Con Controles de Servicio de VPC, puedes crear perímetros, que son límites alrededor de tus recursos de Google Cloud . Después, puedes definir políticas de seguridad que ayuden a evitar el acceso a los servicios admitidos desde fuera del perímetro. Para obtener más información sobre Controles de Servicio de VPC, consulta la descripción general de Controles de Servicio de VPC.
Puedes usar Controles de Servicio de VPC para proteger las siguientes APIs relacionadas con la gestión de identidades y accesos:
- API de gestión de identidades y accesos
- API Security Token Service
- API Privileged Access Manager
Ayuda a proteger la API de gestión de identidades y accesos
Puedes proteger los siguientes recursos de gestión de identidades y accesos (IAM) mediante Controles de Servicio de VPC:
- Roles personalizados
- Claves de cuenta de servicio
- Cuentas de servicio
- Grupos de identidades de carga de trabajo
- Políticas de denegación
- Vinculaciones de políticas de límites de acceso de principales
Cómo funcionan los Controles de Servicio de VPC con la gestión de identidades y accesos
Cuando restringes la gestión de identidades y accesos con un perímetro, solo se restringen las acciones que usan la API de gestión de identidades y accesos. Entre ellas se incluyen las siguientes:
- Gestionar roles de gestión de identidades y accesos personalizados
- Gestionar grupos de identidades de carga de trabajo
- Gestionar cuentas de servicio y claves
- Gestionar políticas de denegación
- Gestionar las vinculaciones de políticas de las políticas de límites de acceso de principales
El perímetro no restringe las acciones relacionadas con los grupos de trabajadores y las políticas de límite de acceso de principales, ya que esos recursos se crean a nivel de organización.
El perímetro tampoco restringe la gestión de políticas de permiso para los recursos propiedad de otros servicios, como proyectos, carpetas y organizaciones de Resource Manager, o instancias de máquina virtual de Compute Engine. Para restringir la gestión de la política de permiso de estos recursos, crea un perímetro que restrinja el servicio propietario de los recursos. Para ver una lista de los recursos que aceptan políticas de permiso y los servicios a los que pertenecen, consulta Tipos de recursos que aceptan políticas de permiso.
Además, el perímetro no restringe las acciones que usan otras APIs, como las siguientes:
- API Policy Simulator de Gestión de Identidades y Accesos
- API Policy Troubleshooter de Gestión de Identidades y Accesos
- API Security Token Service
- API Service Account Credentials (incluidos los métodos antiguos
signBlobysignJwtde la API IAM)
Para obtener más información sobre cómo funciona Controles de Servicio de VPC con IAM, consulta la entrada de IAM en la tabla de productos compatibles con Controles de Servicio de VPC.
Proteger la API Security Token Service
Puedes proteger los intercambios de tokens con Controles de Servicio de VPC.
Cuando restringes la API Security Token Service con un perímetro, solo las siguientes entidades pueden intercambiar tokens:
- Recursos que estén en el mismo perímetro que el grupo de identidades de carga de trabajo que estés usando para intercambiar el token
- Principales con los atributos definidos en el perímetro de servicio
Cuando creas una regla de entrada o salida para permitir intercambios de tokens, debes definir el tipo de identidad como ANY_IDENTITY, ya que el método token no tiene autorización.
Para obtener más información sobre cómo funciona Controles de Servicio de VPC con IAM, consulta la entrada de Security Token Service en la tabla de productos compatibles con Controles de Servicio de VPC.
Ayuda a proteger la API Privileged Access Manager
Puedes proteger tus recursos de Privileged Access Manager mediante Controles de Servicio de VPC. Entre los recursos de Privileged Access Manager se incluyen los siguientes:
- Derechos
- Concesiones
Controles de Servicio de VPC no admite la adición de recursos a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger recursos de Privileged Access Manager a nivel de carpeta o de organización. Controles de Servicio de VPC protege los recursos de Gestor de Acceso Privilegiado a nivel de proyecto.
Para obtener más información sobre cómo funciona Controles de Servicio de VPC con Privileged Access Manager, consulta la entrada de Privileged Access Manager en la tabla de productos compatibles con Controles de Servicio de VPC.
Siguientes pasos
- Consulta cómo crear un perímetro de servicio.