VPC Service Controls verwendet Regeln für ein- und ausgehenden Traffic, um den Zugriff auf und von Ressourcen und Clients innerhalb von Dienstperimetern zu steuern. Um den Zugriff weiter einzuschränken, können Sie unterstützte Identitäten in Regeln für ein- und ausgehenden Traffic angeben.
Auf dieser Seite werden die von VPC Service Controls unterstützten Identitäten und ihre Kennungsformate aufgeführt.
Unterstützte Identitäten
VPC Service Controls unterstützt die folgenden Identitäten aus Hauptkonto-IDs für Zulassungsrichtlinien, für die die IAM v1 API verwendet wird:
| Identitätstyp | Hauptkonto-Typ | ID |
|---|---|---|
| Einzelne Hauptkonten | Nutzerkonten | user:USER_EMAIL_ADDRESS |
| Dienstkonten | serviceAccount:SA_EMAIL_ADDRESS |
|
| Identitätsgruppen und Drittanbieteridentitäten | Gruppe | group:GROUP_EMAIL_ADDRESS |
| Einzelne Identität in einem Mitarbeiteridentitätspool | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Alle Mitarbeiteridentitäten in einer Gruppe | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| Alle Mitarbeiteridentitäten mit einem bestimmten Attributwert | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Alle Identitäten in einem Mitarbeiteridentitätspool | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| Einzelne Identität in einem Workload Identity-Pool | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Workload Identity-Pool-Gruppe | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| Alle Identitäten in einem Workload Identity-Pool mit einem bestimmten Attribut | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Alle Identitäten in einem Workload Identity-Pool | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| Agent-Identitäten (Vorschau) | Agent-Identität (Vorschau) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| Alle Agent-Identitäten in einer Vertrauenswürdigkeitsdomain mit einem bestimmten Attribut (Vorschau) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Alle Agent-Identitäten in einer Vertrauensdomäne (Vorabversion) | principalSet://TRUST_DOMAIN/* |
Weitere Informationen zu diesen Identitäten finden Sie unter Hauptkontokennungen für Zulassungsrichtlinien.
VPC Service Controls unterstützt auch die folgenden SPIFFE-Formate für Mitarbeiter- und Workload-Identitäten von Drittanbietern:
| Identitätstyp | Hauptkonto-Typ | ID |
|---|---|---|
| Mitarbeiteridentitäten im SPIFFE-Format (Vorschau) | Einzelne Identität in einem Workforce Identity-Pool (Vorschau) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Alle Identitäten in einem Mitarbeiteridentitätspool als Vertrauensbereich mit einem bestimmten Attribut (Vorschau) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Alle Identitäten in einem Mitarbeiteridentitätspool als vertrauenswürdige Domain (Vorschau) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| Workload Identitys im SPIFFE-Format (Vorschau) | Einzelne Identität in einem Workload Identity-Pool (Vorschau) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Alle Identitäten in einem Workload Identity-Pool als Vertrauensbereich mit einem bestimmten Attribut (Vorschau) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Alle Identitäten in einem Workload Identity-Pool als vertrauenswürdige Domain (Vorschau) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |