VPC Service Controls による IAM の保護

VPC Service Controls を使用すると、Google Cloud リソースを囲む境界線となる境界を作成できます。その後、サポートされるサービスに境界外からアクセスできないようにするセキュリティ ポリシーを定義できます。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。

VPC Service Controls を使用して、次の IAM 関連の API を保護できます。

  • IAM API
  • Security Token Service API

IAM API の保護

VPC Service Controls を使用して、Identity and Access Management(IAM)リソースを保護できます。IAM リソースには次のものがあります。

  • カスタムロール
  • サービス アカウント キー
  • サービス アカウント
  • Workload Identity プール

VPC Service Controls と IAM の連携の仕組み

境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。ワークフォース プールは組織レベルのリソースであるため、境界によってワークフォース プールの処理が制限されることはありません。

IAM 周囲の境界では、Resource Manager プロジェクト、フォルダ、組織、Compute Engine 仮想マシン インスタンスなどの他のサービスが所有するリソースのアクセス管理(つまり、IAM ポリシーの取得や設定)は制限されません。これらのリソースのアクセス管理を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、許可ポリシーを受け入れるリソースタイプをご覧ください。

また、境界は次のような他の API を使用するアクションを制限しません

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API(IAM API のレガシー signBlob メソッドと signJwt メソッドを含む)

VPC Service Controls と IAM の連携の詳細については、VPC Service Controls でサポートされるプロダクトの表で IAM エントリをご覧ください。

Security Token Service API の保護

VPC Service Controls を使用してトークンの交換を保護できます。

Security Token Service API を境界で制限した場合、トークンを交換できるのは次のエンティティのみです。

  • トークンの交換に使用している Workload Identity プールと同じ境界内のリソース
  • サービス境界で定義された属性を持つプリンシパル

VPC Service Controls と IAM の連携の詳細については、VPC Service Controls でサポートされるプロダクトの表で Security Token Service をご覧ください。

次のステップ