Per mantenere l'accesso alle risorse che si estendono su più zone in un universo air-gapped di Google Distributed Cloud (GDC) multizona, devi implementare uno schema di autorizzazioni globali coerente. GDC fornisce funzionalità di Identity and Access Management (IAM) per controllare le autorizzazioni globali senza dover monitorare e gestire l'accesso a livello di zona.
Questo documento è destinato agli amministratori IT del gruppo di amministratori della piattaforma responsabili dello sviluppo e della gestione del controllo dell'accesso alle risorse che si estendono su più zone in un universo GDC.
Per saperne di più, consulta Pubblico per la documentazione air-gapped di GDC.
Accesso che si estende a un universo
GDC offre diverse funzionalità IAM chiave per aiutarti a controllare l'accesso alle zone e alle risorse all'interno di ogni zona.
Gestione dei ruoli globali
GDC fornisce un controllo delle autorizzazioni globali integrato che ti consente di applicare e gestire automaticamente i ruoli IAM che si estendono su tutte le zone automaticamente. Il controllo globale delle autorizzazioni rimuove i casi d'uso segmentati in cui devi applicare manualmente i ruoli in ogni zona. Il controllo dell'accesso basato sui ruoli (RBAC) è globale per impostazione predefinita, ma fornisce un'allocazione delle autorizzazioni a livello di zona ottimizzata, se necessario.
Ad esempio, supponiamo che tu abbia un nuovo sviluppatore che deve accedere alle risorse del tuo progetto. Poiché un progetto è globale per impostazione predefinita, si estende a tutte le zone del tuo universo. Anziché applicare e gestire manualmente i ruoli necessari per accedere al progetto in ogni zona, applichi un ruolo di accesso globale per il progetto, che viene applicato automaticamente a tutte le zone in cui si trova il progetto. L'accesso al progetto del nuovo sviluppatore ora si evolve con il tuo universo e viene propagato automaticamente alle nuove zone se il tuo universo cresce.
Per saperne di più sui binding dei ruoli in GDC, consulta Concedere e revocare l'accesso.
Controllo delle autorizzazioni utente globali
GDC offre provider di identità (IdP) per semplificare l'autenticazione degli utenti nel tuo universo, senza la difficoltà di accedere a ogni zona separatamente. Un IdP è un sistema che gestisce e protegge centralmente le identità degli utenti, fornendo servizi di autenticazione. La connessione a un IdP esistente consente agli utenti di accedere a GDC utilizzando le credenziali della propria organizzazione, senza dover creare o gestire account separati all'interno di GDC. Poiché un IdP è una risorsa globale che è configurata per estendersi a più zone per impostazione predefinita, puoi accedere a GDC tramite lo stesso IdP indipendentemente dalla zona in cui lavori. Per saperne di più sugli IdP in GDC, consulta Connettersi a un provider di identità.
Controllo delle autorizzazioni globali per workload e servizi
Proprio come gli utenti umani usano gli IdP per semplificare l'autenticazione tra le zone, anche i workload e i servizi possono usufruire dell'autenticazione globale nel tuo universo con i service account. I service account sono gli account utilizzati da workload e servizi per utilizzare le risorse a livello di programmazione e accedere in modo sicuro ai microservizi. Poiché un account di servizio è una risorsa globale che è configurata per estendersi a più zone per impostazione predefinita, i workload e i servizi possono accedere alle risorse che si estendono uniformemente a un universo con un singolo set di autorizzazioni globali.
Ad esempio, supponiamo che tu abbia una VM con un volume di archiviazione collegato. Poiché un volume può estendersi su due zone, se vuoi consentire alla VM di accedere al volume, deve disporre delle autorizzazioni di accesso in tutte le zone in cui si trova il volume. Con i service account globali, puoi fornire l'accesso della VM al volume di archiviazione una sola volta, che viene propagato a tutte le zone in cui si trova il volume. Questa funzionalità ti consente di configurare l'accesso su scala universale, senza gestire l'accesso specifico per zona.
Per saperne di più sui service account in GDC, consulta Eseguire l'autenticazione con i service account.