VPC Service Controls vous permet de créer des périmètres, qui sont des limites autour de vos ressources Google Cloud . Vous pouvez ensuite définir des règles de sécurité qui empêchent l'accès aux services compatibles depuis l'extérieur du périmètre. Pour en savoir plus sur VPC Service Controls, consultez la présentation de VPC Service Controls.
Vous pouvez utiliser VPC Service Controls pour sécuriser les API suivantes liées à IAM :
- API Identity and Access Management
- API Security Token Service
- API Privileged Access Manager
Aider à sécuriser l'API Identity and Access Management
Vous pouvez contribuer à sécuriser les ressources Identity and Access Management (IAM) suivantes à l'aide de VPC Service Controls :
- Rôles personnalisés
- Clés de compte de service
- Comptes de service
- Pools d'identités de charge de travail
- Stratégies de refus
- Liaisons de stratégie pour les règles de limite d'accès des comptes principaux
Fonctionnement de VPC Service Controls avec IAM
Lorsque vous limitez la portée d'IAM avec un périmètre, seules les actions qui utilisent l'API IAM sont limitées. Voici quelques exemples d'actions :
- Gérer les rôles IAM personnalisés
- Gérer les pools d'identités de charge de travail
- Gérer les comptes de service et les clés
- Gérer les règles de refus
- Gérer les liaisons de stratégie pour les stratégies de limite d'accès des comptes principaux
Le périmètre ne limite pas les actions liées aux pools d'employés et aux stratégies de limite d'accès des comptes principaux, car ces ressources sont créées au niveau de l'organisation.
Le périmètre ne limite pas non plus la gestion des stratégies d'autorisation pour les ressources appartenant à d'autres services, tels que des projets, des dossiers et des organisations Resource Manager ou des instances de machine virtuelle Compute Engine. Pour restreindre la gestion des stratégies d'autorisation pour ces ressources, créez un périmètre qui limite le service propriétaire des ressources. Pour obtenir la liste des ressources qui acceptent les stratégies d'autorisation et des services qui les possèdent, consultez la section Types de ressources qui acceptent les stratégies d'autorisation.
En outre, le périmètre ne limite pas les actions qui utilisent d'autres API, telles que les suivantes :
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (y compris les anciennes méthodes
signBlob
etsignJwt
dans l'API IAM)
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec IAM, consultez l'entrée IAM dans le tableau des produits compatibles avec VPC Service Controls.
Aider à sécuriser l'API Security Token Service
Vous pouvez aider à sécuriser les échanges de jetons à l'aide de VPC Service Controls.
Lorsque vous limitez l'API Security Token Service avec un périmètre, seules les entités suivantes peuvent échanger des jetons :
- Les ressources situées dans le même périmètre que le pool d'identités de charge de travail que vous utilisez pour échanger le jeton
- Les comptes principaux avec les attributs définis dans le périmètre de service
Lorsque vous créez une règle d'entrée ou de sortie pour autoriser les échanges de jetons, vous devez définir le type d'identité sur ANY_IDENTITY
, car la méthode token n'est pas autorisée.
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec IAM, consultez l'entrée Service de jetons de sécurité dans le tableau des produits compatibles avec VPC Service Controls.
Aider à sécuriser l'API Privileged Access Manager
Vous pouvez contribuer à sécuriser vos ressources Privileged Access Manager à l'aide de VPC Service Controls. Les ressources de Privileged Access Manager incluent les éléments suivants :
- Droits
- Octrois d'autorisations
VPC Service Controls ne permet pas d'ajouter des ressources au niveau du dossier ou de l'organisation à un périmètre de service. Vous ne pouvez pas utiliser un périmètre pour protéger les ressources Privileged Access Manager au niveau du dossier ou de l'organisation. VPC Service Controls protège les ressources du gestionnaire d'accès privilégié au niveau du projet.
Pour en savoir plus sur le fonctionnement de VPC Service Controls avec Privileged Access Manager, consultez l'entrée Privileged Access Manager dans le tableau des produits compatibles avec VPC Service Controls.
Étape suivante
- Découvrez comment créer un périmètre de service.