Aider à sécuriser IAM avec VPC Service Controls

Vous pouvez contribuer à sécuriser vos ressources Identity and Access Management (IAM) à l'aide de VPC Service Controls. Les ressources IAM incluent les éléments suivants :

  • Rôles personnalisés
  • Clés de compte de service
  • Comptes de service
  • Pools d'identités de charge de travail

VPC Service Controls vous permet de créer des périmètres, qui sont des limites autour de vos ressources Google Cloud. Vous pouvez ensuite définir des règles de sécurité qui empêchent l'accès aux services compatibles depuis l'extérieur du périmètre. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.

Fonctionnement de VPC Service Controls avec IAM

Lorsque vous limitez la portée d'IAM avec un périmètre, seules les actions qui utilisent l'API IAM sont limitées. Ces actions incluent la gestion des rôles IAM personnalisés, la gestion des pools d'identités de charge de travail, ainsi que la gestion des comptes de service et des clés. Le périmètre ne limite pas les actions qui utilisent d'autres API, telles que les suivantes :

  • API IAM Policy Simulator
  • API IAM Policy Troubleshooter
  • API Security Token Service
  • API Service Account Credentials (y compris les anciennes méthodes signBlob et signJwt dans l'API IAM)

Le périmètre autour d'IAM ne limite pas non plus l'obtention ni la définition de stratégies IAM pour les ressources appartenant à d'autres services, tels que des instances de machines virtuelles Compute Engine. Pour restreindre l'obtention et la définition de stratégies IAM pour ces ressources, créez un périmètre qui limite le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies IAM et les services qui les possèdent, consultez la section Types de ressources compatibles avec les stratégies IAM.

Pour en savoir plus sur le fonctionnement de VPC Service Controls avec IAM, consultez l'entrée IAM dans le tableau des produits compatibles avec VPC Service Controls.

Étape suivante