多區域環境的權限控制

本文說明如何在多區域 Google Distributed Cloud (GDC) 實體隔離環境中有效管理權限。如要維持對可跨越多個區域的資源的存取權,您必須實作全域權限,並持續套用這些權限。GDC 提供 Identity and Access Management (IAM) 功能,可控管全域權限配置,不必追蹤及維護區域層級的存取權。

本文適用於平台管理員群組中的 IT 管理員,負責開發及維護 GDC 宇宙中多個區域的資源存取權控管。

詳情請參閱 GDC air-gapped 說明文件適用對象

存取整個宇宙

GDC 提供多項重要的 IAM 功能,有助於控管可用區和各可用區內資源的存取權。

簡化角色管理

GDC 提供內建的全域權限控管機制,可讓您自動套用及管理涵蓋所有區域的 IAM 角色。全域控管權限可移除區隔用途,您不必在每個區域手動套用角色。角色型存取權控管 (RBAC) 預設為全域,但必要時可提供精細的區域權限分配。

舉例來說,假設您有新的開發人員需要存取專案資源,專案預設為全域,因此會涵蓋您宇宙中的所有區域。您不必在每個區域手動套用及維護存取專案所需的角色,只要為專案套用全域存取角色,系統就會自動將該角色套用至專案所在的所有區域。新開發人員的專案存取權現在會隨著您的宇宙演進,如果宇宙擴大,系統會自動將存取權傳播至新區域。

如要進一步瞭解 GDC 中的角色繫結,請參閱「授予及撤銷存取權」。

登入一次並傳播現有憑證

GDC 提供識別資訊提供者 (IdP),可簡化宇宙中驗證使用者的程序,不必分別登入各個區域。IdP 是一種系統,可集中管理及保護使用者身分,並提供驗證服務。連結至現有 IdP 後,使用者就能透過機構憑證存取 GDC,不必在 GDC 中建立或管理個別帳戶。由於 IdP 是全域資源,預設設定為跨越多個區域,因此無論您在哪個區域工作,都可以透過相同的 IdP 存取 GDC。如要進一步瞭解 GDC 中的 IdP,請參閱「連線至識別資訊提供者」。

全域工作負載和服務權限控制

就像人類使用者可透過識別資訊提供者 (IdP) 簡化跨區域的驗證程序,您的工作負載和服務也能透過服務帳戶,在整個環境中進行全域驗證。服務帳戶是工作負載和服務用來以程式輔助方式消耗資源,以及安全存取微服務的帳戶。服務帳戶是全域資源,預設設定為跨越多個區域,因此工作負載和服務可透過一組全域權限,統一存取涵蓋整個宇宙的資源。

舉例來說,假設您有一個附加儲存空間磁碟區的 VM。由於磁碟區可跨越兩個區域,如要允許 VM 存取磁碟區,VM 必須在磁碟區所在的所有區域中擁有存取權限。使用全域服務帳戶,您只需提供一次 VM 對儲存空間磁碟區的存取權,該權限就會傳播至磁碟區所在的所有區域。這項功能可讓您設定通用規模的存取權,無須管理區域專屬的存取權。

如要進一步瞭解 GDC 中的服務帳戶,請參閱「透過服務帳戶進行驗證」。

後續步驟