Controle de permissões para um universo multizona

Para manter o acesso a recursos que abrangem várias zonas em um universo isolado do Google Distributed Cloud (GDC) multizona, é necessário implementar um esquema de permissões global consistente. O GDC oferece recursos Identity and Access Management (IAM) para controlar suas permissões globais sem precisar rastrear e manter o acesso no nível da zona.

Este documento é destinado a administradores de TI no grupo de administradores de plataforma responsáveis por desenvolver e manter o controle de acesso a recursos que abrangem várias zonas em um universo do GDC.

Para mais informações, consulte Públicos-alvo da documentação do GDC com isolamento físico.

Acesso que abrange um universo

O GDC oferece vários recursos importantes do IAM para ajudar a controlar o acesso às suas zonas e aos recursos em cada uma delas:

Gerenciamento de funções globais

O GDC oferece controle de permissões global integrado que permite aplicar e gerenciar papéis do IAM em todas as zonas automaticamente. O controle global sobre suas permissões remove casos de uso segmentados em que você precisa aplicar papéis manualmente em cada zona. O controle de acesso baseado em papéis (RBAC) é global por padrão, mas oferece alocação de permissão zonal refinada, quando necessário.

Por exemplo, imagine que você tem um novo desenvolvedor que precisa acessar os recursos do seu projeto. Como um projeto é global por padrão, ele abrange todas as zonas do seu universo. Em vez de aplicar e manter manualmente as funções necessárias para acessar o projeto em cada zona, você aplica uma função de acesso global ao projeto, que se aplica automaticamente a todas as zonas em que ele está. O acesso ao projeto do novo desenvolvedor agora evolui com seu universo e é propagado automaticamente para novas zonas se o universo crescer.

Para mais informações sobre vinculações de função no GDC, consulte Conceder e revogar acesso.

Controle global de permissões do usuário

O GDC oferece provedores de identidade (IdP) para simplificar a autenticação de usuários no seu universo, sem a necessidade de fazer login em cada zona separadamente. Um IdP é um sistema que gerencia e protege de forma centralizada as identidades de usuário, fornecendo serviços de autenticação. Ao se conectar a um IdP, os usuários podem acessar o GDC usando as credenciais da organização sem precisar criar ou gerenciar contas separadas no GDC. Como um IdP é um recurso global configurado para abranger várias zonas por padrão, é possível acessar o GDC pelo mesmo IdP, independente da zona em que você trabalha.

Para mais informações sobre IdPs no GDC, consulte Conectar-se a um provedor de identidade.

Controle global de permissões de carga de trabalho e serviço

Assim como os usuários humanos se beneficiam dos IdPs para simplificar a autenticação em várias zonas, suas cargas de trabalho e serviços também podem se beneficiar da autenticação global no seu universo com contas de serviço. As contas de serviço são as contas que cargas de trabalho e serviços usam para consumir recursos e acessar microsserviços de maneira programática e segura. Como uma conta de serviço é um recurso global configurado para abranger várias zonas por padrão, suas cargas de trabalho e serviços podem acessar recursos que abrangem um universo de maneira uniforme com um único conjunto de permissões globais.

Por exemplo, suponha que você tenha uma VM com um volume de armazenamento anexado. Como um volume pode abranger duas zonas, se você quiser permitir que a VM acesse o volume, ela precisará ter permissões de acesso em todas as zonas em que o volume reside. Com as contas de serviço globais, você pode fornecer acesso da VM ao volume de armazenamento uma vez, o que é propagado para todas as zonas em que o volume reside. Com esse recurso, é possível configurar o acesso em uma escala universal, sem gerenciar o acesso específico da zona.

Para mais informações sobre contas de serviço no GDC, consulte Autenticar com contas de serviço.

A seguir