借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
您可以使用 VPC Service Controls 来帮助保护以下与 IAM 相关的 API:
- IAM API
- Security Token Service API
帮助保护 IAM API
您可以使用 VPC Service Controls 来帮助保护您的 Identity and Access Management (IAM) 资源。IAM 资源包括:
- 自定义角色
- 服务帐号密钥
- 服务帐号
- 工作负载身份池
VPC Service Controls 如何与 IAM 搭配使用
使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务帐号和密钥。边界不会限制员工池操作,因为员工池是组织级层资源。
IAM 的边界不会限制其他服务拥有的资源(例如 Resource Manager 项目、文件夹和组织或 Compute Engine 虚拟机实例)的访问权限管理(即获取或设置 IAM 政策)。如需限制这些资源的访问权限管理,请创建限制这些资源所属服务的边界。如需查看接受 IAM 政策的资源及其所属服务的列表,请参阅接受允许政策的资源类型。
此外,边界不会限制使用其他 API 的操作,包括:
- IAM Policy Simulator API
- IAM Policy Troubleshooter API
- Security Token Service API
- Service Account Credentials API(包括 IAM API 中的旧版
signBlob和signJwt方法)
如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 IAM 条目。
帮助保护 Security Token Service API
您可以使用 VPC Service Controls 帮助保护令牌交换。
使用边界限制 Security Token Service API 时,只有以下实体可以交换令牌:
- 与用于交换令牌的工作负载身份池位于同一边界内的资源
- 具有服务边界中定义的特性的主帐号
如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 Security Token Service 条目。
后续步骤
- 了解如何创建服务边界。