Identità supportate per le regole in entrata e in uscita

I Controlli di servizio VPC utilizzano regole in entrata e in uscita per controllare l'accesso alle risorse e ai client all'interno dei perimetri di servizio. Per perfezionare ulteriormente l'accesso, puoi specificare le identità supportate nelle regole in entrata e in uscita.

Questa pagina elenca le identità supportate dai Controlli di servizio VPC e i relativi formati degli identificatori.

Identità supportate

I Controlli di servizio VPC supportano le seguenti identità dagli identificatori delle entità per le policy di autorizzazione, che utilizzano l'API v1 IAM:

Tipo di identità Tipo di entità Identificatore
Entità singole Account utente user:USER_EMAIL_ADDRESS
Service account serviceAccount:SA_EMAIL_ADDRESS
Gruppi di identità e identità di terze parti Gruppo group:GROUP_EMAIL_ADDRESS
Singola identità in un pool di identità della forza lavoro principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
Tutte le identità della forza lavoro in un gruppo principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
Tutte le identità della forza lavoro con un valore di attributo specifico principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Tutte le identità in un pool di identità della forza lavoro principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
Singola identità in un pool di identità del workload principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
Gruppo di pool di identità del workload principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
Tutte le identità in un pool di identità del workload con un determinato attributo principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Tutte le identità in un pool di identità del workload principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
Identità agente (anteprima) Identità dell'agente (anteprima) principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER
Tutte le identità agente in un dominio attendibile con un determinato attributo (anteprima) principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Tutte le identità agente in un dominio attendibile (anteprima) principalSet://TRUST_DOMAIN/*

Per ulteriori informazioni su queste identità, consulta Identificatori delle entità per le policy di autorizzazione.

I Controlli di servizio VPC supportano anche i seguenti formati SPIFFE per le identità di forza lavoro e workload di terze parti:

Tipo di identità Tipo di entità Identificatore
Identità della forza lavoro nel formato SPIFFE (anteprima) Singola identità in un pool di identità della forza lavoro (anteprima) principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE
Tutte le identità in un pool di identità della forza lavoro come dominio attendibile con un determinato attributo (anteprima) principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Tutte le identità in un pool di identità della forza lavoro come dominio di trust (anteprima) principalSet://POOL_ID.global.workforce.id.goog/*
Identità del workload in formato SPIFFE (anteprima) Singola identità in un pool di identità del workload (anteprima) principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE
Tutte le identità in un pool di identità del workload come dominio attendibile con un determinato attributo (anteprima) principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
Tutte le identità in un pool di identità del workload come dominio attendibile (anteprima) principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/*

Passaggi successivi