Con i Controlli di servizio VPC, puoi creare perimeters, che sono dei confini intorno alle tue risorse Google Cloud. Puoi quindi definire criteri di sicurezza che aiutano a impedire l'accesso ai servizi supportati dall'esterno del perimetro. Per ulteriori informazioni sui Controlli di servizio VPC, consulta la panoramica sui Controlli di servizio VPC.
Puoi utilizzare Controlli di servizio VPC per proteggere le seguenti API relative a IAM:
- API IAM
- API Security Token Service
Contribuire a proteggere l'API IAM
Puoi contribuire a proteggere le risorse Identity and Access Management (IAM) utilizzando Controlli di servizio VPC. Le risorse IAM includono:
- Ruoli personalizzati
- Chiavi account di servizio
- Account di servizio
- Pool di Workload Identity
Come funzionano i Controlli di servizio VPC con IAM
Quando limiti IAM con un perimetro, vengono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono la gestione di ruoli IAM personalizzati, la gestione dei pool di identità per i carichi di lavoro e la gestione di chiavi e account di servizio. Il perimetro non limita le azioni dei pool di forza lavoro perché i pool di forza lavoro sono risorse a livello di organizzazione.
Il perimetro attorno a IAM non limita la gestione degli accessi (ovvero l'acquisizione o l'impostazione di criteri IAM) per le risorse di proprietà di altri servizi, ad esempio progetti, cartelle e organizzazioni di Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione degli accessi a queste risorse, crea un perimetro che limita il servizio proprietario delle risorse. Per un elenco delle risorse che accettano i criteri IAM e i servizi che li possiedono, vedi Tipi di risorse che accettano i criteri di autorizzazione.
Inoltre, il perimetro non limita le azioni che utilizzano altre API, tra cui:
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (inclusi i metodi legacy
signBlobesignJwtnell'API IAM)
Per maggiori dettagli sul funzionamento di Controlli di servizio VPC con IAM, consulta la voce IAM nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Contribuire a proteggere l'API Security Token Service
Puoi contribuire a proteggere gli scambi di token utilizzando i Controlli di servizio VPC.
Quando limiti l'API Security Token Service con un perimetro, solo le seguenti entità possono scambiare i token:
- Risorse all'interno dello stesso perimetro del pool di identità per i carichi di lavoro usato per lo scambio del token
- Entità con gli attributi definiti nel perimetro di servizio
Per maggiori dettagli sul funzionamento di Controlli di servizio VPC con IAM, consulta la Voce Servizio token di sicurezza nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Passaggi successivi
- Scopri come creare un perimetro di servizio.