VPC Service Controls は、上り(内向き)ルールと下り(外向き)ルールを使用して、サービス境界内のリソースとクライアントへのアクセスを制御します。アクセスをさらに絞り込むには、上り(内向き)ルールと下り(外向き)ルールでサポートされている ID を指定します。
このページでは、VPC Service Controls でサポートされている ID とその ID 形式について説明します。
サポートされている ID
VPC Service Controls は、IAM v1 API を使用する許可ポリシーのプリンシパル ID の次の ID をサポートしています。
| ID のタイプ | プリンシパル タイプ | 識別子 |
|---|---|---|
| 単一のプリンシパル | ユーザー アカウント | user:USER_EMAIL_ADDRESS |
| サービス アカウント | serviceAccount:SA_EMAIL_ADDRESS |
|
| ID グループとサードパーティ ID | グループ | group:GROUP_EMAIL_ADDRESS |
| Workforce Identity プール内の単一の ID | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| グループ内のすべての Workforce ID | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| 特定の属性値を持つすべての Workforce ID | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Workforce Identity プール内のすべての ID | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| Workload Identity プール内の単一の ID | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Workload Identity プールグループ | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| 特定の属性を持つ Workload Identity プール内のすべての ID | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Workload Identity プール内のすべての ID | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| エージェント ID(プレビュー) | エージェント ID(プレビュー) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| 特定の属性を持つ信頼ドメイン内のすべてのエージェント ID(プレビュー) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 信頼ドメイン内のすべてのエージェント ID(プレビュー) | principalSet://TRUST_DOMAIN/* |
これらの ID の詳細については、許可ポリシーのプリンシパル ID をご覧ください。
VPC Service Controls は、サードパーティの従業員とワークロードの ID に対して次の SPIFFE 形式もサポートしています。
| ID タイプ | プリンシパル タイプ | 識別子 |
|---|---|---|
| SPIFFE 形式の Workforce Identity(プレビュー) | Workforce Identity プール内の単一の ID(プレビュー) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 特定の属性を持つ信頼ドメインとしての Workforce Identity プール内のすべての ID(プレビュー) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Workforce Identity プール内のすべての ID を信頼ドメインとして使用する(プレビュー) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| SPIFFE 形式のワークロード ID(プレビュー) | Workload Identity プール内の単一の ID(プレビュー) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 特定の属性を持つ信頼ドメインとしての Workload Identity プール内のすべての ID(プレビュー) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Workload Identity プール内のすべての ID を信頼ドメインとして使用する(プレビュー) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |