VPC Service Controls を使用すると、Google Cloud リソースを囲む境界線となる境界を作成できます。その後、サポートされるサービスに境界外からアクセスできないようにするセキュリティ ポリシーを定義できます。VPC Service Controls の詳細については、VPC Service Controls の概要をご覧ください。
VPC Service Controls を使用して、次の IAM 関連の API を保護できます。
- IAM API
- Security Token Service API
IAM API の保護
VPC Service Controls を使用して、Identity and Access Management(IAM)リソースを保護できます。IAM リソースには次のものがあります。
- カスタムロール
- サービス アカウント キー
- サービス アカウント
- Workload Identity プール
VPC Service Controls と IAM の連携の仕組み
境界で IAM を制限すると、IAM API を使用するアクションのみが制限されます。このようなアクションには、IAM カスタムロールの管理、Workload Identity プールの管理、サービス アカウントとキーの管理などがあります。ワークフォース プールは組織レベルのリソースであるため、境界によってワークフォース プールの処理が制限されることはありません。
IAM 周囲の境界では、Resource Manager プロジェクト、フォルダ、組織、Compute Engine 仮想マシン インスタンスなどの他のサービスが所有するリソースのアクセス管理(つまり、IAM ポリシーの取得や設定)は制限されません。これらのリソースのアクセス管理を制限するには、そのリソースを所有するサービスを制限する境界を作成します。IAM ポリシーを受け入れるリソースと、それらを所有するサービスの一覧については、許可ポリシーを受け入れるリソースタイプをご覧ください。
また、境界は次のような他の API を使用するアクションを制限しません。
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API(IAM API のレガシー
signBlobメソッドとsignJwtメソッドを含む)
VPC Service Controls と IAM の連携の詳細については、VPC Service Controls でサポートされるプロダクトの表で IAM エントリをご覧ください。
Security Token Service API の保護
VPC Service Controls を使用してトークンの交換を保護できます。
Security Token Service API を境界で制限した場合、トークンを交換できるのは次のエンティティのみです。
- トークンの交換に使用している Workload Identity プールと同じ境界内のリソース
- サービス境界で定義された属性を持つプリンシパル
VPC Service Controls と IAM の連携の詳細については、VPC Service Controls でサポートされるプロダクトの表で Security Token Service をご覧ください。
次のステップ
- サービス境界の作成方法を学習する。