Grâce à des règles d'entrée et de sortie, VPC Service Controls contrôle l'accès vers et depuis des ressources et clients situés dans des périmètres de service. Pour affiner davantage l'accès, vous pouvez spécifier les identités compatibles dans les règles d'entrée et de sortie.
Cette page liste les identités compatibles avec VPC Service Controls et leurs formats d'identifiant.
Identités compatibles
VPC Service Controls est compatible avec les identités suivantes à partir des identifiants de compte principal pour les stratégies d'autorisation, qui utilisent l'API IAM v1 :
| Type d'identité | Type de compte principal | Identifiant |
|---|---|---|
| Comptes principaux uniques | Comptes utilisateur | user:USER_EMAIL_ADDRESS |
| Comptes de service | serviceAccount:SA_EMAIL_ADDRESS |
|
| Groupes d'identités et identités tierces | Groupe | group:GROUP_EMAIL_ADDRESS |
| Identité unique d'un pool d'identités d'employés. | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Toutes les identités d'employés d'un groupe | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| Toutes les identités d'employés porteuses d'une valeur d'attribut spécifique | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Toutes les identités d'un pool d'identités d'employés | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| Identité unique faisant partie d'un pool d'identités de charge de travail | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Groupe de pools d'identités de charge de travail | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| Toutes les identités d'un pool d'identités de charge de travail avec un certain attribut | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Toutes les identités d'un pool d'identités de charge de travail | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| Identités de l'agent (Aperçu) | Identité de l'agent (bêta) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| Toutes les identités d'agent d'un domaine de confiance avec un certain attribut (aperçu) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Toutes les identités d'agent dans un domaine de confiance (aperçu) | principalSet://TRUST_DOMAIN/* |
Pour en savoir plus sur ces identités, consultez Identifiants de compte principal pour les règles d'autorisation.
VPC Service Controls est également compatible avec les formats SPIFFE suivants pour les identités de charge de travail et des employés tierces :
| Type d'identité | Type de compte principal | Identifiant |
|---|---|---|
| Identités de personnel au format SPIFFE (bêta) | Identité unique d'un pool d'identités de personnel (bêta) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Toutes les identités d'un pool d'identités de personnel en tant que domaine approuvé avec un certain attribut (bêta) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Toutes les identités d'un pool d'identités de personnel en tant que domaine approuvé (aperçu) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| Identités de charge de travail au format SPIFFE (aperçu) | Identité unique d'un pool d'identités de charge de travail (bêta) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Toutes les identités d'un pool d'identités de charge de travail en tant que domaine approuvé avec un certain attribut (Preview) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Toutes les identités d'un pool d'identités de charge de travail en tant que domaine de confiance (Preview) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |