VPC 서비스 제어를 사용하여 IAM 보호

VPC 서비스 제어를 사용하면 Google Cloud 리소스 경계인 경계를 만들 수 있습니다. 그런 다음 경계 외부에서 지원되는 서비스에 대한 액세스를 방지하는 보안 정책을 정의할 수 있습니다. VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

VPC 서비스 제어를 사용하여 다음 IAM 관련 API를 보호할 수 있습니다.

• IAM API
• 보안 토큰 서비스 API
• Privileged Access Manager API

IAM API 보호 지원

VPC 서비스 제어를 사용하여 Identity and Access Management(IAM) 리소스를 보호할 수 있습니다. IAM 리소스에는 다음이 포함됩니다.

• 커스텀 역할
• 서비스 계정 키
• 서비스 계정
• 워크로드 아이덴티티 풀

VPC 서비스 제어가 IAM과 작동하는 방식

경계로 IAM을 제한하는 경우 IAM API를 사용하는 작업만 제한됩니다. 이러한 작업에는 커스텀 IAM 역할 관리, 워크로드 아이덴티티 풀 관리, 서비스 계정 및 키 관리가 포함됩니다. 직원 풀은 조직 수준 리소스이므로 경계는 직원 풀 작업을 제한하지 않습니다.

IAM 주변의 경계는 Resource Manager 프로젝트, 폴더, 조직, 또는 Compute Engine 가상 머신 인스턴 같은 다른 서비스에서 소유한 리소스의 액세스 관리(즉, IAM 정책 가져오기 또는 설정)를 제한하지 않습니다. 이러한 리소스의 액세스 관리를 제한하려면 리소스를 소유한 서비스를 제한하는 경계를 만듭니다. IAM 정책을 허용하는 리소스 목록 및 해당 정책을 소유한 서비스의 목록은 허용 정책을 허용하는 리소스 유형을 참조하세요.

또한 경계는 다음을 포함하여 다른 API를 사용하는 작업을 제한하지 않습니다.

• IAM 정책 시뮬레이터 API
• IAM 정책 문제 해결 도구 API

• 보안 토큰 서비스 API
• Service Account Credentials API(IAM API의 레거시 signBlob 및 signJwt 메서드 포함)

VPC 서비스 제어가 IAM과 작동하는 방식에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 표의 IAM 항목을 참조하세요.

Security Token Service API 보호 지원

VPC 서비스 제어를 사용하여 토큰 교환을 보호하도록 도와줄 수 있습니다.

경계를 사용하여 보안 토큰 서비스 API를 제한할 경우 다음 항목만 토큰을 교환할 수 있습니다.

• 토큰 교환을 위해 사용하는 워크로드 아이덴티티 풀과 동일한 경계 내에 있는 리소스
• 서비스 경계에 정의된 속성을 포함하는 주 구성원

토큰 교환을 허용하기 위해 인그레스 또는 이그레스 규칙을 만들 때는 토큰 메서드에 승인이 없으므로 ID 유형을 ANY_IDENTITY로 설정해야 합니다.

VPC 서비스 제어가 IAM에서 작동하는 방법에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 테이블에서 보안 토큰 서비스를 참조하세요.

Privileged Access Manager API 보호 지원

VPC 서비스 제어를 사용하여 Privileged Access Manager 리소스를 보호할 수 있습니다. Privileged Access Manager 리소스에는 다음이 포함됩니다.

• 자격
• Grants

VPC 서비스 제어에서는 폴더 수준이나 조직 수준의 리소스를 서비스 경계에 추가할 수 없습니다. 경계를 사용하여 폴더 수준이나 조직 수준의 Privileged Access Manager 리소스를 보호할 수 없습니다. VPC 서비스 제어는 프로젝트 수준의 Privileged Access Manager 리소스를 보호합니다.

VPC 서비스 제어가 Privileged Access Manager와 함께 작동하는 방식에 대한 자세한 내용은 VPC 서비스 제어 지원 제품 표의 Privileged Access Manager 항목을 참조하세요.

다음 단계

• 서비스 경계 생성 방법 알아보기