Pour conserver l'accès aux ressources qui s'étendent sur plusieurs zones dans un univers Google Distributed Cloud (GDC) multizone isolé, vous devez implémenter un schéma d'autorisations global cohérent. GDC fournit des fonctionnalités Identity and Access Management (IAM) pour contrôler vos autorisations globales sans avoir à suivre et à gérer les accès au niveau des zones.
Ce document est destiné aux administrateurs informatiques du groupe d'administrateurs de plate-forme qui sont chargés de développer et de gérer le contrôle des accès aux ressources couvrant plusieurs zones d'un univers GDC.
Pour en savoir plus, consultez la documentation sur les audiences pour GDC sous air gap.
Un accès qui s'étend à un univers
GDC propose plusieurs fonctionnalités IAM clés pour vous aider à contrôler l'accès à vos zones et aux ressources de chacune d'elles.
Gestion des rôles globaux
GDC fournit un contrôle des autorisations globales intégré qui vous permet d'appliquer et de gérer automatiquement les rôles IAM qui couvrent toutes les zones. Le contrôle global de vos autorisations supprime les cas d'utilisation segmentés dans lesquels vous devez appliquer manuellement des rôles dans chaque zone. Le contrôle des accès basé sur les rôles (RBAC) est global par défaut, mais permet d'attribuer des autorisations zonales précises, si nécessaire.
Par exemple, imaginons que vous ayez un nouveau développeur qui doit accéder aux ressources de votre projet. Comme un projet est global par défaut, il couvre toutes les zones de votre univers. Au lieu d'appliquer et de gérer manuellement les rôles nécessaires pour accéder au projet dans chaque zone, vous appliquez un rôle d'accès global pour le projet, qui s'applique automatiquement à toutes les zones dans lesquelles se trouve le projet. Le nouvel accès au projet du développeur évolue désormais avec votre univers et est propagé automatiquement aux nouvelles zones si votre univers s'agrandit.
Pour en savoir plus sur les liaisons de rôle dans GDC, consultez Accorder et révoquer l'accès.
Contrôle global des autorisations des utilisateurs
GDC propose des fournisseurs d'identité (IdP) pour simplifier l'authentification des utilisateurs dans votre univers, sans avoir à se connecter à chaque zone séparément. Un IdP est un système qui gère et sécurise de manière centralisée les identités des utilisateurs, en fournissant des services d'authentification. La connexion à un FId existant permet aux utilisateurs d'accéder à GDC à l'aide des identifiants de leur organisation, sans avoir à créer ni gérer de comptes distincts dans GDC. Étant donné qu'un fournisseur d'identité est une ressource globale configurée pour s'étendre sur plusieurs zones par défaut, vous pouvez accéder à GDC via le même fournisseur d'identité, quelle que soit la zone dans laquelle vous travaillez. Pour en savoir plus sur les IdP dans GDC, consultez Se connecter à un fournisseur d'identité.
Contrôle des autorisations globales pour les charges de travail et les services
Tout comme les utilisateurs humains bénéficient des fournisseurs d'identité pour simplifier l'authentification dans les zones, vos charges de travail et vos services peuvent également bénéficier d'une authentification globale dans votre univers avec les comptes de service. Les comptes de service sont les comptes que les charges de travail et les services utilisent pour consommer des ressources de manière programmatique et accéder aux microservices de manière sécurisée. Étant donné qu'un compte de service est une ressource globale configurée pour s'étendre sur plusieurs zones par défaut, vos charges de travail et services peuvent accéder aux ressources qui s'étendent sur un univers de manière uniforme avec un seul ensemble d'autorisations globales.
Prenons l'exemple d'une VM à laquelle est associé un volume de stockage. Étant donné qu'un volume peut s'étendre sur deux zones, si vous souhaitez autoriser la VM à accéder au volume, elle doit disposer d'autorisations d'accès dans toutes les zones où se trouve le volume. Les comptes de service globaux vous permettent d'accorder l'accès de la VM au volume de stockage une seule fois, ce qui se propage à toutes les zones où se trouve le volume. Cette fonctionnalité vous permet de configurer l'accès à l'échelle universelle, sans gérer l'accès spécifique aux zones.
Pour en savoir plus sur les comptes de service dans GDC, consultez S'authentifier avec des comptes de service.