הרשאה ובקרת גישה

הפלטפורמה לניהול זהויות והרשאות הגישה (IAM) היא כלי שמאפשר לכם לקבוע מי יכול לבצע אילו פעולות בסביבת Google Cloud .

הגישה נשלטת באמצעות הרשאות IAM, שנדרשות כדי לעבוד עם משאבים בסביבת Google Cloud . כשמקבלים הרשאות לעבודה עם משאב, יש הרשאה לגשת למשאב הזה. בלי הרשאה מתאימה, אי אפשר לגשת למשאבים. Google Cloud

הרשאות ותפקידים

כדי לעבוד עם משאב, לחשבון המשתמש שלכם צריכות להיות ההרשאות הרלוונטיות לגישה למשאב הזה.

בדרך כלל, אדמין IAM אחראי לשליטה בגישה למשאבים. האדמין יכול לתת לכם הרשאות גישה למשאב יחיד או לכל המשאבים בפרויקט, בתיקייה או בארגון. אדמינים מעניקים לחשבון המשתמש שלכם את ההרשאות הרלוונטיות בחבילות שנקראות תפקידים. כל עוד לחשבון המשתמש שלכם יש תפקיד עם ההרשאות המתאימות, אתם יכולים להשתמש בתפקיד הזה כדי לגשת למשאבים. Google Cloud

בדרך כלל, תהליך העבודה לביצוע פעולה על משאב בסביבתGoogle Cloud נראה כך:

  1. אתם רוצים לבצע פעולה במשאב – למשל, להעלות אובייקט לקטגוריה של Cloud Storage – אבל אין לכם את ההרשאות המתאימות. בלי ההרשאות, אי אפשר לבצע את הפעולה.
  2. אתם יכולים לבקש את ההרשאות שאתם צריכים מהאדמין של IAM דרך מערכת ניהול הבקשות המועדפת שלכם או ישירות מהודעת השגיאה בנושא הרשאות במסוף Google Cloud .
  3. אדמין ה-IAM מקצה לחשבון המשתמש שלכם תפקיד שמכיל את ההרשאות המתאימות. עכשיו אפשר לבצע את הפעולה.

שימוש ב-IAM כאדמין

בדרך כלל, האדמינים אחראים להקצות תפקידים למשתמשים כדי שהם יוכלו לגשת למשאבי Google Cloud . המשתמשים מיוצגים על ידי זהויות מאומתות שנקראות גורמים ראשיים.

כדי להעניק תפקידים לחשבון משתמש במשאב, צריך לערוך את מדיניות ההרשאות שמצורפת למשאב. במדיניות הרשאה מפורטים חשבונות המשתמשים שיש להם גישה למשאב והפעולות שהם יכולים לבצע במשאב. מערכת IAM משתמשת במדיניות הרשאות כדי לקבוע אם לחשבון משתמש יש את ההרשאות הנדרשות לגישה למשאב. לכן, כדי להעניק לחשבון משתמש גישה למשאב מסוים, צריך לעדכן את מדיניות ההרשאות של המשאב עם חשבון המשתמש והתפקידים שרוצים להעניק.

אדמינים יכולים להקצות תפקידים לחשבונות משתמשים בסוגי המשאבים הבאים:

  • פרויקטים, תיקיות וארגונים: אלה משאבי הקונטיינר שמשמשים לבניית היררכיית המשאבים. תפקידים שאתם מקצים במשאבי הקונטיינר האלה חלים על כל המשאבים שספציפיים לשירות שהם מכילים.
  • משאבים שספציפיים לשירות: אלה התכונות או הרכיבים שהשירות מציע. לדוגמה, ב-Compute Engine יש משאבים כמו מופעים, דיסקים ורשתות משנה. הקצאת תפקידים למשאב ספציפי לשירות מספקת בקרת גישה פרטנית יותר מאשר הקצאת תפקידים למשאב מאגד, כי היא מגבילה את הגישה של המשתמש רק למשאב הזה.

בקרת גישה מתקדמת באמצעות IAM

כללי מדיניות ההרשאה הם השיטה הנפוצה ביותר לשליטה בגישה לGoogle Cloud סביבה באמצעות IAM. אבל IAM מציע גם אפשרויות אחרות לבקרת גישה, כולל האפשרויות הבאות:

  • סוגי מדיניות נוספים, כמו מדיניות דחייה ומדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
  • אמצעי בקרה מותנים לגישה מבוססת-מאפיינים
  • אמצעי בקרת גישה זמניים כמו Privileged Access Manager‏ (PAM)

צורות אחרות של בקרת גישה

למרות ש-IAM היא השיטה העיקרית לבקרת גישה ל-Google Cloud, יש שירותים אחרים של Google Cloud שיכולים להשפיע על הגישה של משתמשים למשאבים.

אלה כמה דוגמאות לשירותים אחרים שיכולים להשפיע על הגישה של משתמש:

  • Access Context Manager: בעזרת Access Context Manager אפשר להגדיר בקרת גישה פרטנית שמבוססת על מאפיינים לפרויקטים ולמשאבים ב- Google Cloud.
  • שרת proxy לאימות זהויות (IAP): שרת IAP משתמש במודל של בקרת גישה ברמת האפליקציה, שבו מגדירים שכבת הרשאות מרכזית לאפליקציות שאליהן ניגשים באמצעות HTTPS.
  • שירות של מדיניות הארגון: מדיניות הארגון מאפשרת להגדיר אילוצים בהיררכיית המשאבים כדי לקבל שליטה מרוכזת ופרוגרמטית על משאבי הענן של הארגון.
  • VPC Service Controls: בעזרת VPC Service Controls אפשר להגדיר גבולות גזרה שעוזרים להגן על Google Cloud המשאבים והנתונים של Google Cloud שירותים שאתם מציינים באופן מפורש.

המאמרים הבאים