Mit VPC Service Controls können Sie Perimeter erstellen, die sich um Ihre Google Cloud Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.
Sie können VPC Service Controls verwenden, um folgende IAM-bezogenen APIs zu schützen:
- Identity and Access Management API
- Security Token Service API
- Privileged Access Manager API
Identity and Access Management API schützen
Sie können die folgenden IAM-Ressourcen (Identity and Access Management) mithilfe von VPC Service Controls schützen:
- Benutzerdefinierte Rollen
- Dienstkontoschlüssel
- Dienstkonten
- Identitätspools für Arbeitslasten
- Ablehnungsrichtlinien
- Richtlinienbindungen für Principal Access Boundary-Richtlinien
Wie VPC Service Controls mit IAM funktioniert
Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören:
- Benutzerdefinierte IAM-Rollen verwalten
- Workload Identity-Pools verwalten
- Dienstkonten und Schlüssel verwalten
- Ablehnungsrichtlinien verwalten
- Richtlinienbindungen für Principal Access Boundary-Richtlinien verwalten
Der Perimeter schränkt keine Aktionen im Zusammenhang mit Personalpools und Principal Access Boundary-Richtlinien ein, da diese Ressourcen auf Organisationsebene erstellt werden.
Der Perimeter beschränkt nicht die Verwaltung von Zulassungsrichtlinien für Ressourcen, die anderen Diensten wie Resource Manager-Projekten, -Ordnern und -Organisationen oder Compute Engine-VM-Instanzen gehören. Um die Verwaltung von Zulassungsrichtlinien für diese Ressourcen einzuschränken, erstellen Sie einen Perimeter, der den Dienst einschränkt, der die Ressourcen besitzt. Eine Liste der Ressourcen, die Zulassungsrichtlinien annehmen, und der Dienste, denen sie gehören, finden Sie unter Ressourcentypen, die Zulassungsrichtlinien annehmen.
Außerdem werden keine Aktionen eingeschränkt, die andere APIs verwenden, darunter:
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API (einschließlich der Legacy-Methoden
signBlobundsignJwtin der IAM API)
Weitere Informationen zur Funktionsweise von VPC Service Controls mit IAM finden Sie im IAM-Eintrag in der Tabelle der unterstützten VPC Service Control-Produkte.
Security Token Service API schützen
Sie können den Schutz von Tokens mit VPC Service Controls sichern.
Wenn Sie die Security Token Service API mit einem Perimeter einschränken, können nur folgende Entitäten Tokens austauschen:
- Ressourcen innerhalb desselben Perimeters wie der Workload Identity-Pool, den Sie zum Austausch des Tokens nutzen
- Hauptkonten mit den im Dienstperimeter definierten Attributen
Wenn Sie eine Eingangs- oder Ausgangsregel erstellen, um den Austausch von Tokens zu ermöglichen, müssen Sie den Identitätstyp auf ANY_IDENTITY festlegen, da die Token-Methode keine Autorisierung hat.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit IAM finden Sie im Eintrag Security Token Service in der Tabelle der von VPC Service Controls unterstützten Produkten.
Privileged Access Manager API schützen
Sie können Ihre Privileged Access Manager-Ressourcen mithilfe von VPC Service Controls schützen. Privileged Access Manager-Ressourcen umfassen Folgendes:
- Berechtigungen
- Erteilungen
VPC Service Controls unterstützt nicht das Hinzufügen von Ressourcen auf Ordner- oder Organisationsebene zu einem Dienstperimeter. Sie können keinen Perimeter verwenden, um Privileged Access Manager-Ressourcen auf Ordner- oder Organisationsebene zu schützen. VPC Service Controls schützt Privileged Access Manager-Ressourcen auf Projektebene.
Weitere Informationen zur Funktionsweise von VPC Service Controls mit Privileged Access Manager finden Sie im Privileged Access Manager-Eintrag in der Tabelle der unterstützten VPC Service Control-Produkte.