Con i Controlli di servizio VPC, puoi creare perimetri, ovvero confini per le tue risorse Google Cloud. Puoi quindi definire i criteri di sicurezza che impediscono l'accesso ai servizi supportati dall'esterno del perimetro. Per ulteriori informazioni sui Controlli di servizio VPC, consulta Panoramica.
Puoi utilizzare Controlli di servizio VPC per proteggere le seguenti API correlate all'IAM:
- API IAM
- API Security Token Service
- API Privileged Access Manager
Contribuisci a proteggere l'API IAM
Puoi contribuire a proteggere le risorse IAM (Identity and Access Management) utilizzando i Controlli di servizio VPC. Le risorse IAM includono quanto segue:
- Ruoli personalizzati
- Chiavi account di servizio
- Account di servizio
- Pool di identità per i carichi di lavoro
Come funzionano i Controlli di servizio VPC con IAM
Quando limiti IAM con un perimetro, sono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono la gestione ruoli IAM, gestione dei pool di identità per i carichi di lavoro e gestione dei servizi e chiavi. Il perimetro non limita le azioni dei pool di forza lavoro perché i pool di forza lavoro sono risorse a livello di organizzazione.
Il perimetro di IAM non limita la gestione dell'accesso (ovvero l'ottenimento o l'impostazione dei criteri IAM) per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione dell'accesso per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano i criteri IAM e i servizi che li possiedono, consulta Tipi di risorse che accettano i criteri di autorizzazione.
Inoltre, il perimetro non limita le azioni che utilizzano altre API, tra cui:
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (inclusi i metodi
signBlobesignJwtprecedenti nell'API IAM)
Per maggiori dettagli su come funzionano i Controlli di servizio VPC IAM, consulta la voce IAM nel Tabella dei prodotti supportati dai Controlli di servizio VPC.
Contribuisci a proteggere l'API Security Token Service
Puoi contribuire a proteggere gli scambi di token utilizzando i Controlli di servizio VPC.
Quando limiti l'API Security Token Service con un perimetro, solo le seguenti entità possono scambiare token:
- Risorse nello stesso perimetro del pool di identità di lavoro che utilizzi per scambiare il token
- Principali con gli attributi definiti nel perimetro del servizio
Per ulteriori dettagli su come funzionano i Controlli di servizio VPC con IAM, consulta la voce Servizio token di sicurezza nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Contribuisci a proteggere l'API Privileged Access Manager
Puoi contribuire a proteggere le risorse di Privileged Access Manager utilizzando i Controlli di servizio VPC. Le risorse di Privileged Access Manager includono:
- Diritti
- Concessioni
Controlli di servizio VPC non supporta l'aggiunta a livello di cartella o di organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse di Privileged Access Manager a livello di cartella o organizzazione. Controlli di servizio VPC protegge le risorse del Gestore degli accessi con privilegi a livello di progetto.
Per maggiori dettagli su come funzionano i Controlli di servizio VPC Privileged Access Manager, vedi la voce Privileged Access Manager nel Tabella dei prodotti supportati dai Controlli di servizio VPC.
Passaggi successivi
- Scopri come creare un perimetro di servizio.