マルチゾーン ユニバースの権限制御

このドキュメントでは、マルチゾーンの Google Distributed Cloud(GDC)エアギャップ ユニバースで権限を効果的に管理する方法について説明します。複数のゾーンにまたがるリソースへのアクセスを維持するには、それらに一貫して適用されるグローバル権限を実装する必要があります。GDC には、ゾーンレベルのアクセスを追跡して維持することなく、グローバル権限スキームを制御するための Identity and Access Management(IAM)機能が用意されています。

このドキュメントは、GDC ユニバース内の複数のゾーンにまたがるリソースのアクセス制御の開発と保守を担当する、プラットフォーム管理者グループ内の IT 管理者を対象としています。

詳細については、GDC エアギャップの対象読者に関するドキュメントをご覧ください。

宇宙全体にアクセス

GDC は、ゾーンと各ゾーン内のリソースへのアクセスを制御するために役立つ、いくつかの重要な IAM 機能を提供します。

ロール管理を合理化する

GDC には、すべてのゾーンにまたがる IAM ロールを自動的に適用して管理できる組み込みのグローバル権限制御が用意されています。権限に対するグローバル制御により、各ゾーンでロールを手動で適用する必要があるユースケースがなくなります。ロールベース アクセス制御(RBAC)はデフォルトでグローバルですが、必要に応じてゾーン単位の権限割り当てをきめ細かく調整できます。

たとえば、プロジェクトのリソースにアクセスする必要がある新しいデベロッパーがいるとします。プロジェクトはデフォルトでグローバルであるため、ユニバース内のすべてのゾーンにまたがります。各ゾーンでプロジェクトにアクセスするために必要なロールを手動で適用して維持するのではなく、プロジェクトのグローバル アクセスロールを適用します。このロールは、プロジェクトが存在するすべてのゾーンに自動的に適用されます。新しいデベロッパーのプロジェクト アクセスは、ユニバースとともに進化し、ユニバースが拡大すると新しいゾーンに自動的に伝播されます。

GDC のロール バインディングの詳細については、アクセス権の付与と取り消しをご覧ください。

1 回ログインして既存の認証情報を伝播する

GDC は、各ゾーンに個別にログインする手間を省き、ユニバース内のユーザーの認証を効率化するID プロバイダ(IdP)を提供します。IdP は、ユーザー ID を一元的に管理して保護し、認証サービスを提供するシステムです。既存の IdP に接続すると、ユーザーは組織の認証情報を使用して GDC にアクセスできます。GDC 内で別のアカウントを作成または管理する必要はありません。IdP は、デフォルトで複数のゾーンにまたがるように構成されたグローバル リソースであるため、作業するゾーンに関係なく、同じ IdP を介して GDC にアクセスできます。GDC の IdP の詳細については、ID プロバイダに接続するをご覧ください。

ワークロードとサービスの権限のグローバル制御

人間ユーザーが IdP を使用してゾーン間の認証を効率化するのと同様に、ワークロードとサービスも、サービス アカウントを使用してユニバース内のグローバル認証を利用できます。サービス アカウントは、ワークロードとサービスがリソースをプログラムで消費し、マイクロサービスに安全にアクセスするために使用するアカウントです。サービス アカウントは、デフォルトで複数のゾーンにまたがるように構成されたグローバル リソースであるため、ワークロードとサービスは、単一のグローバル権限セットを使用して、ユニバースにまたがるリソースに均一にアクセスできます。

たとえば、ストレージ ボリュームがアタッチされている VM があるとします。ボリュームは 2 つのゾーンにまたがる可能性があるため、VM がボリュームにアクセスできるようにするには、ボリュームが存在するすべてのゾーンでアクセス権限が必要です。グローバル サービス アカウントを使用すると、VM にストレージ ボリュームへのアクセス権を一度付与するだけで、ボリュームが存在するすべてのゾーンに伝播されます。この機能を使用すると、ゾーン固有のアクセスを管理することなく、ユニバーサル スケールでアクセスを構成できます。

GDC のサービス アカウントの詳細については、サービス アカウントで認証するをご覧ください。

次のステップ