使用 VPC Service Controls 保護 IAM

透過 VPC Service Controls,您可以建立範圍,也就是 Google Cloud 資源周圍的邊界。接著,您可以定義安全政策,防止從範圍外存取支援的服務。如要進一步瞭解 VPC Service Controls,請參閱 VPC Service Controls 總覽

您可以使用 VPC Service Controls 保護下列 IAM 相關 API:

  • Identity and Access Management API
  • Security Token Service API
  • Privileged Access Manager API

協助保護 Identity and Access Management API 安全

您可以使用 VPC Service Controls,協助保護下列身分與存取權管理 (IAM) 資源:

  • 自訂角色
  • 服務帳戶金鑰
  • 服務帳戶
  • Workload Identity 集區
  • 拒絕政策
  • 主體存取邊界政策的政策繫結

VPC Service Controls 如何與 IAM 搭配運作

使用安全防護範圍限制 IAM 時,只有使用 IAM API 的動作會受到限制。這些動作包括:

  • 管理自訂 IAM 角色
  • 管理 Workload Identity 集區
  • 管理服務帳戶和金鑰
  • 管理拒絕政策
  • 管理主體存取邊界政策的政策繫結

由於工作團隊集區和主體存取邊界政策是在機構層級建立,因此邊界不會限制與這些資源相關的動作。

此外,安全防護範圍不會限制其他服務所擁有資源的允許政策管理,例如 Resource Manager 專案、資料夾和機構,或是 Compute Engine 虛擬機器執行個體。如要限制這些資源的允許政策管理權,請建立範圍,限制擁有資源的服務。如需接受允許政策的資源清單,以及擁有這些資源的服務,請參閱接受允許政策的資源類型

此外,安全範圍不會限制使用其他 API 的動作,包括:

  • IAM Policy Simulator API
  • IAM Policy Troubleshooter API
  • Security Token Service API
  • Service Account Credentials API (包括 IAM API 中的舊版 signBlobsignJwt 方法)

如要進一步瞭解 VPC Service Controls 如何與 IAM 搭配運作,請參閱 VPC Service Controls 支援產品表格中的 IAM 項目

協助保護 Security Token Service API

您可以使用 VPC Service Controls,確保權杖交換作業安全無虞。

使用安全範圍限制 Security Token Service API 時,只有下列實體可以交換權杖:

  • 與您用來交換權杖的 workload identity pool 位於相同安全防護範圍內的資源
  • 具有服務範圍中定義屬性的主體

建立輸入或輸出規則來允許權杖交換時,您必須將身分類型設為 ANY_IDENTITY,因為 token 方法沒有授權。

如要進一步瞭解 VPC Service Controls 如何與 IAM 搭配運作,請參閱 VPC Service Controls 支援產品表格中的 Security Token Service 項目

協助保護 Privileged Access Manager API 安全

您可以使用 VPC Service Controls,協助保護 Privileged Access Manager 資源。Privileged Access Manager 資源包括:

  • 授權
  • 授予項目

VPC Service Controls 不支援將資料夾層級或機構層級的資源新增至服務範圍。您無法使用範圍保護資料夾層級或機構層級的 Privileged Access Manager 資源。VPC Service Controls 可保護專案層級的 Privileged Access Manager 資源。

如要進一步瞭解 VPC Service Controls 如何與 Privileged Access Manager 搭配運作,請參閱 VPC Service Controls 支援的產品表格中的 Privileged Access Manager 項目

後續步驟