Membantu mengamankan IAM dengan Kontrol Layanan VPC

Dengan Kontrol Layanan VPC, Anda dapat membuat perimeters, yang merupakan batas di sekitar resource Google Cloud Anda. Kemudian, Anda dapat menentukan kebijakan keamanan yang membantu mencegah akses ke layanan yang didukung dari luar perimeter. Untuk informasi lebih lanjut tentang Kontrol Layanan VPC, lihat ringkasan Kontrol Layanan VPC.

Anda dapat menggunakan Kontrol Layanan VPC untuk membantu mengamankan API terkait IAM berikut:

  • IAM API
  • API Layanan Token Keamanan

Membantu mengamankan IAM API

Anda dapat membantu mengamankan resource Identity and Access Management (IAM) menggunakan Kontrol Layanan VPC. Resource IAM mencakup hal berikut:

  • Peran khusus
  • Kunci akun layanan
  • Akun layanan
  • Workload Identity Pools

Cara kerja Kontrol Layanan VPC dengan IAM

Saat Anda membatasi IAM dengan perimeter, hanya tindakan yang menggunakan IAM API yang akan dibatasi. Tindakan ini termasuk mengelola peran IAM kustom, mengelola kumpulan workload identity, serta mengelola akun dan kunci layanan. Perimeter tidak membatasi tindakan kumpulan tenaga kerja karena kumpulan tenaga kerja merupakan resource tingkat organisasi.

Perimeter seputar IAM tidak membatasi pengelolaan akses (yaitu, mendapatkan atau menetapkan kebijakan IAM) untuk resource yang dimiliki oleh layanan lain, seperti project, folder, dan organisasi Resource Manager atau Instance mesin virtual Compute Engine. Guna membatasi pengelolaan akses untuk resource tersebut, buat perimeter yang membatasi layanan yang memiliki resource tersebut. Untuk daftar resource yang menerima kebijakan IAM dan layanan yang memilikinya, lihat Jenis resource yang menerima kebijakan yang diizinkan.

Selain itu, perimeter tidak membatasi tindakan yang menggunakan API lain, termasuk yang berikut:

  • API Policy Simulator IAM
  • IAM Policy Troubleshooter API
  • API Layanan Token Keamanan
  • Service Account Credentials API (termasuk metodesignBlob dan signJwt lama di IAM API)

Untuk detail lebih lanjut tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri IAM di tabel produk yang didukung Kontrol Layanan VPC.

Membantu mengamankan Layanan Token Keamanan API

Anda dapat membantu mengamankan pertukaran token dengan menggunakan Kontrol Layanan VPC.

Saat Anda membatasi Security Token Service API dengan perimeter, hanya entity berikut yang dapat bertukar token:

  • Resource dalam perimeter yang sama dengan workload identity pool yang Anda gunakan untuk menukar token
  • Entity utama dengan atribut yang ditentukan di perimeter layanan

Untuk detail selengkapnya tentang cara kerja Kontrol Layanan VPC dengan IAM, lihat entri Layanan Token Keamanan di tabel produk yang didukung Kontrol Layanan VPC.

Langkah selanjutnya