Este documento explica como pode gerir as autorizações de forma eficaz num universo isolado (air-gapped) do Google Distributed Cloud (GDC) de várias zonas. Para manter o acesso aos recursos que podem abranger várias zonas, tem de implementar autorizações globais que se aplicam de forma consistente aos mesmos. O GDC oferece funcionalidades de gestão de identidade e de acesso (IAM) para controlar o seu esquema de autorizações global sem ter de monitorizar e manter o acesso ao nível da zona.
Este documento destina-se aos administradores de TI no grupo de administradores da plataforma responsáveis por desenvolver e manter o controlo de acesso aos recursos que abrangem várias zonas num universo da GDC.
Para mais informações, consulte a documentação sobre públicos-alvo para GDC com isolamento de ar.
Acesso que abrange um universo
O GDC oferece várias capacidades de IAM importantes para ajudar a controlar o acesso às suas zonas e aos recursos em cada zona.
Simplifique a gestão de funções
O GDC oferece um controlo de autorizações globais integrado que lhe permite aplicar e gerir funções IAM que abrangem todas as zonas automaticamente. O controlo global sobre as suas autorizações remove os exemplos de utilização segmentados em que tem de aplicar manualmente funções em cada zona. O controlo de acesso baseado em funções (CABF) é global por predefinição, mas oferece uma atribuição de permissões zonais ajustada, quando necessário.
Por exemplo, considere que tem um novo programador que precisa de aceder aos recursos do seu projeto. Uma vez que um projeto é global por predefinição, abrange todas as zonas no seu universo. Em vez de aplicar e manter manualmente as funções necessárias para aceder ao projeto em cada zona, aplica uma função de acesso global para o projeto, que se aplica automaticamente a todas as zonas em que o projeto reside. O acesso do novo programador ao projeto evolui agora com o seu universo e é propagado automaticamente para novas zonas se o seu universo crescer.
Para mais informações sobre as associações de funções no GDC, consulte o artigo Conceda e revogue o acesso.
Inicie sessão uma vez e propague as suas credenciais existentes
A GDC oferece fornecedores de identidade (IdP) para simplificar a autenticação de utilizadores no seu universo, sem a dificuldade de iniciar sessão em cada zona separadamente. Um IdP é um sistema que gere e protege centralmente as identidades dos utilizadores, fornecendo serviços de autenticação. A ligação a um IdP existente permite que os utilizadores acedam ao GDC através das credenciais da respetiva organização, sem necessidade de criar nem gerir contas separadas no GDC. Uma vez que um IdP é um recurso global configurado para abranger várias zonas por predefinição, pode aceder ao GDC através do mesmo IdP, independentemente da zona em que trabalha. Para mais informações sobre os IdPs no GDC, consulte o artigo Estabeleça ligação a um fornecedor de identidade.
Controlo global das autorizações de serviços e cargas de trabalho
Tal como os utilizadores humanos beneficiam dos IdPs para simplificar a autenticação em várias zonas, as suas cargas de trabalho e serviços também podem beneficiar da autenticação global no seu universo com contas de serviço. As contas de serviço são as contas que as cargas de trabalho e os serviços usam para consumir recursos de forma programática e aceder a microsserviços de forma segura. Uma vez que uma conta de serviço é um recurso global configurado para abranger várias zonas por predefinição, as suas cargas de trabalho e serviços podem aceder a recursos que abrangem um universo de forma uniforme com um único conjunto de autorizações globais.
Por exemplo, considere que tem uma VM com um volume de armazenamento anexado. Uma vez que um volume pode abranger duas zonas, se quiser permitir que a VM aceda ao volume, tem de ter autorizações de acesso em todas as zonas onde o volume reside. Com as contas de serviço globais, pode conceder à VM acesso ao volume de armazenamento uma vez, o que se propaga a todas as zonas onde o volume reside. Esta capacidade permite-lhe configurar o acesso à escala universal, sem gerir o acesso específico da zona.
Para mais informações sobre contas de serviço no GDC, consulte o artigo Autentique com contas de serviço.