Membantu mengamankan IAM dengan Kontrol Layanan VPC

Dengan Kontrol Layanan VPC, Anda dapat membuat perimeter, yang merupakan batas di sekitar resource Google Cloud Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk mengetahui informasi selengkapnya tentang Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.

Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan API terkait IAM berikut:

  • Identity and Access Management API
  • Security Token Service API
  • Privileged Access Manager API

Membantu mengamankan Identity and Access Management API

Anda dapat membantu mengamankan resource Identity and Access Management (IAM) berikut menggunakan Kontrol Layanan VPC:

  • Peran khusus
  • Kunci akun layanan
  • Akun layanan
  • Workload Identity pools
  • Kebijakan tolak
  • Pengikatan kebijakan untuk kebijakan batas akses utama

Cara kerja Kontrol Layanan VPC dengan IAM

Saat Anda membatasi IAM dengan perimeter, hanya tindakan yang menggunakan IAM API yang akan dibatasi. Tindakan ini mencakup:

  • Mengelola peran IAM khusus
  • Mengelola workload identity pool
  • Mengelola akun layanan dan kunci
  • Mengelola kebijakan penolakan
  • Mengelola binding kebijakan untuk kebijakan batas akses prinsipal

Perimeter tidak membatasi tindakan yang terkait dengan kumpulan tenaga kerja dan kebijakan batas akses akun utama karena resource tersebut dibuat di tingkat organisasi.

Perimeter juga tidak membatasi pengelolaan kebijakan izinkan untuk resource yang dimiliki oleh layanan lain, seperti project, folder, dan organisasi Resource Manager atau instance mesin virtual Compute Engine. Untuk membatasi pengelolaan kebijakan izin bagi resource ini, buat perimeter yang membatasi layanan yang memiliki resource tersebut. Untuk daftar resource yang menerima kebijakan izinkan dan layanan yang memilikinya, lihat Jenis resource yang menerima kebijakan izinkan.

Selain itu, perimeter tidak membatasi tindakan yang menggunakan API lain, termasuk yang berikut:

  • API Policy Simulator IAM
  • IAM Policy Troubleshooter API
  • API Layanan Token Keamanan
  • Service Account Credentials API (termasuk metodesignBlob dan signJwt lama di IAM API)

Untuk detail lebih lanjut tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri IAM di tabel produk yang didukung Kontrol Layanan VPC.

Membantu mengamankan Layanan Token Keamanan API

Anda dapat membantu mengamankan pertukaran token dengan menggunakan Kontrol Layanan VPC.

Saat Anda membatasi Security Token Service API dengan perimeter, hanya entity berikut yang dapat bertukar token:

  • Resource dalam perimeter yang sama dengan workload identity pool yang Anda gunakan untuk menukar token
  • Entity utama dengan atribut yang ditentukan di perimeter layanan

Saat membuat aturan masuk atau keluar untuk mengizinkan pertukaran token, Anda harus menyetel jenis identitas ke ANY_IDENTITY karena metode token tidak memiliki otorisasi.

Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri Layanan Token Keamanan di tabel produk yang didukung Kontrol Layanan VPC.

Membantu mengamankan Privileged Access Manager API

Anda dapat membantu mengamankan resource Privileged Access Manager menggunakan Kontrol Layanan VPC. Resource Privileged Access Manager mencakup hal berikut:

  • Hak
  • Pemberian akses

Kontrol Layanan VPC tidak mendukung penambahan resource tingkat folder atau tingkat organisasi ke dalam perimeter layanan. Anda tidak dapat menggunakan perimeter untuk melindungi resource Privileged Access Manager tingkat folder atau tingkat organisasi. Kontrol Layanan VPC melindungi resource Privileged Access Manager tingkat project.

Untuk mengetahui detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan Privileged Access Manager, lihat entri Privileged Access Manager di tabel produk yang didukung Kontrol Layanan VPC.

Langkah berikutnya