Com os VPC Service Controls, pode criar perímetros, que são limites em torno dos seus Google Cloud recursos. Em seguida, pode definir políticas de segurança que ajudam a impedir o acesso a serviços suportados a partir do exterior do perímetro. Para mais informações sobre os VPC Service Controls, consulte a vista geral dos VPC Service Controls.
Pode usar os VPC Service Controls para ajudar a proteger as seguintes APIs relacionadas com o IAM:
- API Identity and Access Management
- API Security Token Service
- API Privileged Access Manager
Ajude a proteger a API Identity and Access Management
Pode ajudar a proteger os seguintes recursos de gestão de identidade e de acesso (IAM) através dos VPC Service Controls:
- Funções personalizadas
- Chaves de contas de serviço
- Contas de serviço
- Workload Identity Pools
- Políticas de recusa
- Associações de políticas para políticas de limite de acesso principal
Como os VPC Service Controls funcionam com o IAM
Quando restringe o IAM com um perímetro, apenas as ações que usam a API IAM são restritas. Estas ações incluem o seguinte:
- Gerir funções IAM personalizadas
- Gerir Workload Identity Pools
- Gerir contas de serviço e chaves
- Gerir políticas de recusa
- Gerir associações de políticas para políticas de limite de acesso principal
O perímetro não restringe as ações relacionadas com os conjuntos de trabalhadores e as políticas de limite de acesso principal porque esses recursos são criados ao nível da organização.
O perímetro também não restringe a gestão de políticas de autorização para recursos detidos por outros serviços, como projetos, pastas e organizações do Resource Manager ou instâncias de máquinas virtuais do Compute Engine. Para restringir a gestão de políticas de autorização para estes recursos, crie um perímetro que restrinja o serviço proprietário dos recursos. Para ver uma lista de recursos que aceitam políticas de permissão e os serviços que os detêm, consulte o artigo Tipos de recursos que aceitam políticas de permissão.
Além disso, o perímetro não restringe ações que usam outras APIs, incluindo o seguinte:
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (incluindo os métodos
signBlobesignJwtantigos na API IAM)
Para mais detalhes sobre como o VPC Service Controls funciona com a IAM, consulte a entrada da IAM na tabela de produtos suportados do VPC Service Controls.
Ajude a proteger a API Security Token Service
Pode ajudar a proteger as trocas de tokens através dos VPC Service Controls.
Quando restringe a API Security Token Service com um perímetro, apenas as seguintes entidades podem trocar tokens:
- Recursos no mesmo perímetro que o Workload Identity Pool que está a usar para trocar o token
- Diretores com os atributos definidos no perímetro de serviço
Quando cria uma regra de entrada ou saída para permitir trocas de tokens, tem de definir o tipo de identidade como
ANY_IDENTITY, uma vez que o método token
não tem autorização.
Para mais detalhes sobre como o VPC Service Controls funciona com o IAM, consulte a entrada do serviço de tokens de segurança na tabela de produtos suportados do VPC Service Controls.
Ajude a proteger a API Privileged Access Manager
Pode ajudar a proteger os seus recursos do Privileged Access Manager através dos VPC Service Controls. Os recursos do Gestor de acesso privilegiado incluem o seguinte:
- Concessões
- Concessões
Os VPC Service Controls não suportam a adição de recursos ao nível da pasta ou da organização a um perímetro de serviço. Não pode usar um perímetro para proteger recursos do Gestor de acesso privilegiado ao nível da pasta ou da organização. Os VPC Service Controls protegem os recursos do Gestor de acesso privilegiado ao nível do projeto.
Para mais detalhes sobre como o VPC Service Controls funciona com o Privileged Access Manager, consulte a entrada do Privileged Access Manager na tabela de produtos suportados do VPC Service Controls.
O que se segue?
- Saiba como criar um perímetro de serviço.