VPC Service Controls 會使用輸入和輸出規則,控管對 service perimeter 內資源和用戶端的存取權,以及從這些資源和用戶端存取資料。如要進一步調整存取權,您可以在輸入和輸出規則中指定支援的身分。
本頁面列出 VPC Service Controls 支援的身分,以及這些身分的 ID 格式。
支援的 ID
VPC Service Controls 支援下列身分 (來自允許政策的主體 ID,使用 IAM v1 API):
| 身分類型 | 主體類型 | ID |
|---|---|---|
| 單一主體 | 使用者帳戶 | user:USER_EMAIL_ADDRESS |
| 服務帳戶 | serviceAccount:SA_EMAIL_ADDRESS |
|
| 身分群組和第三方身分 | 群組 | group:GROUP_EMAIL_ADDRESS |
| 工作團隊身分集區中的單一身分 | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| 群組中的所有員工身分 | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| 具有特定屬性值的所有員工身分 | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 員工身分集區中的所有身分 | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| workload identity pool 中的單一身分 | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| workload identity pool 群組 | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| 具有特定屬性的 workload identity pool 中的所有身分 | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 特定 workload identity pool 中的所有身分 | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| 代理程式身分 (預先發布版) | 服務專員身分 (預覽) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| 信任網域中具有特定屬性的所有代理程式身分 (預覽版) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 信任網域中的所有代理程式身分 (預先發布版) | principalSet://TRUST_DOMAIN/* |
如要進一步瞭解這些身分,請參閱「允許政策的主體 ID」。
VPC Service Controls 也支援下列 SPIFFE 格式,適用於第三方員工和工作負載身分:
| 身分類型 | 主體類型 | ID |
|---|---|---|
| SPIFFE 格式的員工身分 (預先發布版) | 工作團隊身分集區中的單一身分 (預先發布版) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 具有特定屬性的員工身分集區中的所有身分,做為信任網域 (預先發布版) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 員工身分集區中的所有身分 (做為信任網域) (預先發布版) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| SPIFFE 格式的工作負載身分 (預先發布版) | Workload Identity Pool 中的單一身分 (搶先版) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 具有特定屬性的 workload identity pool 中的所有身分 (做為信任網域) (預覽版) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 特定 workload identity pool 中的所有身分 (信任網域) (預覽版) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |