Questo documento spiega come gestire in modo efficace le autorizzazioni in un universo air-gap Google Distributed Cloud (GDC) multizona. Per mantenere l'accesso alle risorse che possono estendersi su più zone, devi implementare autorizzazioni globali che si applichino in modo coerente. GDC fornisce funzionalità di Identity and Access Management (IAM) per controllare lo schema delle autorizzazioni globali senza dover monitorare e gestire l'accesso a livello di zona.
Questo documento è destinato agli amministratori IT all'interno del gruppo di amministratori della piattaforma che sono responsabili dello sviluppo e della manutenzione delcontrollo dell'accessoi per le risorse che si estendono su più zone in un universo GDC.
Per saperne di più, consulta la documentazione relativa ai segmenti di pubblico per GDC air-gapped.
Accesso che abbraccia un universo
GDC offre diverse funzionalità IAM chiave per controllare l'accesso alle zone e alle risorse all'interno di ciascuna zona.
Semplificare la gestione dei ruoli
GDC fornisce un controllo integrato delle autorizzazioni globali che ti consente di applicare e gestire automaticamente i ruoli IAM che si estendono a tutte le zone. Il controllo globale delle autorizzazioni elimina i casi d'uso segmentati in cui devi applicare manualmente i ruoli in ogni zona. Il controllo dell'controllo dell'accesso basato sui ruoli (RBAC) è globale per impostazione predefinita, ma fornisce un'allocazione delle autorizzazioni a livello di zona ottimizzata, se necessario.
Ad esempio, supponiamo che tu abbia un nuovo sviluppatore che deve accedere alle risorse del tuo progetto. Poiché un progetto è globale per impostazione predefinita, copre tutte le zone del tuo universo. Anziché applicare e gestire manualmente i ruoli necessari per accedere al progetto in ogni zona, applichi un ruolo di accesso globale per il progetto, che si applica automaticamente a tutte le zone in cui si trova il progetto. L'accesso al progetto del nuovo sviluppatore ora si evolve con il tuo universo e viene propagato automaticamente alle nuove zone se il tuo universo cresce.
Per saperne di più sui binding dei ruoli in GDC, consulta Concedere e revocare l'accesso.
Accedere una sola volta e propagare le credenziali esistenti
GDC offre provider di identità (IdP) per semplificare l'autenticazione degli utenti nel tuo universo, senza la seccatura di accedere a ogni zona separatamente. Un IdP è un sistema che gestisce e protegge centralmente le identità degli utenti, fornendo servizi di autenticazione. La connessione a un IdP esistente consente agli utenti di accedere a GDC utilizzando le credenziali della propria organizzazione, senza dover creare o gestire account separati all'interno di GDC. Poiché un IdP è una risorsa globale configurata per estendersi a più zone per impostazione predefinita, puoi accedere a GDC tramite lo stesso IdP indipendentemente dalla zona in cui lavori. Per saperne di più sugli IdP in GDC, vedi Stabilire la connessione a un provider di identità.
Controllo globale delle autorizzazioni di servizi e workload
Proprio come gli utenti umani traggono vantaggio dagli IdP per semplificare l'autenticazione tra le zone, anche i tuoi workload e servizi possono trarre vantaggio dall'autenticazione globale nel tuo universo con i service account. I service account sono gli account che i workload e i servizi utilizzano per consumare risorse e accedere ai microservizi in modo programmatico e sicuro. Poiché un account di servizio è una risorsa globale configurata per estendersi a più zone per impostazione predefinita, i tuoi carichi di lavoro e servizi possono accedere alle risorse che si estendono a un universo in modo uniforme con un unico insieme di autorizzazioni globali.
Ad esempio, supponi di avere una VM con un volume di archiviazione collegato. Poiché un volume può estendersi su due zone, se vuoi consentire alla VM di accedere al volume, deve disporre delle autorizzazioni di accesso in tutte le zone in cui si trova il volume. Con i service account globali, puoi fornire l'accesso della VM al volume di archiviazione una sola volta, che si propaga a tutte le zone in cui si trova il volume. Questa funzionalità ti consente di configurare l'accesso su scala universale, senza gestire l'accesso specifico per zona.
Per ulteriori informazioni sui service account in GDC, consulta Autenticarsi con i service account.