本页介绍了如何使用员工身份联合为备份和灾难恢复服务配置用户访问权限。请与 Cloud 客户服务团队联系,以使用员工身份联合启用备份和灾难恢复服务。
借助员工身份联合,您可以使用外部身份提供方 (IdP) 通过 IAM 对员工(用户群组,例如员工、合作伙伴和承包商)进行身份验证和授权,以便用户能够访问 Google Cloud 服务。
如果您的项目中配置了员工身份联合,员工中的用户可以访问以下内容:
- Google Cloud 控制台中的备份和灾难恢复服务
- 管理控制台
使用员工身份联合设置对 Backup and DR Service 的访问权限
本部分介绍了如何为员工身份联合用户配置对备份和灾难恢复服务的访问权限。
配置身份提供商
请参阅配置员工身份联合指南,为您的身份提供方配置员工身份联合。
向员工身份联合用户授予 IAM 角色
在 Identity and Access Management (IAM) 中,向一组员工身份联合用户授予 IAM 角色,以便他们可以访问备份和灾难恢复服务以及管理控制台来保护工作负载:
- 如需查看专门针对备份和灾难恢复服务的角色列表,请参阅向用户授予角色。
- 如需了解如何向外部用户分配这些角色,请参阅向正文授予 IAM 角色。
- 在 IAM 政策中表示员工身份联合用户所用的格式,请参阅在 IAM 政策中表示员工池用户。
备份和灾难恢复服务会以与 Google 账号用户相同的方式处理员工身份联合用户,使用主账号标识符(而非电子邮件地址)。
访问 Google Cloud 控制台中的“Backup and DR Service”页面
Google Cloud 员工身份联合控制台可让您访问“备份和灾难恢复服务”页面。
在 Google Cloud 员工身份联合控制台的备份和灾难恢复服务页面中,您可以部署管理控制台、备份/恢复设备,以及查看备份和灾难恢复服务日志。您还可以访问管理控制台来备份资源。
访问管理控制台
员工身份联合用户通过与 Google 管理的用户不同的网址访问管理控制台,如下所示:
员工身份联合用户的网址为
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.byoid.googleusercontent.com/
Google 管理的用户账号的网址为
https://bmc-PROJECT_NUMBER-GENERATED_ID-dot-REGION.backupdr.googleusercontent.com/
只有使用外部身份进行身份验证的用户才能访问外部身份的网址。如果用户在未登录的情况下访问外部身份的网址,系统会先将其重定向到身份验证门户,在该门户中,用户可以指定其员工池提供方名称。然后,系统会将用户重定向到其身份提供程序进行登录,最后将用户重定向到管理控制台。
员工身份联合用户无法使用 Google 管理的用户共享的网址直接访问管理控制台。如需以员工身份联合用户的身份访问管理控制台,请手动将链接更新为员工身份联合用户的网址。