IAM mit VPC Service Controls schützen

Sie können Ihre IAM-Ressourcen (Identity and Access Management) mithilfe von VPC Service Controls schützen. IAM-Ressourcen umfassen Folgendes:

  • Benutzerdefinierte Rollen
  • Dienstkontoschlüssel
  • Dienstkonten
  • Identitätspools für Arbeitslasten

Mit VPC Service Controls können Sie Perimeter erstellen, die Grenzen Ihrer Google Cloud-Ressourcen darstellen. Anschließend können Sie Sicherheitsrichtlinien definieren, die den Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindern. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.

Funktionsweise von VPC Service Controls mit IAM

Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören das Verwalten von benutzerdefinierten IAM-Rollen, Verwalten von Workload Identity-Pools und von Dienstkonten und Schlüsseln. Der Perimeter schränkt keine Aktionen ein, die andere APIs verwenden, darunter:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API (einschließlich der Legacy-Methoden signBlob und signJwt in der IAM API)

Der Perimeter um IAM beschränkt nicht das Abrufen oder Festlegen von IAM-Richtlinien für Ressourcen, die anderen Diensten wie Compute Engine-VM-Instanzen gehören. Wenn Sie das Abrufen und Festlegen von IAM-Richtlinien für diese Ressourcen einschränken möchten, erstellen Sie einen Perimeter, der den Dienst einschränkt, dem die Ressourcen gehören. Eine Liste der Ressourcen, die IAM-Richtlinien akzeptieren, und der Dienste, die sie besitzen, finden Sie unter Ressourcentypen, die IAM-Richtlinien akzeptieren.

Weitere Informationen zur Funktionsweise von VPC Service Controls mit IAM finden Sie in der Tabelle der unterstützten VPC Service Controls-Produkte.

Nächste Schritte