如需在多可用区 Google Distributed Cloud (GDC) 网闸隔离的宇宙中维护对跨多个可用区的资源的访问权限,您必须实现一致的全局 权限方案。GDC 提供 Identity and Access Management (IAM) 功能来控制全局权限,而无需 跟踪和维护可用区级访问权限。
本文档适用于平台管理员组内的 IT 管理员 他们负责为 GDC 宇宙中跨多个可用区的资源 开发和维护访问权限控制。
如需了解详情,请参阅 GDC 网闸隔离文档的受众。
跨宇宙的访问权限
GDC 提供多项关键 IAM 功能 ,可帮助控制对可用区以及每个可用区内资源的访问权限。
全局角色管理
GDC 提供内置的全局权限控制,可让您自动应用和管理跨所有可用区的 IAM 角色。通过全局控制权限,您可以避免必须在每个可用区中手动应用角色的分段用例 。基于角色的访问权限控制 (RBAC) 默认情况下是全局的,但必要时可提供精细的可用区级权限 分配。
例如,假设您有一位需要访问项目资源的 新开发者。由于项目默认是全局的,因此它会跨越宇宙中的所有可用区。您无需在每个可用区中手动应用和维护访问项目所需的角色 ,只需为项目应用全局访问角色,该角色会自动应用于项目所在的所有可用区 。现在,新开发者的项目访问权限会随着宇宙的发展而演变,并且会 自动传播到新的可用区(如果宇宙扩大)。
如需详细了解 GDC 中的角色绑定,请参阅 授予和撤消访问权限。
全局用户权限控制
GDC 提供 身份提供方 (IdP),可简化 宇宙中用户的身份验证,而无需单独登录每个 可用区。IdP 是一种集中管理和保护用户 身份并提供身份验证服务的系统。通过连接到现有 IdP ,用户可以使用其组织的 凭据访问 GDC,而无需在 GDC 中创建或管理单独的账号。由于 IdP 是一种全球性资源,默认配置为跨多个可用区,因此无论您在哪个可用区工作,都可以通过同一 IdP 访问 GDC。如需详细了解 GDC 中的 IdP,请参阅 连接到身份提供方。
全局工作负载和服务权限控制
正如人类用户可以受益于 IdP 来简化跨可用区的身份验证一样, 您的工作负载和服务也可以通过 宇宙中的全局身份验证受益于 服务账号。服务账号是 工作负载和服务用于以编程方式使用资源并访问 微服务的账号。由于服务帐号是一种全球性资源,默认配置为跨多个可用区,因此您的工作负载和服务可以使用一组全局权限统一访问跨宇宙的资源。
例如,假设您有一个虚拟机,其中附加了一个存储卷。 由于卷可以跨越两个可用区,因此如果您想允许虚拟机访问该 卷,则虚拟机必须在卷所在的所有可用区中都具有访问权限。 借助全局服务账号,您可以为虚拟机提供对存储 卷的一次性访问权限,该权限会传播到卷所在的所有可用区。借助此 功能,您可以大规模配置访问权限,而无需管理 特定于可用区的访问权限。
如需详细了解 GDC 中的服务账号,请参阅 使用服务账号进行身份验证。