En este documento, se explica cómo puedes administrar los permisos de manera eficaz en un universo aislado de Google Distributed Cloud (GDC) multizona. Para mantener el acceso a los recursos que pueden abarcar varias zonas, debes implementar permisos globales que se apliquen de manera coherente a ellos. GDC proporciona funciones de Identity and Access Management (IAM) para controlar tu esquema de permisos globales sin tener que hacer un seguimiento del acceso a nivel de la zona ni mantenerlo.
Este documento está dirigido a los administradores de TI que pertenecen al grupo de administradores de la plataforma y que son responsables de desarrollar y mantener el control de acceso para los recursos que abarcan varias zonas en un universo de GDC.
Para obtener más información, consulta Audiences for GDC air-gapped documentation.
Acceso que abarca un universo
GDC ofrece varias capacidades clave de IAM para ayudarte a controlar el acceso a tus zonas y a los recursos dentro de cada zona.
Optimiza la administración de roles
GDC proporciona un control de permisos global integrado que te permite aplicar y administrar automáticamente roles de IAM que abarcan todas las zonas. El control global sobre tus permisos elimina los casos de uso segmentados en los que debes aplicar roles manualmente en cada zona. El control de acceso basado en roles (RBAC) es global de forma predeterminada, pero proporciona una asignación de permisos zonales detallada cuando es necesario.
Por ejemplo, supongamos que tienes un desarrollador nuevo que necesita acceder a los recursos de tu proyecto. Dado que un proyecto es global de forma predeterminada, abarca todas las zonas de tu universo. En lugar de aplicar y mantener manualmente los roles necesarios para acceder al proyecto en cada zona, puedes aplicar un rol de acceso global para el proyecto, que se aplica automáticamente a todas las zonas en las que reside el proyecto. El nuevo acceso al proyecto del desarrollador ahora evoluciona con tu universo y se propaga automáticamente a las zonas nuevas si tu universo crece.
Para obtener más información sobre las vinculaciones de roles en GDC, consulta Cómo otorgar y revocar el acceso.
Accede una vez y propaga tus credenciales existentes
GDC ofrece proveedores de identidad (IdP) para optimizar la autenticación de los usuarios en tu universo, sin la molestia de acceder a cada zona por separado. Un IdP es un sistema que administra y protege de forma centralizada las identidades de los usuarios, y proporciona servicios de autenticación. Conectarse a un IdP existente permite que los usuarios accedan a GDC con las credenciales de su organización, sin necesidad de crear ni administrar cuentas separadas dentro de GDC. Dado que un IdP es un recurso global que está configurado para abarcar varias zonas de forma predeterminada, puedes acceder a GDC a través del mismo IdP, independientemente de la zona en la que trabajes. Para obtener más información sobre los IdP en GDC, consulta Conéctate a un proveedor de identidad.
Control global de permisos de cargas de trabajo y servicios
Así como los usuarios humanos se benefician de los IdP para optimizar la autenticación en todas las zonas, tus cargas de trabajo y servicios también pueden beneficiarse de la autenticación global en tu universo con cuentas de servicio. Las cuentas de servicio son las cuentas que las cargas de trabajo y los servicios usan para consumir recursos y acceder a microservicios de forma programática y segura. Dado que una cuenta de servicio es un recurso global que está configurado para abarcar varias zonas de forma predeterminada, tus cargas de trabajo y servicios pueden acceder a recursos que abarcan un universo de forma uniforme con un solo conjunto de permisos globales.
Por ejemplo, supongamos que tienes una VM con un volumen de almacenamiento adjunto. Dado que un volumen puede abarcar dos zonas, si deseas permitir que la VM acceda al volumen, debe tener permisos de acceso en todas las zonas en las que reside el volumen. Con las cuentas de servicio globales, puedes proporcionar acceso a la VM al volumen de almacenamiento una sola vez, lo que se propaga a todas las zonas en las que reside el volumen. Esta capacidad te permite configurar el acceso a escala universal, sin tener que administrar el acceso específico de la zona.
Para obtener más información sobre las cuentas de servicio en GDC, consulta Autenticación con cuentas de servicio.