Dengan Kontrol Layanan VPC, Anda dapat membuat perimeter, yang merupakan batas di sekitar resource Google Cloud Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk informasi lebih lanjut tentang Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.
Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan API terkait IAM berikut:
- IAM API
- Security Token Service API
- Privileged Access Manager API
Membantu mengamankan IAM API
Anda dapat membantu mengamankan resource Identity and Access Management (IAM) menggunakan Kontrol Layanan VPC. Resource IAM mencakup hal berikut:
- Peran khusus
- Kunci akun layanan
- Akun layanan
- Workload Identity Pools
Cara kerja Kontrol Layanan VPC dengan IAM
Saat Anda membatasi IAM dengan perimeter, hanya tindakan yang menggunakan IAM API yang akan dibatasi. Tindakan ini termasuk mengelola peran IAM kustom, mengelola kumpulan workload identity, serta mengelola akun dan kunci layanan. Perimeter tidak membatasi tindakan kumpulan tenaga kerja karena kumpulan tenaga kerja merupakan resource tingkat organisasi.
Perimeter seputar IAM tidak membatasi pengelolaan akses (yaitu, mendapatkan atau menetapkan kebijakan IAM) untuk resource yang dimiliki oleh layanan lain, seperti project, folder, dan organisasi Resource Manager atau Instance mesin virtual Compute Engine. Guna membatasi pengelolaan akses untuk resource tersebut, buat perimeter yang membatasi layanan yang memiliki resource tersebut. Untuk daftar resource yang menerima kebijakan IAM dan layanan yang memilikinya, lihat Jenis resource yang menerima kebijakan yang diizinkan.
Selain itu, perimeter tidak membatasi tindakan yang menggunakan API lain, termasuk yang berikut:
- API Policy Simulator IAM
- IAM Policy Troubleshooter API
- API Layanan Token Keamanan
- Service Account Credentials API (termasuk metode
signBlobdansignJwtlama di IAM API)
Untuk detail lebih lanjut tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri IAM di tabel produk yang didukung Kontrol Layanan VPC.
Membantu mengamankan Layanan Token Keamanan API
Anda dapat membantu mengamankan pertukaran token dengan menggunakan Kontrol Layanan VPC.
Saat Anda membatasi Security Token Service API dengan perimeter, hanya entity berikut yang dapat bertukar token:
- Resource dalam perimeter yang sama dengan workload identity pool yang Anda gunakan untuk menukar token
- Entity utama dengan atribut yang ditentukan di perimeter layanan
Saat membuat aturan masuk
atau keluar untuk mengizinkan pertukaran token, Anda harus menetapkan jenis identitas ke
ANY_IDENTITY karena metode token
tidak memiliki otorisasi.
Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri Layanan Token Keamanan di tabel produk yang didukung Kontrol Layanan VPC.
Membantu mengamankan Privileged Access Manager API
Anda dapat membantu mengamankan resource Privileged Access Manager menggunakan Kontrol Layanan VPC. Resource Privileged Access Manager mencakup hal berikut:
- Hak
- Grants
Kontrol Layanan VPC tidak mendukung penambahan resource tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Privileged Access Manager level folder atau level organisasi. Kontrol Layanan VPC melindungi resource Privileged Access Manager level project.
Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Privileged Access Manager, lihat entri Privileged Access Manager di tabel produk yang didukung Kontrol Layanan VPC.
Langkah berikutnya
- Pelajari cara Membuat perimeter layanan.