O VPC Service Controls usa regras de entrada e saída para controlar o acesso de e para recursos e clientes dentro dos perímetros de serviço. Para refinar ainda mais o acesso, especifique identidades compatíveis nas regras de entrada e saída.
Nesta página, listamos as identidades compatíveis com o VPC Service Controls e os formatos de identificador delas.
Identidades compatíveis
O VPC Service Controls é compatível com as seguintes identidades dos identificadores principais
para políticas de permissão, que usam a API
v1 do IAM:
| Tipo de identidade | Tipo principal | Identificador |
|---|---|---|
| Principais únicos | Contas de usuário | user:USER_EMAIL_ADDRESS |
| Contas de serviço | serviceAccount:SA_EMAIL_ADDRESS |
|
| Grupos de identidade e identidades de terceiros | Grupo | group:GROUP_EMAIL_ADDRESS |
| Identidade excluída em um pool de identidade da força de trabalho | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Todas as identidades da força de trabalho em um grupo | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| Todas as identidades da força de trabalho com um valor de atributo específico | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas as identidades em um pool de identidade da força de trabalho | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| Identidade única em um pool de Identidade da carga de trabalho | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| Grupo de pools de Identidades da carga de trabalho | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| Todas as identidades em um pool de Identidade da carga de trabalho com um determinado atributo | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas as identidades em um pool de Identidade da carga de trabalho | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| Identidades do agente (prévia) | Identidade do agente (prévia) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| Todas as identidades de agente em um domínio de confiança com um determinado atributo (prévia) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas as identidades de agente em um domínio de confiança (prévia) | principalSet://TRUST_DOMAIN/* |
Para mais informações sobre essas identidades, consulte Identificadores principais para políticas de permissão.
O VPC Service Controls também é compatível com os seguintes formatos SPIFFE para identidades de terceiros de colaboradores e cargas de trabalho:
| Tipo de identidade | Tipo principal | Identificador |
|---|---|---|
| Identidades da força de trabalho no formato SPIFFE (Visualização) | Identidade única em um pool de identidades de força de trabalho (Preview) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Todas as identidades em um pool de identidade da força de trabalho como um domínio de confiança com um determinado atributo (Preview) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas as identidades em um pool de identidades da força de trabalho como um domínio de confiança (prévia) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| Identidades de carga de trabalho no formato SPIFFE (prévia) | Identidade única em um pool de Identidade da carga de trabalho (Preview) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| Todas as identidades em um pool de Identidade da carga de trabalho como um domínio de confiança com um determinado atributo (prévia) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| Todas as identidades em um pool de Identidade da carga de trabalho como um domínio de confiança (prévia) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |