VPC Service Controls 使用入站流量和出站流量规则来控制对服务边界内资源和客户端的访问以及来自这些资源和客户端的访问。如需进一步细化访问权限,您可以在入站流量和出站流量规则中指定受支持的身份。
本页面列出了 VPC Service Controls 支持的身份及其标识符格式。
支持的身份
VPC Service Controls 支持许可政策的主账号标识符中的以下身份,这些身份使用 IAM v1 API:
| 身份类型 | 主账号类型 | 标识符 |
|---|---|---|
| 单个主账号 | 用户账号 | user:USER_EMAIL_ADDRESS |
| 服务账号 | serviceAccount:SA_EMAIL_ADDRESS |
|
| 身份群组和第三方身份 | 群组 | group:GROUP_EMAIL_ADDRESS |
| 员工身份池中的单个身份 | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| 群组中的所有员工身份 | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
|
| 具有特定属性值的所有员工身份 | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 员工身份池中的所有身份 | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
|
| 工作负载身份池中的单个身份 | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
|
| 工作负载身份池组 | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
|
| 工作负载身份池中具有特定属性的所有身份 | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 工作负载身份池中的所有身份 | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
|
| 代理身份(预览版) | 代理身份(预览版) | principal://TRUST_DOMAIN/AGENT_UNIQUE_IDENTIFIER |
| 信任网域中具有特定属性的所有代理身份(预览版) | principalSet://TRUST_DOMAIN/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 信任网域中的所有代理身份(预览版) | principalSet://TRUST_DOMAIN/* |
如需详细了解这些身份,请参阅许可政策的主账号标识符。
VPC Service Controls 还支持以下 SPIFFE 格式的第三方员工和工作负载身份:
| 身份类型 | 主账号类型 | 标识符 |
|---|---|---|
| 采用 SPIFFE 格式的员工身份(预览版) | 员工身份池中的单个身份(预览版) | principal://POOL_ID.global.workforce.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 作为信任网域的员工身份池中具有特定属性的所有身份(预览版) | principalSet://POOL_ID.global.workforce.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 员工身份池中的所有身份(作为信任网域)(预览版) | principalSet://POOL_ID.global.workforce.id.goog/* |
|
| 采用 SPIFFE 格式的工作负载身份(预览版) | 工作负载身份池中的单个身份(预览版) | principal://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/SUBJECT_ATTRIBUTE_VALUE |
| 工作负载身份池中作为信任网域且具有特定属性的所有身份(预览版) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
|
| 工作负载身份池中的所有身份(作为信任网域)(预览版) | principalSet://POOL_ID.global.ORGANIZATION_ID.workload.id.goog/* |