IAM mit VPC Service Controls schützen

Mit VPC Service Controls können Sie Perimeter erstellen, die sich um Ihre Google Cloud-Ressourcen erstrecken. Sie können dann Sicherheitsrichtlinien definieren, mit denen der Zugriff auf unterstützte Dienste von außerhalb des Perimeters verhindert wird. Weitere Informationen zu VPC Service Controls finden Sie in der Übersicht zu VPC Service Controls.

Sie können VPC Service Controls verwenden, um folgende IAM-bezogenen APIs zu schützen:

  • IAM API
  • Security Token Service API

IAM API schützen

Sie können Ihre IAM-Ressourcen (Identity and Access Management) mithilfe von VPC Service Controls schützen. IAM-Ressourcen umfassen Folgendes:

  • Benutzerdefinierte Rollen
  • Dienstkontoschlüssel
  • Dienstkonten
  • Identitätspools für Arbeitslasten

Wie VPC Service Controls mit IAM funktioniert

Wenn Sie IAM mit einem Perimeter einschränken, sind nur Aktionen eingeschränkt, die die IAM API verwenden. Zu diesen Aktionen gehören die Verwaltung von benutzerdefinierten IAM-Rollen, die Verwaltung von Arbeitslast-Identitätspools und die Verwaltung von Dienstkonten und Schlüsseln. Der Perimeter schränkt keine Aktionen von Personalpools ein, da diese Pools Ressourcen auf Organisationsebene sind.

Der Perimeter um IAM beschränkt nicht die Zugriffsverwaltung (d. h. IAM-Richtlinien abrufen oder festlegen) für Ressourcen, die anderen Diensten wie Resource Manager-Projekten, -Ordnern und -Organisationen gehören, oder Compute Engine-VM-Instanzen. Um die Zugriffsverwaltung für diese Ressourcen zu beschränken, erstellen Sie einen Perimeter, der den Dienst beschränkt, der die Ressourcen besitzt. Eine Liste der Ressourcen, die IAM-Richtlinien annehmen, und der Dienste, denen sie gehören, finden Sie unter Ressourcentypen, die Zulassungsrichtlinien annehmen.

Außerdem beschränkt der Perimeter keine Aktionen, die andere APIs verwenden, darunter:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API (einschließlich der Legacy-Methoden signBlob und signJwt in der IAM API)

Weitere Informationen zur Funktionsweise von VPC Service Controls mit IAM finden Sie im IAM-Eintrag in der Tabelle der unterstützten VPC Service Control-Produkte.

Security Token Service API schützen

Sie können den Schutz von Tokens mit VPC Service Controls sichern.

Wenn Sie die Security Token Service API mit einem Perimeter einschränken, können nur folgende Entitäten Tokens austauschen:

  • Ressourcen innerhalb desselben Perimeters wie der Workload Identity-Pool, den Sie zum Austausch des Tokens nutzen
  • Hauptkonten mit den im Dienstperimeter definierten Attributen

Weitere Informationen zur Funktionsweise von VPC Service Controls mit IAM finden Sie im Eintrag Security Token Service in der Tabelle der von VPC Service Controls unterstützten Produkten.

Nächste Schritte