使用 VPC Service Controls 帮助保护 IAM

借助 VPC Service Controls,您可以为您的 Google Cloud 资源创建边界。然后,您可以定义安全政策,以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览

您可以使用 VPC Service Controls 来帮助保护以下与 IAM 相关的 API:

  • IAM API
  • Security Token Service API

帮助保护 IAM API

您可以使用 VPC Service Controls 来帮助保护您的 Identity and Access Management (IAM) 资源。IAM 资源包括:

  • 自定义角色
  • 服务帐号密钥
  • 服务帐号
  • 工作负载身份池

VPC Service Controls 如何与 IAM 搭配使用

使用边界限制 IAM 时,只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务帐号和密钥。边界限制使用其他 API 的操作,包括:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API(包括 IAM API 中的旧版 signBlobsignJwt 方法)

IAM 的边界也限制获取或设置其他服务拥有的资源(例如 Compute Engine 虚拟机实例)的允许政策。如需限制获取和设置这些资源的允许政策,请创建限制拥有这些资源的服务的边界。如需查看接受允许政策的资源及其所属服务的列表,请参阅接受允许政策的资源类型

如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 IAM 条目

帮助保护 Security Token Service API

您可以使用 VPC Service Controls 帮助保护令牌交换。

使用边界限制 Security Token Service API 时,只有以下实体可以交换令牌:

  • 与用于交换令牌的工作负载身份池位于同一边界内的资源
  • 具有服务边界中定义的特性的主帐号

如需详细了解 VPC Service Controls 如何与 IAM 搭配使用,请参阅 VPC Service Controls 支持的产品表格中的 Security Token Service 条目

后续步骤