借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
您可以使用 VPC Service Controls 来帮助保护以下与 IAM 相关的 API:
- IAM API
- Security Token Service API
帮助保护 IAM API
您可以使用 VPC Service Controls 来帮助保护您的 Identity and Access Management (IAM) 资源。IAM 资源包括:
- 自定义角色
- 服务帐号密钥
- 服务帐号
- 工作负载身份池
VPC Service Controls 如何与 IAM 搭配使用
使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务帐号和密钥。边界不限制使用其他 API 的操作,包括:
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API(包括 IAM API 中的旧版
signBlob
和signJwt
方法)
IAM 的边界也不限制获取或设置其他服务拥有的资源(例如 Compute Engine 虚拟机实例)的允许政策。如需限制获取和设置这些资源的允许政策,请创建限制拥有这些资源的服务的边界。如需查看接受允许政策的资源及其所属服务的列表,请参阅接受允许政策的资源类型。
如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 IAM 条目。
帮助保护 Security Token Service API
您可以使用 VPC Service Controls 帮助保护令牌交换。
使用边界限制 Security Token Service API 时,只有以下实体可以交换令牌:
- 与用于交换令牌的工作负载身份池位于同一边界内的资源
- 具有服务边界中定义的特性的主帐号
如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 Security Token Service 条目。
后续步骤
- 了解如何创建服务边界。