IAM mit VPC Service Controls schützen

Mit VPC Service Controls können Sie Perimeter erstellen, die Grenzen Ihrer Google Cloud-Ressourcen darstellen. Sie können dann Sicherheitsrichtlinien definieren, die verhindern, dass von außerhalb des Perimeters unterstützte Dienste aufgerufen werden. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.

Sie können VPC Service Controls verwenden, um folgende IAM-bezogenen APIs zu schützen:

  • IAM API
  • Security Token Service API

IAM API schützen

Sie können Ihre IAM-Ressourcen (Identity and Access Management) mit VPC Service Controls sichern. IAM-Ressourcen umfassen:

  • Benutzerdefinierte Rollen
  • Dienstkontoschlüssel
  • Dienstkonten
  • Identitätspools für Arbeitslasten

Wie VPC Service Controls mit IAM funktioniert

Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören die Verwaltung von benutzerdefinierten IAM-Rollen, die Verwaltung von Arbeitslast-Identitätspools und die Verwaltung von Dienstkonten und Schlüsseln. Der Perimeter schränkt keine Aktionen ein, die andere APIs verwenden, darunter:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API (einschließlich der Legacy-Methoden signBlob und signJwt in der IAM API)

Der Perimeter um IAM beschränkt nicht das Abrufen oder Festlegen von Zulassungsrichtlinien für Ressourcen, die anderen Diensten wie Compute Engine-VM-Instanzen gehören. Um das Abrufen und Festlegen von Zulassungsrichtlinien für diese Ressourcen zu beschränken, erstellen Sie einen Perimeter, der den Dienst beschränkt, der die Ressourcen besitzt. Eine Liste der Ressourcen, die Zulassungsrichtlinien annehmen, und der Dienste, denen sie gehören, finden Sie unter Ressourcentypen, die Zulassungsrichtlinien annehmen.

Weitere Informationen zur Funktionsweise von VPC Service Controls mit IAM finden Sie im IAM-Eintrag in der Tabelle der unterstützten VPC Service Control-Produkte.

Security Token Service API sichern

Sie können den Schutz von Tokens mit VPC Service Controls sichern.

Wenn Sie die Security Token Service API mit einem Perimeter einschränken, können nur folgende Entitäten Tokens austauschen:

  • Ressourcen innerhalb desselben Perimeters wie der Workload Identity-Pool, den Sie zum Austausch des Tokens nutzen
  • Hauptkonten mit den im Dienstperimeter definierten Attributen

Weitere Informationen zur Funktionsweise von VPC Service Controls mit IAM finden Sie im Eintrag Security Token Service in der Tabelle der von VPC Service Controls unterstützten Produkten.

Nächste Schritte