Con Controlli di servizio VPC, puoi creare perimetri, ovvero confini intorno alle tue Google Cloud risorse. Puoi quindi definire criteri di sicurezza che contribuiscono a impedire l'accesso ai servizi supportati dall'esterno del perimetro. Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.
Puoi utilizzare Controlli di servizio VPC per contribuire a proteggere le seguenti API correlate all'IAM:
- API IAM
- API Security Token Service
- API Privileged Access Manager
Contribuisci a proteggere l'API IAM
Puoi contribuire a proteggere le risorse Identity and Access Management (IAM) utilizzando i Controlli di servizio VPC. Le risorse IAM includono:
- Ruoli personalizzati
- Chiavi account di servizio
- Account di servizio
- Pool di identità dei workload
Come funzionano i Controlli di servizio VPC con IAM
Quando limiti IAM con un perimetro, sono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono la gestione dei ruoli IAM personalizzati, dei pool di identità per i carichi di lavoro e degli account e delle chiavi di servizio. Il perimetro non limita le azioni dei pool di forza lavoro perché i pool di forza lavoro sono risorse a livello di organizzazione.
Il perimetro di IAM non limita la gestione dell'accesso (ovvero l'ottenimento o l'impostazione dei criteri IAM) per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione dell'accesso per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano i criteri IAM e i servizi che li possiedono, consulta Tipi di risorse che accettano i criteri di autorizzazione.
Inoltre, il perimetro non limita le azioni che utilizzano altre API, tra cui:
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (inclusi i metodi
signBlobesignJwtprecedenti nell'API IAM)
Per ulteriori dettagli su come funzionano i Controlli di servizio VPC con IAM, consulta la voce IAM nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Contribuire a proteggere l'API Security Token Service
Puoi contribuire a proteggere gli scambi di token utilizzando i Controlli di servizio VPC.
Quando limiti l'API Security Token Service con un perimetro, solo le seguenti entità possono scambiare token:
- Risorse nello stesso perimetro del pool di identità del workload che utilizzi per scambiare il token
- Principali con gli attributi definiti nel perimetro di servizio
Quando crei una regola di entrata o di uscita per consentire gli scambi di token, devi impostare il tipo di identità su
ANY_IDENTITY perché il metodo token
non ha autorizzazione.
Per ulteriori dettagli su come funzionano i Controlli di servizio VPC con IAM, consulta la voce Servizio token di sicurezza nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Contribuire a proteggere l'API Privileged Access Manager
Puoi contribuire a proteggere le risorse di Privileged Access Manager utilizzando i Controlli di servizio VPC. Le risorse di Privileged Access Manager includono:
- Diritti
- Concessioni
Controlli di servizio VPC non supporta l'aggiunta di risorse a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse di Privileged Access Manager a livello di cartella o organizzazione. I Controlli di servizio VPC proteggono le risorse Privileged Access Manager a livello di progetto.
Per ulteriori dettagli su come funzionano i Controlli di servizio VPC con Privileged Access Manager, consulta la voce Privileged Access Manager nella tabella dei prodotti supportati dai Controlli di servizio VPC.
Passaggi successivi
- Scopri come creare un perimetro di servizio.