Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud . Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.
Use o VPC Service Controls para proteger as seguintes APIs relacionadas ao IAM:
- API Identity and Access Management
- API Security Token Service
- API Privileged Access Manager
Proteger a API Identity and Access Management
É possível proteger os seguintes recursos do Identity and Access Management (IAM) usando o VPC Service Controls:
- Papéis personalizados
- Chaves da conta de serviço
- Contas de serviço
- Pools de identidade da carga de trabalho
- Políticas de negação
- Vinculações de políticas para políticas de limite de acesso principal
Como o VPC Service Controls funciona com o IAM
Quando você restringe o IAM com um perímetro, apenas as ações que usam a API IAM são restritas. Essas ações incluem o seguinte:
- Gerenciar papéis personalizados do IAM
- Como gerenciar pools de identidade da carga de trabalho
- Como gerenciar contas de serviço e chaves
- Como gerenciar políticas de negação
- Como gerenciar vinculações de políticas para políticas de limite de acesso principal
O perímetro não restringe ações relacionadas a pools de força de trabalho e políticas de limite de acesso de principal porque esses recursos são criados no nível da organização.
O perímetro também não restringe o gerenciamento de políticas de permissão para recursos pertencentes a outros serviços, como projetos, pastas e organizações do Resource Manager ou instâncias de máquina virtual do Compute Engine. Para restringir o gerenciamento de políticas de permissão para esses recursos, crie um perímetro que restrinja o serviço ao qual os recursos pertencem. Para ver uma lista de recursos que aceitam políticas de permissão e os serviços que os possuem, consulte Tipos de recursos que aceitam políticas de permissão.
Além disso, o perímetro não restringe ações que usam outras APIs, incluindo:
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (incluindo os métodos legados
signBlobesignJwtna API IAM)
Para mais detalhes sobre como o VPC Service Controls funciona com o IAM, consulte a entrada do IAM na tabela de produtos compatíveis com o VPC Service Controls.
Proteger a API Security Token Service
É possível proteger as trocas de token usando o VPC Service Controls.
Ao restringir a API Security Token Service com um perímetro, somente as seguintes entidades podem trocar tokens:
- Recursos no mesmo perímetro do pool de identidades da carga de trabalho que você está usando para trocar o token
- Participantes com os atributos definidos no perímetro de serviço
Ao criar uma regra de entrada ou saída para permitir trocas de tokens, defina o tipo de identidade como ANY_IDENTITY porque o método token não tem autorização.
Para mais detalhes sobre como o VPC Service Controls funciona com o IAM, consulte a entrada do Serviço de token de segurança na tabela de produtos compatíveis do VPC Service Controls.
Proteger a API Privileged Access Manager
É possível proteger os recursos do Privileged Access Manager usando o VPC Service Controls. Os recursos do Privileged Access Manager incluem:
- Direitos de acesso
- Concessões
O VPC Service Controls não oferece suporte à adição de recursos no nível da pasta ou da organização para um perímetro de serviço. Não é possível usar um perímetro para proteger recursos do Privileged Access Manager no nível da pasta ou da organização. O VPC Service Controls protege os recursos do Privileged Access Manager para envolvidos no projeto.
Para mais detalhes sobre como o VPC Service Controls funciona com o Privileged Access Manager, consulte a entrada do Privileged Access Manager na tabela de produtos compatíveis com o VPC Service Controls.
A seguir
- Saiba como criar um perímetro de serviço.