בעזרת VPC Service Controls אפשר ליצור גבולות גזרה, שהם גבולות מסביב למשאבים שלכם ב- Google Cloud . כך אפשר להגדיר מדיניות אבטחה שעוזרת למנוע גישה לשירותים נתמכים מחוץ לגבולות הגזרה. מידע נוסף על VPC Service Controls זמין בסקירה כללית על VPC Service Controls.
בעזרת VPC Service Controls תוכלו לאבטח את ממשקי ה-API הבאים שקשורים ל-IAM:
- Identity and Access Management API
- Security Token Service API
- Privileged Access Manager API
שומרים על Identity and Access Management API מאובטח
אתם יכולים להשתמש ב-VPC Service Controls כדי לאבטח את המשאבים הבאים לניהול זהויות והרשאות גישה (IAM):
- תפקידים בהתאמה אישית
- מפתחות של חשבונות שירות
- חשבונות שירות
- מאגר זהויות של כוח עבודה
- מדיניות דחייה
- קישורי מדיניות למדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
איך VPC Service Controls פועל עם IAM
כשמגבילים את IAM באמצעות גבולות גזרה, רק הפעולות שנעשה בהן שימוש ב-IAM API מוגבלות. אלה חלק מהפעולות האפשריות:
- ניהול תפקידים ב-IAM בהתאמה אישית
- ניהול מאגרי זהויות של כוח עבודה
- ניהול חשבונות שירות ומפתחות
- ניהול כללי מדיניות דחייה
- ניהול של קשרי מדיניות עבור מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
גבולות הגזרה לא מגבילים פעולות שקשורות למאגרי עובדים ולמדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB), כי המשאבים האלה נוצרים ברמת הארגון.
גבולות הגזרה גם לא מגבילים את ניהול מדיניות ההרשאות למשאבים שבבעלות שירותים אחרים, כמו פרויקטים, תיקיות וארגונים במנהל המשאבים או מכונות וירטואליות של Compute Engine. כדי להגביל את ניהול מדיניות ההרשאות למשאבים האלה, יוצרים גבולות גזרה שמגבילים את השירות שהמשאבים נמצאים בבעלותו. במאמר בנושא סוגי משאבים שמקבלים מדיניות הרשאה תוכלו למצוא רשימה של המשאבים שמכבדים מדיניות הרשאה ואת השירותים שבבעלותם.
בנוסף, גבולות הגזרה לא מגבילים את הפעולות שנעזרות בממשקי API אחרים, כולל:
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API (כולל השיטות הקודמות עם
signBlobו-signJwtב-IAM API)
לפרטים נוספים על האופן שבו VPC Service Controls פועל עם IAM, קראו את הערך של IAM בטבלת המוצרים הנתמכים של VPC Service Controls.
שומרים על Security Token Service API מאובטח
ניתן להשתמש ב-VPC Service Controls כדי לאבטח המרות של אסימונים.
כשמגדירים גבולות גזרה כדי להגביל את Security Token Service API, רק הישויות הבאות יכולות להמיר אסימונים:
- משאבים באותם גבולות גזרה של מאגר הזהויות של עומסי העבודה שבו אתם משתמשים כדי להמיר את האסימון
- חשבונות משתמשים עם המאפיינים שמוגדרים בגבולות הגזרה לשירות
כשיוצרים כלל תעבורת נתונים נכנסת (ingress) או יוצאת (egress) כדי לאפשר החלפת אסימונים, צריך להגדיר את סוג הזהות ל-ANY_IDENTITY כי לשיטת token אין הרשאה.
לפרטים נוספים על האופן שבו VPC Service Controls פועל עם IAM, קראו את הערך של Security Token Service בטבלת המוצרים הנתמכים של VPC Service Controls.
שומרים על Privileged Access Manager API מאובטח
אתם יכולים להשתמש ב-VPC Service Controls כדי לאבטח את המשאבים של Privileged Access Manager. רשימת משאבי Privileged Access Manager כוללת את המשאבים הבאים:
- הרשאות
- בקשות גישה
שירות VPC Service Controls לא תומך בהוספת משאבים ברמת התיקייה או ברמת הארגון לגבולות גזרה לשירות. אי אפשר להשתמש בגבולות גזרה כדי להגן על משאבי Privileged Access Manager ברמת התיקייה או ברמת הארגון. VPC Service Controls מגן על משאבים של Privileged Access Manager ברמת הפרויקט.
לפרטים נוספים על האופן שבו VPC Service Controls פועל עם Privileged Access Manager, קראו את הערך של Privileged Access Manager בטבלת המוצרים הנתמכים של VPC Service Controls.