Los Controles del servicio de VPC usan reglas de entrada y salida para controlar el acceso desde y hacia los recursos y los clientes dentro de los perímetros de servicio. Para definir aún mejor el acceso, puedes especificar identidades admitidas en las reglas de entrada y salida.
En esta página, se enumeran las identidades que admiten los Controles del servicio de VPC y sus formatos de identificador.
Identidades admitidas
Los Controles del servicio de VPC admiten las siguientes identidades de los identificadores principales para las políticas de permiso, que usan la API de v1 de IAM:
| Tipo de identidad | Tipo de principal | Identificador |
|---|---|---|
| Principales únicos | Cuentas de usuario | user:USER_EMAIL_ADDRESS |
| Cuentas de servicio | serviceAccount:SA_EMAIL_ADDRESS |
|
| Grupos de identidad y también identidades de terceros | Grupo | group:GROUP_EMAIL_ADDRESS |
| Una identidad única en un grupo de identidades de personal | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Todas las identidades del personal de un grupo | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| Todas las identidades del personal con un valor del atributo específico | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas las identidades en un grupo de identidades de personal | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| Una identidad única en un grupo de identidades para cargas de trabajo | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Conjunto de un grupo de identidades para cargas de trabajo | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| Todas las identidades de un grupo de identidades para cargas de trabajo con un atributo determinado | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas las identidades en un grupo de identidades para cargas de trabajo | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| Identidades de agentes (versión preliminar) | Identidad del agente (vista previa) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| Todas las identidades de agentes en un dominio de confianza con un atributo determinado (vista previa) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas las identidades de agentes en un dominio de confianza (versión preliminar) | principalSet://TRUST_DOMAIN/* |
Para obtener más información sobre estas identidades, consulta Identificadores principales para políticas de permiso.
Los Controles del servicio de VPC también admiten los siguientes formatos de SPIFFE para identidades de personal y de cargas de trabajo externas:
| Tipo de identidad | Tipo de principal | Identificador |
|---|---|---|
| Identidades del personal en formato SPIFFE (vista previa) | Identidad única en un grupo de identidad de personal (vista previa) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Todas las identidades en un grupo de identidades de personal como un dominio de confianza con un atributo determinado (vista previa) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas las identidades en un grupo de identidades de personal como un dominio de confianza (vista previa) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| Identidades de cargas de trabajo en formato SPIFFE (vista previa) | Identidad única en un grupo de identidades para cargas de trabajo (vista previa) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Todas las identidades de un grupo de identidades para cargas de trabajo como un dominio de confianza con un atributo determinado (vista previa) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas las identidades en un grupo de identidades para cargas de trabajo como un dominio de confianza (vista previa) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |