Um den Zugriff auf Ressourcen aufrechtzuerhalten, die sich über mehrere Zonen in einem Google Distributed Cloud-Universum (GDC) mit Air Gap erstrecken, müssen Sie ein einheitliches globales Berechtigungsschema implementieren. GDC bietet Funktionen für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM), mit denen Sie Ihre globalen Berechtigungen steuern können, ohne den Zugriff auf Zonenebene verfolgen und verwalten zu müssen.
Dieses Dokument richtet sich an IT-Administratoren in der Gruppe der Plattformadministratoren die für die Entwicklung und Verwaltung der Zugriffssteuerung für Ressourcen verantwortlich sind die sich über mehrere Zonen in einem GDC-Universum erstrecken.
Weitere Informationen finden Sie unter Dokumentation zu Zielgruppen für GDC mit Air Gap.
Zugriff, der sich über ein Universum erstreckt
GDC bietet mehrere wichtige IAM-Funktionen , mit denen Sie den Zugriff auf Ihre Zonen und die Ressourcen in jeder Zone steuern können.
Globale Rollenverwaltung
GDC bietet eine integrierte globale Berechtigungssteuerung, mit der Sie IAM-Rollen anwenden und verwalten können, die sich automatisch über alle Zonen erstrecken. Durch die globale Kontrolle über Ihre Berechtigungen werden segmentierte Anwendungsfälle vermieden, in denen Sie Rollen in jeder Zone manuell anwenden müssen. Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) ist standardmäßig global, bietet aber bei Bedarf eine detaillierte Zonenberechtigungs zuweisung.
Angenommen, Sie haben einen neuen Entwickler, der auf die Ressourcen Ihres Projekts zugreifen muss. Da ein Projekt standardmäßig global ist, erstreckt es sich über alle Zonen in Ihrem Universum. Anstatt die für den Zugriff auf das Projekt in jeder Zone erforderlichen Rollen manuell anzuwenden und zu verwalten, weisen Sie eine globale Zugriffsrolle für das Projekt zu, die automatisch für alle Zonen gilt, in denen sich das Projekt befindet. Der Projektzugriff des neuen Entwicklers entwickelt sich jetzt mit Ihrem Universum weiter und wird automatisch auf neue Zonen übertragen, wenn Ihr Universum wächst.
Weitere Informationen zu Rollenbindungen in GDC finden Sie unter Zugriff gewähren und entziehen.
Globale Steuerung der Nutzerberechtigungen
GDC bietet Identitätsanbieter (Identity Providers, IdPs), um die Authentifizierung von Nutzern in Ihrem Universum zu vereinfachen, ohne dass Sie sich separat in jeder Zone anmelden müssen. Ein IdP ist ein System, das Nutzer identitäten zentral verwaltet und schützt und Authentifizierungsdienste bereitstellt. Wenn Sie eine Verbindung zu einem vorhandenen IdP herstellen, können Nutzer mit den Anmeldedaten ihrer Organisation auf GDC zugreifen, ohne separate Konten in GDC erstellen oder verwalten zu müssen. Da ein IdP eine globale Ressource ist, die standardmäßig für mehrere Zonen konfiguriert ist, können Sie unabhängig von der Zone, in der Sie arbeiten, über denselben IdP auf GDC zugreifen. Weitere Informationen zu IdPs in GDC finden Sie unter Mit einem Identitätsanbieter verbinden.
Globale Steuerung der Berechtigungen für Arbeitslasten und Dienste
So wie menschliche Nutzer von IdPs profitieren, um die Authentifizierung über Zonen hinweg zu vereinfachen, können auch Ihre Arbeitslasten und Dienste von der globalen Authentifizierung in Ihrem Universum mit Dienstkonten profitieren. Dienstkonten sind die Konten, die von Arbeitslasten und Diensten verwendet werden, um Ressourcen programmatisch zu nutzen und sicher auf Microservices zuzugreifen. Da ein Dienstkonto eine globale Ressource ist, die standardmäßig für mehrere Zonen konfiguriert ist, können Ihre Arbeitslasten und Dienste mit einem einzigen Satz globaler Berechtigungen einheitlich auf Ressourcen zugreifen, die sich über ein Universum erstrecken.
Angenommen, Sie haben eine VM mit einem angehängten Speichervolume. Da sich ein Volume über zwei Zonen erstrecken kann, muss die VM Zugriffsberechtigungen in allen Zonen haben, in denen sich das Volume befindet, wenn sie auf das Volume zugreifen soll. Mit globalen Dienstkonten können Sie der VM einmal Zugriff auf das Speicher volume gewähren. Dieser Zugriff wird dann auf alle Zonen übertragen, in denen sich das Volume befindet. Mit dieser Funktion können Sie den Zugriff universell konfigurieren, ohne den zonenspezifischen Zugriff verwalten zu müssen.
Weitere Informationen zu Dienstkonten in GDC finden Sie unter Mit Dienstkonten authentifizieren.