Per mantenere l'accesso alle risorse che si estendono su più zone in un universo Google Distributed Cloud (GDC) air-gap multizona, devi implementare uno schema di autorizzazioni globali coerente. GDC fornisce funzionalità di Identity and Access Management (IAM) per controllare le autorizzazioni globali senza dover monitorare e gestire l'accesso a livello di zona.
Questo documento è destinato agli amministratori IT all'interno del gruppo di amministratori della piattaforma che sono responsabili dello sviluppo e della manutenzione delcontrollo dell'accessoi per le risorse che si estendono su più zone in un universo GDC.
Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.
Un accesso che abbraccia un universo
GDC offre diverse funzionalità IAM chiave per controllare l'accesso alle zone e alle risorse all'interno di ciascuna zona:
- Gestione dei ruoli globali: controlla i ruoli nelle zone con i ruoli globali.
- Controllo globale delle autorizzazioni utente: accedi una volta e propaga l'autenticazione in tutte le zone.
- Controllo globale delle autorizzazioni di servizi e carichi di lavoro: autentica i tuoi servizi e carichi di lavoro una sola volta e propaga l'autenticazione in tutte le zone.
Gestione dei ruoli globali
GDC fornisce un controllo delle autorizzazioni globali integrato che ti consente di applicare e gestire automaticamente i ruoli IAM che si estendono a tutte le zone. Il controllo globale delle autorizzazioni elimina i casi d'uso segmentati in cui devi applicare manualmente i ruoli in ogni zona. Il controllo dell'controllo dell'accesso basato sui ruoli (RBAC) è globale per impostazione predefinita, ma fornisce un'allocazione delle autorizzazioni a livello di zona ottimizzata, se necessario.
Ad esempio, supponiamo che tu abbia un nuovo sviluppatore che deve accedere alle risorse del tuo progetto. Poiché un progetto è globale per impostazione predefinita, copre tutte le zone del tuo universo. Invece di applicare e gestire manualmente i ruoli necessari per accedere al progetto in ogni zona, applichi un ruolo di accesso globale per il progetto, che si applica automaticamente a tutte le zone in cui si trova il progetto. Il nuovo accesso al progetto dello sviluppatore ora si evolve con il tuo universo e viene propagato automaticamente alle nuove zone se il tuo universo cresce.
Per saperne di più sui binding dei ruoli in GDC, consulta Concedere e revocare l'accesso.
Controllo globale delle autorizzazioni utente
GDC offre provider di identità (IdP) per semplificare l'autenticazione degli utenti nel tuo universo, senza la seccatura di accedere a ogni zona separatamente. Un IdP è un sistema che gestisce e protegge centralmente le identità degli utenti, fornendo servizi di autenticazione. La connessione a un IdP esistente consente agli utenti di accedere a GDC utilizzando le credenziali della propria organizzazione, senza dover creare o gestire account separati all'interno di GDC. Poiché un IdP è una risorsa globale configurata per estendersi a più zone per impostazione predefinita, puoi accedere a GDC tramite lo stesso IdP indipendentemente dalla zona in cui lavori.
Per saperne di più sui provider di identità in GDC, vedi Stabilire la connessione a un provider di identità.
Controllo globale delle autorizzazioni di servizi e workload
Proprio come gli utenti umani traggono vantaggio dagli IdP per semplificare l'autenticazione tra le zone, anche i tuoi workload e servizi possono trarre vantaggio dall'autenticazione globale nel tuo universo con i service account. I service account sono gli account che i workload e i servizi utilizzano per utilizzare le risorse a livello di programmazione e accedere in modo sicuro ai microservizi. Poiché un account di servizio è una risorsa globale configurata per estendersi a più zone per impostazione predefinita, i tuoi carichi di lavoro e servizi possono accedere alle risorse che si estendono a un universo in modo uniforme con un unico insieme di autorizzazioni globali.
Ad esempio, supponiamo di avere una VM con un volume di archiviazione collegato. Poiché un volume può estendersi su due zone, se vuoi consentire alla VM di accedere al volume, deve disporre delle autorizzazioni di accesso in tutte le zone in cui si trova il volume. Con i service account globali, puoi fornire l'accesso della VM al volume di archiviazione una sola volta, che si propaga a tutte le zone in cui si trova il volume. Questa funzionalità ti consente di configurare l'accesso su scala universale, senza gestire l'accesso specifico per zona.
Per ulteriori informazioni sui service account in GDC, consulta Autenticarsi con i service account.