Con los Controles del servicio de VPC, puedes crear perímetros, que son límites para tus recursos de Google Cloud. Luego, puedes definir políticas de seguridad que ayuden a evitar el acceso a los servicios compatibles fuera del perímetro. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.
Puedes usar los Controles del servicio de VPC para ayudar a proteger las siguientes API relacionadas con IAM:
- API de IAM
- API del servicio de token de seguridad
Ayuda a proteger la API de IAM
Puedes ayudar a proteger tus recursos de Identity and Access Management (IAM) mediante los Controles del servicio de VPC. Los recursos de IAM incluyen los siguientes elementos:
- Funciones personalizadas
- Claves de cuenta de servicio
- Cuentas de servicio
- Grupos de Workload Identity
Cómo funcionan los Controles del servicio de VPC con IAM
Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen la administración de roles IAM personalizados, la administración de los grupos de Workload Identity y la administración de cuentas de servicio y claves. El perímetro no restringe las acciones de los grupos de trabajadores porque estos son recursos a nivel de la organización.
El perímetro alrededor de IAM no restringe la administración de acceso (es decir, la obtención o la configuración de políticas de IAM) para los recursos que son propiedad de otros servicios, como proyectos, carpetas y organizaciones de Resource Manager. Instancias de máquina virtual de Compute Engine. A fin de restringir la administración de acceso para estos recursos, crea un perímetro que restrinja el servicio al que pertenecen los recursos. Para obtener una lista de los recursos que aceptan políticas de IAM y los servicios que los contienen, consulta Tipos de recursos que aceptan políticas de permisos.
Además, el perímetro no restringe las acciones que usan otras API, incluidas las siguientes:
- API del Policy Simulator de IAM
- API del solucionador de problemas de políticas de IAM
- API del servicio de token de seguridad
- API de Service Account Credentials (incluidos los métodos
signBlob
ysignJwt
heredados en la API de IAM)
Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con IAM, consulta la entrada de IAM en la tabla de productos compatibles con los Controles del servicio de VPC.
Ayuda a proteger la API del servicio de token de seguridad
Puedes ayudar a proteger los intercambios de tokens mediante los Controles del servicio de VPC.
Cuando restringes la API del servicio de token de seguridad con un perímetro, solo las siguientes entidades pueden intercambiar tokens:
- Recursos dentro del mismo perímetro que el grupo de Workload Identity que usas para intercambiar el token
- Principales con los atributos definidos en el perímetro de servicio
Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con IAM, consulta la entrada Servicio de token de seguridad en la tabla de productos compatibles con los Controles del servicio de VPC.
¿Qué sigue?
- Obtén más información para crear un perímetro de servicio.