Ce document explique comment gérer efficacement les autorisations dans un univers Google Distributed Cloud (GDC) multizone et isolé. Pour conserver l'accès aux ressources pouvant s'étendre sur plusieurs zones, vous devez implémenter des autorisations globales qui s'appliquent de manière cohérente à ces ressources. GDC fournit des fonctionnalités Identity and Access Management (IAM) pour contrôler votre système d'autorisations global sans avoir à suivre et à gérer les accès au niveau des zones.
Ce document est destiné aux administrateurs informatiques du groupe d'administrateurs de plate-forme qui sont chargés de développer et de gérer le contrôle des accès aux ressources qui s'étendent sur plusieurs zones d'un univers GDC.
Pour en savoir plus, consultez la documentation sur les audiences pour GDC en mode air-gapped.
Un accès qui s'étend à un univers
GDC offre plusieurs fonctionnalités IAM clés pour vous aider à contrôler l'accès à vos zones et aux ressources de chacune d'elles.
Simplifier la gestion des rôles
GDC fournit un contrôle intégré des autorisations globales qui vous permet d'appliquer et de gérer automatiquement les rôles IAM qui couvrent toutes les zones. Le contrôle global de vos autorisations supprime les cas d'utilisation segmentés dans lesquels vous devez appliquer manuellement des rôles dans chaque zone. Le contrôle des accès basé sur les rôles (RBAC) est global par défaut, mais permet d'attribuer des autorisations zonales précises, si nécessaire.
Par exemple, imaginons que vous ayez un nouveau développeur qui doit accéder aux ressources de votre projet. Comme un projet est global par défaut, il couvre toutes les zones de votre univers. Au lieu d'appliquer et de gérer manuellement les rôles nécessaires pour accéder au projet dans chaque zone, vous appliquez un rôle d'accès global au projet, qui s'applique automatiquement à toutes les zones dans lesquelles le projet réside. Le nouvel accès au projet du développeur évolue désormais avec votre univers et est propagé automatiquement aux nouvelles zones si votre univers s'agrandit.
Pour en savoir plus sur les liaisons de rôle dans GDC, consultez Accorder et révoquer l'accès.
Se connecter une seule fois et propager vos identifiants existants
GDC propose des fournisseurs d'identité (IdP) pour simplifier l'authentification des utilisateurs dans votre univers, sans avoir à se connecter à chaque zone séparément. Un IdP est un système qui gère et sécurise de manière centralisée les identités des utilisateurs, en fournissant des services d'authentification. La connexion à un IdP existant permet aux utilisateurs d'accéder à GDC à l'aide des identifiants de leur organisation, sans avoir à créer ni gérer de comptes distincts dans GDC. Étant donné qu'un fournisseur d'identité est une ressource globale configurée pour s'étendre sur plusieurs zones par défaut, vous pouvez accéder à GDC via le même fournisseur d'identité, quelle que soit la zone dans laquelle vous travaillez. Pour en savoir plus sur les fournisseurs d'identité dans GDC, consultez Se connecter à un fournisseur d'identité.
Contrôle global des autorisations pour les charges de travail et les services
Tout comme les utilisateurs humains bénéficient des fournisseurs d'identité pour simplifier l'authentification dans les zones, vos charges de travail et vos services peuvent également bénéficier d'une authentification globale dans votre univers avec les comptes de service. Les comptes de service sont les comptes que les charges de travail et les services utilisent pour consommer des ressources de manière programmatique et accéder aux microservices de manière sécurisée. Étant donné qu'un compte de service est une ressource globale configurée pour s'étendre sur plusieurs zones par défaut, vos charges de travail et vos services peuvent accéder aux ressources qui s'étendent sur un univers de manière uniforme avec un seul ensemble d'autorisations globales.
Par exemple, supposons que vous disposiez d'une VM à laquelle est associé un volume de stockage. Étant donné qu'un volume peut s'étendre sur deux zones, si vous souhaitez autoriser la VM à accéder au volume, elle doit disposer d'autorisations d'accès dans toutes les zones où se trouve le volume. Avec les comptes de service mondiaux, vous pouvez fournir à la VM l'accès au volume de stockage une seule fois, ce qui se propage à toutes les zones où se trouve le volume. Cette fonctionnalité vous permet de configurer l'accès à l'échelle universelle, sans gérer l'accès spécifique aux zones.
Pour en savoir plus sur les comptes de service dans GDC, consultez S'authentifier avec des comptes de service.