.io/cloud-builders
  • gcr.io/cloud-dataflow
  • gcr.io/cloud-ingest
  • gcr.io/cloud-marketplace
  • gcr.io/cloud-ssa
  • gcr.io/cloudsql-docker
  • gcr.io/config-management-release
  • gcr.io/deeplearning-platform-release
  • gcr.io/foundry-dev
  • gcr.io/fn-img
  • gcr.io/gae-runtimes
  • gcr.io/serverless-runtimes
  • gcr.io/gke-node-images
  • gcr.io/gke-release
  • gcr.io/gkeconnect
  • gcr.io/google-containers
  • gcr.io/kubeflow
  • gcr.io/kubeflow-images-public
  • gcr.io/kubernetes-helm
  • gcr.io/istio-release
  • gcr.io/ml-pipeline
  • gcr.io/projectcalico-org
  • gcr.io/rbe-containers
  • gcr.io/rbe-windows-test-images
  • gcr.io/speckle-umbrella
  • gcr.io/stackdriver-agents
  • gcr.io/tensorflow
  • gcr.io/vertex-ai
  • gcr.io/vertex-ai-restricted
  • gke.gcr.io
  • k8s.gcr.io

Las APIs de gestión de flotas, incluida la pasarela de conexión, se pueden proteger con Controles de Servicio de VPC, y las funciones de gestión de flotas se pueden usar normalmente dentro de los perímetros de servicio. Para obtener más información, consulta las siguientes secciones:

• Usar Controles de Servicio de VPC con el agente Connect
• Usar Controles de Servicio de VPC con la pasarela Connect

Para obtener más información sobre las flotas, consulta la documentación del producto.

• Aunque todas las funciones de gestión de flotas se pueden usar con normalidad, habilitar un perímetro de servicio en torno a la API de Stackdriver impide que la función de flota de Policy Controller se integre con Security Command Center.
• Cuando se usa la pasarela de Connect para acceder a clústeres de GKE, no se aplica el perímetro de Controles de Servicio de VPC para container.googleapis.com.

La API de FleetPackage se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API FleetPackage, consulta la documentación del producto.

La FleetPackage API se integra con Controles de Servicio de VPC sin limitaciones conocidas.

Los siguientes métodos de la API Cloud Resource Manager se pueden proteger con Controles de Servicio de VPC:

• v1 project.setIAMPolicy
• v1beta1 project.setIAMPolicy
• v3 tagKeys.*
• v3 tagValues.*
• v3 tagValues.tagHolds.*
• v3 tagBindings.*

Para obtener más información sobre Resource Manager, consulta la documentación del producto.

• Solo se pueden proteger con los Controles de Servicio de VPC las claves de etiqueta que tengan como elemento superior directo un recurso de proyecto y los valores de etiqueta correspondientes. Cuando se añade un proyecto a un perímetro de Controles de Servicio de VPC, todas las claves de etiqueta y los valores de etiqueta correspondientes del proyecto se consideran recursos del perímetro.
• Las claves de etiquetas asociadas a un recurso de organización y sus valores de etiquetas correspondientes no se pueden incluir en un perímetro de Controles de Servicio de VPC ni protegerse mediante Controles de Servicio de VPC.
• Los clientes que se encuentren dentro de un perímetro de Controles de Servicio de VPC no podrán acceder a las claves de etiquetas ni a los valores correspondientes que pertenezcan a un recurso de organización, a menos que se haya definido una regla de salida en el perímetro que permita el acceso. Para obtener más información sobre cómo definir reglas de salida, consulta Reglas de entrada y salida.
• Los enlaces de etiquetas se consideran recursos dentro del mismo perímetro que el recurso al que está enlazado el valor de la etiqueta. Por ejemplo, las vinculaciones de etiquetas de una instancia de Compute Engine de un proyecto se consideran pertenecientes a ese proyecto, independientemente de dónde se defina la clave de la etiqueta.
• Algunos servicios, como Compute Engine, permiten crear enlaces de etiquetas mediante sus propias APIs de servicio, además de las APIs de servicio de Resource Manager. Por ejemplo, añadir etiquetas a una VM de Compute Engine durante la creación de recursos. Para proteger las vinculaciones de etiquetas creadas o eliminadas mediante estas APIs de servicio, añade el servicio correspondiente, como compute.googleapis.com, a la lista de servicios restringidos del perímetro.
• Las etiquetas admiten restricciones a nivel de método, por lo que puedes limitar el alcance de method_selectors a métodos de API específicos. Para ver una lista de los métodos que se pueden restringir, consulta Restricciones de métodos de servicio admitidas.
• Ahora, Controles de Servicio de VPC permite asignar el rol de propietario a un proyecto a través de la Google Cloud consola. No puedes enviar ni aceptar invitaciones de propietario fuera de los perímetros de servicio. Si intentas aceptar una invitación desde fuera del perímetro, no se te concederá el rol de propietario y no se mostrará ningún mensaje de error ni de advertencia.

La API de Cloud Logging se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Logging, consulta la documentación del producto.

La API de Certificate Manager se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Certificate Manager, consulta la documentación del producto.

La integración de Certificate Manager con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Monitoring se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Monitoring, consulta la documentación del producto.

La API de Cloud Profiler se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Profiler, consulta la documentación del producto.

La integración de Cloud Profiler con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API Telemetry se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Telemetry, consulta la documentación del producto.

La integración de la API Telemetry con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Timeseries Insights se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Timeseries Insights, consulta la documentación del producto.

La integración de la API Timeseries Insights con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Trace se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Trace, consulta la documentación del producto.

La integración de Cloud Trace con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud TPU se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre las TPU de Cloud, consulta la documentación del producto.

La integración de Cloud TPU con Controles de Servicio de VPC no tiene limitaciones conocidas.

Para obtener más información sobre la API Natural Language, consulta la documentación del producto.

Como la API Natural Language es una API sin estado y no se ejecuta en proyectos, no tiene ningún efecto usar los controles de servicio de VPC para protegerla.

La API de Network Connectivity Center se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Network Connectivity Center, consulta la documentación del producto.

La integración de Network Connectivity Center con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Asset se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Cloud Asset, consulta la documentación del producto.

• Controles de Servicio de VPC no admite el acceso a recursos de la API Cloud Asset a nivel de carpeta u organización desde recursos y clientes que se encuentren dentro de un perímetro de servicio. Controles de Servicio de VPC protege los recursos de la API Cloud Asset a nivel de proyecto. Puede especificar una política de salida para evitar que los proyectos que se encuentren dentro del perímetro accedan a los recursos de la API Cloud Asset a nivel de proyecto.
• Controles de Servicio de VPC no admite la adición de recursos de la API Cloud Asset a nivel de carpeta u organización a un perímetro de servicio. No puedes usar un perímetro para proteger recursos de la API Cloud Asset a nivel de carpeta o de organización. Para gestionar los permisos de Inventario de recursos de Cloud a nivel de carpeta u organización, te recomendamos que uses IAM.

La API de Speech-to-Text se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Speech-to-Text, consulta la documentación del producto.

La integración de Speech-to-Text con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API Text-to-Speech se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la función de texto a voz, consulta la documentación del producto.

La integración de Text-to-Speech con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API Translation se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la traducción, consulta la documentación del producto.

Cloud Translation Advanced (versión 3) es compatible con Controles de Servicio de VPC, pero no con Cloud Translation Basic (versión 2). Para aplicar Controles de Servicio de VPC, debes usar Cloud Translation Advanced (versión 3). Para obtener más información sobre las diferentes ediciones, consulta el artículo Comparar las ediciones Basic y Advanced.

Crea un perímetro de servicio para License Manager con la API License Manager para proteger tus licencias.

Para obtener más información sobre License Manager, consulta la documentación del producto.

La integración de License Manager con Controles de Servicio de VPC no tiene limitaciones conocidas.

Usa Controles de Servicio de VPC con la API Live Stream para proteger tu canal.

Para obtener más información sobre la API Live Stream, consulta la documentación del producto.

Para proteger los endpoints de entrada con un perímetro de servicio, debes seguir las instrucciones para configurar un grupo privado y enviar las secuencias de vídeo de entrada a través de una conexión privada.

La API de Transcoder se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Transcoder, consulta la documentación del producto.

La integración de la API Transcoder con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API Video Stitcher se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Video Stitcher, consulta la documentación del producto.

La integración de la API Video Stitcher con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Aprobación de acceso se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Aprobación de acceso, consulta la documentación del producto.

La integración de Aprobación de acceso con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Cloud Healthcare se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Cloud Healthcare, consulta la documentación del producto.

Controles de Servicio de VPC no admite claves de cifrado gestionadas por el cliente (CMEK) en la API Cloud Healthcare.

Te recomendamos que coloques tu proyecto del Servicio de transferencia de Storage en el mismo perímetro de servicio que tus recursos de Cloud Storage. De esta forma, se protegen tanto la transferencia como los recursos de Cloud Storage. El Servicio de transferencia de Storage también admite situaciones en las que el proyecto del Servicio de transferencia de Storage no está en el mismo perímetro que tus segmentos de Cloud Storage, mediante una política de salida.

Para obtener información sobre la configuración, consulta el artículo Usar el Servicio de transferencia de Storage con los Controles de Servicio de VPC.

Servicio de transferencia de datos on‐premise

Consulta Usar Transfer for on-premises con los Controles de Servicio de VPC para obtener información detallada y de configuración sobre Transfer for on-premises.

Para obtener más información sobre el Servicio de transferencia de Storage, consulta la documentación del producto.

La API de Service Control se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Service Control, consulta la documentación del producto.

• Cuando llamas a la API Service Control desde una red de VPC en un perímetro de servicio con Service Control restringido para registrar métricas de facturación o analíticas, solo puedes usar el método Service Control report para registrar métricas de los servicios compatibles con Controles de Servicio de VPC.

La API de Memorystore para Redis se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Memorystore para Redis, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Memorystore para Redis. Los perímetros no protegen el acceso normal a los datos de las instancias de Memorystore para Redis que se encuentran en la misma red.

• Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Redis solo podrán leer y escribir en un segmento de Cloud Storage que esté dentro del mismo perímetro de servicio que la instancia de Memorystore para Redis.

• Si usas tanto la VPC compartida como Controles de Servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Redis dentro del mismo perímetro para que las solicitudes de Redis se realicen correctamente. En cualquier momento, si se separan el proyecto host y el proyecto de servicio con un perímetro, se puede producir un error en la instancia de Redis, además de bloquearse las solicitudes. Para obtener más información, consulta los requisitos de configuración de Memorystore para Redis.

La API de Memorystore para Memcached se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Memorystore para Memcached, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Memorystore para Memcached. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore para Memcached de la misma red.

• Los perímetros de servicio solo protegen la API de Memorystore para Valkey. Los perímetros no protegen el acceso normal a los datos en las instancias de Memorystore for Valkey de la misma red.

• Si la API de Cloud Storage también está protegida, las operaciones de importación y exportación de Memorystore para Valkey solo podrán leer y escribir en un segmento de Cloud Storage que esté dentro del mismo perímetro de servicio que la instancia de Memorystore para Valkey.

• Si usas tanto la VPC compartida como Controles de Servicio de VPC, debes tener el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Redis dentro del mismo perímetro para que las solicitudes de Redis se realicen correctamente. En cualquier momento, si se separan el proyecto host y el proyecto de servicio con un perímetro, se puede producir un error en la instancia de Redis, además de bloquearse las solicitudes. Para obtener más información, consulta los requisitos de configuración de Memorystore para Valkey.

• La API Memorystore for Valkey es memorystore.googleapis.com. Por este motivo, el nombre visible de Memorystore para Valkey es "API Memorystore" cuando se usan los controles de servicio de VPC en la consola de Google Cloud .

Para obtener más información sobre Memorystore para Valkey, consulta la documentación del producto.

La API de Service Directory se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Service Directory, consulta la documentación del producto.

La integración de Service Directory con Controles de Servicio de VPC no tiene limitaciones conocidas.

Para proteger completamente la IA de inspección visual, incluye todas las APIs siguientes en tu perímetro:

• API Visual Inspection AI (visualinspection.googleapis.com)
• API de Vertex AI (aiplatform.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)
• API de Artifact Registry (artifactregistry.googleapis.com)
• API de Container Registry (containerregistry.googleapis.com)

Para obtener más información sobre Visual Inspection AI, consulta la documentación del producto.

La integración de Visual Inspection AI con Controles de Servicio de VPC no tiene limitaciones conocidas.

Transfer Appliance es totalmente compatible con los proyectos que usan Controles de Servicio de VPC.

Transfer Appliance no ofrece una API y, por lo tanto, no admite funciones relacionadas con APIs en Controles de Servicio de VPC.

Para obtener más información sobre Transfer Appliance, consulta la documentación del producto.

• Cuando Cloud Storage está protegido por Controles de Servicio de VPC, la clave de Cloud KMS que compartas con el equipo de Transfer Appliance debe estar en el mismo proyecto que el segmento de Cloud Storage de destino.

La API del servicio de políticas de la organización se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el servicio de políticas de la organización, consulta la documentación del producto.

Controles de Servicio de VPC no admite restricciones de acceso a políticas de organización a nivel de carpeta o de organización que hereda el proyecto. Controles de Servicio de VPC protege los recursos de la API del servicio de políticas de la organización a nivel de proyecto.

Por ejemplo, si una regla de entrada impide que un usuario acceda a la API del servicio de políticas de la organización, ese usuario recibirá un error 403 al consultar las políticas de la organización aplicadas al proyecto. Sin embargo, el usuario podrá seguir accediendo a las políticas de organización de la carpeta y de la organización que contengan el proyecto.

Puedes llamar a la API OS Login desde los perímetros de Controles de Servicio de VPC. Para gestionar OS Login desde los perímetros de Controles de Servicio de VPC, configura OS Login.

Las conexiones SSH a instancias de VM no están protegidas por Controles de Servicio de VPC.

Para obtener más información sobre el inicio de sesión del SO, consulta la documentación del producto.

Los métodos de OS Login para leer y escribir claves SSH no aplican los perímetros de Controles de Servicio de VPC. Usa servicios accesibles de VPC para inhabilitar el acceso a las APIs OS Login.

La API de Personalized Service Health se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el estado del servicio personalizado, consulta la documentación del producto.

Controles de Servicio de VPC no admite los recursos OrganizationEvents y OrganizationImpacts de la API Service Health. Por lo tanto, las comprobaciones de políticas de Controles de Servicio de VPC no se realizarán cuando llames a los métodos de estos recursos. Sin embargo, puedes llamar a los métodos desde un perímetro de servicio mediante un VIP restringido.

Puedes llamar a la API OS Config desde los perímetros de Controles de Servicio de VPC. Para usar VM Manager desde los perímetros de Controles de Servicio de VPC, configura VM Manager.

Para obtener más información sobre VM Manager, consulta la documentación del producto.

Workflows es una plataforma de orquestación que puede combinar servicios de Google Cloud Platform y APIs basadas en HTTP para ejecutar servicios en el orden que definas.

Cuando proteges la API Workflows con un perímetro de servicio, también se protege la API Workflow Executions. No es necesario que añada workflowexecutions.googleapis.com por separado a la lista de servicios protegidos de su perímetro.

Las solicitudes HTTP de una ejecución de Workflows se admiten de la siguiente manera:

• Se permiten las solicitudes autenticadas a los Google Cloud endpoints Google Cloud que cumplen los requisitos de Controles de Servicio de VPC.
• Se permiten las solicitudes a los endpoints de Cloud Run Functions y de servicios de Cloud Run.
• Se bloquean las solicitudes a endpoints de terceros.
• Se bloquean las solicitudes a Google Cloud endpoints Google Cloud que no cumplen los requisitos de Controles de Servicio de VPC.

Para obtener más información sobre Workflows, consulta la documentación del producto.

La integración de Workflows con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Filestore se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Filestore, consulta la documentación del producto.

• Los perímetros de servicio solo protegen la API de Filestore. Los perímetros no protegen el acceso normal a los datos NFS en las instancias de Filestore de la misma red.

• Si usas tanto la VPC compartida como Controles de Servicio de VPC, el proyecto host que proporciona la red y el proyecto de servicio que contiene la instancia de Filestore deben estar dentro del mismo perímetro para que la instancia de Filestore funcione correctamente. Si separas el proyecto host y el proyecto de servicio con un perímetro, es posible que las instancias dejen de estar disponibles y que no se creen nuevas.

Para obtener más información sobre Parallelstore, consulta la documentación del producto.

• Si usas tanto VPC compartida como Controles de Servicio de VPC, el proyecto del host que proporciona la red y el proyecto de servicio que contiene la instancia de Parallelstore deben estar dentro del mismo perímetro para que la instancia de Parallelstore funcione correctamente. Si separas el proyecto host y el proyecto de servicio con un perímetro, es posible que las instancias dejen de estar disponibles y que no se creen nuevas.

La API de Detección de Amenazas en Contenedores se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Container Threat Detection, consulta la documentación del producto.

Para obtener más información sobre el Centro de Datos de Anuncios, consulta la documentación del producto.

Controles de Servicio de VPC solo restringe los intercambios de tokens si el público de la solicitud es un recurso a nivel de proyecto. Por ejemplo, Controles de Servicio de VPC no restringe las solicitudes de tokens con permisos limitados, ya que esas solicitudes no tienen audiencia. Los Controles de Servicio de VPC tampoco restringen las solicitudes de federación de identidades de trabajo, ya que la audiencia es un recurso a nivel de organización.

Para obtener más información sobre el servicio de token de seguridad, consulta la documentación del producto.

Los servicios firestore.googleapis.com, datastore.googleapis.com y firestorekeyvisualizer.googleapis.com se ofrecen en un paquete. Cuando restringe el servicio firestore.googleapis.com en un perímetro, el perímetro también restringe los servicios datastore.googleapis.com y firestorekeyvisualizer.googleapis.com. No es necesario que añadas estos servicios por separado a la lista de servicios protegidos de tu perímetro.

Para restringir el servicio datastore.googleapis.com, usa el nombre del servicio firestore.googleapis.com.

Para obtener una protección de salida completa en las operaciones de importación y exportación, debes usar el agente de servicio de Firestore. Consulta las siguientes secciones para obtener más información:

• Protección de las operaciones de importación y exportación de Firestore con los Controles de Servicio de VPC.
• Protección de las operaciones de importación y exportación de Datastore con los Controles de Servicio de VPC.

Para obtener más información sobre Firestore o Datastore, consulta la documentación del producto.

La API Migrate to Virtual Machines se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Migrate to Virtual Machines, consulta la documentación del producto.

• Para proteger completamente Migrate to Virtual Machines, añade todas las APIs siguientes al perímetro de servicio:

  • API de Artifact Registry (artifactregistry.googleapis.com)
  • API de Pub/Sub (pubsub.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)
  • API de Container Registry (containerregistry.googleapis.com)
  • API Secret Manager (secretmanager.googleapis.com)
  • API de Compute Engine (compute.googleapis.com)

  Para obtener más información, consulta la documentación de Migrate to Virtual Machines.

Controles de Servicio de VPC te permite proteger los datos de infraestructura que recoges con Migration Center mediante un perímetro de servicio.

Para obtener más información sobre Migration Center, consulta la documentación del producto.

La API del servicio Backup and DR se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre el servicio de copia de seguridad y recuperación ante desastres, consulta la documentación del producto.

Si quitas la ruta predeterminada de Internet del proyecto del productor de servicios con el comando gcloud services vpc-peerings enable-vpc-service-controls, es posible que no puedas acceder a la consola de gestión ni desplegarla. Si tienes este problema, ponte en contacto con el equipo de Asistencia de Google Cloud.

Puedes usar Controles de Servicio de VPC para proteger la función de copia de seguridad de GKE y usar las funciones de copia de seguridad de GKE con normalidad dentro de los perímetros de servicio.

Para obtener más información sobre Backup para GKE, consulta la documentación del producto.

La integración de Backup para GKE con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Retail se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API Retail, consulta la documentación del producto.

La integración de la API Retail con Controles de Servicio de VPC no tiene limitaciones conocidas.

Integración de aplicaciones es un sistema de gestión de flujos de trabajo colaborativo que te permite crear, aumentar, depurar y comprender los flujos de trabajo del sistema empresarial principal. Los flujos de trabajo de Application Integration se componen de activadores y tareas. Hay varios tipos de activadores, como los activadores de API, de Pub/Sub, de cron y de SFDC.

Para obtener más información sobre Application Integration, consulta la documentación del producto.

La API de Integration Connectors se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Integration Connectors, consulta la documentación del producto.

La API de Error Reporting se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Error Reporting, consulta la documentación del producto.

La API de Cloud Workstations se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Workstations, consulta la documentación del producto.

• Para proteger completamente Cloud Workstations, debes restringir la API de Compute Engine en tu perímetro de servicio siempre que restrinjas la API de Cloud Workstations.
• Asegúrate de que las APIs Google Cloud Storage, Google Container Registry y Artifact Registry sean accesibles a través de la VPC en tu perímetro de servicio. Es necesario para extraer imágenes en tu estación de trabajo. También te recomendamos que permitas que se pueda acceder a la API Cloud Logging y a la API Cloud Error Reporting a través de la VPC en tu perímetro de servicio, aunque no es necesario para usar Cloud Workstations.
• Asegúrate de que tu clúster de estaciones de trabajo sea privado. Si configuras un clúster privado, se evitarán las conexiones a tus estaciones de trabajo desde fuera del perímetro de servicio de tu VPC.
• Asegúrate de inhabilitar las direcciones IP públicas en la configuración de tu estación de trabajo. Si no lo haces, las VMs de tu proyecto tendrán direcciones IP públicas. Te recomendamos que uses la restricción de política de organización constraints/compute.vmExternalIpAccess para inhabilitar las direcciones IP públicas de todas las VMs de tu perímetro de servicio de VPC. Para obtener más información, consulta el artículo sobre cómo restringir direcciones IP externas a máquinas virtuales específicas.
• Al conectarte a tu estación de trabajo, el control de acceso solo se basa en si la red privada desde la que te conectas pertenece al perímetro de seguridad. No se admite el control de acceso basado en dispositivos, direcciones IP públicas ni ubicaciones.

La API de Cloud IDS se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud IDS, consulta la documentación del producto.

Cloud IDS usa Cloud Logging para crear registros de amenazas en tu proyecto. Si el perímetro de servicio restringe Cloud Logging, Controles de Servicio de VPC bloqueará los registros de amenazas de Cloud IDS, aunque Cloud IDS no se haya añadido como servicio restringido al perímetro. Para usar Cloud IDS dentro de un perímetro de servicio, debes configurar una regla de entrada para la cuenta de servicio de Cloud Logging en tu perímetro de servicio.

Para obtener más información sobre Chrome Enterprise Premium, consulta la documentación del producto.

La integración de Chrome Enterprise Premium con los Controles de Servicio de VPC no tiene limitaciones conocidas.

Cuando restringes la API Policy Troubleshooter con un perímetro, las entidades principales solo pueden solucionar problemas de las políticas de permiso de gestión de identidades y accesos si todos los recursos implicados en la solicitud están en el mismo perímetro. Normalmente, hay dos recursos implicados en una solicitud de asistencia:

• El recurso cuyo acceso quieres solucionar. Este recurso puede ser de cualquier tipo. Especificas este recurso de forma explícita cuando solucionas problemas de una política de permisos.

• El recurso que estás usando para solucionar problemas de acceso. Este recurso es un proyecto, una carpeta o una organización. En la consola de Google Cloud Google Cloud y en la CLI de gcloud, este recurso se deduce en función del proyecto, la carpeta o la organización que hayas seleccionado. En la API REST, este recurso se especifica mediante el encabezado x-goog-user-project.

  Este recurso puede ser el mismo que el recurso cuyo acceso estás intentando solucionar, pero no tiene por qué serlo.

Si estos recursos no están en el mismo perímetro, la solicitud falla.

Para obtener más información sobre la herramienta de solución de problemas de políticas, consulta la documentación del producto.

La integración de la herramienta para solucionar problemas de políticas con Controles de Servicio de VPC no tiene limitaciones conocidas.

Si restringes la API Policy Simulator con un perímetro, las entidades solo podrán simular políticas de permiso si determinados recursos implicados en la simulación están en el mismo perímetro. En una simulación intervienen varios recursos:

• El recurso cuya política de permiso quieres simular. Este recurso también se denomina recurso de destino. En la consola de Google Cloud , este es el recurso cuya política de permisos estás editando. En la CLI de gcloud y en la API REST, debes especificar este recurso de forma explícita cuando simules una política de permiso.

• El proyecto, la carpeta o la organización que crea y ejecuta la simulación. Este recurso también se denomina recurso de host. En la consola de Google Cloud Google Cloud y en la CLI de gcloud, este recurso se deduce en función del proyecto, la carpeta o la organización que hayas seleccionado. En la API REST, este recurso se especifica mediante el encabezado x-goog-user-project.

  Este recurso puede ser el mismo que el recurso para el que estás simulando el acceso, pero no es necesario.

• El recurso que proporciona registros de acceso para la simulación. En una simulación, siempre hay un recurso que proporciona registros de acceso para la simulación. Este recurso varía en función del tipo de recurso de destino:

  • Si simulas una política de permiso para un proyecto o una organización, Policy Simulator recupera los registros de acceso de ese proyecto u organización.
  • Si simulas una política de permiso para otro tipo de recurso, el simulador de políticas recupera los registros de acceso del proyecto o la organización superior de ese recurso.
  • Si simulas varias políticas de permiso de recursos a la vez, el simulador de políticas recupera los registros de acceso del proyecto o la organización comunes más cercanos de los recursos.
• Todos los recursos admitidos con las políticas de permiso pertinentes. Cuando el simulador de políticas ejecuta una simulación, tiene en cuenta todas las políticas de permiso que pueden afectar al acceso del usuario, incluidas las políticas de permiso de los recursos antecesores y descendientes del recurso de destino. Por lo tanto, estos recursos antecesores y descendientes también participan en las simulaciones.

Si el recurso de destino y el recurso de host no están en el mismo perímetro, la solicitud falla.

Si el recurso de destino y el recurso que proporciona los registros de acceso de la simulación no están en el mismo perímetro, la solicitud fallará.

Si el recurso de destino y algunos recursos admitidos con políticas de permiso relevantes no están en el mismo perímetro, las solicitudes se completarán correctamente, pero los resultados podrían estar incompletos. Por ejemplo, si simulas una política de un proyecto de un perímetro, los resultados no incluirán la política de permiso de la organización principal del proyecto, ya que las organizaciones siempre están fuera de los perímetros de Controles de Servicio de VPC. Para obtener resultados más completos, puedes configurar reglas de entrada y salida para el perímetro.

Para obtener más información sobre el simulador de políticas, consulta la documentación del producto.

La integración de Simulador de políticas con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Contactos esenciales se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Contactos esenciales, consulta la documentación del producto.

La integración de Contactos esenciales con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Identity Platform se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Identity Platform, consulta la documentación del producto.

• Para proteger Identity Platform por completo, añade la API Secure Token (securetoken.googleapis.com) al perímetro de servicio para permitir la actualización de tokens. securetoken.googleapis.com no aparece en la página Controles de Servicio de VPC de la consola Google Cloud . Solo puedes añadir este servicio con el comando gcloud access-context-manager perimeters update.

• Si tu aplicación también se integra con la función de bloqueo, añade funciones de Cloud Run (cloudfunctions.googleapis.com) al perímetro de servicio.

• El uso de la autenticación multifactor (MFA) por SMS, la autenticación por correo electrónico o los proveedores de identidades de terceros provoca que los datos se envíen fuera del perímetro. Si no utilizas la MFA con SMS, la autenticación por correo electrónico o proveedores de identidades externos, inhabilita estas funciones.

La API de GKE Multi-Cloud se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre GKE Multi-Cloud, consulta la documentación del producto.

• Para proteger completamente la API multicloud de GKE, también debes incluir la API de metadatos de Kubernetes (kubernetesmetadata.googleapis.com) en tu perímetro.

La API de GKE On-Prem se puede proteger con Controles de Servicio de VPC y se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API de GKE On-Prem, consulta la documentación del producto.

• Para proteger completamente la API de GKE On-Prem, añade todas las APIs siguientes al perímetro de servicio:

  • API de metadatos de Kubernetes (kubernetesmetadata.googleapis.com)
  • API de Cloud Monitoring (monitoring.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)
  Ten en cuenta que Controles de Servicio de VPC no protege contra las exportaciones de registros de Cloud Logging a nivel de carpeta u organización.

Puedes crear un clúster en tu entorno, que esté conectado a la VPC mediante Cloud Interconnect o Cloud VPN.

Para obtener más información sobre Google Distributed Cloud (solo software) para bare metal, consulta la documentación del producto.

• Para proteger tus clústeres, usa VIP restringida en Google Distributed Cloud (solo software) para bare metal y añade todas las APIs siguientes al perímetro de servicio:

• API de Artifact Registry (artifactregistry.googleapis.com)
• API Google Cloud Resource Manager (cloudresourcemanager.googleapis.com)
• API de Compute Engine (compute.googleapis.com)
• API Connect Gateway (connectgateway.googleapis.com)
• API de Google Container Registry (containerregistry.googleapis.com)
• API GKE Connect (gkeconnect.googleapis.com)
• API de GKE Hub (gkehub.googleapis.com)
• API de GKE On-Prem (gkeonprem.googleapis.com)
• API de Cloud IAM (iam.googleapis.com)
• API de Cloud Logging (logging.googleapis.com)
• API de Cloud Monitoring (monitoring.googleapis.com)
• Monitorización de la configuración de la API Operations (opsconfigmonitoring.googleapis.com)
• API Service Control (servicecontrol.googleapis.com)
• API de Cloud Storage (storage.googleapis.com)

La API On-Demand Scanning se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la API On-Demand Scanning, consulta la documentación del producto.

La integración de la API On-Demand Scanning con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Looker (Google Cloud core) se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Looker (servicio principal de Google Cloud), consulta la documentación del producto.

• Solo las ediciones Enterprise o Embed de las instancias de Looker (Google Cloud Core) que usan conexiones de IP privadas admiten el cumplimiento de Controles de Servicio de VPC. Las instancias de Looker (Google Cloud core) con conexiones de IP pública o con conexiones de IP pública y privada no admiten el cumplimiento de Controles de Servicio de VPC. Para crear una instancia que use una conexión IP privada, selecciona IP privada en la sección Redes de la página Crear instancia de la consola de Google Cloud .

• Cuando coloques o crees una instancia de Looker (Google Cloud core) dentro de un perímetro de servicio de Controles de Servicio de VPC, debes eliminar la ruta predeterminada a Internet llamando al método services.enableVpcServiceControls o ejecutando el siguiente comando gcloud:
  
  gcloud services vpc-peerings enable-vpc-service-controls --network=your-network service=servicenetworking.googleapis.com
  
  . Al eliminar la ruta predeterminada, el tráfico saliente se restringe a los servicios que cumplen los requisitos de Controles de Servicio de VPC. Por ejemplo, no se podrán enviar correos porque la API que se usa para ello no cumple los requisitos de Controles de Servicio de VPC.

• Si utilizas una VPC compartida, asegúrate de incluir el proyecto de servicio de Looker (en la infraestructura de Google Cloud) en el mismo perímetro de servicio que el proyecto host de la VPC compartida o de crear un perímetro puente entre los dos proyectos. Si el proyecto de servicio de Looker (Google Cloud core) y el proyecto host de la VPC compartida no están en el mismo perímetro o no pueden comunicarse a través de un puente de perímetro, es posible que no se pueda crear la instancia o que la instancia de Looker (Google Cloud core) no funcione correctamente.

• Si usas Looker Studio Pro o Studio en Looker, el conector de Looker no puede conectarse a una instancia de Looker (Google Cloud Core) que esté dentro de un perímetro de Controles de Servicio de VPC. Para obtener más información sobre las limitaciones del conector de Looker, consulta la página de documentación Limitaciones del conector de Looker.

La API de la autoridad de certificación pública se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la autoridad de certificación pública, consulta la documentación del producto.

La integración de la autoridad de certificación pública con Controles de Servicio de VPC no tiene limitaciones conocidas.

• Para usar Controles de Servicio de VPC con operaciones por lotes de almacenamiento, crea un perímetro de servicio para proteger el siguiente proyecto y los servicios de Google Cloud :
  • Proyecto de Cloud Storage
  • API de operaciones por lotes de almacenamiento (storagebatchoperations.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • Opcional: API Cloud KMS (cloudkms.googleapis.com), si usas el tipo de trabajo de actualizaciones de claves de cifrado de objetos).
• Para permitir el acceso a las operaciones por lotes de almacenamiento desde fuera del perímetro, debes configurar políticas de entrada.

Para obtener más información sobre las operaciones por lotes de Storage, consulta la documentación del producto.

La integración de las operaciones por lotes de Storage con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Estadísticas de almacenamiento se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Storage Insights, consulta la documentación del producto.

La integración de Estadísticas de almacenamiento con Controles de Servicio de VPC no tiene limitaciones conocidas.

Para proteger por completo las canalizaciones de datos de Dataflow, incluye todas las APIs siguientes en tu perímetro:

• API de Dataflow (dataflow.googleapis.com)
• API de Cloud Scheduler (cloudscheduler.googleapis.com)
• API de Container Registry (containerregistry.googleapis.com)

Para obtener más información sobre los flujos de procesamiento de datos de Dataflow, consulta la documentación del producto.

La integración de Dataflow Data Pipelines con Controles de Servicio de VPC no tiene limitaciones conocidas.

Las APIs de Security Command Center se pueden proteger con Controles de Servicio de VPC, y Security Command Center se puede usar normalmente dentro de los perímetros de servicio.

Los servicios securitycenter.googleapis.com y securitycentermanagement.googleapis.com se ofrecen juntos. Cuando restringe el servicio securitycenter.googleapis.com en un perímetro, el perímetro restringe el servicio securitycentermanagement.googleapis.com de forma predeterminada. No puedes añadir el servicio securitycentermanagement.googleapis.com a la lista de servicios restringidos de un perímetro porque se incluye con securitycenter.googleapis.com.

Para obtener más información sobre Security Command Center, consulta la documentación del producto.

• Controles de Servicio de VPC no admite el acceso a recursos de la API Security Command Center a nivel de carpeta o de organización desde recursos y clientes que se encuentren dentro de un perímetro de servicio. Controles de Servicio de VPC protege los recursos de la API de Security Command Center a nivel de proyecto. Puedes especificar una política de salida para evitar el acceso a recursos de la API Security Command Center a nivel de proyecto desde proyectos que estén dentro del perímetro.
• Controles de Servicio de VPC no admite la adición de recursos de la API Security Command Center a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger recursos de la API de Security Command Center a nivel de carpeta o de organización. Para gestionar los permisos de Security Command Center a nivel de carpeta u organización, te recomendamos que uses IAM.
• Controles de Servicio de VPC no admite el servicio de postura de seguridad porque los recursos de postura de seguridad (como las posturas, las implementaciones de posturas y las plantillas de posturas predefinidas) son recursos a nivel de organización.
• No puedes exportar resultados a nivel de carpeta u organización a destinos dentro de un perímetro de servicio.
• Debes habilitar el acceso al perímetro en los siguientes casos:
  • Cuando habilitas la búsqueda de notificaciones a nivel de carpeta u organización y el tema de Pub/Sub está dentro de un perímetro de servicio.
  • Cuando exportas datos a BigQuery desde el nivel de carpeta u organización y BigQuery está dentro de un perímetro de servicio.
  • Cuando integras Security Command Center con un producto SIEM o SOAR y el producto se implementa dentro de un perímetro de servicio en un entorno de Google Cloud Platform. Entre los SIEMs y SOARs compatibles se incluyen Splunk y IBM QRadar.
  • Cuando habilitas Assured Open Source Software en un perímetro de servicio.
  • Cuando quieras que Virtual Machine Threat Detection analice las VMs de tus perímetros de servicio.
  • Cuando quieras permitir que Vulnerability Assessment for Google Cloud analice las máquinas virtuales de tus perímetros.
  • Para usar Container Threat Detection, debes conceder a la cuenta de servicio de Container Threat Detection acceso entrante a ese perímetro de servicio.
  • Cuando quieras que Event Threat Detection monitorice los flujos de registro en Security Command Center dentro de los perímetros de Controles de Servicio de VPC.

La API de Atención al Cliente de Cloud se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Cloud Customer Care, consulta la documentación del producto.

La API de aplicaciones de IA (Vertex AI Search) se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre las aplicaciones de IA de la Búsqueda de Vertex AI, consulta la documentación del producto.

Para que Confidential Space funcione correctamente en los límites del perímetro, debes configurar reglas de salida.

• Si tu espacio confidencial necesita acceder a segmentos de Cloud Storage fuera de tu perímetro, crea una regla de salida para permitir el acceso a esos segmentos.
• Si vas a habilitar la API Confidential Space en recursos de Compute Engine fuera de tu perímetro, crea una regla de salida para permitir el acceso a esta API.

Para obtener más información sobre Confidential Space, consulta la documentación del producto.

Para usar la protección de Controles de Servicio de VPC al conectarte a la consola serie de una instancia de máquina virtual, debes especificar una regla de entrada para el perímetro de servicio. Al configurar la regla de entrada, el nivel de acceso de la fuente debe ser un valor basado en IP y el nombre del servicio debe ser ssh-serialport.googleapis.com. La regla de entrada es obligatoria para acceder a la consola serie, aunque la solicitud de origen y el recurso de destino estén en el mismo perímetro.

Para obtener más información sobre la consola serie, consulta la documentación del producto.

Para obtener más información sobre Google Cloud VMware Engine, consulta la documentación del producto.

Para saber cómo controlar el acceso a Dataform con Controles de Servicio de VPC, consulta el artículo Configurar Controles de Servicio de VPC para Dataform.

Para obtener más información sobre Dataform, consulta la documentación del producto.

Web Security Scanner y los Controles de Servicio de VPC están sujetos a diferentes términos del servicio. Consulta los términos de cada producto para obtener más información.

Web Security Scanner envía los resultados a Security Command Center bajo demanda. Puede ver o descargar los datos del panel de Security Command Center.

Para obtener más información sobre Web Security Scanner, consulta la documentación del producto.

La integración de Web Security Scanner con Controles de Servicio de VPC no tiene limitaciones conocidas.

• Debes configurar Certificate Authority Service con una autoridad de certificación que funcione antes de crear instancias de Controles de Servicio de VPC de Secure Source Manager.
• Debes configurar Private Service Connect antes de acceder a la instancia de Controles de Servicio de VPC de Secure Source Manager.

Para obtener más información sobre Secure Source Manager, consulta la documentación del producto.

• Se puede ignorar la infracción del registro de auditoría SERVICE_NOT_ALLOWED_FROM_VPC causada por las limitaciones de GKE.
• Para abrir la interfaz web de Controles de Servicio de VPC con un navegador, este debe tener acceso a las siguientes URLs:
  • https://accounts.google.com
  • https://LOCATION_OF_INSTANCE-sourcemanagerredirector-pa.client6.google.com
    • Por ejemplo, https://us-central1-sourcemanagerredirector-pa.client6.google.com
  • https://lh3.googleusercontent.com

• Las APIs de Secure Web Proxy se pueden proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.
• Si aprovisionas tu proxy con un certificado, también debes incluir la API Certificate Manager (certificatemanager.googleapis.com) en tu perímetro de servicio.
• Si habilitas la inspección TLS en tu proxy, también debes incluir la API del Servicio de Autoridades de Certificación (privateca.googleapis.com) en tu perímetro de servicio.

Para obtener más información sobre Secure Web Proxy, consulta la documentación del producto.

La integración de Secure Web Proxy con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de claves de API se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre las claves de API, consulta la documentación del producto.

La integración de claves de API con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API Cloud Controls Partner se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre la consola de partners en Controles de soberanía de partners, consulta la documentación del producto.

La API de microservicios se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre los microservicios, consulta la documentación del producto.

La integración de microservicios con Controles de Servicio de VPC no tiene limitaciones conocidas.

Los servicios earthengine.googleapis.com y earthengine-highvolume.googleapis.com se ofrecen juntos. Cuando restringe el servicio earthengine.googleapis.com en un perímetro, el perímetro restringe el servicio earthengine-highvolume.googleapis.com de forma predeterminada. No puedes añadir el servicio earthengine-highvolume.googleapis.com a la lista de servicios restringidos de un perímetro porque está incluido en earthengine.googleapis.com.

Para obtener más información sobre Earth Engine, consulta la documentación del producto.

App Hub te permite descubrir y organizar recursos de infraestructura en aplicaciones. Puedes usar perímetros de Controles de Servicio de VPC para proteger los recursos de App Hub.

Para obtener más información sobre App Hub, consulta la documentación del producto.

La API Cloud Code se puede proteger con Controles de Servicio de VPC. Para usar las funciones basadas en Gemini en Cloud Code, debe configurar una política de entrada que permita el tráfico de los clientes de IDE. Consulta la documentación de Gemini para obtener más información.

Para obtener más información sobre Cloud Code, consulta la documentación del producto.

La integración de Cloud Code con Controles de Servicio de VPC no tiene ninguna limitación conocida.

El perímetro de Controles de Servicio de VPC protege la API Commerce Org Governance de Google Private Marketplace.

Para obtener más información sobre la API Commerce Org Governance, consulta la documentación del producto.

Para restringir el tráfico de Internet, usa políticas de organización. Invoca los métodos CREATE o UPDATE de la API de Google Cloud Contact Center as a Service para aplicar las restricciones de la política de la organización manualmente.

Para obtener más información sobre Google Cloud Contact Center as a Service, consulta la documentación del producto.

La integración de Centro de contacto como servicio de Google Cloud con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Privileged Access Manager se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Privileged Access Manager, consulta la documentación del producto.

La API Service Usage se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Uso de Servicio, consulta la documentación del producto.

La integración de Uso del servicio con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Gestor de auditorías se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Audit Manager, consulta la documentación del producto.

La API de Google Agentspace se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Google Agentspace, consulta la documentación del producto.

La API de Google Agentspace - NotebookLM para empresas se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Google Agentspace - NotebookLM para empresas, consulta la documentación del producto.

La integración de Google Agentspace - NotebookLM para empresas con Controles de Servicio de VPC no tiene limitaciones conocidas.

La API de Developer Connect se puede proteger con Controles de Servicio de VPC y el producto se puede usar normalmente dentro de los perímetros de servicio.

Para obtener más información sobre Developer Connect, consulta la documentación del producto.