使用 VPC Service Controls 帮助保护 IAM

借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

您可以使用 VPC Service Controls 来帮助保护以下与 IAM 相关的 API:

  • IAM API
  • Security Token Service API
  • Privileged Access Manager API

帮助保护 IAM API

您可以使用 VPC Service Controls 来帮助保护您的 Identity and Access Management (IAM) 资源。IAM 资源包括:

  • 自定义角色
  • 服务账号密钥
  • 服务账号
  • 工作负载身份池

VPC Service Controls 如何与 IAM 搭配使用

使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务账号和密钥。边界不会限制员工池操作,因为员工池是组织级层资源。

IAM 的边界不会限制其他服务拥有的资源(例如 Resource Manager 项目、文件夹和组织或 Compute Engine 虚拟机实例)的访问权限管理(即获取或设置 IAM 政策)。如需限制这些资源的访问权限管理,请创建限制这些资源所属服务的边界。如需查看接受 IAM 政策的资源及其所属服务的列表,请参阅接受允许政策的资源类型

此外,边界不会限制使用其他 API 的操作,包括:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API(包括 IAM API 中的旧版 signBlobsignJwt 方法)

如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 IAM 条目

帮助保护 Security Token Service API

您可以使用 VPC Service Controls 帮助保护令牌交换。

使用边界限制 Security Token Service API 时,只有以下实体可以交换令牌:

  • 与用于交换令牌的工作负载身份池位于同一边界内的资源
  • 具有服务边界中定义的特性的主账号

如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 Security Token Service 条目

帮助保护 Privileged Access Manager API

您可以使用 VPC Service Controls 来帮助保护您的 Privileged Access Manager 资源。Privileged Access Manager 资源包括:

  • 权益
  • 授权

VPC Service Controls 不支持将文件夹级或组织级资源添加到服务边界。您无法使用边界来保护文件夹级别或组织级别的 Privileged Access Manager 资源。VPC Service Controls 可保护项目级 Privileged Access Manager 资源。

如需详细了解 VPC Service Controls 如何与 Privileged Access Manager 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 Privileged Access Manager 条目

后续步骤