本頁面說明如何透過員工身分聯盟,設定 Backup and DR Service 的使用者存取權。
員工身分聯盟可讓您使用外部識別資訊提供者 (IdP) 驗證工作團隊 (一群使用者,例如員工、合作夥伴和約聘人員) 並提供授權,讓使用者透過 IAM 存取 Google Cloud 服務。
如果專案中已設定員工身分聯盟,員工就能存取下列項目:
- Google Cloud 控制台中的備份和災難復原服務
- 管理控制台
透過員工身分聯盟設定備份和災難復原服務的存取權
本節說明如何為員工身分聯盟使用者設定 Backup and DR Service 的存取權。
設定識別資訊提供者
請參閱「設定員工身分聯盟」指南,為您的身分識別提供者設定員工身分聯盟。
將 IAM 角色授予員工身分聯盟使用者
在 Identity and Access Management (IAM) 中,將 IAM 角色授予員工身分聯盟使用者群組,讓他們可以存取備份和災難復原服務與管理控制台,以保護工作負載:
- 如需 Backup and DR Service 專屬角色清單,請參閱將角色授予使用者。
- 如要瞭解如何將這些角色指派給外部使用者,請參閱「將 IAM 角色授予主體」。
- 如需在 IAM 政策中代表員工身分聯盟使用者的格式,請參閱「在 IAM 政策中代表員工集區使用者」。
備份與 DR 服務處理員工身分聯盟使用者的方式,與處理 Google 帳戶使用者相同,都是使用主體 ID,而非電子郵件地址。
在 Google Cloud 控制台中存取「備份和災難復原服務」頁面
Google Cloud 員工身分聯盟控制台可存取備份與 DR 服務頁面。
在 Google Cloud Workforce Identity Federation 控制台的「備份和災難復原服務」頁面中,您可以部署管理控制台、備份/復原設備,以及查看備份和災難復原服務記錄。您也可以透過管理主控台備份資源。
存取管理控制台
員工身分聯盟使用者存取管理控制台時,使用的網址與 Google 管理的使用者不同,如下所示:
員工身分聯盟使用者的網址為
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.byoid.googleusercontent.com/
Google 受管理使用者帳戶的網址為
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com/
只有通過外部身分驗證的使用者,才能存取外部身分網址。如果使用者在未登入的情況下造訪外部身分網址,系統會先將他們重新導向至驗證入口,並要求指定工作團隊集區提供者名稱。然後重新導向至身分識別供應商登入,最後重新導向至管理控制台。
員工身分聯盟使用者無法使用 Google 管理使用者分享的網址,直接存取管理控制台。如要以員工身分聯盟使用者身分存取管理控制台,請手動將連結更新為員工身分聯盟使用者專用的網址。