Capire come funziona la gestione degli accessi su Google Cloud è fondamentale per prendere le seguenti decisioni durante la pianificazione dell'implementazione SAP:
- Come organizzare le risorse su Google Cloud.
- Quali membri del team possono accedere alle risorse e utilizzarle.
- Le autorizzazioni esatte che ciascun membro del team deve avere per essere conforme al principio dei privilegi minimi per l'accesso alle risorse.
- Quali servizi e applicazioni devono utilizzare quali account di servizio e quale livello di autorizzazioni concedere in ciascun caso.
Per una panoramica generale dell'autenticazione su Google Cloud, consulta la Panoramica dell'autenticazione.
Gerarchia ed ereditarietà delle risorse
La gerarchia delle risorse di Cloud Platform definisce i vari container di risorse su Google Cloud, il modo in cui si relazionano tra loro e gli ambiti di accesso.
I criteri di controllo dell'accesso applicati a una risorsa padre, come un'organizzazione o un progetto, vengono ereditati dai figli della risorsa, ad esempio le macchine virtuali Compute Engine o i bucket Cloud Storage nell'organizzazione o nel progetto.
Identity and Access Management
Identity and Access Management (IAM) fornisce un controllo unificato sulle autorizzazioni per le risorse Google Cloud. Puoi gestire il controllo dell'accesso#39;accesso specificando chi può accedere alle risorse. Ad esempio, puoi controllare chi può eseguire le operazioni del piano di controllo sulle tue istanze SAP, come la creazione e la modifica di VM, dischi permanenti e networking.
Gli account di servizio IAM consentono di concedere autorizzazioni ad applicazioni e servizi. È importante capire come funzionano gli account di servizio in Compute Engine. Per maggiori dettagli, vedi Account di servizio.
I ruoli IAM concedono le autorizzazioni agli utenti. Per un riferimento sui ruoli e sulle autorizzazioni che forniscono, vedi Ruoli di Identity and Access Management.
Per ulteriori dettagli su IAM, consulta la Panoramica di IAM.
Informazioni IAM specifiche delle risorse
Per ogni risorsa utilizzata dai sistemi SAP, ad esempio una risorsa Compute Engine, è necessario capire in che modo IAM implementa l'autenticazione e la gestione degli accessi per la risorsa e quali ruoli predefiniti vengono forniti da IAM per la risorsa.
Per informazioni su come alcune risorse comunemente utilizzate dai sistemi SAP implementano IAM, vedi:
- Ruoli e autorizzazioni predefiniti di BigQuery
- Opzioni di controllo dell'accesso di Compute Engine
- Opzioni di controllo dell'accesso di Deployment Manager
- Guida controllo dell'accesso di Cloud Logging
- Controllo dell'accesso di Cloud Monitoring