Citrix DaaS™

Conexión a entornos de Google Cloud

April 7, 2026

Contribución de:

C C

Crear y administrar conexiones y recursos describe los asistentes que crean una conexión. La siguiente información cubre detalles específicos de los entornos de Google Cloud.

Nota:

Antes de crear una conexión a entornos de Google Cloud, primero debes terminar de configurar tu cuenta de Google Cloud como una ubicación de recursos. Consulta Entornos de virtualización de Google Cloud.

Agregar una conexión

En Studio, sigue las instrucciones de Crear y administrar conexiones y recursos. La siguiente descripción te guía a través de la configuración de una conexión de alojamiento:

Desde Studio, selecciona Alojamiento en el panel izquierdo.
Selecciona Agregar conexión y recursos en la barra de acciones.
En la página Conexión, selecciona Crear una conexión nueva y herramientas de aprovisionamiento de Citrix™, y luego selecciona Siguiente.
- Nombre de zona. Selecciona una zona (equivalente a una ubicación de recursos) donde quieres que residan tus recursos de host. Las zonas se crean automáticamente cuando creas una ubicación de recursos y le agregas un Cloud Connector. Para obtener más información, consulta Zonas.
- Tipo de conexión. Selecciona Google Cloud Platform en el menú.
- Clave de cuenta de servicio. Importa la clave contenida en tu archivo de credenciales de Google (.json). Puedes pegar la clave del archivo de credenciales o explorar hasta el archivo de credenciales. Para pegar la clave:
  1. Localiza tu archivo de credenciales.
  2. Abre el archivo con el Bloc de notas (o cualquier editor de texto).
  3. Copia el contenido.
  4. Vuelve a la página Conexión, selecciona Agregar clave, pega el contenido y, a continuación, selecciona Listo.
- ID de cuenta de servicio. El campo se rellena automáticamente con la información de la clave de cuenta de servicio.
- Nombre de conexión. Escribe un nombre para la conexión.
- Enrutar el tráfico a través de Citrix Cloud Connectors. Para enrutar las solicitudes de API a través de un Citrix Cloud Connector™ disponible, selecciona esta casilla. Cuando los Cloud Connectors no tienen acceso directo a Internet, puedes seleccionar Usar el proxy configurado en Citrix Cloud Connectors para asegurarte de que la conectividad de GCP funcione correctamente a través de los Citrix Cloud Connectors. También puedes seleccionar la casilla Habilitar Google Cloud Build para usar grupos privados para una capa adicional de seguridad.
  
  Alternativamente, puedes habilitar esta función mediante PowerShell. Para obtener más información, consulta Crear un entorno seguro para el tráfico administrado por GCP.
Nota:

Esta opción solo está disponible cuando hay Citrix Cloud™ Connectors activos en tu implementación. Actualmente, esta función no es compatible con los Connector Appliances.
- Crear máquinas virtuales usando. Selecciona un método para crear máquinas virtuales.
En la página Región, selecciona un nombre de proyecto en el menú, selecciona una región que contenga los recursos que quieres usar y, a continuación, selecciona Siguiente.
En la página Red, escribe un nombre para los recursos, selecciona una red virtual en el menú, selecciona una subred y, a continuación, selecciona Siguiente. El nombre del recurso ayuda a identificar la combinación de región y red. Las redes virtuales con el sufijo (Compartido) agregado a su nombre representan VPC compartidas. Si configuras un rol de IAM a nivel de subred para una VPC compartida, solo las subredes específicas de la VPC compartida aparecen en la lista de subredes.
Nota:
- El nombre del recurso puede contener entre 1 y 64 caracteres, y no puede contener solo espacios en blanco ni los caracteres \ / ; : # . * ? = < > | [ ] { } " ' ( ) ' ).
En la página Resumen, confirma la información y, a continuación, selecciona Finalizar para salir de la ventana Agregar conexión y recursos.

Después de crear la conexión y los recursos, la conexión y los recursos que creaste aparecen en la lista. Para configurar la conexión, selecciona la conexión y, a continuación, selecciona la opción aplicable en la barra de acciones.

Del mismo modo, puedes eliminar, cambiar el nombre o probar los recursos creados en la conexión. Para ello, selecciona el recurso en la conexión y, a continuación, selecciona la opción aplicable en la barra de acciones.

Crear un entorno seguro para el tráfico administrado por GCP

Puedes permitir solo el acceso privado de Google a tus proyectos de Google Cloud. Esta implementación mejora la seguridad para manejar datos confidenciales. Para ello:

Instala Cloud Connectors en la VPC donde quieres aplicar los controles de servicio de VPC. Consulta Controles de servicio de VPC para obtener más información.
Agrega ProxyHypervisorTrafficThroughConnector en CustomProperties en caso de implementación de Citrix Cloud. Si usas un grupo de trabajadores privado, agrega UsePrivateWorkerPool en CustomProperties. Para obtener información sobre el grupo de trabajadores privado, consulta Descripción general de los grupos privados.

Nota:

Actualmente, esta función no es compatible con los Connector Appliances.

Requisitos para crear un entorno seguro para el tráfico administrado por GCP

Los requisitos para crear un entorno seguro para el tráfico administrado por GCP son:

Asegúrate de que la conexión de alojamiento esté en modo de mantenimiento al actualizar las propiedades personalizadas.
Para usar grupos de trabajadores privados, se requieren los siguientes cambios:
- Para la cuenta de servicio de Citrix Cloud, agrega los siguientes roles de IAM:
  - Cloud Build Service Account
  - Compute Instance Admin
  - Service Account User
  - Service Account Token Creator
  - Cloud Build WorkerPool Owner
- Crea la cuenta de servicio de Citrix Cloud en el mismo proyecto que usas para crear una conexión de alojamiento.
- Configura zonas DNS para private.googleapis.com y gcr.io como se describe en Configuración de DNS.
- Configura la traducción de direcciones de red (NAT) privada o usa la conexión de servicio privada. Para obtener más información, consulta Acceder a las API de Google a través de puntos de conexión.
- Si usas una VPC emparejada, crea un emparejamiento de zona de Cloud DNS con la VPC emparejada. Para obtener más información, consulta Crear una zona de emparejamiento.
- En los controles de servicio de VPC, configura las reglas de salida para que las API y las máquinas virtuales puedan comunicarse con Internet. Las reglas de entrada son opcionales. Por ejemplo:
```
 Egress Rule 1
 From:
 Identities:ANY_IDENTITY
 To:
 Projects =
 All projects
 Service =
 Service name: All services
 
```

Habilitar el proxy

Para habilitar el proxy, configura las propiedades personalizadas de la conexión de host de la siguiente manera:

Abre una ventana de PowerShell desde el host de Delivery Controller o usa el SDK de PowerShell remoto. Para obtener más información sobre el SDK de PowerShell remoto, consulta SDK y API.
Ejecuta los siguientes comandos:
1. Add-PSSnapin citrix*
2. cd XDHyp:\Connections\
3. dir
Copia las CustomProperties de la conexión a un Bloc de notas.

Agrega la configuración de la propiedad de la siguiente manera:

En caso de implementación en la nube (usando grupos públicos): Agrega la configuración de propiedad <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True"/> a las CustomProperties para habilitar el proxy. Por ejemplo:

 <CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
 <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True"/>
 </CustomProperties>
 <!--NeedCopy-->

Permite la regla de entrada para la cuenta de servicio de Cloud Build en el perímetro de servicio de VPC. Por ejemplo:

 Ingress Rule 1
 From:
 Identities:
 <ProjectID>@cloudbuild.gserviceaccount.com
 Source > All sources allowed
 To:
 Projects =
 All projects
 Services =
 Service name: All services
 <!--NeedCopy-->

Para obtener información sobre el perímetro de servicio de VPC, consulta Detalles y configuración del perímetro de servicio.

En el caso de un grupo de trabajadores privado en una implementación en la nube, agrega la configuración de propiedad <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True"/> y <Property xsi:type="StringProperty" Name="UsePrivateWorkerPool" Value="True"/> a CustomProperties para habilitar el proxy. Por ejemplo:

     <CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
     <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True"/>
     <Property xsi:type="StringProperty" Name="UsePrivateWorkerPool" Value="True"/>
     </CustomProperties>
     <!--NeedCopy-->

En la ventana de PowerShell, asigna una variable a las propiedades personalizadas modificadas. Por ejemplo: $customProperty = '<CustomProperties…</CustomProperties>'.
Ejecuta $gcpServiceAccount = "<ENTER YOUR SERVICE ACCOUNT EMAIL HERE>".
Ejecuta $gcpPrivateKey = "<ENTER YOUR SERVICE ACCOUNT PRIVATE KEY HERE AFTER REMOVING ALL INSTANCES OF \n >".
Ejecuta $securePassword = ConvertTo-SecureString $gcpPrivateKey -AsPlainText -Force.
Ejecuta lo siguiente para actualizar una conexión de host existente:

    Set-Item -PassThru -Path @('XDHyp:\\Connections\\<ENTER YOUR CONNECTION NAME HERE>') -SecurePassword $securePassword -UserName $gcpServiceAccount -CustomProperties $customProperty
<!--NeedCopy-->

Opción para usar el proxy del sistema en los conectores de Citrix Cloud para el tráfico de la API de GCP redirigido

Para enrutar todo el tráfico externo a través de un proxy no transparente, configura la conexión de host con la propiedad personalizada UseSystemProxyForHypervisorTrafficOnConnectors. Esto redirige el tráfico de Internet de la API de GCP en los conectores de Citrix Cloud a través del proxy del sistema. Sigue los mismos pasos descritos en Habilitar el proxy para configurar la conexión de host con la propiedad personalizada. Sin embargo, asegúrate de agregar la configuración de propiedad <Property xsi:type="StringProperty" Name="UseSystemProxyForHypervisorTrafficOnConnectors" Value="True" /> a las CustomProperties para habilitar el proxy.

<Property xsi:type="StringProperty" Name="UseSystemProxyForHypervisorTrafficOnConnectors" Value="True" />
<!--NeedCopy-->

Ejemplo:

<CustomProperties xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://schemas.citrix.com/2014/xd/machinecreation">
 <Property xsi:type="StringProperty" Name="ProxyHypervisorTrafficThroughConnector" Value="True"/>
 <Property xsi:type="StringProperty" Name="UsePrivateWorkerPool" Value="True"/>
<Property xsi:type="StringProperty" Name="UseSystemProxyForHypervisorTrafficOnConnectors" Value="True" />
</CustomProperties>
<!--NeedCopy-->

Nota:

Después de establecer esta propiedad, el proxy configurado en la configuración de netsh winhttp en los conectores de Citrix Cloud se usa para el tráfico saliente al proveedor de servicios en la nube.

Especificar clave CMEK global y regional

Nota:

La compatibilidad con CMEK en GCP está actualmente en versión preliminar.

Hay dos tipos de claves de cifrado administradas por el cliente (CMEK) en GCP:

Regional: Claves de cifrado que solo pueden ser usadas por recursos en la misma región.
Global: Claves de cifrado que pueden ser usadas por recursos de varias regiones.

Puedes explorar y usar claves de cifrado administradas por el cliente (CMEK) globales o regionales de todos los proyectos accesibles para la cuenta de servicio. Luego, puedes usar la clave para crear un catálogo de máquinas MCS habilitado para CMEK y actualizar un catálogo de máquinas MCS habilitado para CMEK existente usando el comando Set-ProvScheme. Para obtener información sobre cómo crear un catálogo habilitado para CMEK usando PowerShell, consulta Crear un catálogo con CMEK usando propiedades personalizadas.

Para esta función, necesitas permisos adicionales para las dos cuentas de servicio siguientes:

La cuenta de servicio del proyecto actual con la que se crea la conexión de alojamiento.
El agente de servicio de Compute Engine del proyecto actual (que tiene el correo electrónico: service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com). Para obtener más información, consulta Agente de servicio de Compute Engine.

En las cuentas de servicio, debes asignar los siguientes roles en el proyecto que tiene las claves criptográficas que quieres usar (por ejemplo, un proyecto compartido):

Cloud KMS Viewer
Cloud KMS CryptoKey Encrypter/Decrypter

Si no asignas los roles, asegúrate de tener los siguientes permisos:

resourcemanager.projects.get
cloudkms.keyRings.list
cloudkms.keyRings.get
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt

Enumerar las claves de cifrado

Puedes enumerar las claves de cifrado globales y regionales dentro del mismo proyecto y de todos los demás proyectos accesibles usando los comandos de PowerShell. Para ello:

Abre una ventana de PowerShell desde el host de Delivery Controller™ o PowerShell remoto.
Ejecuta el comando asnp citrix* para cargar los módulos de PowerShell específicos de Citrix.

Ejecuta el siguiente comando para enumerar las claves de cifrado. Ejemplo:

Para enumerar el contenido de la carpeta encryptionKeys:

 Get-ChildItem XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder
 <!--NeedCopy-->

Para obtener claves de cifrado globales dentro del mismo proyecto:

 Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myglobalkeyring.globalkeyring\myglobalkey.cryptokey
 <!--NeedCopy-->

Para obtener claves de cifrado regionales dentro del mismo proyecto:

 Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\regional-ring.keyring\shared-key.cryptokey
 <!--NeedCopy-->

Para obtener claves de cifrado globales de otro proyecto accesible (por ejemplo: myanotherproject):

 Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myanotherproject.project\shared-global-ring.globalkeyring\shared-key.cryptokey
 <!--NeedCopy-->

Para obtener claves de cifrado regionales de otro proyecto accesible (por ejemplo: myanotherproject):

 Get-Item XDHyp:\HostingUnits\my-hostingunit\encryptionKeys.folder\myanotherproject .project.project\shared-uscentral.keyring\shared-uscentral-key.cryptokey
 <!--NeedCopy-->

Nota:

La extensión del elemento de inventario del llavero de claves para un llavero de claves global es .globalkeyring.

El ID de los llaveros de claves globales contiene la palabra global en él.

Permisos de GCP necesarios

Esta sección contiene la lista completa de permisos de GCP. Usa el conjunto completo de permisos que se indican en la sección para que la funcionalidad funcione correctamente.

Nota:

GCP está introduciendo cambios en el comportamiento predeterminado y el uso de cuentas de servicio de Cloud Build Services después del 29 de abril de 2024. Para obtener más información, consulta Cambio de cuenta de servicio de Cloud Build. Tus proyectos de Google existentes con la API de Cloud Build habilitada antes del 29 de abril de 2024 no se ven afectados por este cambio. Sin embargo, si quieres mantener el comportamiento existente del servicio Cloud Build después del 29 de abril, puedes crear o aplicar la política de la organización para deshabilitar la aplicación de restricciones antes de habilitar la API. Si estableces la nueva política de la organización, aún puedes seguir los permisos existentes en esta sección y los elementos marcados como Antes del cambio de cuenta de servicio de Cloud Build. Si no, sigue los permisos existentes y los elementos marcados como Después del cambio de cuenta de servicio de Cloud Build.

Crear una conexión de host

Permisos mínimos necesarios para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento:
```
 compute.instanceTemplates.list
 compute.instances.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.list
 compute.zones.list
 resourcemanager.projects.get
 
```
Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:
- Compute Admin
- Cloud Datastore User
Permisos adicionales necesarios para VPC compartida para la cuenta de servicio de Citrix Cloud en el proyecto de VPC compartida:
```
 compute.networks.list
 compute.subnetworks.list
 resourcemanager.projects.get
 
```
Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:
- Compute Network User
En las cuentas de servicio, debes asignar los siguientes roles en el proyecto que tiene las claves criptográficas que quieres usar (por ejemplo, proyecto compartido):
- Cloud KMS Viewer
- Cloud KMS CryptoKey Encrypter/Decrypter
Si no asignas los roles, asegúrate de tener los siguientes permisos:
- resourcemanager.projects.get
- cloudkms.keyRings.list
- cloudkms.keyRings.get
- cloudkms.cryptoKeys.get
- cloudkms.cryptoKeys.list
- cloudkms.cryptoKeyVersions.useToDecrypt
- cloudkms.cryptoKeyVersions.useToEncrypt

Administración de energía de las máquinas virtuales

Permisos mínimos necesarios para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento en el caso de catálogos solo con administración de energía:

compute.instanceTemplates.list
compute.instances.list
compute.instances.get
compute.instances.reset
compute.instances.resume
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.networks.list
compute.projects.get
compute.regions.list
compute.subnetworks.list
compute.zones.list
resourcemanager.projects.get
compute.zoneOperations.get
<!--NeedCopy-->

Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

Compute Admin
Cloud Datastore User

Creación, actualización o eliminación de máquinas virtuales

Permisos mínimos necesarios para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento:

 cloudbuild.builds.create
 cloudbuild.builds.get
 cloudbuild.builds.list
 compute.acceleratorTypes.list
 compute.diskTypes.get
 compute.diskTypes.list
 compute.disks.create
 compute.disks.createSnapshot
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.firewalls.create
 compute.firewalls.delete
 compute.firewalls.list
 compute.globalOperations.get
 compute.images.create
 compute.images.delete
 compute.images.get
 compute.images.list
 compute.images.setLabels
 compute.images.useReadOnly
 compute.instanceTemplates.create
 compute.instanceTemplates.delete
 compute.instanceTemplates.get
 compute.instanceTemplates.list
 compute.instanceTemplates.useReadOnly
 compute.instances.attachDisk
 compute.instances.create
 compute.instances.delete
 compute.instances.detachDisk
 compute.instances.get
 compute.instances.getSerialPortOutput
 compute.instances.list
 compute.instances.reset
 compute.instances.resume
 compute.instances.setDeletionProtection
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.instances.setTags
 compute.instances.start
 compute.instances.stop
 compute.instances.suspend
 compute.machineTypes.get
 compute.machineTypes.list
 compute.networks.list
 compute.networks.updatePolicy
 compute.nodeGroups.list
 compute.nodeTemplates.get
 compute.projects.get
 compute.regions.list
 compute.snapshots.create
 compute.snapshots.delete
 compute.snapshots.list
 compute.snapshots.get
 compute.snapshots.setLabels
 compute.snapshots.useReadOnly
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zoneOperations.get
 compute.zoneOperations.list
 compute.zones.get
 compute.zones.list
 iam.serviceAccounts.actAs
 resourcemanager.projects.get
 storage.buckets.create
 storage.buckets.delete
 storage.buckets.get
 storage.buckets.list
 storage.buckets.update
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 compute.networks.get
 compute.resourcePolicies.use

 <!--NeedCopy-->

Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

Compute Admin
Storage Admin
Cloud Build Editor
Service Account User
Cloud Datastore User

Permisos adicionales necesarios para la VPC compartida para la cuenta de servicio de Citrix Cloud en el proyecto de VPC compartida para crear una unidad de alojamiento mediante VPC y subred del proyecto de VPC compartida:

 compute.firewalls.list
 compute.networks.list
 compute.projects.get
 compute.regions.list
 compute.subnetworks.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.zones.list
 resourcemanager.projects.get
 <!--NeedCopy-->

Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

Compute Network User
Cloud Datastore User

Permisos mínimos necesarios al descargar el disco de instrucciones de preparación en MCS:

(Antes del cambio de la cuenta de servicio de Cloud Build): Asigna estos permisos a la cuenta de servicio de Cloud Build en el proyecto de aprovisionamiento.
(Después del cambio de la cuenta de servicio de Cloud Build): Asigna estos permisos a la cuenta de servicio de Cloud Compute en el proyecto de aprovisionamiento.

 compute.disks.create
 compute.disks.delete
 compute.disks.get
 compute.disks.list
 compute.disks.setLabels
 compute.disks.use
 compute.disks.useReadOnly
 compute.images.get
 compute.images.list
 compute.images.useReadOnly
 compute.instances.create
 compute.instances.delete
 compute.instances.get
 compute.instances.getSerialPortOutput
 compute.instances.list
 compute.instances.setLabels
 compute.instances.setMetadata
 compute.instances.setServiceAccount
 compute.machineTypes.list
 compute.networks.get
 compute.networks.list
 compute.projects.get
 compute.subnetworks.list
 compute.subnetworks.use
 compute.subnetworks.useExternalIp
 compute.zoneOperations.get
 compute.zones.list
 iam.serviceAccounts.actAs
 logging.logEntries.create
 pubsub.topics.publish
 resourcemanager.projects.get
 source.repos.get
 source.repos.list
 storage.buckets.create
 storage.buckets.get
 storage.buckets.list
 storage.objects.create
 storage.objects.delete
 storage.objects.get
 storage.objects.list
 <!--NeedCopy-->

Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:

Cloud Build Service Account (después del cambio de la cuenta de servicio de Cloud Build, es la cuenta de servicio de Cloud Compute)
Compute Instance Admin
Service Account User

Permisos mínimos necesarios para la cuenta de servicio de Cloud Compute en el proyecto de aprovisionamiento requeridos por el servicio Google Cloud Build al descargar el disco de instrucciones de preparación en MCS:
```
 resourcemanager.projects.get
 storage.objects.create
 storage.objects.get
 storage.objects.list
 
```
Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:
- Compute Network User
- Storage Account User
- Cloud Datastore User
Permisos adicionales necesarios para la VPC compartida al descargar el disco de instrucciones de preparación en MCS:
- (Antes del cambio de la cuenta de servicio de Cloud Build): Asigna estos permisos a la cuenta de servicio de Cloud Build en el proyecto de aprovisionamiento.
- (Después del cambio de la cuenta de servicio de Cloud Build): Asigna estos permisos a la cuenta de servicio de Cloud Compute en el proyecto de aprovisionamiento.
```
 compute.firewalls.list
 compute.networks.list
 compute.subnetworks.list
 compute.subnetworks.use
 resourcemanager.projects.get
 
```
Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:
- Compute Network User
- Storage Account User
- Cloud Datastore User
Permisos adicionales necesarios para el Servicio de administración de claves de Cloud (KMS) para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento:
```
 cloudkms.cryptoKeys.get
 cloudkms.cryptoKeys.list
 cloudkms.keyRings.get
 cloudkms.keyRings.list
 
```
Los siguientes roles definidos por Google tienen los permisos enumerados anteriormente:
- Compute KMS Viewer

Permisos generales

A continuación, se muestran los permisos para la cuenta de servicio de Citrix Cloud en el proyecto de aprovisionamiento para todas las funciones compatibles con MCS. Estos permisos ofrecen la mejor compatibilidad en el futuro:

resourcemanager.projects.get
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
compute.acceleratorTypes.list
compute.diskTypes.get
compute.diskTypes.list
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.setLabels
compute.disks.use
compute.disks.useReadOnly
compute.firewalls.create
compute.firewalls.delete
compute.firewalls.list
compute.globalOperations.get
compute.images.create
compute.images.delete
compute.images.get
compute.images.list
compute.images.setLabels
compute.images.useReadOnly
compute.instanceTemplates.create
compute.instanceTemplates.delete
compute.instanceTemplates.get
compute.instanceTemplates.list
compute.instanceTemplates.useReadOnly
compute.instances.attachDisk
compute.instances.create
compute.instances.delete
compute.instances.detachDisk
compute.instances.get
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.reset
compute.instances.resume
compute.instances.setDeletionProtection
compute.instances.setLabels
compute.instances.setMetadata
compute.instances.setTags
compute.instances.start
compute.instances.stop
compute.instances.suspend
compute.instances.update
compute.instances.updateAccessConfig
compute.instances.updateDisplayDevice
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.machineTypes.get
compute.machineTypes.list
compute.networks.list
compute.networks.updatePolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.projects.get
compute.regions.list
compute.snapshots.create
compute.snapshots.delete
compute.snapshots.list
compute.snapshots.get
compute.snapshots.setLabels
compute.snapshots.useReadOnly
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
resourcemanager.projects.get
storage.buckets.create
storage.buckets.delete
storage.buckets.get
storage.buckets.list
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
cloudkms.cryptoKeys.get
cloudkms.cryptoKeys.list
cloudkms.keyRings.get
cloudkms.keyRings.list
compute.disks.list
compute.instances.setServiceAccount
compute.networks.get
compute.networks.use
compute.networks.useExternalIp
iam.serviceAccounts.actAs
compute.resourcePolicies.use
cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
<!--NeedCopy-->

Pasos siguientes

Si estás en el proceso de implementación inicial, consulta Crear catálogos de máquinas.
Para obtener información específica de Google Cloud Platform (GCP), consulta Crear un catálogo de Google Cloud Platform.

Más información

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Conexión a entornos de Google Cloud

April 7, 2026

Contribución de:

C C

April 7, 2026

Contribución de:

C C

En este artículo

Agregar una conexión
Crear un entorno seguro para el tráfico administrado por GCP
Especificar clave CMEK global y regional
Permisos de GCP necesarios
Pasos siguientes
Más información

¿Le ha resultado útil?