Ayudar a proteger IAM con los Controles del servicio de VPC

Puedes ayudar a proteger tus recursos de Identity and Access Management (IAM) mediante los Controles del servicio de VPC. Los recursos de IAM incluyen los siguientes elementos:

  • Funciones personalizadas
  • Claves de cuenta de servicio
  • Cuentas de servicio
  • Grupos de Workload Identity

Con los Controles del servicio de VPC, puedes crear perímetros, que son límites para tus recursos de Google Cloud. Luego, puedes definir políticas de seguridad que ayuden a evitar el acceso a los servicios compatibles fuera del perímetro. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.

Cómo funcionan los Controles del servicio de VPC con IAM

Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen la administración de las funciones de IAM personalizadas, la administración de los grupos de Workload Identity, y las cuentas y las claves de servicio. El perímetro no restringe las acciones que usan otras API, incluidas las siguientes:

  • API del Policy Simulator de IAM
  • API del solucionador de problemas de políticas de IAM
  • API del servicio de token de seguridad
  • API de Service Account Credentials (incluidos los métodos signBlob y signJwt heredados en la API de IAM)

El perímetro alrededor de IAM no restringe la obtención ni la configuración de políticas de IAM para recursos que pertenecen a otros servicios, como instancias de máquinas virtuales de Compute Engine. A fin de restringir el acceso y la configuración de políticas de IAM para estos recursos, crea un perímetro que restrinja el servicio al que pertenecen los recursos. Para obtener una lista de los recursos que aceptan políticas de IAM y los servicios que los contienen, consulta Tipos de recursos que aceptan políticas de IAM.

Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con IAM, consulta la entrada de IAM en la tabla de productos compatibles con los Controles del servicio de VPC.

¿Qué sigue?