כדי לשמור על גישה למשאבים שפרוסים על פני כמה אזורים ביקום מבודד של Google Distributed Cloud (GDC) עם כמה אזורים, צריך להטמיע תוכנית הרשאות גלובלית עקבית. GDC מספק תכונות של ניהול זהויות והרשאות גישה (IAM) כדי לשלוט בהרשאות הגלובליות בלי שתצטרכו לעקוב אחרי הגישה ברמת האזור ולתחזק אותה.
המאמר הזה מיועד לאדמינים ממחלקת IT בקבוצת האדמינים של הפלטפורמה, שאחראים על פיתוח ותחזוקה של בקרת גישה למשאבים שפרוסים על פני כמה תחומים (zones) ביקום GDC.
מידע נוסף מופיע במאמרי העזרה בנושא קהלים ב-GDC עם פער אבטחה.
גישה שמתפרסת על פני יקום
GDC כולל כמה יכולות מרכזיות של IAM שעוזרות לשלוט בגישה לאזורים ולמשאבים בכל אזור:
- ניהול תפקידים גלובלי: שליטה בתפקידים בכל האזורים באמצעות תפקידים גלובליים.
- שליטה בהרשאות משתמש גלובליות: כניסה לחשבון פעם אחת והפצת האימות בכל האזורים.
- בקרה על הרשאות של עומסי עבודה ושירותים ברמה הגלובלית: אימות של עומסי העבודה והשירותים פעם אחת והפצת האימות שלהם בכל האזורים.
ניהול תפקידים גלובלי
ב-GDC יש בקרת הרשאות גלובלית מובנית שמאפשרת להחיל ולנהל תפקידי IAM שמשתרעים על כל האזורים באופן אוטומטי. שליטה גלובלית בהרשאות מסירה תרחישי שימוש מפולחים שבהם צריך להחיל תפקידים באופן ידני בכל אזור. בקרת גישה מבוססת-תפקידים (RBAC) היא גלובלית כברירת מחדל, אבל מאפשרת הקצאת הרשאות פרטנית לפי אזור, כשצריך.
לדוגמה, נניח שיש לכם מפתח חדש שצריך לגשת למשאבים של הפרויקט. כברירת מחדל, פרויקט הוא גלובלי, ולכן הוא כולל את כל האזורים ביקום שלכם. במקום להחיל ולתחזק באופן ידני את התפקידים שנדרשים לגישה לפרויקט בכל אזור, אפשר להחיל תפקיד גישה גלובלי לפרויקט, שיחול באופן אוטומטי על כל האזורים שבהם הפרויקט נמצא. הגישה לפרויקט של המפתח החדש מתפתחת עכשיו עם היקום שלכם, ומופצת אוטומטית לאזורים חדשים אם היקום שלכם גדל.
מידע נוסף על קישורי תפקידים ב-GDC זמין במאמר הענקת גישה וביטול גישה.
שליטה בהרשאות משתמשים גלובליות
GDC מציעה ספקי זהויות (IdP) כדי לייעל את אימות המשתמשים ביקום שלכם, בלי הצורך להתחבר לכל אזור בנפרד. ספק זהויות (IdP) הוא מערכת שמנהלת ומאבטחת באופן מרכזי את זהויות המשתמשים, ומספקת שירותי אימות. התחברות לספק זהויות קיים מאפשרת למשתמשים לגשת ל-GDC באמצעות פרטי הכניסה של הארגון שלהם, בלי ליצור או לנהל חשבונות נפרדים ב-GDC. מכיוון שספק זהויות הוא משאב גלובלי שמוגדר כברירת מחדל כך שיקיף כמה אזורים, אתם יכולים לגשת ל-GDC דרך אותו ספק זהויות, לא משנה באיזה אזור אתם עובדים.
מידע נוסף על ספקי זהויות ב-GDC זמין במאמר חיבור לספק זהויות.
שליטה בהרשאות של עומסי עבודה ושירותים גלובליים
בדומה למשתמשים אנושיים שמרוויחים משימוש בספקי זהויות (IdP) כדי לייעל את האימות באזורים שונים, גם עומסי העבודה והשירותים שלכם יכולים להרוויח מאימות גלובלי ביקום שלכם באמצעות חשבונות שירות. חשבונות שירות הם החשבונות שעומסי עבודה ושירותים משתמשים בהם כדי לצרוך משאבים באופן פרוגרמטי ולגשת למיקרו-שירותים בצורה מאובטחת. חשבון שירות הוא משאב גלובלי שמוגדר כברירת מחדל כך שיקיף כמה אזורים. לכן, עומסי העבודה והשירותים שלכם יכולים לגשת למשאבים שמקיפים יקום באופן אחיד באמצעות קבוצה אחת של הרשאות גלובליות.
לדוגמה, נניח שיש לכם מכונה וירטואלית עם נפח אחסון מצורף. מכיוון שנפח אחסון יכול להיות בשני אזורים, אם רוצים לאפשר למכונה הווירטואלית לגשת לנפח האחסון, צריך להעניק לה הרשאות גישה בכל האזורים שבהם נפח האחסון נמצא. עם חשבונות שירות גלובליים, אתם יכולים לספק למכונה הווירטואלית גישה לנפח האחסון פעם אחת, והגישה הזו תועבר לכל האזורים שבהם נפח האחסון נמצא. היכולת הזו מאפשרת לכם להגדיר גישה בקנה מידה אוניברסלי, בלי לנהל גישה ספציפית לאזור.
מידע נוסף על חשבונות שירות ב-GDC זמין במאמר אימות באמצעות חשבונות שירות.