VPC 서비스 제어를 사용하면 Google Cloud 리소스 경계인 경계를 만들 수 있습니다. 그런 다음 경계 외부에서 지원되는 서비스에 대한 액세스를 방지하는 보안 정책을 정의할 수 있습니다. VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참고하세요.
VPC 서비스 제어를 사용하여 다음 IAM 관련 API를 보호할 수 있습니다.
- Identity and Access Management API
- 보안 토큰 서비스 API
- Privileged Access Manager API
Identity and Access Management API 보호 지원
VPC 서비스 제어를 사용하여 다음 Identity and Access Management(IAM) 리소스를 보호할 수 있습니다.
- 커스텀 역할
- 서비스 계정 키
- 서비스 계정
- 워크로드 아이덴티티 풀
- 거부 정책
- 주 구성원 액세스 경계 정책의 정책 바인딩
VPC 서비스 제어가 IAM과 작동하는 방식
경계로 IAM을 제한하는 경우 IAM API를 사용하는 작업만 제한됩니다. 이러한 작업에는 다음이 포함됩니다.
- 커스텀 IAM 역할 관리
- 워크로드 아이덴티티 풀 관리
- 서비스 계정 및 키 관리
- 거부 정책 관리
- 주 구성원 액세스 경계 정책의 정책 바인딩 관리
직원 풀 및 주 구성원 액세스 경계 정책과 관련된 작업의 리소스는 조직 수준에서 생성되므로 이러한 작업은 경계에서 제한되지 않습니다.
또한 경계는 Resource Manager 프로젝트, 폴더, 조직 또는 Compute Engine 가상 머신 인스턴스와 같은 다른 서비스에서 소유한 리소스의 허용 정책 관리를 제한하지 않습니다. 이러한 리소스의 허용 정책 관리를 제한하려면 리소스를 소유한 서비스를 제한하는 경계를 만듭니다. 허용 정책을 허용하는 리소스와 해당 정책을 소유한 서비스의 목록은 허용 정책을 허용하는 리소스 유형을 참조하세요.
또한 경계는 다음을 포함하여 다른 API를 사용하는 작업을 제한하지 않습니다.
- IAM 정책 시뮬레이터 API
- IAM 정책 문제 해결 도구 API
- 보안 토큰 서비스 API
- Service Account Credentials API(IAM API의 레거시
signBlob및signJwt메서드 포함)
VPC 서비스 제어가 IAM과 작동하는 방식에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 표의 IAM 항목을 참조하세요.
Security Token Service API 보호 지원
VPC 서비스 제어를 사용하여 토큰 교환을 보호하도록 도와줄 수 있습니다.
경계를 사용하여 보안 토큰 서비스 API를 제한할 경우 다음 항목만 토큰을 교환할 수 있습니다.
- 토큰 교환을 위해 사용하는 워크로드 아이덴티티 풀과 동일한 경계 내에 있는 리소스
- 서비스 경계에 정의된 속성을 포함하는 주 구성원
토큰 교환을 허용하기 위해 인그레스 또는 이그레스 규칙을 만드는 경우 토큰 메서드에 승인이 없으므로 ID 유형을 ANY_IDENTITY로 설정해야 합니다.
VPC 서비스 제어가 IAM에서 작동하는 방법에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 테이블에서 보안 토큰 서비스를 참조하세요.
Privileged Access Manager API 보호 지원
VPC 서비스 제어를 사용하여 Privileged Access Manager 리소스를 보호할 수 있습니다. Privileged Access Manager 리소스에는 다음이 포함됩니다.
- 자격
- Grants
VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준이나 조직 수준의 Privileged Access Manager 리소스를 보호할 수 없습니다. VPC 서비스 제어는 프로젝트 수준의 Privileged Access Manager 리소스를 보호합니다.
VPC 서비스 제어가 Privileged Access Manager와 함께 작동하는 방식에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 표의 Privileged Access Manager 항목을 참조하세요.
다음 단계
- 서비스 경계 생성 방법 알아보기