Dengan Kontrol Layanan VPC, Anda dapat membuat perimeter, yang merupakan batas di sekitar resource Google Cloud Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.
Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan API terkait IAM berikut:
- Identity and Access Management API
- Security Token Service API
- Privileged Access Manager API
Membantu mengamankan Identity and Access Management API
Anda dapat membantu mengamankan resource Identity and Access Management (IAM) berikut menggunakan Kontrol Layanan VPC:
- Peran khusus
- Kunci akun layanan
- Akun layanan
- Workload Identity pools
- Kebijakan tolak
- Pengikatan kebijakan untuk kebijakan batas akses utama
Cara kerja Kontrol Layanan VPC dengan IAM
Jika Anda membatasi IAM dengan perimeter, hanya tindakan yang menggunakan IAM API yang akan dibatasi. Tindakan ini mencakup:
- Mengelola peran IAM kustom
- Mengelola workload identity pool
- Mengelola kunci dan akun layanan
- Mengelola kebijakan tolak
- Mengelola pengikatan kebijakan untuk kebijakan batas akses utama (PAB)
Perimeter tidak membatasi tindakan yang terkait dengan pool tenaga kerja dan kebijakan batas akses utama (PAB) karena resource tersebut dibuat di level organisasi.
Perimeter juga tidak membatasi pengelolaan kebijakan izinkan (allow) untuk resource yang dimiliki oleh layanan lain, seperti project, folder, dan organisasi Resource Manager atau instance virtual machine Compute Engine. Untuk membatasi pengelolaan kebijakan izinkan untuk resource ini, buat perimeter yang membatasi layanan yang memiliki resource tersebut. Untuk daftar resource yang menerima kebijakan izinkan dan layanan yang memilikinya, lihat Jenis resource yang menerima kebijakan izinkan.
Selain itu, perimeter tidak membatasi tindakan yang menggunakan API lain, termasuk yang berikut:
- API Policy Simulator IAM
- IAM Policy Troubleshooter API
- API Layanan Token Keamanan
- Service Account Credentials API (termasuk metode
signBlobdansignJwtlama di IAM API)
Untuk detail lebih lanjut tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri IAM di tabel produk yang didukung Kontrol Layanan VPC.
Membantu mengamankan Layanan Token Keamanan API
Anda dapat membantu mengamankan pertukaran token dengan menggunakan Kontrol Layanan VPC.
Saat Anda membatasi Security Token Service API dengan perimeter, hanya entity berikut yang dapat bertukar token:
- Resource dalam perimeter yang sama dengan workload identity pool yang Anda gunakan untuk menukar token
- Entity utama dengan atribut yang ditentukan di perimeter layanan
Saat membuat aturan ingress
atau egress untuk mengizinkan pertukaran token, Anda harus menetapkan jenis identitas ke
ANY_IDENTITY karena metode token
tidak memiliki otorisasi.
Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri Layanan Token Keamanan di tabel produk yang didukung Kontrol Layanan VPC.
Membantu mengamankan Privileged Access Manager API
Anda dapat membantu mengamankan resource Privileged Access Manager menggunakan Kontrol Layanan VPC. Resource Privileged Access Manager mencakup hal berikut:
- Hak
- Pemberian akses
Kontrol Layanan VPC tidak mendukung penambahan resource level folder atau level organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Privileged Access Manager level folder atau organisasi. Kontrol Layanan VPC melindungi resource Privileged Access Manager level project.
Untuk mengetahui detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Privileged Access Manager, lihat entri Privileged Access Manager di tabel produk yang didukung Kontrol Layanan VPC.
Langkah berikutnya
- Pelajari cara Membuat perimeter layanan.