借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
您可以使用 VPC Service Controls 来帮助保护以下与 IAM 相关的 API:
- Identity and Access Management API
- Security Token Service API
- Privileged Access Manager API
帮助保护 Identity and Access Management API
您可以使用 VPC Service Controls 来帮助保护以下 Identity and Access Management (IAM) 资源:
- 自定义角色
- 服务账号密钥
- 服务账号
- 工作负载身份池
- 拒绝政策
- 主账号访问权限边界政策的政策绑定
VPC Service Controls 如何与 IAM 搭配使用
使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括以下内容:
- 管理自定义 IAM 角色
- 管理工作负载身份池
- 管理服务账号和密钥
- 管理拒绝政策
- 管理主账号访问权限边界政策的政策绑定
边界不会限制与员工池和 Principal Access Boundary Policy 相关的操作,因为这些资源是在组织级层创建的。
边界也不会限制其他服务拥有的资源(例如 Resource Manager 项目、文件夹和组织或 Compute Engine 虚拟机实例)的允许政策管理。如需限制这些资源的允许政策管理,请创建限制这些资源所属服务的边界。如需查看接受允许政策的资源及其所属服务的列表,请参阅接受允许政策的资源类型。
此外,边界不会限制使用其他 API 的操作,包括:
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API(包括 IAM API 中的旧版
signBlob和signJwt方法)
如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 IAM 条目。
帮助保护 Security Token Service API
您可以使用 VPC Service Controls 帮助保护令牌交换。
使用边界限制 Security Token Service API 时,只有以下实体可以交换令牌:
- 与用于交换令牌的工作负载身份池位于同一边界内的资源
- 具有服务边界中定义的属性的主账号
创建入站或出站规则以允许令牌交换时,您必须将身份类型设置为 ANY_IDENTITY,因为令牌方法没有授权。
如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 Security Token Service 条目。
帮助保护 Privileged Access Manager API
您可以使用 VPC Service Controls 来帮助保护您的 Privileged Access Manager 资源。Privileged Access Manager 资源包括:
- 权益
- 授权
VPC Service Controls 不支持将文件夹级或组织级资源添加到服务边界。您无法使用边界来保护文件夹级或组织级 Privileged Access Manager 资源。VPC Service Controls 可保护项目级 Privileged Access Manager 资源。
如需详细了解 VPC Service Controls 如何与 Privileged Access Manager 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 Privileged Access Manager 条目。
后续步骤
- 了解如何创建服务边界。