Ajude a proteger o IAM com o VPC Service Controls

Com o VPC Service Controls, é possível criar perímetros, que são limites em torno dos recursos do Google Cloud. Em seguida, é possível definir políticas de segurança que ajudam a impedir o acesso a serviços de suporte de fora do perímetro. Para mais informações sobre o VPC Service Controls, consulte a visão geral do VPC Service Controls.

Use o VPC Service Controls para proteger as seguintes APIs relacionadas ao IAM:

  • API IAM
  • API Security Token Service

Proteger a API IAM

É possível proteger seus recursos de gerenciamento de identidade e acesso (IAM, na sigla em inglês) usando o VPC Service Controls. Os recursos do IAM incluem:

  • Papéis personalizados
  • Chaves da conta de serviço
  • Contas de serviço
  • Pools de identidade da carga de trabalho

Como o VPC Service Controls funciona com o IAM

Quando você restringe o IAM com um perímetro, apenas as ações que usam a API IAM são restritas. Essas ações incluem o gerenciamento de papéis personalizados do IAM, o gerenciamento de pools de identidade da carga de trabalho e o gerenciamento de contas e chaves de serviço. O perímetro não restringe ações que usam outras APIs, incluindo:

  • API IAM Policy Simulator
  • API IAM Policy Troubleshooter
  • API Security Token Service
  • API Service Account Credentials (incluindo os métodos legados signBlob e signJwt na API IAM)

O perímetro ao redor do IAM também não restringe a obtenção ou definição das políticas do IAM para recursos de outros serviços, como instâncias de máquina virtual do Compute Engine. Para restringir a obtenção e a definição de políticas do IAM para esses recursos, crie um perímetro que restrinja o serviço que detém os recursos. Para ver uma lista de recursos que aceitam políticas do IAM e os serviços que os possuem, consulte Tipos de recursos que aceitam políticas do IAM.

Para mais detalhes sobre como o VPC Service Controls funciona com o IAM, consulte a entrada do IAM na tabela de produtos compatíveis com o VPC Service Controls.

Proteger a API Security Token Service

É possível proteger as trocas de token usando o VPC Service Controls.

Ao restringir a API Security Token Service com um perímetro, somente as seguintes entidades podem trocar tokens:

  • Recursos no mesmo perímetro do pool de identidades da carga de trabalho que você está usando para trocar o token
  • Participantes com os atributos definidos no perímetro de serviço

Para mais detalhes sobre como o VPC Service Controls funciona com o IAM, consulte a entrada do Serviço de token de segurança na tabela de produtos compatíveis do VPC Service Controls.

A seguir