Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Protezione delle risorse IAM con i Controlli di servizio VPC

Con i Controlli di servizio VPC, puoi creare perimetri, ovvero confini intorno alle tue Cloud de Confiance risorse. Puoi quindi definire policy di sicurezza che contribuiscono a impedire l'accesso ai servizi supportati dall'esterno del perimetro. Per saperne di più sui Controlli di servizio VPC, consulta la panoramica dei Controlli di servizio VPC.

Puoi utilizzare i Controlli di servizio VPC per proteggere le seguenti API correlate a IAM:

API Identity and Access Management
API Security Token Service
API Privileged Access Manager

Protezione dell'API di gestione di Identity and Access Management

Puoi proteggere le seguenti risorse di Identity and Access Management (IAM) utilizzando i Controlli di servizio VPC:

Ruoli personalizzati
Chiavi service account
Service account
Pool di identità del workload
Policy di negazione
Associazioni di policy per le policy di Principal Access Boundary

Come funzionano i Controlli di servizio VPC con IAM

Quando limiti IAM con un perimetro, vengono limitate solo le azioni che utilizzano l'API IAM. Queste azioni includono:

Gestione dei ruoli IAM personalizzati
Gestione dei pool di identità del workload
Gestione dei service account e delle chiavi
Gestione delle policy di negazione
Gestione delle associazioni di policy per le policy di Principal Access Boundary

Il perimetro non limita le azioni correlate ai pool di forza lavoro e alle policy di Principal Access Boundary perché queste risorse vengono create a livello di organizzazione.

Il perimetro non limita nemmeno la gestione delle policy di autorizzazione per le risorse di proprietà di altri servizi, come progetti, cartelle e organizzazioni di Resource Manager o istanze di macchine virtuali Compute Engine. Per limitare la gestione delle policy di autorizzazione per queste risorse, crea un perimetro che limiti il servizio proprietario delle risorse. Per un elenco delle risorse che accettano le policy di autorizzazione e dei servizi proprietari, consulta Tipi di risorse che accettano le policy di autorizzazione.

Inoltre, il perimetro non limita le azioni che utilizzano altre API, tra cui:

API Security Token Service
API Service Account Credentials (inclusi i metodi signBlob e signJwt legacy nell'API IAM)

Per maggiori dettagli su come funzionano i Controlli di servizio VPC con IAM, consulta la voce IAM nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Protezione dell'API Security Token Service

Puoi proteggere gli scambi di token utilizzando i Controlli di servizio VPC.

Quando limiti l'API Security Token Service con un perimetro, solo le seguenti entità possono scambiare token:

Risorse all'interno dello stesso perimetro del pool di identità del workload che stai utilizzando per scambiare il token
Entità con gli attributi definiti nel perimetro di servizio

Quando crei una regola di traffico in entrata o in uscita per consentire gli scambi di token, devi impostare il tipo di identità su ANY_IDENTITY perché il metodo del token non ha autorizzazione.

Per maggiori dettagli su come funzionano i Controlli di servizio VPC con IAM, consulta la voce Security Token Service nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Protezione dell'API Privileged Access Manager

Puoi proteggere le risorse di Privileged Access Manager utilizzando i Controlli di servizio VPC. Le risorse di Privileged Access Manager includono:

Diritti
Concessioni

I Controlli di servizio VPC non supportano l'aggiunta di risorse a livello di cartella o organizzazione a un perimetro di servizio. Non puoi utilizzare un perimetro per proteggere le risorse di Privileged Access Manager a livello di cartella o organizzazione. I Controlli di servizio VPC proteggono le risorse di Privileged Access Manager a livello di progetto.

Per maggiori dettagli su come funzionano i Controlli di servizio VPC con Privileged Access Manager, consulta la voce Privileged Access Manager nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Protezione dell'API Workload Identity

Puoi proteggere l'API Workload Identity utilizzando i Controlli di servizio VPC.

L'API Workload Identity ti consente di attivare la creazione di agenti di servizio per un servizio specificato in un progetto, una cartella, o un'organizzazione specifici. Quando limiti l'API Workload Identity con un perimetro, non puoi attivare la creazione di agenti di servizio per i progetti all'interno del perimetro. Questo vale indipendentemente dal servizio specificato nella richiesta.

I Controlli di servizio VPC non supportano l'aggiunta di risorse a livello di cartella o organizzazione a un perimetro di servizio. Di conseguenza, non puoi utilizzare un perimetro per impedire agli utenti di attivare la creazione di agenti di servizio per cartelle o organizzazioni.

Per maggiori dettagli su come funzionano i Controlli di servizio VPC con l'API Workload Identity, consulta la voce API Workload Identity nella tabella dei prodotti supportati dai Controlli di servizio VPC.

Passaggi successivi

Scopri come creare un perimetro di servizio.