Con los Controles del servicio de VPC, puedes crear perímetros, que son límites para tus recursos de Google Cloud . Luego, puedes definir políticas de seguridad que ayuden a evitar el acceso a los servicios compatibles fuera del perímetro. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.
Puedes usar los Controles del servicio de VPC para ayudar a proteger las siguientes API relacionadas con IAM:
- API de Identity and Access Management
- API del servicio de token de seguridad
- API de Privileged Access Manager
Ayuda a proteger la API de Identity and Access Management
Puedes ayudar a proteger los siguientes recursos de Identity and Access Management (IAM) con los Controles del servicio de VPC:
- Funciones personalizadas
- Claves de cuenta de servicio
- Cuentas de servicio
- Grupos de Workload Identity
- Políticas de denegación
- Vinculaciones de políticas para las políticas de límite de acceso de las principales
Cómo funcionan los Controles del servicio de VPC con IAM
Cuando restringes IAM con un perímetro, solo se restringen las acciones que usan la API de IAM. Estas acciones incluyen lo siguiente:
- Administra roles personalizados de IAM
- Administra grupos de Workload Identity
- Administra cuentas de servicio y claves
- Administra las políticas de denegación
- Administración de las vinculaciones de políticas para las políticas de límite de acceso de las principales
El perímetro no restringe las acciones relacionadas con los grupos de trabajadores y las políticas de límite de acceso de las principales porque esos recursos se crean a nivel de la organización.
El perímetro tampoco restringe la administración de políticas de permisos para recursos que son propiedad de otros servicios, como proyectos, carpetas y organizaciones de Resource Manager o instancias de máquina virtual de Compute Engine. Para restringir la administración de políticas de permisos para estos recursos, crea un perímetro que restrinja el servicio al que pertenecen los recursos. Para obtener una lista de los recursos que aceptan políticas de permisos y los servicios que los contienen, consulta Tipos de recursos que aceptan políticas de permisos.
Además, el perímetro no restringe las acciones que usan otras API, incluidas las siguientes:
- API del Policy Simulator de IAM
- API del solucionador de problemas de políticas de IAM
- API del servicio de token de seguridad
- API de Service Account Credentials (incluidos los métodos
signBlob
ysignJwt
heredados en la API de IAM)
Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con IAM, consulta la entrada de IAM en la tabla de productos compatibles con los Controles del servicio de VPC.
Ayuda a proteger la API del servicio de token de seguridad
Puedes ayudar a proteger los intercambios de tokens mediante los Controles del servicio de VPC.
Cuando restringes la API del servicio de token de seguridad con un perímetro, solo las siguientes entidades pueden intercambiar tokens:
- Recursos dentro del mismo perímetro que el grupo de Workload Identity que usas para intercambiar el token
- Principales con los atributos definidos en el perímetro de servicio
Cuando creas una regla de entrada o salida para permitir intercambios de tokens, debes establecer el tipo de identidad en ANY_IDENTITY
, ya que el método token no tiene autorización.
Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con IAM, consulta la entrada Servicio de token de seguridad en la tabla de productos compatibles con los Controles del servicio de VPC.
Ayuda a proteger la API de Privileged Access Manager
Puedes ayudar a proteger tus recursos de Privileged Access Manager con los Controles del servicio de VPC. Los recursos de Privileged Access Manager incluyen los siguientes:
- Autorizaciones
- Permisos
Los Controles del servicio de VPC no admiten agregar recursos a nivel de carpeta o de organización a un perímetro de servicio. No puedes usar un perímetro para proteger los recursos del Administrador de acceso con privilegios a nivel de la carpeta o de la organización. Los Controles del servicio de VPC protegen los recursos de Privileged Access Manager a nivel del proyecto.
Para obtener más detalles sobre cómo funcionan los Controles del servicio de VPC con Privileged Access Manager, consulta la entrada de Privileged Access Manager en la tabla de productos compatibles con los controles del servicio de VPC.
¿Qué sigue?
- Obtén más información para crear un perímetro de servicio.