VPC 서비스 제어는 인그레스 및 이그레스 규칙을 사용하여 서비스 경계 내 리소스와 클라이언트의 액세스를 제어합니다. 액세스를 더 세분화하려면 인그레스 및 이그레스 규칙에서 지원되는 ID를 지정하면 됩니다.
이 페이지에는 VPC 서비스 제어에서 지원하는 ID와 ID 형식 목록이 나와 있습니다.
지원되는 ID
VPC 서비스 제어는 IAM v1 API를 사용하는 허용 정책의 주 구성원 식별자에서 다음 ID를 지원합니다.
| ID 유형 | 주 구성원 유형 | 식별자 |
|---|---|---|
| 단일 주 구성원 | 사용자 계정 | user:USER_EMAIL_ADDRESS |
| 서비스 계정 | serviceAccount:SA_EMAIL_ADDRESS |
|
| ID 그룹 및 서드 파티 ID | 그룹 | group:GROUP_EMAIL_ADDRESS |
| 직원 ID 풀의 단일 ID | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| 그룹의 모든 직원 ID | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| 특정 속성 값을 가진 모든 직원 ID | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 직원 ID 풀의 모든 ID | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| 워크로드 아이덴티티 풀의 단일 ID | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| 워크로드 아이덴티티 풀 그룹 | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| 특정 속성이 있는 워크로드 아이덴티티 풀의 모든 ID | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 워크로드 아이덴티티 풀의 모든 ID | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| 에이전트 ID (미리보기) | 상담사 ID (미리보기) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| 특정 속성이 있는 신뢰 도메인의 모든 에이전트 ID (미리보기) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 신뢰 도메인의 모든 에이전트 ID (미리보기) | principalSet://TRUST_DOMAIN/* |
이러한 ID에 대한 자세한 내용은 허용 정책의 주 구성원 식별자를 참조하세요.
VPC 서비스 제어는 서드 파티 직원 및 워크로드 ID에 대해 다음 SPIFFE 형식도 지원합니다.
| ID 유형 | 주 구성원 유형 | 식별자 |
|---|---|---|
| SPIFFE 형식의 직원 ID (미리보기) | 직원 ID 풀의 단일 ID (미리보기) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 특정 속성이 있는 트러스트 도메인으로서의 직원 ID 풀의 모든 ID (미리보기) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 직원 ID 풀의 모든 ID를 신뢰 도메인으로 사용 (미리보기) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| SPIFFE 형식의 워크로드 아이덴티티 (미리보기) | 워크로드 아이덴티티 풀의 단일 ID (미리보기) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 특정 속성이 있는 트러스트 도메인으로서의 워크로드 아이덴티티 풀의 모든 ID (미리보기) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 워크로드 아이덴티티 풀의 모든 ID를 신뢰 도메인으로 사용 (미리보기) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |