使用 VPC Service Controls 帮助保护 IAM

借助 VPC Service Controls，您可以为您的 Google Cloud 资源创建边界。然后，您可以定义安全政策，以防止从边界外访问受支持的服务。如需详细了解 VPC Service Controls，请参阅 VPC Service Controls 概览。

您可以使用 VPC Service Controls 来帮助保护以下与 IAM 相关的 API：

IAM API
Security Token Service API
Privileged Access Manager API

帮助保护 IAM API

您可以使用 VPC Service Controls 来帮助保护您的 Identity and Access Management (IAM) 资源。IAM 资源包括：

自定义角色
服务账号密钥
服务账号
工作负载身份池

VPC Service Controls 如何与 IAM 搭配使用

使用边界限制 IAM 时，只有使用 IAM API 的操作会受到限制。这些操作包括管理自定义 IAM 角色、管理工作负载身份池以及管理服务账号和密钥。边界不会限制员工池操作，因为员工池是组织级层资源。

IAM 的边界不会限制其他服务拥有的资源（例如 Resource Manager 项目、文件夹和组织或 Compute Engine 虚拟机实例）的访问权限管理（即获取或设置 IAM 政策）。如需限制这些资源的访问权限管理，请创建限制这些资源所属服务的边界。如需查看接受 IAM 政策的资源及其所属服务的列表，请参阅接受允许政策的资源类型。

此外，边界不会限制使用其他 API 的操作，包括：

IAM Policy Simulator API
IAM Policy Troubleshooter API

Security Token Service API
Service Account Credentials API（包括 IAM API 中的旧版 signBlob 和 signJwt 方法）

如需详细了解 VPC Service Controls 如何与 IAM 搭配使用，请参阅 VPC Service Controls 支持的产品表格中的 IAM 条目。

帮助保护 Security Token Service API

您可以使用 VPC Service Controls 帮助保护令牌交换。

使用边界限制 Security Token Service API 时，只有以下实体可以交换令牌：

与用于交换令牌的工作负载身份池位于同一边界内的资源
具有服务边界中定义的属性的主账号

创建入站或出站规则以允许令牌交换时，您必须将身份类型设置为 ANY_IDENTITY，因为令牌方法没有授权。

如需详细了解 VPC Service Controls 如何与 IAM 搭配使用，请参阅 VPC Service Controls 支持的产品表格中的 Security Token Service 条目。

帮助保护 Privileged Access Manager API

您可以使用 VPC Service Controls 来帮助保护您的 Privileged Access Manager 资源。Privileged Access Manager 资源包括：

权益
授权

VPC Service Controls 不支持将文件夹级或组织级资源添加到服务边界。您无法使用边界来保护文件夹级或组织级 Privileged Access Manager 资源。VPC Service Controls 可保护项目级 Privileged Access Manager 资源。

如需详细了解 VPC Service Controls 如何与 Privileged Access Manager 搭配使用，请参阅 VPC Service Controls 支持的产品表格中的 Privileged Access Manager 条目。

后续步骤

了解如何创建服务边界。