VPC Service Controls vous permet de créer des périmètres, qui sont des limites autour de vos ressources Google Cloud. Vous pouvez ensuite définir des règles de sécurité qui empêchent l'accès aux services compatibles depuis l'extérieur du périmètre. Pour en savoir plus sur VPC Service Controls, consultez la page Présentation de VPC Service Controls.
Vous pouvez utiliser VPC Service Controls pour sécuriser les API suivantes liées à IAM :
- API IAM
- API Security Token Service
Aider à sécuriser l'API IAM
Vous pouvez contribuer à sécuriser vos ressources Identity and Access Management (IAM) à l'aide de VPC Service Controls. Les ressources IAM incluent les éléments suivants :
- Rôles personnalisés
- Clés de compte de service
- Comptes de service
- Pools d'identités de charge de travail
Fonctionnement de VPC Service Controls avec IAM
Lorsque vous limitez IAM avec un périmètre, seules les actions qui utilisent l'API IAM sont limitées. Ces actions incluent la gestion des rôles IAM personnalisés, la gestion des pools d'identités de charge de travail, ainsi que la gestion des comptes de service et des clés. Le périmètre ne limite pas les actions liées aux pools d'employés, car ceux-ci sont des ressources au niveau de l'organisation.
Le périmètre autour d'IAM ne limite pas la gestion des accès (c'est-à-dire, l'obtention ou la définition de stratégies IAM) pour les ressources appartenant à d'autres services, tels que des projets, des dossiers et des organisations Resource Manager ou des instances de machine virtuelle Compute Engine Pour restreindre la gestion des accès pour ces ressources, créez un périmètre qui limite le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies IAM et des services qui les possèdent, consultez la section Types de ressources qui acceptent les stratégies IAM.
En outre, le périmètre ne limite pas les actions qui utilisent d'autres API, telles que les suivantes :
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (y compris les anciennes méthodes
signBlob
etsignJwt
dans l'API IAM)
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec IAM, consultez l'entrée IAM dans le tableau des produits compatibles avec VPC Service Controls.
Aider à sécuriser l'API Security Token Service
Vous pouvez aider à sécuriser les échanges de jetons à l'aide de VPC Service Controls.
Lorsque vous limitez l'API Security Token Service avec un périmètre, seules les entités suivantes peuvent échanger des jetons :
- Les ressources situées dans le même périmètre que le pool d'identités de charge de travail que vous utilisez pour échanger le jeton
- Les comptes principaux avec les attributs définis dans le périmètre de service
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec IAM, consultez l'entrée Service de jetons de sécurité dans le tableau des produits compatibles avec VPC Service Controls.
Étape suivante
- Découvrez comment créer un périmètre de service.