使用 VPC Service Controls 帮助保护 IAM

您可以使用 VPC Service Controls 来帮助保护您的 Identity and Access Management (IAM) 资源。IAM 资源包括:

  • 自定义角色
  • 服务帐号密钥
  • 服务帐号
  • 工作负载身份池

借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

VPC Service Controls 如何与 IAM 搭配使用

使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务帐号和密钥。边界限制使用其他 API 的操作,包括:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API(包括 IAM API 中的旧版 signBlobsignJwt 方法)

IAM 的边界也限制获取或设置其他服务拥有的资源(例如 Compute Engine 虚拟机实例)的 IAM 政策。如需限制获取和设置这些资源的 IAM 政策,请创建限制拥有这些资源的服务的边界。如需查看接受 IAM 政策的资源及其所属服务的列表,请参阅接受 IAM 政策的资源类型

如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 IAM 条目

后续步骤