Protezione delle risorse IAM con i Controlli di servizio VPC

Con Controlli di servizio VPC, puoi creare perimetri, ovvero confini intorno alle tue risorse Google Cloud . Puoi quindi definire criteri di sicurezza che contribuiscono a impedire l'accesso ai servizi supportati dall'esterno del perimetro. Per ulteriori informazioni sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.

Puoi utilizzare Controlli di servizio VPC per proteggere le seguenti API correlate a IAM:

  • API Identity and Access Management
  • API Security Token Service
  • API Privileged Access Manager

Contribuire a proteggere l'API Identity and Access Management

Puoi proteggere le seguenti risorse Identity and Access Management (IAM) utilizzando i Controlli di servizio VPC:

  • Ruoli personalizzati
  • Chiavi account di servizio
  • Account di servizio
  • Pool di identità del workload
  • Policy di negazione
  • Associazioni di policy per le policy di Principal Access Boundary

Come funzionano i Controlli di servizio VPC con IAM

Quando limiti IAM con un perimetro, vengono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono:

  • Gestione dei ruoli IAM personalizzati
  • Gestione dei pool di identità del workload
  • Gestione degli account di servizio e delle chiavi
  • Gestione delle policy di negazione
  • Gestione delle associazioni di policy per le policy di Principal Access Boundary

Il perimetro non limita le azioni relative ai pool di forza lavoro e alle policy di Principal Access Boundary perché queste risorse vengono create a livello di organizzazione.

Il perimetro non limita la gestione dei criteri di autorizzazione per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione dei criteri di autorizzazione per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano le policy di autorizzazione e i servizi che le possiedono, consulta Tipi di risorse che accettano le policy di autorizzazione.

Inoltre, il perimetro non limita le azioni che utilizzano altre API, incluse le seguenti:

  • API IAM Policy Simulator
  • API IAM Policy Troubleshooter
  • API Security Token Service
  • API Service Account Credentials (inclusi i metodi legacy signBlob e signJwt nell'API IAM)

Per maggiori dettagli su come funzionano i Controlli di servizio VPC con IAM, consulta la voce IAM nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Proteggere l'API Security Token Service

Puoi contribuire a proteggere gli scambi di token utilizzando i Controlli di servizio VPC.

Quando limiti l'API Security Token Service con un perimetro, solo le seguenti entità possono scambiare token:

  • Risorse all'interno dello stesso perimetro del pool di identità del workload che utilizzi per scambiare il token
  • Entità con gli attributi definiti nel perimetro di servizio

Quando crei una regola di ingresso o di uscita per consentire gli scambi di token, devi impostare il tipo di identità su ANY_IDENTITY perché il metodo token non prevede autorizzazione.

Per maggiori dettagli su come funzionano i Controlli di servizio VPC con IAM, consulta la voce Security Token Service nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Contribuire a proteggere l'API Privileged Access Manager

Puoi proteggere le risorse di Privileged Access Manager utilizzando i Controlli di servizio VPC. Le risorse di Privileged Access Manager includono:

  • Diritti
  • Concessioni

Controlli di servizio VPC non supporta l'aggiunta di risorse a livello di cartella o organizzazione in un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse di Gestore degli accessi con privilegi a livello di cartella o organizzazione. Controlli di servizio VPC protegge le risorse Privileged Access Manager a livello di progetto.

Per maggiori dettagli su come funzionano i Controlli di servizio VPC con Privileged Access Manager, consulta la voce relativa a Privileged Access Manager nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Passaggi successivi