Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Administra los controles de la nube

El Administrador de cumplimiento incluye muchos controles integrados en la nube que puedes agregar a los frameworks y, luego, implementar en tu entorno. Si es necesario, puedes crear y administrar tus propios controles de nube personalizados, y actualizar los controles de nube integrados.

Antes de comenzar

Completa estas tareas antes de completar las tareas restantes de esta página.

Configura los permisos

Para obtener los permisos que necesitas para administrar los marcos de trabajo de los controles de la nube, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu organización o proyecto:
- Administrador de cumplimiento (roles/cloudsecuritycompliance.admin)
- Para crear o modificar controles de la nube basados en políticas de la organización, se requiere uno de los siguientes roles:
  - Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  - Administrador de Assured Workloads (roles/assuredworkloads.admin)
  - Editor de Assured Workloads (roles/assuredworkloads.editor)
- Para crear o modificar controles de la nube basados en políticas del proyecto: Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Configura Google Cloud CLI

En la consola de Google Cloud , activa Cloud Shell.

Activa Cloud Shell

En la parte inferior de la consola de Google Cloud , se inicia una sesión de Cloud Shell que muestra una ventana emergente con una línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

Para configurar la gcloud CLI con el objetivo de usar la identidad temporal como cuenta de servicio y autenticarte en las APIs de Google, en lugar de tus credenciales de usuario, ejecuta el comando siguiente:

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

Para obtener más información, consulta Identidad temporal como cuenta de servicio.

Ver controles de la nube

Completa los siguientes pasos para ver los controles de nube integrados y los controles de nube personalizados que ya creaste.

Console

En la consola de Google Cloud , ve a la página Cumplimiento.

Ve a cumplimiento
Elige tu organización o proyecto.
En la pestaña Configurar, haz clic en Controles de la nube. Se muestran los controles de la nube disponibles.

El panel incluye información sobre qué frameworks incluyen el control de la nube y la cantidad de recursos (organización, carpetas y proyectos) a los que se aplica el control de la nube.
Para ver los detalles de un control de la nube, haz clic en su nombre.

CLI

Puedes ver información sobre un control de nube específico o listar todos los controles de nube de tu organización.

Consulta los detalles de un control de la nube

Para ver detalles sobre un control de Cloud específico, ejecuta el comando gcloud compliance-manager cloud-controls describe:

gcloud compliance-manager cloud-controls describe CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--major-revision-id=MAJOR_REVISION_ID]

Reemplaza los siguientes valores:

CLOUD_CONTROL: El nombre del control de nube
ORGANIZATION: Es el ID de tu organización.
LOCATION: Es la región en la que se almacena el control de la nube.
MAJOR_REVISION_ID es una marca opcional que especifica qué versión del control de la nube se debe ver. Si no incluyes la marca, se devuelve la versión más reciente.

Por ejemplo, para ver un control de nube con el nombre builtin-block-external-ip-addresses-for-vm-access y el número de revisión principal 1, ejecuta el siguiente comando:

gcloud compliance-manager cloud-controls describe \
   builtin-block-external-ip-addresses-for-vm-access \
   --organization=3589215982 \
   --location=global \
   --major-revision-id=1

Para obtener más información, consulta gcloud compliance-manager cloud-controls describe.

Obtén una lista de los controles de la nube

Para obtener la lista de los controles de la nube en tu organización, ejecuta el comando gcloud compliance-manager cloud-controls list:

gcloud compliance-manager cloud-controls list \
   --location=LOCATION \
   --organization=ORGANIZATION

Reemplaza los siguientes valores:

ORGANIZATION: Es el ID de tu organización.
LOCATION: Es la región en la que se almacenan los controles de la nube.

Por ejemplo, para ver todos los controles de Cloud dentro de la organización 3589215982 y almacenados en la ubicación global, ejecuta el siguiente comando:

gcloud compliance-manager cloud-controls list \
   --organization=3589215982 \
   --location=global

Para obtener información sobre las marcas opcionales, consulta gcloud compliance-manager cloud-controls list.

Crear un control de la nube personalizado

Cuando creas un control de nube personalizado, aplicas una regla a cualquier tipo de recurso de Cloud Asset Inventory.

Console

Cuando usas la consola, puedes crear controles de Cloud personalizados con una regla que se aplica a un tipo de recurso.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ve a cumplimiento
Elige tu organización o proyecto.
En la pestaña Configurar, haz clic en Controles de la nube. Se muestra la lista de los controles de la nube disponibles.
Crea un control de nube, ya sea con Gemini o de forma manual:

Usar Gemini

Pídele a Gemini que genere un control de nube para ti. Según tu instrucción, Gemini proporciona un identificador único, un nombre, lógica de detección asociada y posibles pasos de corrección.
Revisa las recomendaciones y realiza los cambios necesarios.
Guarda tu control de nube personalizado.

Crear manualmente

En ID de control de nube, proporciona un identificador único para tu control.
Ingresa un nombre y una descripción para ayudar a los usuarios de tu organización a comprender el propósito del control de nube personalizado.
Opcional: Selecciona las categorías del control. Haz clic en Continuar.
Selecciona un tipo de recurso disponible para tu control de nube personalizado. El Administrador de cumplimiento admite todos los tipos de recursos. Para encontrar el nombre de un recurso, consulta Tipos de recursos.
Proporciona la lógica de detección para tu control de nube en formato de Common Expression Language (CEL).

Las expresiones en CEL te permiten definir cómo deseas evaluar las propiedades de un recurso. Para obtener más información y ejemplos, consulta Escribe reglas para los controles de nube personalizados. Haga clic en Continuar.

Si tu regla de evaluación no es válida, se mostrará un error.
Selecciona la gravedad adecuada de los hallazgos.
Escribe las instrucciones de corrección para que los administradores y los encargados de responder ante incidentes de tu organización puedan resolver los hallazgos relacionados con el control de la nube. Haz clic en Continuar.
Revisa tus entradas y, luego, haz clic en Crear.

CLI

Cuando usas la gcloud CLI, puedes crear un control de Cloud personalizado con un máximo de tres reglas. Cada regla solo se puede aplicar a un tipo de recurso.

Para crear un control de nube personalizado, ejecuta el comando gcloud compliance-manager cloud-controls create:

gcloud compliance-manager cloud-controls create CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION \
   [--display-name=DISPLAY_NAME] \
   [--description=DESCRIPTION] \
   [--categories=[CATEGORIES,...]] \
   [--finding-category=FINDING_CATEGORY] \
   [--parameter-spec=[defaultValue=DEFAULTVALUE],[description=DESCRIPTION],[displayName=DISPLAYNAME],[isRequired=ISREQUIRED],[name=NAME],[substitutionRules=SUBSTITUTIONRULES],[validation=VALIDATION],[valueType=VALUETYPE]] \
   [--remediation-steps=REMEDIATION_STEPS] \
   [--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES]] \
   [--severity=SEVERITY] \
   [--supported-cloud-providers=[SUPPORTED_CLOUD_PROVIDERS,…]] \
   [--supported-target-resource-types=[SUPPORTED_TARGET_RESOURCE_TYPES,…]]

Reemplaza los siguientes valores:

CLOUD_CONTROL: Es un nombre alfanumérico único para el control de la nube.
ORGANIZATION: Es el ID de tu organización.
LOCATION: Es la región en la que se almacena el control de la nube.
DISPLAY_NAME: Es un nombre legible para el control de Cloud.
DESCRIPTION: Es una descripción opcional del propósito del control de la nube.
CATEGORIES,…: Es un parámetro opcional que define las categorías de las que forma parte el control de la nube. Para obtener una lista de las categorías permitidas, consulta gcloud compliance-manager cloud-controls create.
FINDING_CATEGORY: Es el valor que se muestra en el panel de hallazgos de Security Command Center cuando el control de Cloud genera un hallazgo.
```
--parameter-spec=[defaultValue=DEFAULTVALUE], \
 [description=DESCRIPTION], \
 [displayName= DISPLAYNAME], \
 [isRequired=ISREQUIRED], \
 [name=NAME], \
 [substitutionRules=SUBSTITUTIONRULES], \
 [validation=VALIDATION], \
 [valueType=VALUETYPE]...]
```
es la información del parámetro opcional para el control de la nube, en el siguiente formato:
- DEFAULTVALUE: Son los datos que se aplican si un usuario no personaliza el parámetro cuando implementa un framework. Los tipos de valores admitidos son boolValue, numberValue, stringListValue o stringValue.
- DESCRIPTION: Una descripción opcional del control
- ISREQUIRED: true si el control requiere que se establezca un parámetro
- NAME: El nombre del parámetro
- SUBSTITUTIONRULES: Indica cómo y dónde el Administrador de cumplimiento inyecta el valor personalizado para el parámetro. Especifica la ruta de acceso objetivo dentro de la regla con una notación de puntos de proto (por ejemplo, rules[0].org_policy_constraint...). Elige una de las siguientes opciones:
  - attributeSubstitutionRule cuando desees insertar el valor del parámetro directamente en un campo estructural de tu regla (por ejemplo, completar una lista de valores restringidos dentro de una plantilla de regla de restricción de política de la organización)
  - placeholderSubstitutionRule cuando tu regla usa una cadena de texto (o una expresión de CEL). La cadena debe contener una variable de marcador de posición con el prefijo $ (por ejemplo, $deniedServices), y esta regla le indica al compilador que asigne el parámetro a ese marcador de posición.
  En el siguiente ejemplo, se crea un parámetro de lista llamado deniedServices con el tipo STRINGLIST. Utiliza attributeSubstitutionRule para agregar nombres de servicios proporcionados por el usuario (como compute.googleapis.com) directamente en una regla de política de la organización personalizada estructural (denied_values) cuando se implementa:
```
--parameter-spec='name=deniedServices,isRequired=true,valueType=STRINGLIST,substitutionRules=[{attributeSubstitutionRule={attribute="rules[0].org_policy_constraint.policy_rules[0].values.denied_values"}}]'
```
- VALIDATION es el conjunto de valores permitidos. Elige una de las siguientes opciones:
  - Usa allowedValues para aplicar una lista de entidades permitidas estática. Por ejemplo, limita los parámetros de ubicación a campos de cadena específicos: validation={allowedValues={values=[{stringValue=us-central1},{stringValue=us-west1}]}}
  - Usa intRange para aplicar límites numéricos a los números enteros. Por ejemplo, establece un período de retención entre 1 y 365: validation={intRange={min=1,max=365}}
  - Usa regexpPattern para aplicar la coincidencia de expresiones regulares en el texto de la cadena, por ejemplo, para exigir nombres alfanuméricos estrictos: validation={regexpPattern={pattern="^[a-z][-a-z0-9]*$"}}
- VALUETYPE: Es el tipo de datos o el formato del valor que un usuario proporciona para este parámetro. Los tipos de valores admitidos son STRING, BOOLEAN, STRINGLIST, NUMBER y ONEOF.
Como alternativa, puedes especificar un archivo JSON o YAML que defina los parámetros. Por ejemplo, --parameter-spec=path_to_file.(yaml|json). Expande la siguiente sección para ver ejemplos de archivos JSON y YAML.
Ejemplo de archivo JSON
```
  [
    {
      "name": "deniedServices",
      "displayName": "Services Requiring CMEK",
      "description": "List of service names that must use Customer-Managed Encryption Keys.",
      "isRequired": true,
      "valueType": "STRINGLIST",
      "substitutionRules": [
        {
          "attributeSubstitutionRule": {
            "attribute": "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"
          }
        }
      ]
    }
  ]
      
```
Ejemplo de archivo YAML
```
  - name: deniedServices
    displayName: "Services Requiring CMEK"
    description: "List of service names that must use Customer-Managed Encryption Keys."
    isRequired: true
    valueType: STRINGLIST
    substitutionRules:
    - attributeSubstitutionRule:
        attribute: "rules[0].org_policy_constraint.policy_rules[0].values.denied_values"
      
```
REMEDIATION_STEPS: Son los pasos necesarios para resolver los hallazgos. Esta cadena tiene un límite de 400 caracteres.
--rules=[celExpression=CELEXPRESSION],[description=DESCRIPTION],[ruleActionTypes=RULEACTIONTYPES] es la regla que deseas aplicar, en el siguiente formato:
- CELEXPRESSION: Es la expresión de Common Expression Language (CEL) de la regla. Para obtener información sobre cómo escribir expresiones CEL, consulta Escribe reglas para los controles personalizados de la nube. Se incluye lo siguiente:
  - expression: Es la expresión CEL, con un máximo de 1,000 caracteres.
  - resourceTypesValues: Es el nombre de los recursos, en el formato SERVICE_NAME/type. Usa un array values para enumerar todos los tipos de recursos a los que deseas aplicar la regla, por ejemplo, values=[compute.googleapis.com/Instance].
- DESCRIPTION: una descripción de la regla
- RULEACTIONTYPES: Es la acción que realiza la regla. Los valores admitidos son rule-action-type-detective, rule-action-type-preventive y rule-action-type-audit.
Por ejemplo, para verificar el período de rotación de claves de Cloud Key Management Service, ingresa lo siguiente:
```
--rules="[
  {
    \"celExpression\": {
      \"expression\": \"has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')\",
      \"resourceTypesValues\": {
        \"values\": [
          \"cloudkms.googleapis.com/CryptoKey\"
        ]
      }
    },
    \"description\": \"Check KMS key rotation period\",
    \"ruleActionTypes\": [
      \"rule-action-type-detective\"
    ]
  }
]"
```
Como alternativa, puedes especificar un archivo JSON o YAML que defina la regla. Por ejemplo, --rules=path_to_file.(yaml|json). Expande la siguiente sección para ver ejemplos de archivos JSON y YAML.
Ejemplo de archivo JSON
```
  [
    {
      "celExpression": {
        "expression": "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')",
        "resourceTypesValues": {
          "values": [
            "cloudkms.googleapis.com/CryptoKey"
          ]
        }
      },
      "description": "Check KMS key rotation period to ensure it is under 60 hours.",
      "ruleActionTypes": [
        "rule-action-type-detective"
      ]
    }
  ]
      
```
Ejemplo de archivo YAML
```
  - celExpression:
      expression: "has(resource.data.rotationPeriod) && resource.data.rotationPeriod < duration('60h')"
      resourceTypesValues:
        values:
        - cloudkms.googleapis.com/CryptoKey
    description: "Check KMS key rotation period to ensure it is under 60 hours."
    ruleActionTypes:
    - rule-action-type-detective
      
```
SEVERITY: Es el nivel de criticidad del control de la nube. Los valores admitidos son critical, high, medium y low.
SUPPORTED_CLOUD_PROVIDERS,…: Son los proveedores de servicios en la nube a los que se aplica este control de nube. El único valor admitido es gcp.
SUPPORTED_TARGET_RESOURCE_TYPES,…: Son los tipos de recursos (organización, carpeta, proyecto o carpeta habilitada para apps en App Hub) que admite el control de la nube. Los valores admitidos son target-resource-crm-type-folder, target-resource-crm-type-org, target-resource-crm-type-project y target-resource-type-application.

Por ejemplo, para crear un control de Cloud que aplique ubicaciones de recursos, ejecuta el siguiente comando:

  gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec='name=allowedLocations,isRequired=true,valueType=STRINGLIST,substitutionRules=[{placeholderSubstitutionRule={attribute="rules[0].cel_expression.expression"}}]' \
     --rules="[{\"celExpression\": {\"expression\": \"resource.location in \$allowedLocations\", \"resourceTypesValues\": {\"values\": [\"compute.googleapis.com/Instance\"]}}, \"description\": \"Check Compute Engine instance locations\", \"ruleActionTypes\": [\"rule-action-type-detective\"]}]"

Para crear el mismo control, pero usar archivos YAML para definir los parámetros y las reglas, ejecuta el siguiente comando:

     gcloud compliance-manager cloud-controls create \
     restrict-resource-locations \
     --organization=3589215982 \
     --location=global \
     --display-name="Restrict Resource Locations" \
     --description="Enforces checks to ensure resources are only deployed in approved cloud regions." \
     --severity=high \
     --finding-category="LOCATION_VIOLATION" \
     --supported-cloud-providers="gcp" \
     --supported-target-resource-types="target-resource-crm-type-project" \
     --parameter-spec=parameters.yaml \
     --rules=rules.yaml

Para obtener más información, consulta gcloud compliance-manager cloud-controls create.

Terraform

Cuando usas Terraform, puedes crear un control de nube personalizado con un máximo de tres reglas. Cada regla solo se puede aplicar a un tipo de recurso.

En el siguiente ejemplo, se muestra cómo crear un control de Cloud personalizado con Terraform.

resource "google_cloud_security_compliance_cloud_control" "example" {
  organization        = "123456789"
  location            = "global"
  cloud_control_id    = "example-cloudcontrol"

  display_name      = "TF test CloudControl Name"
  description       = "A test cloud control for security compliance"
  categories        = ["CC_CATEGORY_INFRASTRUCTURE"]
  severity          = "HIGH"
  finding_category  = "SECURITY_POLICY"
  remediation_steps = "Review and update the security configuration according to best practices."

  supported_cloud_providers        = ["GCP"]

  rules {
    description         = "Ensure compute instances have secure boot enabled"
    rule_action_types   = ["RULE_ACTION_TYPE_DETECTIVE"]

    cel_expression {
      expression = "resource.data.shieldedInstanceConfig.enableSecureBoot == true"
      resource_types_values {
        values = ["compute.googleapis.com/Instance"]
      }
    }
  }

  parameter_spec {
    name         = "location"
    display_name = "Resource Location"
    description  = "The location where the resource should be deployed"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "us-central1"
    }

    validation {
      regexp_pattern {
        pattern = "^[a-z]+-[a-z]+[0-9]$"
      }
    }
  }

  parameter_spec {
    name         = "enable_secure_boot"
    display_name = "Enable Secure Boot"
    description  = "Whether to enable secure boot for instances"
    value_type   = "BOOLEAN"
    is_required  = true

    default_value {
      bool_value = true
    }

    substitution_rules {
      attribute_substitution_rule {
        attribute = "rules[0].cel_expression.expression"
      }
    }

    validation {
      allowed_values {
        values {
          bool_value = true
        }
      }
    }
  }

  parameter_spec {
    name         = "max_instances"
    display_name = "Maximum Instances"
    description  = "Maximum number of instances allowed"
    value_type   = "NUMBER"
    is_required  = false

    default_value {
      number_value = 10
    }

    substitution_rules {
      placeholder_substitution_rule {
        attribute = "rules[0].description"
      }
    }

    validation {
      int_range {
        min = "1"
        max = "100"
      }
    }
  }

  parameter_spec {
    name         = "allowed_regions"
    display_name = "Allowed Regions"
    description  = "List of regions where resources can be deployed"
    value_type   = "STRINGLIST"
    is_required  = true

    default_value {
      string_list_value {
        values = ["us-central1", "us-east1", "us-west1"]
      }
    }

    validation {
      allowed_values {
        values {
          string_list_value {
            values = ["us-central1", "us-east1"]
          }
        }
        values {
          string_list_value {
            values = ["us-west1", "us-west2"]
          }
        }
      }
    }
  }

  parameter_spec {
    name         = "environment_type"
    display_name = "Environment Type"
    description  = "The type of environment"
    value_type   = "STRING"
    is_required  = true

    default_value {
      string_value = "production"
    }

    validation {
      allowed_values {
        values {
          string_value = "production"
        }
        values {
          string_value = "staging"
        }
        values {
          number_value = 1
        }
      }
    }
  }
}

Edita un control de nube personalizado

Después de crear un control de nube, puedes cambiar su nombre, descripción, reglas, pasos de corrección y nivel de gravedad. No puedes cambiar la categoría del control de nube.

En la consola de Google Cloud , ve a la página Cumplimiento.

Ve a cumplimiento
Elige tu organización o proyecto.
En la pestaña Configurar, haz clic en Controles de la nube. Se mostrará la lista de controles de nube disponibles.
Haz clic en el control de la nube que deseas editar.
En la página Detalles de los controles de nube, verifica que el control de nube no esté incluido en un framework. Si es necesario, edita el framework para quitar el control de nube.
Haz clic en Editar.
En la página Editar control de nube personalizado, cambia el nombre y la descripción según sea necesario. Haga clic en Continuar.
Actualiza las reglas, la gravedad del hallazgo y los pasos de corrección. Haz clic en Continuar.
Revisa los cambios y haz clic en Guardar.

Actualiza un control integrado en la nube a una versión más reciente

Google publica actualizaciones periódicas de sus controles integrados en la nube a medida que los servicios implementan funciones nuevas o surgen prácticas recomendadas nuevas. Las actualizaciones pueden incluir controles nuevos o cambios en los controles existentes.

Puedes ver las versiones de los controles integrados en el panel de controles de la nube en la pestaña Configurar o en la página de detalles del control de la nube.

Google te notifica en las notas de la versión cuando se actualizan los siguientes elementos:

Nombre del control de la nube
Categoría
Cambio en la lógica de detección o prevención de una regla
Lógica subyacente de una regla

Para actualizar un control de nube después de recibir una notificación, debes anular la asignación y volver a implementar los marcos que incluyen el control de nube. Para obtener instrucciones, consulta Cómo actualizar un framework a una versión más reciente.

Borra un control de nube personalizado

Borra un control de nube cuando ya no sea necesario. Solo puedes borrar los controles de la nube que crees. No puedes borrar los controles integrados en la nube.

Console

En la consola de Google Cloud , ve a la página Cumplimiento.

Ve a cumplimiento
Elige tu organización o proyecto.
En la pestaña Configurar, haz clic en Controles de la nube. Se mostrará la lista de controles de nube disponibles.
Haz clic en el control de nube que deseas borrar.
En la página Detalles de los controles de nube, verifica que el control de nube no esté incluido en un framework. Si es necesario, edita el framework para quitar el control de nube.
Haz clic en Borrar.
En la ventana Borrar, revisa el mensaje. Escribe Delete y haz clic en Confirmar.

CLI

Para borrar un control de nube personalizado, ejecuta el comando gcloud compliance-manager cloud-controls delete:

gcloud compliance-manager cloud-controls delete CLOUD_CONTROL \
   --location=LOCATION \
   --organization=ORGANIZATION

Reemplaza los siguientes valores:

CLOUD_CONTROL: El nombre del control de nube
ORGANIZATION: Es el ID de tu organización.
LOCATION: Es la región en la que se almacena el control de la nube.

Por ejemplo, para borrar un control de nube con el nombre restrict-resource-locations, ejecuta el siguiente comando:

gcloud compliance-manager cloud-controls delete \
   restrict-resource-locations \
   --organization=3589215982 \
   --location=global

Para obtener más información, consulta gcloud compliance-manager cloud-controls delete.

Asignación de detectores de Security Health Analytics a controles de la nube

En la siguiente tabla, se muestra cómo se asignan los controles de la nube del Administrador de cumplimiento a los detectores de Security Health Analytics.

Categoría del hallazgo en Security Health Analytics	Nombre del control de la nube en el Administrador de cumplimiento
`ACCESS_TRANSPARENCY_DISABLED`	Habilita la Transparencia de acceso
`ADMIN_SERVICE_ACCOUNT`	Bloquea los roles de administrador de las cuentas de servicio
`ALLOWED_INGRESS_ORG_POLICY`	Configura el parámetro de configuración de entrada permitida para la restricción de la política de la organización de Cloud Run
`ALLOWED_VPC_EGRESS_ORG_POLICY`	Configura el parámetro de configuración de salida de VPC permitido para la restricción de la política de la organización de Cloud Run
`ALLOYDB_AUTO_BACKUP_DISABLED`	Habilita las copias de seguridad automáticas de AlloyDB en el clúster
`ALLOYDB_BACKUPS_DISABLED`	Habilita las copias de seguridad de AlloyDB en el clúster
`ALLOYDB_CMEK_DISABLED`	Habilita la CMEK para los clústeres de AlloyDB
`ALLOYDB_LOG_ERROR_VERBOSITY`	Cómo establecer la marca de verbosidad de errores de registros para instancias de AlloyDB
`ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Configura la marca Log Min Error Statement para las instancias de AlloyDB
`ALLOYDB_LOG_MIN_MESSAGES`	Configura la marca Log Min Messages para instancias de AlloyDB
`ALLOYDB_PUBLIC_IP`	Bloquea direcciones IP públicas para instancias de clúster de AlloyDB
`ALPHA_CLUSTER_ENABLED`	Inhabilita las funciones alfa en los clústeres de GKE
`API_KEY_APPS_UNRESTRICTED`	Restringe las claves de API solo a las APIs requeridas
`API_KEY_EXISTS`	No disponible
`API_KEY_NOT_ROTATED`	Solicitar rotación de la clave de API
`AUDIT_CONFIG_NOT_MONITORED`	Configura métricas de registros y alertas para los cambios en Audit Logging
`AUDIT_LOGGING_DISABLED`	Implementa el registro de eventos para los servicios de Google Cloud
`AUTO_BACKUP_DISABLED`	Habilita las copias de seguridad automáticas para las bases de datos de Cloud SQL
`AUTO_REPAIR_DISABLED`	Habilita la reparación automática para clústeres de GKE
`AUTO_UPGRADE_DISABLED`	Habilita la actualización automática en clústeres de GKE
`BIGQUERY_TABLE_CMEK_DISABLED`	Habilita la CMEK para las tablas de BigQuery
`BINARY_AUTHORIZATION_DISABLED`	Cómo exigir la autorización binaria en un clúster
`BUCKET_CMEK_DISABLED`	Habilita la CMEK para los buckets de Cloud Storage
`BUCKET_IAM_NOT_MONITORED`	Configura métricas y alertas de registros para los cambios en la política de IAM de Cloud Storage
`BUCKET_LOGGING_DISABLED`	Exige el registro del bucket de Cloud Storage
`BUCKET_POLICY_ONLY_DISABLED`	Habilita el acceso uniforme a nivel de bucket en los buckets de Cloud Storage
`CLOUD_ASSET_API_DISABLED`	Habilita el servicio de Cloud Asset Inventory
`CLUSTER_LOGGING_DISABLED`	Habilita Cloud Logging en clústeres de GKE
`CLUSTER_MONITORING_DISABLED`	Habilita Cloud Monitoring en clústeres de GKE
`CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED`	Habilita el Acceso privado a Google en una instancia
`CLUSTER_SECRETS_ENCRYPTION_DISABLED`	Habilita la encriptación en clústeres de GKE
`CLUSTER_SHIELDED_NODES_DISABLED`	Habilita los nodos de GKE protegidos en un clúster
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	Bloquea las claves SSH de todo el proyecto en las instancias de Compute Engine
`COMPUTE_SECURE_BOOT_DISABLED`	Habilita el inicio seguro en instancias de Compute Engine
`COMPUTE_SERIAL_PORTS_ENABLED`	Cómo bloquear puertos seriales para instancias de Compute Engine
`CONFIDENTIAL_COMPUTING_DISABLED`	Habilita Confidential Computing para instancias de Compute Engine
`COS_NOT_USED`	Cómo requerir Container-Optimized OS para un clúster de GKE
`CUSTOM_ORG_POLICY_VIOLATION`	No disponible
`CUSTOM_ROLE_NOT_MONITORED`	Configura las métricas y alertas de registros para los cambios de roles personalizados
`DATAPROC_CMEK_DISABLED`	Cómo requerir la CMEK en clústeres de Dataproc
`DATAPROC_IMAGE_OUTDATED`	Usa las versiones de imagen más recientes en los clústeres de Dataproc
`DATASET_CMEK_DISABLED`	Habilita las CMEK para los conjuntos de datos de BigQuery
`DEFAULT_NETWORK`	Usa redes con reglas de firewall personalizadas
`DEFAULT_SERVICE_ACCOUNT_USED`	Usa cuentas de servicio personalizadas para instancias de Compute Engine
`DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY`	Configura la política de la organización Inhabilitar el uso de IPv6 externa de VPC
`DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY`	Configura la política de la organización Inhabilitar el uso de IPv6 externa de VPC
`DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY`	Configura la política de la organización Inhabilitar el registro de puertos en serie de VM en Stackdriver
`DISK_CMEK_DISABLED`	Habilita la CMEK en los discos persistentes de Compute Engine
`DISK_CSEK_DISABLED`	Habilita la CSEK en los discos persistentes de Compute Engine
`DNS_LOGGING_DISABLED`	Habilita el monitoreo de registros de Cloud DNS
`DNSSEC_DISABLED`	Habilita DNSSEC para Cloud DNS
`EGRESS_DENY_RULE_NOT_SET`	Aplica la regla de firewall de salida Deny All
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	Cómo definir contactos esenciales
`FIREWALL_NOT_MONITORED`	Configura métricas de registros y alertas para los cambios en el firewall de la red de VPC
`FIREWALL_RULE_LOGGING_DISABLED`	Habilita el registro de reglas de firewall
`FLOW_LOGS_DISABLED`	Habilita los registros de flujo para la subred de VPC
`FULL_API_ACCESS`	Restringe el acceso a las APIs de Google Cloud para las instancias de Compute Engine
`HTTP_LOAD_BALANCER`	Aplicar solo el tráfico HTTPS
`INCORRECT_BQ4G_SERVICE_PERIMETER`	Define perímetros de servicio en los Controles del servicio de VPC
`INSTANCE_OS_LOGIN_DISABLED`	Habilitar el Acceso al SO
`INTEGRITY_MONITORING_DISABLED`	Habilita la supervisión de integridad en los clústeres de GKE
`INTRANODE_VISIBILITY_DISABLED`	Habilita la visibilidad dentro de los nodos para los clústeres de GKE
`IP_ALIAS_DISABLED`	Habilita el rango de alias de IP para los clústeres de GKE
`IP_FORWARDING_ENABLED`	Cómo evitar el reenvío de IP en instancias de Compute Engine
`KMS_KEY_NOT_ROTATED`	Define el período de rotación para las claves de Cloud KMS
`KMS_PROJECT_HAS_OWNER`	No disponible
`KMS_PUBLIC_KEY`	No disponible
`KMS_ROLE_SEPARATION`	Aplicar la separación de obligaciones
`LEGACY_AUTHORIZATION_ENABLED`	Bloquea la autorización heredada en los clústeres de GKE
`LEGACY_METADATA_ENABLED`	Inhabilita los extremos heredados del servidor de metadatos en Compute Engine
`LEGACY_NETWORK`	No usar redes heredadas
`LOAD_BALANCER_LOGGING_DISABLED`	Habilita el registro del balanceador de cargas
`LOCKED_RETENTION_POLICY_NOT_SET`	Bloquea las políticas de retención de buckets de almacenamiento
`LOG_NOT_EXPORTED`	Configura receptores de registros
`MASTER_AUTHORIZED_NETWORKS_DISABLED`	Habilita las redes autorizadas del plano de control en los clústeres de GKE
`MFA_NOT_ENFORCED`	No disponible
`NETWORK_NOT_MONITORED`	Configura métricas y alertas de registros para los cambios en la red de VPC
`NETWORK_POLICY_DISABLED`	Habilita la política de red en los clústeres de GKE
`NODEPOOL_BOOT_CMEK_DISABLED`	Habilita la CMEK en los discos de arranque del grupo de nodos de GKE
`NODEPOOL_SECURE_BOOT_DISABLED`	Habilita el arranque seguro para nodos de GKE protegidos
`NON_ORG_IAM_MEMBER`	No disponible
`OBJECT_VERSIONING_DISABLED`	Habilita el control de versiones de objetos en buckets
`OPEN_CASSANDRA_PORT`	Bloquea las conexiones a los puertos de Cassandra desde todas las direcciones IP
`OPEN_CISCOSECURE_WEBSM_PORT`	Bloquea las conexiones a los puertos de CiscoSecure/WebSM desde todas las direcciones IP
`OPEN_DIRECTORY_SERVICES_PORT`	Bloquea las conexiones a los puertos de los servicios de directorio desde todas las direcciones IP
`OPEN_DNS_PORT`	Bloquea las conexiones a los puertos DNS desde todas las direcciones IP
`OPEN_ELASTICSEARCH_PORT`	Bloquea las conexiones a los puertos de Elasticsearch desde todas las direcciones IP
`OPEN_FIREWALL`	No disponible
`OPEN_FTP_PORT`	Bloquea las conexiones a los puertos FTP desde todas las direcciones IP
`OPEN_GROUP_IAM_MEMBER`	No disponible
`OPEN_HTTP_PORT`	Bloquea las conexiones a los puertos HTTP desde todas las direcciones IP
`OPEN_LDAP_PORT`	Bloquea las conexiones a los puertos LDAP desde todas las direcciones IP
`OPEN_MEMCACHED_PORT`	Bloquea las conexiones a los puertos de Memcached desde todas las direcciones IP
`OPEN_MONGODB_PORT`	Bloquea las conexiones a los puertos de MongoDB desde todas las direcciones IP
`OPEN_MYSQL_PORT`	Bloquea las conexiones a los puertos de MySQL desde todas las direcciones IP
`OPEN_NETBIOS_PORT`	Bloquea las conexiones a los puertos de NetBIOS desde todas las direcciones IP
`OPEN_ORACLEDB_PORT`	Bloquea las conexiones a los puertos de Oracle Database desde todas las direcciones IP
`OPEN_POP3_PORT`	Bloquea las conexiones a los puertos del servidor POP3 desde todas las direcciones IP
`OPEN_POSTGRESQL_PORT`	Bloquea las conexiones a los puertos del servidor de PostgreSQL desde todas las direcciones IP
`OPEN_RDP_PORT`	Bloquea el acceso al puerto RDP
`OPEN_REDIS_PORT`	Bloquea las conexiones a los puertos del servidor de Redis desde todas las direcciones IP
`OPEN_SMTP_PORT`	Bloquea las conexiones a los puertos del servidor SMTP desde todas las direcciones IP
`OPEN_SSH_PORT`	Bloquea el acceso al puerto SSH
`OPEN_TELNET_PORT`	Bloquea las conexiones a los puertos del servidor Telnet desde todas las direcciones IP
`ORG_POLICY_CONFIDENTIAL_VM_POLICY`	Habilita la restricción de política de la organización de Confidential VM
`OS_LOGIN_DISABLED`	Habilita el Acceso al SO para todas las instancias a nivel del proyecto
`OVER_PRIVILEGED_ACCOUNT`	Usa cuentas de servicio con privilegios mínimos para los clústeres de GKE
`OVER_PRIVILEGED_SCOPES`	Crea clústeres de GKE con permisos de acceso de cuentas de servicio limitados
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	Bloquea los roles de administrador de las cuentas de servicio
`OWNER_NOT_MONITORED`	No disponible
`POD_SECURITY_POLICY_DISABLED`	No disponible
`PRIMITIVE_ROLES_USED`	Restringe los roles de IAM heredados
`PRIVATE_CLUSTER_DISABLED`	Habilita los clústeres privados para GKE
`PRIVATE_GOOGLE_ACCESS_DISABLED`	Habilita el Acceso privado a Google para las subredes de VPC
`PUBLIC_BUCKET_ACL`	Restringe el acceso público a los buckets de Cloud Storage
`PUBLIC_COMPUTE_IMAGE`	Restringe el acceso público a las imágenes de Compute
`PUBLIC_DATASET`	Restringe el acceso público a los conjuntos de datos de BigQuery
`PUBLIC_IP_ADDRESS`	Restringe las direcciones IP públicas a las instancias de Compute Engine
`PUBLIC_LOG_BUCKET`	Restringe el acceso público a los buckets de Cloud Storage
`PUBLIC_SQL_INSTANCE`	Restringe el acceso público a las instancias de bases de datos de Cloud SQL
`PUBSUB_CMEK_DISABLED`	Encripta el tema de Pub/Sub con CMEK
`QL_LOG_STATEMENT_STATS_ENABLED`	Habilita la marca Log Statement para PostgreSQL
`REDIS_ROLE_USED_ON_ORG`	No disponible
`RELEASE_CHANNEL_DISABLED`	Suscribe un clúster de GKE a un canal de versiones
`REQUIRE_OS_LOGIN_ORG_POLICY`	Habilitar el Acceso al SO
`REQUIRE_VPC_CONNECTOR_ORG_POLICY`	Define la salida del conector de VPC para las funciones de Cloud Run
`RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY`	Habilita la restricción de política de la organización Restrict Authorized Networks on Cloud SQL Instances
`ROUTE_NOT_MONITORED`	Configura métricas y alertas de registros para los cambios de ruta de VPC
`RSASHA1_FOR_SIGNING`	Evita RSASHA1 para la firma de DNSSEC
`S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET`	No disponible
`S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS`	No disponible
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	Exige la rotación de claves de la cuenta de servicio
`SERVICE_ACCOUNT_ROLE_SEPARATION`	Aplicar la separación de obligaciones
`SHIELDED_VM_DISABLED`	Habilita la VM protegida para las instancias de Compute Engine
`SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY`	Restringe la creación de redes predeterminadas para las instancias de Compute Engine
`SQL_CMEK_DISABLED`	Habilita las CMEK para las bases de datos de Cloud SQL
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	Desactiva la marca de autenticación de base de datos contenida para SQL Server
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	Desactiva la marca de encadenamiento de propiedad de bases de datos cruzadas para SQL Server
`SQL_EXTERNAL_SCRIPTS_ENABLED`	Desactiva la marca de secuencias de comandos externas para SQL Server
`SQL_INSTANCE_NOT_MONITORED`	Configura métricas y alertas de registros para los cambios en la configuración de Cloud SQL
`SQL_LOCAL_INFILE`	Desactiva la marca local_infile para MySQL
`SQL_LOG_CHECKPOINTS_DISABLED`	Habilita la marca Log Checkpoints para PostgreSQL
`SQL_LOG_CONNECTIONS_DISABLED`	Habilita la marca Log Connections para PostgreSQL
`SQL_LOG_DISCONNECTIONS_DISABLED`	Habilita la marca Log Disconnections para PostgreSQL
`SQL_LOG_DURATION_DISABLED`	Habilita la marca de duración del registro para la instancia de PostgreSQL
`SQL_LOG_ERROR_VERBOSITY`	Habilita la marca de nivel de detalle de errores de registro para PostgreSQL
`SQL_LOG_EXECUTOR_STATS_ENABLED`	Desactiva la marca Log Executor Stats para PostgreSQL
`SQL_LOG_HOSTNAME_ENABLED`	Desactiva la marca Log Hostname para PostgreSQL
`SQL_LOG_LOCK_WAITS_DISABLED`	Habilita la marca de espera de registros de bloqueo para la instancia de PostgreSQL
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	Desactiva la marca de declaración de duración mínima de registros para PostgreSQL
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	Habilita la marca Log Min Error Statement para PostgreSQL
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	No disponible
`SQL_LOG_MIN_MESSAGE`	Habilita la marca Log Min Messages para PostgreSQL
`SQL_LOG_PARSER_STATS_ENABLED`	Desactiva la marca de estadísticas del analizador de registros para PostgreSQL
`SQL_LOG_PLANNER_STATS_ENABLED`	Desactiva la marca Log Planner Stats para PostgreSQL
`SQL_LOG_STATEMENT`	Habilita la marca Log Statement para PostgreSQL
`SQL_LOG_TEMP_FILES`	Habilita la marca Log Temp Files para la instancia de PostgreSQL
`SQL_NO_ROOT_PASSWORD`	No disponible
`SQL_PUBLIC_IP`	Bloquea las direcciones IP públicas para las instancias de Cloud SQL
`SQL_REMOTE_ACCESS_ENABLED`	Desactiva la marca de acceso remoto para SQL Server
`SQL_SCANNER`	Habilita la encriptación SSL en las instancias de AlloyDB
`SQL_SKIP_SHOW_DATABASE_DISABLED`	Habilita la marca Skip Show Database para MySQL
`SQL_TRACE_FLAG_3625`	Habilita la marca de seguimiento 3625 de la base de datos para SQL Server
`SQL_USER_CONNECTIONS_CONFIGURED`	No uses la marca de conexiones de usuario para SQL Server
`SQL_USER_OPTIONS_CONFIGURED`	No uses la marca de opciones de usuario para SQL Server
`SQL_WEAK_ROOT_PASSWORD`	No disponible
`SSL_NOT_ENFORCED`	Aplica SSL para todas las conexiones de bases de datos entrantes
`TOO_MANY_KMS_USERS`	Limita a tres la cantidad de usuarios de claves CryptoKey de KMS
`UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY`	Habilita el acceso uniforme a nivel de bucket en los buckets de Cloud Storage
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	Restringe las claves de cuentas de servicio administradas por el usuario
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	No disponible
`WEAK_SSL_POLICY`	Restringe las políticas de SSL no seguras para las instancias de Compute Engine
`WEB_UI_ENABLED`	No uses la IU web de Kubernetes
`WORKLOAD_IDENTITY_DISABLED`	Habilita Workload Identity Federation for GKE en clústeres

¿Qué sigue?

Escribe reglas para los controles de nube personalizados.

Administra los controles de la nube Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Antes de comenzar

Configura los permisos

Configura Google Cloud CLI

Ver controles de la nube

Console

CLI

Consulta los detalles de un control de la nube

Obtén una lista de los controles de la nube

Crear un control de la nube personalizado

Console

Usar Gemini

Crear manualmente

CLI

Ejemplo de archivo JSON

Ejemplo de archivo YAML

Ejemplo de archivo JSON

Ejemplo de archivo YAML

Terraform

Edita un control de nube personalizado

Actualiza un control integrado en la nube a una versión más reciente

Borra un control de nube personalizado

Console

CLI

Asignación de detectores de Security Health Analytics a controles de la nube

¿Qué sigue?

Administra los controles de la nube