Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud. Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.
Use o VPC Service Controls para proteger as seguintes APIs relacionadas ao IAM:
- API IAM
- API Security Token Service
Proteger a API IAM
É possível proteger seus recursos de gerenciamento de identidade e acesso (IAM, na sigla em inglês) usando o VPC Service Controls. Os recursos do IAM incluem:
- Papéis personalizados
- Chaves da conta de serviço
- Contas de serviço
- Pools de identidade da carga de trabalho
Como o VPC Service Controls funciona com o IAM
Quando você restringe o IAM com um perímetro, apenas as ações que usam a API IAM são restritas. Essas ações incluem o gerenciamento de papéis personalizados do IAM, o gerenciamento de pools de identidade da carga de trabalho e o gerenciamento de contas e chaves de serviço. O perímetro não restringe as ações dos pools de força de trabalho, porque são pools de recursos da organização.
O perímetro ao redor do IAM não restringe o gerenciamento de acesso (ou seja, recebe ou define políticas do IAM) para recursos pertencentes a outros serviços, como projetos, pastas e organizações do Resource Manager, ou Instâncias de máquina virtual do Compute Engine. Para restringir o gerenciamento de acesso a esses recursos, crie um perímetro que restrinja o serviço que contém os recursos. Para ver uma lista de recursos que aceitam políticas do IAM e os serviços que os possuem, consulte Tipos de recursos que aceitam políticas de permissão.
Além disso, o perímetro não restringe ações que usam outras APIs, incluindo:
- API IAM Policy Simulator
- API IAM Policy Troubleshooter
- API Security Token Service
- API Service Account Credentials (incluindo os métodos legados
signBlobesignJwtna API IAM)
Para mais detalhes sobre como o VPC Service Controls funciona com o IAM, consulte a entrada do IAM na tabela de produtos compatíveis com o VPC Service Controls.
Proteger a API Security Token Service
É possível proteger as trocas de token usando o VPC Service Controls.
Ao restringir a API Security Token Service com um perímetro, somente as seguintes entidades podem trocar tokens:
- Recursos no mesmo perímetro do pool de identidades da carga de trabalho que você está usando para trocar o token
- Participantes com os atributos definidos no perímetro de serviço
Para mais detalhes sobre como o VPC Service Controls funciona com o IAM, consulte a entrada do Serviço de token de segurança na tabela de produtos compatíveis do VPC Service Controls.
A seguir
- Saiba como criar um perímetro de serviço.