マルチゾーンの Google Distributed Cloud(GDC)エアギャップ環境で複数のゾーンにまたがるリソースへのアクセスを維持するには、一貫したグローバル 権限スキームを実装する必要があります。GDC には、ゾーンレベルのアクセスを追跡して管理することなく、グローバル権限を制御できる Identity and Access Management(IAM)機能が用意されています。
このドキュメントは、GDC 環境内の複数のゾーンにまたがるリソースのアクセス制御の開発と保守を担当する、プラットフォーム管理者グループ内の IT 管理者を対象としています。
詳細については、 GDC エアギャップ環境のドキュメントの対象読者をご覧ください。
環境全体にまたがるアクセス
GDC には、ゾーンと各ゾーン内のリソースへのアクセスを制御するための IAM 機能がいくつか用意されています。
グローバル ロールの管理
GDC には、すべてのゾーンにまたがる IAM ロールを自動的に適用して管理できる、組み込みのグローバル権限制御が用意されています。権限をグローバルに制御することで、各ゾーンでロールを手動で適用する必要があるセグメント化されたユースケース を排除できます。ロールベースのアクセス制御 (RBAC) __はデフォルトでグローバルですが、必要に応じてきめ細かいゾーン別の権限 割り当てを行うことができます。
たとえば、プロジェクトのリソースにアクセスする必要がある新しいデベロッパーがいるとします。プロジェクトはデフォルトでグローバルであるため、環境内のすべてのゾーンにまたがります。 各ゾーンでプロジェクトにアクセスするために必要なロールを手動で適用して管理するのではなく、プロジェクトのグローバル アクセスロールを適用します。このロールは、プロジェクトが存在するすべてのゾーンに自動的に適用されます。新しいデベロッパーのプロジェクト アクセスは環境とともに進化し、環境が拡大すると新しいゾーンに自動的に 伝播されます。
GDC でのロール バインディングの詳細については、 アクセス権の付与と取り消しをご覧ください。
グローバル ユーザー権限の制御
GDC には、各ゾーンに個別にログインする手間をかけずに、環境内のユーザーの認証を効率化する ID プロバイダ(IdP) が用意されています。IdP は、ユーザー ID を一元的に管理して保護し、認証サービスを提供するシステムです。既存の IdP に接続すると、ユーザーは GDC 内で個別のユーザー アカウントを作成または管理することなく、組織の認証情報を使用して GDC にアクセスできます。IdP はデフォルトで複数のゾーンにまたがるように 構成されたグローバル リソースであるため、作業するゾーンに関係なく、同じ IdP を介して GDC にアクセスできます。GDC の IdP の詳細については、 ID プロバイダに接続するをご覧ください。
グローバル ワークロードとサービス権限の制御
人間が IdP を使用してゾーン間の認証を効率化できるのと同様に、 ワークロードとサービスも 環境内のグローバル認証をサービス アカウントを使用して利用できます。サービス アカウントは、 ワークロードとサービスがリソースをプログラムで消費し、 マイクロサービスに安全にアクセスするために使用するアカウントです。サービス アカウントはデフォルトで複数のゾーンにまたがるように 構成されたグローバル リソースであるため、ワークロードとサービスは 1 つのグローバル権限セットを使用して、環境全体にまたがるリソースに均一に アクセスできます。
たとえば、ストレージ ボリュームが接続された VM があるとします。 ボリュームは 2 つのゾーンにまたがる可能性があるため、VM が ボリュームにアクセスできるようにするには、ボリュームが存在するすべてのゾーンでアクセス権が必要です。 グローバル サービス アカウントを使用すると、VM にストレージ ボリュームへのアクセス権を 1 回付与するだけで、ボリュームが存在するすべてのゾーンに伝播されます。この 機能を使用すると、 ゾーン固有のアクセスを管理することなく、ユニバーサル スケールでアクセスを構成できます。
GDC のサービス アカウントの詳細については、 サービス アカウントで認証するをご覧ください。